Am 4. September 2015 hat die CNPD ihren Bericht für das Jahr 2014 im Rahmen einer Pressekonferenz in Esch/Belval vorgestellt.
Die Gesamtaktivität der CNPD wurde wie in den Vorjahren durch ein starkes Wachstum geprägt. Im vergangenen Jahr nahm die Datenschutzbehörde eine Rekordzahl von 207 Beschwerden, 2.192 Informationsanfragen und 999 Vorabgenehmigungen für Verarbeitungen entgegen, die besondere Risiken für die Privatsphäre der Bürger aufweisen können, wie die Überwachung am Arbeitsplatz. Auf europäischer Ebene war das Jahr 2014 nicht nur durch die Arbeit an der neuen Datenschutzverordnung (für die eine Einigung Ende 2015 geplant ist) geprägt, sondern auch durch zwei Urteile des Gerichtshofs der Europäischen Union, welche einen direkten Einfluss auf die Arbeit der CNPD haben. Es handelt sich hierbei um das Urteil vom 8. April 2014 über die Vorratsdatenspeicherung und um das Urteil vom 13. Mai 2014 über das „Recht auf Vergessenwerden“ in den Online-Suchmaschinen.
Die Beratung der öffentlichen und privaten Akteure bleibt eine Priorität
Im Gesundheitsbereich hat die CNPD, in Zusammenarbeit mit der Agentur eSanté, die Sicherheits- und Datenschutzrisiken der Infrastruktur für den Austausch von Gesundheitsdaten und der nationalen Patientenakte („dossier de soins partagés“) analysiert. Ein sogenanntes „Privacy Impact Assessment“ („PIA“ oder Datenschutzfolgeabschätzung) wurde ebenfalls zusammen mit dem GIE Luxmetering vor der Einführung der intelligenten Energiezählern („smart metering“) durchgeführt. Die Arbeiten werden 2015 weitergeführt.
Mit der neuen Datenschutzverordnung werden solche Folgenabschätzungen obligatorisch bei der Einführung von Prozessen, Systemen und Produkten, die konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen. In Anbetracht des Umfangs und der Sensibilität der Daten im Gesundheitsbereich und im Bereich des smart metering, verfolgt die CNPD jetzt schon das Konzept eines „eingebauten Datenschutzes“ („Privacy by design“) auch wenn die Verordnung noch nicht in Kraft ist.
Die neue Broschüre über die Überwachung am Arbeitsplatz, die zusammen mit der Arbeitnehmerkammer (CSL - Chambre des salariés) herausgegeben wurde, ist eine zusätzliche Maßnahme der CNPD um die Datenverarbeiter über die verschiedenen Formen der Überwachung zu informieren. Ziel dieser Publikation ist es, den Lesern die Rechte und Pflichten der Arbeitnehmer und Arbeitgeber in diesem Bereich näher zu bringen.
Im Weiteren nahm die CNPD Stellung zu wichtigen Gesetzes- und Verordnungsentwürfen betreffend die Vorratsdatenspeicherung, die Organisation des staatlichen Nachrichtendienstes, die Reform des Status des Künstlers, den grenzüberschreitenden Austausch von Informationen über Verstöße im Bereich der Straßenverkehrssicherheit, die Jugend, die Einführung eines Mietzuschusses und die Einstufung von touristischen Unterkünften. Neben diesen formellen Gutachten wurde die CNPD auch von Ministerien und Behörden gebeten sich zur Rechtmäßigkeit von verschiedenen Datenverarbeitungen zu äußern.
Grenzüberschreitende Projekte
Mit seinem Urteil vom 8. April 2015 erklärte der EU-Gerichtshof die Richtlinie über die Vorratsspeicherung von Daten für ungültig: die Richtlinie sei ein besonders schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Die CNPD hat sich in einer Stellungnahme zur Vereinbarkeit der nationalen Gesetzgebung mit den Anforderungen des Urteils geäußert, insbesondere in Bezug auf die Aufbewahrungspflicht und auf den Zugriff der Behörden auf die Daten.
Die Datenschutzkommission erhielt außerdem die ersten Anfragen von Bürgern, die ihr „Recht auf Vergessenwerden“ ausüben möchten, in dem sie die Löschung von persönlichen Daten aus Ergebnislisten von Suchmaschinen beantragen. Diese Anträge sind eine direkte Konsequenz des Urteils vom 13. Mai 2014 des EU-Gerichtshofs (Google Vs Agencia Española de Protección de Datos). Wenn der Betreiber der Suchmachine sich weigert die Daten zu löschen, können die Bürger sich an die CNPD oder direkt ans zuständige Gericht wenden.
Im Jahr 2014 hat die CNPD, zusammen mit der französischen Datenschutzbehörde (CNIL), die Analyse der Nutzungsbedingungen (MSA) betreffend die europäischen Nutzer der Online-Dienstleistungen von Microsoft abgeschlossen. Diese Untersuchung verlief zufriedenstellend und führte Microsoft dazu einige Verbesserungen umzusetzen.
Die luxemburgische Kontrollbehörde begann auch mit der Überprüfung der Standardvertragsklauseln der Amazon Web Services (AWS) in Zusammenarbeit mit acht anderen zuständigen europäischen Datenschutzbehörden.
Eine erneuerte Kommission
Das Jahr 2014 wurde darüber hinaus durch personelle Änderungen im Kollegium geprägt. In der Sitzung vom 7. November 2014 hat der Regierungsrat die Ernennung von Tine A. Larsen, Thierry Lallemang und Georges Wantz als ordentliche Mitglieder bekannt gegeben. Eine der größten Herausforderungen der neuen Kommission wird es sein, die internen Verfahren zu modernisieren um bereit für ihre neuen Aufgaben zu sein, die durch die Anforderungen der digitalen Welt und die Pflichten der zukünftigen europäischen Verordnung entstanden sind.