cepMonitor: Privatsphäre und elektronische Kommunikation (Verordnung)

Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation

Zuletzt aktualisiert am 23. Oktober 2017

10.01.2017
Verordnungsvorschlag COM(2017) 10
19.10.2017
EP-Ausschuss: Bericht
Sachlicher Anwendungsbereich

Die Verordnung gilt für (Art. 2 Abs. 1)

  • die Verarbeitung von elektronischen Kommunikationsdaten bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, und
  • Informationen bezüglich der Endgeräte von Endnutzern.

Die Verordnung gilt für (Art. 2 Abs. 1)

  • die Verarbeitung von elektronischen Kommunikationsdaten bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, unabhängig davon, ob eine Zahlung verlangt wird,
  • die Verarbeitung von Informationen bezüglich der Endgeräte von Endnutzern bzw. solchen Informationen die von den Endgeräten verarbeitet werden,
  • das Inverkehrbringen von Software, die elektronische Kommunikation ermöglicht, inklusive des Abrufs und der Präsentation von Informationen im Internet,
  • die Bereitstellung öffentlicher Verzeichnisse und
  • das Senden von Direktwerbung überelektronische Kommunikationsmittel.
Räumlicher Anwendungsbereich

Die Verordnung gilt für (Art. 3 Abs. 1)

  • die Bereitstellung elektronischer Kommunikationsdienste für Endnutzer in der EU, unabhängig davon, ob vom Endnutzer eine Zahlung verlangt wird,
  • die Nutzung der Kommunikationsdienste und
  • den Schutz von Informationen bezüglich der Endgeräte von Endnutzern in der EU.

Die Verordnung gilt für (Art. 3 Abs. 1)

  • die Bereitstellung elektronischer Kommunikationsdienste, Software, öffentlicher Verzeichnisse und von Direktwerbung für Endnutzer in der EU, unabhängig davon, ob vom Endnutzer eine Zahlung verlangt wird,
  • die im sachlichen Anwendungsbereich genannten Aktivitäten, sofern diese innerhalb der EU angeboten werden, und
  • die Verarbeitung von Informationen bezüglich der Endgeräte von Endnutzern bzw. solchen Informationen die von den Endgeräten verarbeitet werden, sofern sich die Endgeräte in der EU befinden.
Definitionen

Als elektronische Kommunikationsdienste (EKD) gelten (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation)

  • Internetzugangsdienste,
  • Interpersonelle Kommunikationsdienste (IKD) und
  • Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, etwa Übertragungsdienste in Rundfunknetzen, die für die Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden.

Sie werden gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbracht.

Keine EKD sind Dienste, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation).

Interpersonelle Kommunikationsdienste (IKD) sind Dienste, die einen direkten interpersonellen und interaktiven Informationsaustausch über elektronische Kommunikationsnetze zwischen einer endlichen Zahl von Personen ermöglichen. Die Empfänger werden von den Personen bestimmt, die die Kommunikation veranlassen oder daran beteiligt sind. IKD werden gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbracht. (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation)

Elektronische Kommunikationsinhalte sind Inhalte, die von elektronischen Kommunikationsdiensten übermittelt werden (Art. 4 Abs. 3 lit. b).

Endnutzer sind Nutzer, die keine öffentlichen Kommunikationsnetze oder öffentlich zugänglichen elektronischen Kommunikationsdienste bereitstellen (Art. 4 Abs. 1 lit. b i.V.m. Art. 2 der Richtlinie für einen elektronischen Kodex für elektronische Kommunikation)

Als elektronische Kommunikationsdienste (EKD) gelten (Art. 4 Abs. 3 lit. -aa)

  • Internetzugangsdienste,
  • Interpersonelle Kommunikationsdienste (IKD),
  • Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, etwa Übertragungsdienste in Rundfunknetzen, die für die Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden, und
  • Dienste, die nicht öffentlich verfügbar sind, aber den Zugang zu öffentlich verfügbaren elektronischen Kommunikationsnetzen ermöglichen.

Sie werden entweder gegen Entgelt oder nicht gegen Entgelt über elektronische Kommunikationsnetze erbracht.

Keine EKD sind Rundfunkdienste, bei denen Informationen über elektronische Kommunikationsnetze und -dienste übertragen werden, außer diese Informationen können dem Endnutzer, der sie bekommt, zugeordnet werden (Art. 4 Abs. 3 lit. aa).

Ein interpersoneller Kommunikationsdienst (IKD) ist ein Dienst, der einen direkten interpersonellen und interaktiven Informationsaustausch über elektronische Kommunikationsdienste zwischen einer endlichen Zahl von Personen ermöglicht. Die Empfänger werden von den Personen bestimmt, die die Kommunikation veranlassen oder daran beteiligt sind. IKD werden entweder gegen Entgelt oder nicht gegen Entgelt über elektronische Kommunikationsnetze erbracht. (Art. 4 Abs. 3 lit. -ab)

Im Wesentlichen wie Kommission.

Zusätzlich: Werden bei der Nutzung eines Dienstes Metadaten von anderen Kommunikationsdiensten oder Protokolle übermittelt, gelten diese als Kommunikationsinhalte (Art. 4 Abs. 3 lit. b i.V.m. Erwägungsgrund 14a).

Endnutzer sind natürliche oder juristische Personen, die eine elektronischen Kommunikationsdienst nutzen oder anfordern (Art. 4 Abs. 3 lit. –ae).

Nutzer sind natürliche Personen, die elektronische Kommunikationsdienste für private oder berufliche Zwecke nutzen (Art. 4 Abs. 3 lit. –ae).

Vertraulichkeit der elektronischen Kommunikation

Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in die Daten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens oder Verarbeitens der Daten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden. (Art. 5)

Elektronische Kommunikation ist vertraulich. Eingriffe in die Kommunikation wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens oder jeglichen Verarbeitens der Kommunikation durch andere Personen als die Endnutzer sind untersagt. (Art. 5)

Die Vertraulichkeit gilt auch für Daten bezüglich der Endgeräte von Endnutzern bzw. den Daten die von den Endgeräten verarbeitet werden (Art. 5 Abs. 1a))

Erlaubte Verarbeitung von Kommunikationsdaten

Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten verarbeitet werden, wenn und solange dies nötig ist, um die Übermittlung der Kommunikation durchzuführen (Art. 6 Abs. 1 lit a).

Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten, verarbeitet werden, wenn und solange dies nötig ist, um die Sicherheit von EKD und Netzen zu gewährleisten oder um Defekte zu erkennen (Art. 6 Abs. 1 lit. b).

Elektronische Kommunikationsmetadaten dürfen von Betreibern von Kommunikationsdiensten verarbeitet werden (Art. 6 Abs. 2),

  • wenn der „betreffende“ Endnutzer in ihre Verarbeitung für bestimmte Zwecke eingewilligt hat, sofern diese Zwecke bei Anonymisierung der Daten unerreichbar sind,
  • um EU-rechtliche Qualitätsanforderungen einhalten zu können (die Verarbeitung ist notwendig), oder
  • um die Dienste abzurechnen oder um deren missbräuchliche Nutzung zu bekämpfen (die Verarbeitung ist notwendig).

Elektronische Kommunikationsinhalte dürfen von Betreibern elektronischer Kommunikationsdienste verarbeitet werden, wenn (Art. 6 Abs. 3 i.V.m. Art. 36 DSGVO)

  • die Inhalte allein zu dem Zweck verarbeitet werden, einen bestimmten Dienst für einen Endnutzer bereitzustellen, der ohne Verarbeitung dieser Inhalte nicht erbracht werden kann, und wenn der oder die betreffenden“ Endnutzer ihre Einwilligung erteilt haben, oder
  • die Inhalte für bestimmte sonstige Zwecke verarbeitet werden, die bei Anonymisierung der Inhalte nicht erreichbar sind, und alle betreffenden Endnutzer eingewilligt haben; zudem muss der Betreiber die Aufsichtsbehörde konsultieren und deren Empfehlungen beachten.

Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten nur verarbeitet werden, wenn und solange dies nötig ist, um die Übermittlung der Kommunikation technisch durchzuführen (Art. 6 Abs. 1 lit a).

Elektronische Kommunikationsdaten dürfen von Betreibern von Kommunikationsnetzen und –diensten oder Dritten, die im Auftrag der Betreiber oder der Endnutzer arbeiten nur verarbeitet werden, wenn und solange dies nötig ist, um die Verfügbarkeit, Integrität, Vertraulichkeit und Sicherheit von EKD und Netzen zu gewährleisten oder um Defekte zu erkennen.

Fragt ein Nutzer einen elektronischen Kommunikationsdienst explizit zur individuellen Nutzung nach, darf der Betreiber des Dienstes die Kommunikationsdaten nur so lange wie nötig verarbeiten und auch ohne Zustimmung aller Nutzer, wenn die Verarbeitung die Grundrechte und Interessen eines oder mehrerer Nutzer nicht negativ beeinträchtigt (Art. 6 Abs. 3a).

Elektronische Kommunikationsmetadaten dürfen von Betreibern von Kommunikationsdiensten und -netzen nur verarbeitet werden (Art. 6 Abs. 2 und 2a i.V.m. Art. 35 und 36 der DSGVO),

  • wenn der „betreffende“ Nutzer in ihre Verarbeitung für bestimmte Zwecke eingewilligt hat, sofern diese Zwecke ohne Verarbeitung der Metadaten unerreichbar sind,
  • um EU-rechtliche Qualitätsanforderungen einhalten zu können (die Verarbeitung ist unbedingt notwendig), oder
  • um die Dienste abzurechnen oder um deren missbräuchliche Nutzung zu bekämpfen (die Verarbeitung ist unbedingt notwendig); besteht hierbei ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche eine Datenschutzfolgenabschätzung abgeben und muss seine Aufsichtsbehörde konsultieren.

Elektronische Kommunikationsinhalte dürfen von Betreibern elektronischer Kommunikationsdienste verarbeitet werden, wenn (Art. 6 Abs. 3 i.V.m. Art. 36 DSGVO)

  • die Inhalte allein zu dem Zweck verarbeitet werden, einen bestimmten von einem Nutzer angeforderten Dienst bereitzustellen, der ohne Verarbeitung dieser Inhalte durch den Betreiber nicht erbracht werden kann, und wenn der betreffende Nutzer seine Einwilligung erteilt hat, oder
  • die Inhalte für bestimmte sonstige Zwecke verarbeitet werden, die bei Anonymisierung der Inhalte nicht erreichbar sind, und alle betreffenden Nutzer eingewilligt haben; zudem muss der Betreiber die Aufsichtsbehörde konsultieren und deren Empfehlungen beachten.
Speicherung und Löschung von Kommunikationsdaten

Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsinhalte löschen oder anonymisieren, sobald die Empfänger die Inhalte erhalten haben.

Endnutzer oder von diesen beauftragte Dritte können die Inhalte im Einklang mit der DSGVO aufzeichnen oder speichern. (Art. 7 Abs. 1)

Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsmetadaten löschen oder anonymisieren, sobald diese nicht mehr zur Übermittlung der Kommunikation nötig sind (Art. 7 Abs. 2).

Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsinhalte löschen, sobald die Inhalte nicht länger für die Bereitstellung des nachgefragten Dienstes nötig sind.

Nutzer oder von diesen beauftragte Dritte können die Inhalte im Einklang mit der DSGVO aufzeichnen oder speichern. (Art. 7 Abs. 1)

Ein Betreiber elektronischer Kommunikationsdienste muss Kommunikationsmetadaten löschen oder anonymisieren, sobald diese nicht länger für die Bereitstellung des nachgefragten Dienstes nötig sind (Art. 7 Abs. 2).

Endgeräteschutz

Grundsätzlich darf niemand außer dem betreffenden Endnutzer die „Verarbeitungs- und Speicherfunktionen“ der Endgeräte der Endnutzer nutzen oder Informationen aus diesen Endgeräten erheben (Art. 8 Abs. 1).

Ausnahmen sind zulässig, wenn (Art. 8 Abs. 1)

  • der Endnutzer eingewilligt hat, oder
  • die Nutzung bzw. Erhebung für die Übermittlung der Kommunikation nötig ist, oder
  • die Nutzung bzw. Erhebung für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig ist, oder
  • die Nutzung bzw. Erhebung für die Messung des Webpublikums nötig ist, jedoch nur wenn die Messung vom Betreiber des Dienstes der Informationsgesellschaft vorgenommen wird.

Grundsätzlich darf niemand Informationen erheben, die von Endgeräten ausgesendet werden, um sich mit anderen Geräten oder Netzen zu verbinden.

Ein solches „Offline-Tracking“ ist ausnahmsweise zulässig, (Art. 8 Abs. 2)

  • wenn und solange dies nötig ist, um eine Verbindung herzustellen, oder
  • wenn der Erhebende geeignete Datensicherheitsmaßnahmen ergreift und die Endnutzer in einem deutlichen Hinweis u.a. über den Zweck der Erhebung und die Möglichkeit informiert, diese zu beenden.

Grundsätzlich darf niemand außer dem betreffenden Nutzer die „Verarbeitungs- und Speicherfunktionen“ der Endgeräte der Endnutzer nutzen oder Informationen aus diesen Endgeräten erheben (Art. 8 Abs. 1).

Ausnahmen sind zulässig, wenn (Art. 8 Abs. 1)

  • der Nutzer ausdrücklich eingewilligt hat, oder
  • die Nutzung bzw. Erhebung für die Übermittlung der Kommunikation unbedingt nötig ist, oder
  • die Nutzung bzw. Erhebung für die Bereitstellung eines vom Nutzer gewünschten Dienstes der Informationsgesellschaft unbedingt technisch nötig ist, oder
  • die Nutzung bzw. Erhebung für die Messung der Reichweite des Dienstes der Informationsgesellschaft nötig ist, jedoch nur wenn die Messung vom Betreiber des Dienstes der Informationsgesellschaft, im Auftrag des Betreibers oder von einer im öffentlichen Interesse, inklusive zu Wissenschaftszwecken handelnden Web-Analytics-Agency vorgenommen wird,
  • dies für Updates nötig ist, die die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität des Endgeräts gewährleisten,
  • dies im Rahmen eines Beschäftigungsverhältnisses für die Ausübung einer Tätigkeit des Beschäftigten unbedingt notwendig ist.

Der Nutzer muss die Reichweitenmessung ablehnen können. Die Daten müssen aggregiert werden, keine personenbezogenen Daten dürfen an Dritte weitergegeben werden und die Grundrechte der Nutzer dürfen nicht beeinträchtigt werden. (Art. 8 Abs. 1 lit. d)

Beauftragt ein Betreiber einen Dritten zur Reichweitenmessung darf dieser die Daten nur für den Betreiber erheben und muss sie von Daten bei Reichweitenmessungen für andere Betreiber getrennt halten (Art. 8 Abs. 1 lit. d).

Die Updates dürfen die Funktionalität der Hardware und Software oder die gewählten Einstellungen zur Privatsphäre nicht ändern, der Nutzer muss vor jedem Update über dieses informiert werden und der Nutzer kann Updates verschieben oder ablehnen (Art. 8 Abs. 1 lit. d).

Einem Nutzer darf der Zugang zu einem Dienst der Informationsgesellschaft oder einer Funktionalität eines solchen Dienstes nicht deshalb verweigert werden, weil er oder sie der Datenverarbeitung nicht zugestimmt hat (Art. 8 Abs. 1a)

Grundsätzlich darf niemand Informationen verarbeiten, die von Endgeräten ausgesendet werden, um sich mit anderen Geräten oder Netzen zu verbinden.

Ein solches „Offline-Tracking“ ist ausnahmsweise zulässig, (Art. 8 Abs. 2)

  • wenn und solange dies nötig ist, um eine Verbindung, die vom Nutzer erwünscht ist, herzustellen, oder
  • der Nutzer informiert wurde und zugestimmt hat, oder
  • damit verbundene Risiken begrenzt wurden.

Risikobegrenzung ist gegeben, wenn (Art. 8 Abs. 2a)

  • die Datenverarbeitung zu rein statistischen Gründen erfolgt, und
  • die Datenverarbeitung zeitlich und vom Umfang her auf ihre Zwecke strikt begrenzt sind, und
  • die Daten nach ihrer Zweckerfüllung gelöscht oder anonymisiert werden und
  • der Nutzer die Datenverarbeitung ablehnen kann, ohne dass die Funktionalität seines Endgerätes beeinflusst wird.
Einwilligung

Für die Einwilligung gelten die Bestimmungen der DSGVO (Art. 9 Abs. 1)

Die Einwilligung in die Verarbeitung von Daten muss bei Endgeräten soweit technisch möglich in technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, erfolgen können (Art. 9 Abs. 2).

Wie Kommission.

Die Einwilligung in die Verarbeitung von Daten oder die Verweigerung muss bei Endgeräten soweit technisch möglich in technischen Einstellungen von elektronischen Kommunikationsdiensten oder Diensten der Informationsgesellschaft erfolgen können. Die Dienste müssen ausdrückliche Einwilligungen für spezifische Zwecke ermöglichen. (Art. 9 Abs. 2)

Wurde einer Datenverarbeitung zugestimmt, dürfen die Rechte und Freiheiten von Personen, deren personenbezogenen Daten bei der Kommunikation übermittelt werden, nicht negativ beeinträchtigt werden (Art. 9 Abs. 3a).

Softwareeinstellungen

Software zur elektronischen Kommunikation und auch das Abrufen und Darstellen von Informationen aus dem Internet ermöglicht, muss (Art. 10 Abs. 1 und 2)

  • die Option bieten zu verhindern, dass Dritte Informationen in den Endgeräten von Endnutzern speichern oder dort gespeicherte Informationen verarbeiten,
  • bei ihrer Installation den Endnutzer über die Einstellungen zur Privatsphäre informieren und von ihm die Einwilligung zu einer Einstellung verlangen.

Software zur elektronischen Kommunikation und auch das Abrufen und Darstellen von Informationen aus dem Internet ermöglicht, muss (Art. 10 Abs. 1 und 2)

  • standardmäßig datenschutzfreundliche Einstellungen aktiviert haben, die verhindern, dass Dritte Informationen in den Endgeräten von Nutzern speichern oder dort gespeicherte Informationen verarbeiten,
  • bei ihrer Installation den Nutzer über die Option zu informieren. die Einstellungen zur Privatsphäre zu ändern oder zu bestätigen, und
  • nach ihrer Installation die Option anbieten, ausdrückliche Einwilligungen zur Datenverarbeitung auszusprechen.

Die gewählten Einstellungen zur Privatsphäre müssen ein Signal auslösen mit dem Dritte darüber informiert werden, ob ein Nutzer einer Datenverarbeitung zustimmt oder ihr widerspricht. Dieses Signal ist rechtswirksam, verbindlich und gegenüber anderen Parteien durchsetzbar (Art. 10 Abs. 1a).

Eine Einwilligung, die für einen spezifischen Fall bei der Nutzung eines Dienstes der Informationsgesellschaft ausdrücklich erteilt wurde, hat Vorrang gegenüber den allgemein gesetzten Einstellungen zur Privatsphäre (Art. 10 Abs. 1b

Öffentlich zugängliche Verzeichnisse

Betreiber öffentlich zugänglicher Verzeichnisse müssen bei Endnutzern, die natürliche Personen sind, die Einwilligung in die Aufnahme ihrer personenbezogenen Daten in ein Verzeichnis einholen. Die Endnutzer müssen die Daten überprüfen, berichtigen und löschen können (Art. 15).

Betreiber elektronischer Kommunikationsdienste müssen bei Nutzern die Einwilligung in die Aufnahme ihrer personenbezogenen Daten in ein Verzeichnis einholen. Die Nutzer müssen die Daten überprüfen, berichtigen, aktualisieren, ergänzen und löschen können (Art. 15).

Unerwünschte Kommunikation

Direktwerbung durch natürliche oder juristische Personen über elektronische Kommunikationsdienste an Endnutzer, die natürliche Personen sind, ist nur nach deren Einwilligung erlaubt (Art. 16).

Direktwerbung durch natürliche oder juristische Personen über elektronische Kommunikationsdienste an Nutzer, die natürliche Personen sind, ist nur nach deren Einwilligung erlaubt. Dies gilt auch für automatisierte Anrufs- und Kommunikationsdienste, halbautomatische Systeme, die einen Anrufer mit einer Person verbinden, sowie Faxe oder E-Mails. (Art. 16)

Schutz der Kommunikation

 

 

 

 

Betreiber elektronischer Kommunikationsdienste müssen sicherstellen, dass (Art. 17 Abs. 1a)

  • ausreichend Schutz gegen den unautorisierten Eingriff in die Kommunikationsdaten besteht und
  • die Vertraulichkeit und Integrität der Kommunikation ausreichend nach Stand der Technik geschützt wird, etwa über eine Ende-zu-Ende-Verschlüsselung.

Wird eine Verschlüsselung der Daten vorgenommen, so ist die Entschlüsselung durch Dritte verboten (Art. 17 Abs. 1a).

Die Mitgliedstaaten dürfen Anbietern elektronischer Kommunikationsdienste und Softwareherstellern keine Vorgaben machen, die zu einer Schwächung der Vertraulichkeit und Integrität der Kommunikation beitragen könnten. Dies gilt auch für die Verschlüsselungsverfahren. (Art. 17 Abs. 1a)

Betreiber elektronischer Kommunikationsdienste, Anbieter von Diensten der Informationsgesellschaft und Softwarehersteller dürfen keine Schritte einleiten, die verhindern, dass Nutzer die besten verfügbaren Techniken einsetzen, um ihre Netze, ihre Endgeräte oder ihre Kommunikation vor externen Eingriffen zu schützen (Art. 17 Abs. 1b).

Nächste Schritte im EU-Gesetzgebungsverfahren:

Da das Politikvorhaben dem ordentlichen Gesetzgebungsverfahren unterliegt (Art. 294 AEUV), müssen sich EP und Rat auf eine gemeinsame Position verständigen. Der federführende LIEBE-Ausschuss im EP hat sich nun auf eine Position festgelegt und das Mandat für Trilogverhandlungen ausgesprochen. Nun stimmt darüber vss. noch das Plenum des EP ab. Die allgemeine Ausrichtung des Rates steht noch aus. Sobald EP und Rat ihre Positionen jeweils festgelegt haben, stehen Trilogverhandlungen an.