Nach acht Jahren hat die EU-Kommission das Gesetzgebungsverfahren zur ePrivacy-Verordnung offiziell beendet. Damit ist eines der langwierigsten und kontroversesten Digitalprojekte der EU abgeschlossen. Doch was bedeutet dies für den Datenschutz, das Tracking, die Cookies und die digitale Kommunikation in Europa?

Warum die ePrivacyVerordnung ursprünglich kommen sollte

Die ePrivacy-Verordnung war als Ergänzung zur DSGVO geplant und sollte die seit 2002 geltende ePrivacy-Richtlinie („CookieRichtlinie“) ablösen. Die Richtlinie war veraltet, schwer durchsetzbar und technologisch überholt.

Die wichtigsten Ziele der geplanten Verordnung waren unter anderem die Stärkung der Vertraulichkeit elektronischer Kommunikation, um sicherzustellen, dass moderne Kommunikationsformen wie Messenger, VoIP, Webmail und IoTGeräte denselben Schutz genießen wie klassische Telekommunikation. Ein weiteres Ziel war die Schaffung einheitlicher Regeln für Cookies und Tracking, um die Flut an Cookie-Bannern zu reduzieren. Künftig sollte klar geregelt sein, wann Tracking erlaubt ist und wann nicht – und das EU-weit. Des Weiteren verfolgte die ePrivacyVerordnung das Ziel, die DSGVO zu ergänzen und Lücken zu schließen, etwa beim Speichern und Auslesen von Informationen auf Endgeräten (Cookies, Fingerprinting, SensorDaten). Nicht zuletzt sollten auch neue Technologien wie WLAN-Tracking, Smart-Home-Geräte oder Metadaten-Analysen reguliert werden.

Warum die EU-Kommission das Projekt zurückgezogen hat

Nach acht Jahren Verhandlungen hat die Kommission das Vorhaben 2025 offiziell aufgegeben. Die Gründe dafür sind vielfältig:

1. Politische Blockaden im Rat der EU
   Die Mitgliedstaaten konnten sich über zentrale Punkte – insbesondere Tracking, Cookies und Kommunikationsmetadaten – nie einigen. Einige Länder wollten strenge Regeln, andere fürchteten Nachteile für ihre Digitalwirtschaft.
2. Konflikte mit der DSGVO und anderen Digitalgesetzen
   Es entstanden Überschneidungen zwischen der DSGVO, dem Digital Services Act (DSA), dem Data Act und der KI-Regulierung. Die ePrivacy-Verordnung passte nicht mehr gut in das neue digitale Gesetzesgefüge.
3. Massive LobbyInteressen
   Werbebranche, Medienhäuser und Tech-Unternehmen warnten vor Umsatzeinbußen durch strenge Tracking-Regeln. Dies führte zu jahrelangen Verzögerungen.
4. Veralteter Entwurf
   Der ursprüngliche Vorschlag von 2017 war technologisch überholt. Eine komplette Neufassung hätte erneut Jahre gedauert.
5. Strategische Neuausrichtung der neuen EU-Kommission
   Die neue Kommission hat alte Projekte gestrichen, um sich auf neue Prioritäten zu konzentrieren.

Was bedeutet der Rückzug? Auswirkungen und Folgen

Der Rückzug bedeutet nicht, dass es keine Regeln mehr gibt, aber es bleiben Lücken und Unsicherheiten.

1. Die ePrivacyRichtlinie von 2002 bleibt bestehen
   Die alte Richtlinie bleibt in Kraft – inklusive der Pflicht, ein Cookie-Banner zu verwenden. Maßgeblich sind weiterhin nationale Gesetze wie das TTDSG in Deutschland.
2. Die DSGVO gewinnt weiter an Bedeutung
   Viele Fragen, die die ePrivacy-Verordnung klären sollte, müssen nun über die DSGVO – oft über Gerichte – gelöst werden.
3. Rechtsunsicherheit bleibt bestehen
   Unternehmen müssen weiterhin mit einem Flickenteppich aus nationalen Regeln leben. Einheitliche EU-Standards fehlen.
4. Keine Entlastung bei CookieBannern
   Die erhoffte Reduzierung der Bannerflut bleibt aus. Nutzer:innen müssen weiterhin ständig Einwilligungen erteilen.
5. Neue Technologien bleiben unzureichend reguliert
   Bereiche wie das IoT-Tracking, die Smart-Home-Überwachung oder die Metadaten-Analyse sind nur teilweise geregelt.
6. Die EU könnte später einen neuen Anlauf starten
   Mehrere Datenschutzbehörden, darunter der BfDI, halten eine moderne ePrivacy-Regulierung weiterhin für notwendig.

Fazit

Der Rückzug der ePrivacy-Verordnung ist ein bedeutender Schritt in der europäischen Digitalpolitik. Was ursprünglich als großer Wurf für mehr Privatsphäre geplant war, scheiterte letztlich an politischen Blockaden, wirtschaftlichen Interessen und einem veralteten Entwurf.

Für Nutzer:innen bedeutet das: Die Cookie-Banner bleiben, das Tracking bleibt komplex reguliert und viele Fragen der digitalen Privatsphäre bleiben ungelöst.

Für Unternehmen heißt es, weiterhin mit der DSGVO und nationalen Gesetzen zu arbeiten und aufmerksam zu verfolgen, ob die EU in Zukunft einen neuen Anlauf unternimmt.