Die CNPD ebnet den Weg für die DSGVO-Zertifizierung, engagiert sich auf europäischer Ebene und bereitet sich auf das „Digital Package“ vor

03/10/2023

Heute hat die CNPD auf einer Pressekonferenz ihren Tätigkeitsbericht vorgestellt, in dem die wichtigsten Kennzahlen und Entwicklungen des Jahres 2022 zusammengefasst werden.

2 Jahrzehnte Kontrolle, Beratung und Wachstum

Am 1. Dezember 2022 feierte die CNPD ihr 20-jähriges Bestehen, ihre Geschichte, ihre Leistungen und ihre Agenten auf einer Veranstaltung, an der zahlreiche Gäste teilnahmen, darunter der Premierminister und Minister für Kommunikation und Medien, Herr Xavier Bettel, Innenministerin und Ministerin für Gleichstellung von Frauen und Männern, Frau Taina Bofferding und die Vorsitzende des Europäischen Datenschutzausschusses (European Data Protection Board, EDPB), Dr. Andrea Jelinek. Unter Hinweis auf die Geschwindigkeit des technologischen Wandels in einer zunehmend digitalen Gesellschaft versicherte Frau Tine A. Larsen, Vorsitzende der CNPD, dass die Nationale Kommission ihre Kernaufgabe nicht aus den Augen verlieren werde: „Solange die CNPD besteht, werden wir Ihr Grundrecht auf Privatsphäre schützen“. Eine Aussage, die von Herrn Bettel übernommen wurde: „Die CNPD ist die Hüterin eines unserer grundlegendsten Rechte: des Schutzes unserer Privatsphäre“. Die Feier bot die Gelegenheit, auf die Schlüsselmomente der Kommission zurückzublicken.

Ende der Pandemie, Zertifizierung im Vordergrund

Wie im Jahr 2021 erhielt die CNPD Anfang 2022 noch eine beträchtliche Anzahl von Fragen zu der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bewältigung der COVID-19-Pandemie, insbesondere über den „CovidCheck“ und seiner Anwendung am Arbeitsplatz.

Als sich das Ende der Pandemie näherte, kündigte die CNPD am 13. Mai 2022 einen wichtigen Meilenstein in ihrer Geschichte an: die Einführung von „GDPR-CARPA“, dem ersten Zertifizierungsschema unter der DSGVO auf nationaler und europäischer Ebene. GDPR-CARPA ermöglicht es Unternehmen, Verwaltungen und anderen in Luxemburg ansässigen Organisationen nachzuweisen, dass ihre Verarbeitungsvorgänge die DSGVO einhalten. Die erste Zertifizierungsstelle, der es erlaubt wurde, die GDPR-CARPA-Zertifizierung auszustellen, wurde im Oktober 2022 von der CNPD zugelassen, gefolgt von zwei weiteren anerkannten Organisationen im Jahr 2023.

Im Jahr 2022 war die CNPD des Weiteren die zuständige Aufsichtsbehörde für das erste europäische Datenschutzsiegel, das durch den Europäischen Datenschutzausschuss (EDPB) genehmigt wurde. Die Zertifizierung nach dem Datenschutzsiegel hat in allen EU-Mitgliedstaaten Gültigkeit. Es ermöglicht Verantwortlichen und Verarbeitern in verschiedenen Ländern, das gleiche Maß an Konformität für ähnliche Datenverarbeitungsvorgänge zu erreichen.

Wissens- und Erfahrungsaustausch

Im vergangenen Jahr wurde die Nationale Kommission von vielen öffentlichen Akteuren, Unternehmen und Einzelpersonen kontaktiert, die Fragen zum Datenschutz und zum Schutz der Privatsphäre hatten. 

Im Jahr 2022 gab die CNPD 32 Stellungnahmen zu Gesetzes- und Verordnungsentwürfen ab, unter anderen zu Themen wie dem Schutz von Whistleblowern, erschwinglichem Wohnraum und dem staatlichen Nachrichtendienst. Sie erhielt 354 Meldungen über Datenschutzverletzungen (die Hauptursache war menschliches Versagen) und 482 Beschwerden, die vor allem die Verletzung der Datenschutzrechte der betroffenen Personen betrafen. Von den 589 schriftlichen Anfragen, die die CNPD im Jahr 2022 erhielt, betrafen die meisten die COVID-19-Pandemie, die Überwachung am Arbeitsplatz und die Ausübung der Rechte der betroffenen Personen.

Die Nationale Kommission hat auch verschiedene Maßnahmen im Bereich der Sensibilisierung ergriffen, darunter insbesondere die Entwicklung von Schulungen, die Teilnahme an Konferenzen und Workshops und die Veröffentlichung von Informationsmaterialien wie z.B. den Richtlinien für Cookies und andere Tracker. 

Zusammenarbeit auf europäischer Ebene

Im April 2022 nahm die CNPD an einem hochrangigen Treffen des EDPB in Wien teil. Ziel des Treffens war es, Möglichkeiten für eine engere Zusammenarbeit der Datenschutzbehörden bei strategischen Dossiers zu erörtern, sich auszutauschen und das Spektrum der angewandten Methoden der Zusammenarbeit zu diversifizieren. Seit diesem Treffen wurden mehrere Maßnahmen ergriffen, die zu einer besseren Zusammenarbeit zwischen den europäischen Datenschutzbehörden beitragen.

Abgesehen von der Teilnahme an dieser Sitzung, nahm die CNPD 2022 an Sitzungen der Vollversammlung des EDPB teil sowie an Treffen von 11 thematischen Arbeitsgruppen und 3 Task-Forces, die für spezifische Aufgaben des Ausschusses eingerichtet wurden. Darüber hinaus spielte die Nationale Kommission weiterhin eine führende Rolle bei den Fortschritten der Arbeit des EDPB im Bereich der Zertifizierung, insbesondere als Berichterstatter für Richtlinien oder bei der Veröffentlichung von förmlichen Stellungnahmen zu diesem neuen Thema.

Zukunftsaussichten

Heute mehr denn je wird das Thema Datenschutz regelmäßig in den nationalen und internationalen Medien behandelt. Cyberangriffe in Verbindung mit dem Diebstahl von persönlichen Daten im großen Maßstab treten immer häufiger auf, Technologie- und Social-Media-Giganten werden Geldstrafen in Millionen-Höhe für Datenschutzverletzungen auferlegt und Chatbots, die künstliche Intelligenz verwenden, sorgen für Kontroversen.

Die CNPD bereitet sich darauf vor, ihre Rolle als Regulierungsbehörde anzupassen, insbesondere im Hinblick auf den neuen Rechtsrahmen auf europäischer Ebene, der sich auf die digitale Wirtschaft in ihren verschiedenen Aspekten bezieht. Der Digital Governance Act (DGA) ist für die CNPD von besonderer Bedeutung und zielt darauf ab, den Datenaustausch durch die Einrichtung von Vermittlungsstrukturen zu fördern, und der Artificial Intelligence Act (oder AI Act) legt klare Regeln und Pflichten für KI-Systeme in Bezug auf Transparenz, Data Governance und Grundrechte fest. Das Legislativpaket umfasst auch das Datengesetz (Data Act, DA), das Gesetz über digitale Dienste (Digital Services Act, DSA) und das Gesetz über digitale Märkte (Digital Markets Act, DMA). Ziel des DA ist es, eine bessere Verteilung des Wertes aus der Nutzung der Daten zu gewährleisten, insbesondere im Zusammenhang mit der Nutzung vernetzter Objekte, während DSA und DMA die wirtschaftliche Dominanz großer Plattformen und die Online-Verbreitung illegaler Inhalte und Produkte begrenzen wollen. In Anbetracht der bevorstehenden Veränderungen wird die Nationale Kommission ihr Personal und ihre Kompetenzen entsprechend den bevorstehenden technologischen und legislativen Entwicklungen weiter ausbauen und die Zusammenarbeit mit anderen Regulierungsbehörden ausweiten.

Eines ist sicher: Fünf Jahre nach dem Inkrafttreten der DSGVO ist der Schutz personenbezogener Daten nach wie vor ein sehr aktuelles Thema von wachsendem Interesse.