Kapitel 02 In Kraft: 2002 (geändert 2009)

ePrivacy-Richtlinie

Richtlinie über den Schutz der Privatsphäre und elektronische Kommunikation

Überblick

Die ePrivacy-Richtlinie (ePD), oft als „Cookie-Gesetz“ bezeichnet, ergänzt die DSGVO, indem sie spezifische Regeln für den Datenschutz in der elektronischen Kommunikation bereitstellt. Sie umfasst die Vertraulichkeit der Kommunikation, die Nutzung von Tracking-Technologien und Direktmarketing.[1]

Als Richtlinie variiert die Umsetzung in den Mitgliedstaaten. Die vorgeschlagene ePrivacy-Verordnung wurde im Februar 2025 offiziell zurückgezogen, sodass die Richtlinie weiterhin geltendes Recht ist.

Beziehung zur DSGVO

  • ePD ist lex specialis: Hat Vorrang vor der DSGVO bei elektronischer Kommunikation
  • DSGVO-Grundsätze gelten: Einwilligung nach ePD muss DSGVO-Standards erfüllen
  • Gemeinsame Durchsetzung: Beide Regelwerke werden von Datenschutzbehörden durchgesetzt

Wesentliche Anforderungen

Cookie-Einwilligung (Artikel 5(3))[2]

Die Einwilligung ist erforderlich, bevor Informationen auf dem Gerät eines Nutzers gespeichert oder abgerufen werden:

Cookie-TypEinwilligung erforderlich?
Unbedingt notwendigNein (ausgenommen)
Präferenz/FunktionalitätJa
Analyse/StatistikJa (einige Rechtsordnungen erlauben Ausnahmen)
WerbungJa
Drittanbieter-TrackingJa

Anforderungen an die Einwilligung

Eine gültige Einwilligung muss sein:

  • Vorab: Vor dem Setzen von Cookies eingeholt
  • Freiwillig: Echte Wahl ohne Nachteile bei Ablehnung
  • Spezifisch: Klar über Zwecke und Cookie-Typen
  • Informiert: Nutzer verstehen, welche Daten gesammelt werden
  • Eindeutig: Klare bestätigende Handlung erforderlich
  • Widerruflich: Nutzer können Präferenzen leicht ändern

Best Practices für Cookie-Banner

DoDon't
Granulare Auswahlmöglichkeiten anbietenEinwilligungsfelder vorab ankreuzen
„Alle ablehnen“ gleich sichtbar machenAblehnung hinter mehreren Klicks verstecken
Nachweis der Einwilligung speichernCookies vor Einwilligung setzen
Einfachen Widerruf ermöglichenWiderruf schwerer machen als Einwilligung
Klare, verständliche SpracheTechnisches Fachchinesisch

Vertraulichkeit der Kommunikation (Artikel 5)

  • Verbot von Abfangen und Überwachung
  • Technische Speicherung, die für die Übertragung notwendig ist, ist erlaubt
  • Inhalt und Metadaten sind gleichermaßen geschützt

Direktmarketing (Artikel 13)

TypAnforderung
E-Mail/SMS-MarketingVorherige Einwilligung (Opt-in) erforderlich
Bestehende KundenSoft Opt-in für ähnliche Produkte (mit einfachem Opt-out)
B2B-MarketingRegelungen der Mitgliedstaaten variieren

Unaufgeforderte Kommunikation

  • Absenderidentität darf nicht verschleiert werden
  • Gültiger Opt-out-Mechanismus erforderlich
  • Nationale „Nicht anrufen“-Register müssen beachtet werden

Vorgeschlagene Änderungen durch Digital Omnibus (2025)

Die Europäische Kommission hat vorgeschlagen, die Cookie-Regeln durch das „Digital Omnibus“-Paket zu vereinfachen:[3]

  • Bestimmte ePD-Bestimmungen in die DSGVO integrieren
  • Ausnahmen für Analyse- und Sicherheits-Cookies erweitern
  • Zentrale Einwilligungssignale ermöglichen, um „Einwilligungsmüdigkeit“ zu reduzieren

Hinweis: Diese Vorschläge sind noch nicht verabschiedet. Die aktuellen ePD-Anforderungen bleiben in Kraft.

Beispiele für Durchsetzung

BehördeUnternehmenBußgeldGrund
CNIL (Frankreich)Google150 Mio. €Verstöße bei Cookie-Einwilligung
CNIL (Frankreich)Facebook60 Mio. €Schwierige Cookie-Ablehnung
ICO (UK)MehrereVerwarnungenVersteckte Ablehnungsbuttons
AEPD (Spanien)Verschiedene10.000–100.000 €Unzulässige Einwilligungserhebung

Checkliste für Entwickler

Cookie-Einwilligungsbanner

  • Einwilligung vor Setzen nicht notwendiger Cookies einholen
  • Granulare Kategoriensteuerung anbieten
  • „Alle ablehnen“ gleichermaßen zugänglich machen
  • Einwilligungsnachweise speichern und mit Zeitstempel versehen
  • Einfachen Widerruf der Einwilligung ermöglichen
  • Drittanbieterskripte bis zur Einwilligung blockieren

Technische Anforderungen

  • Alle Cookies und Tracking-Technologien prüfen
  • Nach Zweck und Notwendigkeit kategorisieren
  • Zweck und Aufbewahrung der Cookies dokumentieren
  • Skripte müssen Einwilligungssignale respektieren
  • Einwilligungssynchronisation für Subdomains implementieren

Quellen & Referenzen

[1]
Richtlinie 2002/58/EG zum Schutz der Privatsphäre in der elektronischen Kommunikation. EUR-Lex: ePrivacy-Richtlinie
[2]
Artikel 5(3) geändert durch Richtlinie 2009/136/EG. GDPR.eu: Cookie-Gesetz
[3]
Vorschlag der Europäischen Kommission zum Digital Omnibus, November 2025. EK: Digital Omnibus