Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Datenschutz/ePrivacy-RL
🔒Datenschutz & Privatsphäre

Richtlinie (EU) 2002/58 — Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie)

Analyse vom 16. Juni 20261 QuelleOriginalfassung vom 12. Juli 2002, geändert durch Richtlinie 2009/136/EG vom 25. November 2009EUR-Lex Original

Brauche ich für Cookies und Tracking eine vorherige Einwilligung — und was droht, wenn mein Kommunikationsdienst eine Datenpanne nicht meldet?

Betreiber elektronischer Kommunikationsdienste und jeder, der Cookies oder Tracker im Endgerät speichert, müssen seit dem 25. Mai 2011 eine vorherige, informierte Einwilligung einholen und Datenpannen unverzüglich melden — bei Verstoß drohen mitgliedstaatlich festgelegte Sanktionen, die wirksam, verhältnismäßig und abschreckend sein müssen.

Kurzantwort

Die ePrivacy-Richtlinie schützt die Vertraulichkeit der Kommunikation und die Privatsphäre der Nutzer elektronischer Kommunikationsdienste als lex specialis zur DSGVO [Art. 1 Abs. 2]. Kernpflichten sind: vorherige Einwilligung für Cookies und ähnliche Instrumente [Art. 5 Abs. 3 i.d.F. der RL 2009/136/EG], unverzügliche Meldung von Datenschutzverletzungen an die zuständige nationale Behörde [Art. 4 Abs. 3 i.d.F. der RL 2009/136/EG], Löschung oder Anonymisierung von Verkehrsdaten nach Übertragungsende [Art. 6 Abs. 1] und Einwilligungspflicht für Direktwerbung per E-Mail, Fax oder automatische Anrufsysteme [Art. 13 Abs. 1 i.d.F. der RL 2009/136/EG].

Betroffen

Die Richtlinie richtet sich primär an Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen — also Telefonie-, Internet-, Messaging- und E-Mail-Anbieter [Art. 3 i.d.F. der RL 2009/136/EG]. Die Cookie-Regelung in Art. 5 Abs. 3 erfasst darüber hinaus jeden, der Informationen im Endgerät eines Nutzers speichert oder darauf zugreift, also auch Website-Betreiber, App-Anbieter und Werbetechnologie-Unternehmen. Geschützt werden sowohl natürliche Personen (Grundrechte) als auch juristische Personen (berechtigte Interessen) als Teilnehmer oder Nutzer [Art. 1 Abs. 2].

Frist

Die Umsetzungsfrist für die letzte Änderung durch RL 2009/136/EG war der 25. Mai 2011. Sämtliche Pflichten der Richtlinie sind seither laufend durchsetzbar. Zentrale laufende Pflicht: Datenpannen müssen unverzüglich der zuständigen nationalen Behörde gemeldet werden [Art. 4 Abs. 3 i.d.F. der RL 2009/136/EG]. Verkehrsdaten sind nach Übertragungsende unverzüglich zu löschen oder zu anonymisieren [Art. 6 Abs. 1].

Risiko

Die Richtlinie selbst nennt keine konkreten Bußgeldhöhen. Art. 15a Abs. 1 (eingefügt durch RL 2009/136/EG) verpflichtet die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen festzulegen, einschließlich strafrechtlicher Sanktionen. Diese Sanktionen können für den gesamten Zeitraum eines Verstoßes verhängt werden, auch wenn die Verletzung nachträglich abgestellt wurde. In den Mitgliedstaaten bestimmt die nationale Umsetzung die konkreten Bußgeldhöhen. Prüfen Sie mit Ihrem Rechtsberater, inwieweit ergänzend DSGVO-Sanktionen (bis zu 20 Mio. EUR oder 4 % Jahresumsatz) für überlappende Pflichten greifen.

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-06-16
  • Originalfassung vom 12. Juli 2002, geändert durch Richtlinie 2009/136/EG vom 25. November 2009

Primärquellen

    Was jetzt zu tun ist

    Legal / DPO

    • Prüfen und dokumentieren Sie die Rechtsgrundlage für jede Verarbeitung von Verkehrsdaten über den Übertragungszweck hinaus — Vermarktung oder Dienste mit Zusatznutzen erfordern die vorherige Einwilligung des Teilnehmers [Art. 6 Abs. 3 i.d.F. der RL 2009/136/EG].
    • Stellen Sie sicher, dass Direktwerbung per E-Mail, Fax oder automatische Anrufsysteme nur bei vorheriger Einwilligung erfolgt; nutzen Sie die Bestandskunden-Ausnahme für eigene ähnliche Produkte nur unter strikter Einhaltung der Opt-out-Pflicht [Art. 13 Abs. 1 und 2 i.d.F. der RL 2009/136/EG].
    • Richten Sie ein Verfahren zur unverzüglichen Meldung von Datenschutzverletzungen an die zuständige nationale Behörde ein und benachrichtigen Sie betroffene Teilnehmer, wenn eine Beeinträchtigung ihrer Privatsphäre wahrscheinlich ist [Art. 4 Abs. 3 i.d.F. der RL 2009/136/EG].

    Compliance

    • Führen Sie ein Verzeichnis aller Verletzungen des Schutzes personenbezogener Daten mit Angaben zu Umständen, Auswirkungen und ergriffenen Abhilfemaßnahmen [Art. 4 Abs. 4 i.d.F. der RL 2009/136/EG].
    • Implementieren Sie dokumentierte Löschfristen für Verkehrsdaten: Löschung oder Anonymisierung nach Übertragungsende, Ausnahme nur für Gebührenabrechnung bis zum Ablauf der Anfechtungsfrist [Art. 6 Abs. 1 und 2].
    • Stellen Sie sicher, dass Standortdaten (außer Verkehrsdaten) nur nach Anonymisierung oder mit ausdrücklicher, jederzeit widerrufbarer Einwilligung der Nutzer für Dienste mit Zusatznutzen verarbeitet werden [Art. 9 Abs. 1].

    IT / Security

    • Implementieren Sie technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung, darunter Zugangskontrolle, Schutz vor unbeabsichtigter Zerstörung/Verlust/Veränderung und ein dokumentiertes Sicherheitskonzept [Art. 4 Abs. 1 und 1a i.d.F. der RL 2009/136/EG].
    • Setzen Sie Verschlüsselung personenbezogener Daten als technische Schutzmaßnahme ein — bei verschlüsselten Daten entfällt im Fall einer Datenpanne die Pflicht zur Benachrichtigung der betroffenen Teilnehmer [Art. 4 Abs. 3 Unterabsatz 3 i.d.F. der RL 2009/136/EG].
    • Stellen Sie die Vertraulichkeit der Kommunikation technisch sicher: Unterbinden Sie Mithören, Abhören, Speichern und andere Formen des Abfangens von Nachrichten und zugehörigen Verkehrsdaten durch Unbefugte [Art. 5 Abs. 1].

    Product / Engineering

    • Implementieren Sie ein Consent-Management, das vor dem Setzen von Cookies oder dem Zugriff auf im Endgerät gespeicherte Informationen eine vorherige, informierte Einwilligung einholt — ausgenommen sind nur technisch notwendige Speicherungen [Art. 5 Abs. 3 i.d.F. der RL 2009/136/EG].
    • Bauen Sie eine automatische Löschlogik für Verkehrsdaten ein, die Daten nach Abschluss der Nachrichtenübertragung löscht oder anonymisiert [Art. 6 Abs. 1].
    • Bieten Sie Nutzern eine einfache, gebührenfreie Möglichkeit, die Verarbeitung von Standortdaten für Dienste mit Zusatznutzen jederzeit und je Verbindung zeitweise zu untersagen [Art. 9 Abs. 2].

    Interaktive Checks zu diesem Rechtsakt

    Vorab-Einschätzung anhand der Verordnung. Keine Rechtsberatung.

    CBAM-Betroffenheits-Check starten

    Wichtige Begriffe

    Verkehrsdaten
    Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden — z. B. Leitwege, Zeitpunkt, Dauer, Datenmenge [Art. 2 Buchstabe b].
    Standortdaten
    Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und den geografischen Standort des Endgeräts eines Nutzers angeben [Art. 2 Buchstabe c i.d.F. der RL 2009/136/EG].
    Verletzung des Schutzes personenbezogener Daten
    Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Weitergabe/Zugang zu personenbezogenen Daten führt, die im Zusammenhang mit elektronischen Kommunikationsdiensten verarbeitet werden [Art. 2 Buchstabe h i.d.F. der RL 2009/136/EG].
    Dienst mit Zusatznutzen
    Jeder Dienst, der die Bearbeitung von Verkehrsdaten oder anderen Standortdaten in einem Maße erfordert, das über das für die Nachrichtenübermittlung oder Fakturierung erforderliche Maß hinausgeht — z. B. Navigationshilfen, Verkehrsinformationen [Art. 2 Buchstabe g].
    Elektronische Post
    Jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird — umfasst E-Mail, SMS und MMS [Art. 2 Buchstabe h der Originalfassung, vor Umnummerierung].
    Einwilligung
    Die freiwillige, informierte Willensbekundung des Nutzers oder Teilnehmers im Sinne der Datenschutz-Grundverordnung (vormals RL 95/46/EG). Für Cookies nach Art. 5 Abs. 3 muss sie vor dem Zugriff vorliegen (Opt-in) [Art. 2 Buchstabe f].
    ?

    Häufige Fragen

    Was regelt die ePrivacy-Richtlinie und wie verhält sie sich zur DSGVO?
    Die Richtlinie 2002/58/EG regelt den Schutz personenbezogener Daten und der Privatsphäre speziell im Bereich der elektronischen Kommunikation. Sie ist lex specialis zur DSGVO (Verordnung (EU) 2016/679): Wo die ePrivacy-Richtlinie spezifische Regeln enthält — etwa für Cookies, Verkehrsdaten oder Direktwerbung —, gehen diese den allgemeinen DSGVO-Regeln vor. Für alle übrigen Fragen des Datenschutzes gilt die DSGVO ergänzend [Art. 1 Abs. 2].
    Was hat die Richtlinie 2009/136/EG an der ePrivacy-Richtlinie geändert?
    Die RL 2009/136/EG verschärfte 2009 mehrere Kernbestimmungen: Art. 5 Abs. 3 wurde von einem Opt-out- zu einem Opt-in-Modell für Cookies umgestellt (vorherige Einwilligung statt nachträgliches Ablehnungsrecht). Art. 4 erhielt neue Absätze 1a und 3-5 mit Pflichten zur Sicherheit der Verarbeitung und Meldung von Datenpannen. Art. 13 wurde um Abs. 6 ergänzt (gerichtliche Rechtsbehelfe). Art. 15a wurde neu eingefügt und verpflichtet die Mitgliedstaaten, wirksame und abschreckende Sanktionen festzulegen.
    Für welche Cookies und Tracker brauche ich keine Einwilligung?
    Art. 5 Abs. 3 sieht zwei Ausnahmen von der Einwilligungspflicht vor: Erstens eine technische Speicherung, deren alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist. Zweitens eine Speicherung, die unbedingt erforderlich ist, damit ein vom Nutzer ausdrücklich gewünschter Dienst der Informationsgesellschaft bereitgestellt werden kann — beispielsweise ein Session-Cookie für einen Warenkorb [Art. 5 Abs. 3 i.d.F. der RL 2009/136/EG].
    Wann muss eine Datenschutzverletzung gemeldet werden?
    Der Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste muss die zuständige nationale Behörde unverzüglich über jede Verletzung des Schutzes personenbezogener Daten benachrichtigen. Ist anzunehmen, dass durch die Verletzung Teilnehmer oder Personen in ihrer Privatsphäre beeinträchtigt werden, sind auch diese unverzüglich zu benachrichtigen. Die Benachrichtigung der Betroffenen entfällt nur, wenn der Betreiber nachweist, dass geeignete Verschlüsselungsmaßnahmen auf die betroffenen Daten angewendet wurden [Art. 4 Abs. 3 i.d.F. der RL 2009/136/EG].
    Darf ich Bestandskunden ohne Einwilligung per E-Mail werben?
    Ja, unter engen Voraussetzungen: Wenn ein Unternehmen im Zusammenhang mit einem Produktverkauf die elektronische Kontaktinformation des Kunden erhalten hat, darf es diese für Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen nutzen. Voraussetzung ist, dass der Kunde bei der Datenerhebung und bei jeder weiteren Nachricht klar und deutlich die Möglichkeit erhält, die Nutzung gebührenfrei und problemlos abzulehnen, und er diese Nutzung nicht von vornherein abgelehnt hat [Art. 13 Abs. 2 i.d.F. der RL 2009/136/EG].
    Ist die ePrivacy-Richtlinie eine EU-Verordnung oder eine Richtlinie?
    Die ePrivacy-Richtlinie (2002/58/EG) ist eine Richtlinie, keine Verordnung. Sie ist daher nicht unmittelbar anwendbar, sondern muss von den Mitgliedstaaten in nationales Recht umgesetzt werden [Art. 17 Abs. 1]. In Deutschland ist sie im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehem. TTDSG) und im TKG umgesetzt. Die Pflichten für Unternehmen ergeben sich aus dem jeweiligen nationalen Umsetzungsgesetz.

    Werkzeuge & Vorlagen

    KI-generierte Compliance-Hilfen

    Vorschau
    11
    Gap-Checks
    2
    SOPs
    3
    Vorlagen
    Entscheidungen

    1. Gap-Analyse Checkliste

    !

    Haben Sie angemessene technische und organisatorische Maßnahmen getroffen, um die Sicherheit der von Ihnen angebotenen elektronischen Kommunikationsdienste zu gewährleisten?

    Art. 4 Abs. 1|Sicherheit der Verarbeitung
    !

    Stellen Sie die Vertraulichkeit der Kommunikation und der zugehörigen Verkehrsdaten in Ihren Netzen und Diensten sicher?

    Art. 5 Abs. 1|Sicherheit & Vertraulichkeit
    !

    Holen Sie eine informierte, freiwillige und aktive Einwilligung des Nutzers ein, bevor Sie Informationen (z.B. Cookies) auf dessen Endgerät speichern oder darauf zugreifen?

    Art. 5 Abs. 3|Cookies & Endgeräte

    2. SOP-Vorlagen

    SOP: Cookie-Consent-ManagementArt. 5 Abs. 3

    Zweck: Sicherstellung einer rechtskonformen Einholung, Verwaltung und Dokumentation von Nutzereinwilligungen für den Einsatz von Cookies und ähnlichen Technologien auf der Unternehmenswebsite.

    Geltungsbereich: Diese SOP gilt für alle von [Name des Unternehmens] betriebenen Websites und digitalen Angebote.

    Schritte:
    1. 1

      Inventarisierung aller auf der Website eingesetzten Cookies und Tracking-Technologien durchführen.

      Verantwortlich: Marketing / IT-Abteilung | Output: Liste aller Cookies, kategorisiert nach Zweck (essenziell, funktional, Analyse, Marketing) und Anbieter.

    2. 2

      Implementierung oder Konfiguration eines Consent-Management-Platforms (CMP) zur Einholung der Einwilligung.

      Verantwortlich: IT-Abteilung / Web-Entwickler | Output: Funktionsfähiges Cookie-Banner auf der Website.

    3. 3

      Formulierung klarer und verständlicher Informationen über die Zwecke der Cookies für das CMP.

      Verantwortlich: Rechtsabteilung / Datenschutzbeauftragter | Output: Freigegebene Informationstexte für das Cookie-Banner und die Datenschutzerklärung.

    4. 4

      Technische Konfiguration sicherstellen, dass nicht-essenzielle Cookies erst nach aktiver, granularer Einwilligung des Nutzers geladen werden.

      Verantwortlich: IT-Abteilung / Web-Entwickler | Output: Technischer Nachweis (z.B. durch Browser-Entwicklertools), dass Skripte blockiert werden.

    5. 5

      Sicherstellung, dass Nutzer ihre Einwilligung ebenso einfach widerrufen können, wie sie sie erteilt haben (z.B. über einen Link in der Fußzeile).

      Verantwortlich: Web-Entwickler | Output: Funktionierender Link/Button zum erneuten Aufrufen der Consent-Einstellungen.

    6. 6

      Regelmäßige (mind. jährliche) Überprüfung der eingesetzten Cookies und der Wirksamkeit des CMP.

      Verantwortlich: Datenschutzbeauftragter / Marketing | Output: Prüfbericht mit Datum und Ergebnis.

    Prüffrequenz: Jährlich und bei jeder Einführung neuer Tracking-Technologien.

    3. Textbausteine

    Cookie-Einwilligungstext (für Consent-Banner, Ebene 1)Art. 5 Abs. 3

    Anwendungsfall: Dieser Text wird im initialen Cookie-Banner angezeigt, um eine erste Information und Auswahlmöglichkeit zu geben.

    Wir verwenden Cookies und ähnliche Technologien, um die Nutzung unserer Website zu analysieren, die Funktionalität zu verbessern und Ihnen relevante Inhalte und Werbung anzubieten. Einige Cookies sind für den Betrieb der Seite essenziell, während andere Ihre Zustimmung erfordern. Mit einem Klick auf „Alle akzeptieren“ stimmen Sie der Verwendung aller Cookies zu. Unter „Einstellungen anpassen“ können Sie eine detaillierte Auswahl treffen oder Ihre Einwilligung verweigern. Weitere Informationen finden Sie in unserer [Link zur Datenschutzerklärung].

    Platzhalter: [Link zur Datenschutzerklärung]

    +8 Gap-Checks, 1 SOPs, 2 Vorlagen warten auf Sie

    Kostenlos prüfen

    KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.

    3

    Prüfungsfaktoren & Checkliste

    Premium
    Kostenlos prüfen
    4

    Fragen für Ihren Anwalt

    Premium
    Kostenlos prüfen
    5

    Fazit & Zusammenfassung

    Premium
    Kostenlos prüfen

    Detaillierte Analyse mit Quellenlinks.

    Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. Kostenlos prüfen mit Scout.

    Kostenlos prüfen

    Keine Kreditkarte. 50 Recherchen + 5 KI-Analysen frei.

    Quellenverzeichnis