Jahresbericht 2019 der nationalen Datenschutzkommission (CNPD)

2019 war das erste komplette Jahr, in dem die CNPD im Rahmen der Datenschutz-Grundverordnung [1] (DSGVO) und der neuen nationalen Datenschutzgesetze von 2018 [2] arbeitete.

Eine Zunahme der Aktivität

Die neuen Regeln und das wachsende Interesse von Fach- und Einzelpersonen an Datenschutzfragen haben zu einem Anstieg der Anfragen bei der CNPD geführt.

Im Jahr 2019 erhielt die CNPD 708 schriftliche Anfragen. Diese Zahl ist im Vergleich zu den Vorjahren hoch, auch wenn sie unter dem Höchststand von 2018 blieb. Mit dem Inkrafttreten der DSGVO im Jahr 2018 wurden viele allgemeinere Fragen im Zusammenhang mit der Einhaltung der neuen Rechtsvorschriften gestellt, während die Anträge im Jahr 2019 spezifischer waren.

Mit 16 Stellungnahmen zu Gesetzes- und Verordnungsentwürfen im Zusammenhang mit dem Datenschutz, nahm die CNPD aktiv am Gesetzgebungsprozess teil. Eine der wichtigsten Stellungnahmen des Jahres bezog sich auf das Zentralregister der Polizei. Die CNPD hat des weiteren Stellung genommen in Bezug auf die Videoüberwachung öffentlicher Räume und Orte zu Zwecken der öffentlichen Sicherheit (VISUPOL), die Videoüberwachung durch Gemeinden, das Register der wirtschaftlichen Eigentümer, die gemeinnützigen Vereine und Stiftungen, die Referenzverzeichnisse zur Identifizierung von Patienten und Anbietern sowie die Bedingungen für die Einrichtung der elektronischen Gesundheitsakte.

Der Jahresbericht 2019 enthält auch einen besonderen Teil zur Verarbeitung personenbezogener Daten in Strafsachen sowie zur nationalen Sicherheit für den Zeitraum vom 20. August 2018 bis 31. Dezember 2019.

Beratung, Sensibilisierung und Monitoring von verschiedenen Themen

Die CNPD hat verschiedene Maßnahmen im Bereich der Sensibilisierung und Beratung von Bürgern und Fachleuten ergriffen, darunter insbesondere die Entwicklung von Leitlinien zu verschiedenen Themen wie: die Folgen des Brexits für internationale Datenübertragungen, die Wahlkampagnen unter Einhaltung des Datenschutzes oder auch die Anwendung der DSGVO auf mobile Videoüberwachungskameras, die den öffentlichen Raum filmen ("Dashcams").

Die Aufsichtsbehörde organisierte weiterhin ihre "DaProLab"-Workshops [3] über den Datenschutz in verschiedenen Bereichen wie Gesundheit, wissenschaftliche/historische Forschung und Finanzen/Versicherungen. Neben den Veranstaltungen, die sie selbst organisiert hat, hat die Nationale Kommission auch an rund dreißig Schulungen, Konferenzen und Seminaren teilgenommen, um das Bewusstsein für Datenschutzfragen bei spezialisierten Zielgruppen zu stärken.

Darüber hinaus hat die CNPD eine technologische und juristische Monitoringaktivität begonnen, um Innovationsthemen wie neue Technologien im Finanzsektor (Fintech), Blockchain-Technologie und künstliche Intelligenz zu überwachen.

Ein Anstieg der Beschwerden und ein neues Untersuchungsverfahren

Die Zahl der Beschwerden stieg gegenüber dem Vorjahr deutlich von 450 im Jahr 2018 auf 625 im Jahr 2019. Diese Beschwerden wurden von Bürgern gemacht, die sich an die CNPD gewandt haben, weil sie der Ansicht waren, daß das Gesetz nicht respektiert wurde oder es eine Einschränkung in der Ausübung ihrer Rechte gab.

Im Jahr 2019 hat die CNPD eine neue Verordnung über das Untersuchungsverfahren ausgearbeitet, die Anfang 2020 verabschiedet wurde. Auf der einen Seite gibt es die unangekündigten Vor-Ort-Untersuchungen, die weitgehend von den Beschwerden geleitet werden, und auf der anderen Seite die Untersuchungen in Form von Datenschutz-Audits.

Die Zahl der Vor-Ort-Untersuchungen stieg von 12 im Jahr 2018 auf 33 im Jahr 2019. Diese Kontrollen betrafen insbesondere die Bereiche der Videoüberwachung und der Geolokalisierung.

"Proaktive" Untersuchungen werden in Form von Datenschutz-Audits durchgeführt. Im Jahr 2019 setzte die CNPD die 2018 begonnene Arbeit an der thematischen Audit-Kampagne zur Rolle des Datenschutzbeauftragten in 25 Organisationen fort.

526 Datenschutzverletzungen seit dem Inkrafttreten der DSGVO

Private und öffentliche Akteure müssen, im Falle einer Verletzung des Schutzes personenbezogener Daten, welche möglicherweise ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, dies binnen 72 Stunden nachdem ihnen die Verletzung bekannt wurde der CNPD mitteilen.

Im Jahr 2019 wurden der CNPD 354 Datenschutzverletzungen gemeldet. Insgesamt hat sie seit dem 25. Mai 2018 526 Meldungen über Datenschutzverletzungen erhalten. Das sind durchschnittlich 28 Meldungen pro Monat. Wie im Jahr 2018 blieb die Hauptursache für diese Verletzungen menschliches Versagen.

Umstrukturierung der Abteilungen und Anpassung des Organigramms der CNPD

Im Jahr 2019 hat die CNPD seine Abteilungen neu organisiert und sein Organigramm angepasst, um seine Aufgaben besser zu erfüllen.

Das Jahr 2019 war auch durch die Vorbereitung auf den Umzug in ein neues Gebäude geprägt. Die Planungsarbeiten begannen im Sommer 2018, um der CNPD den Umzug in das neue NAOS-Gebäude am Standort Belval in der Gemeinde Sanem im Sommer 2020 zu ermöglichen.

 

[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

[2]  Gesetz vom 1. August 2018 betreffend die Organisation der nationalen Datenschutzkommission und die allgemeine Regelung zum Datenschutz und Gesetz vom 1. August 2018 zum Schutz personenbezogener Daten bei der Datenverarbeitung in Strafsachen und im Bereich der nationalen Sicherheit

[3] CNPD's Open Data Protection Laboratory

 

Pressemitteilung der nationalen Datenschutzkommission (CNPD)