ePrivacy-Richtlinie (Richtlinie 2002/58/EG) Datenschutz in der elektronischen Kommunikation ======================================== GRUNDLAGEN ======================================== Was ist die ePrivacy-Richtlinie? Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist eine EU-Richtlinie, die spezifische Datenschutzregeln fuer den Bereich der elektronischen Kommunikation festlegt. Sie ergaenzt die DSGVO als "lex specialis" fuer diesen Bereich. Offizieller Titel: "Richtlinie 2002/58/EG des Europaeischen Parlaments und des Rates vom 12. Juli 2002 ueber die Verarbeitung personenbezogener Daten und den Schutz der Privatsphaere in der elektronischen Kommunikation" Die Richtlinie wurde mehrfach geaendert: - 2006 durch Richtlinie 2006/24/EG (Vorratsdatenspeicherung, spaeter aufgehoben) - 2009 durch Richtlinie 2009/136/EG ("Cookie-Richtlinie") WICHTIG: Die ePrivacy-Verordnung (ePVO) soll die Richtlinie ersetzen, ist aber Stand 2026 noch nicht in Kraft getreten. Anwendungsbereich der ePrivacy-Richtlinie Die ePrivacy-Richtlinie gilt fuer: 1. ANBIETER OEFFENTLICHER KOMMUNIKATIONSDIENSTE - Telekommunikationsunternehmen - Internet Service Provider - E-Mail-Dienste - Messenger-Dienste (umstritten) 2. BETREIBER VON WEBSITES UND APPS - Cookies und aehnliche Technologien - Online-Tracking - Direktwerbung per E-Mail 3. JEDE VERARBEITUNG VON - Verkehrsdaten - Standortdaten - Kommunikationsinhalten NICHT anwendbar auf: - Rein unternehmensinterne Kommunikationssysteme - Nationale Sicherheit und Strafverfolgung (Ausnahmen) Verhaeltnis zur DSGVO Die ePrivacy-Richtlinie steht in einem besonderen Verhaeltnis zur DSGVO: GRUNDSATZ (Art. 95 DSGVO): Die DSGVO erlegt Anbietern oeffentlicher Kommunikationsdienste keine zusaetzlichen Pflichten auf, soweit die ePrivacy-Richtlinie dieselbe Zielsetzung verfolgt. PRAKTISCHE BEDEUTUNG: 1. ePrivacy als "lex specialis" - Fuer elektronische Kommunikation gelten primaer ePrivacy-Regeln - DSGVO gilt ergaenzend, wo ePrivacy keine Regelung trifft 2. Cookie-Consent - Art. 5 Abs. 3 ePrivacy regelt Cookies VORRANGIG - DSGVO-Einwilligung gilt ZUSAETZLICH fuer personenbezogene Daten 3. Sanktionen - DSGVO-Bussgelder (bis 20 Mio. / 4% Umsatz) gelten NICHT direkt - Nationale Umsetzungsgesetze haben eigene Sanktionen WICHTIG: Bei Cookies ist BEIDES erforderlich: - ePrivacy-Einwilligung (fuer Zugriff auf Geraet) - DSGVO-Rechtsgrundlage (fuer Verarbeitung personenbezogener Daten) ======================================== COOKIES UND TRACKING (Art. 5 Abs. 3) ======================================== Cookie-Einwilligungsregel (Art. 5 Abs. 3) Art. 5 Abs. 3 der ePrivacy-Richtlinie regelt den Zugriff auf Endgeraete: GRUNDSATZ: Die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen im Endgeraet eines Nutzers ist NUR zulaessig, wenn: 1. Der Nutzer VORHER informiert wurde (Transparenz) 2. Der Nutzer seine EINWILLIGUNG gegeben hat (Opt-In) AUSNAHMEN (KEINE Einwilligung erforderlich): a) TECHNISCH NOTWENDIGE COOKIES - Fuer die Uebertragung einer Nachricht erforderlich - Beispiel: Load Balancer Cookies b) UNBEDINGT ERFORDERLICHE COOKIES - Vom Nutzer ausdruecklich gewuenscht - Fuer einen Dienst, den der Nutzer ausdruecklich angefordert hat - Beispiele: * Warenkorb-Cookies * Login-Session-Cookies * Spracheinstellungen * Cookie-Consent-Cookie selbst WICHTIG: Die Ausnahmen sind ENG auszulegen! - Analytics-Cookies: KEINE Ausnahme, Einwilligung erforderlich - Marketing-Cookies: KEINE Ausnahme, Einwilligung erforderlich - Social Media Plugins: KEINE Ausnahme, Einwilligung erforderlich Anforderungen an Cookie-Einwilligung Die Einwilligung nach Art. 5 Abs. 3 ePrivacy muss den DSGVO-Standards entsprechen (Verweis auf Definition in DSGVO): ANFORDERUNGEN: 1. FREIWILLIG - Keine Nachteile bei Ablehnung - Kein "Cookie Wall" (umstritten, nationale Unterschiede) - Gleichwertige Ablehnungsoption 2. INFORMIERT - Klare Information VORHER - Welche Cookies, welcher Zweck - Wer erhaelt Zugriff (Dritte) - Speicherdauer 3. AKTIVE HANDLUNG - Opt-In erforderlich (EuGH Planet49) - Vorausgewaehlte Checkboxen sind UNGUELTIG - Weitersurfen ist KEINE Einwilligung 4. SPEZIFISCH - Getrennte Einwilligung pro Zweck - "Alle akzeptieren" muss gleichwertig zu "Alle ablehnen" sein 5. WIDERRUFBAR - Jederzeitiger Widerruf muss moeglich sein - So einfach wie die Erteilung CONSENT MANAGEMENT PLATFORM (CMP): Professionelle Cookie-Banner muessen: - Alle Kategorien einzeln anwaehlbar machen - "Ablehnen" gleichwertig prominent anbieten - Consent dokumentieren (Nachweis) - Widerruf ermoeglichen Cookie-Kategorien und Einwilligungspflicht Uebersicht der Cookie-Kategorien und Einwilligungspflicht: KATEGORIE 1: TECHNISCH NOTWENDIG (KEINE Einwilligung) - Session-Cookies fuer Login - Warenkorb-Cookies - Load-Balancer-Cookies - CSRF-Token-Cookies - Cookie-Consent-Cookie - Spracheinstellungs-Cookies - Barrierefreiheits-Cookies KATEGORIE 2: FUNKTIONAL (Einwilligung ERFORDERLICH) - Praeferenz-Cookies (Design, Layout) - Video-Player-Einstellungen - Chat-Widget-Cookies - Formular-Autofill-Cookies KATEGORIE 3: ANALYTICS (Einwilligung ERFORDERLICH) - Google Analytics - Matomo/Piwik - Hotjar, Crazy Egg - Performance-Messung SONDERFALL: Analytics ohne Einwilligung (UMSTRITTEN!) - Matomo ohne Cookies und mit IP-Anonymisierung - Serverseitige Analytics - Aggregierte Statistiken - Nationale Behoerden haben unterschiedliche Meinungen! KATEGORIE 4: MARKETING/WERBUNG (Einwilligung ERFORDERLICH) - Retargeting-Cookies - Google Ads/Meta Pixel - Affiliate-Tracking - Cross-Site-Tracking KATEGORIE 5: SOCIAL MEDIA (Einwilligung ERFORDERLICH) - Facebook Like Button - Twitter Widgets - LinkedIn Plugins - Embedded Content von Dritten Szenario: Lokale KI-Anwendung (On-Premises) Bei einer lokalen KI-Anwendung wie BreakPilot (On-Premises auf Mac Studio): GRUNDSAETZLICH: 1. KEIN externer Cookie-Zugriff - Alle Verarbeitung lokal auf Schulserver - Keine Cookies an Dritte - Keine Tracking-Pixel 2. TECHNISCH NOTWENDIGE COOKIES - Session-Cookies fuer Login: KEINE Einwilligung - CSRF-Schutz: KEINE Einwilligung - Benutzereinstellungen (Sprache): Grauzone, besser Einwilligung 3. ANALYTICS - Interne Nutzungsstatistiken (serverseitig): Kein ePrivacy-Problem - Falls Cookie-basiert: Einwilligung erforderlich - Empfehlung: Serverseitige Logs statt Cookies EMPFEHLUNG FUER BREAKPILOT: - Nur Session-Cookies fuer Login verwenden - Keine Analytics-Cookies - Keine Third-Party-Einbindungen - Einfaches Cookie-Banner mit Hinweis auf notwendige Cookies - Datenschutzerklaerung mit Cookie-Informationen VORTEIL: Durch rein lokale Verarbeitung entfallen die meisten ePrivacy-Probleme automatisch! ======================================== VERKEHRSDATEN (Art. 6) ======================================== Was sind Verkehrsdaten? Verkehrsdaten (Art. 2 lit. b) sind Daten, die zum Zwecke der Weiterleitung einer Nachricht oder zum Zwecke der Fakturierung verarbeitet werden: BEISPIELE: 1. Bei TELEFONIE - Rufnummern (Anrufer und Angerufener) - Datum und Uhrzeit - Dauer des Gespraechs - Art des Dienstes (Sprache, SMS) 2. Bei INTERNET - IP-Adressen (dynamisch und statisch) - Zeitpunkt der Verbindung - Datenvolumen - Geraetekennungen (MAC-Adresse, IMEI) 3. Bei E-MAIL - E-Mail-Adressen (Sender, Empfaenger) - Zeitstempel - Betreffzeile (umstritten - eher Inhaltsdaten) ABGRENZUNG: - INHALTSDATEN: Der eigentliche Inhalt der Kommunikation (strenger Schutz) - VERKEHRSDATEN: Metadaten der Kommunikation (weniger streng) - STANDORTDATEN: Geografische Position (gesondert geregelt) Verarbeitung von Verkehrsdaten (Art. 6) Die Verarbeitung von Verkehrsdaten ist streng geregelt: GRUNDSATZ (Art. 6 Abs. 1): Verkehrsdaten muessen GELOESCHT oder ANONYMISIERT werden, sobald sie fuer die Uebertragung nicht mehr benoetigt werden. AUSNAHMEN: 1. ABRECHNUNG (Art. 6 Abs. 2) - Verarbeitung fuer Rechnungsstellung zulaessig - Nur bis Ende der Frist fuer Rechnungsanfechtung - In Deutschland: 6 Monate 2. VERMARKTUNG VON DIENSTEN (Art. 6 Abs. 3) - Nur mit EINWILLIGUNG des Teilnehmers - Nur fuer Vermarktung von Telekommunikationsdiensten - Jederzeit widerrufbar 3. MEHRWERTDIENSTE (Art. 6 Abs. 4) - Mit Einwilligung fuer elektronische Mehrwertdienste - Nutzer muss informiert werden - Zeitlicher Rahmen definiert WICHTIG FUER ANBIETER: - Technische Vorkehrungen zur automatischen Loeschung - Dokumentation der Loeschfristen - Keine Speicherung "auf Vorrat" ohne Rechtsgrundlage ======================================== STANDORTDATEN (Art. 9) ======================================== Verarbeitung von Standortdaten (Art. 9) Standortdaten, die ueber Verkehrsdaten hinausgehen, unterliegen besonderen Regeln nach Art. 9: DEFINITION (Art. 2 lit. c): Daten, die den geografischen Standort des Endgeraets eines Nutzers angeben. GRUNDSATZ: Verarbeitung von Standortdaten NUR zulaessig wenn: - Anonymisiert, ODER - Mit EINWILLIGUNG des Nutzers ANFORDERUNGEN BEI EINWILLIGUNG: 1. VOR der Verarbeitung einzuholen 2. Umfang und Dauer der Verarbeitung angeben 3. Zweck der Verarbeitung angeben 4. Ob Daten an Dritte weitergegeben werden 5. Widerruf jederzeit moeglich PRAKTISCHE ANWENDUNG: - Navigationsdienste: Einwilligung erforderlich - Standortbasierte Werbung: Einwilligung erforderlich - Flottenmanagement: Einwilligung der Fahrer - Find-my-Device: Einwilligung (oft Teil der Nutzungsbedingungen) SONDERFALL: Notrufe Standortdaten duerfen fuer Notrufdienste ohne Einwilligung verarbeitet werden (Art. 10). ======================================== UNERBETENE NACHRICHTEN - SPAM (Art. 13) ======================================== E-Mail-Marketing und Direktwerbung (Art. 13) Art. 13 regelt die Verwendung elektronischer Kommunikation fuer Direktwerbung: GRUNDSATZ (Opt-In): Die Verwendung von E-Mail, SMS, Fax oder automatischen Anrufsystemen fuer Direktwerbung ist NUR zulaessig mit VORHERIGER EINWILLIGUNG. AUSNAHME - BESTANDSKUNDEN (Art. 13 Abs. 2): E-Mail-Werbung OHNE Einwilligung ist zulaessig wenn ALLE Bedingungen erfuellt: 1. Der Absender hat die E-Mail-Adresse vom Kunden selbst erhalten 2. Im Zusammenhang mit einem KAUF von Waren/Dienstleistungen 3. Die Werbung bezieht sich auf AEHNLICHE Produkte/Dienstleistungen 4. Der Kunde hatte bei Erhebung die Moeglichkeit zu widersprechen 5. Bei JEDER weiteren Nachricht: Widerspruchsmoeglichkeit (Opt-Out) WICHTIG: Die Ausnahme ist ENG auszulegen! - Newsletter: Einwilligung erforderlich (kein "aehnliches Produkt") - Werbung fuer Dritte: Einwilligung erforderlich - B2B-Kaltakquise per E-Mail: Umstritten, nationale Unterschiede TELEFON-WERBUNG: - Automatische Anrufsysteme: Immer Einwilligung - Manuelle Anrufe: Nationale Regelung (in D: Einwilligung erforderlich) ABSENDERKENNUNG: Die Identitaet des Absenders darf NICHT verschleiert werden! Eine gueltige Antwortadresse muss vorhanden sein. Double Opt-In fuer Newsletter Das Double Opt-In Verfahren ist Best Practice fuer Newsletter-Anmeldungen: ABLAUF: 1. Nutzer gibt E-Mail-Adresse ein (Single Opt-In) 2. System sendet Bestaetigungs-E-Mail mit Link 3. Nutzer klickt Link zur Bestaetigung (Double Opt-In) 4. Erst dann: Eintrag in Newsletter-Liste VORTEILE: - Nachweis der Einwilligung - Schutz vor Missbrauch (fremde E-Mail-Adressen) - Reduziert Spam-Beschwerden - Bessere Zustellraten ANFORDERUNGEN AN BESTAETIGUNGS-E-MAIL: - KEINE Werbung enthalten (nur Bestaetigung) - Klarer Hinweis auf den Zweck - Bestaetigung muss aktiv erfolgen - Protokollierung: IP, Zeitstempel, User-Agent RECHTLICHE EINORDNUNG: - Die Bestaetigungs-E-Mail selbst ist KEINE Werbung - Aber: Nur EINE Erinnerung zulaessig - Nach Nicht-Bestaetigung: Adresse loeschen SPEICHERDAUER NACHWEIS: - Einwilligungsnachweis aufbewahren - Mindestens bis Widerruf + Verjaehrungsfrist - In Deutschland: 3 Jahre empfohlen ======================================== KOMMUNIKATIONSGEHEIMNIS (Art. 5) ======================================== Vertraulichkeit der Kommunikation (Art. 5 Abs. 1) Art. 5 Abs. 1 schuetzt die Vertraulichkeit elektronischer Kommunikation: GRUNDSATZ: Die Mitgliedstaaten stellen die Vertraulichkeit der mit oeffentlichen Kommunikationsnetzen uebertragenen Nachrichten sicher. VERBOTEN IST: - Abhoeren von Nachrichten - Anzapfen von Leitungen - Speicherung von Kommunikation durch Unbefugte - Jede andere Art des Abfangens AUSNAHMEN: - Mit Einwilligung der betroffenen Nutzer - Gesetzlich erlaubte Ueberwachung (Strafverfolgung) - Technische Speicherung fuer Uebertragungszwecke PRAKTISCHE BEDEUTUNG: 1. ARBEITGEBER - Abhoeren von Mitarbeiter-E-Mails problematisch - Private Nutzung verboten = mehr Spielraum - Betriebsvereinbarung empfohlen 2. E-MAIL-PROVIDER - Automatische Spam-Filter: Zulaessig (technisch notwendig) - Werbefinanzierte Analyse: Einwilligung erforderlich 3. MESSENGER-DIENSTE - Ende-zu-Ende-Verschluesselung schuetzt Vertraulichkeit - "Client-Side Scanning" (geplant) hochumstritten ======================================== NATIONALE UMSETZUNG (DEUTSCHLAND) ======================================== Umsetzung in Deutschland: TTDSG In Deutschland wurde die ePrivacy-Richtlinie durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt. TTDSG (seit 01.12.2021): Paragraph 25 TTDSG - COOKIES UND AEHNLICHE TECHNOLOGIEN: Entspricht Art. 5 Abs. 3 ePrivacy-Richtlinie - Einwilligung erforderlich fuer nicht-notwendige Cookies - Ausnahme: Technisch notwendige Speicherung/Zugriff Paragraph 26 TTDSG - ANERKANNTE DIENSTE (PIMS): Personal Information Management Services - Nutzer kann zentral Einstellungen verwalten - Websites muessen PIMS-Signale beachten - Noch kaum praktische Umsetzung WEITERE RELEVANTE GESETZE: TKG (Telekommunikationsgesetz): - Paragraph 88 TKG: Fernmeldegeheimnis - Paragraph 96ff TKG: Verkehrsdaten UWG (Gesetz gegen unlauteren Wettbewerb): - Paragraph 7 UWG: Unzumutbare Belaestigungen - Spam-Verbot, Telefon-Werbung SANKTIONEN (Paragraph 28 TTDSG): - Verstoss gegen Paragraph 25: Bussgeld bis 300.000 EUR - Verstoss gegen Paragraph 26: Bussgeld bis 50.000 EUR DSK Orientierungshilfe zu Telemedien Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe fuer Anbieter von Telemedien veroeffentlicht: KERNAUSSAGEN: 1. EINWILLIGUNG - Muss VOR dem Setzen von Cookies eingeholt werden - Vorausgewaehlte Checkboxen sind unwirksam - "Nur notwendige akzeptieren" muss gleichwertig sein 2. TECHNISCH NOTWENDIG - Enger Auslegung - Session-Cookies: Ja - Persistente Praeferenz-Cookies: Nein 3. INFORMATIONSPFLICHTEN - Zweck jedes Cookies angeben - Speicherdauer angeben - Dritte benennen 4. DOKUMENTATION - Einwilligungen dokumentieren - Mindestens: Zeitstempel, Umfang, Version 5. WIDERRUF - Jederzeit moeglich - So einfach wie Erteilung - Link im Footer oder Cookie-Banner PRAXISTIPP: Die DSK-Orientierungshilfe ist nicht rechtlich bindend, wird aber von Aufsichtsbehoerden als Massstab herangezogen. ======================================== EPRIVACY-VERORDNUNG (AUSBLICK) ======================================== ePrivacy-Verordnung (ePVO) - Ausblick Die ePrivacy-Verordnung (ePVO) soll die Richtlinie 2002/58/EG ersetzen: STATUS (Stand 2026): - Kommissionsvorschlag: Januar 2017 - Rat: Kein Konsens erreicht - Mehrere Kompromissvorschlaege gescheitert - Inkrafttreten: Weiterhin unklar GEPLANTE AENDERUNGEN: 1. VERORDNUNG STATT RICHTLINIE - Direkt anwendbar in allen Mitgliedstaaten - Keine Umsetzung erforderlich - Einheitliche Regeln in der EU 2. ERWEITERTER ANWENDUNGSBEREICH - Auch OTT-Dienste (WhatsApp, Zoom, etc.) - Auch Maschine-zu-Maschine-Kommunikation (IoT) 3. COOKIE-WALLS - Verschiedene Positionen - Evtl. unter bestimmten Bedingungen zulaessig 4. BROWSER-EINSTELLUNGEN - "Privacy by Default" im Browser - Zentrale Einwilligungsverwaltung 5. HARMONISIERTE SANKTIONEN - DSGVO-aehnliche Bussgelder BIS ZUR EPVO: Die Richtlinie 2002/58/EG und nationale Umsetzungen bleiben in Kraft! ======================================== PRAKTISCHE CHECKLISTEN ======================================== ePrivacy-Checkliste fuer Websites COOKIES: - Cookie-Audit durchgefuehrt (alle Cookies identifiziert) - Kategorisierung (technisch notwendig vs. einwilligungspflichtig) - Cookie-Banner implementiert - Opt-In vor Setzen von nicht-notwendigen Cookies - "Ablehnen" gleichwertig zu "Akzeptieren" - Granulare Auswahlmoeglichkeit (Kategorien) - Speicherdauer dokumentiert - Einwilligungen protokolliert - Widerruf jederzeit moeglich DATENSCHUTZERKLAERUNG: - Cookie-Informationen enthalten - Alle Cookies mit Zweck aufgelistet - Drittanbieter benannt - Speicherdauer angegeben E-MAIL-MARKETING: - Double Opt-In implementiert - Abmelde-Link in jeder E-Mail - Einwilligungen dokumentiert - Bei Bestandskunden: Widerspruchsmoeglichkeit TRACKING/ANALYTICS: - Nur mit Einwilligung aktiv - Oder: Einwilligungsfreie Alternative (z.B. serverseitig) - IP-Anonymisierung aktiviert - Datenverarbeitung dokumentiert ePrivacy-Checkliste fuer lokale Anwendungen GRUNDSAETZE: - Alle Daten bleiben lokal - Keine Cloud-Anbindung fuer Nutzerdaten - Keine Third-Party-Tracker COOKIES/LOKALE SPEICHERUNG: - Nur Session-Cookies fuer Login - Keine persistenten Tracking-Cookies - Keine Local Storage fuer Tracking - Kein Fingerprinting ANALYTICS: - Serverseitige Logs statt Cookies - Keine personenbezogenen Daten in Logs - Oder: Einwilligung fuer Cookie-Analytics KOMMUNIKATION: - Keine automatisierten Werbe-E-Mails ohne Einwilligung - Abmelde-Moeglichkeit bei Benachrichtigungen - Push-Benachrichtigungen nur mit Zustimmung DOKUMENTATION: - Datenschutzerklaerung aktuell - Cookie-Informationen (falls Cookies) - Technische Dokumentation der Datenverarbeitung VORTEIL LOKALER VERARBEITUNG: Die meisten ePrivacy-Anforderungen entfallen bei rein lokaler Verarbeitung ohne externe Dienste! ======================================== RECHTLICHE REFERENZEN ======================================== EU-Recht: - Richtlinie 2002/58/EG (ePrivacy-Richtlinie) - Richtlinie 2009/136/EG (Cookie-Richtlinie) - DSGVO Art. 95 (Verhaeltnis zu ePrivacy) - EuGH Planet49 (C-673/17) Deutsches Recht: - TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) - Paragraph 25 TTDSG (Cookies) - Paragraph 7 UWG (Unzumutbare Belaestigungen) - Paragraph 88 TKG (Fernmeldegeheimnis) Behoerdenpraxis: - DSK Orientierungshilfe fuer Anbieter von Telemedien (2022) - DSK Beschluss zu Tracking (2021) - CNIL Guidelines on Cookies (2020)