Von Journalisten wurde das Thema nicht aufgegriffen, vielleicht weil es in der Tagesordnung unterging: In der Fragestunde auf dem Krautmarkt am Dienstag prangerte Gilles Roth, rechtspolitischer Sprecher der CSV, gravierende Mängel und Lücken bei den Polizeidatenbanken an. Stimme es, so seine Frage an den Polizeiminister Etienne Schneider, vertreten durch Staatssekretärin Francine Closener (LSAP), dass ehemalige Polizeibeamte Zugang zu Polizeidatenbanken behalten haben, obwohl sie nicht mehr im Dienst waren? Der Jurist berief sich auf den Tätigkeitsbericht 2014/2015 jener Kontrollgruppe, die über die Einhaltung datenschutzrechtlicher Standards bei den Sicherheitsbehörden wachen soll. Im Bericht beanstanden die Kontrolleure, sie hätten Kenntnis darüber, dass so ein Zugang bestehe, unter anderem bei einem Ex-Polizisten, der zum Geheimdienst gewechselt war.
Kein Faux-pas. Luxemburg kennt zwar weder ein direktes noch ein indirektes Trennungsgebot (in Deutschland gehören Organisation und Aufgaben von Nachrichtendiensten und Polizei strikt getrennt), trotzdem ist der Vorgang bemerkenswert. Es ist nicht das erste Mal, dass die aus Staatsanwaltschaft und Datenschutzkommission bestehende Kontrollgruppe gravierende datenschutzrechtliche Lücken bei den Sicherheitsbehörden bemängelt. Speziell die Datenbanken der Polizei stehen seit Jahren auf juristisch wackeligen Füßen. Die Datensammlung besteht aus drei Teilen, einer Suchdatenbank, einer zur Dokumentation und einem Archiv. Zugang, Speicherung und Organisation der Daten, die nicht nur Straftaten betreffen, werden per Règlement grand-ducal geregelt, das jedoch zum Jahresende 2015 ausgelaufen ist.
Bei ihren Kontrollgängen stellten die Inspektoren wiederholt fest, dass sensible Daten, die beispielsweise ins Archiv gehören, weil ein Freispruch gesprochen wurde, nicht transferiert wurden, so wie es das Gesetz vorschreibt. Das aber stelle das Recht auf Vergessen in Frage, mahnt Thierry Lallemang, Mitglied der dreiköpfigen Kontrollgruppe. Eine Datenbank, in der Beamte ihre täglichen Einsätze eintragen, sei allen Polizeibeamten zugänglich gewesen, ohne Unterscheidung von Funktion und Dienstgrad. Beim Zoll fehlt eine rechtliche Grundlage für die dortige Datenbank komplett.
Man sei sich der Lücken bewusst, räumte Staatssekretärin Francine Closener im Hinblick auf die Mängelliste ein. Die Regierung sei dabei, die entsprechenden Vorschriften zu überarbeiten. Man habe auf die Europäische Datenschutzreform gewartet, die im April vom Europäischen Parlament verabschiedet wurde. Dass der laxe Umgang beim Zugang von Ex-Polizeibeamten abgestellt gehört, gibt Closener ohne Umschweife zu, sie weist auf Nachfrage aber darauf hin, dass es „Sinn mache“, wenn ehemalige Polizeibeamte, die inzwischen im Staatsministerium für den Personenschutz abgestellt sind, Zugang zu bestimmten Polizeiinformationen haben. Im großherzoglichen Palast kümmern sich Polizeibeamte um die Sicherheit des Staatsoberhaupts und seiner Familie und seien dabei ebenfalls auf polizeiliche Informationen angewiesen.
Man werde alle Mängel beheben, versprach Closener, ohne aber einen konkreten Zeitpunkt zu nennen. In der Zwischenzeit habe die Polizeidirektion Maßnahmen ergriffen, um den Datenschutz ihrer Datensammlungen zu verbessern. So hätten die vier Polizeibeamten, die für das Staatsministerium und den Geheimdienst abgestellt wurden, zuletzt nur einen limitierten Zugang gehabt. Ab 23. Mai soll ihr Zugang komplett wegfallen. Datenschützer Thierry Lallemang bestätigte dem Land, dass Srel-Mitarbeiter Nachforschungen in polizeilichen Datenbanken mittlerweile nur mit Einwilligung eines Untersuchungsrichters anstellen können.
Der Vorgang ist auch deshalb von Sprengkraft, weil er Fragen über die datenschutzrechtliche Kultur bei den Sicherheitsbehörden aufwirft. Das Datenschutzgesetz stammt von 1992. Wenn jahrelang flagrante Datenschutzlücken von Polizeiführung und Ministerium, obwohl angemahnt, wissentlich hingenommen wurden, ohne sie abzustellen, verheißt das nichts Gutes.
Zusätzliche Brisanz erhält die Feststellung im Hinblick auf einen weiteren Gesetzentwurf von Justizminister Félix Braz im Rahmen der Anti-Terror-Verschärfungen. Sicherheitsbehörden in ganz Europa sollten eigentlich schon seit Jahren schneller und unkomplizierter Daten austauschen können. Das sehen entsprechende EU-Richtlinien von 2006 und 2008 über den Datenaustausch zwischen Polizeidiensten vor, die bis spätestens 2011 hätten umgesetzt werden sollen.
Doch bei einer Erhebung der Europäischen Kommission im Jahre 2012 wurde deutlich, dass viele Länder die Richtlinie nicht in nationales Recht umgesetzt hatten, darunter Luxemburg. Im Klartext: Selbst wenn die Luxemburger Polizei Namen, Adresse und ähnliches über mutmaßliche Terroristen gespeichert haben, wäre nicht sicher, ob diese Daten auch den übrigen Mitgliedstaaten bei Bedarf zur Verfügung stehen. Angesichts vernetzter Terroristen, die über Grenzen fahren und Anschläge in anderen EU-Ländern zu verüben, eine echte Sicherheitslücke und eine ziemliche Nachlässigkeit. Luxemburg tauscht im Rahmen verschiedener Abkommen mit Belgien, Deutschland, Frankreich, Spanien, Österreich zwar Daten zu Autokennzeichen und Autohalter, Fingerabdrücke, Straftaten und anderes aus. Auch beim DNA-Abgleich gibt es mit einzelnen EU-Staaten eine funktionierende Zusammenarbeit.
Insgesamt betrachtet, funktioniert die europäische Vernetzung jedoch mehr schlecht als recht, weil verschiedene Länder es bis heute versäumt haben, ihre Datenbanken gemäß nationalen und europäischen Datenschutzstandards zu organisieren, aber auch weil manche Polizeibehörden ihre Daten nicht teilen wollen. Justizminister Braz hatte wiederholt auf EU-Justizministertreffen gefordert, es müsse weniger darum gehen, immer mehr und neue Datenberge aufzutürmen, sondern bereits vorhandene sicherheitsrelevante Informationen sicher und zügig auszutauschen.
Umso beschämender, dass Luxemburg, das sich gerne als Musterschüler in Europa darstellt, hier seit Jahren seine Hausaufgaben nicht gemacht hat. Es waren Braz’ Vorgänger, François Biltgen, Luc Frieden, aber auch Jean-Marie Halsdorf (CSV), die die europäische Zusammenarbeit, einen funktionierenden Datenaustausch und Datenschutz offenbar nicht genügend vorantrieben. Insofern hätte der CSV-Abgeordnete Gilles Roth seine berechtigte Frage viel früher an seine Parteikollegen richten müssen. Ines Kurschat