CNPDDie Aufgaben und die Arbeit für Luxemburgs Datenschützer nehmen weiter zu

Vor gut sechs Jahren, genauer am 25. Mai 2018, begann in der Europäischen Union eine neue Zeitenwende im noch jungen digitalen Zeitalter. Es hatte den wenig klangvollen Namen DSGVO. Das Abkürzungsungetüm glich der Fortsetzung des Songs „MFG“ von den Fantastischen Vier, war aber ein echter Meilenstein im Datenschutz und steht bis heute für die sogenannte Datenschutzgrundverordnung. Verpackt in Paragrafen, brachte die DSGVO mehr Schutz privater Informationen.

„Während Verbraucher- und Datenschützer jubeln, ächzen viele Unternehmen“, schrieb damals die Berliner Tageszeitung taz. Den Datendieben sollte es an den Kragen gehen, und die Firmen begannen sich vor hohen Bußgeldern zu fürchten. Sündern drohten nun Strafen von bis zu vier Prozent des Jahresumsatzes. Unternehmen – auch etwa außereuropäische, die in der EU tätig sind – klagten über Rechtsunsicherheit. Doch die Europäer hatten mit dem neuen Bollwerk deutlich mehr Rechte im Netz. Die alten Regeln stammten noch aus dem analogen Zeitalter. Nutzer konnten zum Beispiel von nun an Werbung blockieren, die ihnen vorher automatisch zugeschickt worden war.

Zusammen mit der EU-Richtlinie von 2016 für den Datenschutz in den Bereichen Polizei und Justiz bildete die DSGVO einen Datenschutzrahmen in der EU und wurde auch in einigen anderen Staaten geltendes Recht, das besagte, dass die Unternehmen strengere Regeln einhalten mussten, um personenbezogene Daten zu schützen, während die Nutzer mehr Rechte und Auskünfte über ihre Daten erhielten. Sie konnten nun auch verlangen, ihre Daten zu löschen.

Wie sich die DSGVO auf den Datenschutz in Luxemburg und insbesondere auf die Arbeit der „Commission nationale pour la protection des données“ (CNPD) ausgewirkt hat, darauf ging am Donnerstagvormittag deren Präsidentin Tine A. Larsen bei der Vorstellung des CNPD-Tätigkeitsberichts 2023 ausführlich ein. Die nationale, aber weisungsunabhängige Aufsichtsbehörde begreift sich in ihrem Selbstverständnis auch als Informations-, Kommunikations- und Sensibilisierungsstelle für den Schutz personenbezogener Daten und der Privatsphäre. Eine Hauptaufgabe ist nicht zuletzt, den von der Verletzung des Datenschutzes Betroffenen zu helfen. Die DSGVO habe die Aufgaben der CNPD „tiefgreifend beeinflusst“. Heute sei es schwierig, so Larsen, „eine Person zu finden, die nicht in irgendeiner Form von Datenverarbeitung betroffen ist“. Immer mehr spielten Cyberkriminalität, Cybermobbing und Internetbetrug eine Rolle.

Allein im Jahr 2023 hat die Behörde 44 Stellungnahmen zu Gesetzentwürfen und -vorschlägen sowie Regulierungsmaßnahmen veröffentlicht: Diese reichen vom Register der wirtschaftlichen Eigentümer, der digitalen Mobilitätsbeobachtungsstelle und der Vermietung erschwinglicher Wohnungen über das Jugendstrafverfahren und die Nutzung von Bodycams durch die Großherzogliche Polizei bis hin zur digitalen Patientenakte. Im Superwahljahr 2023 veröffentlichte die CNPD außerdem Leitlinien zum Datenschutz bei Wahlen, aber auch zum Schutz von Ransomware und zur Geolokalisierung von Geschäftsfahrzeugen. Aber auch die Künstliche Intelligenz spielte eine Rolle, wofür Leitlinien aufgestellt wurden.

Mit der Schulung „Data Protection Basics“ bietet die CNPD einen kostenlosen fünfstündigen Kurs, um die breite Öffentlichkeit in die Prinzipien des Schutzes personenbezogener Daten einzuführen. Ebenso gibt es Abendkurse in Zusammenarbeit mit der „Chambre des salariés“ (CSL) und Vorträge für Schüler des BTS „Cybersicherheit“. Nicht zuletzt ist die CNPD zurzeit die einzige europäische Aufsichtsbehörde, die ein Zertifizierungssystem im Rahmen der DSGVO entwickelt hat. Die Behörde stellte etwa ihr Fachwissen und ihre Beobachtungen dazu bei einem Workshop vor, die ihr spanisches Pendant, die seit 1994 bestehende Agencia Española de Protección de Datos (AEPD), in Madrid veranstaltet hatte. Schließlich schlüpfte die CNPD im vergangenen November in die Rolle des Gastgebers mit einem dreitägigen Workshop über die Zertifizierung von Datenverarbeitungsvorgängen, an dem Datenschutz-Experten aus ganz Europa teilnahmen.

Insgesamt verzeichnete die CNPD im vergangenen Jahr 691 schriftliche Anfragen, was eine Zunahme um 102 im Vergleich zu 2022 bedeutet. Dabei betreffen diese Anfragen hauptsächlich die Themen „Überwachung am Arbeitsplatz“ und die Rechte der betroffenen Personen, zum Beispiel das Recht auf Zugang und jenes auf Löschung.

Auch die Zahl der Beschwerden hat mit 592 deutlich (um 110) zugenommen. 84 Prozent (499) davon betrafen inländische Vorgänge, 93 gingen über das elektronische Internal Market Information System (IMI) ein. Hauptgründe waren dabei, dass die Vertraulichkeit von Daten nicht gewahrt wurde (28 Prozent), die Daten nicht rechtmäßig verarbeitet wurden (19 Prozent) oder das Zugangsrecht nicht eingehalten wurde (17 Prozent).

Insgesamt gingen 434 Meldungen von Datenverletzung ein – im Jahr zuvor waren es noch 354 gewesen. Die Hauptursache hierbei war menschliches Versagen (61 Prozent): so zum Beispiel, wenn persönliche Daten an einen falschen Empfänger geschickt wurden (23 Prozent), 19 Prozent waren Fälle von Piraterie und Hacking. Sogenannte Datenlecks waren kürzlich beim „Institut luxembourgeois de régulation“ (ILR) bekannt geworden, etwa 10.000 Personen waren davon betroffen.

Insgesamt analysierte die Datenschutzbehörde 32 Fälle, von denen 21 zu einer Untersuchungsmaßnahme führten. Übrigens kann die Datenschutzbehörde bei wiederholten Datenschutzverletzungen Strafen auferlegen. 2023 belief sich die Höhe der Geldstrafen auf insgesamt 6.500 Euro. International bekannt wurde vor etwa drei Jahren der Fall von Amazon: Der Onlinehändler soll durch sogenanntes Online-Targeting bzw. personalisierte Werbung gegen die Verordnung verstoßen haben. Die CNPD forderte in diesem Fall 746 Millionen Euro von Amazon, die Strafe wäre eine der höchsten in der Geschichte der DSGVO. Letzterer legte Berufung ein und wehrt sich weiter gegen die Strafe. Die Entscheidung des Verwaltungsgerichts steht noch aus.

Angesichts der kontinuierlich gestiegenen Anfragen, Beschwerden und Gutachten verwundert es nicht, dass auch der Personalbedarf der in Beles angesiedelten Behörde zugenommen hat. Die Zahl der Beschäftigten ist seit 2016 von 19 auf 65 (2023) gestiegen. Neue Aufgaben werden hinzukommen, vor allem in Hinblick auf den Rechtsrahmen auf europäischer Ebene für die digitale Wirtschaft. Wie auch Tine A. Larsen betonte, werde sich ihre Behörde weiter zur Stärkung des Schutzes der Privatsphäre aller Menschen einsetzen – und dies in einer sich ständig verändernden digitalen Umgebung.