Die ePrivacy-Verordnung sollte das große Modernisierungsprojekt für den Datenschutz im Bereich der elektronischen Kommunikation werden. Sie sollte die veraltete ePrivacy-Richtlinie ablösen, die Regeln zur digitalen Kommunikation an die Datenschutz-Grundverordnung (DS-GVO) anpassen und für längst überfällige Klarheit sorgen.
Doch nach jahrelangen Verhandlungen, politischen Blockaden und tiefgreifenden Meinungsverschiedenheiten steht fest: Die ePrivacy-Verordnung wird nicht kommen. Stattdessen plant die EU-Kommission ein neues Gesetzespaket, das sogenannte „Digital Package”.
1. Was die ePrivacy-Verordnung ursprünglich erreichen wollte
Die neue Verordnung sollte das europäische Datenschutzrecht im Bereich der elektronischen Kommunikation modernisieren und an die DS-GVO anpassen.
Es ging um drei große Bereiche:
Vertraulichkeit der elektronischen Kommunikation
Egal ob per Messenger, E-Mail oder Sprachübertragung: Alle Kommunikationsinhalte sollten besonders geschützt werden. Das hätte auch für Telefonanbieter und digitale Kommunikationsdienste gelten können.
Verarbeitung von Kommunikationsdaten und Metadaten
Neben den eigentlichen Inhalten sollten auch die dazugehörigen Metadaten, wie:
- wer mit wem kommuniziert
- Zeitpunkt und Dauer
- Standortdaten
- Geräteinformationen
verarbeitet werde, weil diese Daten sehr sensibel sind, sollte man sie nur in bestimmten Fällen verarbeiten dürfen.
Regeln für Cookies und Trackingtechnologien
Ein wichtiger Teil der Verordnung war das Speichern und Auslesen von Informationen auf Endgeräten wie Cookies, Pixeln, lokalen Speichern und Fingerprinting.
Es sollte ein einfacher, moderner Rahmen für Tracking, Werbetechnologien und Nutzereinwilligungen geschaffen werden.
2. Das wäre ein großer Schritt gewesen: OTT-Dienste wären endlich mit drin gewesen
Eine wichtige Neuerung wäre die Einbeziehung von Over-the-Top-Kommunikationsdiensten gewesen, zum Beispiel:
- Signal
- Skype
- Facebook Messenger
Diese Dienste ersetzten nach und nach klassische SMS und Telefonie. Für sie gab es bisher nicht dieselben Regeln zum Datenschutz. Die ePrivacy-Verordnung hätte das geändert. Sie hätte gleiche Anforderungen für alle Kommunikationsformen geschaffen.
Für Unternehmen, die Messenger-Dienste im Kundenkontakt einsetzen, hätte dies weitreichende Konsequenzen gehabt.
3. Warum die ePrivacy-Verordnung nach 8 Jahren gescheitert ist
Der Weg der Verordnung war kompliziert und voller politischer Stolpersteine.
- Januar 2017: erster Entwurf der EU-Kommission
- Mai 2018: geplanter Start zeitgleich mit der DSGVO
- Oktober 2017: das EU-Parlament verabschiedet seine Position
- Februar 2021: der Rat der EU einigt sich nach jahrelangen Blockaden endlich ebenfalls
Danach scheitern die Trilog-Verhandlungen zwischen Rat und Parlament.
Die Differenzen waren einfach zu groß: Das Parlament wollte sehr strenge Datenschutzregeln. Mehrere Mitgliedstaaten und der Rat wollten wirtschaftsfreundlichere und flexiblere Regelungen.
Diese Spaltung ließ sich nicht überwinden.
4. Das Aus im Jahr 2025 und was jetzt passiert
Die EU-Kommission hat 2025 entschieden, die ePrivacy-Verordnung aus dem Gesetzgebungsverfahren zurückgezogen.
Die Kommission plant ein neues Gesetz: das Digital Package.
Was ist das „Digital Package“?
Es ist ein Artikelgesetz, also ein Gesetz, das mehrere bestehende Gesetze gleichzeitig ändern oder ergänzen kann.
Das Ziel ist:
- die vielen parallelen digitalen Rechtsakte der EU zu harmonisieren
- Überschneidungen zu reduzieren
- einen kohärenten Rechtsrahmen zu schaffen
- Datentransfer und digitale Kommunikation einfacher regelbar zu machen
Das Digital Package soll also nicht nur Lücken schließen, sondern den gesamten Rechtsrahmen modernisieren. Dies ist die aktuelle Ankündigung, der Rechtsrahmen ist noch offen und es es gilt zu beobachten, wie ein zukünftiger konkreter Rahmen aussieht.
Der BfDI hofft, Datenschutzthemen zu retten
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich klar positioniert: Er fordert, dass die datenschutzrechtlichen Aspekte der gescheiterten ePrivacy-Verordnung, insbesondere zu Tracking, IoT-Daten und Kommunikationsgeheimnissen – durch das Digital Package aufgegriffen und integriert werden.
Die BfDI erwartet zudem, dass sich die Bundesregierung hierfür aktiv einsetzt.
Was davon am Ende tatsächlich umgesetzt wird, bleibt abzuwarten.
5. Was bedeutet das alles für Unternehmen?
Auch ohne die ePrivacy-Verordnung bleiben viele der angesprochenen Themen relevant.
Tracking & Cookies bleiben ein Brennpunkt
Die DS-GVO gilt weiter und die Aufsichtsbehörden setzen sie immer strenger durch.
Auch ohne neue Verordnung müssen Unternehmen die aktuelle Gesetzeslage erfüllen und daher prüfen:
- ist jedes Tracking wirklich DS-GVO-konform?
- wie wird Einwilligung eingeholt?
- sind Cookie-Banner rechtssicher?
- sind Alternativen wie serverseitiges Tracking sinnvoll?
Messenger & OTT-Dienste rücken stärker in den Fokus
Auch ohne ePrivacy wird es Druck geben, die Nutzung von Messengern rechtlich sauber zu gestalten. Besonders im Bereich B2C.
IoT-Anwendungen brauchen mehr Transparenz
Viele Regeln der geplanten aber nun eingestellten ePrivacy-Verordnung wurden über andere Gesetze in Teilen eingeführt bspw. durch den AI Act, Data Act oder Cyber Resilience Act.
Unternehmen müssen handeln und prüfen in wie Fern Sie Handlungsbedarf haben um eine Rechtssicherheit zu erlangen.
Fazit
Die ePrivacy-Verordnung sollte das Datenschutzrecht zur elektronischen Kommunikation verbessern. Doch das Gesetzgebungsverfahren ist eingestellt worden. Die EU-Kommission will mit dem Digital Package die vielen digitalen Rechtsakte vereinheitlichen. Für Unternehmen heißt das: Auch ohne Verordnung sind die Themen wichtig und weiter zu beobachten. Die Aufsichtsbehörden werden sich weiterhin um Tracking, Metadatenverarbeitung und Messenger-Dienste kümmern. Wie genau der neue europäische Rechtsrahmen aussehen wird, entscheidet sich erst, wenn das Digital Package ausgearbeitet wird. Die weitere Entwicklung bleibt spannend. Unternehmen müssen aufmerksam bleiben und flexibel handeln.
