ePrivacy-Richtlinie
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) regelt seit 2002 EU-weite Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation, insbesondere Cookie-Verwendung, Telefon- und E-Mail-Marketing sowie den Schutz von Kommunikationsinhalten und Metadaten.
Ausführliche Erklärung
Die ePrivacy-Richtlinie ist ein ergänzendes Regelwerk zur DSGVO und legt spezifische Datenschutzanforderungen für die elektronische Kommunikation fest. Sie verpflichtet die EU-Mitgliedstaaten, telekommunikationsspezifische Schutzmaßnahmen zu schaffen, etwa das Verbot des Mithörens von Telefongesprächen und das Abfangen von E-Mails. Seit ihrer Novellierung im Jahr 2009 schränkt die Richtlinie außerdem die Verwendung von Cookies und ähnlichen Technologien ein, weshalb sie umgangssprachlich auch als "Cookie-Richtlinie" bekannt ist.
Im Gegensatz zur DSGVO, die als Verordnung unmittelbar in allen EU-Staaten gilt, musste die ePrivacy-Richtlinie von jedem Mitgliedstaat in nationales Recht umgesetzt werden. Österreich setzte sie mit dem Telekommunikationsgesetz um, Deutschland zunächst über das Telekommunikationsgesetz und seit Dezember 2021 durch das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Diese nationalen Umsetzungen führten zu unterschiedlichen Regelungen in den einzelnen Ländern, was für grenzüberschreitend tätige Unternehmen eine Herausforderung darstellt.
Für KMU mit Webauftritt ist die ePrivacy-Richtlinie besonders relevant, da sie die rechtliche Grundlage für Cookie-Banner und Einwilligungen bildet. Die Richtlinie verlangt, dass Nutzerinnen und Nutzer klar und umfassend informiert werden, bevor Cookies gesetzt werden, und ihre Einwilligung erteilen müssen – außer bei technisch notwendigen Cookies. Dies betrifft alle Websites, die Tracking-Tools wie Google Analytics, Facebook Pixel oder ähnliche Technologien einsetzen. Der EuGH bestätigte 2019 ausdrücklich, dass bereits vorangehakte Einwilligungen oder ein bloßes Weitersurfen nicht ausreichen.
Eine ursprünglich geplante ePrivacy-Verordnung, die die Richtlinie ablösen und EU-weit einheitlich und unmittelbar gelten sollte, wurde im November 2025 von der EU-Kommission zurückgezogen. Damit bleibt die ePrivacy-Richtlinie in Verbindung mit den nationalen Umsetzungsgesetzen weiterhin die maßgebliche Rechtsgrundlage für den Datenschutz in der elektronischen Kommunikation.
Praxisbeispiel
Ein mittelständischer Online-Shop mit 35 Mitarbeitenden in Salzburg nutzt Google Analytics zur Analyse des Nutzerverhaltens und setzt Cookies für Remarketing-Kampagnen. Aufgrund der ePrivacy-Richtlinie, umgesetzt im österreichischen Telekommunikationsgesetz, muss das Unternehmen ein Cookie-Consent-Tool einbinden, das Besuchern vor dem Setzen nicht-essenzieller Cookies die Wahl lässt, diese zu akzeptieren oder abzulehnen. Ohne aktive Einwilligung dürfen keine Tracking-Cookies gesetzt werden.