Vgl. hierzu zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einl. Rn. 182.
1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen
1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen › I. Einführung
I. Einführung
42
Das Datenschutzrecht ist spätestens mit der Datenschutz-Grundverordnung auch in den Details ganz wesentlich auf europäischer Ebene ausgestaltet. Zentraler normativer Rahmen für die Schaffung, Überprüfung, Auslegung und Anwendung dieses sog. Sekundärrechts ist das Primärrecht der Europäischen Union, also der EUV, der AEUV und vor allem die GrCh. Rechtsakte, die die Organe der Union erlassen, müssen vollumfänglich dem Primärrecht entsprechen, dem damit eine verfassungsähnliche Funktion zukommt. Die Reichweite, entsprechende Gesetzgebungsakte auf Unionsebene zu erlassen, ergibt sich aus der Kompetenzverteilung (dazu II.). Prägende Wirkung für das geltende Recht entfalten zunehmend jedoch auch die Unionsgrundrechte (dazu III.).
1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen › II. Kompetenzgrundlagen für Sekundärrechtsakte
1. Kompetenz zum Erlass von Rechtsakten
43
Nach alter Rechtslage bildete Art. 286 EGV die einzige explizit datenschutzrechtliche Gesetzgebungsgrundlage. Als Kompetenzgrundlage für die Schaffung datenschutzrechtlicher Sekundärrechtsbestimmungen kam im Übrigen vor allem die gemeinschaftsrechtliche Binnenmarktkompetenz des Art. 95 EGV (jetzt Art. 114 AEUV) in Betracht. Dabei hatten die Gemeinschaftsorgane vor allem auf Art. 95 EGV zurückgegriffen, um ein europäisches Datenschutzrecht zu kreieren, da hier ein Mehrheitsbeschluss ausreichte und keine einstimmige Entscheidung erforderlich war. Kompetenzstreitigkeiten zum Erlass datenschutzrelevanter Vorschriften waren mehrfach ausgebrochen,[1] was angesichts der unterschiedlichen Normgebungsverfahren nicht weiter verwunderte. Dieses Konfliktpotential wurde mit Inkrafttreten des Lissabonner Änderungsvertrags und dem neu eingefügten Art. 16 AEUV minimiert.
44
Art. 16 AEUV weist allerdings eine der dem Lissabonner Vertrag eigenen unnötigen Dopplungen auf: So wird in Art. 16 Abs. 1 AEUV ein Datenschutzgrundrecht normiert, dem jedoch neben dem spezielleren Datenschutzgrundrecht aus Art. 8 GrCh keine Bedeutung zukommt. Art. 16 AEUV enthält im Gegensatz zu Art. 8 GrCh keine Schrankenbestimmung. Um ein Leerlaufen der Schranken der Art. 8 Abs. 2, 52 Abs. 1 GrCh zu vermeiden, ist auf die Anwendung des Art. 52 Abs. 2 GrCh im Fall des Art. 16 Abs. 1 AEUV zu verzichten, so dass Art. 8 GrCh einzige Rechtsquelle für die Grundrechtsprüfung ist.[2] Art. 16 Abs. 2 AEUV schafft daher vor allem eine datenschutzrechtliche Gesetzgebungskompetenz der Union gegenüber ihren eigenen Organen und den Mitgliedstaaten, sofern diese Unionsrecht ausführen. Durch die Überführung des Bereichs der PJZS in das Unionsrecht ist Art. 16 AEUV Rechtsgrundlage für den Erlass datenschutzrechtlicher Bestimmungen auf diesem Feld.[3] Dagegen stellt Art. 16 Abs. 2 UAbs. 2 AEUV klar, dass auf Grundlage des Art. 16 Abs. 2 UAbs. 1 AEUV ergangenes Sekundärrecht die Vorgaben des Art. 39 EUV unberührt lässt. Dieser verleiht dem Rat die alleinige Kompetenz, einen Beschluss zur Festlegung datenschutzrechtlicher Vorschriften bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Kapitels 2 des EUV („Besondere Bestimmungen über die Gemeinsame Außen- und Sicherheitspolitik“) fallen, und über den freien Datenverkehr zu erlassen. Gemäß Art. 39 S. 2 EUV wird die Einhaltung der datenschutzrechtlichen Vorschriften von unabhängigen Behörden überwacht. Trotz des Wegfalls der Differenzierung zwischen supranationalem Gemeinschaftsrecht einerseits und intergouvernementalem Unionsrecht andererseits muss auch weiterhin zur Bestimmung der einschlägigen Rechtsgrundlage zum Erlass datenschutzrechtlichen Sekundärrechts auf Unionsebene unterschieden werden: Bei Datenverarbeitungen, die im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik erfolgen, erlässt der Rat, gestützt auf Art. 39 EUV, die erforderlichen Bestimmungen, in allen anderen Fällen das Europäische Parlament zusammen mit dem Rat gemäß dem ordentlichen Gesetzgebungsverfahren und auf Grundlage des Art. 16 Abs. 2 AEUV.
Anmerkungen
EuGH, Urt. v. 30.5.2006, C-317/04 u. 318/04, ECLI:EU:C:2006:346 – Fluggastdatenübermittlung; Urt. v. 10.2.2009, C-301/06, ECLI:EU:C:2009:68 – Vorratsdatenspeicherung.
Vgl. auch Bernsdorff, in: Meyer/Hölscheidt (Hrsg.), Kommentar zur Charta der Grundrechte der Europäischen Union, 5. Aufl. 2019, Art. 8 Rn. 24; Jarass, Kommentar zur Charta der Grundrechte der Europäischen Union, 3. Aufl. 2016, Art. 8 Rn. 1.
Zu beachten ist der explizite Hinweis auf den als lex specialis bezeichneten Art. 39 EUV in Art. 16 Abs. 2 UAbs. 2 AEUV, der das Datenschutzgrundrecht auch im Bereich der Gemeinsamen Außen- und Sicherheitspolitik anerkennt, die Gesetzgebungskompetenz zu seiner Ausgestaltung aber einzig dem Rat zuspricht. Vgl. auch die Erklärungen 20 u. 21 der Schlussakte von Lissabon bezüglich der datenschutzrechtlichen Rechtssetzung im Bereich der Domaine Réservé und der PJZS, CIG 15/07 Schlussakte der Konferenz der Vertreter der Regierungen der Mitgliedstaaten v. 3.12.2007. Der Rat hat von seiner unter der alten Rechtslage alleinigen Kompetenz zur Ausgestaltung in Form des Rahmenbeschlusses 2008/977/JI über den Schutz personenbezogener Daten, die im Rahmen der PJZS verarbeitet werden, Gebrauch gemacht, ABl. EU 2008, L 350/60. Die Mitgliedstaaten waren gehalten, den Vorschriften des Rahmenbeschlusses bis zum 27.11.2010 nachzukommen (Art. 29 Abs. 1). Vgl. auch tiefergehend hierzu Albers, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Ed. 2020, Syst. L. Rn. 30.
2. Kompetenz zum Abschluss internationaler Übereinkünfte
45
Mit Inkrafttreten des Lissabonner Vertrags erlangte die EU Völkerrechtssubjektivität. Dementsprechend regelt Titel V (Internationale Übereinkünfte) des fünften Teils (Auswärtiges Handeln der Union) des AEUV die Kompetenzen und die Verfahren zum Abschluss völkerrechtlicher Verträge zwischen der EU und Drittstaaten bzw. internationalen Organisationen. Art. 216 Abs. 1 AEUV räumt der EU eine Vertragsabschlusskompetenz ein, während Abs. 2 klarstellt, dass die nach Abs. 1 geschlossenen Übereinkünfte die Organe der Union und die Mitgliedstaaten binden. Art. 218 AEUV beschreibt das zum Abschluss völkerrechtlicher Verträge einzuhaltende Verfahren detailliert. Insbesondere wird in Abs. 6 präzise festgelegt, wann – mit Ausnahme der Übereinkünfte, die ausschließlich die Gemeinsame Außen- und Sicherheitspolitik betreffen – das Europäische Parlament einem Beschluss des Rates zustimmen und wann es lediglich angehört werden muss, um einen völkerrechtlichen Vertrag wirksam abzuschließen. Im Rahmen solcher völkerrechtlichen Übereinkommen können insbesondere datenschutzrechtliche