Neues DatenschutzgesetzBilanz nach zwei Jahren: Keine Strafen, aber 235 „korrigierende Maßnahmen“

Geheime Datenbanken bei Polizei und Justiz, Personenregister beim Geheimdienst, Kameras im Stadtpark und im öffentlichen Transport sowie Google, Facebook, Twitter und Co.: So richtig persönlich sind die eigenen Daten eines Bürgers schon lange nicht mehr. Ständige Innovationen von Technik und Wissenschaft vereinfachen zwar vieles im Leben, der Preis dafür ist nicht selten aber die Aufgabe der eigenen Privatsphäre.

Damit der gläserne Mensch nicht Opfer dunkler Machenschaften wird, hat das Parlament im August 2018 in Luxemburg ein neues Datenschutzgesetz verabschiedet, das auf der Datenschutz-Grundverordnung der EU (DSGV) vom Mai des gleichen Jahres gründet.

Das Gesetz „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ ersetzt Verordnungen, die auf das Jahr 2002 zurückgehen – kurz bevor Mark Zuckerberg in Boston auf die Idee kam, Fotos von Studentinnen ins Netz zu stellen und die Besucher seiner neuen Seite quasi dazu aufforderte, die Damen zu beurteilen. Der Rest ist inzwischen Geschichte: Aus dem kontroversen Projekt namens „Facemash“ sollte zwei Jahre später – im Frühjahr 2004 – ein digitales Angebot entstehen, das heute mehr als 2,5 Milliarden aktive Nutzer zählt: Facebook.

Mit der rapiden Globalisierung der sozialen Netzwerke und der Verbreitung digitaler Apps im gesellschaftlichen Alltag ist inzwischen auch der Datenschutz im Mainstream angelangt. Oberste Behörde in Luxemburg ist in diesem Zusammenhang die „Commission nationale pour la protection des données“, kurz CNPD, die im Gesetz von 2018 mit weitreichenden Befugnissen ausgestattet wurde. So kann die Datenschutzkommission bei möglichen Verdachtsfällen Ermittlungen anordnen, Entscheidungen treffen, Korrekturmaßnahmen ergreifen und Strafen verhängen.

„D’Police vum Dateschutz“ nennt Sven Clement (Piraten) die CNPD in einer parlamentarischen Frage. 6,6 Millionen Euro stünden der Datenschutzkommission aktuell zur Verfügung, um sämtlichen vom Gesetz vorgesehenen Aufgaben nachkommen zu können. Ein Budget, das innerhalb von den letzten vier Jahren quasi verdreifacht wurde. Grund genug für den Abgeordneten, eine Art Zwischenbilanz vom zuständigen Medien- und Kommunikationsminister Xavier Bettel (DP) einzufordern.

So haben sämtliche Bürger etwa das Recht, bei einem möglichen Verstoß gegen das Datenschutzgesetz Beschwerde bei der CNPD einzureichen. Die Behörde kann sich bei möglichen Zuwiderhandlungen aber auch selbst befassen. In beiden Fällen hat die Datenschutzkommission das Recht, Ermittlungen in die Wege zu leiten und gegebenenfalls Entscheidungen zu treffen, die mögliche Strafen mit sich bringen.

Bei den Ermittlungen unterscheide die CNPD zwischen einer proaktiven und einer reaktiven Herangehensweise, wie Kommunikationsminister Xavier Bettel in seiner Antwort unterstreicht. Proaktiv leite die Behörde etwa Ermittlungen in die Wege, wenn verschiedene Risikokriterien erfüllt seien, was etwa die Größe der zu ermittelnden Organisation angeht, die Anzahl der Betroffenen oder die Empfindlichkeit der Daten. Die „reaktiven“ Ermittlungen hingegen gründen in der Hauptsache auf Beschwerden von Drittpersonen.

Aber: „Nicht jede Beschwerde mündet in einer Ermittlung“, so Bettel. Oft versuche die Behörde, das Problem auf informellem Wege zu lösen. So könnten die meisten Dossiers via Vermittlung abgeschlossen werden, etwa indem die CNPD bei der betroffenen Organisation Lösungsvorschläge anbringt und diese auch angenommen werden. Ist das nicht der Fall, kann ein entsprechendes Gremium weitere Schritte anordnen. Legislative Kriterien, die für oder gegen Ermittlungen sprechen, gibt es in dieser Hinsicht aber keine: Als unabhängige Kontrolleinheit profitiere die CNPD von der sogenannten „opportunité d’action“.

Die Datenschutzbehörde entscheidet also selbst von Fall zu Fall, ob weiterführende Ermittlungen eingeleitet werden oder nicht. Dabei könnten gleich mehrere Elemente ausschlaggebend sein, so der Medienminister: der Kooperations-Grad des Verantwortlichen der Datenverarbeitung, die Schwere des Verstoßes, die Auswirkung auf die Grundrechte und Freiheiten der Bürger, die Zahl der Betroffenen sowie Volumen und Empfindlichkeit der Daten.

Seit der Annahme der europäischen Datenschutz-Grundverordnung wurden in Luxemburg 911 Beschwerden wegen möglicher Verstöße gegen den Datenschutz eingereicht, Stand 12. August 2020. Dabei sind die Fälle recht regelmäßig auf die letzten Jahre verteilt, wobei aber angemerkt werden muss, dass die EU-Verordnung 2018 erst im Mai angenommen wurde. Somit waren es im ersten Jahr 303 Beschwerden, ein Jahr später bereits 381. Vor diesem Hintergrund erscheint die Zahl mit 227 Beschwerden bis August 2020 recht niedrig, was aber wohl der sanitären Krise mit den einhergehenden Ausgangsbeschränkungen und Schutzmaßnahmen geschuldet ist.

Eine richtige Entscheidung laut Artikel 41 des neuen Datenschutzgesetzes – wie etwa das Verhängen von Bußgeldern – hat die CNPD in den letzten zwei Jahren noch keine getroffen. Medienminister Bettel zufolge soll das erst im letzten Trimester dieses Jahres der Fall sein, wenn sich das zuständige Kollegium mit dem Abschluss der ersten von noch 82 laufenden Ermittlungen befasst. Tatsächlich werden aktuell noch 286 Beschwerden bearbeitet.

Somit konnte die Datenschutzkommission seit Inkrafttreten der europäischen Grundverordnung bereits 625 Beschwerden erfolgreich abschließen. Rund 65 Prozent dieser Dossiers (397) wurden innerhalb von nur drei Monaten bearbeitet, für 19 Prozent der Anliegen (122) benötigte das verantwortliche Kollegium drei bis sechs Monate und 13 Prozent der Beschwerden (85) befanden sich bis zu einem Jahr in Bearbeitung. Allerdings gestalteten sich 21 Dossiers als besonders schwierig: Bei diesen Beschwerden benötigten die Verantwortlichen mehr als ein Jahr.

Die Gründe dafür seien unterschiedlich, wie der Kommunikationsminister betont. Oft sei die Verzögerung der Komplexität des Dossiers geschuldet, etwa wenn besonders viele Ermittlungen oder Überprüfungen vorgenommen werden müssen. Auch müsse der Grundsatz des kontradiktorischen Verfahrens eingehalten werden, was angesichts recht komplexer Dossiers viel Zeit in Anspruch nehmen kann. Dabei handelt es sich bekanntlich um das Anrecht jeder beteiligten Partei, in einem Verfahren die eigenen Rechte und Argumente vorzubringen. Manchmal führten auch grenzüberschreitende Fälle zu längeren Bearbeitungszeiten, so Bettel, ebenso wie eine kaum vorhandene Reaktivität der betroffenen Partei.

Werden Verstöße festgestellt, kann die CNPD den verantwortlichen Datenbearbeiter zu sogenannten „korrigierenden Maßnahmen“ zwingen. Das sei in den letzten zwei Jahren 235 Mal der Fall gewesen. In dem Fall seien die Verantwortlichen darauf hingewiesen worden, die Datenschutz-Grundverordnung zu respektieren und den Bürgern etwa Zugang zu ihren persönlichen Daten zu gewährleisten, personenbezogene Daten zu löschen oder zusätzliche Sicherheitsmaßnahmen zu ergreifen.

Richtige „data breaches“, also Datenlecks, wurden der CNPD in den letzten zwei Jahren insgesamt 748 gemeldet. Im Gegensatz zu den generellen Beschwerden, die aus unterschiedlichen Gründen eingereicht werden können – etwa wenn ein Datenbearbeiter einem Löschantrag persönlicher Daten nicht stattgeben möchte oder die Sicherheitsmaßnahmen nicht ausreichen –, hat ein „data breach“ nur eine Ursache: nämlich wenn Unberechtigte Zugriff auf Daten erhalten haben. In mehr als der Hälfte der Fälle habe man die betroffenen Parteien aber informieren können, betont der Minister. Laut Gesetz sei das keine Voraussetzung.