cepMonitor: Privatsphäre und elektronische Kommunikation (Verordnung)
Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation
Zuletzt aktualisiert am 23. Oktober 2017
10.01.2017 Verordnungsvorschlag COM(2017) 10 |
19.10.2017 EP-Ausschuss: Bericht |
|
---|---|---|
Sachlicher Anwendungsbereich | Die Verordnung gilt für (Art. 2 Abs. 1)
|
Die Verordnung gilt für (Art. 2 Abs. 1)
|
Räumlicher Anwendungsbereich | Die Verordnung gilt für (Art. 3 Abs. 1)
|
Die Verordnung gilt für (Art. 3 Abs. 1)
|
Definitionen | Als elektronische Kommunikationsdienste (EKD) gelten (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation)
Sie werden gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbracht. Keine EKD sind Dienste, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation). Interpersonelle Kommunikationsdienste (IKD) sind Dienste, die einen direkten interpersonellen und interaktiven Informationsaustausch über elektronische Kommunikationsnetze zwischen einer endlichen Zahl von Personen ermöglichen. Die Empfänger werden von den Personen bestimmt, die die Kommunikation veranlassen oder daran beteiligt sind. IKD werden gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbracht. (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation) Elektronische Kommunikationsinhalte sind Inhalte, die von elektronischen Kommunikationsdiensten übermittelt werden (Art. 4 Abs. 3 lit. b). Endnutzer sind Nutzer, die keine öffentlichen Kommunikationsnetze oder öffentlich zugänglichen elektronischen Kommunikationsdienste bereitstellen (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation) – |
Als elektronische Kommunikationsdienste (EKD) gelten (Art. 4 Abs. 3 lit. -aa)
Sie werden entweder gegen Entgelt oder nicht gegen Entgelt über elektronische Kommunikationsnetze erbracht. Keine EKD sind Rundfunkdienste, bei denen Informationen über elektronische Kommunikationsnetze und -dienste übertragen werden, außer diese Informationen können dem Endnutzer, der sie bekommt, zugeordnet werden (Art. 4 Abs. 3 lit. aa). Ein interpersoneller Kommunikationsdienst (IKD) ist ein Dienst, der einen direkten interpersonellen und interaktiven Informationsaustausch über elektronische Kommunikationsdienste zwischen einer endlichen Zahl von Personen ermöglicht. Die Empfänger werden von den Personen bestimmt, die die Kommunikation veranlassen oder daran beteiligt sind. IKD werden entweder gegen Entgelt oder nicht gegen Entgelt über elektronische Kommunikationsnetze erbracht. (Art. 4 Abs. 3 lit. -ab) Im Wesentlichen wie Kommission. Zusätzlich: Werden bei der Nutzung eines Dienstes Metadaten von anderen Kommunikationsdiensten oder Protokolle übermittelt, gelten diese als Kommunikationsinhalte (Art. 4 Abs. 3 lit. b i.V.m. Erwägungsgrund 14a). Endnutzer sind natürliche oder juristische Personen, die eine elektronischen Kommunikationsdienst nutzen oder anfordern (Art. 4 Abs. 3 lit. –ae). Nutzer sind natürliche Personen, die elektronische Kommunikationsdienste für private oder berufliche Zwecke nutzen (Art. 4 Abs. 3 lit. –ae). |
Vertraulichkeit der elektronischen Kommunikation | Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in die Daten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens oder Verarbeitens der Daten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden. (Art. 5) – |
Elektronische Kommunikation ist vertraulich. Eingriffe in die Kommunikation wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens oder jeglichen Verarbeitens der Kommunikation durch andere Personen als die Endnutzer sind untersagt. (Art. 5) Die Vertraulichkeit gilt auch für Daten bezüglich der Endgeräte von Endnutzern bzw. den Daten die von den Endgeräten verarbeitet werden (Art. 5 Abs. 1a)) |
Erlaubte Verarbeitung von Kommunikationsdaten | Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten verarbeitet werden, wenn und solange dies nötig ist, um die Übermittlung der Kommunikation durchzuführen (Art. 6 Abs. 1 lit a). Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten, verarbeitet werden, wenn und solange dies nötig ist, um die Sicherheit von EKD und Netzen zu gewährleisten oder um Defekte zu erkennen (Art. 6 Abs. 1 lit. b). – Elektronische Kommunikationsmetadaten dürfen von Betreibern von Kommunikationsdiensten verarbeitet werden (Art. 6 Abs. 2),
Elektronische Kommunikationsinhalte dürfen von Betreibern elektronischer Kommunikationsdienste verarbeitet werden, wenn (Art. 6 Abs. 3 i.V.m. Art. 36 DSGVO)
|
Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten nur verarbeitet werden, wenn und solange dies nötig ist, um die Übermittlung der Kommunikation technisch durchzuführen (Art. 6 Abs. 1 lit a). Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten oder Dritten, die im Auftrag der Betreiber oder der Endnutzer arbeiten nur verarbeitet werden, wenn und solange dies nötig ist, um die Verfügbarkeit, Integrität, Vertraulichkeit und Sicherheit von EKD und Netzen zu gewährleisten oder um Defekte zu erkennen. Fragt ein Nutzer einen elektronischen Kommunikationsdienst explizit zur individuellen Nutzung nach, darf der Betreiber des Dienstes die Kommunikationsdaten nur so lange wie nötig verarbeiten und auch ohne Zustimmung aller Nutzer, wenn die Verarbeitung die Grundrechte und Interessen eines oder mehrerer Nutzer nicht negativ beeinträchtigt (Art. 6 Abs. 3a). Elektronische Kommunikationsmetadaten dürfen von Betreibern von Kommunikationsdiensten und -netzen nur verarbeitet werden (Art. 6 Abs. 2 und 2a i.V.m. Art. 35 und 36 der DSGVO),
Elektronische Kommunikationsinhalte dürfen von Betreibern elektronischer Kommunikationsdienste verarbeitet werden, wenn (Art. 6 Abs. 3 i.V.m. Art. 36 DSGVO)
|
Speicherung und Löschung von Kommunikationsdaten | Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsinhalte löschen oder anonymisieren, sobald die Empfänger die Inhalte erhalten haben. Endnutzer oder von diesen beauftragte Dritte können die Inhalte im Einklang mit der DSGVO aufzeichnen oder speichern. (Art. 7 Abs. 1) Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsmetadaten löschen oder anonymisieren, sobald diese nicht mehr zur Übermittlung der Kommunikation nötig sind (Art. 7 Abs. 2). |
Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsinhalte löschen, sobald die Inhalte nicht länger für die Bereitstellung des nachgefragten Dienstes nötig sind. Nutzer oder von diesen beauftragte Dritte können die Inhalte im Einklang mit der DSGVO aufzeichnen oder speichern. (Art. 7 Abs. 1) Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsmetadaten löschen oder anonymisieren, sobald diese nicht länger für die Bereitstellung des nachgefragten Dienstes nötig sind (Art. 7 Abs. 2). |
Endgeräteschutz | Grundsätzlich darf niemand außer dem betreffenden Endnutzer die „Verarbeitungs- und Speicherfunktionen“ der Endgeräte der Endnutzer nutzen oder Informationen aus diesen Endgeräten erheben (Art. 8 Abs. 1). Ausnahmen sind zulässig, wenn (Art. 8 Abs. 1)
– – – – Grundsätzlich darf niemand Informationen erheben, die von Endgeräten ausgesendet werden, um sich mit anderen Geräten oder Netzen zu verbinden. Ein solches „Offline-Tracking“ ist ausnahmsweise zulässig, (Art. 8 Abs. 2)
|
Grundsätzlich darf niemand außer dem betreffenden Nutzer die „Verarbeitungs- und Speicherfunktionen“ der Endgeräte der Endnutzer nutzen oder Informationen aus diesen Endgeräten erheben (Art. 8 Abs. 1). Ausnahmen sind zulässig, wenn (Art. 8 Abs. 1)
Der Nutzer muss die Reichweitenmessung ablehnen können. Die Daten müssen aggregiert werden, keine personenbezogenen Daten dürfen an Dritte weitergegeben werden und die Grundrechte der Nutzer dürfen nicht beeinträchtigt werden. (Art. 8 Abs. 1 lit. d) Beauftragt ein Betreiber einen Dritten zur Reichweitenmessung darf dieser die Daten nur für den Betreiber erheben und muss sie von Daten bei Reichweitenmessungen für andere Betreiber getrennt halten (Art. 8 Abs. 1 lit. d). Die Updates dürfen die Funktionalität der Hardware und Software oder die gewählten Einstellungen zur Privatsphäre nicht ändern, der Nutzer muss vor jedem Update über dieses informiert werden und der Nutzer kann Updates verschieben oder ablehnen (Art. 8 Abs. 1 lit. d). Einem Nutzer darf der Zugang zu einem Dienst der Informationsgesellschaft oder einer Funktionalität eines solchen Dienstes nicht deshalb verweigert werden, weil er oder sie der Datenverarbeitung nicht zugestimmt hat (Art. 8 Abs. 1a) Grundsätzlich darf niemand Informationen verarbeiten, die von Endgeräten ausgesendet werden, um sich mit anderen Geräten oder Netzen zu verbinden. Ein solches „Offline-Tracking“ ist ausnahmsweise zulässig, (Art. 8 Abs. 2)
Risikobegrenzung ist gegeben, wenn (Art. 8 Abs. 2a)
|
Einwilligung | Für die Einwilligung gelten die Bestimmungen der DSGVO (Art. 9 Abs. 1) Die Einwilligung in die Verarbeitung von Daten muss bei Endgeräten soweit technisch möglich in technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, erfolgen können (Art. 9 Abs. 2). – |
Wie Kommission. Die Einwilligung in die Verarbeitung von Daten oder die Verweigerung muss bei Endgeräten soweit technisch möglich in technischen Einstellungen von elektronischen Kommunikationsdiensten oder Diensten der Informationsgesellschaft erfolgen können. Die Dienste müssen ausdrückliche Einwilligungen für spezifische Zwecke ermöglichen. (Art. 9 Abs. 2) Wurde einer Datenverarbeitung zugestimmt, dürfen die Rechte und Freiheiten von Personen, deren personenbezogenen Daten bei der Kommunikation übermittelt werden, nicht negativ beeinträchtigt werden (Art. 9 Abs. 3a). |
Softwareeinstellungen | Software zur elektronischen Kommunikation und auch das Abrufen und Darstellen von Informationen aus dem Internet ermöglicht, muss (Art. 10 Abs. 1 und 2)
– – |
Software zur elektronischen Kommunikation und auch das Abrufen und Darstellen von Informationen aus dem Internet ermöglicht, muss (Art. 10 Abs. 1 und 2)
Die gewählten Einstellungen zur Privatsphäre müssen ein Signal auslösen mit dem Dritte darüber informiert werden, ob ein Nutzer einer Datenverarbeitung zustimmt oder ihr widerspricht. Dieses Signal ist rechtswirksam, verbindlich und gegenüber anderen Parteien durchsetzbar (Art. 10 Abs. 1a). Eine Einwilligung, die für einen spezifischen Fall bei der Nutzung eines Dienstes der Informationsgesellschaft ausdrücklich erteilt wurde, hat Vorrang gegenüber den allgemein gesetzten Einstellungen zur Privatsphäre (Art. 10 Abs. 1b |
Öffentlich zugängliche Verzeichnisse | Betreiber öffentlich zugänglicher Verzeichnisse müssen bei Endnutzern, die natürliche Personen sind, die Einwilligung in die Aufnahme ihrer personenbezogenen Daten in ein Verzeichnis einholen. Die Endnutzer müssen die Daten überprüfen, berichtigen und löschen können (Art. 15). |
Betreiber elektronischer Kommunikationsdienste müssen bei Nutzern die Einwilligung in die Aufnahme ihrer personenbezogenen Daten in ein Verzeichnis einholen. Die Nutzer müssen die Daten überprüfen, berichtigen, aktualisieren, ergänzen und löschen können (Art. 15). |
Unerwünschte Kommunikation | Direktwerbung durch natürliche oder juristische Personen über elektronische Kommunikationsdienste an Endnutzer, die natürliche Personen sind, ist nur nach deren Einwilligung erlaubt (Art. 16). |
Direktwerbung durch natürliche oder juristische Personen über elektronische Kommunikationsdienste an Nutzer, die natürliche Personen sind, ist nur nach deren Einwilligung erlaubt. Dies gilt auch für automatisierte Anrufs- und Kommunikationsdienste, halbautomatische Systeme, die einen Anrufer mit einer Person verbinden, sowie Faxe oder E-Mails. (Art. 16) |
Schutz der Kommunikation | –
– – – |
Betreiber elektronischer Kommunikationsdienste müssen sicherstellen, dass (Art. 17 Abs. 1a)
Wird eine Verschlüsselung der Daten vorgenommen, so ist die Entschlüsselung durch Dritte verboten (Art. 17 Abs. 1a). Die Mitgliedstaaten dürfen Anbietern elektronischer Kommunikationsdienste und Softwareherstellern keine Vorgaben machen, die zu einer Schwächung der Vertraulichkeit und Integrität der Kommunikation beitragen könnten. Dies gilt auch für die Verschlüsselungsverfahren. (Art. 17 Abs. 1a) Betreiber elektronischer Kommunikationsdienste, Anbieter von Diensten der Informationsgesellschaft und Softwarehersteller dürfen keine Schritte einleiten, die verhindern, dass Nutzer die besten verfügbaren Techniken einsetzen, um ihre Netze, ihre Endgeräte oder ihre Kommunikation vor externen Eingriffen zu schützen (Art. 17 Abs. 1b). |
Nächste Schritte im EU-Gesetzgebungsverfahren:
Da das Politikvorhaben dem ordentlichen Gesetzgebungsverfahren unterliegt (Art. 294 AEUV), müssen sich EP und Rat auf eine gemeinsame Position verständigen. Der federführende LIEBE-Ausschuss im EP hat sich nun auf eine Position festgelegt und das Mandat für Trilogverhandlungen ausgesprochen. Nun stimmt darüber vss. noch das Plenum des EP ab. Die allgemeine Ausrichtung des Rates steht noch aus. Sobald EP und Rat ihre Positionen jeweils festgelegt haben, stehen Trilogverhandlungen an.