Die CNPD hat heute, im Rahmen einer Pressekonferenz in Esch/Belval, ihren Bericht für das Jahr 2016 vorgestellt. Die Verabschiedung der EU-Datenschutz-Grundverordnung war das bedeutendste Ereignis des Jahres 2016 und ist ein wichtiger Wendepunkt für Bürger, private Unternehmen, öffentliche Behörden und die CNPD. Ab dem 25. Mai 2018 wird dieser neue Rechtsrahmen in allen Mitgliedsstaaten der EU direkt anwendbar sein. Ziel ist es den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben und die Rechenschaftspflicht der Firmen und öffentlichen Behörden zu erhöhen.
Ein Paradigmenwechsel
Mit der neuen EU-Datenschutz-Grundverordnung müssen private und öffentliche Akteure geeignete Maßnahmen ergreifen, um jederzeit nachweisen zu können, dass ihre Verarbeitungen personenbezogener Daten in Übereinstimmung mit den Datenschutzregeln durchgeführt werden.
Vorherige Formalitäten an die CNPD werden durch den Grundsatz der Rechenschaftspflicht („Accountability“) ersetzt. Das aktuelle System der Vorabmeldungen und Vorabgenehmigungen wird fast vollständig durch nachträgliche Kontrollen ersetzt. Diese Kontrollen werden von der Datenschutzkommission durchgeführt, deren Rolle als Aufsichtsbehörde gestärkt wird.
Vorbereitung auf die neue EU-Datenschutz-Grundverordnung
Während der Übergangsphase zum neuen Rechtsrahmen ist die Sensibilisierung über die wichtigsten Änderungen, auf die sich die Bürger und Fachleute vorbereiten müssen, eine Priorität der CNPD.
Zu diesem Zweck organisierten die CNPD und der Dienst für Medien und Kommunikation (Service des médias et des communications - SMC), am 11. Oktober 2016, eine Informationskonferenz für mehr als 500 Personen bei welcher der Premierminister und Minister für Kommunikation und Medien, Xavier Bettel, anwesend war. Einen Monat später fanden sektorspezifische Informationsveranstaltungen statt. Experten aus den Bereichen der Finanzen, Gesundheit, IT und Start-ups haben während einer Woche auf die Fragen der Beteiligten geantwortet.
Im Jahr 2017 wird die CNPD ihre Informations- und Sensibilisierungsarbeit fortsetzen, indem sie weiterhin Informationsveranstaltungen anbietet und sich an Konferenzen, Seminaren und Workshops beteiligen. Die nächsten Informationsveranstaltungen finden am 18. und 19. Oktober statt. Die Nationale Kommission arbeitet auch an einer vollständigen Neugestaltung ihrer Website und an Informationsbroschüren für Fachleute und Privatpersonen.
Ein arbeitsreiches Jahr
Mit 30 Stellungnahmen zu neuen Gesetzes- und Verordnungsentwürfen trug die luxemburgische Regulierungsbehörde im vergangenen Jahr mehr zum Gesetzgebungsprozess bei als in den vorherigen Jahren. Gegenüber dem Vorjahr waren es 17 mehr. Beispiele sind die Gutachten zu Themen wie die Terrorismusbekämpfung, die transparente Verwaltung und die Wiederverwendung von Informationen des öffentlichen Sektors, der spezifische Status der Daten, die vom Geheimdienst verarbeitet werden, die persönlichen Daten der Schüler, der Austausch von Daten im Bereich der polizeilichen Zusammenarbeit, die Archivierung, sowie jenes betreffend das Einkommen für die soziale Eingliederung.
Die Beratungsarbeit der CNPD beschränkte sich jedoch nicht auf diese Gutachten. Die Nationale Kommission berät und begleitet öffentliche und private Akteure bei der Umsetzung gesetzlicher Vorgaben und äußert sich zur Rechtmäßigkeit von bestimmten Praktiken oder Datenverarbeitungen. Im vergangenen Jahr nahm die Datenschutzbehörde zu diesem Zweck an 198 Besprechungen teil und erhielt 430 schriftliche Informationsanfragen.
Über die einfache Informationsanfrage hinaus ist die CNPD auch im Rahmen der Vorabmeldungen von Datenverarbeitungen immer stärker gefragt. Im Jahr 2016 erhielt sie 1.003 Vorabmeldungen (+39% im Vergleich zum Vorjahr) und 1.449 Vorabgenehmigungen (+30% im Vergleich zum Vorjahr).
In den letzten Jahren ist die Zahl der Beschwerden relativ konstant geblieben. Im Jahr 2016 haben 185 Personen sich an die CNPD gewandt, weil sie der Ansicht waren, dass das Gesetz nicht respektiert wurde oder es eine Einschränkung in der Ausübung ihrer Rechte gab. Die meisten Beschwerden kamen aus dem Ausland. Dies steht im direkten Zusammenhang mit der Entscheidung von vielen multinationalen Unternehmen ihren europäischen Hauptsitz in Luxemburg niederzulassen. Nach dem Inkrafttreten der Reform dürfte sich dieser Trend fortsetzen. Zukünftig wird es einfacher für europäische Bürger eine grenzüberschreitende Beschwerde zu machen. Sie können sich nun direkt an ihre nationale Behörde wenden und diese wird dann die Beschwerde an die CNPD weiterleiten.
77 Beschwerden führten zu Kontrollen und Untersuchungen wegen Verdacht auf Verletzung der gesetzlichen Datenschutzbestimmungen. Diese betrafen unter anderem Unternehmen, die ihre Mitarbeiter illegal überwachten, nicht respektierte Anfragen bezüglich Zugang, Berichtigung oder Löschung von persönlichen Daten oder auch die illegale Übermittlung von persönlichen Daten an Dritte.