Die ePrivacy-Richtlinie, die ePrivacy-Verordnung und die DSGVO: Was bedeuten sie für Ihr Unternehmen?

Die Europäische Union (EU) hat einige der weltweit strengsten Datenschutzgesetze. Davon sind die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie bereits in Kraft. Die geplante ePrivacy-Verordnung soll jedoch einige Änderungen am Datenschutz und der Einwilligung zu Cookies bewirken. Außerdem wird sie den Kreis der betroffenen Unternehmen erweitern.

Sehen wir uns nun die ePrivacy-Anforderungen an und was die Änderungen für den Datenschutz bedeuten.

ePrivacy umfasst sowohl die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) als auch die geplante ePrivacy-Verordnung. Ihr Zweck besteht darin, den Datenschutz und den Schutz bei der elektronischen Kommunikation innerhalb der EU zu gewährleisten. Sie ergänzt die DSGVO.

Die EU ePrivacy-Richtlinie (bekannt als „Cookie-Richtlinie“) trat 2002 in Kraft und wurde 2009 aktualisiert. Sie befasst sich insbesondere mit Datenschutzfragen in der elektronischen Kommunikation. Sie schreibt die Vertraulichkeit der Kommunikation über öffentliche Netzwerke vor, erfordert die Einwilligung der Nutzer zu Cookies, legt Richtlinien für die Sicherheit elektronischer Kommunikationsdienste fest und regelt das Direktmarketing. Nach dem Inkrafttreten der ePrivacy-Richtlinie wurden Cookie-Consent-Banner für die elektronische Kommunikation bekannter, da sie eine praktische Möglichkeit zur Einholung der ausdrücklichen Einwilligung von Nutzern darstellen.

Diese Richtlinie muss in die nationalen Gesetze der EU-Mitgliedstaaten aufgenommen werden, was zu Unterschieden bei der Durchsetzung innerhalb der Union geführt hat.

Im November 2023 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien herausgegeben, die den Umfang der durch die Richtlinie abgedeckten Technologien erweitert haben.

Artikel 5 Absatz 3 der ePrivacy-Richtlinie schreibt vor, dass ein Unternehmen oder eine Website nur Informationen auf dem Gerät eines Nutzers (wie einem Computer oder Smartphone) speichern oder von diesem abrufen darf, wenn zuvor die Einwilligung des Nutzers eingeholt wurde.

Im Rahmen der Leitlinien 2/2023 zum technischen Anwendungsbereich von Artikel 5 Absatz 3 der ePrivacy-Richtlinie erweitert der EDSA die Anwendung der Richtlinie zum Speichern oder Abrufen von Informationen auf dem Gerät eines Nutzers. Was Endgeräte und die Art der Informationen sind, wird vom EDSA großzügig ausgelegt. Das lässt den Schluss zu, dass viele digitale Trackingmethoden eine vorherige Einwilligung erfordern, wenn sie nicht für die Erbringung eines angeforderten Dienstes erforderlich sind.

Die Richtlinien beziehen sich speziell auf die Verwendung verschiedener moderner Tracking-Technologien, die im digitalen Marketing und Online-Tracking verbreitet sind.

Tracking-Pixel sind winzige Bilder, die in Websites oder E-Mails eingebettet sind und eine Verbindung zu einem Server herstellen. Wenn eine E-Mail mit einem Tracking-Pixel geöffnet wird oder eine Webseite mit einem Tracking-Pixel besucht wird, kann der Server die Aktion aufzeichnen und Details erfassen, wie die Uhrzeit, zu der die E-Mail geöffnet wurde, die IP-Adresse des Empfängers und die Art des verwendeten Geräts. Mit URL-Tracking-Links zu Websites lässt sich besser feststellen, woher Besucher kommen.

Manchmal verwenden Websites APIs, um auf Informationen zuzugreifen, die auf dem Gerät eines Nutzers gespeichert sind, z. B. Standortdaten. Wenn verarbeitete Informationen über das Netzwerk zur Verfügung gestellt werden, gilt dies im Sinne dieser Richtlinie als Zugriff auf gespeicherte Informationen.

Einige Technologien stützen sich nur auf die Erfassung der IP-Adresse für das Tracking von Nutzern. Wenn die IP-Adresse aus dem Endgerät des Nutzers stammt, findet Artikel 5 Absatz 3 der ePrivacy-Richtlinie Anwendung.

Gemäß den Richtlinien benötigen Sie die Einwilligung des Nutzers zur Datenerhebung und -verarbeitung durch Geräte, die direkt oder indirekt mit dem Internet verbunden sind. Dies gilt für intelligente Geräte wie Kühlschränke oder Fitness-Tracker, unabhängig davon, ob sie Daten direkt oder über ein anderes Gerät, z.B. ein Smartphone senden.

Eindeutige Kennungen sind spezielle Codes, die den Online-Daten eines Nutzers zugeordnet sind, um anzuzeigen, dass sie zu dem Nutzer gehören. Sie stammen oft aus persistenten personenbezogenen Daten oder Angaben, die sich im Laufe der Zeit nicht wesentlich ändern, wie E-Mail-Adressen, Nutzernamen, Konto-IDs oder Geburtsdatum. Sie werden verwendet, um Nutzer über verschiedene Websites oder Apps hinweg zu erkennen. Wenn eine Website den Browser eines Nutzers anweist, diese Daten zu senden, greift sie auf Informationen auf dem Gerät zu, und es kommt Artikel 5 Absatz 3 zur Anwendung.

Nein, gemäß der ePrivacy-Richtlinie ist bei Cookies, die für die Erbringung eines vom Nutzer ausdrücklich verlangten Dienstes „unbedingt erforderlich“ sind, keine Einwilligung notwendig. Diese Cookies sind für die grundlegende Funktion der Website oder für die Erbringung des vom Nutzer angeforderten Dienstes unerlässlich. Beispiele:

• Cookies, die verwendet werden, um den Status der Aktivitäten eines Nutzers auf einer Website während einer Browsersitzung, z. B. den Anmeldestatus, aufrechtzuerhalten
• Cookies, die verwendet werden, um Sicherheitsfunktionen zu unterstützen und Sicherheitsrisiken zu erkennen und abzuwenden
• Cookies, die vom Nutzer eingegebene Informationen wie z. B. Nutzername, Sprache oder Region speichern, um ein personalisiertes Erlebnis zu ermöglichen

Obwohl diese Cookies von der Einwilligungsverpflichtung ausgenommen sind, wird dennoch erwartet, dass Sie Nutzer über die Verwendung solcher Cookies informieren, häufig über eine Datenschutzrichtlinie oder Cookie-Richtlinie.

Die ePrivacy-Verordnung ist ein geplanter rechtlicher Rahmen der EU, der die bestehende ePrivacy-Richtlinie aktualisieren und ersetzen soll. Der Schwerpunkt der ePrivacy-Verordnung liegt auf der Verbesserung des Datenschutzes bei der elektronischen Kommunikation, der neben den herkömmlichen Telekommunikationsanbietern auch neue Kommunikationsdienste wie Instant-Messaging-Anwendungen, VoIP-Dienste und E-Mail umfasst. Er umfasst Texte, Bilder, Sprache, Videos und Metadaten.

Im Gegensatz zu Richtlinien, die eine Umsetzung in nationale Gesetze erfordern, sind Verordnungen direkt anwendbar. Das bedeutet, dass sie bei Inkrafttreten einheitlich in der gesamten EU Anwendung finden. Die ePrivacy-Verordnung ist so konzipiert, dass sie eng mit der DSGVO abgestimmt ist und einen einheitlichen Ansatz für Datenschutz und Privatsphäre in der gesamten EU gewährleistet.

Ziel der ePrivacy-Verordnung ist die Ausweitung des Datenschutzes auf ein breiteres Spektrum der elektronischen Kommunikation, sodass es nicht nur auf die herkömmlichen Telekommunikationsanbieter beschränkt ist. Sie gilt für alle Unternehmen, die Daten in Verbindung mit Online-Kommunikationsdiensten verarbeiten, Online-Tracking-Technologien nutzen oder elektronisches Direktmarketing betreiben, und umfasst natürliche wie auch juristische Personen, die an der elektronischen Kommunikation beteiligt sind.

Beispiele dafür, für wen die Verordnung gilt:

• Website-Inhaber
• Eigentümer von Apps, die elektronische Kommunikation als Komponente haben
• natürliche oder juristische Personen, die Direktmarketing-Mitteilungen versenden
• Telekommunikationsunternehmen
• Messaging-Dienstanbieter (WhatsApp, Facebook und Skype)
• Internetanbieter (z. B. ein Geschäft oder Café mit offenem WLAN-Zugang)

Die Verordnung gilt auch für die Kommunikation zwischen Maschinen (Internet der Dinge).

Wie die DSGVO erstreckt sich auch der Anwendungsbereich der ePrivacy-Verordnung über die EU hinaus. Sie gilt für Daten von Endnutzern mit Sitz in der EU, auch wenn die Datenerhebung und/oder -verarbeitung außerhalb der EU oder von Anbietern außerhalb der EU erfolgt.

Die ePrivacy-Verordnung enthält mehrere spezifische Verbote zum Schutz der Datenschutzrechte von Nutzern:

• das Abfangen, Speichern, Monitoring, Scanning oder sonstige Überwachen elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer (es sei
• denn, dies ist durch die Verordnung ausdrücklich gestattet)
• die Nutzung von Tracking-Technologien für nichttechnische Zwecke ohne ausdrückliche Einwilligung
• den Zugriff auf Informationen, die auf den Endgeräten eines Nutzers gespeichert sind, ohne dessen Einwilligung
• das Versenden unerwünschter elektronischer Mitteilungen oder von Spam, wozu unerwünschte E-Mails, SMS und automatisierte Anrufsysteme zählen
• das Verarbeiten von Metadaten aus elektronischer Kommunikation (z. B. Standortdaten, Anrufzeiten und Empfängerinformationen) ohne Einwilligung des Nutzers oder auf einer anderen Rechtsgrundlage

Die ePrivacy-Verordnung ist noch nicht umgesetzt und kann sich noch ändern, bevor sie als verbindliche Verordnung verabschiedet wird. Zu den Schwerpunktbereichen der geplanten ePrivacy-Verordnung gehören folgende:

Sie erweitert den Anwendungsbereich der aktuellen Richtlinie um moderne Kommunikationsformen, wie Messaging-Dienste bei Social-Media-Plattformen (WhatsApp, Facebook Messenger) und VoIP-Anbietern, mit dem Ziel, digitale Kommunikationsmethoden umfassend abzudecken.

Eine Cookie Wall ist ein Mechanismus, durch den Websites Nutzern den Zugriff verweigern, es sei denn, der Nutzer stimmt den Cookies zu. Die geplante ePrivacy-Verordnung verbietet Cookie Walls nicht vollständig und gestattet sie unter bestimmten Bedingungen. Insbesondere kann eine Website Nutzer auffordern, Cookies zuzustimmen, wenn sie auch eine ähnliche Option bietet, für die keine Cookie-Einwilligung erforderlich ist. Der Schlüssel besteht darin, den Nutzern eine klare Auswahl zu bieten und sicherzustellen, dass sie über eine alternative Möglichkeit verfügen, auf Dienste zuzugreifen, ohne dass sie dazu gezwungen sind, Cookies zu akzeptieren.

Anbieter von elektronischen Kommunikationsdiensten wie Gmail, Skype, Facebook Messenger und WhatsApp müssen höhere Datenschutzstandards anwenden, um sicherzustellen, dass die Kommunikationsdaten vertraulich behandelt werden. Sie müssen alle Kommunikationsdaten mithilfe der besten verfügbaren Techniken sichern.

Die Verordnung schützt auch die Metadaten der elektronischen Kommunikation. Beispiele für Metadaten sind die folgenden:

• Uhrzeit und Datum der Kommunikation
• Dauer der Kommunikation
• Standort des Senders und Empfängers der Kommunikation zum Zeitpunkt der Kommunikation
• Art der Kommunikation: Sprachanruf, Videoanruf, Textnachricht, E-Mail usw.
• Informationen über die für die Kommunikation verwendeten Geräte, samt Gerätetypen und -IDs
• Details bezüglich des für die Kommunikation verwendeten Netzwerkes, wie z. B. WLAN- oder Mobilfunknetzkennungen und Signalstärke

Metadaten dürfen nur in Übereinstimmung mit der Verordnung abgefangen werden.

Es gibt einen wesentlichen Unterschied zwischen EU-Richtlinien, wie der EU-Cookie-Richtlinie von 2002, und Verordnungen wie der geplanten ePrivacy-Verordnung. Während eine Richtlinie von verschiedenen Ländern auf nationaler Ebene umgesetzt werden muss, wird eine Verordnung in den EU-Ländern sofort rechtsverbindlich.

Die Umsetzung von Richtlinien erfolgt mit leichten Unterschieden über Ländergrenzen hinweg, während die Verordnungen in allen EU-Ländern den gleichen Inhalt haben. Die Tatsache, dass die ePrivacy-Gesetze nun eine Verordnung sein werden, zeigt, dass sich die EU weiterhin für einen gründlichen Datenschutz in der gesamten EU einsetzt.

Marketers können keine E-Mails, Textnachrichten oder andere Mitteilungen ohne vorherige Einwilligung der Nutzer versenden; dies wird zu einer Verringerung von Spam führen.

Die DSGVO und die ePrivacy-Verordnung haben mehrere Gemeinsamkeiten:

• Sie sehen die gleichen hohen Geldstrafen für Verstöße vor.
• Beide zielen darauf ab, die Datenschutzgesetze in der gesamten EU aufeinander abzustimmen.
• Beide gelten für die Verarbeitung von Daten von Personen mit Wohnsitz in der EU, unabhängig davon, ob die Auftragsverarbeiter selbst innerhalb der EU ansässig sind oder nicht.
• Beide sind EU-Verordnungen.

Es gibt jedoch einige große Unterschiede zwischen den beiden Verordnungen, die in der folgenden Tabelle aufgeführt sind.

Die ePrivacy-Verordnung sollte zunächst zusammen mit der DSGVO zum 25. Mai 2018 in Kraft treten, wurde aber noch nicht verabschiedet. Der EU-Rat veröffentlichte einen Entwurf am 10. Februar 2021, der nun Gegenstand von Verhandlungen zwischen dem Rat und dem Europäischen Parlament ist. Wenn der Entwurf genehmigt wird, tritt er in allen 27 EU-Mitgliedstaaten in Kraft.

Nach der Genehmigung des Entwurfs gilt eine zweijährige Frist, bis die Verordnung durchsetzbar wird. Dadurch haben Sie Zeit, die erforderlichen Änderungen vorzunehmen und die Verordnung einzuhalten, falls Ihr Unternehmen davon betroffen ist.

Die Strafen der DSGVO sind erheblich, und die gleichen Strafen gelten bei Verstößen gegen die ePrivacy-Verordnung: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes für das vorangegangene Geschäftsjahr, wobei der jeweils höhere Betrag maßgeblich ist.

Wenn die ePrivacy-Verordnung in Kraft tritt, gilt sie sofort für elektronische Kommunikationsverarbeiter in der gesamten EU; Unternehmen sollten daher vor diesem Zeitpunkt sicherstellen, dass sie die Verordnung einhalten.

Die ePrivacy-Verordnung ersetzt nicht die DSGVO; beide Verordnungen sollen gemeinsam bestehen und einander ergänzen. Die ePrivacy-Verordnung ändert nicht die Datenschutzregeln vollständig, sodass Unternehmen, die die DSGVO erfüllen, nicht von vorne beginnen müssen. Die ePrivacy-Verordnung erweitert nur die EU-Datenschutzgesetze. Auch nach Inkrafttreten müssen Unternehmen sowohl die DSGVO als auch die ePrivacy-Verordnung einhalten oder mit Geldstrafen rechnen.

Darüber hinaus wird man sich nach dem Inkrafttreten der ePrivacy-Verordnung wahrscheinlich für die Datenverarbeitung stärker auf die Einwilligung als Rechtsgrundlage stützen, wobei die ePrivacy-Verordnung die DSGVO-Definition des Begriffs der „Einwilligung“ verwendet. Eine DSGVO-konforme Methode zur Einholung der Einwilligung ist bereits eine ausgezeichnete Möglichkeit, sich auf die ePrivacy-Verordnung vorzubereiten.

Usercentrics verfolgt die regulatorischen Entwicklungen, um sicherzustellen, dass unser Produkt den neuesten Standards entspricht. Unternehmen können unsere Consent Management Platform (CMP) nutzen, um die Einhaltung der DSGVO sowie ePrivacy-Konformität zu ermöglichen und sich auf zukünftige Datenschutzgesetze, wie die ePrivacy-Verordnung, vorzubereiten.

• Januar 2017: Textentwurf der ePrivacy-Verordnung wurde veröffentlicht
• September 2017: Europäischer Rat veröffentlicht geplante Änderungen
• Februar 2021: Europäischer Rat veröffentlicht Mandat für Verhandlungen mit dem Europäischen Parlament

Die Usercentrics GmbH bietet keine Rechtsberatung. Der Inhalt des vorstehenden Artikels ist nicht als rechtsverbindlich zu verstehen. Der Artikel stellt die Meinung von Usercentrics dar.