Seit Freitag befürchten Unternehmen Kontrollen der Datenschutzkommission. Doch der Staat selbst hinkt bei der Umsetzung der neuen Regeln hinterher. Ein „Kulturwandel“ sei nötig, sagt der oberste staatliche Datenschützer Gérard Lommel.
„Es kann nicht mehr sein, dass ein Beamter dem Kollegen in einer anderen Verwaltung anruft, um zu wissen, was bei seinem Nachbarn läuft“, bringt Gérard Lommel das Problem im Gespräch mit REPORTER auf den Punkt. Der frühere Präsident der Datenschutzkommission berät und hilft heute als „Commissaire à la Protection des Banques de Données de l’État“ Ministerien und Verwaltungen bei Datenschutzfragen.
Die seit vergangenen Freitag geltende EU-Datenschutzgrundverordnung (DSGVO) müssen nicht nur Unternehmen beachten, sondern auch der Staat. Die Regierung plant die Schaffung einer ganz neuen Verwaltung, um die Regeln umzusetzen – das „Commissariat du Gouvernement à la protection des données auprès de l’État“. Nur: Das entsprechende Gesetz wurde noch nicht vom Parlament verabschiedet, obwohl die EU-Regeln seit vergangenem Freitag anwendbar sind. „Der 25. Mai kam eben schneller als gedacht“, meint Lommel trocken. Er soll an der Spitze der neuen Verwaltung stehen.
EU-Verordnungen treten in den Mitgliedstaaten sofort in Kraft und müssen nicht wie Richtlinien erst per nationales Gesetz umgesetzt werden. Doch die DSGVO lässt in manchen Punkten den Mitgliedsstaaten Optionen offen und jedes Land muss seine Datenschutzbehörde neu aufstellen. In Luxemburg wird die Datenschutzkommission CNPD zu einer unabhängigen Einheit statt wie bisher ein Anhängsel des Staatsminsiteriums. Der Grund: Sie wird auch die Einhaltung der Regeln beim Staat kontrollieren und gegebenenfalls bestrafen.
Zahlreiche Datenlecks beim Staat
Im Oktober 2014 schuf die Regierung den Posten eines Kommissars zum Schutz der Datenbanken. Das sei eine erste Initiative zur Bewusstseinbildung in Sachen Datenschutz gewesen, heißt von der Regierung. Wohlgemerkt: Seit 2002 bestand ein Gesetz zum Datenschutz. 80 Prozent der Vorgaben der DSGVO standen bereits in diesem Text, erklärt Lommel.
Im September 2014 fand der Prozess um die sogenannte „Médicoleak“-Affäre statt. Dabei ging es um den Zugang zur Datenbank des Service médico-sportif, die medizinische Daten von fast 50.000 Sportlern enthielt. Dem Präsidenten der Piratenpartei, Sven Clement, wurde damals vorgeworfen, unbefugt auf die Datenbank zugegriffen zu haben. Der Clou: Die Login-Daten standen öffentlich sichtbar auf einem Post-it, der am Computer eines Arztes der Abteilung klebte.
Jüngeren Datums ist das Datenleck des Parlaments, die das Radio 100,7 aufdeckte. Für die Abgeordnetenkammer hat die Panne bisher keine juristischen Folgen, wie der Sender berichtete. Ein weiterer Whistleblower sagte Radio 100,7, er habe die Passwörter der Nutzer einer staatlichen Plattform einsehen können. Auch die App der Polizei hatte laut diesem Hinweisgeber eine Sicherheitslücke.
Selbst bei den hoch sensiblen medizinischen Daten zeigt sich die Regierung weiterhin nachlässig. Die Gesundheitsministerin treibt die Einführung der elektronischen Patientenakte voran, obwohl die gesetzliche Grundlage dafür alles andere als klar ist, wie REPORTER kürzlich berichtete.
Arbeitsgruppe mit 110 Beamten
Es bleibt demnach einiges zu tun. Die Deadline des 25. Mai ignorierten die meisten Verwaltungen. Die Steuerverwaltung und die Administration de l’enregistrement haben ihre Datenschutzerklärung an die DSGVO angepasst. Doch die Startseite der Regierung „gouvernement.lu“ verweist weiterhin auf das Gesetz von 2002. Das gilt auch für die Krankenkasse CNS.
Der 25. Mai kam eben schneller als gedacht.“Gérard Lommel
Der Staat sei „on track“ bei der Umsetzung, sagt Lommel. Doch wenn der Zug auf den Schienen steht, dann ist er längst noch nicht am Ziel. Im Oktober 2017 wurde eine Arbeitsgruppe mit Vertretern aller Ministerien und Verwaltungen eingesetzt, um sich auf die DSGVO vorzubereiten. Dieses Gremium umfasst 110 Mitglieder und diskutiert, wie die EU-Regeln in der Praxis befolgt werden können, erklärt Lommel. Dabei geht es um geregelte Prozesse der Datenverarbeitung und Einschätzungen über die Risiken. Staatliche Stellen müssen prüfen, ob es eine gesetzliche Grundlage gibt für die Daten, die sie erheben oder gar mit anderen Verwaltungen austauschen.
Zentrales „Privacy-Team“
Anfangs sollten die Mitglieder der Arbeitsgruppe auch die späteren Datenschutzbeauftragen ihrer jeweiligen Verwaltung werden. Das Problem: Artikel 37 der DSGVO sieht vor, dass diese Personen „spezialisierte Kenntnisse“ im Datenschutzrecht haben müssen. Doch nicht alle Verwaltungen hätten entsprechend ausgebildete Beamte in ihren Reihen, betont Lommel.
Allerdings fiel das der Regierung so erst vergangenen März auf. Da entschied der Ministerrat nämlich über einen entsprechenden Änderungsantrag. Es sei notwendiger, eine spezialisierte Struktur zu schaffen, als dass die über 100 staatlichen Stellen einen eigenen Datenschutzexperten einstellen, heißt es in der Begründung.
„Mehr als ein Dutzend“ Beamte brauche es, um diese Aufgabe als zentrales „Privacy-Team“ des Staates zu erfüllen, sagt Lommel. Aktuell umfasst seine Abteilung mit ihm gerade einmal 2,5 Vollzeitstellen.
Die offene Frage der Gemeinden
Doch das Aufgabenfeld könnte noch größer ausfallen. Aktuell wird diskutiert, ob das „Commissariat“ auch als Datenschutzbeauftragter für die Gemeinden fungieren soll. „Das wäre eine ganze Abteilung zusätzlich“, meint Lommel. Die CNPD habe vor rund einem Jahr ein Treffen mit den Schöffenräten organisiert, um sie für die Neuerungen im Datenschutz zu sensibilisieren. Manche Kommunalverwaltung sei gut aufgestellt, andere weniger gut.
Es wird allerdings noch dauern, bis der Gesetzesentwurf 7184 angenommen wird und damit die letzten Fragen geklärt sind. Am 18. Mai dieses Jahres nahm die zuständige Parlamentskommission die vorerst letzten Änderungen an. Nun muss noch der Staatsrat ein zweites Gutachten abgeben. In der letzten Version steht noch immer ganz optimistisch, dass das Gesetz am 25. Mai 2018 in Kraft tritt.
Lesen Sie mehr zu den Folgen der neuen EU-Datenschutzregeln auf REPORTER: Zwischen Panik und Frust