I. Datenschutz im Anwendungsbereich des EU-Rechts
1
Für die Unternehmenspraxis, an die sich dieses Buch maßgeblich richtet, ist vor allem derjenige Teil des Datenschutzrechts relevant, der die Verarbeitung von Daten eben durch private Wirtschaftsunternehmen betrifft. Dieser Bereich ist durch einen grundsätzlichen Vorrang des Europarechts – und mit ihm sowohl des Sekundärrechts (einschließlich der DSGVO) als auch der EU-Grundrechtsverbürgungen – vor dem nationalen Recht geprägt. Die relevanten Grundlagen des Datenschutzrechts – einschließlich der jeweiligen Grundrechtsverbürgungen – ergeben sich insoweit aus dem Unionsrecht.
Praxishinweis
Deshalb gelten nur für Datenverarbeitungsvorgänge außerhalb des Anwendungsbereichs des primären und sekundären Unionsrechts weiter direkt etwaige nationale Grundrechtsverbürgungen, also z.B. auch das vom BVerfG entwickelte „Recht auf informationelle Selbstbestimmung“. Im Anwendungsbereich des EU-Rechts gilt hingegen ein grundsätzlicher Vorrang der EU-Datenschutzgrundrechte.
2
Eine Einschränkung von diesen Grundsätzen gilt dort, wo das Unionsrecht Umsetzungsspielräume eröffnet – im Falle der DSGVO also bei den Öffnungsklauseln, die den Mitgliedstaaten konkretisierende Regelungen gestatten. Bei nationalen Gesetzen, die von diesen Öffnungsklauseln Gebrauch machen, können auch die nationalen Grundrechtsverbürgungen beachtenswert sein.1
1 Zu Einzelheiten dieser „konkurrierenden Mehrfachbindung“ und der einschlägigen Rechtsprechung des BVerfG ausführlich: BeckOK-DS/Schneider, Syst. B Rn. 11.
II. Schutzgut des Datenschutzrechts
3
Das EU-Datenschutzrecht verfolgt im Wesentliche zwei Ziele: Zum einen dient es dazu, die Menschen (also im juristischen Sprachgebrauch „natürliche Personen“) bei der Verarbeitung der sie betreffenden Daten zu schützen. Zum anderen soll die das Datenschutzrecht mittlerweile sehr wesentlich prägende DSGVO aber auch den freien Datenverkehr innerhalb der EU sicherstellen.2
1. Schutz der natürlichen Personen
4
Im Kern des Datenschutzrechts steht der Schutz der natürlichen Personen, auf die sich die Daten beziehen. Anders als der Begriff „Datenschutz“ es nahelegt, geht es primär also nicht um den Schutz der Daten an sich, sondern um die dahinterstehende Person. Teilweise besteht hier freilich eine Wechselwirkung: So umfasst das Datenschutzrecht z.B. auch Vorgaben für die Gewährleistung der Datensicherheit,3 weil durch eine ungewollte Veröffentlichung von Daten nicht nur deren Integrität, sondern auch die Rechte der betroffenen Person beeinträchtigt werden können.
5
Das Schutzgut ist sogar grundrechtlich verankert: namentlich in dem Grundrecht auf Schutz personenbezogener Daten nach Art. 8 der EU-Grundrechte-Charta (GrCh).4 Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Hierauf nehmen die ErwG 1 und 2 DSGVO unmittelbar Bezug und legen es als das Hauptziel der DSGVO fest, das Grundrecht auf Schutz personenbezogener Daten ungeachtet der Staatsangehörigkeit und des Aufenthaltsortes der betroffenen Person zu wahren.
6
Der grundrechtliche Kerngehalt des „Rechts auf Datenschutz“ besteht aus drei Säulen und ergibt sich aus Art. 8 Abs. 2 GrCh. Danach dürfen diese Daten nur (1) nach Treu und Glauben, (2) für festgelegte Zwecke und (3) mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Auch das Recht jeder Person, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken, ist grundrechtlich verankert. Schließlich ist grundrechtlich die Überwachung durch eine unabhängige Stelle vorgegeben.
Praxishinweis
Der EuGH legt die DSGVO regelmäßig im Lichte der GRCh einschließlich des Art. 8 GrCh aus; so hat er zuletzt in seinem Urteil vom 16.7.2020 (Rs. C- 311/18) in Sachen Schrems II5 Art. 45 DSGVO im Lichte der in Art. 7, 8 und 47 verbrieften Garantien der GRCh ausgelegt und konstatiert, dass die verfahrensgegenständliche Übermittlung personenbezogener Daten in einen Drittstaat regelmäßig u.a. in das Recht auf Schutz personenbezogener Daten (Art. 8 Abs. 1 GRCh) eingreife.
2. Schutz des freien Datenverkehrs
7
Ein weiteres Schutzgut der DSGVO besteht in der Gewährleistung eines freien Datenverkehrs innerhalb der EU. Nach Art. 1 Abs. 3 DSGVO darf der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
8
Die DSGVO untersagt es also Mitgliedstaaten, eigenständig nationale Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und diese Beschränkung der Grundfreiheiten mit dem Bestreben nach einem höheren Schutzniveau zu rechtfertigen.6 Ebenso ist es den Mitgliedstaaten verwehrt, das Datenschutzniveau eines anderen Mitgliedstaats als nicht ausreichend zu qualifizieren; Datenverarbeitungen in einem anderen Mitgliedstaat müssen identisch zu solchen innerhalb des eigenen Mitgliedstaates behandelt werden.7
Beispiel
Aus diesem Grund sind z.B. mitgliedstaatliche Vorschriften