Es war ein Schreckensszenario, das Justizminister Félix Braz (Déi Gréng) am Mittwoch vor zwei Wochen im Parlament zur Datenschutzaffäre bei Polizei und Justiz an die Wand malte: Würden künftig Personen nur noch anhand des Casier judiciaire, des polizeilichen Strafregisters, überprüft, drohten Luxemburg „US-amerikanische Verhältnisse“. Die USA sind bekannt für ihre laschen Waffengesetze, 2017 kamen dort 40 000 Menschen durch Schusswaffen ums Leben, geschätzte 300 Millionen Waffen sollen dort im Umlauf sein. Dass der Justizminister das krasse Beispiel bemühte und niemand protestierte, erstaunt: Weder in der vierstündigen Debatte, noch in den Kommissionssitzungen zum Datenschutz, deren Mitschriften online nachlesbar sind, war die Forderung, Personen stets nur anhand des Casier zu überprüfen, je erhoben worden.
Dass dem Minister ausgerechnet die USA und das Waffengesetz einfallen, um vor möglichen Risiken einer Revision bestehender Verfahren, sogenannter Background checks, zu warnen, ist pure Polemik. Oder Ablenkung. Denn beim Fall, der die Datenschutzmisere erst ans Licht befördert hat, ging es weder um einen Waffenbesitzer, noch um einen Mann mit dubioser Vergangenheit, sondern um einen Bewerber (mit Namen Fürst) auf eine befristete Stelle als Bibliothekar beim Gericht. Inzwischen werden weitere Fälle bekannt, bei denen Personen sich mit intimen Informationen aus Background checks durch die Strafverfolgungsbehörden konfrontiert sahen, von denen sie keine Ahnung hatten, dass sie überhaupt in Datenbanken existierten.
Seit fast zwei Monaten sorgt der löchrige Datenschutz bei Polizei und Justiz für immer neue parlamentarische Anfragen, Anhörungen und Enthüllungen. Es wird zunehmend schwieriger, sich einen Überblick zu verschaffen. Sei es, weil Antworten der zuständigen Ministerien oder Akteure vage oder widersprüchlich sind, sei es, weil Fragen unbeantwortet bleiben. Fest steht: Polizei und Justiz greifen offenbar regelmäßig auf persönliche Daten von Personen zu, bei denen Zweifel bestehen, a) ob diese überhaupt gesammelt und über einen längeren Zeitraum gespeichert werden durften und b) ob Anlass und jeweiliger Zugriff legitim waren/sind.
50 offene Fragen Die CSV stellte diese Woche eine Liste mit 50 offenen Fragen an den Justiz- und den Polizeiminister vor. Etwa zum Fall Georges, jenem Unternehmer, dem 2018 der Einlass zu Festlichkeiten zum Nationalfeiertag in der Philharmonie verweigert worden war mit der Begründung, er stelle eine Gefahr für die Staatssicherheit dar. Offenbar wurden 14 weitere potenzielle Gäste abgelehnt. Aber wer hatte die Personenkontrollen veranlasst und wozu? Vermutlich geschah es auf Geheiß des Staatsministeriums; doch Premier Xavier Bettel hat sich bislang nicht geäußert, obwohl diesbezüglich eine parlamentarische Anfrage der CSV vorliegt. Auf Nachfrage beim Außenministerium, das über das Protokoll bei Staatsempfängen wacht, wurde d’Land auf Polizei und Staatsministerium verwiesen. Unklar ist zudem, ob alle Gäste überprüft wurden, ob dies auch zu anderen Anlässen geschieht, seit wann, wie und durch wen sie erfolgen – und was die Rechtsgrundlage ist.
Längst geht es in der Affäre nicht nur um persönliche Daten, die auf irgendwelchen Polizei- und Justizcomputern gespeichert sind. Es geht um den Zweck der Datensammlungen, um vermutlich (zu) großzügig gewährte Zugangsrechte, fehlende Löschvorgänge und um rechtsstaatliche Prinzipien wie die Verhältnismäßigkeit, die Unschuldsvermutung oder das Recht auf Rehabilitation. Kurz: Es geht darum, wie tief die Strafverfolgungsbehörden in der Privatsphäre und Vergangenheit unbescholtener Bürger herumschnüffeln, welche Informationen sie über sie verlangen und (wie lange) speichern dürfen und welche Folgen dies für die Betroffenen hat. Darauf ging der sonst um keine Belehrung verlegene grüne Justizminister an jenem Mittwoch jedoch mit keinem Wort ein. Auch nicht darauf, dass sowohl das neue Datenschutzgesetz vom August 2018 Löschfristen für polizeiliche und justizielle Datenbanken vorschreibt und dass unrechtmäßig gesammelte oder archivierte Daten bereits nach dem alten Datenschutzgesetz von 2002 zu löschen waren.
Illegale Daten Es war der Abgeordnete der Piraten, Sven Clement, der eine Schlüsselfrage stellte – und die Antwort, die er von Braz bekam, war bezeichnend für den nachlässigen Umgang von Behörden und Ministerien in heiklen Datenschutzangelegenheiten: Ob denn die Justiz-Daten aus jener Zeit von Anfang 1990, für deren Erhebung es nachweislich keine Rechtsgrundlage gab, allesamt gelöscht wurden, wollte Clement wissen. Wahrscheinlich befänden sich Daten aus jener Zeit noch in Archiven oder Datenbanken, räumte Félix Braz daraufhin ein.
Ein seltenes Eingeständnis des auf Kritik oft dünnhäutig reagierenden Ministers, dass auch bei der Justiz nicht alles in Ordnung ist; Generalstaatsanwältin Martine Solovieff hatte auf ihrer Pressekonferenz Ende Juni noch den Eindruck erweckt, bei der Justiz wäre in punkto Datenschutz alles rechtens. Braz ausschweifende Ausführungen zur Rechtsbasis des Ju-Cha-Registers waren insofern Augenwischerei, als der Fall Fürst eher das Problem aufwirft, ob vom Zentralregister der Polizei in die Ju-Cha übertragene Daten sowie Daten aus anderen Justizdatenbanken dort rechtmäßig gespeichert sind, oder nicht. Dass Daten von Zuwiderhandlungen nach zwei Jahren und bei Vergehen und Verbrechen nach drei Jahren im Gerichtsarchiv landen und nur auf Anweisung durch die Staatsanwaltschaft hervorgeholt werden dürfen, sagt nichts darüber aus, ob das langjährige Speichern bestimmter Daten überhaupt zulässig ist: etwa bei Freisprüchen, Verfahrenseinstellungen oder bei Minderjährigen.
Und sie beantwortet auch nicht die Schlüsselfrage: Waren die Richter und Staatsanwälte überhaupt befugt, für ein Vorstellungsgespräch so tief in der Vergangenheit eines Bewerbers zu wühlen und ihn, ohne seine Einwilligung und Kenntnis, mit vergangenen Ereignissen zu konfrontieren, die nie vor Gericht verhandelt wurden? Noch etwas ist delikat: Laut Sitzungsprotokoll der parlamentarischen Ausschüsse Justiz und Inneres war Richter Jean-Claude Wiwinius beim Vorstellungsgespräch zugegen, obschon er sich eigenen Aussagen zufolge nicht an Einzelheiten erinnere. Wiwinius ist nicht nur Präsident des Verfassungsgerichts, sondern zudem Präsident der Datenschutz-Kontrollbehörde der Justiz.
Dubiose Praktiken Der Fall verweist auf eine dubiose, da nicht immer präzise geregelte und überwachte Praxis, die der CSV-Fragebogen ebenfalls hinterfragt: die der Personenüberprüfungen durch den Staat und seine Verwaltungen, dem sogenannten contrôle des antécédents, etwa im Kontext von Einstellungsverfahren oder bei Sicherheitsauflagen. Sie erfolgen, so scheint es, unter Zuhilfenahme des polizeilichen Zentralregisters durch die Polizei – sofern nicht weitere Datenbanken herangezogen werden. Wer eine Anstellung beim Staat will, muss einen Auszug aus dem Strafregister vorlegen und seine Eignung belegen. Aber was genau beinhaltet eine enquête de moralité oder de l’honorabilité? Was bedeutet eine Analyse des comportement à l’égard des tiers? Dass Justizangehörige wie Richter, Staatsanwälte oder Gerichtsschreiber im Einstellungsverfahren strengen Regeln unterliegen, ist nachvollziehbar; vor Gericht werden heikle vertrauliche Informationen verhandelt; es gilt das Berufsgeheimnis. Doch laut Gilles Roth, Berichterstatter des Attachés-Gesetz von 2012, gilt das Gesetz bei befristeten Einstellungen von Bibliothekspersonal nicht.
Laut Polizeiminister François Bausch schreiben allein acht Polizeigesetze Background checks zu Personen vor. Eines davon ist das Polizeigesetz selbst. Die enquête de moralité, eine Art Leumundsnachweis, ist Bestandteil des Eignungstests, den jeder Polizeianwärter durchlaufen muss. Begründet wird die Personenüberprüfung im Einstellungsverfahren mit den hohen Anforderungen, die an den Polizeiberuf gestellt werden: Wer, wie es der Polizeiminister während der Debatte ausdrückte, den Rechtsstaat repräsentiert und „das Machtmonopol“ des Staats ausübt, muss anderen Anforderungen an den eigenen Lebensstil genügen, als beispielsweise jemand, der einen LKW fährt oder für eine Zeitung schreibt. Normalerweise reicht es, bei einer Bewerbung den Auszug aus dem polizeilichen Strafregister vorzulegen. Aber neben einem strafrechtlich einwandfreien Casier wird von Polizisten allgemein mehr erwartet. Darf ein Polizeibeamter beispielsweise in der Freizeit Mitglied einer Hooligans-Truppe sein oder sichtbare Tattoos tragen, zumal wenn diese sexistisch, gewaltverherrlichend oder religiöse Motive darstellen? Sicher nicht. In vielen EU-Staaten gelten deshalb bei der Polizei so genannte Körperschmuck-Erlasse.
Wer einen Beruf aufübt, wo er oder sie eine Waffe tragen muss, zum Beispiel Wächter von Geldtransportern, muss sich einer Überprüfung unterziehen, die neben einem einwandfreien Strafregister auch die physische und psychische Gesundheit umfasst. So soll ausgeschlossen werden, dass psychisch labile oder sonst gefährliche Personen Zugang zu Schusswaffen bekommen. Diese Checks sind im Waffenscheingesetz geregelt, das Justizminister Félix Braz verschärfen will und für dessen Reformentwurf er kürzlich ziemlich Schelte vom Staatsrat bekam.
Wen die Vergangenheit einholt Ähnliches gilt für Berufe in sicherheitsrelevanten Bereichen wie dem Flughafen: Wer dort Koffer verlädt und Flugzeuge auftankt, darf kein Sicherheitsrisiko darstellen und wird daher vor der Anstellung genau überprüft. Die Frage ist nur: Wie weit dürfen solche Background checks gehen? Welche Datenbanken dürfen herangezogen werden? In einem Streitfall hatte der CSV-Abgeordnete und Rechtsanwalt Gilles Roth 2006 die Seite des Staates vertreten: Es ging um den Zugang zu einer Sicherheitszone am Findel, die einem Mitarbeiter nach einer solchen Überprüfung verwehrt wurde. Aus dem Strafregister des Mannes war hervorgegangen, dass er vor Jahren wegen Drogenhandel eine Geldstrafe zu bezahlen hatte und wegen Trunkenheit mehrmals aufgefallen war. Der Mann focht die Verweigerung an, doch das Verwaltungsgericht gab dem Staat mit Verweis auf die erhöhten Sicherheitsauflagen Recht. Die antécédents judiciaires waren im Casier judiciaire vermerkt.
Beim Philharmonie-Fall geht es nicht (nur) um den Casier. Sondern um zwei Wirtschaftssachen, in denen der Betroffene sich nichts hatte zuschulden kommen lassen, sowie um eine Anzeige seiner Ex-Frau während der Scheidung, die der Staatsanwalt ohne Folgen klassiert hatte, die dazu führten, dass der Mann als Sicherheitsrisiko eingestuft wurde. Woher stammten die Informationen, wo waren sie gespeichert und wer hat(te) wann, wie lange und wozu darauf Zugriff? D’Land hat versucht, eine klare gesetzliche Definition für den contrôle des antécédents zu finden, vergeblich. Bei den antécédents judiciaires ist es einfacher: Hier zählen die strafrechtlich relevanten Eintragungen.
„Vielleicht müssen wir das in Zukunft präzise definieren“, sagt Polizeiminister François Bausch, der den Abgeordneten zur Sommer-Rentrée sämtliche Regeln zum contrôle des antécédents zusammenstellen und hierzu gemeinsam Lösungen erarbeiten will. Allerdings brauche dies Zeit. Erläuterungen zu den Nachforschungen bei Personen hatte unter anderem die CSV gefordert. Am vorvergangenen Mittwoch war Bausch in die Offensive gegangen und hatte selbst ein neues Gesetz gefordert, das die umstrittenen Datenbanken auf eine solide Rechtsbasis stellen soll. Nur hätte es diese fehlenden Spielregeln aller Wahrscheinlichkeit schon in der Vergangenheit geben müssen. Kein Wunder, dass niemand weitere peinliche Enthüllungen in puncto Datenschutz ausschließen will.