Telecoms Package ePrivacy IMCO Recommandation for Second Reading/de

Telekompaket: Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutz für elektronische Kommunikation 2002/58/EG) − Ausschuss für Binnenmarkt und Verbraucherschutz Empfehlung für die zweite Lesung − 2009-04-07

Artikel 1
''(39b) Die Richtlinie 2002/58/EG sieht eine Angleichung der einzelstaatlichen Rechtsvorschriften vor, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und des Rechts auf Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und elektronischer Kommunikationsgeräte und -dienste in der Gemeinschaft zu gewährleisten. Werden gemäß der Richtlinie 1999/5/EG oder dem Beschluss 87/95/EWG des Rates Maßnahmen getroffen, um sicherzustellen, dass Endgeräte in einer Weise gebaut sind, die den Schutz personenbezogener Daten und der Privatsphäre gewährleist, so sollten solche Maßnahmen den Grundsatz der Technologieneutralität wahren.''

Artikel 2
Artikel 2 − Begriffsbestimmungen

Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie 95/46/EG und der Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste ("Rahmenrichtlinie") auch für diese Richtlinie.

Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck

a) „Nutzer” eine natürliche Person, die einen öffentlich zugänglichen elektronischen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst notwendigerweise abonniert zu haben;

b) „Verkehrsdaten” Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden;

c) “Standortdaten” Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben;

d) “Nachricht” jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlich zugänglichen elektronischen Kommunikationsdienst ausgetauscht oder weitergeleitet wird. Dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein elektronisches Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbindung gebracht werden können;

e) „Einwilligung” eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;

f) „Dienst mit Zusatznutzen” jeden Dienst, der die Bearbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Fakturierung dieses Vorgangs erforderliche Maß hinausgeht;

g) “elektronische Post” jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird;

h) “Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder Dienste der Informationsgesellschaft in der Gemeinschaft verarbeitet werden.

Artikel 3
(39d) Die Entwicklungen bei der Nutzung von IP-Adressen sollten genau verfolgt werden, wobei die u. a. bereits von der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten geleistete Arbeit und gegebenenfalls vorgelegte entsprechende Vorschläge zu berücksichtigen sind.

''(44) Der technische Fortschritt erlaubt die Entwicklung neuer Anwendungen auf der Grundlage von Datenerfassungs- und Identifizierungsgeräten, bei denen es sich auch um kontaktlos mit Funkfrequenzen arbeitende Geräte handeln könnte. So werden beispielsweise in RFID-Funkfrequenzerkennungsgeräten (Radio Frequency Identification Devices) Funkfrequenzen genutzt, um von eindeutig gekennzeichneten Etiketten Daten abzulesen, die dann über bestehende Kommunikationsnetze weitergeleitet werden können. Die breite Nutzung solcher Technologien kann erhebliche wirtschaftliche und soziale Vorteile bringen und damit einen großen Beitrag zum Binnenmarkt leisten, wenn ihr Einsatz von den Bürgern akzeptiert wird. Um dieses Ziel zu erreichen, muss gewährleistet werden, dass sämtliche Grundrechte des Einzelnen, einschließlich des Rechts auf Privatsphäre und Datenschutz, gewahrt bleiben. Werden solche Geräte an öffentlich zugängliche elektronische Kommunikationsnetze angeschlossen oder werden elektronische Kommunikationsdienste als Grundinfrastruktur genutzt, so sollten die einschlägigen Bestimmungen der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), einschließlich der Vorschriften über Sicherheit, Datenverkehr, Standortdaten und Vertraulichkeit, zur Anwendung kommen.''

Artikel 4
Artikel 4 − Sicherheit der Verarbeitung

1. Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes oder eines Dienstes der Informationsgesellschaft muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; die Netzsicherheit ist hierbei erforderlichenfalls zusammen mit dem Betreiber des öffentlichen Kommunikationsnetzes zu gewährleisten. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

1a. Unbeschadet der Richtlinie 95/46/EG soll durch die in Absatz 1 aufgeführten Maßnahmen zumindest

- sichergestellt werden, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten;

- gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden, und

- ein Sicherheitskonzept für die Verarbeitung personenbezogener Daten umgesetzt werden.

Die nationalen Regulierungsbehörden haben die Möglichkeit, die von den Betreibern von öffentlich zugänglichen elektronischen Kommunikationsdiensten und Diensten der Informationsgesellschaft getroffenen Maßnahmen zu prüfen und Empfehlungen zu bewährten Verfahren im Zusammenhang mit dem mit Hilfe dieser Maßnahmen zu erreichenden Sicherheitsniveau zu veröffentlichen.

2. Besteht ein besonderes Risiko der Verletzung der Netzsicherheit, muss der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes die Teilnehmer über dieses Risiko und - wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahmen liegt - über mögliche Abhilfen, einschließlich der voraussichtlich entstehenden Kosten, unterrichten.

3. Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Betreiber der öffentlich zugänglichen elektronischen Kommunikationsdienste oder von Diensten der Informationsgesellschaft unverzüglich die zuständige nationale Behörde über die Verletzung.

Ist anzunehmen, dass durch die Verletzung personenbezogener Daten der Teilnehmer oder Einzelpersonen in ihrer Privatsphäre beeinträchtigt werden, so benachrichtigt der Betreiber den Teilnehmer bzw. die Person unverzüglich über die Verletzung.

Hat der Betreiber den Teilnehmer bzw. die Einzelperson noch nicht über eine Verletzung des Schutzes personenbezogener Daten benachrichtigt, kann die zuständige nationale Behörde nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen diese dazu auffordern.

In der Benachrichtigung des Teilnehmers bzw. der Einzelperson sind mindestens die Art der Verletzung des Schutzes personenbezogener Daten und die Kontaktstellen, bei denen weitere Informationen erhältlich sind, genannt und werden Maßnahmen zur Abschwächung der möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten vorgeschlagen. In der Benachrichtigung der zuständigen nationalen Behörde werden zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die vom Betreiber nach der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen dargelegt.

''(47) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche Schäden und soziale Nachteile für den Teilnehmer oder die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen darauf reagiert wird. Deshalb sollte der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes oder eines Dienstes der Informationsgesellschaft unmittelbar nach Bekanntwerden einer solchen Verletzung die potenziellen nachteiligen Auswirkungen, wie etwa Identitätsdiebstahl, Betrug, finanzieller Verlust, entgangene Geschäfts- oder Beschäftigungsmöglichkeiten, physische Schädigung, erhebliche Demütigung oder Rufschädigung und Zugang zu E-Mails und anderen Mitteilungen, bewerten. Die Bewertung sollte umgehend und mit angemessener Sorgfalt und unter der Annahme, dass alle erkannten nachteiligen Auswirkungen zum Tragen kommen, vorgenommen werden. Für die Benachrichtigung von Teilnehmern oder natürlichen Personen, für die eine Verletzung des Schutzes personenbezogener Daten nachteilige Auswirkungen haben kann, sollte die Pflicht zur unverzüglichen Benachrichtigung bedeuten, dass sie rechtzeitig benachrichtigt werden, damit sie die erforderlichen Schutzvorkehrungen treffen können. Die Benachrichtigung sollte Informationen über die vom Betreiber nach der Verletzung ergriffenen Maßnahmen sowie Empfehlungen für den betroffenen Teilnehmer oder die betroffene Person enthalten, um die wahrscheinlichen nachteiligen Auswirkungen der Verletzung zu vermeiden oder zu begrenzen. Der Anbieter sollte jedoch nicht verpflichtet sein, den Teilnehmer oder die betroffene Person von einer Sicherheitsverletzung zu benachrichtigen, wenn er der zuständigen Behörde glaubhaft machen konnte, dass er geeignete technische Schutzmaßnahmen für die betroffenen Daten ergriffen hat, die die Daten für alle unbefugten Personen verschlüsseln, und diese Maßnahmen auf die von der Verletzung betroffenen Daten angewandt wurden.''

4. Vorbehaltlich jeglicher technischer Durchführungsmaßnahmen gemäß Absatz 5 können die zuständigen nationalen Behörden Leitlinien verabschieden und gegebenenfalls Anweisungen erteilen bezüglich der Umstände, unter denen die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten durch den Betreiber erforderlich ist, sowie bezüglich des Formates und der Verfahrensweise für die Benachrichtigung. Sie überwachen auch, ob die Betreiber ihre Meldepflichten nach diesem Absatz erfüllt haben, und verhängen, falls dies nicht der Fall war, geeignete Sanktionen.

Die Betreiber führen ein Verzeichnis der Verstöße gegen den Schutz personenbezogener Daten, das ausreichende Angaben zu den Verstößen, zu deren Auswirkungen und zu den ergriffenen Gegenmaßnahmen enthält, um den zuständigen nationalen Behörden die Prüfung der Einhaltung der Bestimmungen von Absatz 3 zu ermöglichen. Das Verzeichnis enthält nur die dazu erforderlichen Informationen.

5. Zur Gewährleistung einer einheitlichen Anwendung der in den Absätzen 2, 3 und 4 vorgesehenen Maßnahmen kann die Kommission nach Anhörung der Europäischen Agentur für Netz- und Informationssicherheit, der Datenschutzgruppe „Artikel 29“ und des Europäischen Datenschutzbeauftragten technische Durchführungsmaßnahmen in Bezug auf Umstände, Form und Verfahren der in diesem Artikel vorgeschriebenen Informationen und Benachrichtigungen erlassen. Die Kommission bezieht alle relevanten Interessengruppen mit ein, um sich insbesondere über die besten verfügbaren technischen und wirtschaftlichen Methoden für eine Durchführung dieser Richtlinie zu informieren.

Diese Maßnahmen zur Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung werden nach dem in Artikel 14a Absatz 2 genannten Regelungsverfahren mit Kontrolle erlassen.

Artikel 5
Artikel 5 − Vertraulichkeit der Kommunikation

1. Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht - unbeschadet des Grundsatzes der Vertraulichkeit - der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.

2. Absatz 1 betrifft nicht das rechtlich zulässige Aufzeichnen von Nachrichten und der damit verbundenen Verkehrsdaten, wenn dies im Rahmen einer rechtmäßigen Geschäftspraxis zum Nachweis einer kommerziellen Transaktion oder einer sonstigen geschäftlichen Nachricht geschieht.

3. Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder die Erlangung des Zugriffs auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer vorher – beispielsweise durch die Verwendung entsprechender Einstellungen eines Browsers oder einer anderen Anwendung – und nachdem er gemäß der Richtlinie 95/46/EG klare und umfassende Informationen u.a. über die Zwecke der Verarbeitung erhalten hat, einwilligt. Dies steht einer technischen Speicherung oder dem Zugriff nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Artikel 6
Artikel 6 − Verkehrsdaten

1. Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.

2. Verkehrsdaten, die zum Zwecke der Gebührenabrechnung und der Bezahlung von Zusammenschaltungen erforderlich sind, dürfen verarbeitet werden. Diese Verarbeitung ist nur bis zum Ablauf der Frist zulässig, innerhalb deren die Rechnung rechtlich angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann.

3. Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes kann die in Absatz 1 genannten Daten zum Zwecke der Vermarktung elektronischer Kommunikationsdienste oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und innerhalb des dazu oder zur Vermarktung erforderlichen Zeitraums verarbeiten, sofern der Teilnehmer oder der Nutzer, auf den sich die Daten beziehen, zuvor seine Einwilligung gegeben hat. Der Nutzer oder der Teilnehmer hat die Möglichkeit, seine Einwilligung zur Verarbeitung der Verkehrsdaten jederzeit zu widerrufen.

4. Der Diensteanbieter muss dem Teilnehmer oder Nutzer mitteilen, welche Arten von Verkehrsdaten für die in Absatz 2 genannten Zwecke verarbeitet werden und wie lange das geschieht; bei einer Verarbeitung für die in Absatz 3 genannten Zwecke muss diese Mitteilung erfolgen, bevor um Einwilligung ersucht wird.

5. Die Verarbeitung von Verkehrsdaten gemäß den Absätzen 1, 2, 3 und 4 darf nur durch Personen erfolgen, die auf Weisung der Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste handeln und die für Gebührenabrechnungen oder Verkehrsabwicklung, Kundenanfragen, Betrugsermittlung, die Vermarktung der elektronischen Kommunikationsdienste oder für die Bereitstellung eines Dienstes mit Zusatznutzen zuständig sind; ferner ist sie auf das für diese Tätigkeiten erforderliche Maß zu beschränken.

6. Die Absätze 1, 2, 3 und 5 gelten unbeschadet der Möglichkeit der zuständigen Gremien, in Einklang mit den geltenden Rechtsvorschriften für die Beilegung von Streitigkeiten, insbesondere Zusammenschaltungs- oder Abrechnungsstreitigkeiten, von Verkehrsdaten Kenntnis zu erhalten.

(41) Die Verarbeitung von Verkehrsdaten in dem für die Erkennung, Eingrenzung und Beseitigung von Störungen und Fehlfunktionen des Netzes und für die Zwecke der Informationssicherheit strikt notwendigen Ausmaß, durch die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten sichergestellt wird, trägt dazu bei, unberechtigten Zugang und die Verbreitung störender Programmcodes sowie Angriffe, die Dienstleistungsverhinderungen bewirken, und Schädigungen von Computersystemen und Systemen der elektronischen Kommunikation zu unterbinden.

Artikel 14
Artikel 14 − Technische Merkmale und Normung

1. Bei der Durchführung der Bestimmungen dieser Richtlinie stellen die Mitgliedstaaten vorbehaltlich der Absätze 2 und 3 sicher, dass keine zwingenden Anforderungen in Bezug auf spezifische technische Merkmale für Endgeräte oder sonstige elektronische Kommunikationsgeräte gestellt werden, die deren Inverkehrbringen und freien Vertrieb in und zwischen den Mitgliedstaaten behindern können.

2. Soweit die Bestimmungen dieser Richtlinie nur mit Hilfe spezifischer technischer Merkmale elektronischer Kommunikationsnetze durchgeführt werden können, unterrichten die Mitgliedstaaten die Kommission darüber gemäß der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft.

3. Erforderlichenfalls können gemäß der Richtlinie 1999/5/EG und dem Beschluss 87/95/EWG des Rates vom 22. Dezember 1986 über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation Maßnahmen getroffen werden, um sicherzustellen, dass Endgeräte in einer Weise gebaut sind, die mit dem Recht der Nutzer auf Schutz und Kontrolle der Verwendung ihrer personenbezogenen Daten vereinbar ist.

Artikel 15
Artikel 15 − Anwendung einzelner Bestimmungen der Richtlinie 95/46/EG

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken, sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Zu diesem Zweck können die Mitgliedstaaten unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden. Alle in diesem Absatz genannten Maßnahmen müssen den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen entsprechen.

1a. Absatz1 gilt nicht für Daten, für die in der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, eine Vorratsspeicherung zu den in Artikel 1 Absatz 1 der genannten Richtlinie aufgeführten Zwecken ausdrücklich vorgeschrieben ist.

1b. Die Anbieter richten nach den gemäß Absatz 1 eingeführten einzelstaatlichen Vorschriften interne Verfahren zur Beantwortung von Anfragen über den Zugang zu den personenbezogenen Daten der Nutzer ein. Sie stellen den zuständigen nationalen Behörden auf Anfrage Informationen über diese Verfahren, die Zahl der eingegangenen Anfragen, die vorgebrachten rechtlichen Begründungen und die Antworten der Anbieter zur Verfügung.

2. Die Bestimmungen des Kapitels III der Richtlinie 95/46/EG über Rechtsbehelfe, Haftung und Sanktionen gelten im Hinblick auf innerstaatliche Vorschriften, die nach der vorliegenden Richtlinie erlassen werden, und im Hinblick auf die aus dieser Richtlinie resultierenden individuellen Rechte.

3. Die gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzte Datenschutzgruppe nimmt auch die in Artikel 30 jener Richtlinie festgelegten Aufgaben im Hinblick auf die von der vorliegenden Richtlinie abgedeckten Aspekte, nämlich den Schutz der Grundrechte und der Grundfreiheiten und der berechtigten Interessen im Bereich der elektronischen Kommunikation wahr.

Artikel 15a
Artikel 15a − Umsetzung und Durchsetzung

1. Die Mitgliedstaaten legen fest, welche Sanktionen, einschließlich etwaiger Sanktionen, bei einem Verstoß gegen die innerstaatlichen Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Durchsetzung erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein; sie können für den gesamten Zeitraum einer Verletzung angewendet werden, auch wenn die Verletzung in der Folge abgestellt wurde. Die Mitgliedstaaten teilen der Kommission diese Vorschriften bis zum ...(Das in Artikel 4 Absatz 1 genannte Datum. 16497/08) mit und melden ihr unverzüglich etwaige spätere Änderungen, die diese Vorschriften berühren.

2. Unbeschadet etwaiger gerichtlicher Rechtsbehelfe stellen die Mitgliedstaaten sicher, dass die zuständige nationale Behörde und gegebenenfalls andere nationale Stellen befugt sind, die Einstellung der in Absatz 1 genannten Verstöße anzuordnen.

3. Die Mitgliedstaaten stellen sicher, dass die nationalen Regulierungsbehörden und gegebenenfalls andere nationale Stellen über die erforderlichen Untersuchungsbefugnisse und Mittel verfügen, einschließlich der Befugnis, sämtliche zweckdienliche Informationen zu erlangen, die sie benötigen, um die Einhaltung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften zu überwachen und durchzusetzen.

4. Zur Gewährleistung einer wirksamen grenzübergreifenden Koordinierung der Durchsetzung der gemäß dieser Richtlinie erlassenen innerstaatlichen Rechtsvorschriften und zur Schaffung harmonisierter Bedingungen für die Erbringung von Diensten, mit denen ein grenzüberschreitender Datenfluss verbunden ist, kann die Kommission nach Anhörung der ENISA, der Datenschutzgruppe „Artikel 29” und der betroffenen Regulierungsbehörden technische Durchführungsmaßnahmen erlassen.

Diese Maßnahmen zur Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung werden nach dem in Artikel 14a Absatz 2 genannten Regelungsverfahren mit Kontrolle erlassen. Aus Gründen äußerster Dringlichkeit kann die Kommission auf das in Artikel 14a Absatz 3 genannte Dringlichkeitsverfahren zurückgreifen.

(39c) Bei der Annahme von Durchführungsmaßnahmen im Zusammenhang mit der Sicherheit der Verarbeitung sollte die Kommission alle zuständigen europäischen Behörden und Organisationen (die ENISA, den Europäischen Datenschutzbeauftragten und die Datenschutzgruppe „Artikel 29”) sowie alle anderen einschlägigen Interessengruppen mit einbeziehen, um sich insbesondere über die besten verfügbaren technischen und wirtschaftlichen Methoden für eine Verbesserung der Durchführung der Richtlinie 2002/58/EG zu informieren.

''(54) Angesichts der Notwendigkeit, in der Gemeinschaft einen angemessenen Schutz der Privatsphäre und personenbezogener Daten bei deren Übermittlung und Verarbeitung im Zusammenhang mit der Nutzung elektronischer Kommunikationsnetze zu gewährleisten, müssen als hinreichender Anreiz für die Einhaltung der Schutzbestimmungen wirksame Um- und Durchsetzungsbefugnisse geschaffen werden. Die zuständigen nationalen Behörden und gegebenenfalls andere relevante nationale Stellen sollten mit ausreichenden Befugnissen und Ressourcen ausgestattet werden, um Verstöße effektiv untersuchen zu können, einschließlich der Befugnis, alle benötigten Informationen einzuholen, damit sie Beschwerden nachgehen und bei Verstößen Sanktionen verhängen können.''

''(55) Die Um- und Durchsetzung dieser Richtlinie erfordert häufig eine Zusammenarbeit zwischen den nationalen Regulierungsbehörden zweier oder mehrerer Mitgliedstaaten, wie etwa bei der Bekämpfung von grenzüberschreitender unerbetener Werbung ("Spam") und Spähsoftware ("Spyware"). Damit in solchen Fällen eine reibungslose und schnelle Zusammenarbeit gewährleistet ist, sollten im Rahmen von Empfehlungen Verfahren festgelegt werden, in denen beispielsweise auf die Menge und das Format der zwischen Behörden ausgetauschten Informationen oder auf einzuhaltende Fristen Bezug genommen wird. Diese Verfahren werden auch die Harmonisierung der daraus resultierenden Pflichten der Marktteilnehmer ermöglichen und damit zur Schaffung gleicher Wettbewerbsbedingungen in der Gemeinschaft beitragen.''

Artikel 18
Artikel 18 − Überprüfung

18. Die Kommission unterbreitet dem Europäischen Parlament und dem Rat spätestens bis ...(3 Jahre ab dem in Artikel 4 Absatz 1 Unterabsatz 1 genannten Datum.) nach Konsultation der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten und des Europäischen Datenschutzbeauftragten einen Bericht über die Durchführung dieser Richtlinie und ihre Auswirkungen auf die Wirtschaftsteilnehmer und Verbraucher, insbesondere in Bezug auf die Bestimmungen über unerbetene Nachrichten und die Meldung von Verstößen, unter Berücksichtigung des internationalen Umfelds. Hierzu kann sie Informationen von den Mitgliedstaaten einholen, die ohne unangemessene Verzögerung zu liefern sind. Gegebenenfalls unterbreitet die Kommission unter Berücksichtigung der Ergebnisse des genannten Berichts, etwaiger Änderungen in dem betreffenden Sektor sowie etwaiger weiterer Vorschläge, die sie zur Verbesserung der Wirksamkeit dieser Richtlinie für erforderlich hält, Vorschläge zur Änderung dieser Richtlinie.