Am Dienstag 27. Mai stellte die Nationale Kommission für den Datenschutz ihren Jahresbericht 2013 bei einer Pressekonferenz vor.
Eine Rekordzahl von 177 Beschwerden und Anträgen auf Überprüfungen von Bürgern, 26 Untersuchungen, 2054 Vorabmeldungen - darunter 833 zwecks Vorabgenehmigung, 2077 Informationsanfragen, dies sind die Kernzahlen der CNPD für das vergangene Jahr. Das Jahr 2013 zeichnet sich durch eine sehr rege Tätigkeit aus, und war allgemein geprägt durch ein deutlich vermehrtes Aufkommen von komplexen und technologischen Dossiers, deren Umfang oft über die nationalen Grenzen hinaus reichte. Anlässlich ihres 10. Geburtstags organisierte die CNPD am Anfang des Jahres in ihren neuen Räumlichkeiten eine Konferenz des Vorsitzenden des Europäischen Gerichtshof für Menschenrechte Dean Spielmann.
Eine stark wachsende Nachfrage
Die hohe Anzahl an Beschwerden (+33% im Vergleich zu 2012) und Informationsanfragen (+22%) zeigt, daß die Bürger zunehmend auf ihre Rechte auf Privatsphäre und Schutz ihrer persönlichen Daten achten. Die zahlreichen Unterredungen mit öffentlichen und privaten Akteuren spiegeln deren Bedarf wider bei der Umsetzung der gesetzlichen Vorgaben begleitet zu werden. Die wachsende Zahl der bearbeiteten Dossiers (+63%) unterstreicht die rege Aktivität der CNPD.
Die luxemburgische Datenschutzbehörde fand Beachtung bei der Regierung für ihre Anmerkungen zu Gesetzes- und Verordnungsentwürfen. Insbesondere gab die CNPD ihre Stellung zu Gesetzesvorlagen betreffend die Organisation des staatlichen Nachrichtendienstes, der „médecin-coordinateur“, die Reform des Gesetzes über den öffentlichen Dienst, die Reform des Strafvollzugs und des Gefängniswesens, der grenzüberschreitende Austausch von Informationen betreffend Verstöße im Bereich der Straßenverkehrssicherheit und das nationale Krebsregister. Neben diesen formellen Gutachten wurde die CNPD auch von Ministerien und Behörden gebeten sich zur Rechtmässigkeit von verschiedenen Datenverarbeitungen und Projekten zu äussern.
Mehrere bedeutende Projekte
Die CNPD muss sich immer häufiger mit komplexen Dossiers befassen, welche technologische Neuerungen und oft eine grenzüberschreitende Dimension aufweisen. Zusammen mit der französischen CNIL und der Artikel 29-Gruppe hat sie die Nutzungsbedingungen von Microsoft im Detail analysiert, mit besonderem Augenmerk auf Datenschutzfragen betreffend die europäischen Nutzer der Online-Dienstleistungen. Diese Untersuchung verlief zufriedenstellend und führte Microsoft dazu einige Verbesserungen umzusetzen.
Im Sommer 2013 reichten Bürger eines anderen EU-Staates bei der CNPD einen Antrag auf Untersuchung bei Skype und Microsoft Luxemburg betreffend den Zugang der NSA auf die Daten europäischer Nutzer ein. Sie überprüfte desweiteren die Organisation und den Ablauf der Datenverarbeitungen anderer internationalen Unternehmen mit Sitz in Luxemburg.
Nachdem die CNPD ihre Empfehlungen zu der großherzoglichen Verordnung betreffend die Einführung von intelligenten Energiezählern („smart metering“) ausgearbeitet hat, begleitet sie nun die Detailgestaltung der Betriebsabläufe des GIE Luxmetering mit einem „Privacy Impact Assessment“ („PIA“ oder Datenschutzfolgenabschätzung). Das PIA ist ein Werkzeug für Unternehmen, um an Hand umfangreicher Analysen mögliche Datenschutzrisiken des „smart metering“ festzustellen und Gegenmaßnahmen einzuleiten.
Auch im Gesundheitsbereich soll ein solches PIA benutzt werden um, in Zusammenarbeit zwischen CNPD und der Agentur eSanté, eine Analyse der Risiken im Bereich der Sicherheit der Infrastruktur für den Austausch von Gesundheitsdaten und der Online-Betriebsplattform für die nationale Patientenakte („Dossier de Soins Partagé“) durchzuführen.
In ihrer Stellungnahme zum Gesetzesprojekt Nr. 6566 über den grenzüberschreitenden Austausch von Informationen betreffend Verstöße im Bereich der Straßenverkehrssicherheit hat die CNPD die Regierung auf die mangelnde Sichtbarkeit und die Notwendigkeit von Nachbesserungen in der Gesetzgebung in Bezug auf den Datenschutz im Bereich der polizeilichen Tätigkeit und der internationalen justiziellen Zusammenarbeit aufmerksam gemacht. Das Fehlen eines gesonderten Rechtstextes zur Umsetzung des Rahmenbeschlusses vom 27. November 2008 (2008/977/JI) und die Aufsplitterung der Datenschutzbestimmungen in 20 verschiedene Texte, tragen nicht dazu bei, die effektive Ausübung der Rechte der Betroffenen in diesem Bereich zu erleichtern.
Förderung einer Datenschutzkultur in den Unternehmen
Die Gründung Ende 2013 einer luxemburgischen Datenschutz-Vereinigung wird von der CNPD als bedeutender Schritt auf dem Weg zu einer verstärkten Datenschutzkultur in den Unternehmen, privaten Organisationen und öffentlichen Einrichtungen gesehen.
Eine Schlüsselrolle wird in Zukunft den Managern und Juristen, „compliance officers“, IT-Spezialisten sowie deren Unternehmensberater und Anwälten in den Unternehmen zukommen. Wie die Datenschutzbeauftragten spielen diese sachkundigen betrieblichen Experten eine wichtige Rolle bei deren Vorbereitung auf die Erfordernisse der zukünftigen EU-Gesetzgebung. Der Ausbau der Beziehungen mit der Zivilgesellschaft (ULC, Gewerkschaften, Medien, Nichtregierungsorganisationen) wird außerdem dazu beitragen den kritischen Umgang der Verbraucher mit persönlichen Daten zu fördern.
In Erwartung des neuen europäischen Rechtsrahmens
Das EU-Datenschutzrecht wird seit Januar 2012 reformiert. Ziel ist es, die Wirksamkeit des aktuellen Rechtsrahmens im Zeitalter der Globalisierung, der digitalen Vernetzung, des Big Data und des Internet der Dinge zu verbessern. Die Europäische Kommission zielt auf eine Stärkung der individuellen Rechte, auf eine höhere Verantwortlichkeit von privaten und öffentlichen Akteuren, welche Daten sammeln, speichern, benutzen und gegebenenfalls an Dritte übermitteln, und auf eine Stärkung der Befugnisse der Kontrollbehörden ab.
Von der CNPD wird dabei zu Recht erwartet, die verschiedenen Akteure in diesem schwierigen Prozess zu orientieren, zu beraten und zu unterstützen. Aus diesem Grund bereitet unsere Behörde sich in den kommenden Monaten darauf vor, den Datenverarbeitern verstärkt mit Anleitungen zur Seite zu stehen, aber auch ihre Kontrollfunktion auszubauen.