# ============================================================================= # ePrivacy Corpus - Richtlinie 2002/58/EG # Fuer Legal RAG Integration # Version: 1.0 # Stand: Januar 2026 # ============================================================================= version: "1.0" jurisdiction: EU last_updated: "2026-01-29" description: "Rechtliche Informationen zur ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ueber die Verarbeitung personenbezogener Daten und den Schutz der Privatsphaere in der elektronischen Kommunikation" # ============================================================================= # GRUNDLAGEN # ============================================================================= fundamentals: eprivacy_definition: id: EPRIV-DEF-001 topic: "Was ist die ePrivacy-Richtlinie?" content: | Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist eine EU-Richtlinie, die spezifische Datenschutzregeln fuer den Bereich der elektronischen Kommunikation festlegt. Sie ergaenzt die DSGVO als "lex specialis" fuer diesen Bereich. Offizieller Titel: "Richtlinie 2002/58/EG des Europaeischen Parlaments und des Rates vom 12. Juli 2002 ueber die Verarbeitung personenbezogener Daten und den Schutz der Privatsphaere in der elektronischen Kommunikation" Die Richtlinie wurde mehrfach geaendert: - 2006 durch Richtlinie 2006/24/EG (Vorratsdatenspeicherung, spaeter aufgehoben) - 2009 durch Richtlinie 2009/136/EG ("Cookie-Richtlinie") WICHTIG: Die ePrivacy-Verordnung (ePVO) soll die Richtlinie ersetzen, ist aber Stand 2026 noch nicht in Kraft getreten. legal_refs: - "Richtlinie 2002/58/EG" - "Richtlinie 2009/136/EG" - "DSGVO Art. 95 (Verhaeltnis zu ePrivacy)" keywords: ["ePrivacy", "E-Privacy", "2002/58/EG", "Cookie-Richtlinie"] scope_of_application: id: EPRIV-DEF-002 topic: "Anwendungsbereich der ePrivacy-Richtlinie" content: | Die ePrivacy-Richtlinie gilt fuer: 1. ANBIETER OEFFENTLICHER KOMMUNIKATIONSDIENSTE - Telekommunikationsunternehmen - Internet Service Provider - E-Mail-Dienste - Messenger-Dienste (umstritten) 2. BETREIBER VON WEBSITES UND APPS - Cookies und aehnliche Technologien - Online-Tracking - Direktwerbung per E-Mail 3. JEDE VERARBEITUNG VON - Verkehrsdaten - Standortdaten - Kommunikationsinhalten NICHT anwendbar auf: - Rein unternehmensinterne Kommunikationssysteme - Nationale Sicherheit und Strafverfolgung (Ausnahmen) legal_refs: - "Art. 3 Richtlinie 2002/58/EG" keywords: ["Anwendungsbereich", "Telekommunikation", "ISP"] relationship_gdpr: id: EPRIV-DEF-003 topic: "Verhaeltnis zur DSGVO" content: | Die ePrivacy-Richtlinie steht in einem besonderen Verhaeltnis zur DSGVO: GRUNDSATZ (Art. 95 DSGVO): Die DSGVO erlegt Anbietern oeffentlicher Kommunikationsdienste keine zusaetzlichen Pflichten auf, soweit die ePrivacy-Richtlinie dieselbe Zielsetzung verfolgt. PRAKTISCHE BEDEUTUNG: 1. ePrivacy als "lex specialis" - Fuer elektronische Kommunikation gelten primaer ePrivacy-Regeln - DSGVO gilt ergaenzend, wo ePrivacy keine Regelung trifft 2. Cookie-Consent - Art. 5 Abs. 3 ePrivacy regelt Cookies VORRANGIG - DSGVO-Einwilligung gilt ZUSAETZLICH fuer personenbezogene Daten 3. Sanktionen - DSGVO-Bussgelder (bis 20 Mio. / 4% Umsatz) gelten NICHT direkt - Nationale Umsetzungsgesetze haben eigene Sanktionen WICHTIG: Bei Cookies ist BEIDES erforderlich: - ePrivacy-Einwilligung (fuer Zugriff auf Geraet) - DSGVO-Rechtsgrundlage (fuer Verarbeitung personenbezogener Daten) legal_refs: - "DSGVO Art. 95" - "ErwGr. 173 DSGVO" - "EuGH Planet49 (C-673/17)" keywords: ["DSGVO", "lex specialis", "Art. 95"] # ============================================================================= # COOKIES UND TRACKING (Art. 5 Abs. 3) # ============================================================================= cookies: cookie_consent_rule: id: EPRIV-COOK-001 topic: "Cookie-Einwilligungsregel (Art. 5 Abs. 3)" content: | Art. 5 Abs. 3 der ePrivacy-Richtlinie regelt den Zugriff auf Endgeraete: GRUNDSATZ: Die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen im Endgeraet eines Nutzers ist NUR zulaessig, wenn: 1. Der Nutzer VORHER informiert wurde (Transparenz) 2. Der Nutzer seine EINWILLIGUNG gegeben hat (Opt-In) AUSNAHMEN (KEINE Einwilligung erforderlich): a) TECHNISCH NOTWENDIGE COOKIES - Fuer die Uebertragung einer Nachricht erforderlich - Beispiel: Load Balancer Cookies b) UNBEDINGT ERFORDERLICHE COOKIES - Vom Nutzer ausdruecklich gewuenscht - Fuer einen Dienst, den der Nutzer ausdruecklich angefordert hat - Beispiele: * Warenkorb-Cookies * Login-Session-Cookies * Spracheinstellungen * Cookie-Consent-Cookie selbst WICHTIG: Die Ausnahmen sind ENG auszulegen! - Analytics-Cookies: KEINE Ausnahme, Einwilligung erforderlich - Marketing-Cookies: KEINE Ausnahme, Einwilligung erforderlich - Social Media Plugins: KEINE Ausnahme, Einwilligung erforderlich legal_refs: - "Art. 5 Abs. 3 Richtlinie 2002/58/EG" - "EuGH Planet49 (C-673/17)" - "ErwGr. 66 Richtlinie 2009/136/EG" keywords: ["Cookie", "Einwilligung", "Art. 5 Abs. 3", "technisch notwendig"] cookie_consent_requirements: id: EPRIV-COOK-002 topic: "Anforderungen an Cookie-Einwilligung" content: | Die Einwilligung nach Art. 5 Abs. 3 ePrivacy muss den DSGVO-Standards entsprechen (Verweis auf Definition in DSGVO): ANFORDERUNGEN: 1. FREIWILLIG - Keine Nachteile bei Ablehnung - Kein "Cookie Wall" (umstritten, nationale Unterschiede) - Gleichwertige Ablehnungsoption 2. INFORMIERT - Klare Information VORHER - Welche Cookies, welcher Zweck - Wer erhaelt Zugriff (Dritte) - Speicherdauer 3. AKTIVE HANDLUNG - Opt-In erforderlich (EuGH Planet49) - Vorausgewaehlte Checkboxen sind UNGUELTIG - Weitersurfen ist KEINE Einwilligung 4. SPEZIFISCH - Getrennte Einwilligung pro Zweck - "Alle akzeptieren" muss gleichwertig zu "Alle ablehnen" sein 5. WIDERRUFBAR - Jederzeitiger Widerruf muss moeglich sein - So einfach wie die Erteilung CONSENT MANAGEMENT PLATFORM (CMP): Professionelle Cookie-Banner muessen: - Alle Kategorien einzeln anwaehlbar machen - "Ablehnen" gleichwertig prominent anbieten - Consent dokumentieren (Nachweis) - Widerruf ermoeglichen legal_refs: - "Art. 5 Abs. 3 i.V.m. Art. 2 lit. f Richtlinie 2002/58/EG" - "DSGVO Art. 4 Nr. 11 (Definition Einwilligung)" - "DSGVO Art. 7 (Bedingungen Einwilligung)" - "EuGH Planet49 (C-673/17)" keywords: ["Einwilligung", "Opt-In", "Cookie-Banner", "CMP"] cookie_categories: id: EPRIV-COOK-003 topic: "Cookie-Kategorien und Einwilligungspflicht" content: | Uebersicht der Cookie-Kategorien und Einwilligungspflicht: KATEGORIE 1: TECHNISCH NOTWENDIG (KEINE Einwilligung) - Session-Cookies fuer Login - Warenkorb-Cookies - Load-Balancer-Cookies - CSRF-Token-Cookies - Cookie-Consent-Cookie - Spracheinstellungs-Cookies - Barrierefreiheits-Cookies KATEGORIE 2: FUNKTIONAL (Einwilligung ERFORDERLICH) - Praeferenz-Cookies (Design, Layout) - Video-Player-Einstellungen - Chat-Widget-Cookies - Formular-Autofill-Cookies KATEGORIE 3: ANALYTICS (Einwilligung ERFORDERLICH) - Google Analytics - Matomo/Piwik - Hotjar, Crazy Egg - Performance-Messung SONDERFALL: Analytics ohne Einwilligung (UMSTRITTEN!) - Matomo ohne Cookies und mit IP-Anonymisierung - Serverseitige Analytics - Aggregierte Statistiken - Nationale Behoerden haben unterschiedliche Meinungen! KATEGORIE 4: MARKETING/WERBUNG (Einwilligung ERFORDERLICH) - Retargeting-Cookies - Google Ads/Meta Pixel - Affiliate-Tracking - Cross-Site-Tracking KATEGORIE 5: SOCIAL MEDIA (Einwilligung ERFORDERLICH) - Facebook Like Button - Twitter Widgets - LinkedIn Plugins - Embedded Content von Dritten legal_refs: - "Art. 5 Abs. 3 Richtlinie 2002/58/EG" - "DSK Orientierungshilfe Telemedien (2022)" - "CNIL Guidelines on Cookies (2020)" keywords: ["Cookie-Kategorien", "Analytics", "Marketing", "Social Media"] local_ai_scenario: id: EPRIV-COOK-004 topic: "Szenario: Lokale KI-Anwendung (On-Premises)" content: | Bei einer lokalen KI-Anwendung wie BreakPilot (On-Premises auf Mac Studio): GRUNDSAETZLICH: 1. KEIN externer Cookie-Zugriff - Alle Verarbeitung lokal auf Schulserver - Keine Cookies an Dritte - Keine Tracking-Pixel 2. TECHNISCH NOTWENDIGE COOKIES - Session-Cookies fuer Login: KEINE Einwilligung - CSRF-Schutz: KEINE Einwilligung - Benutzereinstellungen (Sprache): Grauzone, besser Einwilligung 3. ANALYTICS - Interne Nutzungsstatistiken (serverseitig): Kein ePrivacy-Problem - Falls Cookie-basiert: Einwilligung erforderlich - Empfehlung: Serverseitige Logs statt Cookies EMPFEHLUNG FUER BREAKPILOT: □ Nur Session-Cookies fuer Login verwenden □ Keine Analytics-Cookies □ Keine Third-Party-Einbindungen □ Einfaches Cookie-Banner mit Hinweis auf notwendige Cookies □ Datenschutzerklaerung mit Cookie-Informationen VORTEIL: Durch rein lokale Verarbeitung entfallen die meisten ePrivacy-Probleme automatisch! legal_refs: - "Art. 5 Abs. 3 Richtlinie 2002/58/EG" keywords: ["lokal", "On-Premises", "Session-Cookie"] # ============================================================================= # VERKEHRSDATEN (Art. 6) # ============================================================================= traffic_data: traffic_data_definition: id: EPRIV-TRAF-001 topic: "Was sind Verkehrsdaten?" content: | Verkehrsdaten (Art. 2 lit. b) sind Daten, die zum Zwecke der Weiterleitung einer Nachricht oder zum Zwecke der Fakturierung verarbeitet werden: BEISPIELE: 1. Bei TELEFONIE - Rufnummern (Anrufer und Angerufener) - Datum und Uhrzeit - Dauer des Gespraechs - Art des Dienstes (Sprache, SMS) 2. Bei INTERNET - IP-Adressen (dynamisch und statisch) - Zeitpunkt der Verbindung - Datenvolumen - Geraetekennungen (MAC-Adresse, IMEI) 3. Bei E-MAIL - E-Mail-Adressen (Sender, Empfaenger) - Zeitstempel - Betreffzeile (umstritten - eher Inhaltsdaten) ABGRENZUNG: - INHALTSDATEN: Der eigentliche Inhalt der Kommunikation (strenger Schutz) - VERKEHRSDATEN: Metadaten der Kommunikation (weniger streng) - STANDORTDATEN: Geografische Position (gesondert geregelt) legal_refs: - "Art. 2 lit. b Richtlinie 2002/58/EG" - "Art. 6 Richtlinie 2002/58/EG" keywords: ["Verkehrsdaten", "Metadaten", "IP-Adresse", "Traffic Data"] traffic_data_processing: id: EPRIV-TRAF-002 topic: "Verarbeitung von Verkehrsdaten (Art. 6)" content: | Die Verarbeitung von Verkehrsdaten ist streng geregelt: GRUNDSATZ (Art. 6 Abs. 1): Verkehrsdaten muessen GELOESCHT oder ANONYMISIERT werden, sobald sie fuer die Uebertragung nicht mehr benoetigt werden. AUSNAHMEN: 1. ABRECHNUNG (Art. 6 Abs. 2) - Verarbeitung fuer Rechnungsstellung zulaessig - Nur bis Ende der Frist fuer Rechnungsanfechtung - In Deutschland: 6 Monate 2. VERMARKTUNG VON DIENSTEN (Art. 6 Abs. 3) - Nur mit EINWILLIGUNG des Teilnehmers - Nur fuer Vermarktung von Telekommunikationsdiensten - Jederzeit widerrufbar 3. MEHRWERTDIENSTE (Art. 6 Abs. 4) - Mit Einwilligung fuer elektronische Mehrwertdienste - Nutzer muss informiert werden - Zeitlicher Rahmen definiert WICHTIG FUER ANBIETER: - Technische Vorkehrungen zur automatischen Loeschung - Dokumentation der Loeschfristen - Keine Speicherung "auf Vorrat" ohne Rechtsgrundlage legal_refs: - "Art. 6 Richtlinie 2002/58/EG" - "EuGH Vorratsdatenspeicherung (verbundene Rs. C-293/12 und C-594/12)" keywords: ["Verkehrsdaten", "Loeschung", "Abrechnung"] # ============================================================================= # STANDORTDATEN (Art. 9) # ============================================================================= location_data: location_data_rules: id: EPRIV-LOC-001 topic: "Verarbeitung von Standortdaten (Art. 9)" content: | Standortdaten, die ueber Verkehrsdaten hinausgehen, unterliegen besonderen Regeln nach Art. 9: DEFINITION (Art. 2 lit. c): Daten, die den geografischen Standort des Endgeraets eines Nutzers angeben. GRUNDSATZ: Verarbeitung von Standortdaten NUR zulaessig wenn: - Anonymisiert, ODER - Mit EINWILLIGUNG des Nutzers ANFORDERUNGEN BEI EINWILLIGUNG: 1. VOR der Verarbeitung einzuholen 2. Umfang und Dauer der Verarbeitung angeben 3. Zweck der Verarbeitung angeben 4. Ob Daten an Dritte weitergegeben werden 5. Widerruf jederzeit moeglich PRAKTISCHE ANWENDUNG: - Navigationsdienste: Einwilligung erforderlich - Standortbasierte Werbung: Einwilligung erforderlich - Flottenmanagement: Einwilligung der Fahrer - Find-my-Device: Einwilligung (oft Teil der Nutzungsbedingungen) SONDERFALL: Notrufe Standortdaten duerfen fuer Notrufdienste ohne Einwilligung verarbeitet werden (Art. 10). legal_refs: - "Art. 9 Richtlinie 2002/58/EG" - "Art. 2 lit. c Richtlinie 2002/58/EG" keywords: ["Standortdaten", "Location Data", "GPS", "Geolocation"] # ============================================================================= # UNERBETENE NACHRICHTEN - SPAM (Art. 13) # ============================================================================= spam: email_marketing_rules: id: EPRIV-SPAM-001 topic: "E-Mail-Marketing und Direktwerbung (Art. 13)" content: | Art. 13 regelt die Verwendung elektronischer Kommunikation fuer Direktwerbung: GRUNDSATZ (Opt-In): Die Verwendung von E-Mail, SMS, Fax oder automatischen Anrufsystemen fuer Direktwerbung ist NUR zulaessig mit VORHERIGER EINWILLIGUNG. AUSNAHME - BESTANDSKUNDEN (Art. 13 Abs. 2): E-Mail-Werbung OHNE Einwilligung ist zulaessig wenn ALLE Bedingungen erfuellt: 1. Der Absender hat die E-Mail-Adresse vom Kunden selbst erhalten 2. Im Zusammenhang mit einem KAUF von Waren/Dienstleistungen 3. Die Werbung bezieht sich auf AEHNLICHE Produkte/Dienstleistungen 4. Der Kunde hatte bei Erhebung die Moeglichkeit zu widersprechen 5. Bei JEDER weiteren Nachricht: Widerspruchsmoeglichkeit (Opt-Out) WICHTIG: Die Ausnahme ist ENG auszulegen! - Newsletter: Einwilligung erforderlich (kein "aehnliches Produkt") - Werbung fuer Dritte: Einwilligung erforderlich - B2B-Kaltakquise per E-Mail: Umstritten, nationale Unterschiede TELEFON-WERBUNG: - Automatische Anrufsysteme: Immer Einwilligung - Manuelle Anrufe: Nationale Regelung (in D: Einwilligung erforderlich) ABSENDERKENNUNG: Die Identitaet des Absenders darf NICHT verschleiert werden! Eine gueltige Antwortadresse muss vorhanden sein. legal_refs: - "Art. 13 Richtlinie 2002/58/EG" - "§ 7 UWG (Deutschland)" - "EuGH StWL Staedtische Werke Lauf (C-102/20)" keywords: ["E-Mail-Marketing", "Spam", "Direktwerbung", "Newsletter", "Opt-In"] double_opt_in: id: EPRIV-SPAM-002 topic: "Double Opt-In fuer Newsletter" content: | Das Double Opt-In Verfahren ist Best Practice fuer Newsletter-Anmeldungen: ABLAUF: 1. Nutzer gibt E-Mail-Adresse ein (Single Opt-In) 2. System sendet Bestaetigungs-E-Mail mit Link 3. Nutzer klickt Link zur Bestaetigung (Double Opt-In) 4. Erst dann: Eintrag in Newsletter-Liste VORTEILE: - Nachweis der Einwilligung - Schutz vor Missbrauch (fremde E-Mail-Adressen) - Reduziert Spam-Beschwerden - Bessere Zustellraten ANFORDERUNGEN AN BESTAETIGUNGS-E-MAIL: - KEINE Werbung enthalten (nur Bestaetigung) - Klarer Hinweis auf den Zweck - Bestaetigung muss aktiv erfolgen - Protokollierung: IP, Zeitstempel, User-Agent RECHTLICHE EINORDNUNG: - Die Bestaetigungs-E-Mail selbst ist KEINE Werbung - Aber: Nur EINE Erinnerung zulaessig - Nach Nicht-Bestaetigung: Adresse loeschen SPEICHERDAUER NACHWEIS: - Einwilligungsnachweis aufbewahren - Mindestens bis Widerruf + Verjaehrungsfrist - In Deutschland: 3 Jahre empfohlen legal_refs: - "BGH I ZR 164/09 (Double Opt-In)" - "Art. 7 Abs. 1 DSGVO (Nachweis)" keywords: ["Double Opt-In", "Newsletter", "Bestaetigung"] # ============================================================================= # KOMMUNIKATIONSGEHEIMNIS (Art. 5) # ============================================================================= confidentiality: communication_secrecy: id: EPRIV-CONF-001 topic: "Vertraulichkeit der Kommunikation (Art. 5 Abs. 1)" content: | Art. 5 Abs. 1 schuetzt die Vertraulichkeit elektronischer Kommunikation: GRUNDSATZ: Die Mitgliedstaaten stellen die Vertraulichkeit der mit oeffentlichen Kommunikationsnetzen uebertragenen Nachrichten sicher. VERBOTEN IST: - Abhoeren von Nachrichten - Anzapfen von Leitungen - Speicherung von Kommunikation durch Unbefugte - Jede andere Art des Abfangens AUSNAHMEN: - Mit Einwilligung der betroffenen Nutzer - Gesetzlich erlaubte Ueberwachung (Strafverfolgung) - Technische Speicherung fuer Uebertragungszwecke PRAKTISCHE BEDEUTUNG: 1. ARBEITGEBER - Abhoeren von Mitarbeiter-E-Mails problematisch - Private Nutzung verboten → mehr Spielraum - Betriebsvereinbarung empfohlen 2. E-MAIL-PROVIDER - Automatische Spam-Filter: Zulaessig (technisch notwendig) - Werbefinanzierte Analyse: Einwilligung erforderlich 3. MESSENGER-DIENSTE - Ende-zu-Ende-Verschluesselung schuetzt Vertraulichkeit - "Client-Side Scanning" (geplant) hochumstritten legal_refs: - "Art. 5 Abs. 1 Richtlinie 2002/58/EG" - "Art. 10 GG (Fernmeldegeheimnis)" - "§ 88 TKG (Deutschland)" keywords: ["Kommunikationsgeheimnis", "Vertraulichkeit", "Abhoeren"] # ============================================================================= # NATIONALE UMSETZUNG (DEUTSCHLAND) # ============================================================================= national_implementation: germany_ttdsg: id: EPRIV-NAT-001 topic: "Umsetzung in Deutschland: TTDSG" content: | In Deutschland wurde die ePrivacy-Richtlinie durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt. TTDSG (seit 01.12.2021): § 25 TTDSG - COOKIES UND AEHNLICHE TECHNOLOGIEN: Entspricht Art. 5 Abs. 3 ePrivacy-Richtlinie - Einwilligung erforderlich fuer nicht-notwendige Cookies - Ausnahme: Technisch notwendige Speicherung/Zugriff § 26 TTDSG - ANERKANNTE DIENSTE (PIMS): Personal Information Management Services - Nutzer kann zentral Einstellungen verwalten - Websites muessen PIMS-Signale beachten - Noch kaum praktische Umsetzung WEITERE RELEVANTE GESETZE: TKG (Telekommunikationsgesetz): - § 88 TKG: Fernmeldegeheimnis - § 96ff TKG: Verkehrsdaten UWG (Gesetz gegen unlauteren Wettbewerb): - § 7 UWG: Unzumutbare Belaestigungen - Spam-Verbot, Telefon-Werbung SANKTIONEN (§ 28 TTDSG): - Verstoss gegen § 25: Bussgeld bis 300.000 EUR - Verstoss gegen § 26: Bussgeld bis 50.000 EUR legal_refs: - "TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)" - "§ 25 TTDSG" - "§ 7 UWG" keywords: ["TTDSG", "Deutschland", "§ 25", "PIMS", "UWG"] dsk_guidance: id: EPRIV-NAT-002 topic: "Orientierungshilfe der DSK zu Telemedien" content: | Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe fuer Anbieter von Telemedien veroeffentlicht: KERNAUSSAGEN: 1. EINWILLIGUNG - Muss VOR dem Setzen von Cookies eingeholt werden - Vorausgewaehlte Checkboxen sind unwirksam - "Nur notwendige akzeptieren" muss gleichwertig sein 2. TECHNISCH NOTWENDIG - Enger Auslegung - Session-Cookies: Ja - Persistente Praeferenz-Cookies: Nein 3. INFORMATIONSPFLICHTEN - Zweck jedes Cookies angeben - Speicherdauer angeben - Dritte benennen 4. DOKUMENTATION - Einwilligungen dokumentieren - Mindestens: Zeitstempel, Umfang, Version 5. WIDERRUF - Jederzeit moeglich - So einfach wie Erteilung - Link im Footer oder Cookie-Banner PRAXISTIPP: Die DSK-Orientierungshilfe ist nicht rechtlich bindend, wird aber von Aufsichtsbehoerden als Massstab herangezogen. legal_refs: - "DSK Orientierungshilfe fuer Anbieter von Telemedien (2022)" - "DSK Beschluss zu Tracking (2021)" keywords: ["DSK", "Orientierungshilfe", "Telemedien"] # ============================================================================= # EPRIVACY-VERORDNUNG (AUSBLICK) # ============================================================================= future: eprivacy_regulation: id: EPRIV-FUT-001 topic: "ePrivacy-Verordnung (ePVO) - Ausblick" content: | Die ePrivacy-Verordnung (ePVO) soll die Richtlinie 2002/58/EG ersetzen: STATUS (Stand 2026): - Kommissionsvorschlag: Januar 2017 - Rat: Kein Konsens erreicht - Mehrere Kompromissvorschlaege gescheitert - Inkrafttreten: Weiterhin unklar GEPLANTE AENDERUNGEN: 1. VERORDNUNG STATT RICHTLINIE - Direkt anwendbar in allen Mitgliedstaaten - Keine Umsetzung erforderlich - Einheitliche Regeln in der EU 2. ERWEITERTER ANWENDUNGSBEREICH - Auch OTT-Dienste (WhatsApp, Zoom, etc.) - Auch Maschine-zu-Maschine-Kommunikation (IoT) 3. COOKIE-WALLS - Verschiedene Positionen - Evtl. unter bestimmten Bedingungen zulaessig 4. BROWSER-EINSTELLUNGEN - "Privacy by Default" im Browser - Zentrale Einwilligungsverwaltung 5. HARMONISIERTE SANKTIONEN - DSGVO-aehnliche Bussgelder BIS ZUR EPVO: Die Richtlinie 2002/58/EG und nationale Umsetzungen bleiben in Kraft! legal_refs: - "COM(2017) 10 final (Kommissionsvorschlag)" - "Verschiedene Ratsdokumente" keywords: ["ePVO", "ePrivacy-Verordnung", "Zukunft"] # ============================================================================= # PRAKTISCHE CHECKLISTEN # ============================================================================= checklists: website_checklist: id: EPRIV-CHECK-001 topic: "ePrivacy-Checkliste fuer Websites" content: | Checkliste fuer Website-Betreiber: COOKIES: □ Cookie-Audit durchgefuehrt (alle Cookies identifiziert) □ Kategorisierung (technisch notwendig vs. einwilligungspflichtig) □ Cookie-Banner implementiert □ Opt-In vor Setzen von nicht-notwendigen Cookies □ "Ablehnen" gleichwertig zu "Akzeptieren" □ Granulare Auswahlmoeglichkeit (Kategorien) □ Speicherdauer dokumentiert □ Einwilligungen protokolliert □ Widerruf jederzeit moeglich DATENSCHUTZERKLAERUNG: □ Cookie-Informationen enthalten □ Alle Cookies mit Zweck aufgelistet □ Drittanbieter benannt □ Speicherdauer angegeben E-MAIL-MARKETING: □ Double Opt-In implementiert □ Abmelde-Link in jeder E-Mail □ Einwilligungen dokumentiert □ Bei Bestandskunden: Widerspruchsmoeglichkeit TRACKING/ANALYTICS: □ Nur mit Einwilligung aktiv □ Oder: Einwilligungsfreie Alternative (z.B. serverseitig) □ IP-Anonymisierung aktiviert □ Datenverarbeitung dokumentiert legal_refs: - "Art. 5 Abs. 3 Richtlinie 2002/58/EG" - "§ 25 TTDSG" keywords: ["Checkliste", "Website", "Cookie-Banner"] local_app_checklist: id: EPRIV-CHECK-002 topic: "ePrivacy-Checkliste fuer lokale Anwendungen" content: | Checkliste fuer lokale Anwendungen (On-Premises): GRUNDSAETZE: □ Alle Daten bleiben lokal □ Keine Cloud-Anbindung fuer Nutzerdaten □ Keine Third-Party-Tracker COOKIES/LOKALE SPEICHERUNG: □ Nur Session-Cookies fuer Login □ Keine persistenten Tracking-Cookies □ Keine Local Storage fuer Tracking □ Kein Fingerprinting ANALYTICS: □ Serverseitige Logs statt Cookies □ Keine personenbezogenen Daten in Logs □ Oder: Einwilligung fuer Cookie-Analytics KOMMUNIKATION: □ Keine automatisierten Werbe-E-Mails ohne Einwilligung □ Abmelde-Moeglichkeit bei Benachrichtigungen □ Push-Benachrichtigungen nur mit Zustimmung DOKUMENTATION: □ Datenschutzerklaerung aktuell □ Cookie-Informationen (falls Cookies) □ Technische Dokumentation der Datenverarbeitung VORTEIL LOKALER VERARBEITUNG: Die meisten ePrivacy-Anforderungen entfallen bei rein lokaler Verarbeitung ohne externe Dienste! legal_refs: - "Art. 5 Abs. 3 Richtlinie 2002/58/EG" keywords: ["lokal", "On-Premises", "Checkliste"] # ============================================================================= # KEYWORDS FUER RAG RETRIEVAL # ============================================================================= rag_keywords: primary: - "ePrivacy" - "E-Privacy" - "2002/58/EG" - "Cookie" - "Cookie-Richtlinie" - "Cookie-Banner" - "Cookie-Consent" - "Einwilligung" - "Opt-In" - "Tracking" - "TTDSG" - "§ 25 TTDSG" - "Art. 5 Abs. 3" - "Verkehrsdaten" - "Standortdaten" - "Spam" - "E-Mail-Marketing" - "Newsletter" - "Direktwerbung" secondary: - "Planet49" - "Kommunikationsgeheimnis" - "Telekommunikation" - "OTT-Dienste" - "Analytics" - "Google Analytics" - "Matomo" - "Retargeting" - "Double Opt-In" - "Cookie-Wall" - "PIMS" - "DSK" - "Orientierungshilfe" - "ePVO" - "ePrivacy-Verordnung" - "technisch notwendig" - "Session-Cookie" - "Local Storage" - "Fingerprinting" - "Third-Party" - "Cross-Site-Tracking"