Was ist die Verordnung, und warum wird sie für notwendig erachtet?
Bei der Verordnung handelt es sich um einen Entwurf für einen EU-Rechtsakt, der die Richtlinie 2002/58/EG (die Richtlinie) über den Schutz der Privatsphäre und elektronische Kommunikation (EG) ersetzen soll, die im Vereinigten Königreich durch die Verordnung 2003, SI 2003/2426 über den Schutz der Privatsphäre und elektronische Kommunikation (EG-Richtlinie) eingeführt wurde.
Mit der Vorlage der Gesetzgebung will die Europäische Kommission das Vertrauen und die Sicherheit im digitalen Binnenmarkt stärken, indem sie die Rechtsstruktur für den Datenschutz in der elektronischen Kommunikation aktualisiert. Dieser Schritt ist Teil des Projekts der Europäischen Kommission zur Modernisierung des Datenschutzsystems in der EU. Außerdem würde die ePrivacy-Gesetzgebung damit mit den Bestimmungen der Allgemeinen Datenschutzverordnung (EU) 2016/679 (DSGVO) in Einklang gebracht. In der DSGVO wird eine breite Struktur für die Verarbeitung personenbezogener Daten festgelegt. Im Vergleich dazu enthält das Gesetz klare Leitlinien für die Verarbeitung personenbezogener Daten in Form von elektronischer Kommunikation.
Zu den an der Verordnung vorgenommenen Änderungen gehören beispielsweise die Abschaffung der Bestimmungen über die Benachrichtigung bei Datenschutzverletzungen, da diese nun durch die DSGVO geschützt sind, die Angleichung der Bußgeldregelung an die DSGVO (bis zu 4 % des weltweiten Jahresumsatzes), die Harmonisierung der EU-weiten Vorschriften für die Einwilligung in Cookies und die Einführung von etwas weiter gefassten Ausnahmen, die Harmonisierung und Ausweitung der Vorschriften für die Einwilligung in Cookies.
Wie ist der Stand der Gesetzgebung?
Im Oktober 2017 hat das Europäische Parlament seinen Standpunkt zu dieser Verordnung dargelegt. Der Rat der EU, der sich aus den Ministern der Mitgliedstaaten zusammensetzt, hat jedoch noch keine Rechtsetzungsperspektive eingenommen. Solange der Rat der EU nicht Stellung bezogen hat und der Rat der EU und das Europäische Parlament sich nicht auf einen Entwurf geeinigt haben, kann die Verordnung nicht umgesetzt werden.
Das Europäische Parlament wird voraussichtlich am 23. und 26. Mai 2019 Wahlen abhalten und anschließend eine neue Europäische Kommission wählen, deren Amtszeit am 1. November 2019 beginnen wird. Folglich würde die Umsetzung der Rechtsvorschriften wahrscheinlich nicht vor 2020 erfolgen. Es ist auch denkbar, dass das neue Europäische Parlament zu dem Schluss kommt, dass die Gespräche über die Verordnung nicht fortgesetzt werden und dass das Instrument abgelehnt wird. Wahrscheinlicher ist jedoch, dass das derzeitige Europäische Parlament dort weitermacht, wo das vorherige Parlament aufgehört hat, und die Verordnung schließlich in Kraft tritt.
Wann wird die Verordnung in Kraft treten und angenommen werden?
Sie wird nach einigen Tagen in Kraft treten, wenn die Verordnung angenommen ist. Das Datum des Inkrafttretens unterscheidet sich jedoch von dem Datum, an dem das Gesetz gilt. Die Verordnung wird erst ab dem Datum der Umsetzung zu vollstreckbarem Recht. Der jüngste Entwurf des Rates der EU sieht vor, dass die Verordnung zwei Jahre nach ihrem Inkrafttreten gilt. Das Europäische Parlament müsste sich jedoch noch auf einen Zeitplan einigen. Der Entwurf von 2017 sah eine viel kürzere Zeit bis zur Anwendbarkeit der Rechtsvorschriften vor.
Hat die britische Regierung ihre Position zum Thema Datenschutz in der elektronischen Kommunikation mitgeteilt?
Die Regierung begrüßte die Gelegenheit, die Richtlinie zu ändern, um den technologischen Fortschritten und dem sich entwickelnden digitalen Umfeld Rechnung zu tragen. Das wichtigste politische Ziel der Regierung ist es, sicherzustellen, dass die Vorschläge die Vertraulichkeit der elektronischen Kommunikation schützen und gleichzeitig die digitale Innovation fördern. Was die geltenden Fristen betrifft, so ist die Regierung der Ansicht, dass der Inhalt des Textes aufgrund des Wertes der Verordnung Vorrang vor dem Tempo haben sollte.
Welche Regeln für den Datenschutz in der elektronischen Kommunikation werden im Vereinigten Königreich nach dem Brexit gelten?
SI 2003/2426 wird gemäß Abschnitt 2 des European Union (Withdrawal) Act 2018 (EU(W) 2018) im nationalen Recht beibehalten, wenn das Vereinigte Königreich die EU verlässt, ohne dass das Austrittsabkommen in Kraft tritt. SI 2003/2426 wird weiterhin so betrachtet, wie es Gegenstand späterer Änderungen vor dem Austritt des Vereinigten Königreichs aus der EU war.
Sie gilt auch weiterhin für die nationale und EU-Rechtsprechung, die für die Gesetzgebung gilt (EU(W)A 2018, s 6(3)). Im Rahmen der Data Security, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations werden Änderungen an SI 2003/2426 vorgenommen, um sicherzustellen, dass sie nach dem Austritt des Vereinigten Königreichs aus der EU weiterhin erfolgreich funktionieren.
Angenommen, die Verordnung ist im Vereinigten Königreich nach der Übergangszeit nicht mehr gültig. In diesem Fall werden die Anforderungen der EU(W)A 2018 zu diesem Zeitpunkt in Kraft treten, um die Verordnung zu retten und in nationales Recht zu übernehmen.
Ist es für Unternehmen zu früh, den Wandel zu planen?
Auf EU-Ebene ist der Text der Verordnung noch lange nicht angenommen. Wahrscheinlich wird der endgültige Text der Verordnung nicht vor 2020 beschlossen werden, wenn man die bevorstehenden Wahlen zum Europäischen Parlament und den Wechsel in der Europäischen Kommission berücksichtigt. Unternehmen sollten zu diesem Zeitpunkt mit der Planung beginnen, aber es könnte eine lange Vorlaufzeit geben, wie es bei der DSGVO der Fall war, bevor das Gesetz in Kraft trat.
Es ist auch wahrscheinlich, dass das Gesetz im Vereinigten Königreich nie in Kraft treten wird, wenn das Datum der Umsetzung nach dem Ende der Übergangszeit liegt. Wenn das Vereinigte Königreich die EU ohne ein Abkommen verlässt, wird das Gesetz auch nicht auf das Vereinigte Königreich ausgedehnt.