1) Betreiber elektronischer Kommunikationsnetze und dienste dürfen elektronische Kommunikationsdaten verarbeiten, wenn
a) dies zur Durchführung der Übermittlung der Kommunikation nötig ist, für die dazu erforderliche Dauer, oder
b) dies zur Aufrechterhaltung oder Wiederherstellung der Sicherheit elektronischer Kommunikationsnetze und dienste oder zur Erkennung von technischen Defekten und Fehlern bei der Übermittlung der elektronischen Kommunikation nötig ist, für die dazu erforderliche Dauer.
2) Betreiber elektronischer Kommunikationsdienste dürfen elektronische Kommunikationsmetadaten verarbeiten, wenn
a) dies zur Einhaltung verbindlicher Dienstqualitätsanforderungen nach der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation] oder der Verordnung (EU) 2015/2120 28 nötig ist, für die dazu erforderliche Dauer, oder
b) dies zur Rechnungstellung, zur Berechnung von Zusammenschaltungszahlungen, zur Erkennung oder Beendigung betrügerischer oder missbräuchlicher Nutzungen elektronischer Kommunikationsdienste oder der diesbezüglichen Verträge nötig ist, oder
c) der betreffende Endnutzer seine Einwilligung zur Verarbeitung seiner Kommunikationsmetadaten für einen oder mehrere bestimmte Zwecke gegeben hat, so auch für die Bereitstellung bestimmter Dienste für diese Endnutzer, sofern die betreffenden Zwecke durch eine Verarbeitung anonymisierter Informationen nicht erreicht werden können.
3) Betreiber elektronischer Kommunikationsdienste dürfen elektronische Kommunikationsinhalte nur verarbeiten:
a) zum alleinigen Zweck der Bereitstellung eines bestimmten Dienstes für einen Endnutzer, wenn der bzw. die betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte gegeben haben und die Dienstleistung ohne Verarbeitung dieser Inhalte nicht erbracht werden kann, oder
b) wenn alle betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte für einen oder mehrere bestimmte Zwecke gegeben haben, die durch eine Verarbeitung anonymisierter Informationen nicht erreicht werden können, und wenn der Betreiber hierzu die Aufsichtsbehörde konsultiert hat. Artikel 36 Absätze 2 und 3 der Verordnung (EU) 2016/679 findet auf die Konsultation der Aufsichtsbehörde Anwendung.