ePrivacy-Richtlinie
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) regelt seit 2002 EU-weite Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation, insbesondere Cookie-Verwendung, Telefon- und E-Mail-Marketing sowie den Schutz von Kommunikationsinhalten und Metadaten.
Ausführliche Erklärung
Die ePrivacy-Richtlinie wurde 2002 erlassen und 2009 grundlegend überarbeitet. Sie wird umgangssprachlich auch als "Cookie-Richtlinie" oder "EU Cookie Law" bezeichnet, da sie seit der Novellierung 2009 Websitebetreiber verpflichtet, vor dem Setzen von nicht unbedingt erforderlichen Cookies die Einwilligung der Nutzer einzuholen. Die Richtlinie ergänzt die Datenschutz-Grundverordnung (DSGVO) als Spezialregelung für elektronische Kommunikation.
Im Gegensatz zur DSGVO, die als EU-Verordnung direkt in allen Mitgliedstaaten gilt, ist die ePrivacy-Richtlinie eine Direktive. Das bedeutet: Sie gibt Ziele vor, die von jedem EU-Mitgliedstaat in nationales Recht umgesetzt werden müssen. In Österreich erfolgte die Umsetzung durch das Telekommunikationsgesetz 2021, in Deutschland zunächst durch das Telekommunikationsgesetz und seit Dezember 2021 durch das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG).
Die Richtlinie unterscheidet zwischen technisch notwendigen Cookies, die ohne Einwilligung gesetzt werden dürfen, und allen anderen Cookies sowie Tracking-Technologien, für die eine aktive Zustimmung erforderlich ist. Betroffen sind davon alle Website-Betreiber, die Besucher aus der EU haben und beispielsweise Analyse-Tools, Werbe-Tracking oder Social-Media-Plugins einsetzen. Die bekannten Cookie-Banner sind eine direkte Folge dieser Regelung.
Eine geplante ePrivacy-Verordnung sollte die bestehende Richtlinie ablösen und harmonisierte Regeln für alle EU-Staaten schaffen. Nach jahrelangen Verhandlungen zog die EU-Kommission den Entwurf im Februar 2025 jedoch zurück, sodass die ePrivacy-Richtlinie von 2002/2009 weiterhin die maßgebliche Rechtsgrundlage bleibt. Verstöße werden durch nationale Datenschutzbehörden geahndet, wobei die Bußgeldhöhen dem Rahmen der DSGVO entsprechen können.
Praxisbeispiel
Eine oberösterreichische Steuerberatungskanzlei mit 12 Mitarbeitenden betreibt eine Website mit Kontaktformular und nutzt Google Analytics zur Besucheranalyse. Aufgrund der ePrivacy-Richtlinie muss die Kanzlei vor dem Laden von Google Analytics einen Cookie-Banner einbinden, der Besuchern die Wahl lässt, ob sie der Datenerfassung zustimmen oder sie ablehnen. Technisch notwendige Cookies für das Kontaktformular dürfen hingegen ohne Einwilligung gesetzt werden. Die Kanzlei muss außerdem in ihrer Datenschutzerklärung transparent über alle verwendeten Cookies informieren.