Telecoms Package ePrivacy IMCO Report/de

Telekompaket: Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutz für elektronische Kommunikation 2002/58/EG) − Ausschuss für Binnenmarkt und Verbraucherschutz Bericht − 2008-07-07

Artikel 1
(26a) Die Richtlinie 2002/58/EG dient der Harmonisierung der Vorschriften der Mitgliedstaaten, die erforderlich ist, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und des Rechts auf Vertraulichkeit und Sicherheit der Systeme der Informationstechnologie, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der Gemeinschaft zu gewährleisten.

Artikel 2
Artikel 2 − Begriffsbestimmungen

Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie 95/46/EG und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste ("Rahmenrichtlinie") (ABl. L 108 vom 24.4.2002, S. 33.) auch für diese Richtlinie.

Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck

a) „Nutzer” eine natürliche Person, die einen öffentlich zugänglichen elektronischen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst notwendigerweise abonniert zu haben;

b) „Verkehrsdaten” Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden;

c) „Standortdaten” Daten, die in einem elektronischen Kommunikationsnetz verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben;

d) “Nachricht” jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlich zugänglichen elektronischen Kommunikationsdienst ausgetauscht oder weitergeleitet wird. Dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein elektronisches Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbindung gebracht werden können;

e) „Anruf“ eine über einen öffentlich zugänglichen Telefondienst aufgebaute Verbindung, die eine zweiseitige Kommunikation ermöglicht;

f) „Einwilligung” eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;

g) „Dienst mit Zusatznutzen” jeden Dienst, der die Bearbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Fakturierung dieses Vorgangs erforderliche Maß hinausgeht;

h) „elektronische Post” jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird.

Artikel 3
''(28) Der technische Fortschritt erlaubt die Entwicklung neuer Anwendungen auf der Grundlage von Datenerfassungs- und Identifizierungsgeräten, bei denen es sich auch um kontaktlos mit Funkfrequenzen arbeitende Geräte handeln kann. So werden beispielsweise in RFID-Funkfrequenzerkennungsgeräten (Radio Frequency Identification Devices) Funkfrequenzen genutzt, um von eindeutig gekennzeichneten Etiketten Daten auszulesen, die dann über bestehende Kommunikationsnetze weitergeleitet werden können. Die breite Nutzung solcher Technologien kann erhebliche wirtschaftliche und soziale Vorteile bringen und damit einen großen Beitrag zum Binnenmarkt leisten, wenn ihr Einsatz von den Bürgern akzeptiert wird. Dazu muss gewährleistet werden, dass die Grundrechte des Einzelnen, vor allem das Recht auf Privatsphäre und Datenschutz, gewahrt bleiben. Werden solche Geräte an öffentlich zugängliche elektronische Kommunikationsnetze angeschlossen oder werden elektronische Kommunikationsdienste als Grundinfrastruktur genutzt, so sollten die einschlägigen Bestimmungen der Richtlinie 2002/58/EG, insbesondere deren Vorschriften über Sicherheit, Datenverkehr, Standortdaten und Vertraulichkeit zur Anwendung kommen.''

''(28a) Im Sinne der Richtlinie 2002/58/EG sollten Internet-Protokoll-Adressen nur dann als personenbezogene Daten gelten, wenn sie allein oder in Verbindung mit anderen Daten direkt mit einer Person in Verbindung gebracht werden können. Bis zum ... (Zwei Jahre nach Inkrafttreten dieser Richtlinie.) sollte die Kommission nach Konsultation der Arbeitsgruppe nach Artikel 29 und des Europäischen Datenschutzbeauftragten besondere Rechtsvorschriften für die rechtliche Behandlung von Internet-Protokoll-Adressen als personenbezogene Daten im Rahmen des Datenschutzes vorlegen.''

Artikel 4
Artikel 4 − Sicherheit der Verarbeitung

1. Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; die Netzsicherheit ist hierbei erforderlichenfalls zusammen mit dem Betreiber des öffentlichen Kommunikationsnetzes zu gewährleisten. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

1a. Unbeschadet der Bestimmungen der Richtlinie 95/46/EG und der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden (ABl. L 105 vom 13.4.2006, S. 54.), müssen diese Maßnahmen Folgendes umfassen:

- geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten, und um gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe zu schützen,

- geeignete technische und organisatorische Maßnahmen zum Schutz von Netz und Diensten vor unbeabsichtigter, unrechtmäßiger oder unbefugter Nutzung, Störung oder Behinderung der Funktionsfähigkeit oder Zugänglichkeit,

- ein Sicherheitskonzept für die Verarbeitung personenbezogener Daten,

- ein Verfahren zur Ermittlung und Bewertung der nach vernünftigem Ermessen vorhersehbaren Schwachstellen in den vom Betreiber elektronischer Kommunikationsdienste unterhaltenen Systemen unter Einschluss einer regelmäßigen Überwachung zur Feststellung von Sicherheitsverletzungen und

- ein Verfahren zur Einleitung vorbeugender, korrektiver und schadensbegrenzender Maßnahmen bezüglich der bei dem Verfahren gemäß Spiegelstrich 4 festgestellten Schwachstellen und ein Verfahren zur Einleitung vorbeugender, korrektiver und schadensbegrenzender Maßnahmen bezüglich sicherheitsrelevanter Zwischenfälle, die zu einer Sicherheitsverletzung führen können.

1b. Die nationalen Regulierungsbehörden haben die Möglichkeit, die von den Betreibern von öffentlich zugänglichen elektronischen Kommunikationsdiensten und Diensten der Informationsgesellschaft getroffenen Maßnahmen zu prüfen und Empfehlungen zu bewährten Verfahren und Leistungsindikatoren im Zusammenhang mit dem mit Hilfe dieser Maßnahmen zu erreichenden Sicherheitsniveau zu veröffentlichen.

2. Besteht ein besonderes Risiko der Verletzung der Netzsicherheit, muss der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes die Teilnehmer über dieses Risiko und - wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahmen liegt - über mögliche Abhilfen, einschließlich der voraussichtlich entstehenden Kosten, unterrichten.

3. Im Fall einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in der Gemeinschaft führt, wodurch den Nutzern wahrscheinlich ein Schaden entstehen wird, muss der Betreiber der öffentlich zugänglichen elektronischen Kommunikationsdienste und jedes Unternehmen, das dem Verbraucher Dienste über Internet anbietet und der für die Verarbeitung der Daten Verantwortliche und der Anbieter der Dienste der Informationsgesellschaft ist, die nationale Regulierungsbehörde oder die nach dem nationalen Recht des jeweiligen Mitgliedstaats zuständige Behörde unverzüglich von der Sicherheitsverletzung benachrichtigen. Die Benachrichtigung der zuständigen Behörde muss zumindest eine Darlegung der Art der Verletzung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. In der Meldung an die zuständige Behörde müssen zusätzlich die Folgen der Verletzung und die vom Betreiber nach der Verletzung ergriffenen Maßnahmen dargelegt werden.

Die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und jedes Unternehmen, das dem Verbraucher Dienste über Internet anbietet und der für die Verarbeitung der Daten Verantwortliche und der Anbieter der Dienste der Informationsgesellschaft ist, benachrichtigen ihre Nutzer im Voraus, wenn sie es für erforderlich halten, drohende, unmittelbare Gefahren für die Rechte und Interessen der Verbraucher abzuwenden.

''(29) Eine Sicherheitsverletzung, die zum Verlust oder zur Preisgabe personenbezogener Daten eines einzelnen Teilnehmers führt, kann erhebliche wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs nach sich ziehen, wenn nicht rechtzeitig und angemessen darauf reagiert wird. Deshalb sollte die nationale Regulierungsbehörde oder eine andere zuständige nationale Behörde unverzüglich benachrichtigt werden. Die Benachrichtigung sollte Informationen über die vom Betreiber nach der Verletzung ergriffenen Maßnahmen sowie Empfehlungen für den betroffenen Nutzer enthalten. Die zuständige Behörde sollte die Schwere der Verletzung prüfen und bestimmen. Falls die Verletzung für ernst befunden wird, sollte die zuständige Behörde den Betreiber des öffentlich zugänglichen elektronischen Kommunikationsdienstes und den Anbieter von Diensten der Informationsgesellschaft auffordern, die von der Verletzung betroffenen Personen unverzüglich in angemessener Form zu benachrichtigen.''

3a. Die zuständige Behörde prüft und bestimmt die Schwere der Verletzung. Falls die Verletzung für ernst befunden wird, fordert die zuständige Behörde den Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und den Anbieter von Diensten der Informationsgesellschaft auf, die von der Verletzung betroffenen Personen unverzüglich in angemessener Form zu benachrichtigen. Die Benachrichtigung muss die in Absatz 3 beschriebenen Angaben enthalten.

Die Benachrichtigung über eine ernste Verletzung kann verschoben werden, wenn sie den Fortgang einer wegen der ernsten Verletzung eingeleiteten strafrechtlichen Ermittlung behindern könnte.

Die Betreiber oder Anbieter unterrichten die betroffenen Nutzer alljährlich über alle Sicherheitsverletzungen, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten geführt haben, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.

Die nationalen Regulierungsbehörden überwachen auch, ob die Unternehmen ihre Meldepflichten nach diesem Artikel erfüllt haben, und verhängen, falls dies nicht der Fall war, geeignete Sanktionen, die gegebenenfalls auch eine Veröffentlichung einschließen können.

3b. Die Schwere einer Verletzung, die eine Benachrichtigung der Teilnehmer erfordert, wird nach den Umständen der Verletzung bestimmt, z. B. dem Risiko für die von der Verletzung betroffenen personenbezogenen Daten, der Art der von der Verletzung betroffenen Daten, der Zahl der betroffenen Teilnehmer und der unmittelbaren oder potenziellen Auswirkungen der Verletzung auf die Bereitstellung der Dienste.

3c. Die Verletzung wird nicht als ernst eingestuft und der Betreiber öffentlich zugänglicher Kommunikationsdienste und der Anbieter von Diensten der Informationsgesellschaft sind von der Pflicht zur Benachrichtigung der betroffenen Personen befreit, wenn sie nachweisen können, dass aufgrund der Anwendung geeigneter technologischer Schutzmaßnahmen nach vernünftigem Ermessen kein Risiko für die von der Verletzung betroffenen personenbezogenen Daten besteht.

Die technologischen Schutzmaßnahmen bewirken, falls es auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten kommt, die übertragen oder gespeichert werden, dass diese Daten für einen Dritten unverständlich sind oder – bei einem auf unbeabsichtigte oder unrechtmäßige Weise eingetretenen Verlust – für den Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und den Anbieter von Diensten der Informationsgesellschaft wiederhergestellt werden können.

4. Zur Gewährleistung einer einheitlichen Anwendung der in den Absätzen 1, 2, 3, 3a, 3b und 3c vorgesehenen Maßnahmen empfiehlt die Kommission nach Konsultation des Europäischen Datenschutzbeauftragten, der relevanten Interessengruppen und von ENISA technische Durchführungsmaßnahmen in Bezug auf die in Absatz 1a beschriebenen Maßnahmen und die Umstände, Form und Verfahren der in den Absätzen 3a und 3b vorgeschriebenen Informationen und Benachrichtigungen.

Die Kommission bezieht alle relevanten Interessengruppen mit ein, um sich insbesondere über die besten verfügbaren technischen und wirtschaftlichen Methoden für eine Verbesserung der Durchführung dieser Richtlinie zu informieren.

Diese Maßnahmen, die eine Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung bewirken, werden gemäß dem in Artikel 14a Absatz 2 genannten Regelungsverfahren mit Kontrolle erlassen. In Fällen äußerster Dringlichkeit kann die Kommission das in Artikel 14a Absatz 3 vorgesehene Dringlichkeitsverfahren anwenden.

Artikel 5
Artikel 5 − Vertraulichkeit der Kommunikation

1. Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht - unbeschadet des Grundsatzes der Vertraulichkeit - der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.

2. Absatz 1 betrifft nicht das rechtlich zulässige Aufzeichnen von Nachrichten und der damit verbundenen Verkehrsdaten, wenn dies im Rahmen einer rechtmäßigen Geschäftspraxis zum Nachweis einer kommerziellen Transaktion oder einer sonstigen geschäftlichen Nachricht geschieht.

3. Die Mitgliedstaaten sorgen dafür, dass die Speicherung von Informationen im Endgerät eines Teilnehmers oder Nutzers oder der Zugriff auf darin bereits gespeicherte Informationen, unabhängig davon, ob eine solche Speicherung direkt oder indirekt mit Hilfe eines Speichermediums erfolgt, verboten ist, sofern der betreffende Teilnehmer oder Nutzer nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt, und gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und von dem für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung abzulehnen. Dies steht einer technischen Speicherung oder dem Zugriff nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Artikel 6
Artikel 6 − Verkehrsdaten

1. Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.

2. Verkehrsdaten, die zum Zwecke der Gebührenabrechnung und der Bezahlung von Zusammenschaltungen erforderlich sind, dürfen verarbeitet werden. Diese Verarbeitung ist nur bis zum Ablauf der Frist zulässig, innerhalb deren die Rechnung rechtlich angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann.

3. Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes kann die in Absatz 1 genannten Daten zum Zwecke der Vermarktung elektronischer Kommunikationsdienste oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und innerhalb des dazu oder zur Vermarktung erforderlichen Zeitraums verarbeiten, sofern der Teilnehmer oder der Nutzer, auf den sich die Daten beziehen, zuvor seine Einwilligung gegeben hat. Der Nutzer oder der Teilnehmer hat die Möglichkeit, seine Einwilligung zur Verarbeitung der Verkehrsdaten jederzeit zurückzuziehen.

4. Der Diensteanbieter muss dem Teilnehmer oder Nutzer mitteilen, welche Arten von Verkehrsdaten für die in Absatz 2 genannten Zwecke verarbeitet werden und wie lange das geschieht; bei einer Verarbeitung für die in Absatz 3 genannten Zwecke muss diese Mitteilung erfolgen, bevor um Einwilligung ersucht wird.

5. Die Verarbeitung von Verkehrsdaten gemäß den Absätzen 1, 2, 3 und 4 darf nur durch Personen erfolgen, die auf Weisung der Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste handeln und die für Gebührenabrechnungen oder Verkehrsabwicklung, Kundenanfragen, Betrugsermittlung, die Vermarktung der elektronischen Kommunikationsdienste oder für die Bereitstellung eines Dienstes mit Zusatznutzen zuständig sind; ferner ist sie auf das für diese Tätigkeiten erforderliche Maß zu beschränken.

6. Die Absätze 1, 2, 3 und 5 gelten unbeschadet der Möglichkeit der zuständigen Gremien, in Einklang mit den geltenden Rechtsvorschriften für die Beilegung von Streitigkeiten, insbesondere Zusammenschaltungs- oder Abrechnungsstreitigkeiten, von Verkehrsdaten Kenntnis zu erhalten.

6a. Verkehrsdaten können von jeder natürlichen oder juristischen Person zum Zweck der Durchführung technischer Maßnahmen verarbeitet werden, mit denen die Sicherheit eines öffentlichen elektronischen Kommunikationsdienstes, eines öffentlichen oder privaten elektronischen Kommunikationsnetzes, eines Dienstes der Informationsgesellschaft oder damit zusammenhängender End- und elektronischer Kommunikationsgeräte sichergestellt werden soll. Eine solche Verarbeitung muss auf das für derartige Sicherheitsvorkehrungen unbedingt erforderliche Maß beschränkt bleiben.

Artikel 14
Artikel 14 − Technische Merkmale und Normung

1. Bei der Durchführung der Bestimmungen dieser Richtlinie stellen die Mitgliedstaaten vorbehaltlich der Absätze 2 und 3 sicher, dass keine zwingenden Anforderungen in Bezug auf spezifische technische Merkmale für Endgeräte oder sonstige elektronische Kommunikationsgeräte, unter anderem zum Zweck der Feststellung, Abstellung oder Verhinderung der Verletzung geistiger Eigentumsrechte durch die Nutzer, gestellt werden, die deren Inverkehrbringen und freien Vertrieb in und zwischen den Mitgliedstaaten behindern können.

2. Soweit die Bestimmungen dieser Richtlinie nur mit Hilfe spezifischer technischer Merkmale elektronischer Kommunikationsnetze durchgeführt werden können, unterrichten die Mitgliedstaaten die Kommission darüber gemäß der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 vom 21.7.1998, S. 37. Richtlinie geändert durch die Richtlinie 98/48/EG (ABl. L 217 vom 5.8.1998, S. 18).).

3. Erforderlichenfalls können gemäß der Richtlinie 1999/5/EG und dem Beschluss 87/95/EWG des Rates vom 22. Dezember 1986 über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation Maßnahmen getroffen werden, um sicherzustellen, dass Endgeräte in einer Weise gebaut sind, die mit dem Recht der Nutzer auf Schutz und Kontrolle der Verwendung ihrer personenbezogenen Daten vereinbar ist. Bei diesen Maßnahmen wird der Grundsatz der Technologieneutralität gewahrt.

Artikel 15
Artikel 15 − Anwendung einzelner Bestimmungen der Richtlinie 95/46/EG

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken, sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Zu diesem Zweck können die Mitgliedstaaten unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden. Alle in diesem Absatz genannten Maßnahmen müssen den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen entsprechen.

''(30a) Artikel 15 Absatz 1 der Richtlinie 2002/58/EG sollte so verstanden werden, dass die Offenlegung personenbezogener Daten gemäß Artikel 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. L 157 vom 30.4.2004, S. 45.) die Richtlinie 2002/58/EG oder die Richtlinie 95/46/EG unberührt lässt, wenn diese Offenlegung aufgrund eines berechtigten, d.h. hinreichend begründeten, und die Verhältnismäßigkeit wahrenden Antrags im Einklang mit den Verfahren erfolgt, die von den Mitgliedstaaten festgelegt wurden, um die Einhaltung dieser Schutzmaßnahmen zu garantieren.''

1 bis. Die Betreiber öffentlich zugänglicher Kommunikationsdienste und die Anbieter von Diensten der Informationsgesellschaft informieren die unabhängigen Datenschutzbehörden unverzüglich über alle gemäß Absatz 1 eingegangenen Anträge auf Zugang zu den personenbezogenen Daten der Nutzer einschließlich der angegebenen rechtlichen Begründung und des bei den einzelnen Anträgen angewandten rechtlichen Verfahrens. Die betreffende unabhängige Datenschutzbehörde informiert die zuständigen Justizbehörden, wenn sie der Ansicht ist, dass die einschlägigen Vorschriften des nationalen Rechts nicht eingehalten wurden.

2. Die Bestimmungen des Kapitels III der Richtlinie 95/46/EG über Rechtsbehelfe, Haftung und Sanktionen gelten im Hinblick auf innerstaatliche Vorschriften, die nach der vorliegenden Richtlinie erlassen werden, und im Hinblick auf die aus dieser Richtlinie resultierenden individuellen Rechte.

3. Die gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzte Datenschutzgruppe nimmt auch die in Artikel 30 jener Richtlinie festgelegten Aufgaben im Hinblick auf die von der vorliegenden Richtlinie abgedeckten Aspekte, nämlich den Schutz der Grundrechte und der Grundfreiheiten und der berechtigten Interessen im Bereich der elektronischen Kommunikation wahr.

Artikel 15a
Artikel 15a − Umsetzung und Durchsetzung

1. Die Mitgliedstaaten legen fest, welche Sanktionen, einschließlich etwaiger strafrechtlicher Sanktionen, bei einem Verstoß gegen die innerstaatlichen Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Durchsetzung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften bis spätestens [Termin für die Umsetzung des Änderungsrechtsaktes] mit und melden ihr unverzüglich etwaige spätere Änderungen, die diese Vorschriften berühren.

2. Unbeschadet etwaiger gerichtlicher Rechtsbehelfe sorgen die Mitgliedstaaten dafür, dass die nationalen Regulierungsbehörden befugt sind, die Einstellung der in Absatz 1 genannten Verstöße anzuordnen.

3. Die Mitgliedstaaten sorgen dafür, dass die nationalen Regulierungsbehörden über alle erforderlichen Untersuchungsbefugnisse und Mittel verfügen, einschließlich der Möglichkeit, sämtliche zweckdienliche Informationen zu erlangen, die sie benötigen, um die Einhaltung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften zu überwachen und durchzusetzen.

4. Zur Gewährleistung einer wirksamen grenzübergreifenden Koordinierung der Durchsetzung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften und zur Schaffung harmonisierter Bedingungen für die Erbringung von Diensten, mit denen ein grenzüberschreitender Datenfluss verbunden ist, kann die Kommission nach Konsultation von ENISA, der Arbeitsgruppe nach Artikel 29 und der betroffenen Regulierungsbehörden technische Durchführungsmaßnahmen treffen.

Diese Maßnahmen, die eine Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung bewirken, werden gemäß dem in Artikel 14a Absatz 2 genannten Regelungsverfahren mit Kontrolle erlassen. In Fällen äußerster Dringlichkeit kann die Kommission das in Artikel 14a Absatz 3 vorgesehene Dringlichkeitsverfahren anwenden.

''(26c) Die Bestimmungen der Richtlinie 2002/58/EG stellen eine Detaillierung und Ergänzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31. Richtlinie geändert durch die Verordnung (EG) Nr. 1882/2003.) dar und regeln den Schutz der berechtigten Interessen der Teilnehmer, bei denen es sich um natürliche oder juristische Personen handelt.''

(30b) Bei der Durchführung von Maßnahmen zur Umsetzung der Richtlinie 2002/58/EG sollten die Behörden und Gerichte der Mitgliedstaaten nicht nur ihr nationales Recht im Einklang mit der genannten Richtlinie auslegen, sondern auch darauf achten, dass sie sich nicht auf eine Auslegung der Richtlinie stützen, die im Widerspruch zu anderen Grundrechten oder allgemeinen Grundsätzen des Gemeinschaftsrechts wie dem Grundsatz der Verhältnismäßigkeit stehen würde.

''(36) Angesichts der Notwendigkeit, in der Gemeinschaft einen angemessenen Schutz der Privatsphäre und personenbezogener Daten bei deren Übermittlung und Verarbeitung im Zusammenhang mit der Nutzung elektronischer Kommunikationsnetze zu gewährleisten, müssen als hinreichender Anreiz für die Einhaltung der Schutzbestimmungen wirksame Um- und Durchsetzungsbefugnisse geschaffen werden. Die nationalen Regulierungsbehörden sollten mit ausreichenden Befugnissen und Ressourcen ausgestattet werden, um Verstöße effektiv untersuchen zu können, und alle benötigten Informationen einholen können, damit sie Beschwerden nachgehen und bei Verstößen Sanktionen verhängen können.''

Artikel 18
Artikel 18 − Überprüfung

18. Die Kommission unterbreitet dem Europäischen Parlament und dem Rat bis zum ... (Zwei Jahre nach Inkrafttreten dieser Richtlinie.) nach Konsultation der Arbeitsgruppe nach Artikel 29 und des Europäischen Datenschutzbeauftragten einen Bericht über die Durchführung dieser Richtlinie und ihre Auswirkungen auf die Wirtschaftsteilnehmer und Verbraucher, insbesondere in Bezug auf die Bestimmungen über unerbetene Nachrichten, die Meldung von Sicherheitsverletzungen und die Nutzung personenbezogener Daten durch öffentliche oder private Dritte zu Zwecken, die nicht von dieser Richtlinie abgedeckt werden, unter Berücksichtigung des internationalen Umfelds. Hierzu kann die Kommission von den Mitgliedstaaten Informationen einholen, die ohne unangemessene Verzögerung zu liefern sind. Gegebenenfalls unterbreitet die Kommission unter Berücksichtigung der Ergebnisse des genannten Berichts, etwaiger Änderungen in dem betreffenden Sektor und des Vertrags von Lissabon zur Änderung des Vertrags über die Europäische Union und des Vertrags zur Gründung der Europäischen Gemeinschaft (ABl. C 306 vom 17. 12.2007, S. 1.), insbesondere der in Artikel 16 vorgesehenen neuen Zuständigkeiten in Fragen des Datenschutzes, sowie etwaiger weiterer Vorschläge, die sie zur Verbesserung dieser Richtlinie für erforderlich hält, Vorschläge zur Änderung dieser Richtlinie.