Wer weiß was über mich? Welche Behörden und Betriebe dürfen welche Daten über mich abspeichern? Und was kann ich tun, wenn ich die Befürchtung habe, dass mit meinen Daten nicht ordentlich verfahren wird? Für diese und weitere Fragen zum Thema Datenschutz ist in Luxemburg die Nationale Datenschutzkommission (CNPD) zuständig. Am Donnerstag hat die Behörde nun ihre Arbeitsbilanz des Jahres 2019 veröffentlicht.
Insgesamt sind bei der CNPD 2019 625 Beschwerden von Bürgern eingegangen. 2018 waren es noch 450. 26 Prozent der Beschwerden wurden letztes Jahr eingereicht, weil die betroffene Person keinen Zugriff auf die sie betreffenden Daten von den Verantwortlichen erhielt. 21 Prozent beschwerten sich, weil die über sie gesammelten Daten trotz Anfrage nicht gelöscht wurden. Allerdings mündet noch längst nicht jede Beschwerde auch in einer Ermittlung durch die CNPD. Wie viele der Beschwerden 2019 weiterverfolgt wurden, teilt die Behörde nicht mit.
Oft versuche die Behörde, das Problem auf informellem Wege zu lösen, erklärte der zuständige Medien- und Kommunikationsminister Xavier Bettel in einer Antwort auf eine parlamentarische Frage im September. So könnten die meisten Dossiers via Vermittlung abgeschlossen werden, etwa indem die CNPD bei der betroffenen Organisation Lösungsvorschläge anbringt und diese auch angenommen werden. Ist das nicht der Fall, kann ein entsprechendes Gremium weitere Schritte anordnen. Legislative Kriterien, die für oder gegen Ermittlungen sprechen, gibt es in dieser Hinsicht aber keine: Die Datenschutzbehörde entscheidet also selbst von Fall zu Fall, ob weiterführende Ermittlungen eingeleitet werden oder nicht.
Proaktive Untersuchungen
Wie viele Dossiers derzeit offenstehen, ist ebenfalls aus dem Bericht nicht klar rauszulesen. Eine richtige Entscheidung laut Artikel 41 des neuen Datenschutzgesetzes – wie etwa das Verhängen von Bußgeldern – hat die CNPD in den letzten zwei Jahren nicht getroffen. 33-mal führte die CNPD 2019 eine Untersuchung vor Ort durch. Laut Behörde waren dies vor allem Fälle von Videoüberwachung und Geolokalisierung. Derzeit würden auch immer noch proaktive Untersuchungen in Form von Datenschutz-Audits durchgeführt.
25 solcher Dossiers wurden im vergangenen Jahr geöffnet und sollen 2019 „zum größten Teil“ abgeschlossen worden sein. Sie fanden im Rahmen einer Audit-Kampagne statt, bei der die Rolle des Datenschutzbeauftragten in 25 Behörden und Unternehmen untersucht wurde. Außerdem wurden neun neue Dossiers in dem Jahr angelegt. Welches Fazit sie allerdings aus den abgeschlossenen Audits ziehen, dazu äußert sich die CNPD ebenfalls nicht in ihrem Jahresbericht.
Wer sich mit dem Jahr 2019 im Bereich Datenschutz beschäftigt, kommt natürlich nicht an der Polizeiregister- und „Ju-Cha“-Affäre vorbei. Losgetreten wird der Datenschutz-Skandal von zwei Männern, die plötzlich mit kompromittierenden Fakten aus ihren eigentlich leeren Strafregistern konfrontiert wurden. Während es für den einen bedeutete, dass er 2018 seiner Einladung zur Nationalfeiertagszeremonie nicht folgen konnte, weil er als „Risiko für die nationale Sicherheit“ eingestuft wurde, war es für den anderen ein rüdes Erwachen in einem Vorstellungsgespräch. Beide hatten keine Ahnung von den Daten, die die Behörden über sie abgespeichert hatten. Und die zuständigen Minister François Bausch und Henri Kox (beide „déi gréng“) gerieten in Erklärungsnot. War das „Schattenregister“ nun legal oder nicht: Das war monatelang umstritten.
Nachholbedarf
Mittlerweile ist klar, dass es neben dem Polizeiregister und dem „Ju-Cha“ mehr als 70 weitere Datenbanken gibt, wo abgespeichert wird, wann ein Bürger Kontakt mit dem Justizapparat hatte. Selbst, wenn er nur als Zeuge geladen oder die Sache nicht weiterverfolgt wurde. Polizeiminister Bausch bat schließlich darum, dass sich das CNPD zum Polizeiregister äußert. Die Meinung der Kommission: Das Register hat eine legale Basis, wird aber nicht bestimmungskonform genutzt. Man müsse im Gesetz mehr Klarheit darüber schaffen, wer wann und wieso das Register nutzen darf. Außerdem fehle es an Garantien für besonders schwache, verletzliche Personen, vor allem für Kinder, die in keiner Form bei der aktuellen Handhabung des Polizeiregisters vorhanden seien. Kritik äußerte auch die Generalinspektion der Polizei nach einer internen Untersuchung. Kurzum: Es herrscht offensichtlicher Nachholbedarf. Minister Bausch gelobte Besserung und eine Nachbesserung des Datenschutzgesetzes. Justizministerin Sam Tanson („déi gréng“) schloss sich dem an.
Gegen die Justizbehörden kann die CNPD übrigens nicht Ermittlungen einleiten oder kontrollieren, ob die Datenschutzregeln eingehalten werden. Dafür sei die Datenschutzkontrolleinheit der Justiz zuständig. Aus dem Bericht geht allerdings hervor, dass sich viele Bürger während der Affäre mit ihren Sorgen an die Kommission gewandt hätten. Die Datenschutzkommission habe außerdem ähnliche Behörden im Ausland kontaktiert, um in Erfahrung zu bringen, welche legale Rahmen ähnliche Justiz- und Polizeidatenbanken dort haben. Im Verlauf des Jahres 2019 traf sich die CNPD mehrmals mit der Polizei, um die Verwendung und Verwaltung des Registers zu diskutieren. Neben der Datenbanken-Affäre bei Polizei und Justiz wurde die CNPD weitere 15-mal um ihre Meinung zu Gesetzesprojekten gefragt. Auch bei dem Gesetz zur Videoüberwachung äußerte die Behörde eindringliche Kritik und sah Nachbesserungsbedarf.
Bei der Nationalen Datenschutzkommission müssen auch Datenschutzverletzungen gemeldet werden. Aus dem Jahresbericht geht hervor, dass es 2019 zu 354 solcher Zwischenfälle kam. Seit Mai 2018 seien dies 526 gewesen, also im Schnitt etwa 28 Meldungen im Monat. In der Mehrzahl der Fälle handele es sich um menschliches Versagen, etwa weil persönliche Daten an die falsche Person geschickt oder weitergegeben wurden. In 15 Prozent der Fälle wurden Datenbanken gehackt oder Daten gestohlen. Die meisten Zwischenfälle seien innerhalb von fünf Tagen bemerkt worden und betrafen in der Regel eine bis fünf Personen. Allerdings geht aus dem Bericht auch hervor, dass es rund 40 Fälle gab, bei denen die Datenschutzverletzung erst nach zwei Monaten auffiel. In etwa 60 Fällen handelte es sich außerdem um die Daten von mehr als 100 Personen.
Sie müssen angemeldet sein um kommentieren zu können