ePrivacy-Richtlinie (Richtlinie 2002/58/EG)
Datenschutz in der elektronischen Kommunikation

========================================
GRUNDLAGEN
========================================

Was ist die ePrivacy-Richtlinie?

Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist eine EU-Richtlinie, die spezifische Datenschutzregeln fuer den Bereich der elektronischen Kommunikation festlegt. Sie ergaenzt die DSGVO als "lex specialis" fuer diesen Bereich.

Offizieller Titel: "Richtlinie 2002/58/EG des Europaeischen Parlaments und des Rates vom 12. Juli 2002 ueber die Verarbeitung personenbezogener Daten und den Schutz der Privatsphaere in der elektronischen Kommunikation"

Die Richtlinie wurde mehrfach geaendert:
- 2006 durch Richtlinie 2006/24/EG (Vorratsdatenspeicherung, spaeter aufgehoben)
- 2009 durch Richtlinie 2009/136/EG ("Cookie-Richtlinie")

WICHTIG: Die ePrivacy-Verordnung (ePVO) soll die Richtlinie ersetzen, ist aber Stand 2026 noch nicht in Kraft getreten.

Anwendungsbereich der ePrivacy-Richtlinie

Die ePrivacy-Richtlinie gilt fuer:

1. ANBIETER OEFFENTLICHER KOMMUNIKATIONSDIENSTE
   - Telekommunikationsunternehmen
   - Internet Service Provider
   - E-Mail-Dienste
   - Messenger-Dienste (umstritten)

2. BETREIBER VON WEBSITES UND APPS
   - Cookies und aehnliche Technologien
   - Online-Tracking
   - Direktwerbung per E-Mail

3. JEDE VERARBEITUNG VON
   - Verkehrsdaten
   - Standortdaten
   - Kommunikationsinhalten

NICHT anwendbar auf:
- Rein unternehmensinterne Kommunikationssysteme
- Nationale Sicherheit und Strafverfolgung (Ausnahmen)

Verhaeltnis zur DSGVO

Die ePrivacy-Richtlinie steht in einem besonderen Verhaeltnis zur DSGVO:

GRUNDSATZ (Art. 95 DSGVO):
Die DSGVO erlegt Anbietern oeffentlicher Kommunikationsdienste keine zusaetzlichen Pflichten auf, soweit die ePrivacy-Richtlinie dieselbe Zielsetzung verfolgt.

PRAKTISCHE BEDEUTUNG:

1. ePrivacy als "lex specialis"
   - Fuer elektronische Kommunikation gelten primaer ePrivacy-Regeln
   - DSGVO gilt ergaenzend, wo ePrivacy keine Regelung trifft

2. Cookie-Consent
   - Art. 5 Abs. 3 ePrivacy regelt Cookies VORRANGIG
   - DSGVO-Einwilligung gilt ZUSAETZLICH fuer personenbezogene Daten

3. Sanktionen
   - DSGVO-Bussgelder (bis 20 Mio. / 4% Umsatz) gelten NICHT direkt
   - Nationale Umsetzungsgesetze haben eigene Sanktionen

WICHTIG: Bei Cookies ist BEIDES erforderlich:
- ePrivacy-Einwilligung (fuer Zugriff auf Geraet)
- DSGVO-Rechtsgrundlage (fuer Verarbeitung personenbezogener Daten)

========================================
COOKIES UND TRACKING (Art. 5 Abs. 3)
========================================

Cookie-Einwilligungsregel (Art. 5 Abs. 3)

Art. 5 Abs. 3 der ePrivacy-Richtlinie regelt den Zugriff auf Endgeraete:

GRUNDSATZ:
Die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen im Endgeraet eines Nutzers ist NUR zulaessig, wenn:

1. Der Nutzer VORHER informiert wurde (Transparenz)
2. Der Nutzer seine EINWILLIGUNG gegeben hat (Opt-In)

AUSNAHMEN (KEINE Einwilligung erforderlich):

a) TECHNISCH NOTWENDIGE COOKIES
   - Fuer die Uebertragung einer Nachricht erforderlich
   - Beispiel: Load Balancer Cookies

b) UNBEDINGT ERFORDERLICHE COOKIES
   - Vom Nutzer ausdruecklich gewuenscht
   - Fuer einen Dienst, den der Nutzer ausdruecklich angefordert hat
   - Beispiele:
     * Warenkorb-Cookies
     * Login-Session-Cookies
     * Spracheinstellungen
     * Cookie-Consent-Cookie selbst

WICHTIG: Die Ausnahmen sind ENG auszulegen!
- Analytics-Cookies: KEINE Ausnahme, Einwilligung erforderlich
- Marketing-Cookies: KEINE Ausnahme, Einwilligung erforderlich
- Social Media Plugins: KEINE Ausnahme, Einwilligung erforderlich

Anforderungen an Cookie-Einwilligung

Die Einwilligung nach Art. 5 Abs. 3 ePrivacy muss den DSGVO-Standards entsprechen (Verweis auf Definition in DSGVO):

ANFORDERUNGEN:

1. FREIWILLIG
   - Keine Nachteile bei Ablehnung
   - Kein "Cookie Wall" (umstritten, nationale Unterschiede)
   - Gleichwertige Ablehnungsoption

2. INFORMIERT
   - Klare Information VORHER
   - Welche Cookies, welcher Zweck
   - Wer erhaelt Zugriff (Dritte)
   - Speicherdauer

3. AKTIVE HANDLUNG
   - Opt-In erforderlich (EuGH Planet49)
   - Vorausgewaehlte Checkboxen sind UNGUELTIG
   - Weitersurfen ist KEINE Einwilligung

4. SPEZIFISCH
   - Getrennte Einwilligung pro Zweck
   - "Alle akzeptieren" muss gleichwertig zu "Alle ablehnen" sein

5. WIDERRUFBAR
   - Jederzeitiger Widerruf muss moeglich sein
   - So einfach wie die Erteilung

CONSENT MANAGEMENT PLATFORM (CMP):
Professionelle Cookie-Banner muessen:
- Alle Kategorien einzeln anwaehlbar machen
- "Ablehnen" gleichwertig prominent anbieten
- Consent dokumentieren (Nachweis)
- Widerruf ermoeglichen

Cookie-Kategorien und Einwilligungspflicht

Uebersicht der Cookie-Kategorien und Einwilligungspflicht:

KATEGORIE 1: TECHNISCH NOTWENDIG (KEINE Einwilligung)
- Session-Cookies fuer Login
- Warenkorb-Cookies
- Load-Balancer-Cookies
- CSRF-Token-Cookies
- Cookie-Consent-Cookie
- Spracheinstellungs-Cookies
- Barrierefreiheits-Cookies

KATEGORIE 2: FUNKTIONAL (Einwilligung ERFORDERLICH)
- Praeferenz-Cookies (Design, Layout)
- Video-Player-Einstellungen
- Chat-Widget-Cookies
- Formular-Autofill-Cookies

KATEGORIE 3: ANALYTICS (Einwilligung ERFORDERLICH)
- Google Analytics
- Matomo/Piwik
- Hotjar, Crazy Egg
- Performance-Messung

SONDERFALL: Analytics ohne Einwilligung (UMSTRITTEN!)
- Matomo ohne Cookies und mit IP-Anonymisierung
- Serverseitige Analytics
- Aggregierte Statistiken
- Nationale Behoerden haben unterschiedliche Meinungen!

KATEGORIE 4: MARKETING/WERBUNG (Einwilligung ERFORDERLICH)
- Retargeting-Cookies
- Google Ads/Meta Pixel
- Affiliate-Tracking
- Cross-Site-Tracking

KATEGORIE 5: SOCIAL MEDIA (Einwilligung ERFORDERLICH)
- Facebook Like Button
- Twitter Widgets
- LinkedIn Plugins
- Embedded Content von Dritten

Szenario: Lokale KI-Anwendung (On-Premises)

Bei einer lokalen KI-Anwendung wie BreakPilot (On-Premises auf Mac Studio):

GRUNDSAETZLICH:

1. KEIN externer Cookie-Zugriff
   - Alle Verarbeitung lokal auf Schulserver
   - Keine Cookies an Dritte
   - Keine Tracking-Pixel

2. TECHNISCH NOTWENDIGE COOKIES
   - Session-Cookies fuer Login: KEINE Einwilligung
   - CSRF-Schutz: KEINE Einwilligung
   - Benutzereinstellungen (Sprache): Grauzone, besser Einwilligung

3. ANALYTICS
   - Interne Nutzungsstatistiken (serverseitig): Kein ePrivacy-Problem
   - Falls Cookie-basiert: Einwilligung erforderlich
   - Empfehlung: Serverseitige Logs statt Cookies

EMPFEHLUNG FUER BREAKPILOT:
- Nur Session-Cookies fuer Login verwenden
- Keine Analytics-Cookies
- Keine Third-Party-Einbindungen
- Einfaches Cookie-Banner mit Hinweis auf notwendige Cookies
- Datenschutzerklaerung mit Cookie-Informationen

VORTEIL:
Durch rein lokale Verarbeitung entfallen die meisten ePrivacy-Probleme automatisch!

========================================
VERKEHRSDATEN (Art. 6)
========================================

Was sind Verkehrsdaten?

Verkehrsdaten (Art. 2 lit. b) sind Daten, die zum Zwecke der Weiterleitung einer Nachricht oder zum Zwecke der Fakturierung verarbeitet werden:

BEISPIELE:

1. Bei TELEFONIE
   - Rufnummern (Anrufer und Angerufener)
   - Datum und Uhrzeit
   - Dauer des Gespraechs
   - Art des Dienstes (Sprache, SMS)

2. Bei INTERNET
   - IP-Adressen (dynamisch und statisch)
   - Zeitpunkt der Verbindung
   - Datenvolumen
   - Geraetekennungen (MAC-Adresse, IMEI)

3. Bei E-MAIL
   - E-Mail-Adressen (Sender, Empfaenger)
   - Zeitstempel
   - Betreffzeile (umstritten - eher Inhaltsdaten)

ABGRENZUNG:
- INHALTSDATEN: Der eigentliche Inhalt der Kommunikation (strenger Schutz)
- VERKEHRSDATEN: Metadaten der Kommunikation (weniger streng)
- STANDORTDATEN: Geografische Position (gesondert geregelt)

Verarbeitung von Verkehrsdaten (Art. 6)

Die Verarbeitung von Verkehrsdaten ist streng geregelt:

GRUNDSATZ (Art. 6 Abs. 1):
Verkehrsdaten muessen GELOESCHT oder ANONYMISIERT werden, sobald sie fuer die Uebertragung nicht mehr benoetigt werden.

AUSNAHMEN:

1. ABRECHNUNG (Art. 6 Abs. 2)
   - Verarbeitung fuer Rechnungsstellung zulaessig
   - Nur bis Ende der Frist fuer Rechnungsanfechtung
   - In Deutschland: 6 Monate

2. VERMARKTUNG VON DIENSTEN (Art. 6 Abs. 3)
   - Nur mit EINWILLIGUNG des Teilnehmers
   - Nur fuer Vermarktung von Telekommunikationsdiensten
   - Jederzeit widerrufbar

3. MEHRWERTDIENSTE (Art. 6 Abs. 4)
   - Mit Einwilligung fuer elektronische Mehrwertdienste
   - Nutzer muss informiert werden
   - Zeitlicher Rahmen definiert

WICHTIG FUER ANBIETER:
- Technische Vorkehrungen zur automatischen Loeschung
- Dokumentation der Loeschfristen
- Keine Speicherung "auf Vorrat" ohne Rechtsgrundlage

========================================
STANDORTDATEN (Art. 9)
========================================

Verarbeitung von Standortdaten (Art. 9)

Standortdaten, die ueber Verkehrsdaten hinausgehen, unterliegen besonderen Regeln nach Art. 9:

DEFINITION (Art. 2 lit. c):
Daten, die den geografischen Standort des Endgeraets eines Nutzers angeben.

GRUNDSATZ:
Verarbeitung von Standortdaten NUR zulaessig wenn:
- Anonymisiert, ODER
- Mit EINWILLIGUNG des Nutzers

ANFORDERUNGEN BEI EINWILLIGUNG:

1. VOR der Verarbeitung einzuholen
2. Umfang und Dauer der Verarbeitung angeben
3. Zweck der Verarbeitung angeben
4. Ob Daten an Dritte weitergegeben werden
5. Widerruf jederzeit moeglich

PRAKTISCHE ANWENDUNG:

- Navigationsdienste: Einwilligung erforderlich
- Standortbasierte Werbung: Einwilligung erforderlich
- Flottenmanagement: Einwilligung der Fahrer
- Find-my-Device: Einwilligung (oft Teil der Nutzungsbedingungen)

SONDERFALL: Notrufe
Standortdaten duerfen fuer Notrufdienste ohne Einwilligung verarbeitet werden (Art. 10).

========================================
UNERBETENE NACHRICHTEN - SPAM (Art. 13)
========================================

E-Mail-Marketing und Direktwerbung (Art. 13)

Art. 13 regelt die Verwendung elektronischer Kommunikation fuer Direktwerbung:

GRUNDSATZ (Opt-In):
Die Verwendung von E-Mail, SMS, Fax oder automatischen Anrufsystemen fuer Direktwerbung ist NUR zulaessig mit VORHERIGER EINWILLIGUNG.

AUSNAHME - BESTANDSKUNDEN (Art. 13 Abs. 2):
E-Mail-Werbung OHNE Einwilligung ist zulaessig wenn ALLE Bedingungen erfuellt:

1. Der Absender hat die E-Mail-Adresse vom Kunden selbst erhalten
2. Im Zusammenhang mit einem KAUF von Waren/Dienstleistungen
3. Die Werbung bezieht sich auf AEHNLICHE Produkte/Dienstleistungen
4. Der Kunde hatte bei Erhebung die Moeglichkeit zu widersprechen
5. Bei JEDER weiteren Nachricht: Widerspruchsmoeglichkeit (Opt-Out)

WICHTIG: Die Ausnahme ist ENG auszulegen!
- Newsletter: Einwilligung erforderlich (kein "aehnliches Produkt")
- Werbung fuer Dritte: Einwilligung erforderlich
- B2B-Kaltakquise per E-Mail: Umstritten, nationale Unterschiede

TELEFON-WERBUNG:
- Automatische Anrufsysteme: Immer Einwilligung
- Manuelle Anrufe: Nationale Regelung (in D: Einwilligung erforderlich)

ABSENDERKENNUNG:
Die Identitaet des Absenders darf NICHT verschleiert werden!
Eine gueltige Antwortadresse muss vorhanden sein.

Double Opt-In fuer Newsletter

Das Double Opt-In Verfahren ist Best Practice fuer Newsletter-Anmeldungen:

ABLAUF:

1. Nutzer gibt E-Mail-Adresse ein (Single Opt-In)
2. System sendet Bestaetigungs-E-Mail mit Link
3. Nutzer klickt Link zur Bestaetigung (Double Opt-In)
4. Erst dann: Eintrag in Newsletter-Liste

VORTEILE:
- Nachweis der Einwilligung
- Schutz vor Missbrauch (fremde E-Mail-Adressen)
- Reduziert Spam-Beschwerden
- Bessere Zustellraten

ANFORDERUNGEN AN BESTAETIGUNGS-E-MAIL:
- KEINE Werbung enthalten (nur Bestaetigung)
- Klarer Hinweis auf den Zweck
- Bestaetigung muss aktiv erfolgen
- Protokollierung: IP, Zeitstempel, User-Agent

RECHTLICHE EINORDNUNG:
- Die Bestaetigungs-E-Mail selbst ist KEINE Werbung
- Aber: Nur EINE Erinnerung zulaessig
- Nach Nicht-Bestaetigung: Adresse loeschen

SPEICHERDAUER NACHWEIS:
- Einwilligungsnachweis aufbewahren
- Mindestens bis Widerruf + Verjaehrungsfrist
- In Deutschland: 3 Jahre empfohlen

========================================
KOMMUNIKATIONSGEHEIMNIS (Art. 5)
========================================

Vertraulichkeit der Kommunikation (Art. 5 Abs. 1)

Art. 5 Abs. 1 schuetzt die Vertraulichkeit elektronischer Kommunikation:

GRUNDSATZ:
Die Mitgliedstaaten stellen die Vertraulichkeit der mit oeffentlichen Kommunikationsnetzen uebertragenen Nachrichten sicher.

VERBOTEN IST:
- Abhoeren von Nachrichten
- Anzapfen von Leitungen
- Speicherung von Kommunikation durch Unbefugte
- Jede andere Art des Abfangens

AUSNAHMEN:
- Mit Einwilligung der betroffenen Nutzer
- Gesetzlich erlaubte Ueberwachung (Strafverfolgung)
- Technische Speicherung fuer Uebertragungszwecke

PRAKTISCHE BEDEUTUNG:

1. ARBEITGEBER
   - Abhoeren von Mitarbeiter-E-Mails problematisch
   - Private Nutzung verboten = mehr Spielraum
   - Betriebsvereinbarung empfohlen

2. E-MAIL-PROVIDER
   - Automatische Spam-Filter: Zulaessig (technisch notwendig)
   - Werbefinanzierte Analyse: Einwilligung erforderlich

3. MESSENGER-DIENSTE
   - Ende-zu-Ende-Verschluesselung schuetzt Vertraulichkeit
   - "Client-Side Scanning" (geplant) hochumstritten

========================================
NATIONALE UMSETZUNG (DEUTSCHLAND)
========================================

Umsetzung in Deutschland: TTDSG

In Deutschland wurde die ePrivacy-Richtlinie durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt.

TTDSG (seit 01.12.2021):

Paragraph 25 TTDSG - COOKIES UND AEHNLICHE TECHNOLOGIEN:
Entspricht Art. 5 Abs. 3 ePrivacy-Richtlinie
- Einwilligung erforderlich fuer nicht-notwendige Cookies
- Ausnahme: Technisch notwendige Speicherung/Zugriff

Paragraph 26 TTDSG - ANERKANNTE DIENSTE (PIMS):
Personal Information Management Services
- Nutzer kann zentral Einstellungen verwalten
- Websites muessen PIMS-Signale beachten
- Noch kaum praktische Umsetzung

WEITERE RELEVANTE GESETZE:

TKG (Telekommunikationsgesetz):
- Paragraph 88 TKG: Fernmeldegeheimnis
- Paragraph 96ff TKG: Verkehrsdaten

UWG (Gesetz gegen unlauteren Wettbewerb):
- Paragraph 7 UWG: Unzumutbare Belaestigungen
- Spam-Verbot, Telefon-Werbung

SANKTIONEN (Paragraph 28 TTDSG):
- Verstoss gegen Paragraph 25: Bussgeld bis 300.000 EUR
- Verstoss gegen Paragraph 26: Bussgeld bis 50.000 EUR

DSK Orientierungshilfe zu Telemedien

Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe fuer Anbieter von Telemedien veroeffentlicht:

KERNAUSSAGEN:

1. EINWILLIGUNG
   - Muss VOR dem Setzen von Cookies eingeholt werden
   - Vorausgewaehlte Checkboxen sind unwirksam
   - "Nur notwendige akzeptieren" muss gleichwertig sein

2. TECHNISCH NOTWENDIG
   - Enger Auslegung
   - Session-Cookies: Ja
   - Persistente Praeferenz-Cookies: Nein

3. INFORMATIONSPFLICHTEN
   - Zweck jedes Cookies angeben
   - Speicherdauer angeben
   - Dritte benennen

4. DOKUMENTATION
   - Einwilligungen dokumentieren
   - Mindestens: Zeitstempel, Umfang, Version

5. WIDERRUF
   - Jederzeit moeglich
   - So einfach wie Erteilung
   - Link im Footer oder Cookie-Banner

PRAXISTIPP:
Die DSK-Orientierungshilfe ist nicht rechtlich bindend, wird aber von Aufsichtsbehoerden als Massstab herangezogen.

========================================
EPRIVACY-VERORDNUNG (AUSBLICK)
========================================

ePrivacy-Verordnung (ePVO) - Ausblick

Die ePrivacy-Verordnung (ePVO) soll die Richtlinie 2002/58/EG ersetzen:

STATUS (Stand 2026):
- Kommissionsvorschlag: Januar 2017
- Rat: Kein Konsens erreicht
- Mehrere Kompromissvorschlaege gescheitert
- Inkrafttreten: Weiterhin unklar

GEPLANTE AENDERUNGEN:

1. VERORDNUNG STATT RICHTLINIE
   - Direkt anwendbar in allen Mitgliedstaaten
   - Keine Umsetzung erforderlich
   - Einheitliche Regeln in der EU

2. ERWEITERTER ANWENDUNGSBEREICH
   - Auch OTT-Dienste (WhatsApp, Zoom, etc.)
   - Auch Maschine-zu-Maschine-Kommunikation (IoT)

3. COOKIE-WALLS
   - Verschiedene Positionen
   - Evtl. unter bestimmten Bedingungen zulaessig

4. BROWSER-EINSTELLUNGEN
   - "Privacy by Default" im Browser
   - Zentrale Einwilligungsverwaltung

5. HARMONISIERTE SANKTIONEN
   - DSGVO-aehnliche Bussgelder

BIS ZUR EPVO:
Die Richtlinie 2002/58/EG und nationale Umsetzungen bleiben in Kraft!

========================================
PRAKTISCHE CHECKLISTEN
========================================

ePrivacy-Checkliste fuer Websites

COOKIES:
- Cookie-Audit durchgefuehrt (alle Cookies identifiziert)
- Kategorisierung (technisch notwendig vs. einwilligungspflichtig)
- Cookie-Banner implementiert
- Opt-In vor Setzen von nicht-notwendigen Cookies
- "Ablehnen" gleichwertig zu "Akzeptieren"
- Granulare Auswahlmoeglichkeit (Kategorien)
- Speicherdauer dokumentiert
- Einwilligungen protokolliert
- Widerruf jederzeit moeglich

DATENSCHUTZERKLAERUNG:
- Cookie-Informationen enthalten
- Alle Cookies mit Zweck aufgelistet
- Drittanbieter benannt
- Speicherdauer angegeben

E-MAIL-MARKETING:
- Double Opt-In implementiert
- Abmelde-Link in jeder E-Mail
- Einwilligungen dokumentiert
- Bei Bestandskunden: Widerspruchsmoeglichkeit

TRACKING/ANALYTICS:
- Nur mit Einwilligung aktiv
- Oder: Einwilligungsfreie Alternative (z.B. serverseitig)
- IP-Anonymisierung aktiviert
- Datenverarbeitung dokumentiert

ePrivacy-Checkliste fuer lokale Anwendungen

GRUNDSAETZE:
- Alle Daten bleiben lokal
- Keine Cloud-Anbindung fuer Nutzerdaten
- Keine Third-Party-Tracker

COOKIES/LOKALE SPEICHERUNG:
- Nur Session-Cookies fuer Login
- Keine persistenten Tracking-Cookies
- Keine Local Storage fuer Tracking
- Kein Fingerprinting

ANALYTICS:
- Serverseitige Logs statt Cookies
- Keine personenbezogenen Daten in Logs
- Oder: Einwilligung fuer Cookie-Analytics

KOMMUNIKATION:
- Keine automatisierten Werbe-E-Mails ohne Einwilligung
- Abmelde-Moeglichkeit bei Benachrichtigungen
- Push-Benachrichtigungen nur mit Zustimmung

DOKUMENTATION:
- Datenschutzerklaerung aktuell
- Cookie-Informationen (falls Cookies)
- Technische Dokumentation der Datenverarbeitung

VORTEIL LOKALER VERARBEITUNG:
Die meisten ePrivacy-Anforderungen entfallen bei rein lokaler Verarbeitung ohne externe Dienste!

========================================
RECHTLICHE REFERENZEN
========================================

EU-Recht:
- Richtlinie 2002/58/EG (ePrivacy-Richtlinie)
- Richtlinie 2009/136/EG (Cookie-Richtlinie)
- DSGVO Art. 95 (Verhaeltnis zu ePrivacy)
- EuGH Planet49 (C-673/17)

Deutsches Recht:
- TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)
- Paragraph 25 TTDSG (Cookies)
- Paragraph 7 UWG (Unzumutbare Belaestigungen)
- Paragraph 88 TKG (Fernmeldegeheimnis)

Behoerdenpraxis:
- DSK Orientierungshilfe fuer Anbieter von Telemedien (2022)
- DSK Beschluss zu Tracking (2021)
- CNIL Guidelines on Cookies (2020)
