Übergreifende Themen

Auswirkungen der DSGVO auf die Personalverwaltung in Luxemburg

Die Verordnung (EU) 2016/679 (DSGVO) gilt uneingeschränkt für Arbeitnehmerdaten und verpflichtet luxemburgische Arbeitgeber zu strikten Anforderungen: Überwachungssysteme dürfen nur nach vorheriger Information der Arbeitnehmervertretung eingeführt werden, Meldepflichten gegenüber der Sozialversicherung und den Behörden bleiben in einem sicheren Rahmen bestehen, und die Aufbewahrung von HR-Akten muss den Grundsätzen der Datenminimierung und der Speicherbegrenzung entsprechen.

Rechtsgrundlagen: DSGVO Art. 6; Art. L.261-1; Art. L.621-3; Art. CSS-VI-426; Art. CSS-VI-442 Aktualisiert: Juni 2026

1. Rahmen für die Überwachung von Arbeitnehmern

Rechtmäßigkeitsvoraussetzungen

Ein Arbeitgeber darf ein Mitarbeiterüberwachungssystem nur einführen, wenn es auf einer der Rechtsgrundlagen nach Artikel 6 Absatz 1 Buchstaben a) bis f) DSGVO beruht — Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, Aufgabe im öffentlichen Interesse oder berechtigte Interessen (Art. L.261-1, Abs. 1). Die Berufung auf berechtigte Interessen erfordert eine Abwägung mit den Rechten und Freiheiten der betroffenen Arbeitnehmer.

Obligatorische Vorabinformation

Vor der Einführung eines Überwachungssystems muss der Arbeitgeber den gemischten Ausschuss, die Personaldelegation oder, falls keine vorhanden ist, die Arbeits- und Bergbauinspektion (ITM) informieren. Diese Information muss angeben (Art. L.261-1, Abs. 2):

›den Zweck der Verarbeitung und die Funktionsweise des Systems;

›die Aufbewahrungsdauer der erhobenen Daten;

›eine ausdrückliche Verpflichtung, die Daten nicht für andere als die angegebenen Zwecke zu verwenden.

Anfechtungsrecht der Arbeitnehmer

Innerhalb von 15 Tagen nach der Information können die Arbeitnehmer oder ihre Delegation bei der Nationalen Kommission für den Datenschutz (CNPD) eine Konformitätsbegutachtung beantragen. Dieser Antrag hat eine aufschiebende Wirkung: Das System darf erst eingeführt werden, wenn die CNPD ihre Stellungnahme abgegeben hat (Art. L.261-1, Abs. 4).

Die Einreichung einer Beschwerde bei der CNPD darf weder einen schwerwiegenden noch einen legitimen Kündigungsgrund darstellen (Art. L.261-1, Abs. 5).

Ende der vorherigen CNPD-Genehmigung: Seit der Anwendbarkeit der DSGVO im Jahr 2018 ist eine vorherige Genehmigung der CNPD für die Einrichtung einer Datenverarbeitungstätigkeit nicht mehr erforderlich. Die Pflicht zur individuellen und kollektiven Information der Arbeitnehmer bleibt jedoch vollständig in Kraft, und der Arbeitgeber muss ein aktuelles und dokumentiertes Verarbeitungsverzeichnis führen.

2. Meldepflichten und Verwaltungszugang

Die DSGVO befreit den Arbeitgeber nicht von seinen gesetzlichen Pflichten zur Übermittlung von Daten an öffentliche Stellen. Diese Datenflüsse sind streng begrenzt und erfolgen in einem sicheren Rahmen.

Sozialversicherungsmeldungen (Art. CSS-VI-426)

Der Arbeitgeber ist verpflichtet, monatlich dem Gemeinsamen Zentrum der Sozialversicherung (CCSS) zu melden:

›die Beitragsbemessungsgrundlagen jedes Arbeitnehmers;

›die geleisteten Überstunden;

›die Zeiten der Arbeitsunfähigkeit.

Direktzugang der Behörden (Art. L.621-3)

Der für Beschäftigung zuständige Minister und die ADEM können einen direkten, sicheren Zugang — mit starker Authentifizierung — zu den CCSS-Dateien (Affiliationen, gemeldete Löhne) sowie zu anderen Verwaltungsdatenbanken (Ausländerregister, Empfänger des garantierten Mindesteinkommens usw.) erhalten. Dieser Zugang ist auf die Überprüfung der Leistungsansprüche und die Begleitung von Arbeitssuchenden beschränkt.

Kontrollbefugnisse (Art. CSS-VI-442)

Die Beauftragten der Sozialversicherungsträger und anderer Kontrollbehörden sind befugt, alle Unterlagen betreffend Identität, Tätigkeit und Entlohnung der Arbeitnehmer anzufordern. Dieses Auskunftsrecht ist von den internen Überwachungsbefugnissen des Arbeitgebers zu unterscheiden und fällt nicht unter den Vorabinformationsmechanismus des Art. L.261-1.

3. Aufbewahrung und Verwaltung von HR-Daten

Grundsätze der Datenminimierung und Speicherbegrenzung

Die DSGVO verlangt, dass Daten nur im unbedingt erforderlichen Umfang erhoben (Minimierung) und nur so lange aufbewahrt werden, wie es für die Zwecke ihrer Erhebung erforderlich ist (Speicherbegrenzung). Der Arbeitgeber muss Aufbewahrungsfristen für jede Kategorie verarbeiteter personenbezogener Daten festlegen und dokumentieren.

Praktische Aufbewahrungsfristen für HR-Unterlagen

Es gibt keine allgemeine gesetzliche Aufbewahrungsfrist für persönliche Akten der Arbeitnehmer, mit Ausnahme der Buchführungsunterlagen, die der 10-jährigen Verjährungsfrist des Handelsgesetzbuchs unterliegen. Als bewährte Praxis empfiehlt es sich, die Unterlagen mindestens bis zum Ablauf der Anfechtungsfristen für Kündigungen aufzubewahren, was Kündigungsschutzklagen abdeckt.

Je nach Art der Unterlage gelten spezifische Aufbewahrungsfristen:

›Gehaltsabrechnungen und Lohnunterlagen: 10 Jahre (buchhalterische Verjährung);

›Disziplinarakte: Aufbewahrungsdauer auf die Relevanz der Sanktion begrenzen;

›Daten nicht berücksichtigter Bewerber: innerhalb einer angemessenen Frist nach Abschluss des Einstellungsverfahrens zu löschen (in der Regel 6 Monate), sofern der Bewerber einer längeren Speicherung nicht ausdrücklich zugestimmt hat;

›Videoüberwachungsaufnahmen: sehr kurze Aufbewahrungsdauer (in der Regel maximal 30 Tage), außer bei einem Vorfall, der eine Aufbewahrung zu Beweiszwecken erfordert.

Das Fehlen eines Aufbewahrungsfristenregisters stellt einen dokumentarischen Mangel dar, der von der CNPD bei einer Kontrolle festgestellt werden kann. Dieses Register ist vom — aber ergänzend zum — Verarbeitungsverzeichnis im Sinne von Art. 30 DSGVO zu unterscheiden.

4. Datenschutzbeauftragter (DSB) und Datenschutz-Folgenabschätzung

Benennung des DSB

Die Benennung eines Datenschutzbeauftragten (DSB) ist in drei Fällen obligatorisch (Art. 37 DSGVO):

›das Unternehmen ist eine Behörde oder öffentliche Stelle;

›seine Kerntätigkeiten erfordern eine umfangreiche, regelmäßige und systematische Überwachung von Personen (z. B. Online-Verhaltens-Tracking, Flottengeolokalisierung);

›seine Kerntätigkeiten umfassen die umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten, Gewerkschaftsdaten usw.).

Außerhalb dieser gesetzlich vorgeschriebenen Fälle wird die freiwillige Benennung eines DSB empfohlen, insbesondere für mittelgroße Unternehmen, die erhebliche Mengen an Arbeitnehmerdaten verarbeiten.

Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist obligatorisch, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 DSGVO). Im HR-Kontext betreffen die betroffenen Verarbeitungen insbesondere:

›kontinuierliche Überwachungssysteme (Videoüberwachung, Keylogger, Computeraktivitäts-Tracking);

›Verarbeitung biometrischer Daten (Zugangskontrolle per Fingerabdruck oder Gesichtserkennung);

›automatisierte Entscheidungen mit erheblichen Auswirkungen auf Arbeitnehmer (Bewertung, algorithmische Auswahl);

›systematische Geolokalisierung von Arbeitnehmern außerhalb der beruflichen Fahrtätigkeit.

Wenn eine DSFA ein verbleibendes hohes Risiko aufdeckt, das der Arbeitgeber nicht mit eigenen Mitteln mindern kann, muss er die CNPD vor der Durchführung der Verarbeitungstätigkeit konsultieren (Art. 36 DSGVO).

Haben Sie Fragen zur DSGVO oder zum HR-Datenmanagement in Ihrem Unternehmen?

Kymora fragen →

Die in diesem Merkblatt enthaltenen Informationen dienen ausschließlich zu Informationszwecken und stellen keine Rechtsberatung dar. Sie können Ungenauigkeiten enthalten oder aktuelle Gesetzesänderungen und Rechtsprechungsentwicklungen möglicherweise nicht widerspiegeln. Für spezifische Situationen wenden Sie sich bitte an einen Rechtsexperten.