Datenschutzrichtlinie für elektronische Kommunikation / [Vorspann]

DIE EUROPÄISCHE KOMMISSION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)^[1], insbesondere auf Artikel 4 Absatz 5,

nach Anhörung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA),

nach Anhörung der Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, die gemäß Artikel 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ^[2] eingesetzt wurde ("Artikel-29-Datenschutzgruppe"),

nach Konsultation des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1) Die Richtlinie 2002/58/EG sieht die Harmonisierung der Vorschriften der Mitgliedstaaten vor, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der Union zu gewährleisten.

(2) Gemäß Artikel 4 der Richtlinie 2002/58/EG sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, unverzüglich die zuständige nationale Behörde und in bestimmten Fällen auch die von Verletzungen des Schutzes personenbezogener Daten betroffenen Teilnehmer und Personen zu benachrichtigen. Verletzungen des Schutzes personenbezogener Daten werden in Artikel 2 Buchstabe i der Richtlinie 2002/58/EG definiert als Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Union verarbeitet werden.

(3) Zur Gewährleistung einer einheitlichen Anwendung der in Artikel 4 Absätze 2, 3 und 4 der Richtlinie 2002/58/EG vorgesehenen Maßnahmen wird die Kommission durch Artikel 4 Absatz 5 derselben Richtlinie ermächtigt, technische Durchführungsmaßnahmen in Bezug auf die Umstände, Form und Verfahren der in dem genannten Artikel vorgeschriebenen Informationen und Benachrichtigungen zu erlassen.

(4) Unterschiedliche nationale Anforderungen in dieser Hinsicht können zu rechtlicher Unsicherheit, komplizierteren und umständlicheren Verfahren und erheblichen Verwaltungskosten für grenzübergreifend tätige Betreiber führen. Die Kommission hält es daher für notwendig, solche technischen Durchführungsmaßnahmen zu erlassen.

(5) Diese Verordnung betrifft nur die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten und enthält daher keine technischen Durchführungsmaßnahmen im Hinblick auf Artikel 4 Absatz 2 der Richtlinie 2002/58/EG bezüglich der Aufklärung der Teilnehmer über ein besonderes Risiko der Verletzung der Netzsicherheit.

(6) Wie sich aus Artikel 4 Absatz 3 erster Unterabsatz der Richtlinie 2002/58/EG ergibt, sollten die Betreiber die zuständige nationale Behörde von allen Verletzungen des Schutzes personenbezogener Daten benachrichtigen. Folglich sollte es nicht im Ermessen des Betreibers liegen, ob er die zuständige nationale Behörde benachrichtigt oder nicht. Dies sollte die betreffende zuständige nationale Behörde jedoch nicht daran hindern, der Untersuchung bestimmter Verletzungen in der Weise, die sie nach geltendem Recht für geeignet hält, Vorrang einzuräumen und erforderliche Schritte zu unternehmen, um eine überzogene oder unzureichende Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten zu verhindern.

(7) Es ist angemessen, für die Benachrichtigung der zuständigen nationalen Behörde ein System vorzusehen, das unter bestimmten Voraussetzungen mehrere Stufen umfasst, für die jeweils bestimmte Fristen gelten. Dieses System soll sicherstellen, dass die zuständige nationale Behörde so früh und so vollständig wie möglich informiert wird, ohne den Betreiber bei der Untersuchung der Verletzung und der Ergreifung der Maßnahmen zu behindern, die zur Eindämmung und Beseitigung der Folgen der Verletzung nötig sind.

(8) Weder ein bloßer Verdacht, dass eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, noch die bloße Feststellung eines Vorfalls, über den trotz größtmöglicher Bemühungen des Betreibers keine ausreichenden Informationen vorliegen, sollten ausreichen, um geltend zu machen, dass eine Verletzung des Schutzes personenbezogener Daten im Sinne dieser Verordnung festgestellt worden ist. Von besonderer Bedeutung ist in d...