Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

ePrivacy KI-Compliance — Einwilligung für Outbound-KI-Messaging

Zuletzt aktualisiert: 8. April 2026 · 8 Min. Lesedauer · Überprüft vom Audact-Compliance-Team · Richtlinie 2002/58/EG

Die ePrivacy-Richtlinie regelt das Senden elektronischer Kommunikation. Sie gilt für jede KI-generierte ausgehende Nachricht — E-Mail, SMS, WhatsApp oder Sprachanruf — unabhängig davon, ob ein Mensch oder eine KI sie verfasst hat.

Was ist die ePrivacy-Richtlinie?

Die ePrivacy-Richtlinie (2002/58/EG) ist das primäre EU-Gesetz für den Datenschutz in der elektronischen Kommunikation. Sie ist lex specialis zur DSGVO — wo ePrivacy eine spezifische Regel hat, hat sie Vorrang vor der DSGVO.

Praktisch: ePrivacy regelt das Senden der Kommunikation und den Zugriff auf das Gerät. DSGVO regelt die anschließende Verarbeitung gesammelter personenbezogener Daten. Sie erfordern separate Compliance — DSGVO-Einwilligung erfüllt nicht automatisch ePrivacy-Anforderungen und umgekehrt.

ePrivacy-Richtlinie vs. ePrivacy-Verordnung: Was sich für KI ändert

Die Richtlinie von 2002 (in der Fassung von 2009) ist ein Rechtsinstrument, das in jedem Mitgliedstaat unterschiedlich umgesetzt wird, weshalb deutsches TDDDG, niederländisches Telecommunicatiewet und britisches PECR oberflächlich ähnlich aussehen, aber im Detail abweichen. Die vorgeschlagene ePrivacy-Verordnung hätte das Flickenwerk durch einen einzigen direkt anwendbaren Text ersetzt und die Regeln zu Cookies, Machine-to-Machine-Traffic und Metadatenverarbeitung verschärft. Nach acht Jahren Stillstand zog die Kommission die Akte am 11. Februar 2025 offiziell zurück.

Für KI-Deployer ist die praktische Konsequenz, dass sich zunächst nichts ändert sofort: Die Richtlinie bleibt in Kraft, und dasselbe opt-in-gesteuerte Regime gilt weiterhin für ausgehendes KI-Messaging. Aber das im November 2025 vorgeschlagene Digital Omnibus Package enthält gezielte ePrivacy-Änderungen — insbesondere zu Cookie-Einwilligungsmüdigkeit und berechtigten Interessen für Analytics — die voraussichtlich 2027 kommen. KI-Anbieter sollten ihre Einwilligungserfassung heute so gestalten, dass die Rechtsgrundlage ohne Neuerfassung der Einwilligung umgemappt werden kann.

Schlüssel-Articles für KI-Deployer

Article 13 — Unerwünschte Kommunikation

Erfordert vorherige Opt-in-Einwilligung vor dem Senden von Direktmarketing über automatisierte Anrufsysteme, E-Mail, SMS, Fax oder elektronisches Messaging. Dies ist technologieneutral: eine KI, die eine Marketing-E-Mail sendet, wird identisch behandelt wie ein Mensch, der eine sendet.

KI-Chatbot, der eine WhatsApp-Nachricht initiiert → Einwilligung erforderlich
KI, die Marketing-E-Mails sendet → Einwilligung erforderlich
KI-generierte SMS-Kampagnen → Einwilligung erforderlich
Ausgehende KI-Sprachanrufe → Einwilligung erforderlich

Article 13(2) — Soft-Opt-in-Ausnahme

Eine Ausnahme, die Marketing ohne neue Einwilligung erlaubt, wenn: (a) die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung erhalten wurde, (b) Marketing für ähnliche Produkte/Dienstleistungen erfolgt und (c) ein einfaches Opt-out bei der Erhebung und in jeder Nachricht bereitgestellt wird.

Article 5(3) — Cookies und Gerätezugriff

Erfordert Einwilligung vor dem Speichern oder Zugreifen auf Informationen auf einem Endgerät eines Nutzers. Für KI-Chatbots gilt dies, wenn der Chatbot Tracking-Cookies platziert — nicht für das Gespräch selbst.

Cookie-Einwilligung und KI-Tracking unter ePrivacy

Article 5(3) ist technologieneutral: er gilt für jede Speicherung von oder jeden Zugriff auf Informationen auf einem Endgerät eines Nutzers. Das umfasst klassische HTTP-Cookies, aber auch Browser-Local-Storage, Fingerprinting-Bibliotheken und die SDKs, die KI-Personalisierungs-Engines in Websites und mobile Apps einbetten. Wenn die Daten anschließend in ein Empfehlungsmodell oder eine verhaltensbasierte KI fließen, muss die Rechtsgrundlage für das erste Lesen oder Schreiben immer noch eine gültige DSGVO-Einwilligung sein — erfasst, bevor das Skript ausgeführt wird. CNIL, der Garante und die niederländische AP haben alle bestätigt, dass 'alles ablehnen' genauso einfach sein muss wie 'alle akzeptieren'.

Für KI-Voice- oder Chat-Agenten ist die Cookie-Frage normalerweise auf die umgebende Web-Präsenz beschränkt — aber KI-gestützte Web-Push-, In-App-Messaging- und On-Device-Speech-Modelle lösen 5(3) aus, sobald sie Status zwischenspeichern. Audact behandelt jede Einwilligungsentscheidung als prüfbares Ereignis, was Kunden ermöglicht, die Cookie-Gültigkeit zu beweisen, auch wenn sich der Frontend-Stack ändert.

B2B-Ausnahmen unter ePrivacy für KI-Kommunikation

B2B-Behandlung ist der fragmentierteste Teil von ePrivacy. Die Richtlinie erlaubt Mitgliedstaaten, Direktmarketing an juristische Personen auf Opt-out-Basis zuzulassen, schreibt es aber nicht vor. Das britische PECR befreit Unternehmensnehmer vom strikten Opt-in für Live-Anrufe und Faxe (aber nicht für SMS oder E-Mails an einzelne Mitarbeiter). Frankreich erlaubt ähnlich Opt-out-Marketing an professionelle Adressen, sofern die Nachricht mit dem Job des Empfängers zusammenhängt. Deutschland nimmt die entgegengesetzte Haltung ein: §7 UWG erfordert vorherige ausdrückliche Einwilligung sogar für B2B-E-Mails, mit sehr engen Ausnahmen.

Für KI-Outbound-Systeme ist die operative Regel einfach: ein einzelnes globales 'B2B-Ausnahme'-Flag ist per Design nicht konform. Die Policy Engine muss das Land des Empfängers, den Kanal und die Art der Nachricht vor jedem Versand auflösen und diese Entscheidung für den Regulator protokollieren. Audact liefert diese Per-Jurisdiktion-Regeln out of the box.

B2B vs. B2C

B2C erfordert immer Opt-in. B2B-Behandlung variiert je Mitgliedstaat: Einige (z.B. UK, Frankreich) erlauben die Kontaktaufnahme mit Unternehmens-E-Mail-Adressen auf Opt-out-Basis für geschäftsbezogene Produkte. Andere (z.B. Deutschland) wenden strengere Regeln an. Audacts Policy Engine behandelt diese Per-Country-Unterschiede automatisch.

Durchsetzung & Strafen

Durchgesetzt von nationalen Behörden (typischerweise Datenschutzbehörden). Da ePrivacy eine Richtlinie ist — keine Verordnung — variieren Bußgelder je Mitgliedstaat:

Deutschland (TDDDG): Bis zu €300.000
UK (PECR): Bußgelder nach PECR, mit höheren Strafen möglich, wo Verstöße sich mit DSGVO überschneiden
Niederlande: Niederländische AP warnte im April 2025 50 Organisationen wegen Cookie-Verstößen
Frankreich (CNIL): Strenge Durchsetzung, blockiert Cookies vor Einwilligung, verbietet Dark Patterns

Der EDSA hat bestätigt, dass ePrivacy-Verstöße bei DSGVO-Bußgeldern berücksichtigt werden können, wenn dieselbe Behörde beide durchsetzt.

ePrivacy-Verordnung — Was ist passiert?

Die eigenständige ePrivacy-Verordnung wurde offiziell zurückgezogen von der Europäischen Kommission am 11. Februar 2025 nach jahrelangen gescheiterten Verhandlungen. Stattdessen sind gezielte ePrivacy-Änderungen Teil des Digital Omnibus Package (vorgeschlagen November 2025), derzeit in Verhandlung mit politischer Einigung erwartet Ende 2026.

Wie Audact hilft

Einwilligungsverifikation: Policy Engine validiert Opt-in-Status vor jeder ausgehenden KI-Kommunikation
Per-Country-Regeln: Jurisdiktionsspezifische Einwilligungs- und Opt-out-Anforderungen automatisch durchgesetzt
Evidence-Protokollierung: Jede Einwilligungsprüfung wird mit kryptografischem Nachweis für Regulator-Audits protokolliert
Soft-Opt-in-Validierung: Automatische Verifikation, dass Article-13(2)-Bedingungen erfüllt sind, bevor Kommunikation zugelassen wird

Häufig gestellte Fragen

Gilt ePrivacy für KI-generierte Nachrichten?

Ja. ePrivacy ist technologieneutral — eine KI, die eine Marketing-E-Mail, SMS oder WhatsApp-Nachricht sendet, wird identisch behandelt wie ein Mensch, der eine sendet.

Erfüllt DSGVO-Einwilligung ePrivacy?

Nein. ePrivacy ist lex specialis und erfordert separate Compliance. DSGVO-Einwilligung erfüllt nicht automatisch ePrivacys vorherige Opt-in-Anforderung.

Was ist mit B2B-Outbound?

B2C erfordert immer Opt-in. B2B-Regeln variieren je Mitgliedstaat — einige erlauben Opt-out für Unternehmensadressen, andere (z.B. Deutschland) wenden strengere Regeln an.

Kommt die ePrivacy-Verordnung?

Die eigenständige Verordnung wurde im Februar 2025 zurückgezogen. Gezielte ePrivacy-Änderungen sind jetzt Teil des Digital Omnibus Package in Verhandlung.

EU-AI-Compliance-Gesetze vergleichen

Gesetz	Deadline	Wer	Strafe
EU AI Act Art. 50	2. Aug. 2026	Alle KI-Deployer in der EU	€7,5 Mio. / 1,5 % Umsatz
NL Telecomwet	1. Jul. 2026	Outbound-Marketing an NL-Verbraucher	€900.000 / 10 % Umsatz
DSGVO	In Kraft	Jeder Verarbeiter von EU-Personendaten	€20 Mio. / 4 % Umsatz
DSA	In Kraft (Feb. 2024)	Intermediäre & VLOPs	6 % globaler Umsatz
ePrivacy	In Kraft	Absender elektronischer Kommunikation	Variiert je Mitgliedstaat

ePrivacy KI-Compliance für elektronische Kommunikation