Im Rahmen einer Pressekonferenz in Esch/Belval hat die CNPD heute ihren Bericht für das Jahr 2018 vorgestellt.
2018: Neue Datenschutzregeln
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung[1] oder „DSGVO“ anwendbar. Mit dieser neuen Verordnung wurde ein harmonisierter Rechtsrahmen innerhalb der Europäischen Union geschaffen. Auf nationaler Ebene wird die DSGVO durch ein neues Gesetz über die Organisation der CNPD sowie ein Gesetz über Polizei und nationale Sicherheit ergänzt[2].
Das System der Vorabmeldungen und Genehmigungen für Datenverarbeitungen an die CNPD, das vor dem 25. Mai 2018 galt, wurde abgeschafft. Vorherige Formalitäten werden durch den Grundsatz der Rechenschaftspflicht ('Accountability') ersetzt. Dies entspricht der neuen Philosophie der DSGVO, die darauf hinaus zielt private und öffentliche Akteure stärker in die Pflicht zu nehmen.
Dieser Paradigmenwechsel ermöglicht es der Datenschutzkommission sich verstärkt auf ihre Beratungsarbeit und Kontrollfunktion zu konzentrieren.
Eine Rekordzahl an Anfragen und Beschwerden
Das Inkrafttreten des neuen Regelwerks ging mit einem gesteigerten Bewusstsein für die Herausforderungen und Problematiken des Datenschutzes bei Fach- und Einzelpersonen einher und führte zu einem deutlichen Anstieg der Anfragen.
So erhielt die CNPD im vergangen Jahr 1.112 schriftliche Informationsanfragen, mehr als doppelt so viele wie im Jahr 2017 (528 Anfragen). Viele Fragen bezogen sich auf die Einhaltung der neuen Gesetzgebung, auf die Videoüberwachung und auf die Rechte der betroffenen Personen.
Auch die Zahl der Beschwerden von Personen, die sich an die CNPD gewandt haben, weil sie der Ansicht waren, dass das Gesetz nicht respektiert wurde oder es eine Einschränkung in der Ausübung ihrer Rechte gab, hat sich gegenüber dem Vorjahr mehr als verdoppelt: von 200 im Jahr 2017 auf 450 im Jahr 2018.
Sensibilisierung und Beratungsarbeit
Die Datenschutzkommission hat verschiedene Maßnahmen im Bereich der Sensibilisierung und Beratung von Bürgern und Fachleuten ergriffen, darunter insbesondere:
- die Verteilung von 12.000 Exemplaren der neuen Broschüre über die Rechte der Bürger an verschiedenen strategischen Orten im Großherzogtum im Rahmen der Kampagne 'Ihre Daten? Ihre Rechte!';
- die Ausarbeitung neuer Leitlinien und Praxisratgeber zur Videoüberwachung, dem Recht am eigenen Bild, den Datenschutzbestimmungen im Rahmen von Sozialwahlen und deren Anwendung in der Praxis für Vereine;
- die Organisation der Konferenz 'Four Decades of Data Protection' in Anwesenheit von Premierminister Xavier Bettel, und der EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, Vera Jourova;
- die Schulung von mehr als 500 Personen in 12 Seminaren zum Thema 'Einführung in das Datenschutzrecht';
- die Teilnahme an mehr als 86 Konferenzen und Schulungen für ein Fachpublikum (Handelskammer, Handwerkskammer, ABBL, Universität Luxemburg, usw.);
- die Veröffentlichung mehrerer Formulare (Meldung von Datenschutzverletzungen, Meldung des Datenschutzbeauftragten, Antrag auf vorherige Konsultation), die zur Vereinfachung der Arbeit von Fachleuten beitragen sollen; und
- die Teilnahme am Gesetzgebungsprozess mit 27 Stellungnahmen (5 mehr als im Jahr 2017) zu neuen Gesetzes- und Verordnungsentwürfen im Zusammenhang mit dem Datenschutz.
Verstärkung der Untersuchungsmethodik: Audits und Kontrollen vor Ort
Die Strategie der CNPD hat sich 2018 mit der Durchführung von sogenannten 'proaktiven' Untersuchungen weiterentwickelt. Diese Untersuchungen werden in Form von thematischen Audits über die neuen Pflichten im Rahmen der DSGVO durchgeführt. Im Jahr 2018 wurden 25 Auditverfahren eröffnet um zu überprüfen, ob die Regeln im Bereich der Benennung und der Umsetzung der Rolle des Datenschutzbeauftragten eingehalten wurden.
Die CNPD führte auch Kontrollen durch, die auf Vorfällen, Beschwerden oder Informationen aus den Medien basieren. So wurden im Jahr 2018 12 Untersuchungen vor Ort in den Bereichen Videoüberwachung, Geolokalisierung, Werbung und Marketing durchgeführt.
Hauptursache für Datenschutzverletzungen: menschliches Versagen
Seit dem 25. Mai 2018 müssen private und öffentliche Akteure im Falle einer Verletzung des Schutzes personenbezogener Daten, welche möglicherweise ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, dies binnen 72 Stunden nachdem ihnen die Verletzung bekannt wurde der CNPD mitteilen. Im Jahr 2018 wurden der CNPD 172 Datenschutzverletzungen gemeldet. Die Hauptursache für diese Verstöße war menschliches Versagen.
Zukunftsaussichten
Nach dem Inkrafttreten der DSGVO konsolidiert die Datenschutzkommission ihre neuen Strukturen und Verfahren. Im Jahr 2019 wird die CNPD ihre Bemühungen zur Unterstützung der verschiedenen Akteure bei der Umsetzung der Regeln im Bereich des Datenschutzes fortsetzen und die Kontrolle der sich daraus ergebenen Pflichten in Zusammenarbeit mit den anderen europäischen Datenschutzbehörden verstärken.
[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
[2] Gesetz vom 1. August 2018 betreffend die Organisation der nationalen Datenschutzkommission und die allgemeine Regelung zum Datenschutz und Gesetz vom 1. August 2018 zum Schutz personenbezogener Daten bei der Datenverarbeitung in Strafsachen und im Bereich der nationalen Sicherheit
Pressemitteilung der nationalen Datenschutzkommission