Back to blog
-- 11 min read

ePrivacy-Richtlinie Artikel 5 Absatz 3 erklärt: Wann braucht Analytics Einwilligung?

Eine detaillierte Aufschlüsselung von Artikel 5 Absatz 3 der ePrivacy-Richtlinie — des 'Cookie-Gesetzes', das bestimmt, wann Analytics eine Einwilligung erfordert. Was er sagt, was er bedeutet und wie verschiedene EU-Aufsichtsbehörden ihn auslegen.

Was ist die ePrivacy-Richtlinie?

Die meisten Menschen in der Webanalyse-Welt sprechen über die DSGVO, als wäre sie das einzige relevante Gesetz zum Tracking von Besuchern. Das ist sie nicht. Die Regel, die tatsächlich entscheidet, ob Sie ein Cookie-Einwilligungsbanner benötigen, ist älter als die DSGVO und steht in einem separaten Rechtsakt: der ePrivacy-Richtlinie, formell der Richtlinie 2002/58/EG, geändert durch die Richtlinie 2009/136/EG.

Die ePrivacy-Richtlinie regelt den Datenschutz im Bereich der elektronischen Kommunikation. Sie regelt unter anderem die Vertraulichkeit der Kommunikation, die Vorratsdatenspeicherung von Verkehrsdaten, unerwünschte kommerzielle Kommunikation (Spam) und — am bekanntesten — das Speichern von und den Zugriff auf Informationen auf den Endgeräten der Nutzer. Dieses letzte Thema wird von Artikel 5 Absatz 3 geregelt, der die rechtliche Grundlage für das "Cookie-Banner" ist, das Sie auf fast jeder Website in der EU sehen.

Da die ePrivacy-Richtlinie eine Richtlinie und keine Verordnung ist, setzt jeder EU-Mitgliedstaat sie in nationales Recht um. In Frankreich findet sie sich im Loi Informatique et Libertés über Artikel 82. In Deutschland ist es inzwischen §25 TTDSG / TDDDG. In Dänemark ist es die Cookie-bekendtgørelse. Im Vereinigten Königreich (nach dem Brexit) gilt sie weiterhin als PECR. Der zugrundeliegende Text ist harmonisiert, sodass die folgende Analyse in der gesamten EU weitgehend gilt, auch wenn die genaue gesetzliche Zitation unterschiedlich ist.

Der vollständige Text von Artikel 5 Absatz 3

Hier ist die maßgebliche Bestimmung im vollen Wortlaut. Es lohnt sich, sie langsam zu lesen:

"Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, deren alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder soweit dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."

Drei Formulierungen erledigen fast die gesamte Arbeit in diesem Absatz: "Speicherung von Informationen oder der Zugriff", "Endgerät eines Teilnehmers oder Nutzers" und "unbedingt erforderlich". Alles andere ist Gerüst. Nehmen wir sie der Reihe nach.

Der Auslöser "Speicherung oder Zugriff auf Informationen"

Artikel 5 Absatz 3 ist technologieneutral. Er sagt nicht "Cookies". Er sagt "Speicherung von Informationen" oder "Zugriff auf Informationen, die bereits gespeichert sind". Diese Formulierung ist bewusst weit gefasst und deckt jede Technik ab, die Daten auf das Gerät des Nutzers schreibt oder von diesem liest.

In der Praxis umfasst dies:

  • HTTP-Cookies, Erst- oder Drittanbieter
  • localStorage, sessionStorage und IndexedDB
  • Cache API und Service Workers
  • ETags, Last-Modified-Header und andere HTTP-Cache-Tricks
  • HTTP/2 Server-Push-Zustand, HSTS-Pinning
  • Canvas-, WebGL-, Audio- und Font-Fingerprinting (das technisch Informationen vom Gerät liest)
  • Auslesen der installierten Schriftarten, Plugins oder Hardware-Eigenschaften
  • Auslesen des Zwischenablage-Inhalts, des Batteriestatus oder anderer Geräte-APIs

Beachten Sie, dass der Auslöser unabhängig davon gilt, ob die gespeicherten oder abgerufenen Informationen personenbezogene Daten sind. Selbst ein opakes, nicht identifizierendes Token zählt. Und er gilt unabhängig davon, ob die Website die Informationen aktiv zurückliest — das bloße Speichern reicht aus.

Das bedeutet auch, dass das Argument "Es ist kein Cookie, es ist localStorage", das einige Analyse-Anbieter früher brachten, ein Nichtstarter ist. Das Gesetz ging nie speziell um Cookies; es ging immer um jede Form von Speicherung oder Zugriff auf dem Gerät des Nutzers.

Das Element "Endgerät"

"Endgerät" meint das Gerät, mit dem der Nutzer auf das Internet zugreift: Telefon, Laptop, Tablet, Smart-TV, Konsole — alles. Die Richtlinie zieht eine klare Linie zwischen dem Netz (Server, Router, die Leitung) und dem Endpunkt (das Gerät des Nutzers).

Diese Unterscheidung ist das wichtigste Konzept für cookiefreie Analytics. Alles, was vollständig auf der Serverseite dieser Linie passiert, liegt außerhalb von Artikel 5 Absatz 3. Alles, was das Gerät des Nutzers berührt, liegt innerhalb. Es gibt keinen Mittelweg.

Server-Logs, auf dem Server berechnete Hash-Identifier, ausgelesene und verworfene Request-Header, geografische Zuordnungen anhand der IP-Adresse — nichts davon ist "Speicherung von Informationen auf dem Endgerät" oder "Zugriff auf bereits gespeicherte Informationen" auf dem Gerät. Es sind Dinge, die der Server bereits durch den Empfang der HTTP-Anfrage hat.

Cookies, localStorage, Fingerprinting, Geräte-API-Zugriffe — all diese überschreiten die Linie zum Gerät. Sie fallen alle in den Anwendungsbereich.

Die Ausnahme "unbedingt erforderlich"

Artikel 5 Absatz 3 enthält eine Ausnahme für Speicherung oder Zugriff, der "unbedingt erforderlich" für einen von zwei Zwecken ist:

  1. Die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz — dies umfasst Dinge wie Routing, Lastverteilung und TCP-Zustand.
  2. Die Bereitstellung eines "Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde".

Der zweite Zweig ist derjenige, der für Webbetreiber relevant ist. Beispiele, die allgemein als "unbedingt erforderlich" akzeptiert werden, umfassen:

  • Das Session-Cookie, das Sie nach aktiver Anmeldung eingeloggt hält
  • Das Cookie, das Artikel im Warenkorb während des Checkouts speichert
  • Das Cookie, das sich die Cookie-Einwilligungsentscheidung selbst merkt (eine zirkuläre, aber pragmatische Ausnahme)
  • CSRF-Token, die vor Cross-Site-Request-Forgery schützen
  • Load-Balancer-Stickiness-Cookies

Beispiele, die nicht "unbedingt erforderlich" sind:

  • Analyse-Cookies, weil der Nutzer nicht darum gebeten hat, gemessen zu werden
  • Werbe-Cookies, weil der Nutzer nicht darum gebeten hat, gezielte Werbung zu sehen
  • Präferenz-Cookies für Dinge, die die Website auch ohne sie liefern kann

Der Test ist nicht "Ist das nützlich für den Website-Betreiber?", sondern "Ist das notwendig für einen Dienst, den der Nutzer ausdrücklich angefordert hat?" Analytics besteht diesen Test bei keiner ehrlichen Lesart, denn Besucher bitten fast nie darum, gemessen zu werden.

Wie Datenschutzbehörden "unbedingt erforderlich" auslegen

Der Europäische Datenschutzausschuss (EDSA) und einzelne nationale Behörden haben konsequent eine enge Auslegung von "unbedingt erforderlich" angewendet. Die Auslegungen, die in der Praxis am wichtigsten sind:

  • CNIL (Frankreich) hat detaillierte Leitlinien veröffentlicht, die eine begrenzte "Ausnahme für Reichweitenmessung" für Analytics anerkennen, die bestimmte Bedingungen erfüllt: streng erstparteilich, kein seitenübergreifendes Tracking, begrenzte Zwecke, begrenzte Aufbewahrung und keine Weitergabe an Dritte. Tools, die alle Bedingungen erfüllen, können ohne Einwilligungsbanner eingesetzt werden. Tools, die das nicht tun, können es nicht.
  • DSK (Deutschland) vertritt eine strengere Linie: Jede Analytics-Lösung, die irgendetwas auf dem Gerät speichert, erfordert Einwilligung. Cookiefreie Analytics, die nichts auf dem Gerät speichern, liegen einfach außerhalb des Anwendungsbereichs von §25 TTDSG und damit außerhalb der Einwilligungspflicht.
  • Datatilsynet (Dänemark) folgt der Richtlinie getreu: Die Cookie-Regeln gelten für alles, was Informationen auf dem Gerät speichert oder ausliest. Wenn nichts gespeichert oder gelesen wird, greifen die Regeln überhaupt nicht.
  • ICO (UK) bestätigt in seinen PECR-Leitlinien ausdrücklich, dass First-Party-Analytics unter begrenzten Umständen für eine Ausnahme in Frage kommen kann, aber der sicherere Weg besteht darin, sich auf Einwilligung oder auf eine Architektur zu verlassen, die überhaupt keine Speicherung beinhaltet.

Trotz einiger tonaler Unterschiede stimmen alle Datenschutzbehörden in der EU über denselben rechtlichen Mechanismus überein: Wenn Sie nichts auf dem Gerät speichern, wird Artikel 5 Absatz 3 nicht ausgelöst, und die Einwilligungspflicht gilt nicht für die Analytics selbst.

Die CNIL-Ausnahme für Reichweitenmessung

Die Position der CNIL verdient eine genauere Betrachtung, weil sie die zulässigste und explizitste in Europa ist. Gemäß ihren Leitlinien können Analyse-Cookies und -Tracker von der Einwilligungspflicht ausgenommen sein, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Verarbeitung ist streng auf die Erzeugung anonymer statistischer Daten beschränkt
  • Die Daten werden ausschließlich vom Herausgeber oder seinem Auftragsverarbeiter verwendet
  • Die Daten werden nicht mit anderen Verarbeitungen abgeglichen oder an Dritte weitergegeben
  • Der Tracker ist auf die Erzeugung aggregierter Statistiken beschränkt
  • IP-Adressen werden nicht länger als unbedingt erforderlich aufbewahrt (typischerweise durch Kürzung vor der Aufbewahrung anonymisiert)
  • Tracking ist streng auf eine einzelne Website beschränkt
  • Die Aufbewahrung der Daten überschreitet keinen angemessenen Zeitraum (CNIL hat zuvor 13 Monate für Cookies und 25 Monate für die zugrundeliegenden statistischen Daten angegeben)

CNIL führt eine Liste von Analyselösungen, die sie geprüft und in ihrer Standardkonfiguration als ausgenommen betrachtet. Die Liste ist für andere Datenschutzbehörden nicht verbindlich, wird aber in ganz Europa als praktischer Leitfaden häufig zitiert.

Ein Analyse-Tool, das nie etwas auf dem Gerät speichert, steht über dieser Ausnahme. Es muss die Ausnahme nicht in Anspruch nehmen, weil es den Einwilligungsauslöser überhaupt nicht aktiviert.

Das Verhältnis zur DSGVO

Menschen verwechseln oft ePrivacy und DSGVO, aber sie beantworten unterschiedliche Fragen:

  • ePrivacy Artikel 5 Absatz 3: "Darf ich Daten auf dem Gerät des Nutzers ablegen oder Daten daraus lesen?" Wenn keine Speicherung oder Zugriff, nicht aktiviert.
  • DSGVO Artikel 6: "Habe ich eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten?" Gilt immer dann, wenn personenbezogene Daten verarbeitet werden, einschließlich durch Analyse-Tools, die nichts auf dem Gerät speichern, aber dennoch IP-Adressen verarbeiten.

Beide müssen erfüllt sein. Ein Analyse-Tool, das nichts auf dem Gerät speichert, kommt kostenlos an ePrivacy vorbei, benötigt aber dennoch eine DSGVO-Rechtsgrundlage für die serverseitig verarbeiteten personenbezogenen Daten. Für Analytics ist diese Rechtsgrundlage typischerweise das berechtigte Interesse gemäß Artikel 6 Absatz 1 Buchstabe f, gestützt auf eine dokumentierte Interessenabwägung, die zeigt, dass die Verarbeitung verhältnismäßig ist und die Rechte des Besuchers respektiert.

Sie können die DSGVO-Analyse nicht umgehen, indem Sie cookiefrei sind. Sie können das Einwilligungsbanner unter ePrivacy umgehen, aber Sie müssen Ihre DSGVO-Konformität dennoch dokumentieren und die Betroffenenrechte respektieren.

Was bedeutet das für Analytics-Anbieter

Es gibt drei realistische architektonische Pfade für ein Analytics-Produkt, das in der EU rechtmäßig arbeiten will:

  1. Cookies verwenden und ein Banner anzeigen. Dies ist der Weg, den Google Analytics, Matomo (Standardmodus) und die meisten älteren Tools gehen. Der Nutzer sieht eine Einwilligungsabfrage. Wenn er zustimmt, bekommen Sie Daten. Wenn er ablehnt (oder das Banner schließt), bekommen Sie nichts.
  2. Cookies verwenden, aber für die CNIL-ähnliche Messungsausnahme qualifizieren. Matomo im cookiefrei-aber-dennoch-fingerprinted-Modus versucht dies. Es ist machbar, hängt aber von präziser Konfiguration und der Auslegung der Datenschutzbehörde ab.
  3. Das Gerät überhaupt nicht anfassen. Dies ist der Weg, den Web-Tracking.eu, Plausible, Fathom, Simple Analytics und Pirsch eingeschlagen haben, jeweils mit ihren eigenen Implementierungsdetails. Artikel 5 Absatz 3 wird einfach nicht ausgelöst, und die Einwilligungsfrage verflüchtigt sich für die Analyseschicht.

Der dritte Weg ist juristisch am saubersten und operativ am einfachsten. Er erfordert allerdings ein Umdenken bei der Zählung eindeutiger Besucher — man kann sich nicht auf einen auf dem Gerät gespeicherten Identifier verlassen, also muss man ihn auf dem Server berechnen — aber er umgeht die gesamte Cookie-Banner-Debatte.

Beispiele: was Einwilligung auslöst und was nicht

Um das konkret zu machen, hier einige Einsatzmuster und wie sie mit Artikel 5 Absatz 3 interagieren:

  • Ein Tracking-Skript, das ein erstparteiliches _ga-Cookie setzt — löst Artikel 5 Absatz 3 aus, benötigt Einwilligung.
  • Ein Tracking-Skript, das eine Besucher-ID in localStorage schreibt — löst Artikel 5 Absatz 3 aus, benötigt Einwilligung.
  • Ein Tracking-Skript, das nur den User-Agent-Header liest und einen Ping an den Server sendet — löst Artikel 5 Absatz 3 nicht aus. Der User-Agent befindet sich in der HTTP-Anfrage, nicht auf dem Gerät. Keine Speicherung, kein Zugriff über die normale Netzwerkübertragung hinaus.
  • Ein Server, der beim Empfang IP + User-Agent + Datum hasht und nur den Hash speichert — löst Artikel 5 Absatz 3 nicht aus. Nichts wird auf dem Gerät gespeichert.
  • Ein Tracking-Skript, das Canvas-Fingerprinting verwendet, um eine Besucher-ID zu erzeugen — löst Artikel 5 Absatz 3 aus, weil es Informationen vom Gerät liest (Rendering-Eigenschaften).
  • Ein Tracking-Skript, das navigator.sendBeacon() verwendet, um Request-Daten an den Server zu senden — löst an sich Artikel 5 Absatz 3 nicht aus. sendBeacon ist ein Transportmechanismus, keine Gerätespeicherung.
  • Ein Tracking-Skript, das einen ETag setzt und zurückliest, um wiederkehrende Besucher zu identifizieren — löst Artikel 5 Absatz 3 aus. ETags sind eine Form der Speicherung auf dem Gerät.
  • Ein CDN, das Request-Header des eingehenden Verkehrs loggt — löst Artikel 5 Absatz 3 nicht aus. Logs liegen auf dem Server.

Wenn Ihre Architektur sauber in die Kategorie "nur serverseitig" passt, benötigen Sie kein Cookie-Banner für den Analytics-Teil Ihrer Website. Andere Drittanbieter-Tools benötigen unter Umständen dennoch eines.

Das Fazit

Artikel 5 Absatz 3 ist eine klare, technologieneutrale Regel: Wenn Sie Informationen auf dem Gerät eines Nutzers speichern oder von diesem lesen, benötigen Sie eine Einwilligung (es sei denn, es ist unbedingt erforderlich für einen Dienst, den der Nutzer ausdrücklich angefordert hat). Wenn nicht, dann nicht.

Diese Regel wurde 2002 geschrieben und 2009 geändert. Sie hat die DSGVO überlebt, den Tod der Drittanbieter-Cookies, den Aufstieg des Fingerprinting und die anhaltende Debatte über Cookie-Banner-Müdigkeit, weil ihre zugrundeliegende Logik stimmig ist. Der sauberste Weg, Artikel 5 Absatz 3 im Jahr 2026 einzuhalten, besteht darin, ihn gar nicht erst einzuhalten — durch den Bau eines Produkts, das ihn überhaupt nicht auslöst.

Web-Tracking.eu ist eine cookiefreie Analytics-Plattform. Erfahren Sie mehr über unseren Ansatz in der rechtlichen Erläuterung kein Cookie-Banner.