„Was den Datenschutz anbelangt, ist Luxemburg noch ein Entwicklungsland. Elementare Standards beim Schutz von personenbezogenen Daten fehlen. Die Regierung glaubt darauf jedoch mit Flickwerk reagieren zu können. Der Wille, das Problem grundsätzlich anzupacken fehlt“, wetterte der DP-Abgeordnete Eugène Berger gestern nach einer Kommissionssitzung im Parlament zu der Affäre rund um den unerlaubten Zugriff auf Zehntausende von Daten beim „Centre Médico Sportif“. Weil er sich die Zugangsdaten, die auf einem Post-It neben einem Computer zu sehen waren, notiert hatte, hatte Mitte Januar ein Sportler Einsicht in die Datenbank erhalten, in der persönliche Daten von 48.000 Sportlern gespeichert sind. Er hatte die Sicherheitslücke allerdings später – anonym – gemeldet. Doch die unbefugte Einsicht in eine Datenbank stellt ein Vergehen dar, weswegen die Staatsanwaltschaft nun in der Angelegenheit ermittelt.

Der zuständige Kommunikationsminister François Biltgen (CSV) wiederholte gestern, dass es sich um einen „menschlichen Fehler“ gehandelt habe und man Maßnahmen ergreifen wolle, um die Sicherheitskultur beim Staat zu stärken. Die Regierung will auch beispielsweise Datenschutzbeauftragte einsetzen. Für die DP wirft die Angelegenheit unzählige weitere Fragen auf. So erhielt die Datenbank vor einigen Jahren die Genehmigung der Datenschutzkommission, doch wurden der Datenbank im Nachhinein weitere Felder hinzugefügt, welche nicht unter die Genehmigung des CNPD fielen. Unter anderem handelt es sich dabei um Informationen zu einer eventuellen afrikanischen Herkunft der Sportler. Die DP fordert deshalb eine Charta für Datenbanken mit personenbezogenen Daten, in der festgehalten wird, ob und unter welchen Umständen sensible Daten gespeichert werden dürfen oder nicht.

Nachdem der CNPD im Jahr 2005 eine Genehmigung für die Datenbank erteilt hatte, folgten keine Kontrollen, was die Ausführungen der Datenbank anbelangt. Die DP weist ausdrücklich darauf hin, dass der CNPD seine Kontroll- und Sanktionsfunktion ausüben muss. Dementsprechend muss der CNPD auch personel ausgestattet werden. Als Alternative dazu könnten auch für jedes Ministerium eigene Datenschutzbeauftragte ernannt werden, welche diese Aufgabe übernehmen sollen.

Einführung eines Kontrollsystems gefordert

Ferner sind in der Datenbank des „Centre Médico-Sportif“ über einen längeren Zeitraum Daten über Zehntausende von Sportlern gespeichert worden. Es bleibt jedoch unklar, inwiefern es sich dabei allesamt noch um aktive Sportler handelte. Die DP fordert, dass einerseits ein Inventar aller Datenbanken mit personenbezogenen Daten gemacht wird und andererseits alle personenbezogenen Daten, die nicht mehr relevant sind, gelöscht werden. Die Datenbank des „Centre Médico Sportif“ war über das Internet mit Angabe eines Benutzernamens und eines Passworts zugänglich. Diese Sicherheitsbarriere entsprach vielleicht den Sicherheitsstandards bei Einführung der Datenbank, doch heute nicht mehr. Die DP fordert demnach klare Sicherheitsstandards für alle personenbezogenen Datenbanken beim Staat, die regelmäßig überprüft werden und aufgrund der Sensibilität der gespeicherten Daten angepasst werden.

Auch fiel die Datenbank des „Centre Médico“ abwechselnd unter den Zuständigkeitsbereich der betroffenen Ministerien und des „Centre des Technologies de l’Information de l’Etat“. Diese Verteilung der Kompetenzen führt dazu, dass zum momentanen Zeitpunkt niemand mit Sicherheit sagen kann, welche Datenbanken mit personenbezogenen Daten es beim Staat gibt. Die DP fordert eine klare Aufgabenteilung und Koordination zwischen den Ministerien und dem CTIE. Was die Kontrolle der staatlichen Datenbanken anbelangt, so fordert die DP die zügige Einführung eines Kontrollsystems für Datenbanken mit personenbezogenen Daten, mit dem zurückverfolgt werden kann, welche Person, zu welchem Zeitpunkt, zu welchem Zweck auf diese Datenbank zugegriffen hat. Auf dieser Basis müssen stichprobenartige Kontrollen durchgeführt werden, wie dies im Finanzsektor etwa üblich ist. Nur so könne ein Missbrauch von sensiblen Daten unterbunden werden. ‹