Präambel VO (EU) 2013/611

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)⁽¹⁾, insbesondere auf Artikel 4 Absatz 5,

nach Anhörung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA),

nach Anhörung der Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, die gemäß Artikel 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr⁽²⁾ eingesetzt wurde ( „Artikel-29-Datenschutzgruppe” ),

nach Konsultation des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1)

Die Richtlinie 2002/58/EG sieht die Harmonisierung der Vorschriften der Mitgliedstaaten vor, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der Union zu gewährleisten.

(2)

Gemäß Artikel 4 der Richtlinie 2002/58/EG sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, unverzüglich die zuständige nationale Behörde und in bestimmten Fällen auch die von Verletzungen des Schutzes personenbezogener Daten betroffenen Teilnehmer und Personen zu benachrichtigen. Verletzungen des Schutzes personenbezogener Daten werden in Artikel 2 Buchstabe i der Richtlinie 2002/58/EG definiert als Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Union verarbeitet werden.

(3)

Zur Gewährleistung einer einheitlichen Anwendung der in Artikel 4 Absätze 2, 3 und 4 der Richtlinie 2002/58/EG vorgesehenen Maßnahmen wird die Kommission durch Artikel 4 Absatz 5 derselben Richtlinie ermächtigt, technische Durchführungsmaßnahmen in Bezug auf die Umstände, Form und Verfahren der in dem genannten Artikel vorgeschriebenen Informationen und Benachrichtigungen zu erlassen.

(4)

Unterschiedliche nationale Anforderungen in dieser Hinsicht können zu rechtlicher Unsicherheit, komplizierteren und umständlicheren Verfahren und erheblichen Verwaltungskosten für grenzübergreifend tätige Betreiber führen. Die Kommission hält es daher für notwendig, solche technischen Durchführungsmaßnahmen zu erlassen.

(5)

Diese Verordnung betrifft nur die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten und enthält daher keine technischen Durchführungsmaßnahmen im Hinblick auf Artikel 4 Absatz 2 der Richtlinie 2002/58/EG bezüglich der Aufklärung der Teilnehmer über ein besonderes Risiko der Verletzung der Netzsicherheit.

(6)

Wie sich aus Artikel 4 Absatz 3 erster Unterabsatz der Richtlinie 2002/58/EG ergibt, sollten die Betreiber die zuständige nationale Behörde von allen Verletzungen des Schutzes personenbezogener Daten benachrichtigen. Folglich sollte es nicht im Ermessen des Betreibers liegen, ob er die zuständige nationale Behörde benachrichtigt oder nicht. Dies sollte die betreffende zuständige nationale Behörde jedoch nicht daran hindern, der Untersuchung bestimmter Verletzungen in der Weise, die sie nach geltendem Recht für geeignet hält, Vorrang einzuräumen und erforderliche Schritte zu unternehmen, um eine überzogene oder unzureichende Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten zu verhindern.

(7)

Es ist angemessen, für die Benachrichtigung der zuständigen nationalen Behörde ein System vorzusehen, das unter bestimmten Voraussetzungen mehrere Stufen umfasst, für die jeweils bestimmte Fristen gelten. Dieses System soll sicherstellen, dass die zuständige nationale Behörde so früh und so vollständig wie möglich informiert wird, ohne den Betreiber bei der Untersuchung der Verletzung und der Ergreifung der Maßnahmen zu behindern, die zur Eindämmung und Beseitigung der Folgen der Verletzung nötig sind.

(8)

Weder ein bloßer Verdacht, dass eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, noch die bloße Feststellung eines Vorfalls, über den trotz größtmöglicher Bemühungen des Betreibers keine ausreichenden Informationen vorliegen, sollten ausreichen, um geltend zu machen, dass eine Verletzung des Schutzes personenbezogener Daten im Sinne dieser Verordnung festgestellt worden ist. Von besonderer Bedeutung ist in diesem Zusammenhang das Vorliegen der in Anhang I aufgeführten Informationen.

(9)

Im Zuge der Durchführung dieser Verordnung sollten die zuständigen nationalen Behörden in Fällen grenzübergreifender Verletzungen des Schutzes personenbezogener Daten zusammenarbeiten.

(10)

Diese Verordnung enthält keine zusätzlichen Vorgaben für das von den Betreibern zu führende Verzeichnis der Verletzungen des Schutzes personenbezogener Daten, da dessen Inhalt durch Artikel 4 der Richtlinie 2002/58/EG bereits umfassend geregelt wird. Die Betreiber können sich aber bei der Festlegung des Verzeichnisformats auf diese Verordnung stützen.

(11)

Alle zuständigen nationalen Behörden sollten gesicherte elektronische Mittel bereitstellen, damit die Betreiber Verletzungen des Schutzes personenbezogener Daten in einem einheitlichen Format melden können, das auf einem Standard wie XML beruht und die in Anhang I aufgeführten Informationen in den betreffenden Sprachen enthält, damit alle Betreiber in der Union ein ähnliches Benachrichtigungsverfahren verwenden können, unabhängig davon, wo sie sich befinden oder wo die Verletzung des Schutzes personenbezogener Daten stattgefunden hat. In diesem Zusammenhang sollte die Kommission die Einrichtung der gesicherten elektronischen Mittel dadurch erleichtern, dass sie — falls nötig — Sitzungen mit den zuständigen nationalen Behörden einberuft.

(12)

Bei der Beurteilung, ob sich eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich nachteilig auf die personenbezogenen Daten oder die Privatsphäre eines Teilnehmers oder einer Person auswirken wird, sollten vor allem Art und Inhalt der personenbezogenen Daten berücksichtigt werden; dies gilt insbesondere für Daten, die finanzielle Informationen wie Kreditkartendaten oder Einzelheiten über Bankkonten enthalten, für besondere Datenkategorien, die in Artikel 8 Absatz 1 der Richtlinie 95/46/EG genannt werden, sowie für bestimmte Daten im besonderen Zusammenhang mit der Erbringung von Telefon- und Internetdienstleistungen, z. B. E-Mail-Daten, Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe und Aufstellungen von Einzelverbindungen.

(13)

Unter außergewöhnlichen Umständen sollte es dem Betreiber gestattet werden, die Benachrichtigung des Teilnehmers oder der Person aufzuschieben, falls durch die Benachrichtigung des Teilnehmers oder der Person die ordnungsgemäße Untersuchung der Verletzung des Schutzes personenbezogener Daten gefährdet würde. Außergewöhnliche Umstände wären in diesem Zusammenhang beispielsweise strafrechtliche Ermittlungen wie auch andere Verletzungen des Schutzes personenbezogener Daten, die zwar keine schwere Straftat darstellen, aber ein Aufschieben der Benachrichtigung dennoch als angemessen erscheinen lassen. Auf jeden Fall sollte die zuständige Behörde im Einzelfall unter Berücksichtigung der gegebenen Umstände beurteilen, ob sie der Aufschiebung zustimmt oder eine Benachrichtigung verlangt.

(14)

Die Betreiber sollten zwar aufgrund ihrer direkten vertraglichen Beziehung im Besitz der Kontaktangaben ihrer Teilnehmer sein, verfügen aber möglicherweise über keine derartigen Angaben zu anderen Personen, auf die sich eine Verletzung des Schutzes personenbezogener Daten nachteilig auswirken könnte. In solchen Fällen sollte es den Betreibern gestattet sein, derartige Personen zunächst durch Bekanntmachungen in großen nationalen oder regionalen Medien, z. B. in Zeitungen, zu benachrichtigen und anschließend so bald wie möglich eine individuelle Benachrichtigung entsprechend dieser Verordnung nachzuholen. Der Betreiber ist daher an sich nicht zur Bekanntmachung in den Medien verpflichtet, sondern ist hierzu — falls er dies wünscht — berechtigt, solange er noch alle betroffenen Personen ermittelt.

(15)

Die Informationen über die Verletzung sollten sich ausschließlich auf die Verletzung beziehen und nicht mit Informationen zu anderen Themen verbunden werden. Beispielsweise sollten Informationen über eine Verletzung des Schutzes personenbezogener Daten, die in einer regulären Rechnung erscheinen, nicht als geeignetes Mittel zur Benachrichtigung über eine Verletzung personenbezogener Daten angesehen werden.

(16)

In dieser Verordnung werden keine bestimmten technischen Schutzmaßnahmen vorgeschrieben, die eine Ausnahme von der Pflicht zur Benachrichtigung der Teilnehmer oder Personen von Verletzungen des Schutzes personenbezogener Daten rechtfertigen könnten, weil sich diese mit dem technischen Fortschritt ändern können. Dennoch sollte die Kommission in der Lage sein, entsprechend der aktuellen Praxis eine Aufstellung solcher spezifischen technischen Schutzmaßnahmen zu veröffentlichen.

(17)

Allein die Anwendung von Verschlüsselung oder Streuspeicherung (Hashing) sollte nicht als ausreichend dafür angesehen werden, dass Betreiber pauschal behaupten können, sie erfüllten die allgemeine Schutzpflicht gemäß Artikel 17 der Richtlinie 95/46/EG. In dieser Hinsicht sollten die Betreiber auch geeignete organisatorische und technische Vorkehrungen treffen, um Verletzungen des Schutzes personenbezogener Daten vorzubeugen bzw. diese festzustellen und zu blockieren. Die Betreiber sollten auch ein verbleibendes Restrisiko betrachten, das nach der Umsetzung von Kontrollen noch fortbestehen könnte, um zu verstehen, wo Verletzungen des Schutzes personenbezogener Daten möglicherweise auftreten könnten.

(18)

Wenn der Betreiber einen Teil der Dienstleistung, z. B. in Bezug auf Abrechnungs- oder Verwaltungsfunktionen, von einem anderen Betreiber ausführen lässt, so sollte der andere Betreiber, der in keinem direkten Vertragsverhältnis zum Endkunden steht, nicht verpflichtet sein, im Falle einer Verletzung des Schutzes personenbezogener Daten selbst Benachrichtigungen vorzunehmen. Stattdessen sollte der Dritte den Betreiber, mit dem er in einer direkten Vertragsbeziehung steht, warnen und informieren. Dies gilt auch im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste auf der Vorleistungsebene, wo der Vorleister üblicherweise in keinem direkten Vertragsverhältnis zum Endkunden steht.

(19)

Durch die Richtlinie 95/46/EG wird ein allgemeiner Rahmen für den Schutz personenbezogener Daten in der Europäischen Union festgelegt. Die Kommission hat einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Ersetzung der Richtlinie 95/46/EG ( „Datenschutzverordnung” ) vorgelegt. Die vorgeschlagene Datenschutzverordnung würde, aufbauend auf Artikel 4 Absatz 3 der Richtlinie 2002/58/EG, für alle für die Verarbeitung Verantwortlichen eine Verpflichtung einführen, Verletzungen des Schutzes personenbezogener Daten zu melden. Die vorliegende Verordnung der Kommission steht mit diesem Vorschlag in vollem Einklang.

(20)

Die vorgeschlagene Datenschutzverordnung enthält auch eine begrenzte Anzahl technischer Anpassungen der Richtlinie 2002/58/EG, die der Umwandlung der Richtlinie 95/46/EG in eine Verordnung Rechnung tragen. Die materiellen rechtlichen Folgen, die sich für die Richtlinie 2002/58/EG aus der neuen Verordnung ergeben, werden Gegenstand einer Überprüfung durch die Kommission sein.

(21)

Die Durchführung dieser Verordnung sollte alle drei Jahre ab ihrem Inkrafttreten überprüft werden; gleichzeitig sollte der Inhalt dieser Verordnung im Lichte des dann geltenden Rechtsrahmens, einschließlich der vorgeschlagenen Datenschutzverordnung, überprüft werden. Die Überprüfung dieser Verordnung sollte — soweit möglich — mit etwaigen künftigen Überprüfungen der Richtlinie 2002/58/EG verknüpft werden.

(22)

Die Durchführung dieser Verordnung kann u. a. auf der Grundlage der von den zuständigen nationalen Behörden geführten Statistiken über die ihnen gemeldeten Verletzungen des Schutzes personenbezogener Daten bewertet werden. Diese Statistiken können beispielsweise Angaben darüber enthalten, wieviele Verletzungen des Schutzes personenbezogener Daten den zuständigen nationalen Behörden gemeldet wurden, von wievielen Verletzungen des Schutzes personenbezogener Daten die betroffenen Teilnehmer oder Personen benachrichtigt wurden, wieviel Zeit zur Behebung der Verletzung des Schutzes personenbezogener Daten benötigt wurde und ob technische Schutzmaßnahmen getroffen wurden. Diese Statistiken sollen der Kommission und den Mitgliedstaaten kohärente und vergleichbare statistische Daten liefern und weder die Identität der meldenden Betreiber noch die Identität betroffener Teilnehmer oder Personen offenlegen. Die Kommission kann zu diesem Zweck regelmäßige Sitzungen mit zuständigen nationalen Behörden und anderen interessierten Beteiligten abhalten.

(23)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Kommunikationsausschusses —

HAT FOLGENDE VERORDNUNG ERLASSEN: