Engersäits huet d’national Dateschutzkommissioun d’Regierung beroden bei de Projet de Loien iwwert d’Covid-Gesetz an Avisen geschriwwen, erkläert d’Presidentin Tine Larsen: “Zum Beispill iwwert de Systeme d’information deen de Ministère de la Santé en place gesat huet. Do hu mer en Avis geschriwwen wéi eng Donnéeën gesammelt ginn, wien Zougang zu den Donnéeën huet. Dono hu mer d’Regierung am Contact Tracing beroden an mat der App déi sollt en Place gesat ginn.”Donieft waren et awer och d’Bierger déi ganz vill Froen oder Reklamatiounen haten, zum Beispill wat hir Aarbecht an der Zäit vun der Pandemie betrëfft: “Leit am Teletravail déi Schwieregkeeten haten well se iwwert de Computer iwwerwaacht gi sinn. Oder op der Aarbechtsplaz wou hiren Impf-Certificat gefrot gouf, hir Temperatur geholl gouf, opgeschriwwe ginn ass mat wiem se wéini wou waren. An der Schoul an der Uni och den Homeschooling hu nei Froen an Thematiken mat sech bruecht mat deene mer eis befaasst hunn.”
Wat de Bléck an d’Zukunft betrëfft huet d’Tine Larsen nach betount datt mat de neien Technologien - Stéchwuert Intelligence Artificiele, Blockchain oder Face-Recognition - vill Projeten op d’CNPD duerkéimen déi se suivéieren géifen an mat deene se sech befaassen wäerten.
Jahresbericht 2021 der nationalen Datenschutzkommission (CNPD)
Im Rahmen einer Pressekonferenz in Esch/Belval hat die CNPD heute ihren Bericht für das Jahr 2021 vorgestellt.
Erste Beschlüsse der CNPD über Ergebnisse von Untersuchungen
Im Jahr 2021 veröffentlichte die CNPD ihre ersten Beschlüsse über die Ergebnisse von Untersuchungen, die seit Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) eingeleitet wurden. Insgesamt wurden nicht weniger als 49 Fälle abgeschlossen. 37 Untersuchungen führten zu Korrekturmaßnahmen (z. B. Warnung, Mahnung, vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, usw.), davon 25 mit Geldstrafen.
Insgesamt gab es 48 Beschlüsse im Rahmen von nationalen Fällen mit einem Gesamtbetrag von 319.500 Euro an Geldbußen und einen Beschluss im Rahmen der europäischen Zusammenarbeit gegen die Gesellschaft Amazon Europe Core Sàrl mit einer Geldbuße von 746 Mio. Euro.
Die Mehrheit der Beschlüsse (insgesamt 25) wurde im Rahmen der thematischen Untersuchungskampagne zum Datenschutzbeauftragten genommen. 20 Beschlüsse betrafen Datenverarbeitungen im Bereich der Videoüberwachung und/oder der Geolokalisierung. Vier weitere Entscheidungen betrafen verschiedene Themenbereiche, darunter die rechtswidrige Nutzung der JU-CHA-Datenbank im Rahmen eines Verfahrens zur Einstellung eines Staatsangestellten in der Justizverwaltung.
Covid-19 und Datenschutz
Wie im Jahr 2020 hatte die Pandemie weiterhin erhebliche Auswirkungen auf das tägliche Leben der Luxemburger. Die CNPD antwortete den Bürgern auf ihre Fragen, insbesondere bezüglich ihrer Rechte bei der Verarbeitung von Gesundheitsdaten. Darüber hinaus hat die CNPD regelmäßig ihre Empfehlungen aktualisiert, um Fachleute bei der Fortführung ihrer Aktivitäten zu beraten und eine Liste mit FAQs zur Nutzung der CovidCheck-App erstellt. Wie im Jahr 2020, hat die CNPD die Regierung mit Stellungnahmen zu den COVID-19-Gesetzentwürfen beraten.
Wichtigste Kennzahlen 2021
• 618 schriftliche Anfragen (gegenüber 655 im Jahr 2020) – Die drei wichtigsten Kategorien von Anfragen betrafen die COVID-19-Pandemie („contact tracing”, die Messung der Körpertemperatur, Telearbeit, Homeschooling usw.), die Überwachung am Arbeitsplatz und die Rechte der betroffenen Personen (Zugangsrecht, Recht auf Löschung usw.).
• 33 Stellungnahmen zu Gesetzes- und Verordnungsentwürfen (gegenüber 24 im Jahr 2020) – Neben den Stellungnahmen zur Bekämpfung von COVID-19, bezogen die Stellungnahmen sich u.a. auf die Videoüberwachung öffentlicher Räume und Orte zu Zwecken der öffentlichen Sicherheit (VISUPOL), die offenen Daten und Weiterverwendung von Informationen des öffentlichen Sektors, die Kontrolle der Beschaffung und des Besitzes von Waffen, die elektronische Kommunikation auf europäischer Ebene oder die Zentrale Datei der Polizei.
• 512 Beschwerden von Personen, die der Ansicht waren, dass das Gesetz nicht respektiert wurde oder es eine Einschränkung in der Ausübung ihrer Rechte gab (gegenüber 485 im Jahr 2020) – Über ein Viertel der Beschwerden (26 %) war darauf zurückzuführen, dass die für die Verarbeitung Verantwortlichen das Auskunftsrecht nicht einhielten. 24 % betrafen Anträge auf Löschung oder Berichtigung von Daten und 14 % der Beschwerden betrafen die Rechtmäßigkeit der Verarbeitung.
• 333 Datenschutzverletzungen, die der CNPD gemeldet wurden (gegenüber 379 im Jahr 2020) – Der nationalen Kommission werden monatlich im Durchschnitt 29 Datenschutzverletzungen gemeldet. Die Hauptursache war in 64 % der Fälle menschliches Versagen. Mehr als die Hälfte der Vorfälle werden innerhalb von 5 Tagen nach ihrem Eintreten entdeckt.
• 18 Vor-Ort-Untersuchungen (gegenüber 8 im Jahr 2020) – Die CNPD hat Vor-Ort-Untersuchungen um die Datenverarbeitungen u.a. im Bereich der Videoüberwachung, durchgeführt.
• 6 Untersuchungen, im Rahmen eines Audits zum Thema Transparenz– Die CNPD hat ihre Kampagne „Transparenz im Online-Dienstleistungssektor” fortgesetzt, die sie im Jahr 2020 zu 6 Unternehmen aus diesem Sektor eröffnet hatte.
Zukunftsaussichten
Die rasche Entwicklung neuer Technologien wie Künstliche Intelligenz, maschinelles Lernen, intelligente Sensorik oder Blockchain stellt eine große Herausforderung im Bereich der Regulierung dar.
Die CNPD überwacht zusammen mit ihren europäischen Kollegen im European Data Protection Board (EDPB) neue und aufkommende Technologien sowie deren mögliche Auswirkungen auf die Grundrechte und das tägliche Leben der Bürger. Das EDPB hat im Rahmen seines zweijährigen Arbeitsprogramms bereits Leitlinien zur Verwendung biometrischer Daten, zur Verwendung von Gesichtserkennung, Blockchain und anderen Technologien entwickelt oder vorbereitet.
Eine weitere große Herausforderung stellt sich aufgrund neuer europäischer Initiativen wie dem Data Governance Act, dem Digital Services Act, dem Data Act, dem Digital Markets Act oder dem Artificial Intelligence Act. Die grosse Herausforderung besteht darin, diese neuen Initiativen in die bestehenden nationalen Rechtsvorschriften zu integrieren und gleichzeitig ein gleichbleibendes Schutzniveau für personenbezogene Daten aufrechtzuerhalten.
Es wird notwendig sein, für eine kohärente Umsetzung dieser Texte zu sorgen und eine gute Koordinierung zwischen den nationalen Behörden zu gewährleisten, die von den EU-Mitgliedstaaten sowohl auf europäischer als auch auf nationaler Ebene benannt werden.
