Alle Blogbeiträge

EU ePrivacy-Verordnung & Cookies | ePrivacy-Verordnung 2021 Updates

Cookiebot hilft Ihnen, Ihre Verwendung von Cookies und Online-Tracking DSGVO- und ePR-konform zu machen. Die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) beeinflussen, wie Ihre Website Cookies verwenden darf, um Ihre Besucher aus der EU zu tracken.

Aktualisiert am 11. März 2021.

Die ePrivacy-Verordnung der EU, die die ePrivacy-Richtlinie (ePR) aus dem Jahr 2002 aufheben und ersetzen soll, hat lange auf sich warten lassen. Ursprünglich sollte sie mit dem Inkrafttreten der DSGVO im Mai 2018 fertiggestellt werden, doch stattdessen zog sich ihre Bearbeitung über Jahre hin.

Am 10. Februar 2021 hat sich der EU-Rat auf einen finalen Text geeinigt, der die ePrivacy-Verordnung in eine neue Phase der Trilog-Verhandlungen bringt, aus der ein neues Datenschutzgesetz hervorgehen und in der gesamten Europäischen Union in Kraft treten könnte.

In diesem Blogpost nehmen wir die ePrivacy-Verordnung und Cookies unter die Lupe; was der aktuelle Entwurf für Ihre Website bedeutet und wie es weitergeht in der langen Saga der berüchtigten ePrivacy-Verordnung der EU.

Kurze Zusammenfassung

Die ePrivacy-Verordnung der EU, Cookies und 2021 Updates

Die ePrivacy-Verordnung 2021 ist ein Verordnungsentwurf des EU-Rates, der die gesamte elektronische Kommunikation über öffentlich zugängliche Dienste und Netzwerke von Einzelpersonen innerhalb der Europäischen Union regelt.

Das Datenschutzregime der EU besteht derzeit aus der Allgemeinen Datenschutzverordnung (DSGVO) und der ePrivacy-Richtlinie aus dem Jahr 2002. Die neue ePrivacy-Verordnung würde die ältere Richtlinie aus dem Jahr 2002 (auch bekannt als EU Cookie-Gesetz) aufheben und ersetzen und wesentliche Aktualisierungen mit sich bringen, da neue Technologien in den Rechtsrahmen aufgenommen werden.

Kurz gesagt, der Entwurf der ePrivacy-Verordnung 2021 deckt die gesamte elektronische Kommunikation ab (wie SMS, E-Mails, Facebook-Nachrichten, Snapchat und so weiter), schützt Einzelpersonen innerhalb der EU vor Eingriffen Dritter in ihre private Kommunikation, es sei denn, sie geben ihre vorherige Zustimmung.

Die ePrivacy-Verordnung 2021 kommt nach langjähriger Bearbeitungszeit im EU-Rat.
Die elektronische Privatsphäre von Personen innerhalb der EU ist Gegenstand und Anwendungsbereich der ePrivacy-Verordnung 2021.

ePrivacy-Verordnung 2021 kurze Übersicht

  • Die ePrivacy-Verordnung 2021 gilt für die elektronische Kommunikation in öffentlich zugänglichen Diensten und Netzen, einschließlich der von Maschine zu Maschine übertragenen Daten und Metadaten wie Standort, Zeit und Daten über die Empfänger.
  • Die ePrivacy-Verordnung 2021 gilt für Endnutzer, die sich innerhalb der EU befinden, auch wenn der Dienstanbieter außerhalb der EU ansässig ist und die Verarbeitung außerhalb der EU stattfindet.
  • Die ePrivacy-Verordnung 2021 schützt die gesamte elektronische Kommunikation als standardmäßig privat und vertraulich – um Daten über die elektronische Kommunikation von Einzelpersonen innerhalb der EU zu verarbeiten, abzuhören, zu überwachen oder anderweitig zu sammeln, müssen die Endnutzer zunächst ihre ausdrückliche und bestätigende Zustimmung geben.
  • Die ePrivacy-Verordnung 2021 schreibt vor, dass Sie die ausdrückliche Zustimmung der Endnutzer einholen müssen, bevor Sie auf Ihrer Website Cookies und Tracker oder andere Technologien verwenden, die personenbezogene Daten auf den Endgeräten der Nutzer (Hardware und Software) speichern.
  • Die ePrivacy-Verordnung 2021 ermöglicht den Verzicht auf Cookies, wenn dem Nutzer eine Alternative angeboten wird, die keine Zustimmung zu Cookies und Trackern erfordert.
  • Die ePrivacy-Verordnung 2021 ermöglicht es Endnutzern, Cookie-Anbieter in ihren Browsereinstellungen auf eine Whitelist zu setzen, und ermutigt die Anbieter, es den Nutzern leicht zu machen, ihre Whitelists zu ändern und ihre Zustimmung jederzeit widerrufen zu können.
  • Die ePrivacy-Verordnung 2021 wird zwei Jahre nach ihrer Verabschiedung in Kraft treten.

Testen Sie die Cookiebot Consent Management-Plattform (CMP) noch heute kostenlos

Scannen Sie Ihre Website, um zu sehen, ob Sie Nutzer aus der EU haben

Wenn es um E-Privacy geht, können Cookies auf Ihrer Website eine echte Belastung sein – sie sind heute die meistgenutzte Technologie zur Erfassung, Verarbeitung und Weitergabe persönlicher Daten von Endnutzern im Internet, benötigen aber die ausdrückliche Zustimmung der Endnutzer, bevor sie aktiviert werden.

Die EU-DSGVO, die 2018 in Kraft getreten ist, befasst sich mit der Problematik von E-Privacy und Cookies, indem sie die Zustimmung der Endnutzer in den Mittelpunkt stellt.

Nach der DSGVO in 2018 kommt mit der ePrivacy-Verordnung 2021 ein weiteres Datenschutzgesetz auf EU-Ebene.
Der Entwurf der ePrivacy-Verordnung 2021 hebt die Zustimmung des Nutzers als Kernstück des elektronischen Datenschutzes hervor.

Die Zustimmung bleibt ein Kernbestandteil der ePrivacy-Verordnung 2021, und Cookies und ähnliche Website-Tracker sind auch das Ziel des neuen Entwurfs des Datenschutzgesetzes.

Für die Verarbeitung jeder Art von elektronischer Kommunikation und deren Inhalt ist die Zustimmung der Endbenutzer erforderlich.

Die heute gültige ePrivacy-Richtlinie aus dem Jahr 2002 wird auch als EU Cookie-Gesetz bezeichnet, und zwar genau deshalb, weil sie die erste EU-Gesetzgebung (vor der DSGVO der EU) war, die Regeln dafür festlegte, wie Websites Cookies und Tracker zur Verarbeitung von Nutzerdaten verwenden dürfen.

Bekanntlich schuf die ePrivacy Richtlinie die Notwendigkeit von Cookie-Bannern auf Websites als Mittel zur Einholung der Zustimmung von Nutzern – obwohl die meisten der frühen, vor der DSGVO erstellten Website-Banner tatsächlich nicht wie vorgesehen funktionierten.

Nach dem neuen Entwurf der ePrivacy-Verordnung 2021 ist die Zustimmung der Endnutzer erforderlich, bevor irgendeine Art von Daten von den Computern oder Smartphones der Nutzer verarbeitet wird.

Sollte die ePrivacy-Verordnung 2021 in Kraft treten, wird sie die ePrivacy-Richtlinie aufheben und ersetzen.

Die EU-DSGVO verlangt bereits, dass Ihre Website die ausdrückliche Zustimmung Ihrer Nutzer einholt, bevor Sie Cookies und Tracker verwenden, die personenbezogene Daten wie IP-Adressen, eindeutige IDs, Such- und Browserverläufe verarbeiten.

Der Entwurf der ePrivacy-Verordnung 2021 unterstreicht, dass die Zustimmung eine wichtige Komponente des heutigen Internets ist und dass die Zustimmung auch in Zukunft Bestand haben wird.

Die ePrivacy-Verordnung 2021 öffnet jedoch die Tür für neue Möglichkeiten zur Vereinfachung von Einwilligungen in verschiedenen Browsern und befasst sich auch mit der so genannten ‘cookie consent fatigue’ (dt. Cookie-Einwilligungsmüdigkeit: wenn Benutzer damit überfordert sind, auf Websites im gesamten Internet eine Einwilligung geben zu müssen), wodurch im Großen und Ganzen zementiert wird, dass die Einwilligung der Benutzer für einen echten Datenschutz notwendig ist – jetzt und in Zukunft.

Mit einem finalisierten Text des EU-Rates geht die ePrivacy-Verordnung 2021 nun in die sogenannten Trilog-Verhandlungen zwischen EU-Parlament, EU-Kommission und EU-Rat.

Ein finaler Entwurf der ePrivacy-Verordnung ist im EU-Rat entschieden worden.
Die ePrivacy-Verordnung 2021 steht vor harten Trilog-Verhandlungen im EU-Parlament.

Doch der Weg des EU-Ratsentwurfs in ein Gesetz, geschweige denn ein mögliches Inkrafttreten der ePrivacy-Verordnung, bleibt ungewiss, zumal sich bereits starke Datenschutzstimmen dagegen ausgesprochen haben, darunter der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber, der das EU-Parlament auffordert, sich um stärkere Datenschutzbestimmungen für die ePrivacy-Verordnung im Jahr 2021 zu bemühen.

Eines scheint nach dem neuen Entwurf der ePrivacy-Verordnung sicher zu sein: Cookies und Tracker auf Ihrer Website werden weiterhin die ausdrückliche und bestätigende Zustimmung der Nutzer benötigen, bevor sie zum Einsatz kommen.

Mit anderen Worten: Die Zustimmung ist ein langfristiges Element auf Websites.

Testen Sie Cookiebot CMP kostenlos für 14 Tage – oder für immer, wenn Sie eine kleine Website haben

Scannen Sie Ihre Website, um alle verwendeten Cookies und Tracker zu sehen

Erfahren Sie mehr über die DSGVO und die Zustimmung zu Cookies

Sehen Sie sich den vollständigen Text der ePrivacy-Verordnung an (PDF in Englisch)

Konformität mit Cookiebot™

ePrivacy-Verordnung und Cookies

Cookiebot (CMP) by Usercentrics ist die führende Plug-and-Play-Compliance-Lösung für die Einhaltung der EU-Datenschutzbestimmungen auf Ihrer Website.

Cookiebot CMP basiert auf einem leistungsstarken Website-Scanner, der alle Cookies, Tracker und Trojaner auf Ihrer Website erkennt und kontrolliert. Cookiebot CMP holt automatisch die gültigen Zustimmungen von den Endbenutzern Ihrer Website ein und erfüllt so die Anforderungen der EU DSGVO/ePR.

Individuell anpassbare Zustimmungsbanner bieten Ihren Nutzern alle rechtlich erforderlichen Informationen zu jedem Cookie, wie z. B. technische Details, Anbieter, Dauer und Zweck.

Mit der kommenden ePrivacy-Verordnung benötigen Cookies und Tracker auf Ihrer Website weiterhin die vorherige und ausdrückliche Zustimmung der Nutzer, um aktiviert werden zu dürfen.

Cookies von Drittanbietern, die durch die Nutzung von Analysediensten oder Social-Media-Plugins auf Ihrer Website betrieben werden, benötigen alle die vorherige Zustimmung der Besucher Ihrer Website, bevor sie rechtlich zulässig sind.

Cookiebot CMP by Usercentrics ist seit 2012 auf den Umgang mit EU-weit gültigen Cookie-Einwilligungen spezialisiert und wird auch weiterhin die Privatsphäre der Nutzer schützen und gleichzeitig die Einhaltung der Vorschriften für Ihre Website einfach und automatisch ermöglichen.

Cookiebot CMP ermöglicht auch die Konformität Ihrer Website mit einer Reihe anderer Datenschutzgesetze auf der ganzen Welt, einschließlich der UK-DSGVO, dem kalifornischen CCPA, dem kanadischen PIPEDA, dem südafrikanischen POPIA, dem New Zealand’s Privacy Act und vielen anderen.

Testen Sie Cookiebot CPM kostenlos für 14 Tage – oder für immer, wenn Sie eine kleine Website haben.

Scannen Sie Ihre Website, um zu sehen, ob Sie Daten in der EU verarbeiten

ePrivacy-Verordnung 2021, im Detail

ePrivacy, Cookies und Zeitrahmen

Lassen Sie uns den neuen Entwurf der ePrivacy-Verordnung 2021 des EU-Rats im Detail aufschlüsseln und prüfen, inwiefern er sich von der DSGVO unterscheidet und wann er in Kraft treten könnte.

Was ist der Unterschied zwischen der ePrivacy-Verordnung und der DSGVO?

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) der EU schützt die personenbezogenen Daten von Einzelpersonen innerhalb der EU, während die ePrivacy-Verordnung 2021 die Privatsphäre der elektronischen Kommunikation von Einzelpersonen innerhalb der EU schützen wird – und dabei die DSGVO (und ihre Zustimmungsstandards) auf den Bereich der Kommunikation über Technologien, wie z. B. Facebook, E-Mail und Textnachrichten, ausweitet und spezifiziert.

Die ePrivacy-Verordnung 2021 ist ein lex specialis zur Allgemeinen Datenschutz-Grundverordnung (DSGVO) lex generalis, d. h., sie ergänzt die DSGVO mit Regelungen, die speziell für den Bereich der elektronischen Kommunikation gelten.

Als lex specialis hat die ePrivacy-Verordnung 2021 Vorrang vor der DSGVO in den spezifischen Bereichen, die sie abdeckt.

Es handelt sich dabei um zwei verschiedene Gesetze, die sich aus zwei verschiedenen Rechten der EU-Grundrechtecharta ableiten – die DSGVO deckt das Recht auf den Schutz personenbezogener Daten ab, während die ePrivacy-Verordnung das Recht einer Person auf ein Privatleben, einschließlich der Vertraulichkeit, in der gesamten elektronischen Kommunikation umfassen wird.

Die ePrivacy-Verordnung erweitert die DSGVO speziell auf den Datenschutz der elektronischen Kommunikation.
Speziell für den Bereich der elektronischen Kommunikation aktualisiert die ePrivacy-Verordnung die ePrivacy-Richtlinie von 2002.

Wann wird die ePrivacy-Verordnung verabschiedet?

Am 10. Februar 2021 einigten sich die EU-Ratsmitglieder auf einen Gesetzesentwurf, der nun in die Trilog-Verhandlungen zwischen EU-Rat, EU-Parlament und EU-Kommission gehen wird.

Da es sich noch immer nur um einen Entwurf handelt, gibt es noch kein Datum für das Inkrafttreten der ePrivacy-Verordnung.

Der Entwurf besagt jedoch, dass er zwanzig Tage nach seiner Veröffentlichung im EU-Amtsblatt in Kraft tritt und zwei Jahre später anzuwenden wäre – das heißt, wenn die Trilog-Verhandlungen gut verlaufen und der Entwurf im Laufe des Jahres 2021 in Kraft tritt, würde die ePrivacy-Verordnung im Jahr 2023 in der gesamten Europäischen Union wirksam werden.

Aber das ist ein großes Wenn, denn der Entwurf der ePrivacy-Verordnung ist bereits auf erhebliche Kritik gestoßen, vor allem von den deutschen Datenschutzbehörden selbst.

Hier ein Überblick über die bisherige Entwicklung der ePrivacy-Verordnungen –

  • 2021 – der EU-Rat finalisiert den Text und neue Trilog-Verhandlungen zwischen EU-Rat, EU-Parlament und EU-Kommission können beginnen.
  • 2020 – die ePrivacy-Verordnung erreicht über mehrere EU-Ratspräsidentschaften hinweg keinen Mehrheitskonsens.
  • 2018/2019 – der Entwurf der ePrivacy-Verordnung dümpelt in Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat hin und her.
  • 2017 – Entwurf der ePrivacy-Verordnung aus dem EU-Parlament vorgestellt.

Stellungnahme des EDPB zum Entwurf der ePrivacy-Verordnung 2021

Am 9. März 2021 veröffentlichte der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) eine Erklärung zur ePrivacy-Verordnung, in der er betonte, dass die kommende Verordnung unter keinen Umständen das Schutzniveau der aktuellen ePrivacy-Richtlinie (die sie aufheben und ersetzen würde) absenken darf und die bestehende Allgemeine Datenschutz-Grundverordnung (DSGVO) ergänzen muss, indem sie zusätzliche starke Garantien für die Vertraulichkeit und den Schutz der gesamten elektronischen Kommunikation bietet.

Der EDPB betont in seiner Stellungnahme, dass –

  • Einige vom Rat eingeführte Ausnahmen (insbesondere Artikel 6(1)(c), Artikel 6b(1)(e), Artikel 6b(1)(f), Artikel 6c) scheinen sehr weit gefasste Arten der Verarbeitung zuzulassen, und es wird an die Notwendigkeit erinnert, diese Ausnahmen auf spezifische und klar definierte Zwecke zu beschränken,
  • Es ist notwendig, eine echte, frei erteilte Einwilligung einzuholen, und dies sollte die Diensteanbieter daran hindern, unlautere Praktiken anzuwenden, wie z. B. “take it or leave it”-Lösungen, die den Zugang zu Diensten und Funktionalitäten von der Einwilligung eines Nutzers in die Speicherung von Informationen oder den Zugang zu Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, abhängig machen (die sogenannten “Cookie-Walls”),
  • Es muss eine ausdrückliche Bestimmung in die Datenschutzverordnung für elektronische Kommunikation aufgenommen werden, die es Diensteanbietern untersagt, Informationen ohne Zustimmung des Nutzers zu verarbeiten, und die es den Nutzern ermöglicht, der Profilerstellung zuzustimmen oder sie abzulehnen,
  • Die Datenschutzverordnung für elektronische Kommunikation sollte den derzeitigen Rahmen für die Einwilligung mit einer wirksamen Methode zur Einholung der Einwilligung für Websites und mobile Anwendungen verbessern, indem den Nutzern die Kontrolle zurückgegeben und die “Einwilligungsmüdigkeit” bekämpft wird.

Es ist noch ungewiss, wie der weitere Weg für den Entwurf der ePrivacy-Verordnung 2021 aussieht.

FAQ

Was ist die ePrivacy-Verordnung?

Die ePrivacy-Verordnung 2021 ist ein Verordnungsentwurf des EU-Rats, der, wenn er in Kraft tritt, die gesamte elektronische Kommunikation über öffentlich zugängliche Dienste und Netzwerke von Einzelpersonen innerhalb der Europäischen Union regeln wird (z. B. Facebook-Nachrichten, SMS, E-Mails, SnapChats und alle anderen beliebten elektronischen Kommunikationsdienste). Obwohl sie nicht im Hauptfokus der ePrivacy-Verordnung stehen, fallen auch Cookies und Tracker, die auf Websites verwendet werden, unter die Gesetzgebung und erfordern, wie die DSGVO bereits vorschreibt, die ausdrückliche Zustimmung der Nutzer, um auf Ihrer Website aktiviert zu werden.

Erfahren Sie mehr über die DSGVO und die Cookie-Einwilligung

Wann wird die ePrivacy-Verordnung finalisiert sein?

Die ePrivacy-Verordnung 2021 liegt derzeit im Entwurf vor, der am 10. Februar 2021 vom EU-Rat finalisiert wurde. Der Entwurf der ePrivacy-Verordnung 2021 geht nun in die Trilog-Verhandlungen zwischen dem EU-Rat, dem EU-Parlament und der EU-Kommission, die dazu führen können, dass der Entwurf in allen 27 EU-Mitgliedsstaaten in Kraft tritt, oder er kann scheitern und muss neu erarbeitet werden.

Scannen Sie Ihre Website, um zu sehen, wie viele Cookies im Einsatz sind

Wann wird die ePrivacy-Verordnung in Kraft treten?

Derzeit gibt es kein Datum für das Inkrafttreten der ePrivacy-Verordnung, da der Entwurf vom Februar noch immer nur ein Vorschlag des EU-Rats ist. Der Entwurfstext besagt, dass die ePrivacy-Verordnung zwanzig Tage nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft tritt und zwei Jahre später zu gelten beginnt. Es ist jedoch schwer, ein mögliches Datum für das Inkrafttreten der ePrivacy-Verordnung abzuschätzen, da die Trilog-Verhandlungen in viele verschiedene Richtungen gehen können, wobei einige EU-Länder stärkere Datenschutzbestimmungen fordern, als im aktuellen Entwurf enthalten sind.

Testen Sie Cookiebot CMP für die Einhaltung der DSGVO noch heute

Was ist der Unterschied zwischen der ePrivacy-Verordnung und der DSGVO?

Die ePrivacy-Verordnung 2021 ist ein sektorspezifisches Gesetz, das die gesamte elektronische Kommunikation über öffentlich zugängliche Dienste und Netzwerke von Einzelpersonen innerhalb der EU regelt, während die Allgemeine Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten von Einzelpersonen innerhalb der EU regelt. Auf diese Weise wäre die ePrivacy-Verordnung 2021 eine lex specialis zur lex generalis DSGVO, indem sie die Bestimmungen der DSGVO zu personenbezogenen Daten für den Bereich der elektronischen Kommunikation spezifiziert und präzisiert.

Erfahren Sie mehr über die DSGVO

Ressourcen

Pressemitteilung des EU-Rates zur neuen ePrivacy-Verordnung 2021

Der neue Entwurf der ePrivacy-Verordnung 2021, 10. Februar 2021 (PDF in Englisch)

IAPP zu den neuen Entwicklungen der ePrivacy-Verordnung 2021 (in Englisch)

Netzpolitik.org zum neuen Entwurf der ePrivacy-Verordnung

Access Now äußert sich zurückhaltend zum Entwurf der ePrivacy-Verordnung des EU-Rates (in Englisch)

Deutscher BfDI kritisiert den Entwurf der ePrivacy-Verordnung

Überblick über die ePrivacy-Verordnung von Lexology (in Englisch)

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.