Am 1. September 2011 ist ein Gesetz vom 28. Juli 2011 in Kraft getreten, mit dem das bestehende Gesetz vom 30. Mai 2005 zum Schutz personenbezogener Daten im Telekommunikationsbereich abgeändert wird. Mit diesem Gesetz werden europäische Bestimmungen in luxemburgisches Recht umgesetzt, die in der EU-Richtlinie 2009/136/EG (Abänderung der EU-Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation) enthalten sind.
Die neue Gesetzgebung soll bei "Datenpannen" und Vertraulichkeitsverletzungen einen besseren Schutz für die Nutzer von Telekommunikationsdiensten gewährleisten.
Künftig müssen die Anbieter öffentlich zugänglicher Telekommunikationsdienste, z.B. Festnetz- oder Mobilfunkanbieter oder Internet-Provider, unverzüglich die nationale Kommission für den Datenschutz in Kenntnis setzen, wenn die Sicherheit und die Vertraulichkeit personenbezogener Daten verletzt wird, und darüber hinaus die Teilnehmer informieren, wenn die festgestellte Verletzung zu einer Verminderung des Schutzes von Daten und Privatsphäre führen könnte.
Das Gesetz definiert die "Verletzung des Schutzes personenbezogener Daten" als Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste übermittelt, gespeichert oder anderweitig verarbeitet werden.
Hierbei kann es sich um vielfältige Arten von "Datenpannen" handeln, wie beispielsweise:
- Drittpersonen, die aufgrund von Sicherheitsmängeln im Computersystem eines Dienstleisters per Internet Zugriff auf die Kundendateien erlangen.
- Zu einem bestimmten Zeitpunkt sind die Online-Kundenkonten frei zugänglich, obwohl dieser Zugang eigentlich passwortgeschützt und den jeweiligen Kunden vorbehalten sein müsste.
- Der Angestellte eines Dienstleisters verliert eine CD-ROM oder einen USB-Stick mit Kundendaten.
Im Fall einer solchen Verletzung muss der Anbieter/Betreiber unverzüglich die nationale Kommission darüber in Kenntnis setzen. Die entsprechende Benachrichtigung muss vor allem folgende Informationen enthalten: Die Art der Verletzung, die sich daraus ergebenden Folgen, die durch den Dienstleister vorgeschlagenen oder bereits durchgeführten Maßnahmen zur Behebung der Verletzung sowie die Empfehlungen für die betroffenen Abonnenten oder Einzelpersonen und die Kontaktstellen, bei denen zusätzliche Auskünfte eingeholt werden können.
Stellt diese Verletzung weiterhin eine Gefahr für den Schutz der personenbezogenen Daten oder für die Privatsphäre von Teilnehmern bzw. Personen dar (beispielsweise bei einer Gefahr des Diebstahls oder der widerrechtlichen Aneignung einer Identität, einer Gefahr für die körperliche Unversehrtheit, einer schwerwiegenden Demütigung oder einer Rufschädigung im Zusammenhang mit dem Angebot öffentlich zugänglicher Telekommunikationsdienstleistungen), müssen außerdem auch die betroffenen Teilnehmer bzw. Personen unverzüglich in Kenntnis gesetzt werden, damit die notwendigen Vorkehrungen getroffen werden können.
Die entsprechende Benachrichtigung muss vor allem über die Art der Verletzung Auskunft geben, die Kontaktstellen nennen, bei denen zusätzliche Auskünfte eingeholt werden können, und Empfehlungen geben, wie die möglichen nachteiligen Auswirkungen der Verletzung abgemildert werden können. Die Benachrichtigung ist nicht erforderlich, wenn der Dienstleister nach Ansicht der nationalen Kommission ausreichend belegen kann, dass er die geeigneten technischen Sicherheitsvorkehrungen getroffen hat und dass diese Vorkehrungen sich auf die durch die Verletzung betroffenen Daten erstrecken. Diese Vorkehrungen müssen dazu führen, dass die Daten für alle unbefugten Personen unlesbar sind (z.B. durch Verschlüsselung).
Das Gesetz vom 28. Juli 2011 sieht außerdem vor, dass die Betreiber ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten führen, das Angaben zu den Umständen der Verletzung, zu deren Auswirkungen und zu den ergriffenen Abhilfemaßnahmen enthalten muss, wobei diese Angaben ausreichend sein müssen, um der nationalen Kommission die Prüfung der Einhaltung der vorgenannten Bestimmungen zu ermöglichen.
Um es den Anbietern öffentlich zugänglicher Telekommunikationsdiensten leichter zu machen stellt die nationale Kommission ein Formular zur Meldung einer Sicherheitsverletzung bereit. Dieses Formular behandelt alle wichtigen Fragen, die in einer solchen Situation beantwortet werden müssen.