Änderung der E-Privacy-Richtlinie

Am 25. November 2009 haben das Europäische Parlament und der Rat der Europäischen Union Änderungen der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG, sog. E-Privacy-Richtlinie) beschlossen. Die Neufassung der Richtlinie ist am 19. Dezember 2009 in Kraft getreten. Sie erfordert auch Anpassungen des deutschen Datenschutzrechts.

Die Änderungen der E-Privacy-Richtlinie bringen im Wesentlichen in vier Bereichen Neuerungen mit sich:

Diensteanbieter werden durch die novellierte Richtlinie erstmals zur Information über Datenpannen verpflichtet (Art. 4 Abs. 3 RL 2002/58/EG). Nach Art. 4 Abs. 3 Satz 1 hat der Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die zuständige nationale Behörde von der betreffenden Verletzung zu benachrichtigen. Nach Art. 4 Abs. 3 Satz 2 hat er darüber hinaus auch den Teilnehmer bzw. die betroffene Person unverzüglich von der Verletzung zu benachrichtigen, wenn anzunehmen ist, dass diese durch die Verletzung des Schutzes personenbezogener Daten in ihrer Privatsphäre beeinträchtigt werden. Diese Regelungen folgen damit US-amerikanischem Vorbild, denn die bundesstaatlichen Datenschutzgesetzgebungen der USA kennen bereits seit Jahren den positiven Effekt so genannter „Data Breach Notifications“. Vergleichbare Regelungen (§ 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG) sind, wenn auch nicht ganz so weitgehend, in Deutschland bereits zum 1. September 2009 im Rahmen der BDSG-Novellierung in Kraft getreten. Diese werden nun richtlinienkonform geändert werden müssen. „Cookies“ oder „Spyware“ sollen künftig nicht mehr ohne Zustimmung des Internetnutzers auf dessen PC installiert werden dürfen (Art. 5 Abs. 3 RL 2002/58/EG). Art. 5 Abs. 3 Satz 1 regelt in diesem Zusammenhang, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 1995/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Nach Art. 5 Abs. 3 Satz 2 gilt dies jedoch nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Nach Angaben des zuständigen Berichterstatters des Europäischen Parlaments, Alexander Alvaro, soll eine solche Zustimmung zur Datenerhebung beispielsweise dann als erteilt gelten, wenn der Nutzer seinen Browser so eingestellt hat, dass dieser Cookies akzeptiert. Nur bei anderweitigen Informationsspeicherungen, wie etwa durch so genannte… » Vollständiger Artikel