2018 gab es einen Paradigmenwechsel: private und öffentliche Akteure werden beim Datenschutz mehr in die Pflicht genommen. Foto: Gerry Huberty
Am Mittwoch stellte die Nationale Datenschutzkommission CNPD den Jahresbericht 2018 vor und ging auf ihr Gutachten zum „fichier central“ der Polizei ein.
Natürlich brannten die Fragen zum „fichier central“ der Polizei den Pressevertretern unter den Nägeln, als Tine Larsen, die Präsidentin der Nationalen Datenschutzkommission CNPD (Commission Nationale pour la protection des données) am Mittwoch den Jahresbericht 2018 vorstellte. Zu erfahren war, dass die CNPD am Montag ihr Gutachten dazu dem zuständigen Minister für innere Sicherheit, François Bausch (Déi Gréng) übergab und es ab Mittwoch online auf der Webseite der CNPD einsehbar ist.
„Es läuft keine offizielle Enquete gegen die Polizei, es wurde ein Gutachten verfasst“, unterstrich Larsen. Es ging um die Frage, wie die zentrale Datenbank mit dem Datenschutzgesetz vom Mai 2018 vereinbar ist. Die Schlussfolgerungen sind klar: Die zentrale Datenbank hat eine legale Basis und zwar mit dem Datenschutzgesetz vom 1. August 2018 und mit dem Polizeigesetz vom Juli 2018.
Maßnahmen zur Umsetzung fehlen
Das Datenschutzgesetz überträgt der Polizei und auch der Justiz aber auch die Verantwortung, den Datenschutz korrekt umzusetzen. Dazu müssen technische und organisartorische Maßnahmen ergriffen werden, damit die Rechte und Freiheiten der Betroffenen garantiert bleiben. „Wir haben festgestellt, dass die Polizei im Moment keine komplette Konformität zu diesen Bestimmungen aufweist und haben die Autoritäten aufgerufen, die spezifische Gesetzgebung zu präzisieren.“
Tine Larsen stellt fest, dass das Bewusstsein der Bürger für Datenschutz gestiegen ist. Foto: Gerry Huberty
Die Datenverantwortlichen müssten genauere Regeln erhalten, damit sie wissen, an was sie sich zu halten haben. Es müsste spezifisch der Zweck dieser Kartei – und auch anderer internere Karteien – genau festgelegt werden. „Das muss entweder im Gesetz oder in großherzoglichen Ausführungsbestimmungen geregelt werden und weil das nicht über Nacht geschrieben werden kann, appellieren wir an die Polizei, sich konform zu setzen und so schnell wie möglich eine komplette Dokumantation der Karteien zu erstellen„, sagte Larsen.
Zu oft ohne Grund in die Kartei geschaut
Grundsätzlich habe man festgestellt, dass der Zugang nicht unbedingt illegal war, aber dass die Zahl der Zugriffe in keinem Verhältnis steht zu der Zahl, wie oft die Zugriffe auf die Karteien tatsächlich vonnöten waren. Mit anderen Worten: Es wurde zu oft auch ohne Grund in die zentrale Datenbank geschaut. Das müsste die Polizei überdenken, verlangt Larsen und forderte auch, dass die Möglichkeit eingerichtet wird, korrekt zu verifizieren, wer genau, warum auf welche Daten zugegriffen hat.
Es müssten auch die Fristen überdacht werden, wie lange die Daten behalten werden – sowohl die der aktuellen Datenbank als auch die der Archive. Die Polizei könne das nicht ohne Zustimmung der Staatsanwaltschaft machen, denn die beiden arbeiteten eng zusammen. Larsen rief auch die Autoritäten dazu auf, der Polizei die nötigen Mittel zu geben. Und schlussendlich forderte sie, dass spezifische Datenschutz-Garantien für verletzliche Personen, wie Kinder gesetzlich festgeschrieben werden.
Nicht alle Polizeikarteien sind im Register erfasst
Die oberste Datenhüterin betonte, dass es schwer sei, solche Karteien zu verbieten. „Die Polizei braucht sie, um die Sicherheit garantieren zu können.“ Um nun konstruktiv weiter zu kommen, hat die CNPD der Polizei vorgeschlagen, ein ad hoc-Komitee einzusetzen und sich beratend einzubringen. In den nächsten zwei Wochen wird bereits die erste Sitzung sein, die von einem der vier CNPD-Kommissare, Christophe Buschmann als „chef de projet“ geleitet wird.
Wie viele Karteien die Polizei noch hat, müsste eigentlich in ihrem Register aufgeführt sein – das ist aber nicht komplett.Christophe Buschmann
Auf die Anzahl der Polizei-„fichiers“ angesprochen, sagte Buschmann: „Unsere Arbeit war es, uns auf die zentrale Datenbank zu konzentrieren. Wie viele Karteien die Polizei noch hat, müsste eigentlich in ihrem Register – einer Art Inventar – aufgeführt sein. Das ist aber nicht komplett. Es muss also nun zunächst diese Dokumentationsarbeit geleistet werden, alles autorisiert werden und dann die Gesetzgebung entsprechend angepasst werden.“
Datenschutzkommissariat unter Premier Bettels Ägide
Die Datenschutzreform beruht darauf, dass private und öffentliche Akteure stärker in die Pflicht genommen werden. Sie müssen Datenschutzbeauftragte nennen, um den sorgsamen Umgang mit den ihnen zur Verfügung stehenden Daten zu gewährleisten. Auch der Staat hat sich ein ganzes Regierungskommissariat gegeben, das dem Staatsminister untersteht und das die Umsetzung des Datenschutzgesetzes hätte begleiten müssen. Nur: Wo war und ist es? In der Schusslinie standen bislang nur der Justiz- und der Polizeiminister.
Für die CNPD bedeutete das Datenschutzgesetz insofern denn auch einen Paradigmenwechsel: Sie erteilt nun nicht mehr vorab Genehmigungen für die Datenverarbeitung, sondern berät Bürger und führt ad hoc Kontrollen durch. Dem Staat gegenüber bleiben ihre Möglichkeiten bei Verstößen aber gering – der Staatsrat hat dafür gesorgt, dass Geldstrafen gegen eine staatliche oder kommunale Behörde explizit nicht möglich sind. Bei privaten Foirmen können sie bis zu vier Prozent des Jahresumsatzes betragen.
Rekordzahl an Anfragen und Beschwerden
„Außer uns aufzuregen oder anzumahnen können wir im Gegensatz zu den Kommissionen in anderen Ländern nicht“, beklagte Larsen am Mittwoch. Dafür begrüßte sie ausdrücklich, dass das neue Gesetz zu einem gesteigerten Bewusstsein bei den Bürgern geführt hat. Mit 1 112 schiftlichen Informationsanfragen gingen mehr als doppelt so viele ein wie 2017 (528) – genau wie die 450 Beschwerden, dass das Gesetz nicht eingehalten wurde, deutlich mehr als die 200 Fälle aus dem Vorjahr waren.
Die CNPD hat 2018 auch 25 Auditverfahren eröffnet, um zu prüfen, ob die Regeln zu den Datenschutzbeauftragten eingehalten wurden und zwölf Untersuchungen vor Ort in den Bereichen Videoüberwachung, Geolokalisierung und Werbung durchgeführt. 172 Fälle von Datenschutzverletzungen wurden ihr gemeldet im Rahmen der Pflicht für private und öffentliche Träger, solche Vorfälle binnen 72 Stunden anzuzeigen. Meist war menschliches Versagen im Spiel, wie irrtümlich an die falsche Person geschickte Emails.