45
Vor diesem Hintergrund ergibt sich die Notwendigkeit des Schutzes von Betroffenen vor der faktischen Gefahr des Einflussverlustes auf die Erhebung und Verarbeitung ihrer Daten. Nur wenn eine betroffene Person weiß, welche Stelle Daten über sie erhebt und verwendet sowie zu welchen Zwecken dies erfolgt, kann sie die subjektiven Rechtspositionen aus ihrem Grundrecht auf Datenschutz wahrnehmen. Soweit Daten nicht direkt bei ihr erhoben werden, sondern bei Dritten oder aus öffentlich zugänglichen Quellen, etwa aus dem Telefonbuch oder Social Networks, hat sie keine tatsächliche Kontrolle darüber, welche Daten über sie erhoben werden und zu welchen Zwecken sie Verwendung finden. Zudem verliert sie den faktischen Einfluss auch über solche Daten, die bei ihr direkt erhoben wurden, sobald sie bei der verantwortlichen Stelle gespeichert sind. Damit sie ihre Verfügungsbefugnis jedoch effektiv ausüben kann, ist sie auf diese Informationen angewiesen. Es ist im Hinblick auf das Recht auf Datenschutz daher erforderlich, den Betroffenen ein Recht auf Zugang zu diesen Daten bzw. auf Information gegenüber der datenverarbeitenden Stelle zu gewähren. In der DSGVO hat der Gedanke eines Rechts auf Informationszugang seine Ausprägung in dem Recht auf Auskunft gem. Art. 15 DSGVO gefunden (siehe Art. 15 Rn. 1f.).
46
Informationszugangsrechte finden sich auch in verschiedenen gesetzlichen Regelungen, ohne dass diese sich jedoch direkt auf das Recht auf Datenschutz zurückführen ließen, etwa in Art. 21 Abs. 4 der brandenburgischen LVerf (BbgVerf), indem hier ein Einsichtsrecht in Akten und amtliche Unterlagen gewährleistet wird. Die sächsische Verf (SaVerf) gewährt in Art. 34 und die LVerf von Sachsen-Anhalt (LsaVerf) in Art. 6 Abs. 2 ein Auskunftsrecht zu Umweltdaten. Zudem finden sich verschiedene Aktivitäten des Gesetzgebers, die auf die Verschaffung eines Informationszugangsrechts gerichtet sind, wie das Umweltinformationsgesetz des Bundes128 oder Akteneinsichts- und Informationszugangsgesetze in verschiedenen Bundesländern und das Stasi-Unterlagengesetz (StUG)129 sowie das Informationsfreiheitsgesetz des Bundes (IFG).130 Für diese Rechte auf Informationszugang können das Recht auf Datenschutz und dessen gesetzlichen Ausprägungen in der DSGVO und dem BDSG relevant werden, soweit personenbezogene Daten Dritter Gegenstand eines Informationsbegehrens sind.
IV. Freier Datenverkehr in der Union (Abs. 3)
47
In Art. 1 Abs. 3 DSGVO wird das zweite Ziel der dualistischen Gegenstands- und Zielbestimmung der DSGVO benannt. Die Freiheit des Verkehrs personenbezogener Daten in der Union.
1. Normadressat
48
Art. 1 Abs. 3 DSGVO knüpft sprachlich an der Vorgängervorschrift in Art. 1 Abs. 2 DSRl an, mit der Mitgliedstaaten bei der Umsetzung der DSRl untersagt wurde, den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten aus datenschutzrechtlichen Gründen einzuschränken. In der Formulierung des Art. 1 Abs. 3 DSGVO fehlt, anders als in Art. 1 Abs. 2 DSRl, jeder Hinweis auf den Normadressaten. Fraglich ist daher, ob die Norm, entsprechend der Vorgängervorschrift, ein an die Mitgliedstaaten gerichtetes Gebot enthält, das Datenschutzniveau in anderen Mitgliedstaaten nicht in Frage zu stellen und etwa beim Erlass von mitgliedstaatlichen Gesetzen im Rahmen der Öffnungsklauseln keine Beschränkungen des Verkehrs personenbezogener Daten untereinander vorzunehmen. Gegen dieses Verständnis spricht jedoch die gewählte Regelungsform der Verordnung, die gemäß Art. 288 Abs. 2 AEUV unmittelbar anwendbar ist und auch horizontale Drittwirkung entfaltet,131 sodass die Mitgliedstaaten in der Ausübung legislativer Gewalt nicht Normadressat sind. Zudem ist die klare Benennung der Mitgliedstaaten als Adressat, anders als in Art. 1 Abs. 2 DSRl, nicht übernommen worden.
49
Dennoch kann Art. 1 Abs. 3 DSGVO nur als Verpflichtung der Mitgliedstaaten verstanden werden.132 Für die DSRl, die der Umsetzung durch die Legislative der Mitgliedstaaten bedurfte, war es logisch, die Mitgliedstaaten zu verpflichten. Die sprachliche Nähe und historische Kontinuität der Schutzziele legen es nahe, die Mitgliedstaaten als Adressat des Art. 1 Abs. 3 DSGVO anzusehen. Die Regelung in Art. 1 Abs. 3 DSGVO würde sonst auch leerlaufen. Verantwortliche als eigentliche Normadressaten der DSGVO sind nämlich an die Regelungen der DSGVO und des Datenschutzrechts im Übrigen gebunden und können den freien Verkehr personenbezogener Daten in dem zugrunde liegenden Verständnis nicht behindern. Verpflichtet sind daher die Mitgliedstaaten bei der Ausübung legislativer Gewalt im Rahmen der Öffnungsklauseln sowie bei der Anwendung der DSGVO bei der Ausübung exekutiver und judikativer Gewalt.133 In diesen Funktionen müssen sie den Grundsatz des freien Datenverkehrs als Programmsatz des Europäischen Datenschutzrechts beachten.
2. Freier Informationsbinnenmarkt
50
Das Ziel eines freien Verkehrs personenbezogener Daten soll durch Rechtsvereinheitlichung erreicht werden. Datenschutz ist geeignet, den Verkehr personenbezogener Daten auch innerhalb der Union einzuschränken, etwa indem Datenübermittlungen an datenschutzrechtliche Voraussetzungen geknüpft werden. Diese dürfen jedoch nicht vorsehen, dass der grenzüberschreitende Datenverkehr innerhalb der Union an zusätzliche Rechtfertigungsvoraussetzungen geknüpft wird. Eine Diskriminierung des Datenverkehrs zwischen Mitgliedstaaten würde also den Grundsatz des freien Datenverkehrs verletzen. Umgekehrt kann der Grundsatz des freien Datenverkehrs aber nicht für Beschränkungen datenschutzrechtlicher Gewährleistungen herangezogen werden.134 Der freie Verkehr personenbezogener Daten soll im Umkehrschluss aus Art. 1 Abs. 3 DSGVO nur innerhalb der Union gewährleistet werden. Beschränkungen des Datenverkehrs in Drittstaaten sind damit möglich und zum Schutz der Betroffenen erforderlich.135 Diesem Zweck dienen die Regelungen in Art. 44ff. DSGVO. Einheitliche Regelungen von Drittstaatenübermittlungen für alle Mitgliedstaaten der Union sind zudem erforderlich, um das einheitliche Schutzniveau nicht zu unterlaufen.
51
Der Logik des europäischen Datenschutzrechts folgend, soll es mit der DSGVO kein divergierendes Schutzniveau zwischen den Mitgliedstaaten geben. Die DSGVO stellt nämlich den grundsätzlich abschließenden legislativen Konsens zum Datenschutz in der Union dar.136 Relativiert wird dieses Ziel jedoch durch zahlreiche Öffnungsklauseln mit der Möglichkeit divergierende Regelungen zum Datenschutz zu treffen.137 Mitgliedstaatliche Regelungen dürfen jedoch nicht über die Regelungsbefugnis in den Öffnungsklauseln hinausgehen und die DSGVO darüber hinaus konkretisieren oder deren Regelungen modifizieren. Zudem kann die Möglichkeit divergierender Interpretation und Durchsetzung des Datenschutzrechts durch die Mitgliedstaaten nicht vollständig ausgeschlossen werden.138
52
Mitgliedstaaten dürfen weder durch Gesetz noch durch einen anderen Rechtsakt den Verkehr personenbezogener Daten aus Gründen des Datenschutzes verhindern, erschweren oder das Datenschutzniveau in anderen Mitgliedstaaten in Frage stellen.139 Soweit Datenverkehr aus anderen, nicht datenschutzrechtlichen Gründen beschränkt wird, steht das jedenfalls nicht dem Wortlaut des Art. 1 Abs. 3 DSGVO entgegen, müsste allerdings an den Maßstäben der EU-Verträge gemessen werden, etwa der Warenverkehrs- und Dienstleistungsfreiheit.140
1 Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 1 DSGVO Rn. 1, sprechen zutreffend von der Interpretationsdirektive.