Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009 amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws (Text with EEA relevance)

• Official gazette publication: Official Journal of the European Union, L 337, 18 December 2009
• Publication Date: 19 Dec 2009

02009L0136 — DE — 21.12.2020 — 001.001

---

Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich

►B RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (Text von Bedeutung für den EWR) (ABl. L 337 vom 18.12.2009, S. 11)

Geändert durch:

		Amtsblatt
		Nr.	Seite	Datum
►M1	RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES Text von Bedeutung für den EWR vom 11. Dezember 2018	L 321	36	17.12.2018

Berichtigt durch:

►C1	Berichtigung, ABl. L 241 vom 10.9.2013, S. 9 (2009/136/EG)
►C2	Berichtigung, ABl. L 162 vom 23.6.2017, S. 56 (2009/136/EG)

---

▼B

RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 25. November 2009

zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz

(Text von Bedeutung für den EWR)

▼M1 —————

▼B

Artikel 2

Änderungen der Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation)

Die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) wird wie folgt geändert:

1.

Artikel 1 Absatz 1 erhält folgende Fassung:

„(1)

Diese Richtlinie sieht die Harmonisierung der Vorschriften der Mitgliedstaaten vor, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der Gemeinschaft zu gewährleisten.“

2.

Artikel 2 wird wie folgt geändert:

a)

Buchstabe c erhält folgende Fassung:

„c)

‚Standortdaten‘ Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben;“

b)

Buchstabe e wird gestrichen.

►C1 c)

Folgender Buchstabe wird angefügt:

„i)

‚Verletzung des Schutzes personenbezogener Daten‘ ◄ eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.“

3.

Artikel 3 erhält folgende Fassung:

„Artikel 3

Betroffene Dienste

Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft, einschließlich öffentlicher Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen.“

4.

Artikel 4 wird wie folgt geändert:

a)

Die Überschrift erhält folgende Fassung:

„Sicherheit der Verarbeitung“

b)

Folgender Absatz wird eingefügt:

„(1a)

Unbeschadet der Richtlinie 95/46/EG ist durch die in Absatz 1 genannten Maßnahmen zumindest Folgendes zu erreichen:

—

Sicherstellung, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,

—

Schutz gespeicherter oder übermittelter personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe und

—

Sicherstellung der Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten.

Die zuständigen nationalen Behörden haben die Möglichkeit, die von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste getroffenen Maßnahmen zu prüfen und Empfehlungen zu bewährten Verfahren im Zusammenhang mit dem mit Hilfe dieser Maßnahmen zu erreichenden Sicherheitsniveau zu abzugeben.“

c)

Folgende Absätze werden angefügt:

„(3)

Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Betreiber der öffentlich zugänglichen elektronischen Kommunikationsdienste unverzüglich die zuständige nationale Behörde von der Verletzung.

Ist anzunehmen, dass durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden, so benachrichtigt der Betreiber auch den Teilnehmer bzw. die Person unverzüglich von der Verletzung.

Der Anbieter braucht die betroffenen Teilnehmer oder Personen nicht von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn er zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die nicht befugt sind, Zugang zu den Daten zu haben.

Unbeschadet der Pflicht des Betreibers, den betroffenen Teilnehmer und die Person zu benachrichtigen, kann die zuständige nationale Behörde, wenn der Betreiber den Teilnehmer bzw. die Person noch nicht über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, diesen nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung zur Benachrichtigung auffordern.

In der Benachrichtigung des Teilnehmers bzw. der Person werden mindestens die Art der Verletzung des Schutzes personenbezogener Daten und die Kontaktstellen, bei denen weitere Informationen erhältlich sind, genannt und Maßnahmen zur Begrenzung der möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten empfohlen. In der Benachrichtigung der zuständigen nationalen Behörde werden zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die vom Betreiber nach der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen dargelegt.

...