Mit fünf Schlagwörtern – Transparenz, Rechtsstaatlichkeit, Gleichheit, Gerechtigkeit und Effizienz – stellte Henri Kox, grüner Minister für die Innere Sicherheit, am Mittwoch die lang diskutierte Reform der gesetzlichen Grundlage der Polizeidatenbanken vor. Sie war nötig geworden, als mit der Datenschutzaffäre vor zwei Jahren deutlich wurde, dass Polizei und Justiz große Mengen an sensiblen Daten sammelten und konsultierten, ohne dass deren Nutzung juristisch hinreichend abgesichert war.
In Zukunft soll alles besser werden: „Mehr Transparenz“ hatte der damalige Polizeiminister François Bausch zugesagt; jetzt macht sich Parteifreund und Nachfolger Kox, zusammen mit Justizministerin Sam Tanson (ebenfalls déi Gréng), daran, das Versprechen einlösen. Der Gesetzentwurf, den der DP-LSAP-Grüne-Regierungsrat auf seiner Sitzung am 30. Dezember guthieß, soll den Personenkreis, der auf Daten in der Polizei-Zentraldatei zugreifen kann, begrenzen, als auch die Zugangs- und Nutzungsrechte sowie die Speicherfristen streng regulieren.
Künftig kann dann nicht mehr jede/r Polizeibeamte auf egal welche Daten zugreifen, sondern nur auf jene Informationen, die er oder sie für die Arbeit und den jeweiligen Einsatz tatsächlich benötigt. Ein Logbuch soll festhalten, wer wann warum welche Daten eingesehen hat. „Die Nutzung der Daten muss nachvollziehbar sein“, betonte Polizeiminister Henri Kox. Bei einer Anfrage würden bestimmte persönliche Daten, die nicht zum Fall gehören, blockiert, respektive geschwärzt.
Eine fünfjährige Übergangszeit für die Zentraldatenbank (für andere Daten bis 2023, respektive 2026) soll der Polizei Zeit geben, die Auflagen technologisch umzusetzen. Die entsprechende EU-Direktive hatte als Stichdatum Mai 2018 vorgesehen, dieselbe Frist, die für Privatfirmen für die Umsetzung der EU-Datenschutzgrundverordnung galt. Ausgerechnet Luxemburg, unter dessen EU-Präsidentschaft die Datenschutzregeln ausgearbeitet wurden, entpuppt sich als schlechter Schüler. Nicht alles kann die Polizei selbst machen; externe IT-Sicherheitsexpert/innen helfen, die komplizierte Architektur mit mehr als 60 Datenbanken aufzubauen und abzusichern. „Die hochsensiblen Bereiche machen wir selbst“, so Polizei-Generaldirektor Philippe Schrantz.
Dann soll automatisiert werden, was bisher manuell eingetragen wird: Werden Polizei-Ermittlungen unter Leitung der Staatsanwaltschaft wegen fehlender Beweise eingestellt oder ein/e Tatverdächtige/r freigesprochen, soll dies nicht nur in der Justizdatenbank Jucha vermerkt, sondern zudem automatisch mit der Polizei-Zentraldatenbank abgeglichen werden. Die Schnittstelle sei für die Zusammenarbeit wesentlich, so Justizministerin Sam Tanson.
Dafür wird zwischen einem aktiven (derzeit rund 200 000 Akten) und einem passiven Teil unterschieden: Berichte, Protokolle, Zeugenaussagen, die die Kriminalpolizei bei ihren Ermittlungen erstellt und erhebt, landen zunächst im aktiven Teil der Zentraldatenbank. Teilt die Staatsanwaltschaft der Polizei später jedoch mit, dass die betreffenden Informationen in der Jucha-Datei der Justiz archiviert werden, werden sie in der Polizei-Zentraldatei in den passiven Teil überführt. Polizeiminister Kox nannte dies, „die Daten schlummern“. Das gilt beispielsweise bei einem Freispruch, wenn Ermittlungen ohne Ergebnis eingestellt wurden oder wenn ein verurteilter Straftäter seine Strafe abgesessen hat.
Der Zugriff auf schlummernde Daten, also Informationen aus dem passiven Teil, wird dann nur noch mit ausdrücklicher Genehmigung der Staatsanwaltschaft oder auf Veranlassung eines Untersuchungsrichters erlaubt sein. Die Löschfrist für die passiven Daten bei strafrechtlichen Ermittlungen beträgt 30 Jahre, für die anderen Einträge zehn Jahre. Einfache Vergehen werden nach fünf Jahren gelöscht, Daten zu Minderjährigen mit deren Volljährigkeit. Gebührenpflichtige Verwarnungen (etwa im Bereich der Verkehrsdelikte) werden nicht in der Zentraldatei abgespeichert.
Das war in der Vergangenheit anders. Bei der Vorstellung der neuen Regeln fiel vor allem auf, was trotz Datenschutzgesetz von 2018 bei den Polizei-Datensammlungen alles juristisch auf wackeligen Füßen stand: Zentrale rechtsstaatliche Prinzipien, wie die Verhältnismäßigkeit oder die Zweckgebundenheit, wurden verletzt. Und obschon es nun so aussieht, dass künftig mehr Datenschutz entlang der Grundsätze der Datensparsamkeit, Zweckmäßigkeit und Verhältnismäßigkeit bei Polizei und Justiz einkehren wird, bleiben offene Fragen: So konnten weder Polizeiminister Kox noch Polizei-Generaldirektor Philippe Schrantz zufriedenstellend erklären, wie viele Beamte künftig Zugriff auf die Zentraldatei haben, wer unzulässige Zugriffe durch Polizeibeamte auf sensible Daten kontrolliert und wie interne Verstöße gegen Datenschutzauflagen geahndet werden. Die Datenschutzkommission CNPD hatte die Polizei wiederholt gerügt, dass zu oft und ohne Grund in die zentrale Datenbank geschaut wurde.
Zwar sind nun Strafen für unberechtigte Zugriffe vorgesehen: Wer sich unerlaubt Zugang zu polizeilichen Daten verschafft oder diese einsieht, muss mit einer Geldstrafe zwischen 1 250 und 25 000 Euro, beziehungsweise einer Gefängnisstrafe zwischen vier Monaten und zwei Jahren rechnen. Die Kontrolle der Datenbanken und der Zugriffsrechte obliegt dem Datenschutzbeauftragten der Polizei. Er soll künftig Verstärkungen erhalten; dann wären zwei Datenschützer für die Aufsicht von über 60 Datenbanken verantwortlich. Die Generalinspektion der Polizei hatte im Gutachten vom Dezember 2019 die dünne Personaldecke beim polizeilichen Datenschutz beanstandet und empfohlen, dort aufzustocken.
Dieselbe Behörde hatte zudem die Qualität verschiedener Datensätze bemängelt. So hätten Beamte in Berichten auch Gerüchte und für den Fall Belangloses festgehalten. Minister Kox zufolge wurde die Berichtsführung inzwischen vereinheitlicht. Neue Standards und strengere Regeln sind aber nicht alles, die Polizei muss sich daran halten: Was Henri Kox und Justizministerin Sam Tanson vielleicht unterschätzen, ist der enorme Vertrauensverlust in der Öffentlichkeit, den die Datenschutzaffäre verursacht hat. Polizei und Justiz haben jahrelang massenhaft sensible Daten gesammelt und genutzt, ohne dafür eine ausreichende Rechtsgrundlage gehabt zu haben – dies obwohl CNPD und die Aufsichtsbehörde der Justiz dies mehrfach beanstandet hatten. Die Mahnungen der Kontrollbehörden wurden von den Verantwortlichen lange ignoriert.
Damit eine Umkehr im Umgang mit sensiblen Daten erfolgt, hatte die Generalinspektion der Polizei (IGP) im Dezember 2019 eine verbesserte Grundausbildung gefordert: Beamte müssten wissen, welche Daten sie einsehen dürfen und welche nicht, dem Datenschutz gebühre eine zentrale Rolle in Aus- und Weiterbildung. Der Datenschutzskandal bei Polizei und Justiz hat nicht nur das Image beschädigt, sondern auch die Ermittlungsarbeit beeinträchtigt: Minister Kox sprach von verunsicherten Beamt/innen, die zuletzt infolge der Datenaffäre weniger auf die Zentraldatei zugegriffen hätten. Polizei-Pressesprecher Fränk Stolz bestätigte diese Beobachtung, konnte aber dafür keine Zahlen vorlegen.
Als sich der Gesetzgeber 2018 im Rahmen der EU-Richtlinie über die Verarbeitung personenbezogener Daten für Behörden, die für die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten zuständig sind, endlich eine Rechtsgrundlage gab, fiel diese so wackelig aus, dass von einem wirksamen Datenschutz weiterhin nicht die Rede sein konnte. Dem Parlament, in dessen Reihen zahlreiche Juristen sitzen, fielen die eklatanten Rechtsunsicherheiten zunächst nicht auf. Und als sie schließlich ans Licht kamen, wehrten sich die damaligen Minister für Justiz und Innere Sicherheit, François Bausch und Félix Braz, in einem offenen Brief an die Presse entrüstet gegen angeblich „überflüssige und unhaltbare pauschale Beschuldigungen gegenüber der Polizei und der Justiz“. In Wirklichkeit waren die Datenschutzlücken viel größer, da systemimmanent, als anfänglich berichtet.
Noch im Sommer 2020 während der Parlamentsdebatte um eine neue Polizeiausbildung konnten Beobachter/innen den Eindruck gewinnen, der hohe Stellenwert, dem der Datenschutz laut EU-Recht gebührt, sei noch nicht überall angekommen: Bevor sie ihren Dienst antreten können, müssen Polizeianwärter/innen eine Eignungsprüfung durchlaufen. Dazu wird ihre „Ehrbarkeit“ anhand von persönlichen Daten überprüft. Der diesbezügliche Passus im Gesetz war jedoch alles andere als präzise und transparent formuliert. Die Regierung hatte die Datenschutzkommission gar nicht erst um ihre Einschätzung gefragt. Daraufhin lieferte die CNPD sie in Eigeninitiative nach: Ihr Fazit fiel entsprechend kritisch aus. Im Parlament versprach die Regierungsmehrheit mittels einer Motion, diese wichtige Hausaufgabe nachzuholen und nachzubessern; die CSV war empört und stimmte das Gesetz deshalb nicht mit. Inzwischen hat Justizministerin Sam Tanson einen Gesetzentwurf vorgelegt, der die Kriterien der Ehrbarkeitsprüfung beim Staat ein für allemal regeln soll. Die erneute Nachlässigkeit belegt aber: bis zum Data Protection by Design, also von Anfang an durch technologische Voreinstellungen, ist noch ein Weg zu gehen.