Heute hat die CNPD auf einer Pressekonferenz ihren Tätigkeitsbericht vorgestellt, der die wichtigsten Kennzahlen und Entwicklungen des Jahres 2023 zusammenfasst.
Ein halbes Jahrzehnt DSGVO
2023 jährte sich zum fünften Mal das Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO), eines Gesetzestextes, der die Aufgaben der CNPD tiefgreifend beeinflusst hat und auch jetzt noch an Relevanz gewinnt. Die nahezu allgegenwärtige Verarbeitung von - oftmals personenbezogenen - Daten veranlasst die CNPD weiterhin dazu, ihre Aufgabe als Aufsichtsbehörde, Informations- und Sensibilisierungsstelle für den Schutz personenbezogener Daten und der Privatsphäre konsequent fortzusetzen.
So veröffentlichte die CNPD im Jahr 2023 44 Stellungnahmen zu Gesetzesentwürfen, -vorschlägen oder Regulierungsmaßnahmen. Die Themen der Stellungnahmen reichten vom Register der wirtschaftlichen Eigentümer, der digitalen Mobilitätsbeobachtungsstelle und der Vermietung erschwinglicher Wohnungen, über das Jugendstrafverfahren und die Nutzung von Bodycams durch die großherzogliche Polizei bis hin zur digitalen Patientenakte.
Apropos Datenverletzungen: Die 434 Vorfälle von Datenverletzungen, die der Nationale Kommission im Jahr 2023 gemeldet wurden, umfassten unter anderem Hacking, die Weitergabe persönlicher Daten an die falsche Person sowie persönliche Daten, die an die falsche Person gesendet wurden. Die Hauptursache für Datenverletzungen war nach wie vor menschliches Versagen.
Die Beamten der CNPD setzten natürlich auch ihre Ermittlungsarbeit fort und führten 2023 21 Untersuchungen durch und analysierten 32 Fälle. Die Formation restreinte traf im vergangenen Jahr 15 Entscheidungen.
Betroffene aus allen Altersgruppen und mit unterschiedlichem Hintergrund
Heutzutage wäre es schwierig, eine Person zu finden, die nicht in irgendeiner Form von Datenverarbeitung betroffen ist. Die CNPD entwickelt kontinuierlich verschiedene Informationsmaterialien und Kommunikationskanäle, um Bildungsmöglichkeiten für möglichst viele Menschen anzubieten, unabhängig von ihrem Alter oder ihrer Erfahrung in diesem Bereich.
Die Nationale Kommission veröffentlichte 2023 unter anderem Leitlinien zum Datenschutz bei Wahlen, zum Schutz vor Ransomware, zur Geolokalisierung von Geschäftsfahrzeugen und zur künstlichen Intelligenz.
In diesem Zusammenhang beschloss die CNPD, die Schulung „Data Protection Basics“ fortzusetzen; es handelt sich hierbei um einen kostenlosen fünfstündigen Kurs, der der breiten Öffentlichkeit eine Einführung in die Schlüsselprinzipien des Schutzes personenbezogener Daten bietet. Das von der CNPD im Jahr 2023 angebotene Bildungsprogramm wurde durch Einführungskurse zum Schutz personenbezogener Daten für Beamte des öffentlichen Dienstes, Abendkurse, die in Zusammenarbeit mit der Arbeitnehmerkammer organisiert wurden, und Vorträge für Schüler des BTS „Cybersicherheit“, das vom Lycée Guillaume Kroll in Esch-sur-Alzette angeboten wurde, ergänzt.
Im Vorjahr nahm die Nationale Kommission auch an der „Matinée des experts“ teil, die in der Ecole de Commerce et de Gestion Luxembourg (ECG) veranstaltet wurde, sowie an einem Workshop mit dem Titel „Cybersicherheit in der Grundschule“, der vom Institut de formation de l'éducation nationale (IFEN) organisiert wurde, und an der zweiten Ausgabe von TN'Teens, einer Veranstaltung des Digital Learning Hub, die im Bâtiment des Terres Rouges in Esch-Belval stattfand.
Zertifiziertes Fachwissen
Die CNPD, die derzeit die einzige europäische Aufsichtsbehörde ist, die ein Zertifizierungssystem im Rahmen der DSGVO entwickelt hat, stellte ihr Fachwissen und ihre Beobachtungen zu diesem Thema bei einem Workshop vor, der von ihrem spanischen Pendant, der AEPD, in Madrid veranstaltet wurde. Im November übernahm sie dann die Rolle des Gastgebers, als sie in Luxemburg einen dreitägigen Workshop zum Thema Zertifizierung von Datenverarbeitungsvorgängen unter der DSGVO organisierte, an dem Vertreter von Datenschutzbehörden und DSGVO-Zertifizierungsfachleute aus ganz Europa teilnahmen.
Für kommende Herausforderungen gewappnet
Im Jahr 2023 hat die CNPD ihr Bestreben, Einzelpersonen und für die Verarbeitung Verantwortliche (Unternehmen, Verbände, Behörden usw.) beim Verständnis und der Umsetzung der Vorschriften zum Schutz der Privatsphäre und personenbezogener Daten anzuleiten, mit Einsatz und Professionalität verfolgt.
Die Nationale Kommission hat darüber hinaus mehrere innovative Bildungs- und Technologieinitiativen entwickelt und deren Einführung vorbereitet, wie z. B. das DAAZ-Tool („Data Protection from A to Zen“), eine E-Learning-Plattform, die bei der Einhaltung der DSGVO hilft, und Sandkëscht, eine regulatorische Sandbox, die sich der künstlichen Intelligenz widmet.
Zu ihren Aufgaben werden neue Verantwortungen hinzukommen, insbesondere im Hinblick auf den neuen Rechtsrahmen auf europäischer Ebene für die digitale Wirtschaft: das Gesetz zur Datenverwaltung (Digital Governance Act, DGA), das KI-Gesetz (Artificial Intelligence Act), das Datengesetz (Data Act, DA), das Gesetz über digitale Dienstleistungen (Digital Services Act, DSA) und das Gesetz über digitale Märkte (Digital Markets Act, DMA).
In den kommenden ereignisreichen Jahren wird die CNPD ihre Aufgaben zur Stärkung des Schutzes der Privatsphäre aller Menschen in einer sich ständig verändernden digitalen Umgebung entschlossen fortsetzen.