Die Richtlinie 2002/58/EG oder Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie oder umgangssprachlich Cookie-Richtlinie) regelt seit 2002 verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation. Seit ihrer Novelle 2009 schränkt die Richtlinie die Verwendung von „Informationen, die im Endgerät eines Teilnehmers gespeichert werden“ (Cookies) ein.
Die ePrivacy-Richtlinie ist nicht zu verwechseln mit der aktuell im Rechtsetzungsverfahren befindlichen Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung). Sie sollte gemeinsam mit der Datenschutz-Grundverordnung die Richtlinie 95/46/EG und die ePrivacy-Richtlinie ablösen.
Infolge der Aufhebung der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten durch den Europäischen Gerichtshof am 8. April 2014 ist die Richtlinie 2002/58/EG für die Frage bedeutsam, unter welchen Umständen eine Vorratsdatenspeicherung zukünftig zulässig sein kann. Nach Art. 15 Richtlinie 2002/58/EG können die Mitgliedstaaten der Europäischen Union unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus bestimmten Gründen während einer begrenzten Zeit aufbewahrt werden.
Durch die Richtlinie sollen einerseits die Grundrechte und die Privatsphäre der Einwohner der Europäischen Union geschützt, anderseits auch der freie Daten- und Warenverkehr zwischen den EU-Mitgliedsstaaten gewährleistet werden. Die Regelungen der Richtlinie müssen im Lichte der Datenschutz-Grundverordnung betrachtet werden.
Durch die Richtlinie werden die EU-Mitgliedsstaaten verpflichtet, telekommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Außerdem enthält die Richtlinie Vorgaben zu Einzelgebührennachweisen, zu den Möglichkeiten der Anzeige und Unterdrückung von Telefonnummern, zu automatischen Anrufweiterschaltungen und bezüglich gebührenfreier und widerruflicher Aufnahme in Teilnehmerverzeichnisse.
Ein Cookiebanner auf einer Internetseite ist nur dann notwendig, wenn tatsächlich eine Einwilligung erforderlich ist und die Präferenz zum Tracking nicht automatisch übermittelt („Do Not Track“-Einstellung) wurde. Die übermittelte Präferenz muss berücksichtigt werden.
Eine gängige fehlerhafte Auslegung des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG führt dazu, dass viele Organisationen und Personen, die Internetseiten betreiben, durch teils großflächige und unverständliche Cookiebanner, teils mit zu einer Annahme aller Cookies verleitender Gestaltung (sog. Dark Patterns), versuchen, von nutzenden Personen eine Einwilligung dafür zu erhalten, Cookies auf dem Endgerät speichern zu dürfen:
Artikel 5 Absatz 3 der Richtlinie lautet:
Die Pflicht der Mitgliedstaaten wurde in verschiedenen Ländern unterschiedlich umgesetzt, bei der Auslegung von Recht der Europäischen Union ist jedoch nicht nur Wortlaut und verfolgtes Ziel zu berücksichtigen, sondern auch der Kontext der Vorschrift und das gesamte andere Unionsrecht. Dies führt dazu, dass eine Einwilligung seit dem 25. Mai 2018 an den Artikeln 4 Nummer 11, 6 Absatz 1 Buchstabe a und 7 Datenschutz-Grundverordnung gemessen werden muss.
Die Einwilligung muss insofern in informierter Weise und unmissverständlich für bestimmte Zwecke abgegeben werden und jederzeit so einfach, wie sie abgegeben wurde, widerrufen werden können. Insbesondere die Informiertheit einer Einwilligung kann bei der Verwendung von Cookiebannern regelmäßig bestritten werden. Die einwilligende Person muss tatsächlich wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt. Eine so umfassende Information ist regelmäßig in einem Banner, insbesondere einem Banner, welcher die Hauptfunktion der Website überdeckt und somit die nutzende Person zum „wegklicken“ verleitet, nicht gegeben. Das Nichteinhalten dieser Regeln bedeutet, dass die Einwilligung nicht rechtswirksam erklärt wurde (Artikel 7 Absatz 2 Datenschutz-Grundverordnung) und die erhobenen Daten damit ohne Rechtsgrundlage und somit rechtswidrig erhoben wurden.
Über diese Regeln hinaus muss die Verwendung von Cookies auch ein ausgeübtes „Widerspruchsrecht mittels automatisierter Verfahren […], bei denen technische Spezifikationen verwendet werden“ (Do Not Track; Artikel 21 Absatz 5 Datenschutz-Grundverordnung) berücksichtigen.
Dies gilt jedoch nicht für Cookies, welche für den Betrieb einer Internetseite zwingend erforderlich sind. Dies sind zum Beispiel Cookies zur Speicherung eines Warenkorbes in einem Online-Shop, eines Logins in einem Content-Management-System oder von Anzeigeeinstellungen wie Schriftgröße oder Kontrast im Rahmen der Barrierefreiheit. Diese können auch ohne Zustimmung der betroffenen Person auf deren Endgerät gespeichert werden. Dennoch muss in den Datenschutzinformationen auf die Verwendung dieser Cookies hingewiesen werden.
Die Richtlinie 2002/58/EG musste wie alle Richtlinien der Europäischen Union in nationales Recht umgesetzt werden. Die Republik Österreich hat die Richtlinie mit dem Telekommunikationsgesetz 2003 (BGBl. I Nr. 70/2003) fristgerecht umgesetzt. Der Bundesrepublik Deutschland gelang die fristgerechte Umsetzung nicht. Die Europäische Kommission leitete daraufhin ein Vertragsverletzungsverfahren gegen Deutschland ein. Mitte 2004 transformier
