Wozu dieses Gesetz?
Angesichts der stetig steigenden Wichtigkeit personenbezogener Daten, die auf elektronischem Weg übermittelt werden (Festnetz- oder Mobiltelefone, Fax, E-mail, SMS usw.), war es notwendig, das abgeänderte Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung an die elektronische Kommunikation anzupassen.
Das Gesetz vom 30. Mai 2005, abgeändert durch das Gesetz vom 27. Juli 2007, ist die Umsetzung der EU-Richtlinie 2002/58/EG vom 12. Juli 2002 (Richtlinie "Privatleben und elektronische Kommunikation"). Das Gesetz wurde außerdem durch das Gesetz vom 24. Juli 2010 abgeändert, das die Richtlinie 2006/24/EG vom 15. März 2006 in luxemburgisches Recht umsetzt. Das Gesetz vom 28. Juli 2011 setzt einige Bestimmungen der Richtlinie 2009/136/EG vom 25. November 2009 in luxemburgisches Recht um.
Wie wird die Vertraulichkeit gewährleistet?
Andere Personen als der Benutzer selbst haben nur mit dessen Zustimmung die Möglichkeit, Kommunikationsdaten (z.B. die Bereitstellung von „video-on-demand“-Leistungen) und Verkehrsdaten (betreffend die Beförderung einer Mitteilung und die Abrechnung dieser Mitteilung) abzuspeichern, mitzulesen bzw. mitzuhören, oder zu überwachen.
Der Dienstanbieter und der Betreiber gewährleisten diese Vertraulichkeit.
Eine Ausnahme von dieser Regel wird im Rahmen beruflicher Gebräuche gemacht (beispielsweise können Broker die per e-mail erhaltenen Anweisungen abspeichern).
Wann und wie ist die Verarbeitung dieser Daten möglich?
Ausnahmen vom allgemeinen Grundsatz der Vertraulichkeit werden nur auf Grund der rechtmäßigen Zwecke des Betreibers oder Anbieters oder der Verfolgung von Straftaten gemacht.
Der Anbieter oder der Betreiber haben nur in zwei Fällen rechtmäßige Gründe zur Aufbewahrung der Verkehrsdaten:
- zur Erstellung der Rechnung (die Daten werden so lange aufbewahrt, bis keine Anfechtung mehr möglich ist);
- zur Vermarktung ihrer elektronischen Kommunikationsdienste oder zur Bereitstellung von Diensten mit Zusatznutzen, jedoch unter der Bedingung, dass der Teilnehmer oder der Nutzer seine Zustimmung erteilt hat und über die Zweckbestimmung und die Dauer dieser Verarbeitung informiert wird.
Wenn der Betreiber oder der Anbieter ihren Kunden einen Dienst mit Zusatznutzen anbieten (z.B. die Suche des nächstgelegenen italienischen Restaurants), müssen sie in der Tat ihre Kunden orten können. Aus diesem Grund erlaubt der Gesetzgeber die Verarbeitung von Standortdaten, jedoch unter der Bedingung, dass die einzige Zweckbestimmung der Verarbeitung in der Bereitstellung eines solchen Dienstes (der so genannte Dienst „mit Zusatznutzen“) besteht und die Daten anonymisiert worden sind, oder dass die betroffene Person ihre Zustimmung gegeben hat.
Schließlich, und hauptsächlich im Hinblick auf eine Verfolgung des organisierten Verbrechens, sind der Dienstanbieter und der Betreiber dazu angehalten, den Justizbehörden alle Verkehrs- und Standortdaten über einen gewissen Zeitraum zur Verfügung zu stellen. Die Richtlinie 2006/24/EG, die durch das Gesetz vom 24. Juli 2010 umgesetzt wurde, hat die Vorratsdatenspeicherung für die Mitgliedstaaten verpflichtend gemacht. Sie lässt ihnen jedoch einen Spielraum für die Umsetzung zwischen 6 und 24 Monaten. Der luxemburgische Gesetzgeber hat sich für den Mindestzeitraum von 6 Monaten entschieden. Im Gegenzug zu dieser Aufbewahrung müssen Dienstanbieter und Betreiber alles tun, um Drittpersonen den Zugang zu diesen Daten zu verwehren.
Das Gesetz vom 24. Juli 2010 sieht ebenfalls vor, dass die gesammelten Daten nur für die Verfolgung vont Straftaten benutzt werden können, für die eine Gefängnisstrafe von einem Jahr oder mehr vorgesehen ist.
Was ist mit Spam (E-mails, aber auch massenhafter Versand von unerwünschten Fax und SMS)?
Natürliche Personen haben, wenn sie nicht vorher ihre Zustimmung erteilt haben, das Recht, unerbetene elektronische Mitteilungen (Spam) nicht zu empfangen.
In Ausnahmefällen kann ein Anbieter, der im Rahmen eines Verkaufs die Angaben über seinen Kunden erhalten hat, diese Daten benutzen, um ihm einen ähnlichen Dienst oder ein ähnliches Produkt anzubieten, unter der Bedingung, ihn vorher über den Versand derartiger Mitteilungen kommerzieller Natur in Kenntnis gesetzt zu haben. In jedem Fall hat der Kunde das Recht, sich zu jedem Zeitpunkt der Nutzung der ihn betreffenden Daten zu widersetzen.
Transparenz bei der Nutzung von "Cookies"
Das Gesetz vom 28. Juli 2011 hat eine bedeutende Innovation in Bezug zu "Cookies" eingeführt, die die Transparenz un den fairen Einsatz dieser Techniken gewährleisten soll. Viele Dienstleistungen im Internet benutzen diese Methode um die Navigation zu personnalisieren und die Interaktion mit dem Nutzer zu verbessern.
Fairness, Transparenz und die Möglichkeit Cookies zu akzeptieren oder abzulehnen gilt sowohl für Cookies, die auf dem Endgerät gespeichert werden, für die auf die man später zugreifen möchte, als auch für die sogenannten "Third-party Cookies" (die von Partnerseiten plaziert werden).
Die vom Gesetz gewährleisteten Rechte des Nutzers und/oder des Teilnehmers
Außer den bereits genannten Rechten haben Nutzer oder Teilnehmer ein Recht auf vorherige Auskunft in Bezug auf:
- die eventuellen Risiken hinsichtlich der Vertraulichkeit der Kommunikationen, die Mittel, um diese Risiken zu beheben sowie die Kosten dieser Maßnahmen,
- die Anzeige der Rufnummer des Anrufers und des Angerufenen,
- die Teilnehmerverzeichnisse,
- die Art der verarbeiteten Standortdaten, die Zweckbestimmung, die Dauer und die Empfänger für die Bereitstellung von Diensten mit Zusatznutzen.
Sie haben das Recht, eingehende Anrufe abzulehnen, wenn sie keinen Zugang auf die Anzeige der Nummer des Anrufers haben.
Sie haben auch das Recht auf die automatische Weiterschaltung des Anrufs einer Drittperson zu ihrem Endgerät, sowie das Recht auf Erhalt einer kostenlosen Rechnung ohne Einzelgebührennachweis.
Sie haben das Recht, sich zeitlich begrenzt, ohne Kosten und bei jeder Verbindung jeglicher Verarbeitung von Standortdaten zu widersetzen und zu jedem Zeitpunkt ihre Einwilligung zurückzuziehen.
Schließlich sieht das Gesetz ein Berichtigungs- und ein Widerspruchsrecht in Bezug auf die sie betreffenden Daten vor.
Die Aufgaben, die dem Anbieter und/oder dem Betreiber obliegen
Neben der Verpflichtung zur Vertraulichkeit und zur Aufbewahrung der Verkehrs- und Standortdaten haben Anbieter und/oder Betreiber eine Verpflichtung zur Sicherheit der Dienste und des Netzwerks.
Das Gesetz vom 28. Juli 2011 hat eine neue Bestimmung eingeführt, wonach Anbieter und/oder Betreiber die nationale Kommission für den Datenschutz in Kenntnis setzen müssen, wenn die Sicherheit und die Vertraulichkeit personenbezogener Daten verletzt wurde, und darüber hinaus die Teilnehmer informieren, wenn die festgestellte Verletzung zu einer Verminderung des Schutzes von Daten und Privatsphäre führen könnte.
Anbieter und/oder Betreiber, die gegen das abgeänderte Gesetz vom 30. Mai 2005 verstoßen, setzen sich einer Strafverfolgung aus.