ePrivacy-Verordnung: Gescheitert nach 8 Jahren (Das gilt jetzt!)

Acht Jahre lang wurde über sie verhandelt, gestritten und spekuliert: die ePrivacy-Verordnung.

Sie sollte die veraltete ePrivacy-Richtlinie von 2002 ersetzen und strenge Regeln für Cookies, Tracking und elektronische Kommunikation einführen.

Doch dazu wird es nicht kommen.

Am 12. Februar 2025 hat die EU-Kommission das Gesetzesvorhaben in ihrem Arbeitsprogramm für 2025 offiziell zurückgezogen.

In diesem Artikel erkläre ich dir, warum die Verordnung gescheitert ist, welche Regeln jetzt gelten und was du als Website-Betreiber wissen musst.

1. Warum die ePrivacy-Verordnung gescheitert ist

Die EU-Kommission hat den Rückzug mit zwei Hauptgründen begründet:

1. Keine Einigung in Sicht: Trotz jahrelanger Verhandlungen konnten sich EU-Parlament und Rat nicht auf einen gemeinsamen Text einigen. Die Positionen lagen zu weit auseinander.
2. Technologisch und rechtlich veraltet: Der ursprüngliche Entwurf stammte aus 2017. Seitdem hat sich die digitale Welt massiv verändert. Mit dem Digital Markets Act (DMA), Digital Services Act (DSA) und der DSGVO gibt es bereits umfangreiche Regelwerke.

2. Was war die ePrivacy-Verordnung?

Die ePrivacy-Verordnung sollte als sogenannte lex specialis (spezielles Gesetz) die DSGVO im Bereich der elektronischen Kommunikation ergänzen und präzisieren.

Sie sollte die seit 2002 geltende ePrivacy-Richtlinie ersetzen, die 2009 um die sogenannte „Cookie-Richtlinie" ergänzt wurde.

Die wichtigsten geplanten Regelungen waren:

• Strikte Opt-In-Pflicht für Cookies: Für alle Cookies und Tracking-Methoden (außer technisch notwendige) sollte eine ausdrückliche Einwilligung erforderlich sein.
• Vertraulichkeit elektronischer Kommunikation: E-Mails, Messenger-Nachrichten und Anrufe sollten ohne Einwilligung nicht überwacht oder gespeichert werden dürfen.
• Browser als Gatekeeper: Browser sollten Datenschutz-Einstellungen zentral verwalten können (wurde später gestrichen).
• Verbot von Cookie-Walls: Websites sollten den Zugang nicht von der Zustimmung zu Tracking abhängig machen dürfen.

3. Welche Regeln gelten jetzt?

Mit dem Rückzug der ePrivacy-Verordnung bleibt die bisherige Rechtslage bestehen. Für Website-Betreiber in Deutschland gelten weiterhin:

3.1 DSGVO (Datenschutz-Grundverordnung)

Die DSGVO ist seit Mai 2018 das zentrale Datenschutzgesetz in der EU. Sie regelt den Umgang mit personenbezogenen Daten und gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten.

Für Cookies und Tracking bedeutet das:

• Wenn Cookies personenbezogene Daten verarbeiten (was bei den meisten Tracking-Cookies der Fall ist), braucht man eine Rechtsgrundlage nach Art. 6 DSGVO.
• Für Werbe- und Analyse-Cookies ist in der Regel eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erforderlich.

3.2 ePrivacy-Richtlinie (2002/2009)

Die alte ePrivacy-Richtlinie gilt weiterhin. Sie wurde in Deutschland durch das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, ehemals TTDSG) in nationales Recht umgesetzt.

§ 25 TDDDG regelt speziell den Zugriff auf Endgeräte (also das Setzen von Cookies):

• Einwilligung erforderlich: Das Speichern von Informationen auf Endgeräten oder der Zugriff darauf erfordert grundsätzlich eine Einwilligung.
• Ausnahmen: Technisch notwendige Cookies (z. B. Warenkorb, Login) und Cookies zur Reichweitenmessung unter bestimmten Voraussetzungen.

3.3 Was bedeutet das praktisch?

Für dich als Website-Betreiber ändert sich erstmal nichts:

• Cookie-Banner bleiben Pflicht: Du brauchst weiterhin ein Cookie-Consent-Tool wie Borlabs Cookie, Real Cookie Banner oder ein anderes Plugin.
• Google Analytics nur mit Einwilligung: Die Nutzung von Google Analytics und anderen Tracking-Tools erfordert nach wie vor eine Einwilligung.
• Datenschutzerklärung aktuell halten: Informiere transparent über eingesetzte Cookies und Tracking-Technologien.

4. Die komplette ePrivacy-Timeline (2002-2025)

Um das Scheitern der ePrivacy-Verordnung zu verstehen, lohnt sich ein Blick auf die gesamte Geschichte. Die folgende Timeline zeigt alle wichtigen Stationen:

2025: Das Ende

19. November: Die EU-Kommission stellt das Digital Package vor, das die Cookie-Regeln künftig in die DSGVO integrieren soll.

12. Februar: Die EU-Kommission zieht den Gesetzesvorschlag zur ePrivacy-Verordnung in ihrem Arbeitsprogramm für 2025 offiziell zurück. Begründung: Keine Einigung erwartbar, Entwurf technologisch und rechtlich veraltet.

2021-2024: Festgefahrene Verhandlungen

2021-2024: Die Trilog-Verhandlungen zwischen EU-Parlament, Rat und Kommission kommen nicht voran. Die Positionen liegen zu weit auseinander. Während das Parlament strengere Datenschutzregeln fordert, setzt sich der Rat für wirtschaftsfreundlichere Regelungen ein.

10. Februar 2021: Der Rat der EU einigt sich nach vier Jahren endlich auf eine gemeinsame Position (sog. „allgemeine Ausrichtung"). Damit können die Trilog-Verhandlungen beginnen.

2019-2020: Stillstand

2020: Die COVID-19-Pandemie verzögert die Verhandlungen weiter. Der Fokus der EU-Gesetzgebung liegt auf anderen Themen.

25. Mai 2020: Die EU-Kommission legt gemäß Art. 97 DSGVO einen Bericht zur Bewertung der DSGVO vor. Die ePrivacy-Verordnung wird darin als wichtige Ergänzung genannt.

1. Juli 2019: Finnland übernimmt die EU-Ratspräsidentschaft, kann aber keine Einigung im Rat erzielen.

23.-26. Mai 2019: Bei der Europawahl 2019 werden 705 neue Abgeordnete in das Europäische Parlament gewählt. Die Verhandlungen zur ePrivacy-Verordnung werden dadurch weiter verzögert.

1. Januar 2019: Rumänien übernimmt die EU-Ratspräsidentschaft, macht aber keine nennenswerten Fortschritte.

2018: Lobbyschlacht und Verzögerungen

23. November: Die österreichische Ratspräsidentschaft veröffentlicht einen Fortschrittsbericht zum Stand der Beratungen. Darin werden Bedenken geäußert, dass die ePrivacy-Verordnung in ihrer jetzigen Form Innovationen ausbremsen könnte.

10. Juli: Die österreichische Ratspräsidentschaft legt eine überarbeitete Fassung vor. Diese schlägt unter anderem vor, Artikel 10 komplett zu streichen, damit Browser-Hersteller von der Pflicht befreit werden, die technische Umsetzung für Cookie-Einwilligungen bereitzustellen.

10. Juli: Die Bundesregierung nimmt Stellung (siehe Seite 68) und spricht sich für eine Übergangsfrist von zwei Jahren nach Inkrafttreten aus.

1. Juli: Österreich übernimmt die EU-Ratspräsidentschaft. Es folgen zahlreiche Treffen mit Lobbyisten, die den Prozess weiter verzögern.

12. Juni: Eine aktualisierte Fassung mit kleineren Änderungen erscheint. Streitpunkte bleiben die Artikel 6, 8 und 10.

25. Mai: Die DSGVO wird anwendbar – ohne die ursprünglich geplante ePrivacy-Verordnung.

18. Mai: Die bulgarische Ratspräsidentschaft veröffentlicht einen Sachstandsbericht, in dem Artikel 8 und 10 in Frage gestellt werden.

22. März: Eine aktualisierte Textfassung schlägt vor, dass Endnutzer bei Erstinstallation einer Software über Privatsphäreeinstellungen unterrichtet werden müssen.

11. Januar: Die bulgarische Ratspräsidentschaft veröffentlicht einen Sachstandsbericht mit möglichen Änderungen, um „einen besseren Kompromiss zwischen Datenschutz und Innovationsanreizen zu schaffen".

1. Januar: Bulgarien übernimmt die EU-Ratspräsidentschaft.

2017: Der Start

5. Dezember: Ein aktualisierter Entwurf wird von der estnischen Ratspräsidentschaft vorgelegt.

17. November: Die estnische Ratspräsidentschaft legt einen Fortschrittsbericht vor. Fazit: „Bei den meisten Punkten steht noch viel Arbeit bevor."

20. Oktober: Das Europäische Parlament verabschiedet mit 318 zu 280 Stimmen einen überarbeiteten Gesetzesentwurf. Darin enthalten: das Verbot von Cookie-Walls und andere verbraucherfreundliche Änderungen.

1. Juli: Estland übernimmt die EU-Ratspräsidentschaft.

9. Juni: Der LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) veröffentlicht Änderungsvorschläge zum Entwurf.

10. Januar: Die EU-Kommission veröffentlicht den ersten Entwurf für die ePrivacy-Verordnung. Geplant ist, dass sie zusammen mit der DSGVO am 25. Mai 2018 anwendbar wird.

2016: Die Vorgeschichte

4. August: Die Ergebnisse der öffentlichen Konsultation werden vorgestellt.

April-Juli: Die EU-Kommission führt eine öffentliche Konsultation zur Überarbeitung der ePrivacy-Richtlinie durch.

2002-2009: Die Ursprünge

25. November 2009: Die sogenannte Cookie-Richtlinie ergänzt die ePrivacy-Richtlinie. Mit ihr ist die Speicherung von Cookies nur noch mit Nutzereinwilligung zulässig – allerdings nicht ausdrücklich.

12. Juli 2002: Die ePrivacy-Richtlinie („Datenschutzrichtlinie für elektronische Kommunikation"; 2002/58/EG) tritt in Kraft.

5. Das Digital Package: Was kommt stattdessen?

Statt der ePrivacy-Verordnung plant die EU-Kommission nun das sogenannte Digital Package (auch „Digital Omnibus" genannt).

Am 19. November 2025 hat die Kommission einen ersten Entwurf vorgestellt. Die wichtigsten geplanten Änderungen:

4.1 Cookie-Regeln wandern in die DSGVO

Die Regeln zum Zugriff auf Endgeräte (Cookies, Tracking) sollen künftig nicht mehr in der ePrivacy-Richtlinie, sondern direkt in der DSGVO geregelt werden.

Das würde für mehr Rechtssicherheit sorgen, da nur noch ein Gesetz maßgeblich wäre.

4.2 Ein-Klick-Zustimmung für Cookies

Die EU-Kommission verspricht eine „benutzerfreundlichere" Gestaltung von Cookie-Bannern. Konkret ist von „Ein-Klick-Zustimmung" und „Ein-Klick-Ablehnung" die Rede.

Das könnte bedeuten, dass „Alles ablehnen" genauso prominent wie „Alles akzeptieren" angezeigt werden muss.

4.3 Vereinfachung der Digitalgesetze

Das Digital Package soll insgesamt die Mehrgleisigkeiten in der europäischen Digitalgesetzgebung beseitigen. DSGVO, DSA, DMA und andere Regelwerke sollen besser aufeinander abgestimmt werden.

6. Was Website-Betreiber jetzt tun sollten

Auch wenn die ePrivacy-Verordnung gescheitert ist, solltest du das Thema Datenschutz nicht auf die leichte Schulter nehmen. Hier sind meine Empfehlungen:

5.1 Cookie-Consent-Lösung prüfen

Stelle sicher, dass dein Cookie-Banner den aktuellen Anforderungen entspricht:

• Echte Wahlmöglichkeit (Ablehnen muss möglich sein)
• Keine vorausgewählten Checkboxen
• Keine Cookie-Walls (Zugang nur bei Zustimmung)
• Transparente Information über eingesetzte Cookies

Empfehlenswerte WordPress-Plugins findest du in meinem Vergleich der besten Cookie-Plugins für WordPress.

5.2 Datenschutzerklärung aktualisieren

Prüfe, ob deine Datenschutzerklärung noch aktuell ist. Sie sollte alle eingesetzten Tools und Dienste transparent auflisten.

5.3 Tracking minimieren

Überlege, ob du wirklich alle Tracking-Tools brauchst. Je weniger Cookies du einsetzt, desto einfacher wird die Compliance:

• Matomo statt Google Analytics: Selbst gehostetes Matomo mit IP-Anonymisierung kann unter bestimmten Voraussetzungen ohne Einwilligung genutzt werden.
• Weniger Drittanbieter-Skripte: Jedes externe Skript (YouTube, Google Maps, Social-Media-Buttons) bringt Datenschutz-Risiken mit sich.

5.4 Entwicklungen beobachten

Das Digital Package wird die Cookie-Regeln voraussichtlich verändern. Bleib auf dem Laufenden und passe deine Website bei Bedarf an.

7. Fazit

Die ePrivacy-Verordnung ist nach acht Jahren Verhandlungen offiziell gescheitert. Das bedeutet:

• Kurzfristig: Es ändert sich nichts. Die bisherigen Regeln (DSGVO, ePrivacy-Richtlinie, TDDDG) gelten weiter. Cookie-Banner bleiben Pflicht.
• Mittelfristig: Das Digital Package könnte die Cookie-Regeln vereinfachen und in die DSGVO integrieren. Das wäre ein Fortschritt.
• Langfristig: Die Diskussion um Privatsphäre im Internet geht weiter. Tracking und personalisierte Werbung werden auch in Zukunft reguliert werden.

Für dich als Website-Betreiber bedeutet das: Bleib bei deiner bestehenden Cookie-Consent-Lösung, halte deine Datenschutzerklärung aktuell und beobachte die weiteren Entwicklungen.

Ich werde diesen Artikel aktualisieren, sobald es Neuigkeiten zum Digital Package oder anderen relevanten Entwicklungen gibt.