Die ePrivacy-Richtlinie: Das EU-Cookie-Gesetz erklärt
Wenn von „dem EU-Cookie-Gesetz" die Rede ist, ist damit in der Regel die ePrivacy-Richtlinie gemeint — genauer gesagt Artikel 5 Absatz 3. Während die DSGVO die meisten Schlagzeilen erhält, ist es die ePrivacy-Richtlinie, die den Einsatz von Cookies und ähnlichen Tracking-Technologien unmittelbar regelt. Ein Verständnis dieser Richtlinie, ihres Verhältnisses zur DSGVO und der kommenden ePrivacy-Verordnung ist für alle unverzichtbar, die für die Cookie-Compliance einer europäischen Website verantwortlich sind.
Was ist die ePrivacy-Richtlinie?
Die ePrivacy-Richtlinie (offiziell Richtlinie 2002/58/EG) wurde am 12. Juli 2002 als Teil des Datenschutzrahmens der EU im Telekommunikationsbereich verabschiedet. Ursprünglich lag ihr Fokus auf dem Datenschutz in der elektronischen Kommunikation — sie deckte Themen wie die Vertraulichkeit der Kommunikation, Verkehrsdaten, Spam und die Rufnummernanzeige ab.
Im Jahr 2009 wurde die Richtlinie durch die Richtlinie 2009/136/EG (oft als „Bürgerrechte-Richtlinie" bezeichnet) erheblich geändert. Diese Änderung führte die Einwilligungspflicht für Cookies ein, wie wir sie heute kennen, und ersetzte das bisherige Opt-out-Modell durch ein Opt-in-Modell. Vor 2009 mussten Websites die Nutzer lediglich über Cookies informieren und ihnen das Recht einräumen, diese abzulehnen. Nach 2009 wurde die vorherige Einwilligung für alle nicht notwendigen Cookies verpflichtend.
Anders als die DSGVO, die eine Verordnung ist (in allen Mitgliedstaaten unmittelbar anwendbar), ist die ePrivacy-Richtlinie eine Richtlinie (die von jedem Mitgliedstaat in nationales Recht umgesetzt werden muss). Das bedeutet, dass die konkreten Cookie-Regeln von Land zu Land variieren, auch wenn die zugrunde liegenden Anforderungen dieselben sind.
Artikel 5 Absatz 3: Die Regel zur Cookie-Einwilligung
Artikel 5 Absatz 3 der ePrivacy-Richtlinie ist die Bestimmung, die Cookies unmittelbar regelt. In seiner geänderten Fassung lautet er:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß [der Datenschutzrichtlinie, jetzt der DSGVO] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat."
Diese Bestimmung legt mehrere zentrale Anforderungen fest:
- Geltungsbereich: Sie erfasst jede Speicherung von Informationen auf dem Gerät eines Nutzers oder den Zugriff auf Informationen, die auf dem Gerät eines Nutzers gespeichert sind. Dazu gehören Cookies, aber auch Local Storage, IndexedDB, Device-Fingerprinting, Tracking-Pixel und jede andere Technologie, die vom Gerät des Nutzers liest oder darauf schreibt.
- Vorherige Einwilligung: Die Einwilligung muss eingeholt werden, bevor die Informationen gespeichert werden oder darauf zugegriffen wird — nicht danach.
- Informierte Einwilligung: Der Nutzer muss klare und umfassende Informationen über die Zwecke der Speicherung oder des Zugriffs erhalten.
- Einwilligungsmaßstab: Der Verweis auf die DSGVO (ursprünglich die Datenschutzrichtlinie) bedeutet, dass die Definition und die Bedingungen für die Einwilligung nach der DSGVO gelten. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich erfolgen.
Die Ausnahme für „unbedingt erforderliche" Cookies
Artikel 5 Absatz 3 enthält in seinem zweiten Satz eine wichtige Ausnahme:
„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
Diese Ausnahme umfasst zwei Kategorien von Cookies, die keine Einwilligung erfordern:
- Cookies, die für die Übertragung einer Nachricht erforderlich sind (z. B. Load-Balancing-Cookies).
- Cookies, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen (z. B. Warenkorb-Cookies, Authentifizierungs-Session-Cookies, Cookies für Nutzereinstellungen bei einem Dienst, den der Nutzer aktiv verwendet).
Die Vorgängerin des Europäischen Datenschutzausschusses, die Artikel-29-Datenschutzgruppe, gab in ihrer Stellungnahme 04/2012 detaillierte Leitlinien dazu, welche Cookies als unbedingt erforderlich gelten. Beispiele hierfür sind:
- Ausgenommen (keine Einwilligung erforderlich): Session-Cookies für Nutzereingaben (mehrstufige Formulare), Authentifizierungs-Cookies, Warenkorb-Cookies, Sicherheits-Cookies (CSRF-Token), Session-Cookies für Multimedia-Player, Load-Balancing-Cookies, Cookies zur UI-Anpassung (Spracheinstellung) für die aktuelle Sitzung.
- Nicht ausgenommen (Einwilligung erforderlich): Analyse-Cookies (einschließlich Google Analytics), Werbe-Cookies, Cookies für Social-Media-Sharing/Tracking, dauerhafte Präferenz-Cookies, die über die Sitzung hinaus bestehen, sowie alle Tracking-Cookies von Drittanbietern.
Der entscheidende Unterschied liegt zwischen Cookies, die dem ausdrücklichen Wunsch des Nutzers dienen, und Cookies, die den Interessen des Website-Betreibers dienen. Ein Spracheinstellungs-Cookie, das gesetzt wird, weil der Nutzer auf einen Sprachumschalter geklickt hat, ist unbedingt erforderlich. Ein Analyse-Cookie, das gesetzt wird, um dem Website-Betreiber zu helfen, den Traffic zu verstehen, ist es nicht — auch wenn der Betreiber es für wichtig hält.
Wie ePrivacy und DSGVO zusammenwirken
Das Verhältnis zwischen der ePrivacy-Richtlinie und der DSGVO ist eines von lex specialis (Spezialgesetz) und lex generalis (allgemeines Gesetz). Die ePrivacy-Richtlinie ist das Spezialgesetz, das den Datenschutz in der elektronischen Kommunikation regelt, während die DSGVO den allgemeinen Datenschutzrahmen bildet.
Praktisch bedeutet das:
- Die ePrivacy-Richtlinie regelt, ob Sie ein Cookie auf dem Gerät eines Nutzers platzieren dürfen. Sie verlangt eine Einwilligung für nicht notwendige Cookies, unabhängig davon, ob das Cookie personenbezogene Daten enthält.
- Die DSGVO regelt, was eine gültige Einwilligung ausmacht und wie Sie personenbezogene Daten verarbeiten dürfen, die über Cookies erhoben werden. Sie liefert zudem den Durchsetzungsrahmen, einschließlich des Rechts, Beschwerden bei Datenschutzbehörden einzureichen, sowie des erheblichen Bußgeldregimes.
Das bedeutet, dass selbst ein Cookie, das keine personenbezogenen Daten enthält (zum Beispiel eine zufällig generierte Analyse-Kennung ohne Verknüpfung zu anderen Daten), nach der ePrivacy-Richtlinie einer Einwilligung bedarf, da Artikel 5 Absatz 3 für jede Speicherung auf dem Gerät des Nutzers gilt — nicht nur für die Speicherung personenbezogener Daten.
Umgekehrt gilt: Wenn Sie personenbezogene Daten über Cookies verarbeiten, müssen Sie den gesamten DSGVO-Rahmen einhalten: Rechtsgrundlage, Transparenz, Betroffenenrechte, Datenschutz-Folgenabschätzungen und alle weiteren Pflichten.
Nationale Umsetzungen
Da es sich bei der ePrivacy-Richtlinie um eine Richtlinie und nicht um eine Verordnung handelt, hat jeder EU-Mitgliedstaat sie mit gewissen Abweichungen in nationales Recht umgesetzt. Während die Kernanforderung — Einwilligung vor nicht notwendigen Cookies — in allen Mitgliedstaaten einheitlich ist, gibt es bemerkenswerte Unterschiede in folgenden Punkten:
- Durchsetzungsintensität: Frankreich (CNIL) und Italien (Garante) waren bei der Durchsetzung im Cookie-Bereich am aktivsten, während andere Länder ihre Ressourcen anderweitig eingesetzt haben.
- Spezifische Ausnahmen: Einige Länder haben etwas weitere oder engere Auslegungen der Ausnahme für „unbedingt erforderliche" Cookies eingeführt.
- Analyse-Cookies: Einige Datenschutzbehörden haben geprüft, ob ordnungsgemäß konfigurierte, datenschutzfreundliche Analyse-Tools (z. B. anonymisierte Analysen ohne seitenübergreifendes Tracking) für eine Grundlage des berechtigten Interesses in Frage kommen könnten. Die Ausnahme der französischen CNIL für Reichweitenmessungs-Tools unter bestimmten Bedingungen ist das bekannteste Beispiel, bleibt jedoch umstritten.
- Cookie-Walls: Die Rechtmäßigkeit von Cookie-Walls (bei denen der Zugriff auf eine Website eine Einwilligung voraussetzt) variiert je nach Rechtsraum. Die niederländische Datenschutzbehörde und der EDSA haben eine strikte Position gegen sie eingenommen, während der französische Conseil d'État sie unter bestimmten Bedingungen für zulässig befand.
Die vorgeschlagene ePrivacy-Verordnung
Die Europäische Kommission veröffentlichte im Januar 2017 einen Vorschlag für eine ePrivacy-Verordnung, die die ePrivacy-Richtlinie ersetzen und die Cookie-Regeln an die DSGVO angleichen sollte. Mehr als neun Jahre später befindet sich die Verordnung noch immer in der Verhandlung und ist damit einer der am längsten laufenden Gesetzgebungsprozesse in der Geschichte der EU.
Wesentliche Änderungen der vorgeschlagenen Verordnung
Auch wenn der endgültige Text noch nicht vereinbart ist, deuten der Vorschlag und die darauf folgenden Ratspositionen auf mehrere bedeutende Änderungen hin:
- Unmittelbare Anwendbarkeit: Als Verordnung und nicht als Richtlinie würde die ePrivacy-Verordnung einheitlich in allen Mitgliedstaaten gelten und die derzeitige Fragmentierung beseitigen.
- Browserbasierte Einwilligung: Frühe Vorschläge enthielten Bestimmungen, die es Nutzern ermöglichen würden, ihre Cookie-Präferenzen auf Browserebene festzulegen, statt auf jeder Website auf einzelne Cookie-Banner zu reagieren. Dies würde die Nutzererfahrung erheblich vereinfachen, auch wenn die technischen und politischen Herausforderungen beträchtlich sind.
- Erweiterter Geltungsbereich: Die Verordnung würde auf Over-the-Top-Kommunikationsdienste (OTT) wie WhatsApp und Skype ausgeweitet, die von der aktuellen Richtlinie nicht erfasst werden.
- Klarere Ausnahmen: Die Verordnung soll klarstellen, welche Arten von Cookies von der Einwilligungspflicht ausgenommen sind, und die Ausnahme möglicherweise auf bestimmte Arten der Reichweitenmessung ausweiten.
- Regeln für Metadaten: Neue Bestimmungen zur Verarbeitung von Kommunikationsmetadaten (Standortdaten, Verbindungszeiten), die über das hinausgehen, was die aktuelle Richtlinie abdeckt.
- Harmonisierte Durchsetzung: Die Verordnung würde einen einheitlichen Durchsetzungsmechanismus schaffen, der sich wahrscheinlich am One-Stop-Shop-Prinzip der DSGVO orientiert.
Aktueller Stand und Zeitplan
Stand Anfang 2026 befindet sich die ePrivacy-Verordnung noch in den Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat der EU und der Europäischen Kommission. Die Fortschritte sind aufgrund grundlegender Meinungsverschiedenheiten in mehreren Punkten langsam, darunter der browserbasierte Einwilligungsmechanismus, der Umfang der Ausnahme für „unbedingt erforderliche" Cookies und die Regeln für die Verarbeitung von Metadaten.
Das realistischste Szenario ist, dass die Verordnung frühestens 2027 abgeschlossen wird, mit einer zusätzlichen Übergangsfrist von 12 bis 24 Monaten, bevor sie in Kraft tritt. Website-Betreiber sollten weiterhin die aktuelle ePrivacy-Richtlinie in ihrer nationalen Umsetzung einhalten, ergänzt durch den Einwilligungsrahmen der DSGVO.
Praktische Auswirkungen für Website-Betreiber
Ungeachtet der regulatorischen Unsicherheit rund um die kommende ePrivacy-Verordnung sind die aktuellen Regeln klar und werden aktiv durchgesetzt. Website-Betreiber sollten:
- Das aktuelle Regime als Grundlage betrachten. Die Einwilligungspflicht für nicht notwendige Cookies ist in der gesamten EU geltendes Recht. Warten Sie nicht auf die ePrivacy-Verordnung, um Compliance umzusetzen.
- Nicht notwendige Cookies vor der Einwilligung blockieren. Dies ist der technisch anspruchsvollste Aspekt der Compliance, aber er ist nicht verhandelbar. Ihr Mechanismus zur Cookie-Einwilligung muss verhindern, dass Skripte Cookies setzen, bevor der Nutzer aktiv eingewilligt hat.
- Den DSGVO-Einwilligungsmaßstab anwenden. Wenn die ePrivacy-Richtlinie von „Einwilligung" spricht, ist damit die DSGVO-Einwilligung gemeint: freiwillig, spezifisch, informiert, unmissverständlich und durch eine eindeutige bestätigende Handlung ausgedrückt.
- Ihre unbedingt erforderlichen Cookies dokumentieren. Führen Sie ein klares Verzeichnis darüber, welche Cookies Sie als unbedingt erforderlich einstufen und warum. Seien Sie darauf vorbereitet, diese Einstufung zu begründen, falls sie von einer Datenschutzbehörde in Frage gestellt wird.
- Nationale Entwicklungen im Blick behalten. Da die ePrivacy-Richtlinie in jedem Land unterschiedlich umgesetzt wird, sollten Sie über die Leitlinien und Durchsetzungsaktivitäten der Datenschutzbehörden in den Ländern informiert bleiben, in denen sich Ihre Nutzer befinden.
- Sich auf die ePrivacy-Verordnung vorbereiten. Auch wenn der Zeitplan ungewiss ist, ist die Richtung klar: stärker harmonisierte Regeln, potenziell breitere Einwilligungsmechanismen und ein anhaltender Fokus auf den Datenschutz der Nutzer. Der Aufbau eines robusten Consent-Management-Systems bereits jetzt macht den Übergang reibungsloser, wenn er ansteht.
Die ePrivacy-Richtlinie mag über zwei Jahrzehnte alt sein, doch sie bleibt der Grundpfeiler des Cookie-Rechts in Europa. In Kombination mit dem Einwilligungsrahmen der DSGVO und den aktiven Durchsetzungsprogrammen der nationalen Datenschutzbehörden schafft sie ein regulatorisches Umfeld, in dem Cookie-Compliance nicht optional ist — sie ist eine rechtliche Verpflichtung mit realen finanziellen Konsequenzen bei Nichteinhaltung.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen