E-Privacy-Verordnung

Kapitel I – Allgemeine Bestimmungen

Artikel 1 EPRIV – Gegenstand
Artikel 2 EPRIV – Sachlicher Anwendungsbereich
Artikel 3 EPRIV – Räumlicher Anwendungsbereich und Vertreter

Kapitel II – Schutz der elektronischen Kommunikation natürlicher und juristischer Personen und der in ihren Endeinrichtungen gespeicherten Informationen

Artikel 4 EPRIV – Begriffsbestimmungen
Artikel 5 EPRIV – Vertraulichkeit elektronischer Kommunikationsdaten
Artikel 6 EPRIV – Erlaubte Verarbeitung elektronischer Kommunikationsdaten
Artikel 7 EPRIV – Speicherung und Löschung elektronischer Kommunikationsdaten
Artikel 8 EPRIV – Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen
Artikel 9 EPRIV – Einwilligung
Artikel 10 EPRIV – Bereitzustellende Informationen und Einstellungsmöglichkeiten zur Privatsphäre
Artikel 11 EPRIV – Beschränkungen

Kapitel III – Rechte natürlicher und juristischer Personen in Bezug auf die Kontrolle über ihre elektronische Kommunikation

Artikel 12 EPRIV – Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung
Artikel 13 EPRIV – Ausnahmen für die Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung
Artikel 14 EPRIV – Sperrung eingehender Anrufe
Artikel 15 EPRIV – Öffentlich zugängliche Verzeichnisse
Artikel 16 EPRIV – Unerbetene Kommunikation
Artikel 17 EPRIV – Information über erkannte Sicherheitsrisiken

Kapitel IV – Unabhängige Aufsichtsbehörden und Durchsetzung

Artikel 18 EPRIV – Unabhängige Aufsichtsbehörden
Artikel 19 EPRIV – Europäischer Datenschutzausschuss
Artikel 20 EPRIV – Zusammenarbeit und Kohärenzverfahren

Kapitel V – Rechtsbehelfe, Haftung und Sanktionen

Artikel 21 EPRIV – Rechtsbehelfe
Artikel 22 EPRIV – Haftung und Recht auf Schadenersatz
Artikel 23 EPRIV – Allgemeine Voraussetzungen für die Verhängung von Geldbußen
Artikel 24 EPRIV – Sanktionen

Kapitel VI – Delegierte Rechtsakte und Durchführungsrechtsakte

Artikel 25 EPRIV – Ausübung der Befugnisübertragung
Artikel 26 EPRIV – Ausschuss

Kapitel VII – Schlussbestimmungen

Artikel 27 EPRIV – Aufhebung
Artikel 28 EPRIV – Überwachung und Bewertung
Artikel 29 EPRIV – Inkrafttreten und Anwendung

Erwägungsgründe

Erwägungsgrund 1
Erwägungsgrund 2
Erwägungsgrund 3
Erwägungsgrund 4
Erwägungsgrund 5
Erwägungsgrund 6
Erwägungsgrund 7
Erwägungsgrund 8
Erwägungsgrund 9
Erwägungsgrund 10
Erwägungsgrund 11
Erwägungsgrund 12
Erwägungsgrund 13
Erwägungsgrund 14
Erwägungsgrund 15
Erwägungsgrund 16
Erwägungsgrund 17
Erwägungsgrund 18
Erwägungsgrund 19
Erwägungsgrund 20
Erwägungsgrund 21
Erwägungsgrund 22
Erwägungsgrund 23
Erwägungsgrund 24
Erwägungsgrund 25
Erwägungsgrund 26
Erwägungsgrund 27
Erwägungsgrund 28
Erwägungsgrund 29
Erwägungsgrund 30
Erwägungsgrund 31
Erwägungsgrund 32
Erwägungsgrund 33
Erwägungsgrund 34
Erwägungsgrund 35
Erwägungsgrund 36
Erwägungsgrund 37
Erwägungsgrund 38
Erwägungsgrund 39
Erwägungsgrund 40
Erwägungsgrund 41
Erwägungsgrund 42
Erwägungsgrund 43

Erwägungsgrund 1

(1) Artikel 7 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) schützt das Grundrecht aller Menschen auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation. Die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Rechts. Vertraulichkeit der elektronischen Kommunikation bedeutet, dass Informationen, die zwischen Beteiligten ausgetauscht werden, wie auch die externen Elemente dieser Kommunikation (unter anderem wann, woher und an wen) niemandem außer den an der Kommunikation Beteiligten offengelegt werden. Der Grundsatz der Vertraulichkeit sollte für gegenwärtige und künftige Kommunikationsmittel gelten, darunter Anrufe, Internetzugang, Sofortnachrichtenanwendungen, E-Mail, Internettelefonie und Übermittlung persönlicher Nachrichten über soziale Medien.

Erwägungsgrund 2

(2) Inhalte der elektronischen Kommunikation können hochsensible Informationen über die daran beteiligten natürlichen Personen offenlegen, von persönlichen Erlebnissen und Gefühlen oder Erkrankungen bis hin zu sexuellen Vorlieben und politischen Überzeugungen, was zu schweren Folgen im persönlichen und gesellschaftlichen Leben, zu wirtschaftlichen Einbußen oder Schamgefühl führen kann. Auch durch Metadaten elektronischer Kommunikation können sehr sensible und persönliche Informationen offengelegt werden. Zu solchen Metadaten gehören beispielsweise angerufene Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer eines von einer Person getätigten Anrufs, aus denen sich präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen ziehen lassen, z. B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten und ihren Lebensalltag, ihre Interessen, ihren Geschmack usw.

Erwägungsgrund 3

(3) Elektronische Kommunikationsdaten können zudem Informationen über juristische Personen wie Geschäftsgeheimnisse oder andere sensible Informationen offenlegen, die einen wirtschaftlichen Wert haben. Deshalb sollten die Bestimmungen dieser Verordnung sowohl für natürliche als auch für juristische Personen gelten. Außerdem sollte diese Verordnung sicherstellen, dass die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates auch für Endnutzer gilt, die juristische Personen sind. Dies bezieht sich auch auf die Begriffsbestimmung für „Einwilligung“ in der Verordnung (EU) 2016/679. Bei Bezugnahmen auf die Einwilligung von Endnutzern, einschließlich juristischer Personen, sollte diese Begriffsbestimmung gelten. Außerdem sollten juristische Personen gegenüber den Aufsichtsbehörden dieselben Rechte haben wie Endnutzer, die natürliche Personen sind; die nach dieser Verordnung zuständigen Aufsichtsbehörden sollten zudem auch für die Überwachung der Anwendung dieser Verordnung im Hinblick auf juristische Personen zuständig sein.

Erwägungsgrund 4

(4) Nach Artikel 8 Absatz 1 der Charta und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Die Verordnung (EU) 2016/679 enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Elektronische Kommunikationsdaten können auch personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 enthalten.

Erwägungsgrund 5

(5) Die Bestimmungen dieser Verordnung präzisieren und ergänzen die in der Verordnung (EU) 2016/679 festgelegten allgemeinen Vorschriften über den Schutz personenbezogener Daten im Hinblick auf elektronische Kommunikationsdaten, die als personenbezogene Daten einzustufen sind. Diese Verordnung führt daher zu keiner Absenkung des Schutzniveaus, das natürliche Personen nach der Verordnung (EU) 2016/679 genießen. Eine Verarbeitung elektronischer Kommunikationsdaten durch Betreiber elektronischer Kommunikationsdienste sollte nur im Einklang mit der vorliegenden Verordnung erlaubt sein.

Erwägungsgrund 6

(6) Die Grundsätze und wichtigsten Bestimmungen der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates haben sich im Allgemeinen zwar bewährt, jedoch hat diese Richtlinie mit der Entwicklung der Wirklichkeit der Technik und der Märkte nicht vollständig Schritt gehalten, weshalb der Schutz der Privatsphäre und der Vertraulichkeit im Zusammenhang mit der elektronischen Kommunikation uneinheitlich bzw. nicht wirksam genug ist. Zu solchen Entwicklungen zählt beispielsweise der Markteintritt von elektronischen Kommunikationsdiensten, die aus Sicht des Verbrauchers herkömmliche Dienste ersetzen, für die aber nicht dieselben Vorschriften gelten. Eine andere solche Entwicklung ist das Aufkommen neuer Techniken für die Verfolgung des Online-Verhaltens der Endnutzer, die von der Richtlinie 2002/58/EG nicht erfasst werden. Die Richtlinie 2002/58/EG sollte daher aufgehoben und durch diese Verordnung ersetzt werden.

Erwägungsgrund 7

(7) Die Mitgliedstaaten sollten die Möglichkeit haben, innerhalb des von dieser Verordnung vorgegebenen Rahmens nationale Bestimmungen beizubehalten oder einzuführen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer und klarer festgelegt wird, um eine wirksame Anwendung und Auslegung dieser Vorschriften sicherzustellen. Deshalb sollte der Ermessenspielraum, den die Mitgliedstaaten in dieser Hinsicht haben, so wahrgenommen werden, dass ein ausgewogenes Verhältnis zwischen dem Schutz des Privatlebens und personenbezogener Daten und dem freien Verkehr elektronischer Kommunikationsdaten gewährleistet bleibt.

Erwägungsgrund 8

(8) Diese Verordnung sollte für Betreiber elektronischer Kommunikationsdienste, für Betreiber öffentlich zugänglicher Verzeichnisse und für Anbieter von Software, die elektronische Kommunikation ermöglicht, einschließlich Abruf und Darstellung von Informationen aus dem Internet, gelten. Diese Verordnung sollte ferner für natürliche und juristische Personen gelten, die mithilfe elektronischer Kommunikationsdienste an Endnutzer gerichtete gewerbliche Direktwerbung betreiben oder Informationen sammeln, die in Endeinrichtungen der Endnutzer gespeichert sind oder sich auf diese beziehen.

Erwägungsgrund 9

(9) Diese Verordnung sollte für elektronische Kommunikationsdaten gelten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste in der Union verarbeitet werden, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Damit den Endnutzern in der Union ein wirksamer Schutz nicht vorenthalten wird, sollte diese Verordnung darüber hinaus auch für elektronische Kommunikationsdaten gelten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste von außerhalb der Union für Endnutzer in der Union verarbeitet werden.

Erwägungsgrund 10

(10) Funkanlagen und zugehörige Software, die auf dem Binnenmarkt der Union in Verkehr gebracht werden, müssen den Anforderungen der Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates entsprechen. Die Anwendbarkeit der Anforderungen der Richtlinie 2014/53/EU und die Befugnis der Kommission zum Erlass delegierter Rechtsakte nach der Richtlinie 2014/53/EU zum Zweck der Festlegung von Sicherheitsvorrichtungen für bestimmte Kategorien oder Klassen von Funkanlagen, die dem Schutz der personenbezogenen Daten und der Privatsphäre der Endnutzer dienen, sollten von dieser Verordnung unberührt bleiben.

Erwägungsgrund 11

(11) Die für Kommunikationszwecke genutzten Dienste und die technischen Mittel für ihre Bereitstellung haben sich beträchtlich weiterentwickelt. Anstelle herkömmlicher Übermittlungsdienste für Sprachtelefonie, Textnachrichten (SMS) und E-Mail verwenden die Endnutzer zunehmend funktional gleichwertige Online-Dienste wie VoIP-Telefonie, Nachrichtenübermittlung (Messaging) und webgestützte E-MailDienste. Zur Gewährleistung eines wirksamen und einheitlichen Schutzes der Endnutzer bei der Benutzung funktional gleichwertiger Dienste wird in dieser Verordnung die in der [Richtlinie des Europäischen Parlaments und des Rates über den europäischen Kodex für die elektronische Kommunikation] festgelegte Begriffsbestimmung für elektronische Kommunikationsdienste verwendet. Diese Begriffsbestimmung erfasst nicht nur Internetzugangsdienste und Dienste, die ganz oder teilweise in der Übertragung von Signalen bestehen, sondern auch interpersonelle Kommunikationsdienste, die nummerngebunden oder nummernunabhängig sein können, beispielsweise VoIP-Telefonie, Nachrichtenübermittlung und webgestützte EMail-Dienste. Der Schutz der Vertraulichkeit der Kommunikation ist auch im Hinblick auf interpersonelle Kommunikationsdienste, die nur eine untergeordnete Nebenfunktion eines anderen Dienstes darstellen, unverzichtbar; deshalb sollten derartige Dienste, die auch eine Kommunikationsfunktion aufweisen, ebenfalls unter diese Verordnung fallen.

Erwägungsgrund 12

(12) Vernetzte Geräte und Maschinen kommunizieren zunehmend über elektronische Kommunikationsnetze untereinander (Internet der Dinge). Auch bei der Übermittlung von Kommunikationsvorgängen zwischen Maschinen werden Signale über ein Netz übertragen, sodass es sich dabei in der Regel um einen elektronischen Kommunikationsdienst handelt. Um den vollständigen Schutz der Rechte auf Privatsphäre und Vertraulichkeit der Kommunikation zu gewährleisten und ein vertrauenswürdiges und sicheres Internet der Dinge im digitalen Binnenmarkt zu gewährleisten, ist es notwendig klarzustellen, dass diese Verordnung auch für die Übermittlung von Maschine-Maschine-Kommunikation gelten sollte. Dementsprechend sollte der in dieser Verordnung festgelegte Grundsatz der Vertraulichkeit auch für die die Übermittlung von Maschine-MaschineKommunikation gelten. Besondere Sicherheitsvorrichtungen könnten auch im Rahmen sektorspezifischer Rechtsvorschriften wie beispielsweise der Richtlinie 2014/53/EU getroffen werden.

Erwägungsgrund 13

(13) Die Entwicklung schneller und effizienter Drahtlostechnik hat dazu beigetragen, dass der öffentliche Internetzugang über drahtlose Netze zunehmend in öffentlichen und halbprivaten Räumen für jedermann zur Verfügung steht, beispielsweise an sogenannten „Hotspots“, die sich an verschiedenen Orten in einer Stadt wie in Kaufhäusern, Einkaufszentren und Krankenhäusern befinden können. Insoweit solche Kommunikationsnetze für eine unbestimmte Gruppe von Endnutzern bereitgestellt werden, sollte die Vertraulichkeit der über solche Netze übermittelten Kommunikation geschützt werden. Die Tatsache, dass drahtlose elektronische Kommunikationsdienste eine Nebenfunktion anderer Dienste darstellen können, sollte dem Schutz der Vertraulichkeit der Kommunikationsdaten und der Anwendung dieser Verordnung nicht entgegenstehen. Deshalb sollte diese Verordnung für elektronische Kommunikationsdaten gelten, die mithilfe elektronischer Kommunikationsdienste und öffentlicher Kommunikationsnetze übertragen werden. Diese Verordnung sollte dagegen keine Anwendung auf geschlossene Gruppen von Endnutzern (z. B. Unternehmensnetze) finden, bei denen der Zugang auf die Angehörigen des Unternehmens beschränkt ist.

h2>Erwägungsgrund 14

(14) Der Ausdruck „elektronische Kommunikationsdaten“ sollte hinreichend breit

Erwägungsgrund 15

(15) Elektronische Kommunikationsdaten sollten vertraulich behandelt werden. Das bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob unmittelbar durch menschliches Zutun oder mittelbar durch eine automatische Verarbeitung durch Maschinen, ohne Einwilligung aller an der Kommunikation Beteiligten untersagt sein sollten. Das Verbot des Abfangens von Kommunikationsdaten sollte während ihrer Übertragung gelten, d. h. bis zum Empfang der Inhalte der elektronischen Kommunikation durch den bestimmungsgemäßen Empfänger. Ein Abfangen der elektronischen Kommunikation kann dann vorliegen, wenn beispielsweise andere als die an der Kommunikation Beteiligten Anrufe mithören oder den Inhalt der elektronischen Kommunikation oder die damit zusammenhängenden Metadaten zu anderen Zwecken als dem Kommunikationsaustausch lesen, scannen oder speichern. Ein Abfangen liegt auch vor, wenn Dritte ohne Einwilligung des betreffenden Endnutzers besuchte Websites, den Zeitpunkt der Besuche, die Interaktion mit anderen usw. beobachten. Mit der technischen Entwicklung haben auch die technischen Abfangmöglichkeiten zugenommen. Diese Möglichkeiten reichen von der Installation von Einrichtungen, die in ganzen Zielgebieten Daten von Endeinrichtungen erfassen, z. B. IMSI-Catcher (zum Abgreifen der internationalen Mobilfunk-Teilnehmerkennung), bis hin zu Programmen und Techniken, die beispielsweise die Surfgewohnheiten heimlich beobachten, um daraus Endnutzerprofile zu erstellen. Weitere Beispiele für ein Abfangen sind das Erfassen von Nutzdaten oder Inhaltsdaten aus unverschlüsselten drahtlosen Netzen und Routern, z. B. von Surfgewohnheiten ohne Einwilligung der Endnutzer.

Erwägungsgrund 16

(16) Mit dem Verbot der Speicherung der Kommunikation soll nicht jede automatische, einstweilige und vorübergehende Speicherung dieser Informationen untersagt werden, soweit diese zum alleinigen Zweck der Durchführung der Übermittlung über das elektronische Kommunikationsnetz erfolgt. Untersagt werden soll ebenfalls nicht die Verarbeitung elektronischer Kommunikationsdaten zur Gewährleistung der Sicherheit und Kontinuität der elektronischen Kommunikationsdienste, darunter die Prüfung auf Sicherheitsbedrohungen wie Vorhandensein von Schadsoftware oder die Verarbeitung von Metadaten zur Sicherung der Einhaltung der erforderlichen Dienstqualitätsanforderungen wie Latenz, Verzögerungsschwankung (Jitter) usw.

Erwägungsgrund 17

(17) Die Verarbeitung elektronischer Kommunikationsdaten kann für Unternehmen, für die Verbraucher und für die gesamte Gesellschaft nützlich sein. Gegenüber der Richtlinie 2002/58/EG erweitert diese Verordnung die Möglichkeiten der Betreiber elektronischer Kommunikationsdienste, elektronische Kommunikationsmetadaten mit Einwilligung der Endnutzer zu verarbeiten. Die Endnutzer messen jedoch der Vertraulichkeit ihrer Kommunikation, einschließlich ihrer Online-Aktivitäten, eine große Bedeutung bei und wollen die Kontrolle über die Verwendung ihrer elektronischen Kommunikationsdaten für andere Zwecke als die Übertragung der Kommunikation haben. Deshalb sollte diese Verordnung den Betreibern elektronischer Kommunikationsdienste vorschreiben, dass sie die Einwilligung der Endnutzer in die Verarbeitung elektronischer Kommunikationsmetadaten einholen, zu denen auch Daten über den Standort des Gerätes gehören, welche zwecks Gewährung und Aufrechterhaltung des Zugangs und der Verbindung zu dem jeweiligen Dienst erzeugt werden. Standortdaten, die in einem anderen Zusammenhang als dem der Bereitstellung elektronischer Kommunikationsdienste erzeugt werden, sollten nicht als Metadaten betrachtet werden. Ein Beispiel für eine gewerbliche Verwendung elektronischer Kommunikationsmetadaten durch Betreiber elektronischer Kommunikationsdienste wäre die Erstellung von Heatmaps, also grafischen Darstellungen von Daten über die Anwesenheit von Personen anhand von Farben. Zur Anzeige von Verkehrsbewegungen in bestimmte Richtungen über einen bestimmten Zeitraum wird eine Kennung benötigt, damit die Positionen von Einzelpersonen in bestimmten Zeitabständen miteinander verknüpft werden können. Bei Verwendung anonymisierter Daten würde diese Kennung fehlen, sodass solche Bewegungen nicht dargestellt werden könnten. Aus einer solchen Nutzung elektronischer Kommunikationsmetadaten könnten beispielsweise Behörden und öffentliche Verkehrsbetriebe Nutzen ziehen, wenn sie ausgehend von der Benutzung und Belastung bestehender Anlagen festlegen, wo neue Infrastrukturen gebaut werden sollten. Hat eine Form der Verarbeitung elektronischer Kommunikationsmetadaten, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so sollte vor der Verarbeitung eine Datenschutz-Folgenabschätzung und gegebenenfalls eine Konsultation der Aufsichtsbehörde nach den Artikeln 35 und 36 der Verordnung (EU) 2016/679 durchgeführt werden.

Erwägungsgrund 18

(18) Endnutzer können in die Verarbeitung ihrer Metadaten einwilligen, um bestimmte Dienstleistungen nutzen zu können, beispielsweise Dienste zum Schutz vor betrügerischen Aktivitäten (indem Nutzungsdaten, Standort und Kundenkonto in Echtzeit geprüft werden). In der digitalen Wirtschaft werden Dienstleistungen häufig für eine andere Gegenleistung als Geld erbracht, beispielsweise indem Endnutzern Werbung angezeigt wird. Für die Zwecke dieser Verordnung sollte der Ausdruck „Einwilligung“ des Endnutzers unabhängig davon, ob es sich um eine natürliche oder eine juristische Person handelt, dieselbe Bedeutung haben und denselben Voraussetzungen unterliegen wie der in der Verordnung (EU) 2016/679 festgelegte Begriff „Einwilligung der betroffenen Person“. Grundlegende breitbandige Internetzugangs- und Sprachkommunikationsdienste gelten als unverzichtbare Dienste, damit Personen kommunizieren und an den Vorteilen der digitalen Wirtschaft teilhaben können. Eine Einwilligung in die Verarbeitung von Daten aus der Benutzung von Internet- oder Sprachkommunikationsdiensten ist unwirksam, wenn die betroffene Person keine echte und freie Wahl hat oder ihre Einwilligung nicht verweigern oder widerrufen kann, ohne Nachteile zu erleiden.

Erwägungsgrund 19

(19) Der Inhalt der elektronischen Kommunikation fällt in den Wesensgehalt des nach Artikel 7 der Charta geschützten Grundrechts auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation. Eingriffe in die Inhalte der elektronischen Kommunikation sollten nur unter eindeutig festgelegten Voraussetzungen, zu ganz bestimmten Zwecken und unter Einhaltung angemessener Schutzvorkehrungen gegen Missbrauch erlaubt werden. Diese Verordnung sieht die Möglichkeit vor, dass die Betreiber elektronischer Kommunikationsdienste mit einer in Kenntnis der Sachlage gegebenen Einwilligung aller betroffenen Endnutzer die in Übertragung befindlichen elektronischen Kommunikationsdaten verarbeiten können. Beispielsweise können so Betreiber Dienstleistungen anbieten, die das Scannen aller E-Mail-Nachrichten zur Entfernung von bestimmtem, zuvor festgelegten Material umfassen. Angesichts der Sensibilität der Kommunikationsinhalte wird in dieser Verordnung von der Annahme ausgegangen, dass die Verarbeitung solcher Inhaltsdaten hohe Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Betreiber elektronischer Kommunikationsdienste, die beabsichtigen, solche Arten von Daten zu verarbeiten, sollten vor der Verarbeitung stets die Aufsichtsbehörde konsultieren. Eine solche Konsultation sollte nach Artikel 36 Absätze 2 und 3 der Verordnung (EU) 2016/679 erfolgen. Diese Annahme bezieht sich nicht auf die Verarbeitung von Inhaltsdaten zur Bereitstellung eines vom Endnutzer gewünschten Dienstes, wenn der Endnutzer darin eingewilligt hat und die Verarbeitung nur zu den Zwecken und für die Dauer erfolgt, die für den Dienst unbedingt notwendig und verhältnismäßig sind. Nachdem elektronische Kommunikationsinhalte vom Endnutzer verschickt und von dem bzw. den bestimmungsgemäßen Endnutzern empfangen wurden, können sie von den Endnutzern oder von einem Dritten, der von den Endnutzern mit der Aufzeichnung oder Speicherung solcher Daten beauftragt wurde, aufgezeichnet oder gespeichert werden. Eine solche Verarbeitung der Daten muss im Einklang mit der Verordnung (EU) 2016/679 stehen.

Erwägungsgrund 20

(20) Die Endeinrichtungen der Endnutzer elektronischer Kommunikationsnetze und alle Informationen im Zusammenhang mit der Nutzung dieser Endeinrichtungen, ob sie nun von solchen Geräten gespeichert oder ausgesendet, von ihnen angefordert oder verarbeitet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, sind Teil der Privatsphäre der Endnutzer, die dem Schutz aufgrund der Charta der Grundrechte der Europäischen Union und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten unterliegt. Die Informationen im Zusammenhang mit solchen Endeinrichtungen erfordern einen erhöhten Schutz der Privatsphäre, da solche Endeinrichtungen Informationen enthalten oder verarbeiten, die einen tiefen Einblick in komplexe emotionale, politische und soziale Aspekte der Persönlichkeit einer Person geben können, darunter Nachrichteninhalte, Bilder, Aufenthaltsorte durch Zugriff auf die GPS-Funktionen der Geräte sowie Kontaktlisten und andere bereits in dem Gerät gespeicherte Informationen. Darüber hinaus können unerwünschte Verfolgungswerkzeuge wie z. B. Spyware, Webbugs, versteckte Kennungen und Verfolgungs-Cookies ohne das Wissen des Endnutzers in dessen Endeinrichtung eindringen, um Zugang zu Informationen zu erlangen, versteckte Informationen zu speichern oder die Nutzeraktivität zu verfolgen. Informationen in Bezug auf das Gerät des Endnutzers können auch im Fernzugang zu Identifizierungsund Verfolgungszwecken erhoben werden, mit Techniken wie der Verfolgung von Gerätekennungen, was oft ohne Wissen des Endnutzers geschieht, und können eine ernsthafte Verletzung der Privatsphäre dieser Endnutzer darstellen. Techniken, mit denen die Aktivitäten der Endnutzer heimlich beobachtet werden, indem z. B. ihre Online-Aktivitäten oder die Standorte ihrer Endeinrichtungen verfolgt werden, oder mit denen die Funktionsweise der Endeinrichtungen der Endnutzer unbemerkt manipuliert wird, stellen eine ernste Bedrohung der Privatsphäre der Endnutzer dar. Deshalb sollten derartige Eingriffe in die Endeinrichtungen der Endnutzer nur mit Einwilligung des Endnutzers und für bestimmte transparente Zwecke erlaubt sein.

Erwägungsgrund 21

(21) Ausnahmen von der Verpflichtung, die Einwilligung in die Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen oder den Zugriff auf in Endeinrichtungen gespeicherte Informationen einzuholen, sollten auf Situationen beschränkt sein, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Beispielsweise sollte keine Einwilligung eingeholt werden für ein technisches Speichern oder Zugreifen, das zu dem rechtmäßigen Zweck, die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes zu ermöglichen, unbedingt notwendig und verhältnismäßig ist. Dazu gehört auch das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von OnlineFormularen, die sich über mehrere Seiten erstrecken, mitverfolgen zu können. Cookies können auch ein legitimes und nützliches Hilfsmittel sein, um beispielsweise den Webdatenverkehr zu einer Website zu messen. Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

Erwägungsgrund 22

(22) Die Methoden zur Bereitstellung von Informationen und die Einholung der Einwilligung des Endnutzers sollten so benutzerfreundlich wie möglich sein. Wegen der allgegenwärtigen Verwendung von Verfolgungs-Cookies und anderer Verfolgungstechniken werden die Endnutzer immer häufiger aufgefordert, ihre Einwilligung in die Speicherung solcher Verfolgungs-Cookies in ihren Endeinrichtungen zu geben. Infolge dessen werden die Endnutzer mit Einwilligungsanfragen überhäuft. Mit Hilfe technischer Mittel für die Erteilung der Einwilligung, z. B. durch transparente und benutzerfreundliche Einstellungen, könnte dieses Problem behoben werden. Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt werden kann. Die Auswahl, die Endnutzer bei der Festlegung ihrer allgemeinen Einstellungen zur Privatsphäre in einem Browser oder einer anderen Anwendung getroffen haben, sollte für Dritte verbindlich und ihnen gegenüber auch durchsetzbar sein. Webbrowser sind eine Art von Softwareanwendung, die es ermöglicht, Informationen aus dem Internet abzurufen und darzustellen. Andere Arten von Anwendungen wie solche, die Anrufe und die Nachrichtenübermittlung ermöglichen oder Navigationshilfe bieten, sind dazu ebenfalls in der Lage. Ein Großteil der Vorgänge, die zwischen dem Endnutzer und der Website ablaufen, werden von Webbrowsern abgewickelt. Aus dieser Sicht kommt ihnen eine Sonderstellung zu, wenn es darum geht, den Endnutzern die Kontrolle über den Informationsfluss zu und von ihrer Endeinrichtung zu erleichtern. So können Webbrowser insbesondere als Torwächter dienen und den Endnutzern helfen, ein
Speichern von Informationen in ihren Endeinrichtungen (wie Smartphones, Tablets oder Computer) bzw. den Zugriff darauf zu verhindern.

Erwägungsgrund 23

(23) Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wurden in Artikel 25 der Verordnung (EU) 2016/679 festgeschrieben. Gegenwärtig haben die meisten weitverbreiteten Browser für Cookies die Standardeinstellung „Alle Cookies annehmen“. Deshalb sollten Anbieter von Software, die das Abrufen und Darstellen von Informationen aus dem Internet erlaubt, dazu verpflichtet sein, die Software so zu konfigurieren, dass sie die Möglichkeit bietet zu verhindern, dass Dritte Informationen in der Endeinrichtung speichern; diese Einstellung wird häufig als „Cookies von Drittanbietern zurückweisen“ bezeichnet. Den Endnutzern sollte eine Reihe von Einstellungsmöglichkeiten zur Privatsphäre angeboten werden, die vom höheren Schutz (z. B. „Cookies niemals annehmen“) über einen mittleren Schutz (z. B. „Cookies von Drittanbietern zurückweisen“ oder „Nur Cookies von Erstanbietern annehmen“) bis zum niedrigeren Schutz (z. B. „Cookies immer annehmen“) reicht. Solche Einstellungen zur Privatsphäre sollten in leicht sichtbarer und verständlicher Weise dargestellt werden.

Erwägungsgrund 24

(24) Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden. Hierzu müssen die Anbieter von Software, die den Zugang zum Internet ermöglicht, verpflichtet werden, die Endnutzer zum Zeitpunkt der Installation darauf hinzuweisen, dass die Einstellungen zur Privatsphäre unter den verschiedenen Möglichkeiten ausgewählt werden können, und sie aufzufordern, eine Wahl zu treffen. Die gegebenen Informationen sollten die Endnutzer nicht davon abschrecken, höhere Einstellungen zur Privatsphäre zu wählen, und sie sollten alle wichtigen Informationen über die mit der Annahme von Cookies von Drittanbietern verbundenen Risiken enthalten, wozu auch das Anlegen langfristiger Aufzeichnungen über die Browserverläufe des Betroffenen und die Verwendung solcher Aufzeichnungen zur Übermittlung gezielter Werbung gehören. Es sollte gefördert werden, dass Webbrowser den Endnutzern einfache Möglichkeiten bieten, die Einstellungen zur Privatsphäre während der Benutzung jederzeit zu ändern, und dem Nutzer erlauben, Ausnahmen für bestimmte Websites zu machen oder in Listen festzulegen oder anzugeben, von welchen Websites Cookies (auch von Drittanbietern) immer oder niemals angenommen werden sollen.

Erwägungsgrund 25

(25) Für den Zugang zu elektronischen Kommunikationsnetzen ist es erforderlich, dass regelmäßig bestimmte Datenpakete ausgesendet werden, um eine Verbindung zum Netz oder mit anderen Geräten im Netz zu erkennen oder aufrecht zu erhalten. Darüber hinaus muss den Geräten eine eindeutige Adresse zugewiesen sein, damit sie in diesem Netz identifizierbar sind. In ähnlicher Weise sehen auch die Normen für auf Drahtlos- und Funkzellentechnik beruhende Telefonie ein Aussenden aktiver Signale vor, die eindeutige Kennungen wie eine MAC-Adresse, die IMEI (internationale Mobilfunkgerätekennung), die IMSI (internationale Mobilfunk-Teilnehmerkennung) usw. enthalten. Eine einzelne Drahtlos-Basisstation (d. h. ein Sender und Empfänger) wie beispielsweise ein Drahtlos-Zugangspunkt deckt einen bestimmten Bereich ab, in dem solche Informationen erfasst werden können. Es gibt inzwischen Diensteanbieter, die aufgrund gescannter gerätebezogener Informationen Verfolgungsdienste mit verschiedenartigen Funktionsmerkmalen anbieten, darunter die Zählung von Personen, die Bereitstellung von Daten über die Zahl der in einer Schlange wartenden Personen, die Ermittlung der Personenzahl in einem bestimmten Gebiet usw. Diese Informationen können zu Zwecken verwendet werden, die stärker in die Privatsphäre eingreifen, wie das Übermitteln gewerblicher Werbenachrichten mit persönlich angepassten Angeboten an Endnutzer, wenn diese beispielsweise ein Ladengeschäft betreten. Während einige dieser Funktionsmerkmale keine große Gefahr für die Privatsphäre mit sich bringen, sind andere durchaus bedenklich, z. B. solche, die mit der Verfolgung einzelner Personen über einen längeren Zeitraum verbunden sind (u. a. wiederholte Besuche an bestimmten Orten). Anwender solcher Praktiken sollten am Rand des betroffenen Bereichs in hervorgehobener Weise Hinweise anzeigen, mit denen die Endnutzer vor Betreten des Bereichs darüber aufgeklärt werden, dass entsprechende Technik in einem bestimmten Umkreis im Einsatz ist, aber auch über den Zweck der Verfolgung, die dafür verantwortliche Person und darüber, was der Endnutzer der Endeinrichtung tun kann, um die Datenerhebung zu beenden oder auf ein Minimum zu beschränken. Werden personenbezogene Daten nach Artikel 13 der Verordnung (EU) 2016/679 erhoben, so sollten zusätzlich weitere Informationen bereitgestellt werden.

Erwägungsgrund 26

(26) Soweit diese Verordnung für die Verarbeitung elektronischer Kommunikationsdaten durch Betreiber elektronischer Kommunikationsdienste gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter bestimmten Voraussetzungen mittels Rechtsvorschriften beschränken können, wenn diese Beschränkung in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz bestimmter wichtiger öffentlicher Interessen darstellt, wozu die nationale Sicherheit, die Verteidigung, die öffentliche Sicherheit und die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung zählen, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit und sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere wichtiger wirtschaftlicher oder finanzieller Interessen der Union oder eines Mitgliedstaats, oder Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in Bezug auf solche Interessen verbunden sind. Deshalb sollte diese Verordnung die Möglichkeit der Mitgliedstaaten zum rechtmäßigen Abfangen elektronischer Kommunikation oder zum Ergreifen anderer Maßnahmen nicht beeinträchtigen, sofern dies notwendig und verhältnismäßig ist, um die oben genannten öffentlichen Interessen zu schützen, und im Einklang mit der Charta der Grundrechte der Europäischen Union und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten in ihrer Auslegung durch den Gerichtshof der Europäischen Union und den Europäischen Gerichtshof für Menschenrechte erfolgt. Die Betreiber elektronischer Kommunikationsdienste sollten geeignete Verfahren zur leichteren Beantwortung berechtigter Anfragen der zuständigen Behörden schaffen und dabei gegebenenfalls auch die Rolle des nach Artikel 3 Absatz 3 benannten Vertreters berücksichtigen.

Erwägungsgrund 27

(27) Im Hinblick auf die Rufnummernanzeige ist es erforderlich, das Recht des Anrufers zu wahren, die Anzeige der Rufnummer des Anschlusses, von dem aus der Anruf erfolgt, zu unterdrücken, ebenso wie das Recht des Angerufenen, Anrufe von nicht identifizierten Anschlüssen abzuweisen. Bestimmte Endnutzer, insbesondere telefonische Beratungsdienste und ähnliche Einrichtungen, haben ein Interesse daran, die Anonymität ihrer Anrufer zu gewährleisten. Im Hinblick auf die Anzeige der Rufnummer des Angerufenen ist es erforderlich, das Recht und das berechtigte Interesse des Angerufenen zu wahren, die Anzeige der Rufnummer des Anschlusses, mit dem der Anrufer tatsächlich verbunden ist, zu unterdrücken.

Erwägungsgrund 28

(28) In Sonderfällen ist es gerechtfertigt, die Unterdrückung der Rufnummernanzeige aufzuheben. Die Rechte der Endnutzer auf Privatsphäre in Bezug auf die Rufnummernanzeige sollten eingeschränkt werden, wenn dies erforderlich ist, um belästigende Anrufe zurückzuverfolgen, sowie in Bezug auf die Rufnummernanzeige und Standortdaten, wenn dies erforderlich ist, damit Notdienste wie eCall ihre Aufgaben so effektiv wie möglich erfüllen können.

Erwägungsgrund 29

(29) Es gibt technische Möglichkeiten, mit denen Anbieter elektronischer Kommunikationsdienste den Erhalt unerwünschter Anrufe durch die Endnutzer auf unterschiedliche Weisen begrenzen können, z. B. durch Sperren stiller Anrufe und anderer betrügerischer und belästigender Anrufe. Die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste sollten solche Technikeinsetzen und Endnutzer vor belästigenden Anrufen kostenlos schützen. Die Betreiber sollten dafür sorgen, dass die Endnutzer vom Vorhandensein solcher Funktionen Kenntnis haben, indem sie beispielsweise auf ihrer Website darauf hinweisen.

Erwägungsgrund 30

(30) Öffentlich zugängliche Verzeichnisse der Endnutzer elektronischer Kommunikationsdienste finden eine weite Verbreitung. Öffentlich zugängliche Verzeichnisse sind Verzeichnisse oder Dienste, die Informationen über Endnutzer wie deren Telefonnummer (auch Mobiltelefonnummer), E-Mail-Adresse oder andere Kontaktangaben enthalten und Auskunftsdienste umfassen. Das Recht natürlicher Personen auf Privatsphäre und den Schutz personenbezogener Daten erfordert, dass Endnutzer, die natürliche Personen sind, um ihre Einwilligung gebeten werden, bevor ihre personenbezogenen Daten in ein Verzeichnis aufgenommen werden. Das berechtigte Interesse juristischer Personen erfordert, dass Endnutzer, die juristische Personen sind, das Recht haben, der Aufnahme der auf sie bezogenen Daten in ein Verzeichnis zu widersprechen.

Erwägungsgrund 31

(31) Wenn Endnutzer, die natürliche Personen sind, ihre Einwilligung zur ufnahme ihrer Daten in ein solches Verzeichnis geben, sollten sie mit ihrer Einwilligung auch bestimmen können, welche Kategorien personenbezogener Daten in das Verzeichnis aufgenommen werden (z. B. Name, E-Mail-Adresse, Wohnanschrift, Benutzername, Telefonnummer). Außerdem sollten die Betreiber öffentlicher Verzeichnisse die Endnutzer über die Zwecke des Verzeichnisses und die Suchfunktionen informieren, bevor sie sie in das Verzeichnis aufnehmen. Die Endnutzer sollten mit ihrer Einwilligung auch bestimmen können, anhand welcher Kategorien personenbezogener Daten ihre Kontaktangaben durchsucht werden können. Die Kategorien personenbezogener Daten, die in das Verzeichnis aufgenommen werden, und die Kategorien personenbezogener Daten, anhand deren die Kontaktangaben der Endnutzer durchsucht werden können, müssen nicht notwendigerweise dieselben sein.

Erwägungsgrund 32

(32) In dieser Verordnung wird unter Direktwerbung jede Art von Werbung verstanden, mittels derer eine natürliche oder juristische Person Direktwerbung über elektronische Kommunikationsdienste unmittelbar an einen oder mehrere bestimmte oder bestimmbare Endnutzer richtet. Dies umfasst neben dem zu gewerblichen Zwecken erfolgenden Anbieten von Produkten und Dienstleistungen auch Nachrichten von politischen Parteien, die sich über elektronische Kommunikationsdienste an natürliche Personen wenden, um für ihre Parteien zu werben. Dasselbe sollte für Nachrichten gelten, die von anderen Organisationen ohne Erwerbszweck übermittelt werden, um die Zwecke ihrer Organisation zu fördern.

Erwägungsgrund 33

(33) Es sollten Vorkehrungen getroffen werden, um die Endnutzer vor unerbetener Direktwerbung zu schützen, die in das Privatleben der Endnutzer eingreift. Der Grad des Eingriffs in die Privatsphäre und der Belästigung wird unabhängig von der großen Vielfalt der zur Durchführung dieser elektronischen Kommunikation genutzten Techniken und Kanäle wie automatischer Anruf- und Kommunikationssysteme, Sofortnachrichtenanwendungen, E-Mail, SMS, MMS, Bluetooth usw. als relativ ähnlich betrachtet. Daher ist es gerechtfertigt zu verlangen, dass die Einwilligung des Endnutzers eingeholt wird, bevor gewerbliche elektronische Direktwerbung an Endnutzer gerichtet wird, um so den Schutz natürlicher Personen vor Eingriffen in ihr Privatleben und den Schutz der berechtigten Interessen juristischer Personen wirksam zu gewährleisten. Aus Gründen der Rechtssicherheit und wegen der Notwendigkeit, dafür zu sorgen, dass die Vorschriften zum Schutz vor unerbetener elektronischer Kommunikation zukunftssicher bleiben, ist es erforderlich, einheitliche Vorschriften zu schaffen, die nicht danach unterscheiden, mit welcher Technik diese unerbetene Kommunikation erfolgt, und zugleich einen gleichwertigen Schutz aller Bürger in der gesamten Union zu gewährleisten. Es ist jedoch vertretbar, im Rahmen einer bestehenden Kundenbeziehung die Nutzung von E-Mail-Kontaktangaben zu erlauben, damit ähnliche Produkte oder Dienstleistungen angeboten werden können. Diese Möglichkeit sollte jedoch nur für dasselbe Unternehmen gelten, das die elektronischen Kontaktangaben im Einklang mit der Verordnung (EU) 2016/679 erlangt hat.

Erwägungsgrund 34

(34) Wenn Endnutzer in den Empfang unerbetener Direktwerbung eingewilligt haben, sollten sie dennoch in der Lage sein, ihre Einwilligung jederzeit auf einfache Weise zu wiederrufen. Zur Erleichterung der wirksamen Durchsetzung der Unionsvorschriften über unerbetene Direktwerbung ist es notwendig, die Verschleierung der Identität und die Verwendung falscher Identitäten, falscher Rücksendeadressen oder Rückrufnummern bei der Durchführung unerbetener gewerblicher Direktwerbung zu untersagen. Unerbetene Werbung sollte daher eindeutig als solche erkennbar sein, die Identität der übermittelnden juristischen oder natürlichen Person offenlegen oder angeben, in wessen Namen die Nachricht übermittelt wird, und die nötigen Informationen geben, damit die Empfänger ihr Recht ausüben können, dem weiteren Empfang von schriftlichen und mündlichen Werbenachrichten zu widersprechen.

Erwägungsgrund 35

(35) Um einen einfachen Widerruf der Einwilligung zu ermöglichen, sollten juristische oder natürliche Personen, die Direktwerbung per E-Mail betreiben, einen Link oder eine gültige E-Mail-Adresse angeben, mit deren Hilfe Endnutzer ihre Einwilligung auf einfache Weise widerrufen können. Juristische oder natürliche Personen, die Direktwerbung mittels persönlicher Anrufe und mittels Anrufen über automatische Anruf- und Kommunikationssysteme betreiben, sollten ihre Anschlussrufnummer, unter der das Unternehmen angerufen werden kann, oder einen besonderen Kode angeben, der kenntlich macht, dass es sich um einen Werbeanruf handelt.

Erwägungsgrund 36

(36) Persönliche Direktwerbeanrufe, die ohne Verwendung automatischer Anruf- und Kommunikationssysteme ausgeführt werden, sind für den Absender kostspieliger und bringen für Endnutzer keine finanziellen Kosten mit sich. Deshalb sollten die Mitgliedstaaten hierfür nationale Systeme einrichten oder beibehalten können, die solche Anrufe nur an Endnutzer erlauben, die dem nicht widersprochen haben.

Erwägungsgrund 37

(37) Anbieter elektronischer Kommunikationsdienste sollten die Endnutzer darüber informieren, welche Maßnahmen diese ergreifen können, um die Sicherheit ihrer Kommunikation, z. B. durch den Einsatz bestimmter Software oder Verschlüsselungstechniken, zu schützen. Die Anforderung, die Endnutzer über besondere Sicherheitsrisiken aufzuklären, entbindet einen Diensteanbieter nicht von der Verpflichtung, auf eigene Kosten unverzüglich geeignete Maßnahmen zu treffen, um einem neuen, unvorhergesehenen Sicherheitsrisiko vorzubeugen und den normalen Sicherheitsstandard des Dienstes wiederherzustellen. Die Bereitstellung von Informationen über Sicherheitsrisiken für die Endnutzer sollte kostenlos sein. Die Bewertung der Sicherheit erfolgt unter Berücksichtigung des Artikels 32 der Verordnung (EU) 2016/679.

Erwägungsgrund 38

(38) Um die vollständige Kohärenz mit der Verordnung (EU) 2016/679 zu gewährleisten, sollte die Durchsetzung der Bestimmungen dieser Verordnung denselben Behörden übertragen werden, die auch für die Durchsetzung der Bestimmungen der Verordnung (EU) 2016/679 zuständig sind; außerdem sollte diese Verordnung dem Kohärenzverfahren der Verordnung (EU) 2016/679 unterliegen. Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde haben können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Die Aufsichtsbehörden sollten auch für die Überwachung der Anwendung dieser Verordnung im Hinblick auf elektronische Kommunikationsdaten für juristische Personen zuständig sein. Diese zusätzlichen Aufgaben sollten die Fähigkeit der Aufsichtsbehörde, ihre Aufgaben in Bezug auf den Schutz personenbezogener Daten nach der Verordnung (EU) 2016/679 und dieser Verordnung wahrzunehmen, nicht beeinträchtigen. Jede Aufsichtsbehörde sollte zusätzlich mit Finanzmitteln, Personal, Räumlichkeiten und Infrastruktur ausgestattet werden, die für die wirksame Wahrnehmung ihrer Aufgaben nach dieser Verordnung notwendig sind.

Erwägungsgrund 39

(39) Jede Aufsichtsbehörde sollte dafür zuständig sein, im Hoheitsgebiet ihres Mitgliedstaats die Befugnisse auszuüben und die Aufgaben zu erfüllen, die in dieser Verordnung festgelegt sind. Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Die Mitgliedstaaten und deren Aufsichtsbehörden werden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.

Erwägungsgrund 40

(40) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollte jede Aufsichtsbehörde befugt sein, zusätzlich zu oder anstelle von anderen geeigneten Maßnahmen nach dieser Verordnung bei Verstößen gegen diese Verordnung Sanktionen einschließlich Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen festzusetzen sind, die ergriffen wurden, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern. Zum Zweck der Festsetzung einer Geldbuße sollte der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.

Erwägungsgrund 41

(41) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zur Ergänzung dieser Verordnung zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die bereitzustellenden Informationen, auch mittels standardisierter Bildsymbole, um einen leicht wahrnehmbaren und verständlichen Überblick über die Erhebung der von der Endeinrichtung ausgesendeten Informationen zu vermitteln, sowie den Zweck, die dafür verantwortliche Person und die Maßnahmen, die der Endnutzer der Endeinrichtung treffen kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken. Delegierte Rechtsakte sind ebenfalls erforderlich, um einen Kode festzulegen, der Direktwerbeanrufe kenntlich macht, auch solche, die mithilfe automatischer Anruf- und Kommunikationssysteme getätigt werden. Es ist von besonderer Bedeutung, dass die Kommission angemessene Konsultationen durchführt, und dass diese Konsultationen mit den Grundsätzen im Einklang stehen, die in der Interinstitutionellen Vereinbarung über bessere Rechtsetzung vom 13. April 20168 niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Ausarbeitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Ausarbeitung der delegierten Rechtsakte befasst sind. Überdies sollten der Kommission zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung Durchführungsbefugnisse übertragen werden, wenn dies in dieser Verordnung vorgesehen ist. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden.

Erwägungsgrund 42

(42) Da das Ziel dieser Verordnung, nämlich die Gewährleistung eines gleichwertigen Datenschutzniveaus für natürliche und juristische Personen und des freien Verkehrs elektronischer Kommunikationsdaten in der Union, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.

Erwägungsgrund 43

(43) Die Richtlinie 2002/58/EG sollte aufgehoben werden.

KAPITEL I – ALLGEMEINE BESTIMMUNGEN

Artikel 1 EPRIV – Gegenstand

(1) Diese Verordnung legt Vorschriften zum Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste fest und regelt insbesondere die Rechte auf Achtung des Privatlebens und der Kommunikation und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Diese Verordnung gewährleistet den freien Verkehr elektronischer Kommunikationsdaten und elektronischer Kommunikationsdienste in der Union, der aus Gründen der Achtung des Privatlebens und der Kommunikation natürlicher und juristischer Personen und des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder beschränkt noch untersagt werden darf.
(3) Die Bestimmungen dieser Verordnung präzisieren und ergänzen die Verordnung (EU) 2016/679 durch die Festlegung besonderer Vorschriften für die in den Absätzen 1 und 2 genannten Zwecke.

Artikel 2 EPRIV – Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die Verarbeitung elektronischer Kommunikationsdaten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste erfolgt, und für Informationen in Bezug auf die Endeinrichtungen der Endnutzer.
(2) Diese Verordnung gilt nicht für:
a) Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen;
b) Tätigkeiten der Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die Europäische Union fallen;
c) elektronische Kommunikationsdienste, die nicht öffentlich zugänglich sind;
d) Tätigkeiten zuständiger Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(3) Für die Verarbeitung elektronischer Kommunikationsdaten durch die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union gilt die Verordnung (EU) 00/0000 [neue Verordnung zur Ersetzung der Verordnung 45/2001].
(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und
insbesondere der Vorschriften zur Verantwortlichkeit der Anbieter reiner Vermittlungsdienste in den Artikeln 12 bis 15 dieser Richtlinie unberührt.
(5) Die Bestimmungen der Richtlinie 2014/53/EU bleiben von dieser Verordnung unberührt.

Artikel 3 EPRIV – Räumlicher Anwendungsbereich und Vertreter

(1) Diese Verordnung gilt für:
a) die Bereitstellung elektronischer Kommunikationsdienste für Endnutzer in der Union, unabhängig davon, ob vom Endnutzer eine Bezahlung verlangt wird;
b) die Nutzung solcher Dienste;
c) den Schutz von Informationen in Bezug auf die Endeinrichtungen der Endnutzer in der Union.
(2) Ist der Betreiber eines elektronischen Kommunikationsdienstes nicht in der Union niedergelassen, so muss er schriftlich einen Vertreter in der Union benennen.
(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die Endnutzer dieser elektronischen Kommunikationsdienste befinden.
(4) Der Vertreter muss für die Zwecke der Gewährleistung der Einhaltung dieser Verordnung befugt sein, zusätzlich zu dem von ihm vertretenen Betreiber oder an dessen Stelle Fragen zu beantworten und Auskünfte zu erteilen, und zwar insbesondere gegenüber Aufsichtsbehörden und Endnutzern in Bezug auf alle Belange im Zusammenhang mit der Verarbeitung elektronischer Kommunikationsdaten.
(5) Die Benennung eines Vertreters nach Absatz 2 erfolgt unbeschadet etwaiger rechtlicher Schritte gegen eine natürliche oder juristische Person, die elektronische Kommunikationsdaten in Verbindung mit der Bereitstellung elektronischer Kommunikationsdienste von außerhalb der Union für Endnutzer in der Union verarbeitet.

Artikel 4 EPRIV – Begriffsbestimmungen

(1) Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:
a) die Begriffsbestimmungen der Verordnung (EU) 2016/679;
b) die Begriffsbestimmungen für „elektronisches Kommunikationsnetz“, „elektronischer Kommunikationsdienst“, „interpersoneller Kommunikationsdienst“, „nummerngebundener interpersoneller Kommunikationsdienst“, „nummernunabhängiger interpersoneller Kommunikationsdienst“, „Endnutzer“ und „Anruf“ in Artikel 2 Nummern 1, 4, 5, 6, 7, 14 bzw. 21 der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation];
c) die Begriffsbestimmung für „Endeinrichtungen“ in Artikel 1 Nummer 1 der Richtlinie 2008/63/EG der Kommission.
(2) Für die Zwecke des Absatzes 1 Buchstabe b schließt die Begriffsbestimmung für „interpersoneller Kommunikationsdienst“ auch Dienste ein, die eine interpersonelle und interaktive Kommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen.
(3) Für die Zwecke dieser Verordnung gelten zusätzlich folgende Begriffsbestimmungen:
a) „elektronische Kommunikationsdaten“: elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten;
b) „elektronische Kommunikationsinhalte“: Inhalte, die mittels elektronischer Kommunikationsdienste übermittelt werden, z. B. Textnachrichten, Sprache, Videos, Bilder und Ton;
c) „elektronische Kommunikationsmetadaten“: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation;
d) „öffentlich zugängliches Verzeichnis“: ein Verzeichnis der Endnutzer elektronischer Kommunikationsdienste in gedruckter oder elektronischer Form, das veröffentlicht oder der Öffentlichkeit bzw. einem Teil der Öffentlichkeit zugänglich gemacht wird, auch mithilfe eines Verzeichnisauskunftsdienstes;
e) „E-Mail“ (elektronische Post): jede über ein elektronisches Kommunikationsnetz verschickte elektronische Nachricht, die Informationen in Text-, Sprach-, Video-, Ton- oder Bildform enthält und die im Netz oder in zugehörigen Rechneranlagen oder in Endeinrichtungen ihres Empfängers gespeichert werden kann;
f) „Direktwerbung“: jede Art der Werbung in schriftlicher oder mündlicher Form, die an einen oder mehrere bestimmte oder bestimmbare Endnutzer elektronischer Kommunikationsdienste gerichtet wird, auch mittels automatischer Anruf- und Kommunikationssysteme mit oder ohne menschliche(r) Beteiligung, mittels E-Mail, SMS-Nachrichten usw.;
g) „persönliche Direktwerbeanrufe“: direkt persönlich und ohne Verwendung automatischer Anruf- und Kommunikationssysteme ausgeführte Anrufe;
h) „automatische Anruf- und Kommunikationssysteme“: Systeme, die automatisch Anrufe zu einem oder mehreren Empfängern entsprechend den für das System gemachten Einstellungen aufbauen und Ton übertragen können, der keine live gesprochene Rede darstellt, einschließlich Anrufen unter Verwendung automatischer Anruf- und Kommunikationssysteme, die die angerufene Person mit einer einzelnen Person verbinden.

Artikel 5 EPRIV – Vertraulichkeit elektronischer Kommunikationsdaten

Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.

Artikel 6 EPRIV – Erlaubte Verarbeitung elektronischer Kommunikationsdaten

(1) Betreiber elektronischer Kommunikationsnetze und -dienste dürfen elektronische Kommunikationsdaten verarbeiten, wenn
a) dies zur Durchführung der Übermittlung der Kommunikation nötig ist, für die dazu erforderliche Dauer, oder
b) dies zur Aufrechterhaltung oder Wiederherstellung der Sicherheit elektronischer Kommunikationsnetze und -dienste oder zur Erkennung von technischen Defekten und Fehlern bei der Übermittlung der elektronischen Kommunikation nötig ist, für die dazu erforderliche Dauer.
(2) Betreiber elektronischer Kommunikationsdienste dürfen elektronische Kommunikationsmetadaten verarbeiten, wenn
a) dies zur Einhaltung verbindlicher Dienstqualitätsanforderungen nach der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation] oder der Verordnung (EU) 2015/212011 nötig ist, für die dazu erforderliche Dauer, oder
b) dies zur Rechnungstellung, zur Berechnung von Zusammenschaltungszahlungen, zur Erkennung oder Beendigung betrügerischer oder missbräuchlicher Nutzungen elektronischer Kommunikationsdienste oder der diesbezüglichen Verträge nötig ist, oder
c) der betreffende Endnutzer seine Einwilligung zur Verarbeitung seiner Kommunikationsmetadaten für einen oder mehrere bestimmte Zwecke gegeben hat, so auch für die Bereitstellung bestimmter Dienste für diese Endnutzer, sofern die betreffenden Zwecke durch eine Verarbeitung anonymisierter Informationen nicht erreicht werden können.
(3) Betreiber elektronischer Kommunikationsdienste dürfen elektronische Kommunikationsinhalte nur verarbeiten:
a) zum alleinigen Zweck der Bereitstellung eines bestimmten Dienstes für einen Endnutzer, wenn der bzw. die betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte gegeben haben und die Dienstleistung ohne Verarbeitung dieser Inhalte nicht erbracht werden kann, oder
b) wenn alle betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte für einen oder mehrere bestimmte Zwecke gegeben haben, die durch eine Verarbeitung anonymisierter Informationen nicht erreicht werden können, und wenn der Betreiber hierzu die Maßnahmen zum Zugang zum offenen Internet und zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten sowie der Verordnung (EU) Nr. 531/2012 über das Roaming in öffentlichen Mobilfunknetzen in der Union Aufsichtsbehörde konsultiert hat. Artikel 36 Absätze 2 und 3 der Verordnung (EU) 2016/679 findet auf die Konsultation der Aufsichtsbehörde Anwendung.

Artikel 7 EPRIV – Speicherung und Löschung elektronischer Kommunikationsdaten

(1) Unbeschadet des Artikels 6 Absatz 1 Buchstabe b und des Artikels 6 Absatz 3 Buchstaben a und b löscht der Betreiber des elektronischen Kommunikationsdienstes elektronische Kommunikationsinhalte oder anonymisiert diese Daten, sobald der bzw. die vorgesehenen Empfänger die elektronischen Kommunikationsinhalte erhalten haben. Diese Daten können von den Endnutzern oder von Dritten, die von den Endnutzern mit der Aufzeichnung, Speicherung oder anderweitigen Verarbeitung dieser Daten beauftragt werden, im Einklang mit der Verordnung (EU) 2016/679 aufgezeichnet oder gespeichert werden.
(2) Unbeschadet des Artikels 6 Absatz 1 Buchstabe b und des Artikels 6 Absatz 2 Buchstaben a und c löscht der Betreiber des elektronischen Kommunikationsdienstes elektronische Kommunikationsmetadaten oder anonymisiert diese Daten, sobald sie für die Übermittlung einer Kommunikation nicht mehr benötigt werden.
(3) Erfolgt die Verarbeitung elektronischer Kommunikationsmetadaten zu Abrechnungszwecken im Einklang mit Artikel 6 Absatz 2 Buchstabe b, so dürfen die betreffenden Metadaten bis zum Ablauf der Frist aufbewahrt werden, innerhalb deren nach nationalem Recht die Rechnung rechtmäßig angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann.

Artikel 8 EPRIV – Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen

(1) Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:
a) sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
b) der Endnutzer hat seine Einwilligung gegeben oder
c) sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
d) sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.
(2) Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, ist untersagt, außer
a) sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder
b) es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken. Voraussetzung für die Erhebung solcher Informationen ist die Anwendung geeigneter technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau nach Artikel 32 der Verordnung (EU) 2016/679 gewährleisten.
(3) Die nach Absatz 2 Buchstabe b zu gebenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die Erhebung zu vermitteln.
(4) Der Kommission wird die Befugnis übertragen, nach Artikel 27 delegierte Rechtsakte zur Bestimmung der Informationen, die durch standardisierte Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Artikel 9 EPRIV – Einwilligung

(1) Für die Einwilligung gelten die Begriffsbestimmung und die Voraussetzungen, die in Artikel 4 Nummer 11 und Artikel 7 der Verordnung (EU) 2016/679 festgelegt sind.
(2) Unbeschadet des Absatzes 1 kann die Einwilligung für die Zwecke des Artikels 8 Absatz 1 Buchstabe b – soweit dies technisch möglich und machbar ist – in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.
(3) Endnutzern, die ihre Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten nach Artikel 6 Absatz 2 Buchstabe c und Artikel 6 Absatz 3 Buchstaben a und b gegeben haben, wird nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 die Möglichkeit eingeräumt, ihre Einwilligung jederzeit zu widerrufen; sie werden in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert, solange die Verarbeitung andauert.

Artikel 10 EPRIV – Bereitzustellende Informationen und Einstellungsmöglichkeiten zur Privatsphäre

(1) In Verkehr gebrachte Software, die eine elektronische Kommunikation erlaubt, darunter auch das Abrufen und Darstellen von Informationen aus dem Internet, muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers speichern oder bereits in der Endeinrichtung gespeicherte Informationen verarbeiten.
(2) Bei der Installation muss die Software den Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informieren und zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangen.
(3) Bei Software, die am 25. Mai 2018 bereits installiert ist, müssen die nforderungen der Absätze 1 und 2 zum Zeitpunkt der ersten Aktualisierung der Software, jedoch spätestens ab dem 25. August 2018 erfüllt werden.

Artikel 11 EPRIV – Beschränkungen

(1) Die Union oder die Mitgliedstaaten können im Wege von Gesetzgebungsmaßnahmen den Umfang der in den Artikeln 5 bis 8 festgelegten Pflichten und Rechte beschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige, geeignete und verhältnismäßige Maßnahme darstellt, um ein oder mehrere der in Artikel 23 Absatz 1 Buchstaben a bis e der Verordnung (EU) 2016/679 genannten allgemeinen öffentlichen Interessen zu wahren oder Überwachungs-, Kontroll- oder Regulierungsaufgaben, die mit der Ausübung öffentlicher Gewalt verbunden sind, wahrzunehmen.
(2) Die Betreiber elektronischer Kommunikationsdienste richten auf der Grundlage einer nach Absatz 1 erlassenen Gesetzgebungsmaßnahme interne Verfahren zur Beantwortung von Anfragen auf Zugang zu elektronischen Kommunikationsdaten von Endnutzern ein. Sie stellen der zuständigen Aufsichtsbehörde auf Anfrage Informationen über diese Verfahren, die Zahl der eingegangenen Anfragen, die vorgebrachten rechtlichen Begründungen und ihre Antworten zur Verfügung.

Artikel 12 EPRIV – Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

(1) Wird die Anzeige der Rufnummer des Anrufers und des Angerufenen im Einklang mit Artikel [107] der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation] angeboten, stellen die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste Folgendes bereit:
a) für den anrufenden Endnutzer die Möglichkeit, die Anzeige seiner Rufnummer für einen einzelnen Anruf, für eine bestimmte Verbindung oder dauerhaft zu verhindern;
b) für den angerufenen Endnutzer die Möglichkeit, die Rufnummernanzeige für eingehende Anrufe zu verhindern;
c) für den angerufenen Endnutzer die Möglichkeit, eingehende Anrufe, bei denen die Rufnummernanzeige durch den anrufenden Endnutzer verhindert wurde, abzuweisen;
d) für den angerufenen Endnutzer die Möglichkeit, die Anzeige seiner Rufnummer beim anrufenden Endnutzer zu verhindern.
(2) Die in Absatz 1 Buchstaben a, b, c und d genannten Möglichkeiten werden Endnutzern auf einfache Weise und kostenlos bereitgestellt.
(3) Absatz 1 Buchstabe a gilt auch für aus der Union abgehende Anrufe in Drittländer. Absatz 1 Buchstaben b, c und d gelten auch für aus Drittländern eingehende Anrufe.
(4) Wird die Anzeige der Rufnummer des Anrufers oder des Angerufenen angeboten, geben die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste der Öffentlichkeit Informationen über die in Absatz 1 Buchstaben a, b, c und d genannten Möglichkeiten.

Artikel 13 EPRIV – Ausnahmen für die Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

(1) Ungeachtet dessen, ob der anrufende Endnutzer die Anzeige seiner Rufnummer verhindert hat, übergehen die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste bei Anrufen bei Notdiensten die Unterdrückung der Rufnummernanzeige und eine verweigerte oder fehlende Einwilligung eines Endnutzers in die Verarbeitung von Metadaten anschlussbezogen für Einrichtungen, die Notrufe bearbeiten, einschließlich der Notrufabfragestellen, zum Zwecke der Beantwortung dieser Anrufe.
(2) Die Mitgliedstaaten legen spezifischere Bestimmungen in Bezug auf die Einrichtung von Verfahren und die Umstände fest, unter denen Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste die Unterdrückung der Anzeige der Rufnummer des Anrufers vorrübergehend aufheben sollen, wenn Endnutzer beantragen, dass böswillige oder belästigende Anrufe zurückverfolgt werden.

Artikel 14 EPRIV – Sperrung eingehender Anrufe

Die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste treffen Maßnahmen, die dem Stand der Technik entsprechen, um den Erhalt unerwünschter Anrufe durch Endnutzer zu beschränken, und stellen den angerufenen Endnutzern außerdem folgende Möglichkeiten kostenlos zur Verfügung:
a) Sperrung eingehender Anrufe von bestimmten Rufnummern oder von anonymen Quellen;
b) Abstellung einer von einem Dritten veranlassten automatischen Anrufweiterschaltung zur Endeinrichtung des Endnutzers.

Artikel 15 EPRIV – Öffentlich zugängliche Verzeichnisse

(1) Die Betreiber öffentlich zugänglicher Verzeichnisse holen die Einwilligung der Endnutzer, die natürliche Personen sind, in die Aufnahme ihrer personenbezogenen Daten in das Verzeichnis und folglich die Einwilligung dieser Endnutzer in die Aufnahme von Daten nach Kategorien personenbezogener Daten ein, soweit diese Daten für den vom Anbieter des Verzeichnisses angegebenen Zweck relevant sind. Die Betreiber geben Endnutzern, die natürliche Personen sind, die Möglichkeit, die Daten zu überprüfen, zu berichtigen und zu löschen.
(2) Die Betreiber öffentlich zugänglicher Verzeichnisse informieren Endnutzer, die natürliche Personen sind und deren personenbezogene Daten in das Verzeichnis aufgenommen worden sind, über die verfügbaren Suchfunktionen des Verzeichnisses und holen die Einwilligung der Endnutzer ein, bevor sie diese Suchfunktionen in Bezug auf deren Daten aktivieren.
(3) Die Betreiber öffentlich zugänglicher Verzeichnisse räumen Endnutzern, die juristische Personen sind, die Möglichkeit ein, der Aufnahme von auf sie bezogenen Daten in das Verzeichnis zu widersprechen. Die Betreiber geben solchen Endnutzern, die juristische Personen sind, die Möglichkeit, die Daten zu überprüfen, zu berichtigen und zu löschen.
(4) Die Möglichkeit der Endnutzer, nicht in ein öffentlich zugängliches Verzeichnis aufgenommen zu werden und alle Daten, die sich auf sie beziehen, zu überprüfen, zu berichtigen und zu löschen, wird kostenlos zur Verfügung gestellt.

Artikel 16 EPRIV – Unerbetene Kommunikation

(1) Natürliche oder juristische Personen können Direktwerbung über elektronische Kommunikationsdienste an Endnutzer richten, die natürliche Personen sind und hierzu ihre Einwilligung gegeben haben.
(2) Hat eine natürliche oder juristische Person von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Einklang mit der Verordnung (EU) 2016/679 deren elektronische Kontaktangaben für E-Mail erhalten, darf sie diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen nur dann verwenden, wenn die Kunden klar und deutlich die Möglichkeit haben, einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen. Das Widerspruchsrecht wird bei Erlangung der Angaben und bei jedem Versand einer Nachricht eingeräumt.
(3) Unbeschadet der Absätze 1 und 2 müssen natürliche oder juristische Personen, die Direktwerbeanrufe mittels elektronischer Kommunikationsdienste tätigen,
a) eine Rufnummer angeben, unter der sie erreichbar sind, oder
b) einen besonderen Kode/eine Vorwahl angeben, der/die kenntlich macht, dass es sich um einen Werbeanruf handelt.
(4) Ungeachtet des Absatzes 1 können Mitgliedstaaten durch Rechtsvorschriften vorsehen, dass die Tätigung persönlicher Direktwerbeanrufe an Endnutzer, die natürliche Personen sind, nur bei Endnutzern erlaubt ist, die natürliche Personen sind und dem Erhalt solcher Kommunikation nicht widersprochen haben.
(5) Die Mitgliedstaaten stellen im Rahmen des Unionsrechts und des geltenden nationalen Rechts sicher, dass die berechtigten Interessen von Endnutzern, die
juristische Personen sind, in Bezug auf unerbetene Kommunikation, die in der in Absatz 1 genannten Weise übermittelt wird, ausreichend geschützt werden.
(6) Natürliche oder juristische Personen, die Direktwerbung mittels elektronischer Kommunikationsdienste übermitteln, informieren die Endnutzer über den Werbecharakter der Nachricht und die Identität der juristischen oder natürlichen Person, in deren Namen die Nachricht übermittelt wird, und stellen die nötigen Informationen bereit, damit die Empfänger in einfacher Weise ihr Recht ausüben können, die Einwilligung in den weiteren Empfang von Werbenachrichten zu widerrufen.
(7) Der Kommission wird die Befugnis übertragen, nach Artikel 26 Absatz 2 Durchführungsmaßnahmen zu erlassen, in denen der Kode/die Vorwahl zur Kennzeichnung von Werbeanrufen nach Absatz 3 Buchstabe b festgelegt wird.

Artikel 17 EPRIV – Information über erkannte Sicherheitsrisiken

Besteht ein besonderes Risiko, dass die Sicherheit von Netzen und elektronischen Kommunikationsdiensten beeinträchtigt werden könnte, informiert der Betreiber eines elektronischen Kommunikationsdienstes die Endnutzer über dieses Risiko und – wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahmen liegt – über mögliche Abhilfen, einschließlich voraussichtlich entstehender Kosten.

Artikel 18 EPRIV – Unabhängige Aufsichtsbehörden

(1) Die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständigen unabhängigen Aufsichtsbehörden sind auch für die Überwachung der Anwendung der vorliegenden Verordnung zuständig. Die Kapitel VI und VII der Verordnung (EU) 2016/679 finden sinngemäß Anwendung. Die Aufgaben und Befugnisse der Aufsichtsbehörden werden in Bezug auf die Endnutzer wahrgenommen.
(2) Die in Absatz 1 genannten Aufsichtsbehörden arbeiten mit den nach der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation] geschaffenen nationalen Regulierungsbehörden zusammen, wenn dies zweckmäßig ist.

Artikel 19 EPRIV – Europäischer Datenschutzausschuss

Der durch Artikel 68 der Verordnung (EU) 2016/679 eingesetzte Europäische Datenschutzausschuss ist für die Gewährleistung der einheitlichen Anwendung dieser Verordnung zuständig. Dazu nimmt der Europäische Datenschutzausschuss die in Artikel 70 der Verordnung (EU) 2016/679 festgelegten Aufgaben wahr. Außerdem hat der Ausschuss folgende Aufgaben:
a) Beratung der Kommission bezüglich etwaiger Vorschläge zur Änderung dieser Verordnung;
b) Prüfung – von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission – von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung.

Artikel 20 EPRIV – Zusammenarbeit und Kohärenzverfahren

Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission nach Kapitel VII der Verordnung (EU) 2016/679 in den unter diese Verordnung fallenden Angelegenheiten zusammen.

Artikel 21 EPRIV – Rechtsbehelfe

(1) Jeder Endnutzer elektronischer Kommunikationsdienste hat unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe dieselbenRechte, die in den Artikeln 77, 78 und 79 der Verordnung (EU) 2016/679 vorgesehen sind.
(2) Jede natürliche oder juristische Person, die kein Endnutzer ist, die durch Verstöße gegen die vorliegende Verordnung beeinträchtigt wird und ein berechtigtes Interesse an der Einstellung oder dem Verbot solcher Verstöße hat, einschließlich der Betreiber elektronischer Kommunikationsdienste, die ihre berechtigten Geschäftsinteressen schützen wollen, hat das Recht, gegen solche Verstöße gerichtlich vorzugehen.

Artikel 22 EPRIV – Haftung und Recht auf Schadenersatz

Jeder Endnutzer elektronischer Kommunikationsdienste, dem wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Rechtsverletzer, es sei denn der Rechtsverletzer weist im Einklang mit Artikel 82 der Verordnung (EU) 2016/679 nach, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Artikel 23 EPRIV – Allgemeine Voraussetzungen für die Verhängung von Geldbußen

(1) Für die Zwecke dieses Artikels findet Kapitel VII der Verordnung (EU) 2016/679 auf Verstöße gegen die vorliegende Verordnung Anwendung.
(2) Bei Verstößen gegen die folgenden Bestimmungen der vorliegenden Verordnung werden im Einklang mit Absatz 1 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Verpflichtungen einer juristischen oder natürlichen Person, die elektronische Kommunikationsdaten nach Artikel 8 verarbeitet;
b) die Verpflichtungen des Anbieters der Software, die eine elektronische Kommunikation nach Artikel 10 ermöglicht;
c) die Verpflichtungen des Betreibers öffentlich zugänglicher Verzeichnisse nach Artikel 15;
d) die Verpflichtungen einer juristischen oder natürlichen Person, die elektronische Kommunikationsdienste nach Artikel 16 nutzt.
(3) Bei Verstößen gegen den Grundsatz der Vertraulichkeit der Kommunikation, die erlaubte Verarbeitung elektronischer Kommunikationsdaten und Löschungsfristen nach den Artikeln 5, 6 und 7 werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
(4) Die Mitgliedstaaten legen Vorschriften über Sanktionen für die in den Artikeln 12, 13, 14 und 17 genannten Verstöße fest.
(5) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Artikel 18 werden Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
(6) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden nach Artikel 18 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.
(7) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde nach diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.
(8) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie von Aufsichtsbehörden verhängte Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum [xxx] die Rechtsvorschriften, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.

Artikel 24 EPRIV – Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße nach Artikel 23 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
(2) Jeder Mitgliedstaat teilt der Kommission spätestens 18 Monate nach dem in Artikel 29 Absatz 2 festgelegten Termin die Rechtsvorschriften, die er nach Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.

Artikel 25 EPRIV – Ausübung der Befugnisübertragung

(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
(2) Die Befugnis zum Erlass delegierter Rechtsakte nach Artikel 8 Absatz 4 wird der Kommission auf unbestimmte Zeit ab dem [Tag des Inkrafttretens dieser Verordnung] übertragen.
(3) Die Befugnisübertragung nach Artikel 8 Absatz 4 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
(4) Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung über bessere Rechtsetzung vom 13. April 2016 niedergelegten Grundsätzen.
(5) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
(6) Ein delegierter Rechtsakt, der nach Artikel 8 Absatz 4 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 26 EPRIV – Ausschuss

(1) Die Kommission wird von dem durch Artikel 110 der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation] eingesetzten Kommunikationsausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/201112.
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Artikel 27 EPRIV – Aufhebung

(1) Die Richtlinie 2002/58/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Bezugnahmen auf die aufgehobene Richtlinie gelten als Bezugnahmen auf die vorliegende Verordnung.

Artikel 28 EPRIV – Überwachung und Bewertung

Die Kommission stellt spätestens zum 1. Januar 2018 ein detailliertes Programm für die Überwachung der Wirksamkeit dieser Verordnung auf. Spätestens drei Jahre nach dem Geltungsbeginn dieser Verordnung und danach alle drei Jahre führt die Kommission eine Bewertung dieser Verordnung durch und legt die wichtigsten Erkenntnisse daraus dem Europäischen Parlament, dem Rat und dem Europäischen Wirtschafts- und Sozialausschuss vor. In Anbetracht rechtlicher, technischer oder wirtschaftlicher Entwicklungen dient die Bewertung gegebenenfalls als Grundlage für einen Vorschlag zur Änderung oder Aufhebung dieser Verordnung.

Artikel 29 EPRIV – Inkrafttreten und Anwendung

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Sie gilt ab dem 25. Mai 2018.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.