Die ePrivacy-Verordnung ist eine geplante Verordnung der Europäischen Union, die den Schutz personenbezogener Daten und die Vertraulichkeit der elektronischen Kommunikation umfassend neu regeln soll. Sie ersetzt die bislang geltende ePrivacy-Richtlinie aus dem Jahr 2002, die im Zuge der DSGVO-Reform 2009 überarbeitet wurde. Als sogenannter Lex Specialis zur Datenschutz-Grundverordnung (DSGVO) behandelt die ePrivacy-Verordnung gezielt die Bereiche der elektronischen Kommunikation – wie Messaging, Internettelefonie, E-Mail, Cookies und Online-Tracking.

Ziel der Verordnung ist es, das Vertrauen der Nutzer in digitale Dienste zu stärken und gleichzeitig rechtliche Klarheit für Anbieter zu schaffen. Der geplante Rechtsrahmen soll den Schutz der Privatsphäre mit technologischer Innovation und wirtschaftlicher Entwicklung in Einklang bringen.

Inhalt der ePrivacy-Verordnung

Die ePrivacy-Verordnung enthält spezifische Regelungen zum Schutz der Privatsphäre in der digitalen Kommunikation. Im Zentrum stehen:

• Der Schutz der Vertraulichkeit von Kommunikationsinhalten,
• Einschränkungen bei der Verarbeitung von Kommunikationsmetadaten (z. B. Standortdaten, Zeitstempel, IP-Adressen),
• Anforderungen für das Setzen und Auslesen von Informationen auf Endgeräten (etwa Cookies, Fingerprinting),
• Vorschriften zur elektronischen Direktwerbung und zur Verhinderung von Spam.

Kernprinzip ist die ausdrückliche, informierte und freiwillige Einwilligung der Nutzer bei jeder Datenverarbeitung, die nicht zwingend technisch notwendig ist.

Stand des Gesetzgebungsverfahrens

Die ePrivacy-Verordnung befindet sich seit Januar 2017 im Gesetzgebungsverfahren. Ursprünglich war geplant, sie zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft treten zu lassen. Doch politische Uneinigkeit auf europäischer Ebene verzögerte das Verfahren erheblich.

Stand März 2025 liegt ein konsolidierter Entwurf vor, ein konkretes Inkrafttreten ist jedoch noch nicht terminiert. Unternehmen sollten sich dennoch frühzeitig mit den Inhalten vertraut machen, um bei Verabschiedung schnell und rechtskonform reagieren zu können.

Anwendungsbereich: Für wen gilt die Verordnung?

Die ePrivacy-Verordnung betrifft eine Vielzahl von Akteuren im digitalen Raum:

• Anbieter elektronischer Kommunikationsdienste innerhalb der EU,
• Betreiber von Webseiten, Onlineshops, Plattformen und Streamingdiensten,
• App-Entwickler und Softwareanbieter mit datenerfassenden Funktionen,
• Unternehmen außerhalb der EU, sofern sie Dienstleistungen für Nutzer innerhalb der EU erbringen.

Eine wichtige Neuerung ist die Einbeziehung sogenannter Over-the-Top-Dienste (OTT), also internetbasierter Kommunikationsdienste wie WhatsApp, Skype oder E-Mail-Anbieter.

Anforderungen an Unternehmen

Im Vergleich zur DSGVO bringt die ePrivacy-Verordnung zusätzliche oder spezifizierte Pflichten mit sich. Zu den wichtigsten zählen:

Einwilligungspflicht bei Cookies und Trackern

Jegliche Datenspeicherung oder der Zugriff auf Informationen in Nutzerendgeräten – etwa durch Cookies, Tracking-Pixel oder Fingerprinting – erfordert eine informierte und ausdrückliche Einwilligung. Dies gilt für First-Party- wie Third-Party-Technologien. Consent-Management-Plattformen müssen transparent und leicht verständlich sein.

Schutz von Inhalten und Metadaten

Sowohl Inhalte als auch Metadaten elektronischer Kommunikation unterliegen einem hohen Schutz. Eine Verarbeitung ist nur bei technischer Notwendigkeit oder Einwilligung zulässig. Auch pseudonymisierte oder anonymisierte Daten sind betroffen, sofern Rückschlüsse auf Einzelpersonen möglich sind.

Datenschutzfreundliche Voreinstellungen

Software und Browser müssen datenschutzfreundlich voreingestellt sein (Privacy by Default). Nutzer sollen bereits bei der Installation entscheiden können, welche Daten verarbeitet werden. Eine benutzerfreundliche Verwaltung der Einwilligungen ist verpflichtend.

Elektronische Direktwerbung

Werbung via E-Mail, SMS, automatisierten Anrufen oder Push-Benachrichtigungen ist künftig nur mit vorheriger Zustimmung erlaubt. Unternehmen müssen Einwilligungen dokumentieren und jederzeit widerrufbar machen. Die Anforderungen an Nachweisbarkeit und Transparenz steigen deutlich.

Sanktionen bei Verstößen

Wie bei der DSGVO drohen bei Verstößen empfindliche Bußgelder. Nationale Datenschutzbehörden erhalten erweiterte Kontroll- und Sanktionsbefugnisse. Eine frühzeitige Compliance-Strategie ist daher essenziell.

Fazit

Die ePrivacy-Verordnung stellt einen bedeutenden Meilenstein im europäischen Datenschutzrecht dar. Sie ergänzt die DSGVO um zentrale Regeln zur digitalen Kommunikation und bringt sowohl für Nutzer als auch Unternehmen mehr Transparenz, Kontrolle und Rechtssicherheit.

Auch wenn sie noch nicht in Kraft ist, empfiehlt sich eine proaktive Auseinandersetzung mit den künftigen Anforderungen. Unternehmen, die sich frühzeitig vorbereiten, können nicht nur rechtliche Risiken minimieren, sondern auch durch verantwortungsbewussten Umgang mit Nutzerdaten Vertrauen und Wettbewerbsvorteile gewinnen.