ePrivacy-KI-Compliance für elektronische Kommunikation
Zuletzt aktualisiert: 8. April 2026 · 8 Min. Lesezeit · Richtlinie 2002/58/EG
Die ePrivacy-Richtlinie regelt den Akt des Versendens elektronischer Kommunikation. Sie gilt für jede KI-generierte Outbound-Nachricht — E-Mail, SMS, WhatsApp oder Sprachanruf — unabhängig davon, ob ein Mensch oder eine KI sie verfasst hat.
Was ist die ePrivacy-Richtlinie?
Die ePrivacy-Richtlinie (2002/58/EG) ist das zentrale EU-Gesetz zum Schutz der Privatsphäre in der elektronischen Kommunikation. Sie ist Lex specialis zur DSGVO — wo ePrivacy eine spezielle Regel enthält, geht sie der DSGVO vor.
Praktisch: ePrivacy regelt das Versenden der Kommunikation und den Zugriff auf das Gerät. Die DSGVO regelt die anschließende Verarbeitung der erhobenen personenbezogenen Daten. Beide erfordern eine gesonderte Compliance — eine DSGVO-Einwilligung erfüllt die ePrivacy-Anforderungen nicht automatisch und umgekehrt.
ePrivacy-Richtlinie vs. ePrivacy-Verordnung: Was sich für KI ändert
Die Richtlinie von 2002 (geändert 2009) ist ein Rechtsinstrument, das in jedem Mitgliedstaat unterschiedlich umgesetzt wird — deshalb sehen das deutsche TDDDG, die niederländische Telecommunicatiewet und das britische PECR oberflächlich ähnlich aus, weichen im Detail aber voneinander ab. Die vorgeschlagene ePrivacy-Verordnung hätte diesen Flickenteppich durch einen einzigen unmittelbar anwendbaren Text ersetzt und die Regeln zu Cookies, Maschine-zu-Maschine-Verkehr und Metadatenverarbeitung verschärft. Nach acht Jahren Stillstand zog die Kommission das Dossier am 11. Februar 2025 förmlich zurück.
Für KI-Betreiber ist die praktische Folge, dass sich unmittelbar nichts ändert: Die Richtlinie bleibt in Kraft, und dasselbe opt-in-getriebene Regime gilt weiterhin für Outbound-KI-Nachrichten. Doch das im November 2025 vorgeschlagene Digital-Omnibus-Paket enthält gezielte ePrivacy-Änderungen — insbesondere zu Cookie-Consent-Müdigkeit und Grundlagen des berechtigten Interesses für Analysen —, die voraussichtlich 2027 in Kraft treten. KI-Anbieter sollten ihre Einwilligungserfassung heute so gestalten, dass die Rechtsgrundlage neu zugeordnet werden kann, ohne die Einwilligung erneut einzuholen.
Zentrale Artikel für KI-Betreiber
Artikel 13 — Unerbetene Kommunikation
Erfordert eine vorherige Opt-in-Einwilligung, bevor Direktwerbung über automatisierte Anrufsysteme, E-Mail, SMS, Fax oder jede elektronische Nachricht versendet wird. Das ist technologieneutral: Eine KI, die eine Marketing-E-Mail sendet, wird genauso behandelt wie ein Mensch.
- KI-Chatbot, der eine WhatsApp-Nachricht initiiert → Einwilligung erforderlich
- KI, die Marketing-E-Mails versendet → Einwilligung erforderlich
- KI-generierte SMS-Kampagnen → Einwilligung erforderlich
- Outbound-KI-Sprachanrufe → Einwilligung erforderlich
Artikel 13 Abs. 2 — Soft-Opt-in-Ausnahme
Eine Ausnahme, die Werbung ohne erneute Einwilligung erlaubt, wenn: (a) die E-Mail-Adresse im Rahmen eines Verkaufs oder einer Dienstleistung erlangt wurde, (b) die Werbung ähnliche Produkte/Dienstleistungen betrifft und (c) bei der Erhebung und in jeder Nachricht ein einfaches Opt-out angeboten wird.
Artikel 5 Abs. 3 — Cookies und Gerätezugriff
Erfordert eine Einwilligung, bevor Informationen auf dem Endgerät eines Nutzers gespeichert oder abgerufen werden. Bei KI-Chatbots gilt dies, wenn der Chatbot Tracking-Cookies setzt — nicht für das Gespräch selbst.
B2B-Ausnahmen unter ePrivacy für KI-Kommunikation
Die B2B-Behandlung ist der am stärksten fragmentierte Teil von ePrivacy. Die Richtlinie erlaubt den Mitgliedstaaten, Direktwerbung gegenüber juristischen Personen auf Opt-out-Basis zuzulassen, verlangt dies aber nicht. Das britische PECR nimmt Unternehmensanschlüsse vom strengen Opt-in für Live-Anrufe und Faxe aus (nicht jedoch für SMS oder E-Mails an einzelne Mitarbeiter). Frankreich erlaubt ebenfalls Opt-out-Werbung an berufliche Adressen, sofern die Nachricht die Tätigkeit des Empfängers betrifft. Deutschland nimmt die gegenteilige Haltung ein: § 7 UWG verlangt selbst für B2B-E-Mails eine vorherige ausdrückliche Einwilligung, mit sehr engen Ausnahmen.
Für KI-Outbound-Systeme ist die operative Regel einfach: Ein einziges globales „B2B-Ausnahme“-Flag ist per Konstruktion nicht konform. Die Policy-Engine muss vor jedem Versand das Land des Empfängers, den Kanal und die Art der Nachricht auflösen und diese Entscheidung für die Aufsichtsbehörde protokollieren. Audact liefert diese rechtsraumspezifischen Regeln ab Werk mit.
B2B vs. B2C
B2C erfordert immer ein Opt-in. Die B2B-Behandlung variiert je Mitgliedstaat: Manche (z. B. Großbritannien, Frankreich) erlauben die Kontaktaufnahme zu Unternehmens-E-Mail-Adressen auf Opt-out-Basis für geschäftsbezogene Produkte. Andere (z. B. Deutschland) wenden strengere Regeln an. Die Policy-Engine von Audact handhabt diese länderspezifischen Unterschiede automatisch.
Durchsetzung & Sanktionen
Durchgesetzt durch nationale Behörden (üblicherweise Datenschutzbehörden). Da ePrivacy eine Richtlinie und keine Verordnung ist, variieren die Bußgelder je Mitgliedstaat:
- Deutschland (TDDDG): Bis zu 300.000 EUR
- Großbritannien (PECR): Bußgelder nach PECR, mit höheren Sanktionen, wenn Verstöße mit der DSGVO überlappen
- Niederlande: Die niederländische Datenschutzbehörde verwarnte im April 2025 50 Organisationen wegen Cookie-Verstößen
- Frankreich (CNIL): Strenge Durchsetzung, blockiert Cookies vor der Einwilligung, untersagt Dark Patterns
Der EDSA hat bestätigt, dass ePrivacy-Verstöße in DSGVO-Bußgelder einfließen können, wenn dieselbe Behörde beide durchsetzt.
ePrivacy-Verordnung — was ist passiert?
Die eigenständige ePrivacy-Verordnung wurde nach Jahren gescheiterter Verhandlungen am 11. Februar 2025 von der Europäischen Kommission förmlich zurückgezogen. Stattdessen sind gezielte ePrivacy-Änderungen nun Teil des Digital-Omnibus-Pakets (vorgeschlagen im November 2025), das derzeit verhandelt wird, mit einer politischen Einigung, die für Ende 2026 erwartet wird.
Wie Audact hilft
- Consent-Gating: Die Policy-Engine prüft den erfassten Opt-in-Status, bevor eine Outbound-KI-Kommunikation versendet wird
- Länderspezifische Regeln: Rechtsraumspezifische Einwilligungs- und Opt-out-Anforderungen werden automatisch durchgesetzt
- Nachweis-Protokollierung: Jede Einwilligungsprüfung wird mit kryptografischem Nachweis für Aufsichtsprüfungen protokolliert
- Soft-Opt-in-Validierung: Automatische Prüfung, dass die Bedingungen von Artikel 13 Abs. 2 erfüllt sind, bevor Kommunikation zugelassen wird
Häufig gestellte Fragen
Gilt ePrivacy auch für KI-generierte Nachrichten?
Ja. ePrivacy ist technologieneutral — eine KI, die eine Marketing-E-Mail, SMS oder WhatsApp-Nachricht sendet, wird genauso behandelt wie ein Mensch.
Genügt eine DSGVO-Einwilligung für ePrivacy?
Nein. ePrivacy ist Lex specialis und erfordert eine gesonderte Compliance. Eine DSGVO-Einwilligung erfüllt die vorherige Opt-in-Pflicht von ePrivacy nicht automatisch.
Wie sieht es bei B2B-Outbound aus?
B2C erfordert immer ein Opt-in. Die B2B-Regeln variieren je Mitgliedstaat — manche erlauben ein Opt-out für Unternehmensadressen, andere (z. B. Deutschland) wenden strengere Regeln an.
Kommt die ePrivacy-Verordnung?
Die eigenständige Verordnung wurde im Februar 2025 zurückgezogen. Gezielte ePrivacy-Änderungen sind nun Teil des Digital-Omnibus-Pakets, das verhandelt wird.
EU-KI-Compliance-Gesetze vergleichen
| Gesetz | Frist | Wer | Sanktion |
|---|---|---|---|
| EU AI Act Art. 50 | 2. Aug. 2026 | Alle KI-Betreiber in der EU | 15 Mio. EUR / 3 % Umsatz (Art. 99 Abs. 4) |
| NL Telecomwet | 1. Juli 2026 | Outbound-Marketing an NL-Verbraucher | 900.000 EUR je Verstoß |
| DSGVO | In Kraft | Jeder Verarbeiter personenbezogener EU-Daten | 20 Mio. EUR / 4 % Umsatz |
| DSA | In Kraft (Feb. 2024) | Vermittler & VLOPs | 6 % weltweiter Umsatz |
| ePrivacy | In Kraft | Versender elektronischer Kommunikation | Variiert je Mitgliedstaat |
Verwandte Compliance-Ressourcen
Haftungsausschluss: Diese Seite dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Ziehen Sie für Ihre konkreten Compliance-Pflichten qualifizierten Rechtsbeistand hinzu.