Vor einem Jahr hielt die Datenbank-Affäre die Politik in Atem. Nun liegt REPORTER der Bericht der « Autorité de contrôle judiciaire » vor, der viele Punkte der damaligen Kritik bestätigt. Die Kontrolleure fordern Nachbesserungen und einen präziseren gesetzlichen Rahmen.

« Überflüssige und unhaltbare pauschale Beschuldigungen gegenüber Polizei und Justiz sind für uns nicht hinnehmbar », schrieben der damalige Justizminister Felix Braz und der Minister für innere Sicherheit François Bausch Ende Juni 2019. Die beiden grünen Minister reagierten damit auf die Debatte um « vermeintliche geheime Dossiers » bei Justiz und Polizei. Eine Allianz zwischen einer kampfeslustigen CSV-Fraktion, Gaston Vogel, Guy Kaiser und RTL hielt die Diskussionen über die Datenbanken während Monaten am Siedepunkt.

Trotz der bizarren Betitelung als « Casier bis »-Affäre war schnell klar, dass durchaus Probleme in der Datenschutzpraxis bestanden. Fehlende gesetzliche Bestimmungen, ungeklärte Nutzung der Daten und mangelhafte Kontrolle, wer sich die Daten anschaut – all das bestätigt der Bericht der « Autorité de contrôle judiciaire », der REPORTER exklusiv vorliegt. Doch es werden auch bisher unbekannte Probleme aufgedeckt. So hatten externe Systemadministratoren Zugriff auf sensible Daten.

Der Bericht behandelt ausschließlich die sogenannte « Jucha »-Datenbank, die Details über Strafprozesse, Jugendschutz und Vormundschaften enthält. Es geht um sehr heikle Informationen über Verdächtige, Opfer von Verbrechen und Zeugen. Der Umfang ist gewaltig: Allein über Privatpersonen gibt es 666.000 Datensätze. Es ist allerdings nur die größte von insgesamt 74 Datenbanken der Justiz.

CNPD sieht sich bestätigt

Das Kontrollgremium legte den Bericht Ende Juli dem Parlament und der Regierung vor. Der « Autorité » gehören insgesamt zwölf Mitglieder an, davon sind zehn Vertreter der unterschiedlichen Zweige der Justiz. Doch für den Bericht erklärten sich die Vertreter der Generalstaatanwaltschaft sowie der beiden Staatswaltschaften Luxemburg und Diekirch für befangen. Die Arbeit übernahmen in einer ersten Phase die beiden Vertreter der « Commission nationale pour la protection des données » (CNPD) mit einem Vorbericht. Das nun vorliegende Dokument soll die Grundlage für einen Gesetzesentwurf bilden, den Justizministerin Sam Tanson (Déi Gréng) aktuell ausarbeiten lässt.

Mehrere Punkte des Berichts hatten die Datenschützer bereits früher kritisiert. 2018 mahnte die CNPD, dass das damals diskutierte Gesetz über den Datenschutz nicht ausreiche. Der jetzige Bericht liest sich deshalb wie ein Remake mit dem Titel « We told you so ».

Das Problem: Das Gesetz vom 1. August 2018 zum Datenschutz in Strafsachen und bezüglich nationaler Sicherheit ist sehr allgemein gehalten und lässt Polizei und Justiz viel Spielraum, wie sie ihre Datenbanken regeln. Dadurch könnten die Bürger aber nicht nachvollziehen, wie ihre Daten genutzt werden, betont die « Autorité ». Dazu zählt etwa, wie lange die Justiz Daten über einen Verdächtigen speichert. Hier sehen die Autoren einen Fehler bei der Umsetzung der entsprechenden EU-Richtlinie. Die Fristen, nach deren Ablauf Daten gelöscht werden, hätten im Gesetz festgehalten werden müssen – was aber nicht passierte.

Das zeigte beispielhaft der Fall eines Juristen, der zum Auslöser der Datenbank-Debatte wurde. Die Staatsanwaltschaft konfrontierte ihn bei einem Einstellungsgespräch in der Justizbehörde mit Vorwürfen, die acht Jahre zurücklagen und ohne Folgen blieben. Er wusste weder, woher diese Informationen stammten, noch warum die Behörden diese nicht bereits längst gelöscht hatten.

Der Grauzone der « honorabilité »

Der Haken: Die Jucha-Datenbank wird eben nicht nur für Prozesse und Ermittlungen genutzt. Staatsanwälte nutzen die enthaltenen Informationen ebenfalls um die Ehrbarkeit (« honorabilité ») von Personen zu beurteilen. Eine solche Prozedur sehen etwa die Gesetze zu privatem Sicherheitspersonal und zu den « attaché de justice » vor. Auch im Statut der Staatsbeamten sei bis vor Kurzem eine solche Überprüfung vorgesehen gewesen, merken die Datenschützer an.

Die Protokolle werden im Verdachtsfall von illegitimen Zugriffen geprüft, etwa wenn in der Presse geheime Informationen aufgedeckt werden. »Bericht der « Autorité de contrôle judiciaire »

Doch es fehle an klaren Richtlinien, was eine Person « ehrbar » macht und was nicht. Zudem sei unklar, wie weit in die Vergangenheit eine solche Überprüfung reichen solle. Problematisch sei, dass es sich dabei um eine Auswertung von Daten handele, die zu anderen Zwecken gesammelt worden seien. Das ist im Datenschutz eigentlich ein No-Go. Der Bericht der « Autorité de contrôle » empfiehlt deshalb, in einem Gesetz zu klären, welche Daten für solche Prozeduren verwendet werden dürften, um die Notwendigkeit und Angemessenheit zu wahren. Die Justizministerin sagte dem « Le Quotidien » im Februar, dass ihre Beamten die Gesetze zur « honorabilité » bereits prüften.

Fehlende Kontrolle der Zugriffe

Die Autoren hebt hervor, dass die Zugänge zur Jucha-Datenbank gut geregelt seien. Jeder habe nur Zugriff auf die Informationen, die er für seine Arbeit benötige. Der Teil der Datenbank, der den Jugendschutz betrifft, ist beispielsweise abgetrennt von den anderen Bereichen. Dennoch sind Missbräuche möglich, wenn jemand auf ein Dossier zugreift, an dem er nicht arbeitet. Und hier fehlt es an Kontrollen.

« Es gibt keine systematischen Kontrollen, aber die Protokolle werden im Verdachtsfall von illegitimen Zugriffen geprüft, etwa wenn in der Presse geheime Informationen aufgedeckt werden », steht im Bericht. Konkret bedeutet das, dass ein Mitarbeiter der Justiz wenig riskiert, wenn er unerlaubt auf Informationen aus der Jucha-Datenbank zugreift. Außer, er gibt sie an Journalisten weiter.

Um das Risiko der Entdeckung zu erhöhen, empfiehlt die « Autorité », dass automatische Alarme eingerichtet werden, die ungewöhnliche Aktivitäten melden und dann ermöglichen die « Log-Dateien » zu prüfen. Außerdem müssten diese Protokolldateien regelmäßig gesichtet werden und nicht nur im Verdachtsfall. Das gelte besonders für die « archivierten » Daten, betont der Bericht. Die Kontrolle wird erschwert, weil aktuell das Motiv des Zugriffs nicht genau beschrieben werden muss.

Externe Dienstleister konnten Daten einsehen

Die Gefahr von « Leaks » sensibler Daten liegt aber nicht nur bei Richtern, Staatsanwälten und ihren Mitarbeitern. Im Fokus der Datenschützer stehen vor allem die Systemadministratoren, die die Jucha-Datenbank warten und neue Funktionen entwickeln. Die IT-Abteilung der Justiz, das « Centre des technologies de l’information de l’Etat », aber auch ein privates Dienstleistungsunternehmen hätten dabei Zugriff auf echte Daten über Strafprozesse, warnt das Kontrollgremium.

Der Bericht widerspricht hier ausdrücklich einer Einschätzung der Generalstaatsanwaltschaft. Der Zugriff der IT-Verwalter sei nicht ausreichend eingegrenzt oder kontrolliert. Hier wurde allerdings im März nachgebessert: Die Justiz sperrte den Zugang eines Mitarbeiters eines privaten Unternehmens. Der Bericht liefert allerdings keine Anhaltspunkte, ob es zu Missbräuchen durch IT-Personal kam.

Es braucht neue Gesetze

Aus dem Bericht geht hervor, dass die Datenbank-Affäre zu einem Umdenken in Sachen Datenschutz führte. Eine neue Version der Datenbank erlaubt eine bessere Kontrolle, wer Zugang zu welchen Informationen hat. Eine weitere Überprüfung der Zugänge sei derzeit im Gange, so die Autoren.

Die « Autorité de contrôle judiciaire » empfiehlt aber auch ein neues Gesetz. Der Text müsse klar regeln, zu welchem Zweck Daten verarbeitet werden, für welche Dauer sie gespeichert und zugänglich sind, wer Zugang hat und wie dieser Zugriff kontrolliert werden kann.

Die Arbeit wird dann nicht aufhören, denn die Justiz soll als Ganzes digital werden. Und bei diesem sehr umfangreichen Projekt « e-justice » wird es sicher nicht die letzte Datenschutzdebatte gewesen sein.

Update: In einer ersten Version stand, dass alle Vertreter der Justiz sich innerhalb der « Autorité de contrôle judicaire » für befangen erklärt hätten. Es waren aber lediglich die Vertreter der Generalstaatsanwaltschaft und der beiden Staatsanwaltschaften Luxemburg und Diekirch.