Die Richtlinie 2002/58/EG oder Datenschutzrichtlinie fĂŒr elektronische Kommunikation (auch: ePrivacy-Richtlinie oder umgangssprachlich Cookie-Richtlinie) regelt seit 2002 verbindliche Mindestvorgaben fĂŒr den Datenschutz in der Telekommunikation. Seit ihrer Novelle 2009 schrĂ€nkt die Richtlinie die Verwendung von âInformationen, die im EndgerĂ€t eines Teilnehmers gespeichert werdenâ (Cookies) ein.
Die ePrivacy-Richtlinie ist nicht zu verwechseln mit der aktuell im Rechtsetzungsverfahren befindlichen Verordnung ĂŒber PrivatsphĂ€re und elektronische Kommunikation (ePrivacy-Verordnung). Sie sollte gemeinsam mit der Datenschutz-Grundverordnung die Richtlinie 95/46/EG und die ePrivacy-Richtlinie ablösen.
Infolge der Aufhebung der Richtlinie 2006/24/EG ĂŒber die Vorratsspeicherung von Daten durch den EuropĂ€ischen Gerichtshof am 8. April 2014 ist die Richtlinie 2002/58/EG fĂŒr die Frage bedeutsam, unter welchen UmstĂ€nden eine Vorratsdatenspeicherung zukĂŒnftig zulĂ€ssig sein kann. Nach Art. 15 Richtlinie 2002/58/EG können die Mitgliedstaaten der EuropĂ€ischen Union unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus bestimmten GrĂŒnden wĂ€hrend einer begrenzten Zeit aufbewahrt werden.
Durch die Richtlinie sollen einerseits die Grundrechte und die PrivatsphĂ€re der Einwohner der EuropĂ€ischen Union geschĂŒtzt, anderseits auch der freie Daten- und Warenverkehr zwischen den EU-Mitgliedsstaaten gewĂ€hrleistet werden. Die Regelungen der Richtlinie mĂŒssen im Lichte der Datenschutz-Grundverordnung betrachtet werden.
Durch die Richtlinie werden die EU-Mitgliedsstaaten verpflichtet, telekommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise das Mithören von TelefongesprĂ€chen und das Abfangen von E-Mails zu verbieten. AuĂerdem enthĂ€lt die Richtlinie Vorgaben zu EinzelgebĂŒhrennachweisen, zu den Möglichkeiten der Anzeige und UnterdrĂŒckung von Telefonnummern, zu automatischen Anrufweiterschaltungen und bezĂŒglich gebĂŒhrenfreier und widerruflicher Aufnahme in Teilnehmerverzeichnisse.
Ein Cookiebanner auf einer Internetseite ist nur dann notwendig, wenn tatsĂ€chlich eine Einwilligung erforderlich ist und die PrĂ€ferenz zum Tracking nicht automatisch ĂŒbermittelt (âDo Not Trackâ-Einstellung) wurde. Die ĂŒbermittelte PrĂ€ferenz muss berĂŒcksichtigt werden.
Eine gĂ€ngige fehlerhafte Auslegung des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG fĂŒhrt dazu, dass viele Organisationen und Personen, die Internetseiten betreiben, durch teils groĂflĂ€chige und unverstĂ€ndliche Cookiebanner, teils mit zu einer Annahme aller Cookies verleitender Gestaltung (sog. Dark Patterns), versuchen, von nutzenden Personen eine Einwilligung dafĂŒr zu erhalten, Cookies auf dem EndgerĂ€t speichern zu dĂŒrfen:
Artikel 5 Absatz 3 der Richtlinie lautet:
Die Pflicht der Mitgliedstaaten wurde in verschiedenen LĂ€ndern unterschiedlich umgesetzt, bei der Auslegung von Recht der EuropĂ€ischen Union ist jedoch nicht nur Wortlaut und verfolgtes Ziel zu berĂŒcksichtigen, sondern auch der Kontext der Vorschrift und das gesamte andere Unionsrecht. Dies fĂŒhrt dazu, dass eine Einwilligung seit dem 25. Mai 2018 an den Artikeln 4 Nummer 11, 6 Absatz 1 Buchstabe a und 7 Datenschutz-Grundverordnung gemessen werden muss.
Die Einwilligung muss insofern in informierter Weise und unmissverstĂ€ndlich fĂŒr bestimmte Zwecke abgegeben werden und jederzeit so einfach, wie sie abgegeben wurde, widerrufen werden können. Insbesondere die Informiertheit einer Einwilligung kann bei der Verwendung von Cookiebannern regelmĂ€Ăig bestritten werden. Die einwilligende Person muss tatsĂ€chlich wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt. Eine so umfassende Information ist regelmĂ€Ăig in einem Banner, insbesondere einem Banner, welcher die Hauptfunktion der Website ĂŒberdeckt und somit die nutzende Person zum âwegklickenâ verleitet, nicht gegeben. Das Nichteinhalten dieser Regeln bedeutet, dass die Einwilligung nicht rechtswirksam erklĂ€rt wurde (Artikel 7 Absatz 2 Datenschutz-Grundverordnung) und die erhobenen Daten damit ohne Rechtsgrundlage und somit rechtswidrig erhoben wurden.
Ăber diese Regeln hinaus muss die Verwendung von Cookies auch ein ausgeĂŒbtes âWiderspruchsrecht mittels automatisierter Verfahren [âŠ], bei denen technische Spezifikationen verwendet werdenâ (Do Not Track; Artikel 21 Absatz 5 Datenschutz-Grundverordnung) berĂŒcksichtigen.
Dies gilt jedoch nicht fĂŒr Cookies, welche fĂŒr den Betrieb einer Internetseite zwingend erforderlich sind. Dies sind zum Beispiel Cookies zur Speicherung eines Warenkorbes in einem Online-Shop, eines Logins in einem Content-Management-System oder von Anzeigeeinstellungen wie SchriftgröĂe oder Kontrast im Rahmen der Barrierefreiheit. Diese können auch ohne Zustimmung der betroffenen Person auf deren EndgerĂ€t gespeichert werden. Dennoch muss in den Datenschutzinformationen auf die Verwendung dieser Cookies hingewiesen werden.
Die Richtlinie 2002/58/EG musste wie alle Richtlinien der EuropĂ€ischen Union in nationales Recht umgesetzt werden. Die Republik Ăsterreich hat die Richtlinie mit dem Telekommunikationsgesetz 2003 (BGBl. I Nr. 70/2003) fristgerecht umgesetzt. Der Bundesrepublik Deutschland gelang die fristgerechte Umsetzung nicht. Die EuropĂ€ische Kommission leitete daraufhin ein Vertragsverletzungsverfahren gegen Deutschland ein. Mitte 2004 transfo