50
Art. 8 GrCh normiert explizit ein Datenschutzgrundrecht. Die Bestimmung ist damit grundsätzlich lex specialis gegenüber Art. 7 GrCh.[1] Zunächst stellte der EuGH in diesem Zusammenhang lediglich fest, dass Art. 8 Abs. 1 GrCh in engem, konkretisierendem Verhältnis zu Art. 7 GrCh stehe,[2] ohne damit jedoch insoweit eine grundlegende und dogmatisch überzeugende Abgrenzung vorzunehmen. In jüngerer Zeit wurde indes deutlich, dass das Gericht beide Grundrechte nebeneinander anwendet und weitgehend parallel begreift.[3]
51
Der sachliche Schutzbereich umfasst in Anlehnung an das sekundärrechtliche Datenschutzrecht personenbezogene Daten, also alle Informationen über eine bestimmte oder bestimmbare Person.[4] In den persönlichen Schutzbereich fallen natürliche Personen und juristische Personen, sofern das Grundrecht wesensmäßig auf diese anwendbar ist[5] bzw. ein Durchschlagen auf natürliche Personen möglich ist. Diese Auffassung wird vom EuGH geteilt. Allerdings erachtet er juristische Personen beispielsweise bereits dann als grundrechtsberechtigt im Hinblick auf Art. 8 Abs. 1 GrCh, soweit der zu veröffentlichende Name der juristischen Person eine oder mehrere natürliche Personen bestimmt.[6] Dem ist zu entgegnen, dass in dieser konkreten Konstellation die zu veröffentlichenden Daten der juristischen Person weniger personenbezogene Daten darstellen als vielmehr Geschäftsdaten, die ihrem Wesen nach nicht in den Schutzbereich des Art. 8 Abs. 1 GrCh fallen.[7] In dogmatisch noch unausgereifter Weise rechtfertigt das Gericht in der Folge die Veröffentlichung der Daten der juristischen Person im Gegensatz zur Veröffentlichung der personenbezogenen Daten natürlicher Personen mit dem Argument, ein Eingriff in Art. 8 Abs. 1 GrCh habe in Bezug auf juristische Personen einen geringeren Stellenwert, da juristische Personen ohnehin insoweit einer bereits erweiterten Verpflichtung zur Veröffentlichung ihrer Daten unterlägen. Darüber hinaus stelle die Verpflichtung der Behörden, bei jeder juristischen Person vor Veröffentlichung ihrer Daten zu prüfen, ob deren Name natürliche Personen bestimmt, eine unverhältnismäßige Verwaltungslast dar.[8] Diese Argumentation ist insoweit problematisch, als sie impliziert, dass Eingriffe in Grundrechte mit dem Argument gerechtfertigt werden können, ein grundrechtskonformes Handeln der Verwaltung bedeute zu viel Aufwand. Sie kann bei der Rechtfertigung von Grundrechtseingriffen keinen Bestand haben.
52
Einen Eingriff[9] in Art. 8 GrCh stellt die Verarbeitung personenbezogener Daten dar, so wie sie i.S.d. ergangenen Sekundärrechts zu verstehen ist. Verarbeitung ist somit der Oberbegriff für alle Datenverarbeitungsschritte, von der Erhebung über die Weitergabe bis hin zur Löschung der personenbezogenen Daten.[10]
53
Ein Eingriff bedarf jedoch der Rechtfertigung. Unionsgrundrechte werden dabei nicht schrankenlos gewährleistet. Insbesondere ist auch hier wiederum Art. 52 GrCh zu beachten. Art. 8 Abs. 2 S. 1 GrCh enthält eine Qualifikation der Einschränkungsgründe.[11] So dürfen Daten „nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“. Damit wird zunächst das bereits neben dem in Art. 52 Abs. 1 S. 1 GrCh enthaltene Erfordernis einer gesetzlichen Grundlage wiederholt. Dieses versteht der EuGH in seiner Entscheidung zur VDSRL sehr streng dahingehend, dass der Unionsgesetzgeber selbst bei derart massiven Grundrechtseingriffen auf unionaler Ebene zentrale Vorkehrungen zur Begrenzung der Eingriffe vornehmen muss und dies nicht der – unionsgrundrechtskonformen – legislativen Umsetzung durch die Mitgliedstaaten überlassen kann. Damit ist jedenfalls für besonders tiefgreifende datenschutzrechtliche Eingriffe ein EU-Parlamentsvorbehalt für das (datenschutz-)grundrechts-Wesentliche geschaffen. Dies hat nicht nur im horizontalen Verhältnis zwischen EuGH als Judikative und Rat der EU, Kommission und EP als Legislative Verlagerungskonsequenzen zugunsten der die wesentlichen Anforderungen statuierenden Judikative, sondern v.a. auch in vertikaler Perspektive eine supranationale Sogwirkung zur Konsequenz.[12] Mit Art. 8 Abs. 2 S. 1 GrCh wurden im Übrigen einige in der datenschutzrechtlichen Grundrechtsdogmatik und in der Datenschutzgesetzgebung entwickelte Vorgaben primärrechtlich verankert: nämlich zum einen der Zweckbindungsgrundsatz und zum anderen der „Zulässigkeits-Dreiklang“ aus Einwilligung, gesetzlicher Spezial- und Allgemeinregelung. Eine Einwilligung kann dabei einen Grundrechtseingriff allerdings nur legitimieren, wenn sie hinreichend informiert und freiwillig erfolgt. Das im Primär- und Sekundärrecht der EU verankerte Transparenzgebot stellt sodann einen rechtfertigenden legitimen Zweck dar, den der europäische Gesetzgeber durch Rechtsetzungsakte fördern muss.[13] Dabei hat der Gesetzgeber jedoch das legitime Ziel, Transparenz zu schaffen, mit den Grundrechtsgehalten der Art. 8 (und 7) GrCh in Einklang zu bringen.[14] Das Transparenzgebot genießt nicht per se Vorrang vor dem Schutz personenbezogener Daten. Das gilt auch dann, wenn gewichtige wirtschaftliche Interessen involviert sind.[15] Vielmehr sind Ausnahmen und Einschränkungen von Art. 8 Abs. 1 GrCh auf das „absolut Notwendige“ zu beschränken (siehe dazu auch unten zur VDSRL → Rn. 164 ff.).[16]
54
Die Abwägung im Einzelfall kann indes im Mehrebenensystem trotz des weitgehenden Gleichlaufs des Grundrechtsschutzes durchaus merklich auseinandergehen. Exemplarisch wird dies etwa anhand der Agrarentscheidung des EuGH deutlich, in der das Gericht im Spannungsfeld von Datenschutz und Transparenz eine deutliche Tendenz zugunsten des Datenschutzes erkennen ließ[17] und damit auffällig anders wertete als noch das BVerfG. Dieses hatte es als zulässig angesehen, dass Vergütungen von Vorstandsmitgliedern von gesetzlichen Krankenversicherungen mit Blick auf das hohe Transparenzinteresse veröffentlicht werden,[18] und hat damit die Transparenzgesichtspunkte unter weitgehender Zurückdrängung datenschutzrechtlicher Interessen signifikant stärker gewichtet. Eine ähnliche Tendenz ist im Safe-Harbor-Urteil des EuGH deutlich geworden, in dem der Gerichtshof das „Safe Harbor“-Abkommen mit den USA verworfen hat, ohne dass klar wurde, wie die davon betroffenen 4400 Unternehmen kurzfristig ihren transatlantischen Datenaustausch rechtssicher organisieren können.[19] Einen Übergangszeitraum hat der EuGH nicht näher erwogen und pragmatische Reaktionen sind anschließend den nationalen Datenschutzbehörden überantwortet worden. Der EuGH betonte stattdessen, dass Ausnahmen vom Schutz personenbezogener Daten auf das absolut Notwendige beschränkt werden müssten.[20] Die Möglichkeiten, Unternehmens- oder Nutzerinteressen hinreichend zu gewichten, sind durch diesen Maßstab in starkem Maße begrenzt. Dabei die gegenläufigen Schutzpositionen ganz aus dem Blick zu verlieren, gefährdet nicht nur berechtigte Interessen der Unternehmen, sondern auch derjenigen Nutzer, die etwa einen größeren Wert auf einfach zugängliche, kostenlose, datenintensive Dienste legen als auf einen möglichst hohen Datenschutz. Jene Ausübung einer informationellen Selbstbestimmung oder Datensouveränität darf nicht einfach übergangen werden. Dabei ist die multipolare Grundrechtssituation eben tendenziell anders zu beleuchten als bei der isolierten Bewertung einer gesetzlichen Speicherpflicht oder behördlicher Zugriffsrechte. Dass in dem Urteil nicht einmal die insoweit einschlägigen Grundrechtsnormen, nämlich die Berufs- und unternehmerische Freiheit aus Art. 15, 16 GRCh, ggf. die allgemeine Handlungsfreiheit als allgemeiner Rechtsgrundsatz, genannt werden, ist nicht unproblematisch.[21] Auch im Google-Urteil[22] hat der EuGH die gegenläufigen Grundrechtspositionen der unternehmerischen Freiheit von Google und vor allem der Pressefreiheit des von der Streichung des Links betroffenen Presseunternehmens im Rahmen der Auslegung der DSRL nicht näher thematisiert. Das konnte jedoch noch als kluge Zurückhaltung gegenüber einer weiteren Ausdifferenzierung des Löschanspruchs auch im Verbund mit den mitgliedstaatlichen Gerichten verstanden werden.[23] Grundsätzlich birgt die scharfe Betonung des Datenschutzgrundrechts letztlich die Gefahr, dieses als „Supergrundrecht“ zu etablieren, das gegenläufige Schutzinteressen an der Datenverarbeitung allzu weit zurückdrängt.
55
Darüber hinaus normiert Art. 8 Abs. 2 S. 2 GrCh mit einem Auskunfts- und Berichtigungsanspruch prozedurale, Art. 8 Abs. 3 GrCh mit der Verpflichtung auf eine Überwachung der