Die nachfolgenden Regelungen entstammen der Feder des europäischen Gesetzgebers. Sie wurden im Rahmen des Gesetzgebungsverfahren der EU vom europäischen Parlament erlassen. Die Funktionalität des europäischen Wirtschaftsraumes verlangt es, dass bestimmte Bereiche über die nationalen Landesgrenzen hinweg harmonisiert werden um einheitliche rechtliche Bedingungen in den unterschiedlichen Mitgliedstaaten zu erreichen. Als wesentliche Werkzeuge stehen dem europäischen Gesetzgeber hierbei insbesondere der Erlass von Verordnungen als auch Richtlinien zur Hand.
Der fundamentale Unterschied dieser beiden Gesetzgebungsakte liegt darin, dass Verordnungen ohne einen nationalen Akt unmittelbar im nationalem Recht gelten und den jeweiligen Regelungsbereich vollständig harmonisieren, Richtlinien hingegen erst durch nationale Umsetzungsakte in nationales Recht inkorporiert werden müssen und es hierbei zu feinen Unterschieden zwischen den mitgliedstaatlichen Rechtsordnungen kommen kann.
Um die Souveränität der Mitgliedsstaaten zu wahren, darf die EU nicht bezüglich aller Materien Regelungen treffen. Vielmehr richtet sich die Gesetzgebungskompetenz der EU nach dem Prinzip der begrenzten Einzelermächtigung. Das bedeutet, dass die EU nur in den Bereichen eigenständige Regelungen treffen kann in denen sie im Rahmen der Verträge (Primärrecht) ausdrücklich die Kompetenz hierzu erhalten hat. Die meisten Kompetenzen der EU finden sich vor allem im Vertrag über die Arbeitsweise der Europäischen Union (kurz: AEUV). So sind auf dem Gebiet der IT-Sicherheit die beiden wichtigsten Kompetenzen der EU zum Thema Schutz der persönlichen Daten und freier Datenverkehr Ausprägungen der allgemeinen Binnenmarktkompetenz (Art. 16 Abs. 2, 114 AEUV). So wurde die Datenschutzrundverordnung (DS-GVO) auf Grund von Art. 16 Abs. 2 AEUV und die eIDAS-Verordnung auf Grundlage von Art. 114 AEUV (Angleichung von Rechtsvorschriften für das Funktionieren des Binnenmarktes) erlassen.
Die Entscheidung, ob eine Richtlinie oder eine Verordnung erlassen wird, liegt bei der EU. Eine Richtlinie ist für die Souveränität der Mitgliedsstaaten weniger eingreifend aber in ihrer Zielsetzung immer noch verpflichtend, so das im Zweifelsfall die Auslegu
ng eines nationalen Gesetzes in europarechtskonformer Auslegung anhand des Originaltexts der entsprechenden Richtlinie erfolgen muss. Darüber hinaus bleibt es der EU überlassen, ob sie die Richtlinie vollharmonisierend (von ihrem Regelungsgehalt darf nicht abgewichen werden) oder mindestharmonisierend (die Richtlinie regelt lediglich ein Mindestmaß, von dem nach z.B. zu Gunsten von Verbrauchern abgewichen werden kann) ausgestaltet. Durch eine Verordnung kann die Rechtslage auf dem gesamten Gebiet der EU präziser und einheitlicher geregelt werden. Die Mitgliedstaaten müssen sich aber über jeden Artikel der Verordnung zunächst im Gesetzgebungsverfahren einigen. Veranschaulichen lassen sich diese Unterschiede anhand der Datenschutzrichtlinie (DSRL) 95/46/EG und der ePrivacy-Richtlinie 2002/58/EG. Vor der DS-GVO regelten sie den gesamten Datenschutz in der EU. Die Datenschutzrichtlinie wurde im BDSG a.F. umgesetzt und die ePrivacy-Richtlinie in Teilen verschiedener nationaler Gesetze. Mit der DS-GVO trat die nun regelungsleere Datenschutzrichtlinie außer Kraft. Das BDSG wurde umfunktioniert in ein Gesetz zur Regelung von Öffnungsklauseln in der DS-GVO. Die ePrivacy-RL ist hingegen immer noch in Kraft. Zwar soll sie wie die DSRL in eine Verordnung (ePrivacy-VO) umgewandelt werden. Ein Vorhaben, das bis heute noch im Telekommunikationsrat der EU scharf diskutiert wird. Ein Inkrafttreten dieser Verordnung ist nicht vor 2022 zu erwarten.
Ob nun eine Verordnung oder eine – durch nationales Recht umgesetzte – Richtlinie vorliegt, ist für die Behandlung des Einzelfalls unerheblich. Jedoch gilt im Kollisionsfall, dass Europarecht dem nationalen Recht vorgeht.
- Datenschutz-Grundverordnung (DS-GVO)
- Richtlinien über digitale Inhalte und den Warenhandel
- Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der RL 1999/93/EG (eIDAS-VO)
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-VO)