Nach dem Datenschutzskandal bei Polizei und Justiz ­– hat die Regierung ihre Lektion in Sachen Datenschutz gelernt?

Gesetz gegen den Missbrauch

d'Lëtzebuerger Land vom 25.09.2020

Eine lange Liste an Fragen hatte der CSV-Abgeordnete Laurent Mosar am Mittwochmittag mitgenommen, bevor er in den Justizausschuss ging. Dort wollte Justizministerin Sam Tanson (Grüne) den Abgeordneten Rede und Antwort stehen und das Gutachten zur Jucha-Justizdatenbank diskutieren.

So viel steht nach der gemeinsamen Sitzung von Justiz­- und Innenausschuss fest: Es braucht (mindestens) ein neues Gesetz, das Grundregeln zur Speicherdauer, zum Zweck, zu Zugriffs- und zu Auskunftsrechten sowie zur Archivierung von teils sehr intimen Daten bei der Justiz festlegt. Mit Hochdruck, so Tanson, arbeiten Beamte an einem Gesetz, das bestehende Datenschutzlücken schließen soll.

Im Juli hatte die zuständige Kontrollinstanz der Justiz, die Autorité de contrôle judiciaire, ihr Gutachten zum Datenschutz bei der sogenannten Jucha-Datenbank abgegeben, die mehr als 666 000 Datensätze allein zu Privatpersonen enthält. Ihr Fazit: Das Gesetz vom 1. August 2018 zum Datenschutz in Strafsachen und nationaler Sicherheit ist zu allgemein und lässt Justiz und Polizei zu viel Spielraum, wie sie ihre Datenbanken regeln.

Damit bestätigt die Kontrollinstanz, was Datenschützer und Strafrechtler wie Jura-Professor Stefan Braum vorhergesagt hatten: Die Jucha-Datenbank, ein übergeordnetes Justizregister, in dem Informationen und teils sensible Daten zu Strafverfahren, Jugendschutz, zu Verdächtigen , Zeug/innen und zu Opfern gespeichert sind und das von der Generalstaatsanwaltschaft verantwortet wird, steht rechtlich auf wackeligen Füßen. „Wir sehen uns bestätigt in unserer Forderung, ein Gesetz für die Jucha zu schaffen, das Zweck, Zugang und Speicherfristen genau regelt“, sagte Laurent Mosar dem Land.

Die Kontrolleure hatten in ihrem Gutachten gleich mehrere gravierende Schutzlücken ausgemacht. So bei der Speicherdauer: Es sei nicht ausreichend geklärt, welche Daten über welche Personen wie lange gespeichert und wann sie wieder gelöscht werden. Um im Einklang mit EU-Recht zu stehen, hätte die Speicherdauer im Gesetz festgeschrieben sein müssen, so die Gutachter. Die nationale Datenschutzkommission CNPD hatte ebenfalls präzise, gesetzlich geregelte Fristen gefordert und überdies bemängelt, dass der Datenschutzbeauftragte der Justiz selbst diese Fristen bestimmen können sollte. Bisher werden Informationen etwa zu Verkehrsvergehen zwei Jahre gespeichert, während sie Dauer bei Straftaten drei Jahre beträgt, bevor sie ins Archiv überstellt werden.

Es waren vor allem die CSV-Abgeordneten Laurent Mosar und Gilles Roth, die in diesem Kontext auf ein Problem hingewiesen hatten, das sich nicht nur bei der Jucha-, sondern auch bei den Polizeidatenbanken stellt: Was wenn sich im Laufe eines Strafverfahrens herausstellt, dass die Person unschuldig ist, sie mangels Beweisen freigesprochen und/oder das Verfahren eingestellt wird? Für die Opposition ist klar: Um der Unschuldsvermutung Rechnung zu tragen, gehören diese Daten sodann aus dem Jucha-Register gelöscht. Insbesondere die Polizei argumentierte, sie brauche die Daten, um etwa wegen mangelnder Beweise auf freien Fuß gesetzten Tatverdächtigen bei neuen Hinweisen Ermittlungen vertiefen zu können. „Bei schweren Straftaten kann es Sinn machen, gewisse Informationen zu speichern. Das muss aber präzise geregelt werden“, findet Laurent Mosar.

Nachholbedarf sehen die Justiz-Datenschutzkontrolleure ebenfalls bei der Zweckbestimmung der Riesen-Datensammlungen. Zur Erinnerung: Die Jucha ist die größte von insgesamt 74 Datenbanken der Justizbehörden, und sie wird nicht nur im Kontext von Gerichtsverfahren genutzt, sondern auch zur Bewertung der so genannten Ehrbarkeit, wenn es darum geht, Personal für sensible Arbeitsbereiche zu rekrutieren, wie beispielsweise Sicherheitspersonal oder bestimmte Justizbeamte.

Es sei nicht präzise genug geregelt, was mit Ehrbarkeit und Zuverlässigkeit einer Person gemeint ist, so die Kontrolleure. Tatsächlich war es die Affäre um einen Bürger gewesen, der sich in einem Jobinterview bei der Justiz plötzlich mit vermeintlichem Fehlverhalten aus der Vergangenheit konfrontiert sah, die die Datenschutzaffäre bei der Justiz losgetreten hatte. Nicht nur ist unklar, auf welche Daten und wie lange die Autoritäten zur Durchleuchtung zurückgreifen dürfen, sondern auch, ob sie überhaupt aus derselben Datenbank entnommen werden können. Denn ein Grundprinzip, das bei allen Datensammlungen gilt, ist, dass sie zweckbestimmt sein müssen, Daten demnach für einen präzisen Zweck erhoben und gespeichert und nicht willkürlich in anderen Kontexten herangezogen werden können. Die Datenschutzbehörde CNPD hatte das ebenfalls angemahnt.

Nacharbeiten müssen die Justizbehörden zudem bei der Frage der Zugriffsrechte: Demnach können Richter, Staatsanwälte sowie eine begrenzte Zahl von Verwaltungsangestellten auf teils sehr persönliche Verfahrensdaten zugreifen, wobei die Zugriffsrechte nach Ansicht der Kontolleure nicht trennscharf genug geregelt sind. Pikant: Die Generalstaatsanwaltschaft, unter deren Verantwortung das Jucha-Register fällt, hatte angegeben, die Sicherungen des 2007 in Betrieb genommenen und 2009 fertiggestellten Registers reichten aus, um unzulässige Zugriffe zu verhindern. Die Kontrollbehörde stellte dagegen fest, dass nicht nur eine mit Arbeiten betraute externe Entwicklerfirma auf die Daten zugreifen konnte (und mit personalisierten Daten testet), sondern dass missbräuchliche Zugriffe in Zukunft nicht ausgeschlossen seien. Die Piratenpartei fordert deshalb, die Log-files, also die Vermerke, wer wann warum auf Daten zugegriffen hat, nicht nur für drei Jahre zu speichern, sondern so lange wie ein Datensatz in einer Datenbank gespeichert ist. In Deutschland sorgten jüngst mehrere Fälle für Aufregung, bei denen sich Polizisten Zugang zu Daten von ihnen politisch nicht genehmen Personen verschafft hatten, darunter Rechtsanwälte, um diese anonym zu bedrohen.

Eine Problematik, die im Gutachten nicht vertiefend erörtert, aber in der Ausschusssitzung kontrovers diskutiert wurde, ist die Archivierung: Daten, Akten und Informationen werden nach einer gewissen Zeit ins Justizarchiv überstellt und dort gelagert. Unklar ist, welche Informationen zu Personen wie lange gehalten werden, für wen sie einsehbar sind und welche Strafen bei Missbrauch gelten. Der Strafrechtsexperte Stefan Braum hält die Speicherung von Daten nach einem Freispruch für europarechtswidrig. Im Ausschuss plädierte eine Mehrheit für einen streng limitierten Personenkreis, der Zugriff zum Archiv hätte. „Wenn wir gar nicht archivieren, würde das die Strafverfolgung bei Wiederholungstätern, die nicht überführt werden konnten, erheblich erschweren“, so Mosar. Die Justiz archiviert nicht nur Daten zu Strafprozessen, sondern auch polizeiliche Vernehmungsprotokolle. Der Datenschutzbeauftragte der Polizei, Jeff Neuens, hatte in einer Anhörung im Innenausschuss gesagt, auf die Archivierung bestimmter Polizeidaten verzichten zu können, sofern die Magistratur die Daten in ihrem Archiv behalte.

In dem Zusammenhang stellt sich eine weitere Schwierigkeit: die der Zusammenarbeit und des Datenaustauschs zwischen Polizei und Justiz. „Wir wissen nicht genau, welche Daten die Staatsanwaltschaft von der Polizei bekommt, worauf sie jeweils ugriff haben und welche Justizdaten zur Polizei zurückfließen“, mahnte Mosar. Das ist nicht zuletzt bei eingestellten Verfahren problematisch: Jeff Neuens hatte verschiedene Gründe für eine Verfahrenseinstellung aus Ermittlersicht betont: Aus Mangel an Beweisen, wenn die Rechtslage plötzlich geändert hat und eine Straftat nicht mehr strafbar ist oder wenn, eine Spezifizität des Luxemburger Rechts, die Staatsanwaltschaft entscheidet, aufgrund des Bagatellcharakters eine (mutmaßliche) Straftat nicht weiter zu verfolgen. Die Polizei wünscht, diesbezügliche Daten jeweils unterschiedlich zu behandeln.

Für Justizministerin Sam Tanson und Polizeiminister Henri Kox (beide Grüne) bedeutet das ein gewaltiger Berg an Arbeit mit vielen kniffeligen und konflikt-reichen Detailfragen. Kox will verbesserte Datenschutzbestimmungen für die Polizei bereits im Oktober vorlegen. Ob sie ausreichen, muss sich zeigen.

Die Opposition bescheinigte beiden Ministern, das Datenschutzproblem wohl ernsthaft angehen zu wollen; bis zu einer proaktiven Datenschutzkultur ist es aber noch ein weiter Weg: Als Anfang der Woche das neue Covid-19-Gesetz im Parlament verabschiedet wurde, sagte Gesundheitsministerin Paulette Lenert zur Frage der Covid-19-Fluggastdaten: „Wir haben in der Praxis keine Probleme mit Leuten, die keine Passagierdaten abgeben wollen und wollen nichts regeln, was gut läuft.“ So begründete die LSAP-Politikerin ihr Nein auf eine Anfrage der CSV-Opposition, die Erfassung von Fluggastdaten zu digitalisieren und den Missbrauch mit Sanktionen zu belegen. Bloß: Was geschieht, wenn eines Tages doch ein Problem auftaucht oder Missbrauch geschieht?

Ines Kurschat
© 2020 d’Lëtzebuerger Land