Gesundheit & Sicherheit

Schutz personenbezogener Daten der Arbeitnehmer (DSGVO) in Luxemburg

Im gesamten Verlauf des Arbeitsverhältnisses — von der Einstellung bis zum Austritt — erhebt und verarbeitet der Arbeitgeber personenbezogene Daten über seine Arbeitnehmer. Diese Verarbeitung unterliegt der DSGVO und Artikel L.261-1 des Arbeitsgesetzbuches: Der Arbeitgeber muss über eine gültige Rechtsgrundlage verfügen, strenge Grundsätze der Datensparsamkeit und Speicherbegrenzung einhalten und den Arbeitnehmern die tatsächliche Ausübung ihrer Rechte gewährleisten. Dieses Merkblatt behandelt HR-Daten im Allgemeinen; die Arbeitnehmerüberwachung (Video, Geolokalisierung, IT-Kontrolle) ist Gegenstand eines eigenen Merkblatts.

Rechtsgrundlage: Art. L.261-1 Arbeitsgesetzbuch; Verordnung (EU) 2016/679 (DSGVO), Art. 5-6-13 bis 22 Aktualisiert: Juni 2026

1. Anwendbare Rechtsgrundlagen im HR-Kontext

Artikel L.261-1, §1 des Arbeitsgesetzbuches schreibt vor, dass jede Verarbeitung personenbezogener Daten im Rahmen des Arbeitsverhältnisses auf einer der Rechtmäßigkeitsvoraussetzungen des Artikels 6 DSGVO beruhen muss. In der Praxis decken drei Grundlagen nahezu alle HR-Verarbeitungen ab:

  • Erfüllung des Arbeitsvertrags (Art. 6-1-b DSGVO): Verarbeitung der für die Vertragsverwaltung notwendigen Daten — Vergütung, Urlaubsverwaltung, Beurteilungen, Abwesenheitsverfolgung.
  • Erfüllung einer rechtlichen Verpflichtung (Art. 6-1-c DSGVO): Sozialmeldungen an die CCSS, Übermittlungen an die ADEM, Führung gesetzlich vorgeschriebener Register, obligatorische arbeitsmedizinische Untersuchungen.
  • Berechtigte Interessen des Arbeitgebers (Art. 6-1-f DSGVO): Prävention interner Betrugshandlungen, IT-Netzwerksicherheit, Zugangsverwaltung — sofern diese Interessen nicht von den Grundrechten und Grundfreiheiten des Arbeitnehmers überlagert werden.
Die Einwilligung des Arbeitnehmers ist keine übliche Rechtsgrundlage: Aufgrund des Abhängigkeitsverhältnisses ist der Arbeitnehmer nicht in der Lage, eine wirklich freiwillige Einwilligung zu erteilen. Die CNPD und der Europäische Datenschutzausschuss (EDSA) lehnen diese Grundlage für Verarbeitungen im Zusammenhang mit der Erfüllung des Arbeitsvertrags in der Regel ab. Ein Arbeitgeber, der sich auf die Einwilligung stützt, riskiert, dass die Rechtsgrundlage in Frage gestellt wird — insbesondere im Streitfall.

2. Grundprinzipien der DSGVO im HR-Bereich

Artikel 5 DSGVO stellt sechs Grundsätze auf, die der Arbeitgeber bei jeder HR-Datenverarbeitung einhalten muss:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Die Arbeitnehmer müssen über die sie betreffenden Verarbeitungen, deren Zweck und ihre Rechte informiert werden — spätestens zum Zeitpunkt der Erhebung (Art. 13 DSGVO). Diese Information ist in der Regel im Arbeitsvertrag, in der Betriebsordnung oder in einem bei der Einstellung ausgehändigten DSGVO-Merkblatt enthalten.

Zweckbindung

Für einen bestimmten Zweck erhobene Daten dürfen nicht für unvereinbare andere Zwecke weiterverarbeitet werden. Für die Arbeitszeiterfassung erhobene Zeiterfassungsdaten dürfen ohne neue Rechtsgrundlage nicht zur Überwachung der Bewegungen des Arbeitnehmers verwendet werden.

Datensparsamkeit

Es dürfen nur die für den erklärten Zweck unbedingt erforderlichen Daten erhoben werden. Der Arbeitgeber darf keine umfassende HR-Akte aus Vorsichtsgründen anlegen: Jedes Datum muss durch einen konkreten und aktuellen Bedarf gerechtfertigt sein.

Richtigkeit

Die Daten müssen aktuell gehalten werden. Ein Arbeitnehmer, der seinen Familienstand, seine Adresse oder seine Bankverbindung ändert, muss seine Daten problemlos berichtigen lassen können.

Speicherbegrenzung

Daten dürfen nicht unbegrenzt aufbewahrt werden. Die DSGVO schreibt keine feste Dauer vor: Es obliegt dem Arbeitgeber, für jede Datenkategorie eine dem Zweck angemessene Aufbewahrungsdauer festzulegen (siehe Abschnitt 5).

Integrität und Vertraulichkeit

Der Arbeitgeber muss die Daten gegen unbefugten Zugriff, Verlust und Vernichtung schützen. Sensible Daten (Gesundheitszustand, Behinderung) erfordern verstärkte Sicherheitsmaßnahmen.

3. Der Lebenszyklus der HR-Daten: was erhoben wird und warum

Bei der Einstellung

Der Arbeitgeber kann die zur Bewerbungsbewertung erforderlichen Daten erheben: Lebenslauf, Anschreiben, Qualifikationen, berufliche Referenzen. Er darf keine Informationen ohne Bezug zur Stelle verlangen (Familienstand, Gesundheitszustand, religiöse oder politische Überzeugungen usw.) — diese Daten bilden besondere Kategorien im Sinne von Artikel 9 DSGVO oder sind durch das Nichtdiskriminierungsprinzip geschützt.

Nicht eingestellte Bewerber: Die Daten nicht eingestellter Bewerber müssen nach Abschluss des Einstellungsverfahrens innerhalb einer angemessenen Frist gelöscht werden. Sie dürfen nur dann länger aufbewahrt werden, wenn der Bewerber ausdrücklich einwilligt (z. B. Aufnahme in einen Talentpool).

Während des Arbeitsverhältnisses

Die im Laufe des Arbeitsverhältnisses erhobenen Daten umfassen insbesondere:

  • Identifikations- und Kontaktdaten (Name, Adresse, Sozialversicherungsnummer, Bankverbindung).
  • Vergütungsdaten (Gehalt, Prämien, Sachleistungen, Gehaltszettelhistorie).
  • Arbeitszeitverwaltungsdaten (Urlaub, Abwesenheiten, Überstunden, Zeiterfassung).
  • Gesundheitsdaten im Zusammenhang mit gesetzlichen Pflichten (obligatorische arbeitsmedizinische Untersuchungen, an die CCSS gemeldete Krankheitszeiten) — verarbeitet mit verstärktem Schutz.
  • Beurteilungsdaten (Jahresgespräche, Ziele, Karriereentwicklung).
  • Weiterbildungsdaten (Qualifikationen, Zertifizierungen, Schulungsteilnahmen).

Bei Beendigung des Arbeitsverhältnisses

Beim Ausscheiden des Arbeitnehmers muss der Arbeitgeber nicht mehr notwendige Daten löschen oder anonymisieren. Bestimmte Daten müssen jedoch aufbewahrt werden, um gesetzlichen Pflichten (insbesondere sozial- und steuerrechtlichen) nachzukommen oder sich gegen mögliche arbeitsgerichtliche Streitigkeiten innerhalb der geltenden Verjährungsfristen zu wappnen.

4. Rechte der Arbeitnehmer auf ihre personenbezogenen Daten

Jedem Arbeitnehmer stehen jederzeit folgende Rechte gegenüber seinem Arbeitgeber zu, unabhängig von einem etwaigen Rechtsstreit:

Auskunftsrecht (Art. 15 DSGVO)

Der Arbeitnehmer kann die Bestätigung verlangen, dass ihn betreffende Daten verarbeitet werden, und eine Kopie erhalten. Dies umfasst die HR-Akte, Beurteilungen, Zeiterfassungsdaten, Weiterbildungshistorie und Gehaltszettel.

Berichtigungsrecht (Art. 16 DSGVO)

Der Arbeitnehmer kann die Berichtigung unrichtiger oder unvollständiger Daten verlangen: fehlerhafte Adresse, unzutreffender Familienstand, unrichtige Verwaltungsdaten. Der Arbeitgeber muss binnen eines Monats antworten.

Recht auf Löschung (Art. 17 DSGVO)

Dieses Recht ist im HR-Kontext nicht absolut. Es gilt nicht, wenn die Datenspeicherung gesetzlich vorgeschrieben ist (buchhalterische, sozialversicherungs- und steuerrechtliche Pflichten) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Außerhalb dieser Fälle kann der Arbeitnehmer die Löschung von Daten verlangen, die nicht mehr benötigt werden.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Der Arbeitnehmer kann die vorübergehende Aussetzung einer Verarbeitung verlangen, wenn er die Richtigkeit der Daten bestreitet, der Verarbeitung widerspricht oder die Verarbeitung unrechtmäßig ist, er aber die Einschränkung der Löschung vorzieht.

Widerspruchsrecht (Art. 21 DSGVO)

Der Arbeitnehmer kann aus Gründen, die sich aus seiner besonderen Situation ergeben, der auf berechtigten Interessen des Arbeitgebers gestützten Verarbeitung widersprechen. Der Arbeitgeber kann die Verarbeitung jedoch fortsetzen, wenn er zwingende schutzwürdige Gründe nachweist, die die Interessen des Arbeitnehmers überwiegen.

Beschwerderecht bei der CNPD

Jeder Arbeitnehmer kann die Commission nationale pour la protection des données (CNPD) befassen, wenn er der Ansicht ist, dass die Verarbeitung seiner Daten gegen die DSGVO verstößt. Artikel L.261-1, §5 des Arbeitsgesetzbuches stellt ausdrücklich klar, dass eine solche Beschwerde weder einen schwerwiegenden noch einen legitimen Kündigungsgrund darstellen kann.

Antwortfrist des Arbeitgebers: Der Arbeitgeber hat grundsätzlich einen Monat Zeit, auf jeden Antrag zur Ausübung von DSGVO-Rechten zu antworten. Diese Frist kann bei komplexen oder zahlreichen Anträgen um weitere zwei Monate verlängert werden, sofern der Arbeitnehmer im ersten Monat darüber informiert wird.

5. Aufbewahrung von Daten: keine allgemeine gesetzliche Frist

Die DSGVO schreibt keine universelle Aufbewahrungsfrist für HR-Daten vor. Der Arbeitgeber muss für jede Datenkategorie eine durch den Verarbeitungszweck und die anwendbaren gesetzlichen Pflichten gerechtfertigte Dauer festlegen.

Datenkategorie Bestimmende Faktoren Referenzen
Lohnunterlagen und Gehaltszettel Buchhalterische und sozialversicherungsrechtliche Pflichten; arbeitsgerichtliche Verjährungsfristen Art. CSS-VI-426; anwendbare Verjährungsfrist
Akte aktiver Arbeitnehmer Dauer des Arbeitsverhältnisses + Verjährungsfrist nach Austritt Datensparsamkeitsgrundsatz (Art. 5 DSGVO)
Nicht eingestellte Bewerbungen Angemessene Frist nach dem Einstellungsverfahren Speicherbegrenzungsgrundsatz (Art. 5-1-e DSGVO)
Gesundheitsdaten (Krankheitsmeldungen, arbeitsmedizinische Untersuchungen) Strikt auf den Zweck begrenzt; verstärkter Schutz (Art. 9 DSGVO) Art. 9 DSGVO + CCSS-Pflichten
Beurteilungsdaten Dauer des Arbeitsverhältnisses + mögliche Anfechtungsfrist Legitimer HR-Zweck
Buchhaltungsunterlagen: Die 10-jährige Aufbewahrungsfrist gilt für Buchhaltungsunterlagen im strengen Sinne. Sie rechtfertigt nicht die Aufbewahrung aller HR-Daten über diese Dauer — nur die zur Begründung der Buchungseinträge notwendigen Daten sind betroffen.

6. Gesetzliche Übermittlungspflichten an Dritte

Die CCSS: eine monatliche Pflicht

Der Arbeitgeber ist verpflichtet, dem Centre commun de la sécurité sociale (CCSS) monatlich Informationen über Beitragsgrundlagen, Überstunden und Zeiten der Arbeitsunfähigkeit zu übermitteln (Art. CSS-VI-426). Diese Übermittlungen beruhen auf einer rechtlichen Verpflichtung im Sinne von Art. 6-1-c DSGVO: Sie erfordern weder die Einwilligung des Arbeitnehmers noch können sie ihm verweigert werden.

Die ADEM und der Arbeitsminister

Bestimmte Behörden haben innerhalb der gesetzlich strikt vorgesehenen Grenzen Zugang zu den für die Ausübung ihrer gesetzlichen Aufgaben erforderlichen Daten — insbesondere zur Überprüfung der Anspruchsberechtigung auf Arbeitslosengeld oder zur Überwachung von Arbeitssuchenden (Art. L.621-3). Dieser Zugang ist geregelt, authentifiziert und auf streng notwendige Daten beschränkt.

Sozialversicherungsträger und Betriebsärzte

Die im Rahmen der obligatorischen arbeitsmedizinischen Überwachung an den Betriebsarzt übermittelten Daten unterliegen der ärztlichen Schweigepflicht und dürfen ohne Einwilligung des Arbeitnehmers nicht namentlich an den Arbeitgeber weitergegeben werden. Der Arbeitgeber erhält nur die Eignungs- oder Nichteignungsfeststellungen, nicht die medizinischen Daten selbst.

7. Der Datenschutzbeauftragte (DSB)

Die Benennung eines Datenschutzbeauftragten (DSB) ist obligatorisch für Arbeitgeber, die:

  • Eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen durchführen (z. B. systematische Überwachung des Online-Verhaltens von Arbeitnehmern).
  • Besondere Kategorien von Daten in großem Umfang verarbeiten (Gesundheitsdaten, biometrische Daten, Daten über strafrechtliche Verurteilungen).
  • Eine Behörde oder öffentliche Stelle sind, unabhängig von der Art der Verarbeitungen.

Außerhalb dieser Fälle bleibt die Benennung eines DSB freiwillig (Art. 37 DSGVO). Der Arbeitgeber kann dennoch freiwillig einen internen oder externen DSB benennen, wenn er seine Datenschutz-Governance strukturieren möchte.

Aufgaben des DSB: Der DSB informiert und berät den Arbeitgeber zu seinen DSGVO-Pflichten, überwacht die Einhaltung der Verordnung, arbeitet mit der CNPD zusammen und ist Anlaufstelle für Arbeitnehmer in allen Fragen zu ihren Daten. Er genießt Schutz vor Repressalien bei der Ausübung seiner Aufgaben.

8. Was der Arbeitgeber tun darf und nicht darf

Gängige Praktiken und ihre Grenzen
Kopie des Personalausweises: zulässig, wenn sie für eine gesetzliche oder administrative Pflicht erforderlich ist (CCSS-Anmeldung, Überprüfung des Arbeitsrechts). Sie darf über diese Notwendigkeit hinaus nicht aufbewahrt werden.
Strafregisterauszug: Jeder Bewerber kann einen Auszug über MyGuichet.lu erhalten und seiner Bewerbung beifügen. Ein Arbeitgeber, der ihn verlangt, muss dies durch die Art der Stelle begründen können (DSGVO-Verhältnismäßigkeitsgrundsatz) — er kann ihn nicht systematisch bei allen Einstellungen unabhängig von den ausgeübten Tätigkeiten verlangen.
Foto des Arbeitnehmers: unter Bedingungen zulässig. Es darf ohne vorherige Information und geeignete Rechtsgrundlage nicht für nicht vorgesehene Zwecke verwendet werden (internes Mitarbeiterverzeichnis vs. externe Kommunikation).
Zugriff auf berufliche E-Mails: unter strengen Bedingungen möglich, im Einklang mit der DSGVO, einer zuvor bekannt gegebenen IT-Nutzungsrichtlinie sowie den Verhältnismäßigkeits- und Zweckbindungsgrundsätzen. Der genaue Rahmen wird im Merkblatt Überwachung am Arbeitsplatz behandelt.
Gesundheitsdaten: Der Arbeitgeber kann die Dauer einer Krankschreibung und ihre Auswirkungen auf den Vertrag kennen. Er darf nicht versuchen, die Diagnose oder die Art der Erkrankung zu erfahren — diese Daten unterliegen der ärztlichen Schweigepflicht.
Elektronische und Videoüberwachung: Kameras, Geolokalisierung, IT-Verbindungsüberwachung und biometrische Zeiterfassungssysteme unterliegen spezifischen Regelungen (Art. L.261-1, §2 bis §5 und Art. L.414-9) und sind Gegenstand eines eigenen Merkblatts.

Eine Frage zur DSGVO-Konformität Ihrer HR-Praktiken oder zu den Rechten Ihrer Arbeitnehmer?

Kymora fragen →

Verwandte Merkblätter

Die in diesem Merkblatt enthaltenen Informationen dienen ausschließlich zu Informationszwecken und stellen keine Rechtsberatung dar. Sie können Ungenauigkeiten enthalten oder aktuelle Gesetzesänderungen und Rechtsprechungsentwicklungen möglicherweise nicht widerspiegeln. Für spezifische Situationen wenden Sie sich bitte an einen Rechtsexperten.