Die Datenschutzaffäre reicht viel weiter, als gedacht. Der laxe Umgang mit sensiblen Daten in Vergangenheit und Gegenwart bedroht den Rechtsstaat und den Rechtsfrieden

Das Daten-Desaster

d'Lëtzebuerger Land du 12.07.2019

„Es gibt nichts zu verstecken“, betonte Xavier Bettel (DP) am Mittwoch. Der Premier, Justizminister Félix Braz und Polizeiminister François Bausch (beide Déi Gréng) waren in die Chamber gekommen, um den Abgeordneten vier Stunden lang Rede und Antwort zu stehen. Hintergrund ist die Datenschutzaffäre, die immer größere Kreise zieht, bis der Polizeiminister nicht umhin kam, zu mahnen, dass die „Instanzen, um die es hier geht, aber weiter arbeiten können“.

Was für eine Wende. Mitte Juni hatten sich die Minister Braz und Bausch in einem offenen Brief gegen „überflüssige und unhaltbare pauschale Beschuldigungen gegenüber Polizei und Justiz“ gewehrt. Im Rückblick lässt sich sagen: Es zeugte von Chuzpe, ausgerechnet die Presse zu attackieren, die versucht, über das heillose Durcheinander aufzuklären. Fest steht, der Datenschutzskandal reicht viel weiter als ursprünglich gedacht und hat das Potenzial, sich zu einer institutionellen Krise auszuwachsen, wenn nicht umfassend Aufklärung betrieben wird sowie legislative Gegenmaßnahmen ergriffen werden.

Geheime Daten Vordergründig geht es um zwei öffentlich bekanntgewordene Fälle: Auslöser war die Geschichte eines Mannes, der sich bei der Justiz beworben hatte und sich im Vorstellungsgespräch plötzlich mit kompromittierenden Fakten konfrontiert sah. Diese standen nicht in seinem – leeren – Auszug des Strafregisters. Es war sein Anwalt Gaston Vogel, der in dem Kontext vom „geheimen Register“ sprach. Die persönlichen Informationen stammten aus Polizeiprotokollen, die in der Justiz-Datenbank „Ju-Cha“ erfasst sind. Darum wiesen sowohl die Minister als auch die Generalstaatsanwaltschaft die Beschreibung „geheim“ oder „Casier bis“ zurück.

Ähnlich erging es dem Mann, der sich gegenüber RTL geäußert hat: Er war 2018 zum Nationalfeiertag in die Philharmonie eingeladen worden – und musste verdattert erfahren, nicht eingelassen zu werden, weil er angeblich eine Gefahr für die nationale Sicherheit darstelle. Es brauchte sechs Monate und Nerven wie Drahtseile, bis ihm Polizeidirektor Philippe Schrantz persönlich mitteilte, es gehe um zwei kommerzielle Angelegenheiten und eine Anzeige seiner Ex-Frau, die ohne Folgen vom Staatsanwalt klassiert worden war. Ob die Datensätze „geheim“ sind oder nicht, mutet angesichts der Brisanz wie Wortklauberei an: Beide Männer wussten nichts von den Daten, die die Autoritäten über sie hatten. Nach wie vor ist unklar, zu welchem Zweck sie gespeichert wurden, wer Zugang zu ihnen hat(te) und warum, wenn es nie zu einer Anklage kam, sie nicht gelöscht wurden.

In Zweifel steht auch, ob die aktuelle Rechtsgrundlage für die Datensammlungen ausreicht. Dem Strafrechtsprofessor der Uni Luxemburg Stefan Braum zufolge reicht das Datenschutzgesetz vom 1. August 2018, auf das Polizei und Justiz in einer ersten Reaktion verwiesen, als Ermächtigungsgrundlage nicht aus. Der Text, den die Abgeordneten im vergangenen Sommer im Galopp verabschiedet hatten, überträgt Mindeststandards einer EU-Direktive vom April 2016 zum Datenschutz bei den Strafverfolgungsbehörden ins Luxemburger Recht. „Die Richtlinie gibt nur den Rahmen vor. Für wesentliche Eingriffe ins Datenschutzrecht braucht es eine eigene gesetzliche Grundlage“, so Braum. Darin müsse der Zweck einer Datensammlung geregelt sein, wozu, wie lange und für wen zugänglich die persönlichen Daten gespeichert und wann sie gelöscht werden.

Zwei „Lesarten“ Die Generalstaatsanwaltschaft sieht das bekanntlich anders. Auf ihrer Pressekonferenz vor zwei Wochen war Generalstaatsanwältin Martine Solovieff formell: Sie meinte, dass „wir eine base légale haben und dass wir auch vorher immer eine base légale hatten“. Die Aussage erstaunte deshalb, weil der Justizminister selbst im offenen Brief eingeräumt hatte, für die Gerichts-Datenbanken fehlte in den 1990-er eine Rechtsbasis. Heute abweichende Einschätzungen erklärte der stellvertretende Generalstaatsanwalt Jeannot Ries mit „zwei Lesarten“, die deutsche sei aufgrund der „schweren Geschichte“ präziser. Die Datenschutzkommission CNPD hatte allerdings bei ihrer Anhörung vor dem parlamentarischen Justiz- und dem Innenausschuss am 26. Juni betont, in Frankreich würden solche Datenbanken ebenfalls per Spezialgesetz geregelt.

Nach Lesart von Staatsanwaltschaft und Polizei wäre der/die hauseigene Datenschutzbeauftragte/r zuständig, um über Löschfristen, Zugangsmodalitäten und Zweckbindung zu entscheiden und zu wachen. Auf Land-Nachfrage, wo Finalitäten und Löschfristen der Ju-Cha (sowie der mehr als 60 anderen Datensätze, die von der Justiz geführt werden) stehen, räumte Staatsanwalt Nies ein, man sei im Gange, dafür Regeln zu erstellen. Dass nach der Sichtung möglicherweise Datensätze zu archivieren oder ganz zu löschen seien, wollte Nies nicht ausschließen. Die Datenschutzbeauftragte des Gerichts, Lotty Prussen, bestätigte die Anfertigung einer Analyse zur Rechtmäßigkeit, sie bräuchte „nach e bëssen Zäit“. Im Klartext: Elementare Datenschutz- und Rechtsprinzipien, wie das Recht auf Vergessen, aber auch das Prinzip der Verhältnismäßigkeit oder der Unschuldsvermutung, scheinen ein Jahr nach Inkrafttreten des neuen Datenschutzgesetzes nicht garantiert; es bestehen ergo teils erhebliche Zweifel an der Rechtmäßigkeit gespeicherter Datensätze. Auch nach dem Datenschutzgesetz von 2002 waren unrechtmäßig gespeicherte Daten zu löschen.

Laisser-faire Dass Zweifel bezüglich der Rechtmäßigkeit der Datenbank bei der Polizei bestanden, war der Regierung nicht erst durch kritische Gutachten der CNPD bekannt. Die Opposition hatte die Rechtsunsicherheiten mehrmals thematisiert: Im Rahmen der Terrorismusdebatte am 1. Dezember 2015 forderte der CSV-Abgeordnete Gilles Roth Premier Xavier Bettel auf, für eine tragfähige Rechtsbasis der Polizei-Datenbank zu sorgen und zudem die Rechte der Bürger zu klären. Am 19. Januar 2016 wiederholte Roth seine Bedenken, diesmal gegenüber dem Minister für Innere Sicherheit, Etienne Schneider (LSAP). Der sagte bloß, man sei dabei, auf EU-Ebene diesbezüglich eine Direktive zu verhandeln. Roth unternahm zwei weitere Anläufe, um auf die Schutzlücken hinzuweisen: Am 10. Mai 2016 im Rahmen einer Fragestunde im Parlament und am 27. April 2017 mit einer Motion, in der die Regierung aufgefordert wurde, „eine solide Rechtsbasis“ für die Polizei-Datenbank zu schaffen.

Es war Schneiders Nachfolger, Polizeiminister François Bausch, der am 21. Juni die Generalinspektion der Polizei schriftlich anwies, die rechtlichen Grundlagen sämtlicher polizeilicher Datenbanken zu analysieren, und er bat dafür die Datenschutzkommission um Unterstützung. Bis 15. November sollen sie ihre Gutachten vorlegen. Dass die beiden im Herbst zur Einschätzung kommen sollten, die Schutzlücken seien unproblematisch und die Rechtsbasis doch solide, ist aber unwahrscheinlich. Denn die Generalstaatsanwaltschaft steht mit ihrer Sicht ziemlich isoliert da. Nicht nur die Abgeordneten äußern sich mehrheitlich skeptisch zur Rechtsbasis, auch Alex Bodry von der LSAP, der die Affäre zu Beginn noch kleingeredet hatte. Bei der Anhörung der Justiz Datenschutzkontrollbehörde vorvergangenen Mittwoch im Parlament zeigte sich, dass nicht einmal die Justiz sich einig und hundertprozentig sicher ist. Der Chef der Datenschutz-Kontrollbehörde, Jean-Claude Wiwinius, zugleich oberster Verfassungsrichter, war vom Justiz- und vom Innenausschuss eingeladen worden, um seine Einschätzung zu den Spielregeln der Ju-Cha sowie anderer Datenbanken abzugeben.

Seine Antwort fiel kurz und unmissverständlich aus: „Forcement geet et net duer, soss wiere mer net hei.“ „Damit steht der Präsident der Kontrollbehörde im Widerspruch zur Generalstaatsanwalt“, sagt Laurent Mosar von der CSV, der auf weitere Unklarheiten hinweist: So hatte die Generalstaatsanwaltschaft gesagt, man führe in der Ju-Cha keine personenbezogenen Dossiers. Nach Aussagen der Kontrollbehörde soll die Recherche nach Personen möglich sein. Auch sollen nicht nur zwei Datenbanken existieren, wie es in der Antwort des Justizministers auf eine parlamentarische Anfrage Mosars (von inzwischen mehr als zwölf zum Thema) hieß, sondern mindestens zwei bis vier weitere; andere Gerichts-Datensätze nicht mitgezählt. Allein die Ju-Cha erfasst rund 667 000 Personen (Mehrfachnennungen möglich).

Kein Durchblick Spätestens jetzt fassen sich Beobachter/innen an den Kopf: Wissen es die Verantwortlichen nicht besser? Oder wird hier bewusst trüber Wein eingeschenkt angesichts einer Affäre, die enorme Sprengkraft birgt? Immer wieder bleiben präzise Antworten auf Nachfragen aus, es wird gedruckst, ausgewichen, vertröstet. Nicht einmal die CNPD, die als unabhängige Behörde über den Datenschutz wachen soll, vermochte sich festzulegen, ob persönliche Daten zu Minderjährigen, die Bagatelldelikte begangen haben und dafür nie gerichtlich belangt wurden, bis ins Erwachsenenalter gespeichert werden dürfen. Dass 2 000 Polizeibeamte Zugriff auf die Polizei-Datenbank haben und 630 Justizbeamte auf die Ju-Cha (mit unterschiedlichen Zugangsrechten) – alles unproblematisch?

Der Schutz der Privatsphäre und das informationelle Selbstbestimmungsrecht sind durch die Europäische Grundrechtecharta geschützt. Zudem gelten die Unschuldsvermutung, Prinzipien wie die Verhältnismäßigkeit und Zweckgebundenheit von Datensammlungen. In der Datenschutzgrundverordnung steht das Recht auf Vergessen. Wenn nun die Rechtsbasis bestehender Datenbanken nicht hundertprozentig ist, was bedeutet das für die Grundrechte? Und was für die Arbeit der Polizei und Justiz? Inwiefern dürfen sie die gespeicherten Daten dann nutzen? Kein Wunder, dass Braz und Bausch am Mittwoch im Parlament angestrengt und in der Defensive wirkten.

„Unrechtmäßig gespeicherte Daten sind zu löschen“, betont Stefan Braum gegenüber dem Land. Der Strafrechtler sieht nur einen Weg, um aus dem Schlamassel herauszukommen: „Die Abgeordneten müssen schnellstens Rechtssicherheit herstellen, ein Gesetz für die Datenbanken verabschieden und in der Zwischenzeit mittels Übergangsbestimmungen regeln, welche Daten zu welchen Zwecken zu halten sind.“ Das könnten zum Beispiel Daten zur Strafverfolgung, zur Verbrechens- und Terrorismusbekämpfung sein. Bürger haben derweil das Recht, von den Autoritäten Auskunft zu verlangen, welche persönlichen Daten diese über sie gespeichert haben, sofern nicht laufende Ermittlungs- oder Gerichtsverfahren dem entgegenstehen.

Politische Machtspiele „Die Bürger haben ein Recht auf Aufklärung“, sagt Laurent Mosar. Beim CSV-Abgeordneten haben sich weitere Bürger mit Datenschutzproblemen gemeldet. Angesichts der Dimensionen der Affäre hatte Mosars Parteikollege Gilles Roth schon am Dienstag den Antrag gestellt, Premier Xavier Bettel, als Medienminister zuständig für den Datenschutz, noch vor der Sommerpause vors Parlament zu zitieren. Eigentlich stand das Thema Nachhaltigkeit auf der Tagesordnung. Statt über die Änderung abstimmen zu lassen, machte Kammerpräsident Fernand Etgen (DP) prozedurale Probleme geltend und schlug vor, den Vorschlag am nächsten Tag in der (von den Mehrheitsparteien dominierten) Fraktionspräsidentenkonferenz zu diskutieren. Josée Lorsché warf der CSV „politische Machtspiele“ vor – ausgerechnet die Grünen, die ihren Aufstieg nicht zuletzt der Affäre um eine illegale Geheimdienst-Datenbank verdanken. Aus Protest verließen alle Oppositionsparteien den Saal.

Es ist eine wilde Schlacht entbrannt, in der sich alle Seiten die Schuld zuschieben. Dabei haben alle Parteien mehr und weniger zum Desaster beigetragen. 40 Jahre nach dem ersten Datenschutzgesetz fehlt eine robuste Datenschutzkultur; bei den Behörden, vor allem aber bei den politisch Verantwortlichen. Wie sonst ist zu erklären, dass CNPD und Justiz-Kontrollbehörde Gutachten um Gutachten über Schutzlücken bei polizeilichen, justiziellen und anderen Datenbanken schrieben; und die Politik reagierte trotzdem nicht? Auch die Erweiterung der Videoüberwachung Visupol hat die CNPD untersucht. Ihr Fazit: Besser sei ein eigenes Gesetz. Innenminister François Bausch reduzierte wohl die Anzahl der Kameras. Doch Visupol läuft trotz aller Zweifel über die Rechtmäßigkeit und Wirksamkeit weiter. Die anlasslose Vorratsdatenspeicherung, von zwei Europäischen Gerichten angeprangert als mit dem Grundrecht des Schutzes der Privatsphäre unvereinbar, wurde ebenfalls nicht gestoppt. Erst jetzt, auf dem Höhepunkt der Affäre, dämmert es, dass es grundsätzlicher Kurskorrekturen bedarf. Der Mann, dem der Einlass zum Nationalfeiertags-Fest verweigert worden war, will notfalls bis vor den EU-Menschenrechtsgerichtshof ziehen. „Dann könnte es richtig peinlich werden“, warnt Laurent Mosar.

Ines Kurschat
© 2019 d’Lëtzebuerger Land