02009L0136 — DE — 21.12.2020 — 001.001
Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich
RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (Text von Bedeutung für den EWR) (ABl. L 337 vom 18.12.2009, S. 11) |
Geändert durch:
|
|
Amtsblatt |
||
Nr. |
Seite |
Datum |
||
L 321 |
36 |
17.12.2018 |
Berichtigt durch:
RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 25. November 2009
zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz
(Text von Bedeutung für den EWR)
▼M1 —————
Artikel 2
Änderungen der Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation)
Die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) wird wie folgt geändert:
Artikel 1 Absatz 1 erhält folgende Fassung:
Artikel 2 wird wie folgt geändert:
Buchstabe c erhält folgende Fassung:
‚Standortdaten‘ Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben;“
Buchstabe e wird gestrichen.
Folgender Buchstabe wird angefügt:
‚Verletzung des Schutzes personenbezogener Daten‘ ◄ eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.“
Artikel 3 erhält folgende Fassung:
„Artikel 3
Betroffene Dienste
Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft, einschließlich öffentlicher Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen.“
Artikel 4 wird wie folgt geändert:
Die Überschrift erhält folgende Fassung:
„Sicherheit der Verarbeitung“
Folgender Absatz wird eingefügt:
Unbeschadet der Richtlinie 95/46/EG ist durch die in Absatz 1 genannten Maßnahmen zumindest Folgendes zu erreichen:
Die zuständigen nationalen Behörden haben die Möglichkeit, die von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste getroffenen Maßnahmen zu prüfen und Empfehlungen zu bewährten Verfahren im Zusammenhang mit dem mit Hilfe dieser Maßnahmen zu erreichenden Sicherheitsniveau zu abzugeben.“
Folgende Absätze werden angefügt:
Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Betreiber der öffentlich zugänglichen elektronischen Kommunikationsdienste unverzüglich die zuständige nationale Behörde von der Verletzung.
Ist anzunehmen, dass durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden, so benachrichtigt der Betreiber auch den Teilnehmer bzw. die Person unverzüglich von der Verletzung.
Der Anbieter braucht die betroffenen Teilnehmer oder Personen nicht von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn er zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die nicht befugt sind, Zugang zu den Daten zu haben.
Unbeschadet der Pflicht des Betreibers, den betroffenen Teilnehmer und die Person zu benachrichtigen, kann die zuständige nationale Behörde, wenn der Betreiber den Teilnehmer bzw. die Person noch nicht über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, diesen nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung zur Benachrichtigung auffordern.
In der Benachrichtigung des Teilnehmers bzw. der Person werden mindestens die Art der Verletzung des Schutzes personenbezogener Daten und die Kontaktstellen, bei denen weitere Informationen erhältlich sind, genannt und Maßnahmen zur Begrenzung der möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten empfohlen. In der Benachrichtigung der zuständigen nationalen Behörde werden zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die vom Betreiber nach der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen dargelegt.
Vorbehaltlich technischer Durchführungsmaßnahmen nach Absatz 5 können die zuständigen nationalen Behörden Leitlinien annehmen und gegebenenfalls Anweisungen erteilen bezüglich der Umstände, unter denen die Benachrichtigung seitens der Betreiber über eine Verletzung des Schutzes personenbezogener Daten erforderlich ist, sowie bezüglich des Formates und der Verfahrensweise für die Benachrichtigung. Sie müssen auch in der Lage sein zu überwachen, ob die Betreiber ihre Pflichten zur Benachrichtigung nach diesem Absatz erfüllt haben, und verhängen, falls dies nicht der Fall ist, geeignete Sanktionen.
Die Betreiber führen ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten, das Angaben zu den Umständen der Verletzungen, zu deren Auswirkungen und zu den ergriffenen Abhilfemaßnahmen enthält, wobei diese Angaben ausreichend sein müssen, um den zuständigen nationalen Behörden die Prüfung der Einhaltung der Bestimmungen des Absatzes 3 zu ermöglichen. Das Verzeichnis enthält nur die zu diesem Zweck erforderlichen Informationen.
Zur Gewährleistung einer einheitlichen Anwendung der in den Absätzen 2, 3 und 4 vorgesehenen Maßnahmen kann die Kommission nach Anhörung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten und des Europäischen Datenschutzbeauftragten technische Durchführungsmaßnahmen in Bezug auf Umstände, Form und Verfahren der in diesem Artikel vorgeschriebenen Informationen und Benachrichtigungen erlassen. Beim Erlass dieser Maßnahmen bezieht die Kommission alle relevanten Interessengruppen mit ein, um sich insbesondere über die besten verfügbaren technischen und wirtschaftlichen Mittel zur Durchführung dieses Artikels zu informieren.
Diese Maßnahmen zur Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung werden nach dem in Artikel 14a Absatz 2 genannten Regelungsverfahren mit Kontrolle erlassen.“
Artikel 5 Absatz 3 erhält folgende Fassung:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Artikel 6 Absatz 3 erhält folgende Fassung:
Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes kann die in Absatz 1 genannten Daten zum Zwecke der Vermarktung elektronischer Kommunikationsdienste oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und innerhalb des dazu oder zur Vermarktung erforderlichen Zeitraums verarbeiten, sofern der Teilnehmer oder der Nutzer, auf den sich die Daten beziehen, zuvor seine Einwilligung gegeben hat. Der Nutzer oder der Teilnehmer hat die Möglichkeit, seine Einwilligung zur Verarbeitung der Verkehrsdaten jederzeit zu widerrufen.“
Artikel 13 erhält folgende Fassung:
„Artikel 13
Unerbetene Nachrichten
Folgender Artikel wird eingefügt:
„Artikel 14a
Ausschussverfahren
In Artikel 15 wird folgender Absatz eingefügt:
Folgender Artikel wird eingefügt:
„Artikel 15a
Umsetzung und Durchsetzung
Zur Gewährleistung einer wirksamen grenzübergreifenden Koordinierung der Durchsetzung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften und zur Schaffung harmonisierter Bedingungen für die Erbringung von Diensten, mit denen ein grenzüberschreitender Datenfluss verbunden ist, können die zuständigen nationalen Regulierungsbehörden Maßnahmen erlassen.
Die nationalen Regulierungsbehörden übermitteln der Kommission rechtzeitig vor dem Erlass solcher Maßnahmen eine Zusammenfassung der Gründe für ein Tätigwerden, der geplanten Maßnahmen und der vorgeschlagenen Vorgehensweise. Die Kommission kann hierzu nach Anhörung der ENISA und der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten Kommentare oder Empfehlungen abgeben, insbesondere um sicherzustellen, dass die vorgesehenen Maßnahmen ein ordnungsmäßiges Funktionieren des Binnenmarktes nicht beeinträchtigen. Die nationalen Regulierungsbehörden tragen den Kommentaren oder Empfehlungen der Kommission weitestgehend Rechnung, wenn sie die Maßnahmen beschließen.“
Artikel 3
Änderung der Verordnung (EG) Nr. 2006/2004
Im Anhang der Verordnung (EG) Nr. 2006/2004 (Verordnung über die Zusammenarbeit im Verbraucherschutz) wird folgende Nummer angefügt:
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), Artikel 13 (ABl. L 201 vom 31.7.2002, S. 37).“
Artikel 4
Umsetzung
Die Mitgliedstaaten erlassen und veröffentlichen bis zum 25. Mai 2011 die Rechts- und Verwaltungsvorschriften, die erforderlich sind, um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.
Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.
Artikel 5
Inkrafttreten
Diese Richtlinie tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Artikel 6
Adressaten
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.
▼M1 —————
ANHANG II
„ANHANG VI
INTEROPERABILITÄT DER FÜR VERBRAUCHER BESTIMMTEN DIGITALFERNSEHGERÄTE GEMÄSS ARTIKEL 24
1. Einheitlicher Verschlüsselungsalgorithmus und unverschlüsselter Empfang
Alle für den Empfang von konventionellen Digitalfernsehsignalen (d. h. terrestrische, kabelgebundene oder satellitengestützte Übertragung eines Sendesignals, das hauptsächlich für den ortsfesten Empfang bestimmt ist) vorgesehenen Verbrauchergeräte, die in der Gemeinschaft zum Verkauf, zur Miete oder anderweitig angeboten werden und in der Lage sind, Digitalfernsehsignale zu entschlüsseln, müssen über die Fähigkeit verfügen,
2. Interoperabilität von Geräten für Analog- und Digitalfernsehen
Jedes Analogfernsehgerät mit integriertem Bildschirm mit einer sichtbaren Diagonale von mehr als 42 cm, das in der Gemeinschaft zum Verkauf oder zur Miete in Verkehr gebracht wird, muss mit mindestens einer offenen Schnittstellenbuchse in der von einer anerkannten europäischen Normenorganisation genormten Form, beispielsweise der Cenelec-Norm 50 049-1:1997, ausgestattet sein, die den einfachen Anschluss von Peripheriegeräten, insbesondere von zusätzlichen Decodiergeräten und Digitalempfängern, ermöglicht.
Jedes Digitalfernsehgerät mit integriertem Bildschirm mit einer sichtbaren Diagonale von mehr als 30 cm, das in der Gemeinschaft zum Verkauf oder zur Miete in Verkehr gebracht wird, muss mit mindestens einer offenen Schnittstellenbuchse (die entweder von einer anerkannten europäischen Normenorganisation genormt wurde oder einer von ihr festgelegten Norm entspricht oder einer branchenweiten Spezifikation entspricht), beispielsweise der einheitlichen DVB-Schnittstelle, ausgestattet sein, die den einfachen Anschluss von Peripheriegeräten ermöglicht und für alle Komponenten eines digitalen Fernsehsignals einschließlich der Informationen durchlässig ist, die sich auf interaktive und zugangskontrollierte Dienste beziehen.“