Glossar · EU-Datenschutzrecht ePrivacy-Verordnung
Die vorgeschlagene EU-Verordnung, die die ePrivacy-Richtlinie von 2002 ersetzen soll und den Datenschutz in der elektronischen Kommunikation einschließlich Cookies, Tracking und unerwünschter Kommunikation regelt.
## Was die ePrivacy-Verordnung tatsächlich ist
Die ePrivacy-Verordnung (manchmal „ePR" genannt) ist eine vorgeschlagene EU-Verordnung, die die bestehende ePrivacy-Richtlinie (Richtlinie 2002/58/EG, manchmal „Cookie-Richtlinie") ersetzen soll. Sie behandelt den Datenschutz in der elektronischen Kommunikation mit breiterem Anwendungsbereich als der allgemeine Personendatenfokus der DSGVO.
**Wichtiger Kontext für 2026**: Die ePrivacy-Verordnung wird seit 2017 verhandelt und ist noch nicht finalisiert. Der aktuelle Regulierungsrahmen ist die Richtlinie von 2002 (mit Änderungen von 2009) plus DSGVO. Dieser Eintrag deckt sowohl den bestehenden Rahmen als auch die vorgeschlagene Verordnung ab.
## Die ePrivacy-Richtlinie von 2002 (geltendes Recht)
Die bestehende ePrivacy-Richtlinie umfasst vier Hauptbereiche:
### 1. Cookies und Tracking
Die berühmte „Cookie-Banner"-Anforderung stammt aus dieser Richtlinie (insbesondere Artikel 5(3)). Die Speicherung von Informationen auf Geräten der Nutzer oder der Zugriff auf bereits gespeicherte Informationen erfordern die Einwilligung des Nutzers, sofern sie nicht für die Diensterbringung unbedingt erforderlich sind.
Deshalb hat jede europäische Website ein Cookie-Banner.
### 2. Vertraulichkeit der Kommunikation
Elektronische Kommunikation (E-Mail, Telefonate, Messaging) ist vertraulich und darf nicht ohne Einwilligung abgefangen oder eingesehen werden. Dies gilt breit für Kommunikationsdienste.
### 3. Verkehrs- und Standortdaten
Telekomanbieter haben spezifische Pflichten hinsichtlich Verkehrsdaten (wer mit wem wann kommunizierte) und Standortdaten. Die meisten müssen nach Erfüllung der Abrechnungszwecke gelöscht oder anonymisiert werden.
### 4. Unerwünschte Kommunikation
Direktwerbungskommunikation erfordert in der Regel vorherige Opt-in-Einwilligung. Dies gilt für E-Mail, SMS und automatisierte Anrufsysteme.
## Warum die vorgeschlagene Verordnung wichtig ist
Die Richtlinie von 2002 ist schlecht gealtert. Mehrere Lücken, die die vorgeschlagene Verordnung adressiert:
**1. Uneinheitliche Umsetzung in den Mitgliedstaaten.** Die aktuelle Richtlinie muss in nationales Recht umgesetzt werden, was 27 verschiedene nationale Umsetzungen schafft. Eine Verordnung (direkt verbindlich ohne Umsetzung) würde die Umsetzung harmonisieren.
**2. Neue Kommunikationsdienste.** WhatsApp, Signal, Telegram, Threema existierten 2002 nicht. Die Abdeckung von „OTT-Kommunikationsdiensten" (Over-the-Top-Messengern) durch die aktuelle Richtlinie ist unklar. Die vorgeschlagene Verordnung deckt sie ausdrücklich ab.
**3. Versagen der Cookie-Banner.** Das aktuelle Cookie-Einwilligungsregime hat „Cookie-Banner-Müdigkeit" erzeugt — Nutzer klicken sich ohne sinnvolle Einwilligung durch Banner. Die vorgeschlagene Verordnung würde sich in Richtung browserweiter Einwilligungssignale und standardisierter Einwilligungsmechanismen verschieben.
**4. Internet of Things (IoT).** Smart-Geräte, vernetzte Fahrzeuge und IoT-Systeme haben Datenschutzimplikationen, die die Richtlinie von 2002 nicht adressiert. Die vorgeschlagene Verordnung deckt Maschine-zu-Maschine-Kommunikation ab.
## Warum die Verordnung ins Stocken geraten ist
Die vorgeschlagene ePrivacy-Verordnung wurde von der Kommission im Januar 2017 vorgelegt. Stand 2026 ist sie noch nicht finalisiert — was sie zu einer der am längsten festsitzenden Gesetzesvorhaben in der EU-Geschichte macht.
Die Gründe:
**1. Industrie-Lobbying.** Die Werbe- und Verlagsindustrie hat stark gegen Bestimmungen lobbyiert, die cookie-basierte Tracking-Ökonomie schwächen würden.
**2. Mitgliedstaatsteilung.** EU-Mitgliedstaaten sind sich uneinig über die angemessene Balance zwischen Datenschutz und den Bedürfnissen der digitalen Werbeindustrie.
**3. Wechselwirkung mit der DSGVO.** Die Koordination der ePrivacy-Bestimmungen mit der DSGVO war technisch und politisch komplex.
**4. Neue Technologiestörungen.** First-Party-Cookie-Alternativen, serverseitiges Tracking und entstehende datenschutzfreundliche Technologien haben die technische Landschaft mitten in der Verhandlung verändert.
Der jüngste Kompromisstext des Rates stammt aus 2024-2025 mit laufenden Trilogverhandlungen. Eine finalisierte Verordnung in 2026-2027 ist möglich, aber nicht sicher.
## Was das 2026 für europäische Unternehmen bedeutet
Vorerst bleibt der praktische Regulierungsrahmen:
**1. Die Richtlinie von 2002 (in der geänderten Fassung)** plus nationale Umsetzungen
**2. DSGVO** für Personendatenverarbeitungsaspekte
**3. Durchsetzung der ePrivacy-Richtlinie** durch nationale Datenschutzbehörden
Für europäische Unternehmen:
**Cookies und Tracking**: Die aktuelle Anforderung „Einwilligung für nicht-essenzielle Cookies" gilt. Die meisten europäischen Websites benötigen Cookie-Einwilligungsbanner. Der praktische Ausweg, der an Beliebtheit gewonnen hat: **cookielose Analytik** (Plausible, Matomo, Pirsch), die keine Einwilligungsbanner erfordert, weil sie keine Tracking-Cookies setzt.
**E-Mail-Marketing**: Opt-in-Einwilligung in der Regel erforderlich. Bestehende Kundenbeziehungen haben einige Ausnahmen (Artikel 13(2)), aber der sichere Ansatz ist ausdrückliches Opt-in.
**OTT-Messaging**: Derzeit in einer regulatorischen Grauzone. Die Anwendung der Richtlinie von 2002 ist unklar. Die meisten Anbieter (Threema, Signal usw.) handeln, als würde sie gelten.
**Direktwerbung**: Opt-in für neue Kontakte; einige Flexibilität für bestehende Kundenbeziehungen.
## Die cookielose Zukunft
Die wichtigste praktische Implikation der ePrivacy-Durchsetzung: Cookie-basiertes Tracking wird in Europa wirtschaftlich zunehmend unhaltbar.
Wenn 30-50% der Nutzer Cookie-Einwilligung ablehnen (typische europäische Raten), wird die Conversion-Analytik unzuverlässig. Marketing-Teams, die sich frühzeitig angepasst haben (mit cookieloser Analytik, serverseitigem Tracking oder First-Party-Datenstrategien), haben messbare Vorteile.
Europäische Tech-Tools, die für die cookielose Zukunft positioniert sind:
- **[Plausible](/de/alternativen/plausible-vs-google-analytics/)** (Estland) — cookielose Analytik durch Architektur
- **Matomo** (Frankreich) — unterstützt cookielosen Modus
- **Pirsch** (Deutschland) — cookielose Analytik
- **Serverseitiges Tracking** über Tools wie n8n + Datenbank
Für europäische Unternehmen, die für die Regulierungsrichtung optimieren, ist der Aufbau auf cookieloser Infrastruktur strategisch sinnvoll, unabhängig davon, wann die vorgeschlagene Verordnung finalisiert wird.
## Was 2026-2027 bringen könnte
Mehrere Szenarien:
**Szenario A: Verordnung finalisiert** — kohärenter EU-weiter Datenschutzrahmen für elektronische Kommunikation, der den aktuellen Richtlinien-Flickenteppich ersetzt. Möglich 2026-2027, falls politischer Wille materialisiert.
**Szenario B: Anhaltender Status quo** — aktuelle Richtlinie bleibt mit nationalen Variationen in Kraft. Wahrscheinlichstes Szenario bis 2027 ohne wesentliche politische Veränderung.
**Szenario C: Verordnung zurückgezogen** — Kommission könnte den Vorschlag theoretisch zurückziehen und neu beginnen. Politisch schwierig, aber nicht unmöglich.
Für europäische Unternehmen ist die Planung um Szenario B (Status quo) realistisch. Der Aufbau auf cookieloser Infrastruktur positioniert Sie unabhängig vom Szenario gut.
## Praktische Empfehlungen
1. **Cookie-Banner korrekt implementieren** — unter dem geltenden Recht ist dies für Websites mit nicht-essenziellen Cookies nicht verhandelbar
2. **Cookielose Analytik in Betracht ziehen** — Plausible, Matomo oder ähnliche reduzieren regulatorisches Risiko und verbessern Conversion-Messung
3. **Opt-in-Einwilligung für E-Mail-Marketing nutzen** — defensive Position unabhängig von der Regulierungsrichtung
4. **Auf finalisierte Verordnung achten** — bringt wahrscheinlich Einwilligungsharmonisierung, möglicherweise browserweite Signale, sicher Änderungen
5. **Nicht für den spezifischen Text der aktuellen Richtlinie optimieren** — die Verordnung kann die Regeln ändern; bauen Sie auf Prinzipien (Transparenz, Datenminimierung, Nutzerkontrolle) statt auf spezifische Compliance-Tricks
War das hilfreich?
Danke für Ihr Feedback!