Darf‘s ein bißchen mehr sein?

66 Datenbanken bei der Polizei entdeckt

Minister Bausch hatte die »Inspection Générale de la Police« (IGP) am 21.6.2019 gebeten, eine Studie zu den Polizeidatenbanken anzufertigen, und die hat das getan. Das bemerkenswerte­ste Ergebnis ist, daß da Datenbanken entdeckt wurden, von der die Polizeidirektion keine Ahnung hatte, und die daher in der Aufstellung fehlten, die zu Anfang an die IGP ging. Eine betraf die Disziplinardossiers der Polizeimitglieder, bevor die Angelegenheit an die IGP ging, eine war von einer Sektion der »Police Judiciaire« für diese angelegt worden, und über die dritte war gestern selbst auf Nachfrage nichts zu erfahren. Das muß in einem quasi militärisch und strikt hierarchisch organisierten Korps schon sehr verwundern.

Anfangs ging nur die Rede von einer Zentraldatenbank, über die die Nationale Datenschutzkommission sich bereits abschießende Gedanken am 13.9.2019 gemacht hat. Im Gegensatz zur IGP-Studie ist diese auf www.cnpd.lu in einer pdf-Datei mit 34 Seiten frei verfügbar, wobei die IGP über ihre eigenen 13 Empfehlungen hin­aus den Geist der CNPD-Empfehlungen teilt. Da geht es um eine Präzisierung der Gesetze, den Respekt bereits bestehender Bestimmungen, einer restriktiveren Zugangskontrolle und transparenter Regeln für die Dauer der Speicherung und die Löschung von Datensätzen. Ob die IGP-Studie öffentlich wird, entscheidet Minister Bausch. Wir werden also sehen, wie weit die Transparenz geht und ob wir jemals mehr erfahren als Allgemeinplätze.

So gab es gestern keine Liste der 66 Datenbanken, sondern nur ausgewählte Beispiele. Mit über 60 Personen seien Gespräche geführt worden; in der IGP seien unter der Leitung vom beigeordneten Generalinspektor Vincent Fally 15 Leute tätig geworden. Dabei wurden die Basisprinzipien überprüft, nicht die Technik. Auf unsere Nachfrage meinte dennoch Vincent Fally, es sei ausgeschlossen, daß jemand Teile aus den Log-Dateien rauslöschen könne. Wir wollen hoffen, daß das stimmt, denn damit steht und fällt die Zugriffskontrolle. Unter Windows ist da jedenfalls vieles denkbar. Festzuhalten ist, daß die IGP direkten Zugriff auf die Log-Dateien hat.

Daß vieles im Staate Luxemburg nicht bis zu Ende gedacht ist, offenbart sich an einem einfachen Beispiel: beim »délit de grande vitesse« ist nachzuprüfen, ob dieselbe Person in den letzten drei Jahren schon einmal eine gebührenpflichtige Verwarnung bezahlt hat, weil sie entsprechend viel zu schnell unterwegs erwischt wurde. Das Gesetz aber schreibt die Löschung der gebührenpflichtigen Verwarnungen zwei Jahre nach Bezahlung vor. Andere erledigte Dossiers sollten nach 10 Jahren im Archiv gelöscht werden – niemand weiß, ob das jemals geschah.

13 Empfehlungen

So gibt es nun von der IGP 13 Empfehlungen, die aber nur umsetzbar sind, wenn es dafür zusätzliches Personal gibt. Damit ist die Regierung, nicht die Polizeidirektion am Zug, wobei das in den meisten Fällen durchaus ziviles Personal sein kann.
Die erste Empfehlung ist eine stärkere Sensibilisierung des Personals vom Programmentwickler bis zum Endnutzer für die Prinzipien des Datenschutzes. Der Aspekt müsse in der Grundausbildung stärker betont werden; es brauche aber auch eine angepaßte Stellung dafür in der Weiterbildung, wobei das nicht über Dienstzettel laufen könne.

Erst seit kurzem wird der Polizei mitgeteilt, was bei der Justiz entschieden wird. Die zweite IGP-Empfehlung geht dahin, die Polizei müsse mit der Justiz für die Zeit davor das überprüfen, um es dann entweder zu vermerken oder Eintragungen zu löschen.
Empfehlung 4 fordert, daß archivierte Dokumente in einen getrennten Ordner kommen, also aus der allgemeinen Datenbank raus.

Laut vierter Empfehlung sollen Aufgaben als Verwaltungspolizei in einer eigenen Datenbank stehen statt mit dem Rest vermischt zu sein.
Empfehlung 5 fordert eine Qulitätskontrolle der Daten. Sind das Fakten, Gerüchte oder persönliche Mutmaßungen? Das ist zu vermerken.

Das »Journal des Incidents« wurde nach mißbräuchlicher Verwendung abgeschafft, aus dem Leitsystem erfährt die nächste Schicht aber nicht mehr, was auf der vorigen lief. Dazu braucht es laut Empfehlung 6 ein neues informatisches Werkzeug.

Empfehlung 7 fordert ein großherzogliches Reglement für alle Datenbanken, die mehr als eine Verwaltung oder Mini­sterium interessieren. Es ist kontraproduktiv, in einer Datenbank gebührenpflichtige Verwarnungen zum Straßenverkehr, zum Anti-Tabak-Gesetz, zur Fischerei und anderem mehr zu vermischen. Dafür sollte es getrennte Datenbanken geben. Leichte Vergehen sollten ein Jahr nach Bezahlung gelöscht werden, schwerere Verkehrsvergehen nach drei Jahren.

In vielen Datenbanken wird nie gelöscht. Dafür fordert Empfehlung 8 klare Regeln.
Empfehlung 9 betrifft den »fichier hébergement«, wo nach 72 Stunden zu löschen ist, wenn keine Untersuchung zur Person läuft. Das solle auf 3 Monate ausgedehnt werden.
Empfehlung 10 fordert klare Regeln zur Überprüfung der Qualität der gespeicherten Daten, da diese international auf Nachfrage weitergereicht werden.

Empfehlung 11 fordert bessere Zugangsregeln. Es dürfe nicht sein, daß ein Beamter, der auf einen anderen Posten versetzt wird, alte Berechtigungen, die er eigentlich nicht mehr braucht, behält.

Empfehlung 12 verlangt das Angeben eines exakten Grundes bei Konsultierung einer Datenbank. Der Grund muß in die Log-Datei.

Empfehlung 13 hält fest, daß ein Datenschutzbeauftragter bei der Polizei nicht reicht. Rund um diesen ist eine Struktur aufzubauen, von der aus zentral alle Zugangsberechtigungen vergeben werden.

Wir dürfen gespannt sein, was aus all dem erfolgt.

jmj

Mittwoch 4. Dezember 2019