Die Einschätzung der Cyber Academy
Die ePrivacy-Richtlinie (2002/58/EC, geändert 2009) ist das sogenannte "Cookie-Gesetz", das kaum jemand vollständig umsetzt. Sie regelt die Vertraulichkeit elektronischer Kommunikation sowie Tracking-Technologien auf Nutzergeräten. Älter als die GDPR und nach wie vor in Kraft; die ePrivacy-Verordnung, die sie ersetzen sollte, steckt seit 2017 in den Verhandlungen fest. Nationale Datenschutzbehörden (CNIL, Garante, AEPD) setzen sie jeweils in ihrem Zuständigkeitsbereich durch.
Was die ePrivacy-Richtlinie tatsächlich regelt
Die ePrivacy-Richtlinie (2002/58/EG, geändert durch 2009/136/EG) ist vor allem als «Cookie-Gesetz» bekannt, doch sie auf Cookies zu reduzieren übersieht den größten Teil ihres Gewichts. Ihr eigentlicher Gegenstand ist die Vertraulichkeit der elektronischen Kommunikation und der Schutz des Endgeräts des Nutzers.
Sie besagt, dass Kommunikation und die damit verbundenen Verkehrsdaten vertraulich sind, dass Abhören und Überwachung eine Rechtsgrundlage benötigen und dass das Speichern oder Auslesen von Informationen auf dem Gerät einer Person, ob es sich um ein Cookie, ein Tracking-Pixel, einen Fingerprint oder ein SDK handelt, in der Regel eine vorherige Einwilligung erfordert. Den Teil zu Einwilligung und Tracking setzen die meisten Teams um; den Teil zur Vertraulichkeit vergessen die meisten Teams überhaupt.
Es handelt sich um eine Richtlinie, nicht um eine Verordnung. Diese Unterscheidung ist die Quelle der Hälfte der Verwirrung in der Praxis. Eine Richtlinie legt das Ziel fest und überlässt es jedem Mitgliedstaat, sie in nationales Recht umzusetzen, sodass der genaue Wortlaut, die Einwilligungsschwelle und der Vollzugsstil von Land zu Land unterschiedlich sind. In Frankreich finden sich die einschlägigen Bestimmungen im Code des postes et des communications électroniques, und die CNIL veröffentlicht eigene Leitlinien und Empfehlungen zu Cookies und Trackern. Es gibt keinen einheitlichen unionsweiten Text, den man so zitieren kann, wie man die GDPR zitiert.
ePrivacy neben der GDPR
Die beiden Rechtsakte sind komplementär, nicht austauschbar. Die ePrivacy-Richtlinie ist lex specialis: Wo sie eine spezifische Regel enthält, geht diese Regel der allgemeineren Bestimmung der GDPR vor. Das klarste Beispiel sind Cookies und die Speicherung auf dem Gerät. Die GDPR regelt, wie Sie die von Ihnen erhobenen personenbezogenen Daten verarbeiten; ePrivacy regelt von vornherein den Akt des Zugriffs auf Informationen auf dem Gerät oder ihrer Speicherung darauf, und sie gilt selbst dann, wenn keine personenbezogenen Daten betroffen sind. So fällt ein Tracker, der eine rein technische Kennung setzt, weiterhin unter ePrivacy, auch wenn Sie argumentieren würden, dass es sich nach der GDPR nicht um ein personenbezogenes Datum handelt.
Die Einwilligung nach ePrivacy übernimmt ihre Definition aus der GDPR. Wenn ePrivacy eine Einwilligung verlangt, muss diese dem Standard der GDPR entsprechen: freiwillig, spezifisch, informiert, unmissverständlich und ebenso leicht zu widerrufen wie zu erteilen. Deshalb scheitern vorangekreuzte Kästchen, Banner nach dem Muster «durch die weitere Nutzung erklären Sie sich einverstanden» und Cookie-Walls, die keine echte Wahl bieten, weiterhin an der Prüfung durch die Aufsichtsbehörden. Die beiden Texte werden zusammen gelesen.
Was Praktiker tatsächlich tun
In der täglichen Arbeit dreht sich die Einhaltung von ePrivacy vor allem um die Einwilligungsebene und das dahinterstehende Inventar. Das praktische Programm sieht so aus:
- Jedes Cookie, Tag, Pixel, SDK und Skript inventarisieren, das vom Gerät liest oder auf es schreibt, und jedes als unbedingt erforderlich oder nicht einstufen. Nur die unbedingt erforderlichen sind von der Einwilligung befreit.
- Nicht wesentliche Tracker blockieren, bis der Nutzer eingewilligt hat, statt sie beim Laden der Seite auszulösen und hinterher zu fragen. Eine Consent-Management-Plattform setzt dies in der Regel durch.
- Das Ablehnen ebenso reibungslos wie das Akzeptieren gestalten, die Einwilligung und ihren Umfang protokollieren und eine einfache Möglichkeit bieten, sie später zu widerrufen.
- Auch die Vertraulichkeitspflichten im Blick behalten: Direktmarketing per E-Mail oder SMS benötigt in der Regel eine vorherige Einwilligung (Opt-in), mit einer engen Ausnahme für bestehende Kunden bei ähnlichen Produkten.
Der Vollzug erfolgt national. Da es keine zentrale EU-Aufsichtsbehörde für ePrivacy gibt, überwacht jede Datenschutzbehörde ihr eigenes Hoheitsgebiet. Die CNIL in Frankreich, der Garante in Italien und die AEPD in Spanien geben jeweils Leitlinien heraus, führen Prüfungen durch und verhängen Sanktionen nach ihren nationalen Umsetzungen. Das bedeutet, dass eine paneuropäische Website nicht davon ausgehen kann, dass ein einziges Banner allen genügt; der sichere Ansatz besteht darin, die strengste Auslegung unter den von Ihnen bedienten Märkten zu erfüllen und die getroffenen Entscheidungen zu dokumentieren.
Frequently asked questions
01Ist die ePrivacy-Richtlinie dasselbe wie das Cookie-Gesetz?
Sie ist die Quelle der Cookie-Regeln, aber sie ist weiter gefasst als Cookies. Sie schützt auch die Vertraulichkeit der elektronischen Kommunikation und der Verkehrsdaten, und sie regelt jegliches Speichern von Informationen auf dem Gerät eines Nutzers oder den Zugriff darauf, nicht nur Cookies.
02Gilt für Cookies ePrivacy oder die GDPR?
Beides, in Schichten. ePrivacy ist lex specialis und regelt den Akt des Setzens oder Auslesens eines Cookies auf dem Gerät, auch wenn keine personenbezogenen Daten betroffen sind. Die GDPR regelt anschließend, wie Sie etwaige darüber erhobene personenbezogene Daten verarbeiten, und sie liefert die Definition einer gültigen Einwilligung.
03Hat die ePrivacy-Verordnung die Richtlinie bereits ersetzt?
Nein. Die vorgeschlagene ePrivacy-Verordnung befindet sich seit 2017 in Verhandlung und wurde nicht angenommen. Die Richtlinie von 2002 in der 2009 geänderten und in nationales Recht umgesetzten Fassung bleibt der geltende Text.
04Wer setzt die ePrivacy-Richtlinie durch?
Die nationalen Datenschutzbehörden setzen sie auf ihrem eigenen Hoheitsgebiet nach der Umsetzung ihres Landes durch. In Frankreich ist das die CNIL; in Italien der Garante; in Spanien die AEPD. Es gibt keine einheitliche unionsweite Aufsichtsbehörde dafür.
05Welche Cookies benötigen keine Einwilligung?
Nur diejenigen, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich angeforderten Dienst bereitzustellen, etwa das Aufrechterhalten eines Warenkorbs oder das Bewahren einer Anmeldesitzung. Cookies für Analyse, Werbung und Tracking durch Dritte erfordern eine vorherige Einwilligung.