ePrivacy: Hello, Goodbye?

Prof. Dr. Alexander Golland Schriftleitung Datenschutz-Berater

Als die ePrivacy-Richtlinie im Jahr 2002 in Kraft trat, war ein Teil meiner Studenten noch nicht geboren. 21 Jahre – das ist für ein Gesetz, welches mehr oder weniger dem Datenschutzrecht zugeordnet werden kann, eine Ewigkeit. Zum Vergleich: Das Bundesdatenschutzgesetz wurde nach seinem Inkrafttreten 1977 grundlegend in den Jahren 1990, 2001 und 2018 reformiert, hatte also trotz des gleichbleibenden Namens nie länger als 17 Jahre Bestand. Die Datenschutzrichtlinie galt immerhin von 1995 bis 2018 und ist mit diesen 23 Jahren (derzeitiger) Spitzenreiter.

In puncto Seniorität wird die ePrivacy-Richtlinie die Datenschutzrichtlinie absehbar überholen: Die Europäische Kommission teilt in ihrem Arbeitsprogramm 2025 etwas versteckt (wir müssen in Annex IV die Nr. 29 suchen) mit, dass sie den Vorschlag für eine ePrivacy-Verordnung zurückzieht. Das Gesetzgebungsverfahren ist damit erfolglos beendet. Ursprünglich sollte die ePrivacy-Verordnung zeitgleich mit der DSGVO anwendbar werden, sodass sowohl Datenschutzrichtlinie als auch ePrivacy-Richtlinie im Mai 2018 abgelöst werden. Die Kommission sieht nun jedoch keine Möglichkeit einer Einigung mehr, und so verschwindet die Verordnung nach grob einem Jahrzehnt des intensiven rechtspolitischen Diskurses wieder in der Versenkung. Hello, Goodbye, liebe ePrivacy-Verordnung!

Für die betagte ePrivacy-Richtlinie gilt hingegen: Totgeglaubte leben länger. Sie wird uns wohl mindestens weitere fünf Jahre begleiten, und mit ihr die ganzen liebgewonnenen Friktionen mit dem allgemeinen Datenschutzrecht. Cookies auslesen? Nationales Recht, kein One-Stop-Shop, kein Rückgriff auf die DSGVO – allein § 25 TDDDG gilt! Mittels Cookies ausgelesene Daten weiterverarbeiten? Nur DSGVO! Diese künstliche Aufspaltung eines einheitlichen Lebenssachverhalts ist Ihnen wohlbekannt und bleibt uns für einige Zeit erhalten.

Übrigens: Auch § 7 UWG, der Werbung unter Verwendung von Fernkommunikationsmitteln regelt, basiert auf der ePrivacy-Richtlinie. Hinsichtlich des anwendbaren Rechts stellt sich dieselbe Problematik wie bei den durch das TDDDG regulierten Tracking-Technologien. Dieser – vielfach unbeachtete – Konflikt, der m. E. nach denselben Kollisionsregeln aufzulösen ist, ist kein Kleinod aus dem akademischen Elfenbeinturm, sondern von erheblicher wirtschaftlicher Bedeutung, da dessen Auflösung über die Möglichkeiten von Direktwerbung und auch über aufsichtsbehördliche Zuständigkeiten bestimmt. Hierzu hatte das BVerwG kürzlich entschieden (Urt. v. 29.1.2025 – 6 C 3.23; zum Redaktionsschluss liegen die Urteilsgründe leider noch nicht vor).

Dank der ePrivacy-Richtlinie bleibt das TDDDG jedenfalls länger als erwartet anwendbar. Mit dabei: Die auf Grundlage von § 26 TDDDG erlassene Einwilligungsverwaltungsverordnung. Der deutsche Gesetzgeber hielt es für eine gute Idee, Personal Information Management Systeme (PIMS) in einem nationalen Alleingang zu regeln. Dabei hat er nicht nur die Internationalität des Datenverkehrs ignoriert, sondern auch, dass eine vereinfachte Einwilligungsverwaltung, wie sie mit PIMS intendiert und prinzipiell sogar wünschenswert ist, nicht mit den unionsrechtlichen Anforderungen an die Einwilligung in Einklang zu bringen ist. Nachdem der Bundesrat dem vielkritisierten Vorhaben Ende 2024 zugestimmt hat, wird die Verordnung ab dem 1. April 2025 gelten.

Mit anderen Worten: Eine neue Figur aus dem Schreckenskabinett des Gesetzgebers betritt die Bühne. You say goodbye and I say hello, hello, hello.

Ihr

Alexander Golland