02009L0136 — DE — 21.12.2020 — 001.001

Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich

►B

RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 25. November 2009

zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz

(Text von Bedeutung für den EWR)

(ABl. L 337 vom 18.12.2009, S. 11)

Geändert durch:

 

 

Amtsblatt

  Nr.

Seite

Datum

►M1

RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES Text von Bedeutung für den EWR vom 11. Dezember 2018

  L 321

36

17.12.2018


Berichtigt durch:

►C1

Berichtigung, ABl. L 241 vom 10.9.2013, S.  9 (2009/136/EG)

►C2

Berichtigung, ABl. L 162 vom 23.6.2017, S.  56 (2009/136/EG)



▼B

RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 25. November 2009

zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz

(Text von Bedeutung für den EWR)



▼M1 —————

▼B

Artikel 2

Änderungen der Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation)

Die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) wird wie folgt geändert:

1. 

Artikel 1 Absatz 1 erhält folgende Fassung:

„(1)  
Diese Richtlinie sieht die Harmonisierung der Vorschriften der Mitgliedstaaten vor, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der Gemeinschaft zu gewährleisten.“
2. 

Artikel 2 wird wie folgt geändert:

a) 

Buchstabe c erhält folgende Fassung:

„c) 

‚Standortdaten‘ Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben;“

b) 

Buchstabe e wird gestrichen.

►C1  c) 

Folgender Buchstabe wird angefügt:

„i) 

‚Verletzung des Schutzes personenbezogener Daten‘ ◄ eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.“

3. 

Artikel 3 erhält folgende Fassung:

„Artikel 3

Betroffene Dienste

Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft, einschließlich öffentlicher Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen.“

4. 

Artikel 4 wird wie folgt geändert:

a) 

Die Überschrift erhält folgende Fassung:

„Sicherheit der Verarbeitung“

b) 

Folgender Absatz wird eingefügt:

„(1a)  

Unbeschadet der Richtlinie 95/46/EG ist durch die in Absatz 1 genannten Maßnahmen zumindest Folgendes zu erreichen:

— 
Sicherstellung, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,
— 
Schutz gespeicherter oder übermittelter personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe und
— 
Sicherstellung der Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten.

Die zuständigen nationalen Behörden haben die Möglichkeit, die von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste getroffenen Maßnahmen zu prüfen und Empfehlungen zu bewährten Verfahren im Zusammenhang mit dem mit Hilfe dieser Maßnahmen zu erreichenden Sicherheitsniveau zu abzugeben.“

c) 

Folgende Absätze werden angefügt:

„(3)  

Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Betreiber der öffentlich zugänglichen elektronischen Kommunikationsdienste unverzüglich die zuständige nationale Behörde von der Verletzung.

Ist anzunehmen, dass durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden, so benachrichtigt der Betreiber auch den Teilnehmer bzw. die Person unverzüglich von der Verletzung.

Der Anbieter braucht die betroffenen Teilnehmer oder Personen nicht von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn er zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die nicht befugt sind, Zugang zu den Daten zu haben.

Unbeschadet der Pflicht des Betreibers, den betroffenen Teilnehmer und die Person zu benachrichtigen, kann die zuständige nationale Behörde, wenn der Betreiber den Teilnehmer bzw. die Person noch nicht über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, diesen nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung zur Benachrichtigung auffordern.

In der Benachrichtigung des Teilnehmers bzw. der Person werden mindestens die Art der Verletzung des Schutzes personenbezogener Daten und die Kontaktstellen, bei denen weitere Informationen erhältlich sind, genannt und Maßnahmen zur Begrenzung der möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten empfohlen. In der Benachrichtigung der zuständigen nationalen Behörde werden zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die vom Betreiber nach der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen dargelegt.

(4)  

Vorbehaltlich technischer Durchführungsmaßnahmen nach Absatz 5 können die zuständigen nationalen Behörden Leitlinien annehmen und gegebenenfalls Anweisungen erteilen bezüglich der Umstände, unter denen die Benachrichtigung seitens der Betreiber über eine Verletzung des Schutzes personenbezogener Daten erforderlich ist, sowie bezüglich des Formates und der Verfahrensweise für die Benachrichtigung. Sie müssen auch in der Lage sein zu überwachen, ob die Betreiber ihre Pflichten zur Benachrichtigung nach diesem Absatz erfüllt haben, und verhängen, falls dies nicht der Fall ist, geeignete Sanktionen.

Die Betreiber führen ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten, das Angaben zu den Umständen der Verletzungen, zu deren Auswirkungen und zu den ergriffenen Abhilfemaßnahmen enthält, wobei diese Angaben ausreichend sein müssen, um den zuständigen nationalen Behörden die Prüfung der Einhaltung der Bestimmungen des Absatzes 3 zu ermöglichen. Das Verzeichnis enthält nur die zu diesem Zweck erforderlichen Informationen.

(5)  

Zur Gewährleistung einer einheitlichen Anwendung der in den Absätzen 2, 3 und 4 vorgesehenen Maßnahmen kann die Kommission nach Anhörung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten und des Europäischen Datenschutzbeauftragten technische Durchführungsmaßnahmen in Bezug auf Umstände, Form und Verfahren der in diesem Artikel vorgeschriebenen Informationen und Benachrichtigungen erlassen. Beim Erlass dieser Maßnahmen bezieht die Kommission alle relevanten Interessengruppen mit ein, um sich insbesondere über die besten verfügbaren technischen und wirtschaftlichen Mittel zur Durchführung dieses Artikels zu informieren.

Diese Maßnahmen zur Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung werden nach dem in Artikel 14a Absatz 2 genannten Regelungsverfahren mit Kontrolle erlassen.“

5. 

Artikel 5 Absatz 3 erhält folgende Fassung:

„(3)  

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

6. 

Artikel 6 Absatz 3 erhält folgende Fassung:

„(3)  

Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes kann die in Absatz 1 genannten Daten zum Zwecke der Vermarktung elektronischer Kommunikationsdienste oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und innerhalb des dazu oder zur Vermarktung erforderlichen Zeitraums verarbeiten, sofern der Teilnehmer oder der Nutzer, auf den sich die Daten beziehen, zuvor seine Einwilligung gegeben hat. Der Nutzer oder der Teilnehmer hat die Möglichkeit, seine Einwilligung zur Verarbeitung der Verkehrsdaten jederzeit zu widerrufen.“

7. 

Artikel 13 erhält folgende Fassung:

„Artikel 13

Unerbetene Nachrichten

(1)  
Die Verwendung von automatischen Anruf- und Kommunikationssystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer oder Nutzer gestattet werden.
(2)  
Ungeachtet des Absatzes 1 kann eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung gemäß der Richtlinie 95/46/EG deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen zum Zeitpunkt ihrer Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat.
(3)  
Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um sicherzustellen, dass außer in den in den Absätzen 1 und 2 genannten Fällen unerbetene Nachrichten zum Zwecke der Direktwerbung, die entweder ohne die Einwilligung der betreffenden Teilnehmer oder Nutzer erfolgen oder an Teilnehmer oder Nutzer gerichtet sind, die keine solchen Nachrichten erhalten möchten, nicht gestattet sind; welche dieser Optionen gewählt wird, wird im innerstaatlichen Recht geregelt, wobei berücksichtigt wird, dass beide Optionen für den Teilnehmer oder Nutzer gebührenfrei sein müssen.
(4)  
Auf jeden Fall verboten ist die Praxis des Versendens elektronischer Nachrichten zu Zwecken der Direktwerbung, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird, bei der gegen Artikel 6 der Richtlinie 2000/31/EG verstoßen wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, oder in denen der Empfänger aufgefordert wird, Websites zu besuchen, die gegen den genannten Artikel verstoßen.
(5)  
Die Absätze 1 und 3 gelten für Teilnehmer, die natürliche Personen sind. Die Mitgliedstaaten stellen im Rahmen des Gemeinschaftsrechts und der geltenden nationalen Rechtsvorschriften außerdem sicher, dass die berechtigten Interessen anderer Teilnehmer als natürlicher Personen in Bezug auf unerbetene Nachrichten ausreichend geschützt werden.
(6)  
►C2  Unbeschadet etwaiger Verwaltungsvorschriften, die unter anderem gemäß Artikel 15a Absatz 2 erlassen werden können, stellen die Mitgliedstaaten sicher, dass natürliche oder juristische Personen, die durch Verstöße gegen die aufgrund dieses Artikels erlassenen nationalen Vorschriften beeinträchtigt werden und somit ein berechtigtes Interesse an der Einstellung oder dem Verbot solcher Verstöße haben, ◄ einschließlich der Anbieter elektronischer Kommunikationsdienste, die ihre berechtigten Geschäftsinteressen schützen wollen, gegen solche Verstöße gerichtlich vorgehen können. Die Mitgliedstaaten können auch spezifische Vorschriften über Sanktionen festlegen, die gegen Betreiber elektronischer Kommunikationsdienste zu verhängen sind, die durch Fahrlässigkeit zu Verstößen gegen die aufgrund dieses Artikels erlassenen nationalen Vorschriften beitragen.“
8. 

Folgender Artikel wird eingefügt:

„Artikel 14a

Ausschussverfahren

(1)  
Die Kommission wird von dem durch Artikel 22 der Richtlinie 2002/21/EG (Rahmenrichtlinie) eingesetzten Kommunikationsausschuss unterstützt.
(2)  
Wird auf diesen Absatz Bezug genommen, so gelten Artikel 5a Absätze 1 bis 4 und Artikel 7 des Beschlusses 1999/468/EG unter Beachtung von dessen Artikel 8.
(3)  
Wird auf diesen Absatz Bezug genommen, so gelten Artikel 5a Absätze 1, 2, 4 und 6 und Artikel 7 des Beschlusses 1999/468/EG unter Beachtung von dessen Artikel 8.“
9. 

In Artikel 15 wird folgender Absatz eingefügt:

„(1b)  
Die Anbieter richten nach den gemäß Absatz 1 eingeführten nationalen Vorschriften interne Verfahren zur Beantwortung von Anfragen über den Zugang zu den personenbezogenen Daten der Nutzer ein. Sie stellen den zuständigen nationalen Behörden auf Anfrage Informationen über diese Verfahren, die Zahl der eingegangenen Anfragen, die vorgebrachten rechtlichen Begründungen und ihrer Antworten zur Verfügung.“
10. 

Folgender Artikel wird eingefügt:

„Artikel 15a

Umsetzung und Durchsetzung

(1)  
Die Mitgliedstaaten legen fest, welche Sanktionen, gegebenenfalls einschließlich strafrechtlicher Sanktionen, bei einem Verstoß gegen die innerstaatlichen Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Durchsetzung erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein und können für den gesamten Zeitraum einer Verletzung angewendet werden, auch wenn die Verletzung in der Folge abgestellt wurde. Die Mitgliedstaaten teilen der Kommission diese Vorschriften bis zum 25. Mai 2011 mit und melden ihr unverzüglich etwaige spätere Änderungen, die diese Vorschriften betreffen.
(2)  
Unbeschadet etwaiger gerichtlicher Rechtsbehelfe stellen die Mitgliedstaaten sicher, dass die zuständige nationale Behörde und gegebenenfalls andere nationale Stellen befugt sind, die Einstellung der in Absatz 1 genannten Verstöße anzuordnen.
(3)  
Die Mitgliedstaaten stellen sicher, dass die zuständigen nationalen Regulierungsbehörden und gegebenenfalls andere nationale Stellen über die erforderlichen Untersuchungsbefugnisse und Mittel verfügen, einschließlich der Befugnis, sämtliche zweckdienliche Informationen zu erlangen, die sie benötigen, um die Einhaltung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften zu überwachen und durchzusetzen.
(4)  

Zur Gewährleistung einer wirksamen grenzübergreifenden Koordinierung der Durchsetzung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften und zur Schaffung harmonisierter Bedingungen für die Erbringung von Diensten, mit denen ein grenzüberschreitender Datenfluss verbunden ist, können die zuständigen nationalen Regulierungsbehörden Maßnahmen erlassen.

Die nationalen Regulierungsbehörden übermitteln der Kommission rechtzeitig vor dem Erlass solcher Maßnahmen eine Zusammenfassung der Gründe für ein Tätigwerden, der geplanten Maßnahmen und der vorgeschlagenen Vorgehensweise. Die Kommission kann hierzu nach Anhörung der ENISA und der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten Kommentare oder Empfehlungen abgeben, insbesondere um sicherzustellen, dass die vorgesehenen Maßnahmen ein ordnungsmäßiges Funktionieren des Binnenmarktes nicht beeinträchtigen. Die nationalen Regulierungsbehörden tragen den Kommentaren oder Empfehlungen der Kommission weitestgehend Rechnung, wenn sie die Maßnahmen beschließen.“

Artikel 3

Änderung der Verordnung (EG) Nr. 2006/2004

Im Anhang der Verordnung (EG) Nr. 2006/2004 (Verordnung über die Zusammenarbeit im Verbraucherschutz) wird folgende Nummer angefügt:

„17. 

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), Artikel 13 (ABl. L 201 vom 31.7.2002, S. 37).“

Artikel 4

Umsetzung

(1)  

Die Mitgliedstaaten erlassen und veröffentlichen bis zum 25. Mai 2011 die Rechts- und Verwaltungsvorschriften, die erforderlich sind, um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.

Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.

(2)  
Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten innerstaatlichen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

Artikel 5

Inkrafttreten

Diese Richtlinie tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 6

Adressaten

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

▼M1 —————

▼B



ANHANG II



„ANHANG VI

INTEROPERABILITÄT DER FÜR VERBRAUCHER BESTIMMTEN DIGITALFERNSEHGERÄTE GEMÄSS ARTIKEL 24

1.   Einheitlicher Verschlüsselungsalgorithmus und unverschlüsselter Empfang

Alle für den Empfang von konventionellen Digitalfernsehsignalen (d. h. terrestrische, kabelgebundene oder satellitengestützte Übertragung eines Sendesignals, das hauptsächlich für den ortsfesten Empfang bestimmt ist) vorgesehenen Verbrauchergeräte, die in der Gemeinschaft zum Verkauf, zur Miete oder anderweitig angeboten werden und in der Lage sind, Digitalfernsehsignale zu entschlüsseln, müssen über die Fähigkeit verfügen,

— 
Signale zu entschlüsseln, die einem einheitlichen europäischen Verschlüsselungsalgorithmus entsprechen, wie er von einer anerkannten europäischen Normenorganisation, derzeit ETSI, verwaltet wird;
— 
Signale anzuzeigen, die unverschlüsselt übertragen wurden, sofern bei Mietgeräten die mietvertraglichen Bestimmungen vom Mieter eingehalten werden.

2.   Interoperabilität von Geräten für Analog- und Digitalfernsehen

Jedes Analogfernsehgerät mit integriertem Bildschirm mit einer sichtbaren Diagonale von mehr als 42 cm, das in der Gemeinschaft zum Verkauf oder zur Miete in Verkehr gebracht wird, muss mit mindestens einer offenen Schnittstellenbuchse in der von einer anerkannten europäischen Normenorganisation genormten Form, beispielsweise der Cenelec-Norm 50 049-1:1997, ausgestattet sein, die den einfachen Anschluss von Peripheriegeräten, insbesondere von zusätzlichen Decodiergeräten und Digitalempfängern, ermöglicht.

Jedes Digitalfernsehgerät mit integriertem Bildschirm mit einer sichtbaren Diagonale von mehr als 30 cm, das in der Gemeinschaft zum Verkauf oder zur Miete in Verkehr gebracht wird, muss mit mindestens einer offenen Schnittstellenbuchse (die entweder von einer anerkannten europäischen Normenorganisation genormt wurde oder einer von ihr festgelegten Norm entspricht oder einer branchenweiten Spezifikation entspricht), beispielsweise der einheitlichen DVB-Schnittstelle, ausgestattet sein, die den einfachen Anschluss von Peripheriegeräten ermöglicht und für alle Komponenten eines digitalen Fernsehsignals einschließlich der Informationen durchlässig ist, die sich auf interaktive und zugangskontrollierte Dienste beziehen.“