Datenschutzrichtlinie für elektronische Kommunikation

Vorlage:Infobox Rechtsakt (EU) Die Richtlinie 2002/58/EG oder Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie<ref>GDD-Praxishilfe ePrivacy I. (PDF) In: gdd.de. Gesellschaft für Datenschutz und Datensicherheit, August 2018, abgerufen am 9. Dezember 2020. </ref> oder umgangssprachlich Cookie-Richtlinie) regelt seit 2002 verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation. Seit ihrer Novelle 2009 schränkt die Richtlinie die Verwendung von „Informationen, die im Endgerät eines Teilnehmers gespeichert werden“ (Cookies) ein.

Die ePrivacy-Richtlinie ist nicht zu verwechseln mit der geplanten Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung). Sie sollte gemeinsam mit der Datenschutz-Grundverordnung die Richtlinie 95/46/EG und die ePrivacy-Richtlinie ablösen. Im November 2025 zog die Europäische Kommission den Vorschlag für die ePrivacy-Verordnung zurück.<ref>ePrivacy-Verordnung: Das Ende einer langen Reise. Abgerufen am 23. Februar 2026. </ref>

Infolge der Aufhebung der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten durch den Europäischen Gerichtshof am 8. April 2014<ref>EuGH, Urteil vom 8. April 2014 – C-293/12</ref> ist die Richtlinie 2002/58/EG für die Frage bedeutsam, unter welchen Umständen eine Vorratsdatenspeicherung zukünftig zulässig sein kann.<ref>EuGH, Urteil vom 6. Oktober 2020, Rs. C‑623/17 Privacy International gegen Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service, Secret Intelligence Service.</ref><ref>Axel Anderl, Nino Tlapak, Alona Klammer: EuGH: Entscheidung zur Vorratsdatenspeicherung. 6. Oktober 2020.</ref> Nach Art. 15 Richtlinie 2002/58/EG können die Mitgliedstaaten der Europäischen Union unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus bestimmten Gründen während einer begrenzten Zeit aufbewahrt werden.

Ziel und Inhalt

Durch die Richtlinie sollen einerseits die Grundrechte und die Privatsphäre der Einwohner der Europäischen Union geschützt, anderseits auch der freie Daten- und Warenverkehr zwischen den EU-Mitgliedsstaaten gewährleistet werden. Die Regelungen der Richtlinie müssen im Lichte der Datenschutz-Grundverordnung betrachtet werden.

Durch die Richtlinie werden die EU-Mitgliedsstaaten verpflichtet, telekommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Außerdem enthält die Richtlinie Vorgaben zu Einzelgebührennachweisen, zu den Möglichkeiten der Anzeige und Unterdrückung von Telefonnummern, zu automatischen Anrufweiterschaltungen und bezüglich gebührenfreier und widerruflicher Aufnahme in Teilnehmerverzeichnisse.

Cookiebanner

Ein Cookiebanner auf einer Internetseite ist nur dann notwendig, wenn tatsächlich eine Einwilligung erforderlich ist und die Präferenz zum Tracking nicht automatisch übermittelt („Do Not Track“-Einstellung) wurde.<ref>Do Not Track Feature. In: cookieyes.com. Mozilor Limited, 21. November 2019, abgerufen am 9. Dezember 2020 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref><ref>How do I use Matomo Analytics without consent or cookie banner? In: matomo.org. Matomo, abgerufen am 9. Dezember 2020 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Die übermittelte Präferenz muss berücksichtigt werden.

Eine gängige fehlerhafte Auslegung<ref>Stefan Hanloser: EuGH: Planet49: Cookie Consent: Einwilligungsanforderungen nach DSGVO und ePrivacy-Richtlinie; Konvergenz von Datenschutz und ePrivacy. In: community.beck.de. 1. Oktober 2019, abgerufen am 9. Dezember 2020. </ref> des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG führt dazu, dass viele Organisationen und Personen, die Internetseiten betreiben, durch teils großflächige<ref>Nicolas Maekeler: DSGVO: Rechtsgrundlagen und Funktionsweisen von Cookie-Hinweisen. In: heise online. 28. Mai 2019, abgerufen am 9. Dezember 2020. </ref> und unverständliche<ref>EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten. In: Dr. Datenschutz. intersoft consulting services AG, 8. Mai 2020, abgerufen am 9. Dezember 2020 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Cookiebanner, teils mit zu einer Annahme aller Cookies verleitender Gestaltung (sog. Dark Patterns)<ref>Ultralativ: Manipulative Cookie-Banner auf YouTube, 6. Dezember 2020, abgerufen am 8. Dezember 2020.</ref>, versuchen, von nutzenden Personen eine Einwilligung dafür zu erhalten, Cookies auf dem Endgerät speichern zu dürfen:

Artikel 5 Absatz 3 der Richtlinie lautet:

Die Pflicht der Mitgliedstaaten wurde in verschiedenen Ländern unterschiedlich umgesetzt, bei der Auslegung von Recht der Europäischen Union ist jedoch nicht nur Wortlaut und verfolgtes Ziel zu berücksichtigen, sondern auch der Kontext der Vorschrift und das gesamte andere Unionsrecht.<ref>EuGH. Urteil vom 1. Oktober 2019, Rechtssache C-673/17, ECLI:EU:C:2019:801</ref> Dies führt dazu, dass eine Einwilligung seit dem 25. Mai 2018 an den Artikeln 4 Nummer 11, 6 Absatz 1 Buchstabe a und 7 Datenschutz-Grundverordnung gemessen werden muss.<ref>Behandling af personoplysninger om hjemmesidebesøgende. (PDF) In: datatilsynet.dk. Datatilsynet, Februar 2020, abgerufen am 9. Dezember 2020 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref>

Die Einwilligung muss insofern in informierter Weise und unmissverständlich für bestimmte Zwecke abgegeben werden und jederzeit so einfach, wie sie abgegeben wurde, widerrufen werden können.<ref>Kurzpapier 20: Einwilligung nach der DS-GVO. (PDF) In: datenschutzkonferenz-online.de. Datenschutzukonferenz, 22. Februar 2019, abgerufen am 9. Dezember 2020. </ref> Insbesondere die Informiertheit einer Einwilligung kann bei der Verwendung von Cookiebannern regelmäßig bestritten werden.<ref>Torsten Kleinz: Datenschützer wollen Cookie-Banner prüfen. In: heise online. 20. August 2020, abgerufen am 9. Dezember 2020. </ref> Die einwilligende Person muss tatsächlich wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt.<ref>Erwägung 42 Datenschutz-Grundverordnung</ref> Eine so umfassende Information ist regelmäßig in einem Banner, insbesondere einem Banner, welcher die Hauptfunktion der Website überdeckt und somit die nutzende Person zum „wegklicken“ verleitet, nicht gegeben.<ref>Europäischer Datenschutzausschuss: Guidelines 05/2020 on consent under Regulation 2016/679. (PDF) In: edpb.europa.eu. 4. Mai 2020, abgerufen am 9. Dezember 2020 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Das Nichteinhalten dieser Regeln bedeutet, dass die Einwilligung nicht rechtswirksam erklärt wurde (Artikel 7 Absatz 2 Datenschutz-Grundverordnung) und die erhobenen Daten damit ohne Rechtsgrundlage und somit rechtswidrig erhoben wurden.<ref name="baden-wuerttemberg">FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps. (PDF) Landesbeauftragter für den Datenschutz und die Informationsfreiheit, 29. April 2019, abgerufen am 9. Dezember 2020. </ref><ref name="datenschutzkonferenz">Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien. (PDF) Datenschutzkonferenz, 5. April 2019, abgerufen am 9. Dezember 2020. </ref>

Über diese Regeln hinaus muss die Verwendung von Cookies auch ein ausgeübtes „Widerspruchsrecht mittels automatisierter Verfahren […], bei denen technische Spezifikationen verwendet werden“ (Do Not Track; Artikel 21 Absatz 5 Datenschutz-Grundverordnung) berücksichtigen.

Dies gilt jedoch nicht für Cookies, welche für den Betrieb einer Internetseite zwingend erforderlich sind. Dies sind zum Beispiel Cookies zur Speicherung eines Warenkorbes in einem Online-Shop, eines Logins in einem Content-Management-System oder von Anzeigeeinstellungen wie Schriftgröße oder Kontrast im Rahmen der Barrierefreiheit.<ref name="baden-wuerttemberg" /><ref name="datenschutzkonferenz" /> Diese können auch ohne Zustimmung der betroffenen Person auf deren Endgerät gespeichert werden. Dennoch muss in den Datenschutzinformationen auf die Verwendung dieser Cookies hingewiesen werden.

Umsetzung in nationales Recht

Die Richtlinie 2002/58/EG musste wie alle Richtlinien der Europäischen Union in nationales Recht umgesetzt werden. Die Republik Österreich hat die Richtlinie mit dem Telekommunikationsgesetz 2003 (BGBl. I Nr. 70/2003) fristgerecht umgesetzt. Das TKG 2003 wurde 2021 durch das Telekommunikationsgesetz 2021 ersetzt (BGBl. I Nr. 190/2021). Der Bundesrepublik Deutschland gelang die fristgerechte Umsetzung nicht. Die Europäische Kommission leitete daraufhin ein Vertragsverletzungsverfahren gegen Deutschland ein. Mitte 2004 transformierte Deutschland dann die Datenschutzrichtlinie für elektronische Kommunikation in deutsches Recht. Dazu wurde das bundesdeutsche Telekommunikationsgesetz novelliert (BGBl. 2004 I S. 1190). Teile der ePrivacy-Richtlinie wurden auch im Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt, beispielsweise Art. 13 der Richtlinie in § 7 UWG (Unzulässigkeit belästigender Werbung am Telefon, per E-Mail etc.).

Das seit 1. Dezember 2021 geltende Telekommunikations-Digitale-Dienste-Datenschutzgesetz (TDDDG)<ref>TDDDG Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Abgerufen am 21. Januar 2025. </ref> erneuert den nationalen Umsetzungsrahmen. Es trat gemeinsam mit dem neuen Telekommunikationsgesetz in Kraft und enthält neue Datenschutzbestimmungen in der Telekommunikation und bei digitalen Diensten.<ref>Mitteilung des Bundesministeriums der Wirtschaft und Energie zum TTDSG. 28. Mai 2021, abgerufen am 19. Dezember 2021. </ref> Mit dem TDDDG wurde der Rechtsrahmen unter anderem für den Schutz der Privatsphäre bei Endeinrichtungen und für das Einwilligungsmanagement überarbeitet.<ref>Handelsblatt: Cookie-Hinweise sollen pauschal bestätigt werden können. 6. August 2020, abgerufen am 19. Dezember 2021. </ref>

Im EWR-Mitglied Liechtenstein erfolgte die Umsetzung im Kommunikationsgesetz (KomG).<ref>Siehe den Umsetzungshinweis in Artikel 1 Absatz 4 Buchstabe e) Kommunikationsgesetz.</ref><ref>eLiechtensteinensia: https://www.eliechtensteinensia.li/viewer/api/v1/records/000438757/files/images/00000092.tif/full.pdf?divID=LOG_0000. Abgerufen am 28. März 2026. </ref>

Novellierung

Am 19. November 2025 veröffentlichte die Europäische Kommission einen Vorschlag zur umfassenden Novellierung des europäischen Datenschutzrechts (Digital-Omnibus-Verordnung). Geändert werden sollen die EU-Datenverordnung, Datenschutz-Grundverordnung, Verordnung (EU) 2018/1725, Datenschutzrichtlinie für elektronische Kommunikation und eIDAS-Verordnung.<ref>Vorschlag zur Digital-Omnibus-Verordnung. 19. November 2025, abgerufen am 23. Februar 2026. </ref>

Literatur

• Anna Ohlenburg: Die neue EU-Datenschutzrichtlinie 2002/58/EG. Auswirkungen und Neuerungen für elektronische Kommunikation. In: Multimedia und Recht, 2003, S. 83 ff.
• Martin Zilkens: Europäisches Datenschutzrecht – Ein Überblick. In: Recht der Datenverarbeitung, 2007, S. 196–201.

Weblinks

• Richtlinie 2002/58/EGVorlage:Abrufdatum „ePrivacy-Richtlinie“
• Richtlinie 2009/136/EGVorlage:Abrufdatum „Cookie-Richtlinie“

Einzelnachweise

<references />

Vorlage:Hinweisbaustein

Vorlage:Hinweisbaustein