48
Während in der Solange I-Entscheidung174 noch davon ausgegangen wurde, dass dieses Schutzniveau nicht erreicht ist, geht das BVerfG seit der Solange II-Entscheidung175 davon aus, dass ein entsprechendes Schutzniveau besteht. Eine Überprüfungskompetenz des BVerfG besteht in Anwendung dieser Grundsätze nur solche Rechtsakte, die aufgrund einer Öffnungsklausel in der DSGVO erlassen wurden176 und nach den Grundsätzen der Lissabon-Entscheidung für europäische Rechtsakte, die offensichtlich in den Kernbereich souveräner Staatlichkeit eingreifen,177 soweit diese strukturelle Bedeutung haben und vom EuGH unbeanstandet geblieben sind.178 Ein Verstoß gegen europäische Grundrechte kann danach nur indirekt im Wege des Vorabentscheidungsverfahrens gem. Art. 267 Abs. 3 AEUV durch eine Vorlage eines Fachgerichts vom EuGH auf einen Verstoß gegen europäische Grundrechte geprüft werden.179 Eine Pflicht zur Vorlage ergibt sich gem. Art. 267 Abs. 3 AEUV für Gerichte, deren Entscheidungen nicht mehr mit innerstaatlichen Rechtsmitteln angefochten werden können, insbesondere also für Entscheidungen des BVerwG und des BGH.180 Mit den Entscheidungen Recht auf Vergessen I181 und Recht auf Vergessen II182 relativiert das BVerfG diese Grundsätze und schafft die Möglichkeit der verfassungsrechtlichen Kontrolle deutscher Stellen am Maßstab der deutschen Grundrechte (Recht auf Vergessen I) mit der Vermutung, dass dadurch auch die Europäischen Grundrechte mitgewährleistet seien und der direkten Anwendung der Europäischen Grundrechte durch das BVerfG unter Berufung auf die Integrationsverantwortung nach Art. 23 Abs. 1 GG (Recht auf Vergessen II).183
49
Alternativ verbleibt die Möglichkeit einer Nichtigkeitsfeststellungsklage gem. Art. 263 Abs. 4 i.V.m. Art. 256 Abs. 1 AEUV,184 mit der die Nichtigkeit der Verordnung erklärt werden könnte.185 Die Klage setzt jedoch den regelmäßig nicht erbringbaren Nachweis voraus, dass der Kläger unmittelbar und individuell wegen besonderer Eigenschaften betroffen ist, die ihn aus dem Kreis aller übrigen Personen heraushebt.186
50
Als letzte Möglichkeit verbleibt nach einem Beitritt der EU zum Europarat die Möglichkeit einer Klage vor dem EGMR unter Berufung auf die EMRK. Die Verfahrensvoraussetzungen sind nicht besonders hoch, jedoch ist aufgrund der Überlastung des Gerichts mit einer langen Verfahrensdauer zu rechnen.187
5. Öffnungsklauseln
51
In der DSGVO sind je nach Zählweise bis zu 60 Öffnungsklauseln zum Erlass mitgliedstaatlichen Datenschutzrechts vorgesehen, mit denen Regelungen der DSGVO konkretisiert oder mit denen von der DSGVO abgewichen werden kann.188 Die DSGVO verbindet damit Elemente der Richtlinie, die mitgliedstaatlicher Umsetzung bedarf, und der Verordnung, die unmittelbar anwendbares Recht der Union ist, und ist insofern eine atypische bzw. hybride Form der Gesetzgebung in der Union.189 Neben der DSGVO bleibt das mitgliedstaatliche Datenschutzrecht daher eine relevante datenschutzrechtliche Rechtsquelle. Öffnungsklauseln finden sich in praktisch jedem Teil der DSGVO,190 ein Schwerpunkt liegt im Bereich der Datenverarbeitung zu journalistischen Zwecken, der Verarbeitung zu Forschungszwecken, der Verarbeitung von Gesundheitsdaten, der Geheimhaltungsregeln und dem Beschäftigtendatenschutz.191
52
Zweck der Öffnungsklauseln ist es, unterschiedlichen Ausgangspositionen der Mitgliedstaaten Rechnung zu tragen und „alle auf dem Weg der Harmonisierung mitzunehmen“.192 Die Öffnungsklauseln lassen sich in allgemeine und spezifische Öffnungsklauseln einteilen. Allgemeine Öffnungsklauseln schaffen die Möglichkeit für eine Vielzahl mitgliedstaatlicher Regelungen, wie Art. 23 DSGVO, der eine Vielzahl von Abweichungsmöglichkeiten von den Betroffenenrechten ermöglicht.193 Spezifische Öffnungsklauseln lassen mitgliedstaatliche Regelungen nur in einem sehr eingeschränkten Bereich zu, wie Art. 8 Abs. 1 DSGVO für die Abweichung von der Altersgrenze für die Einwilligungsfähigkeit der DSGVO.194 Öffnungsklauseln schaffen die Befugnis der Mitgliedstaaten zur Konkretisierung, Ergänzung oder Modifikation der Regelungen der DSGVO.195 Neben echten Öffnungsklauseln, die eine Handlungsoption (fakultative Öffnungsklauseln) oder ein Handlungsgebot (obligatorische Öffnungsklauseln) enthalten,196 finden sich auch bloße Verweise auf Regelungen der Mitgliedstaaten oder der Union ohne Ermächtigung zur Regelung durch die Mitgliedstaaten (unechte Öffnungsklauseln).197
53
Soweit die DSGVO als Rechtsakt der Union einen Sachverhalt nicht abschließend regelt und in diesem ungeregelten Bereich eine mitgliedstaatliche Regelung existiert, die nicht im Widerspruch zur DSGVO oder anderen Regelungen des Unionsrechts steht, kann diese Regelung des mitgliedstaatlichen Rechts ergänzend zur DSGVO erlassen werden oder neben der DSGVO in Kraft bleiben.198 Insofern kann es über die explizit im Wortlaut der DSGVO abgebildeten Öffnungsklauseln hinaus implizite Öffnungsklauseln geben.199 Das Vorliegen einer impliziten Regelungslücke wird etwa für die Regelung zum Scoring in § 31 BDSG (siehe § 31 Rn. 42ff.) diskutiert.200 Der Bundesgesetzgeber hat sich für den Erlass von § 31 BDSG jedenfalls nicht auf eine explizite Öffnungsklausel in der DSGVO berufen.201
54
Das Konzept der sekundärrechtlichen Rechtsetzung mittels einer Verordnung mit Öffnungsklauseln ist so im Primärrecht eigentlich nicht vorgesehen. Faktisch wird mit der DSGVO damit ein nicht vorgesehener Zwitter geschaffen, der Elemente der Verordnung und der Richtlinie vereint.202 Für den Rechtsanwender ergibt sich daraus die praktische Herausforderung, Normen unterschiedlicher Hierarchieebenen anzuwenden und mögliche Konflikte zu einem Ausgleich zu bringen. Dies kann eine schwierige Aufgabe sein und Rechtsunsicherheiten schaffen, da für jede Regelung des deutschen Rechts geprüft werden muss, ob und wie weit sie neben der DSGVO angewendet werden kann.203
55
Systematisch ist dafür zunächst von der DSGVO auszugehen.204 Die DSGVO ist im Verhältnis zum Recht der Mitgliedstaaten das höherrangige Recht mit Anwendungsvorrang.205 Klarstellend ist dies entsprechend in § 1 Abs. 5 BDSG geregelt (siehe § 1 Rn. 35). Nur wenn und soweit die DSGVO eine Öffnung zur mitgliedstaatlichen Regelung vorsieht, kommt die Anwendung des mitgliedstaatlichen Rechts in Betracht. Im nächsten Schritt ist daher zu prüfen, ob es eine Regelung im mitgliedstaatlichen Recht gibt. Für diese Regelung muss dann geprüft werden, ob sie sich entsprechend der Prüfung von Schranken-Schranken in der Grundrechtsdogmatik im Rahmen der Öffnungsklausel bewegt. Soweit die mitgliedstaatliche Regelung über die Öffnung in der DSGVO hinausgeht, muss dies im Rahmen europarechtskonformer Auslegung206 korrigiert werden. Ggf. kann die Anwendung der mitgliedstaatlichen Norm auch insgesamt ausgeschlossen sein.
III. Neues deutsches Datenschutzrecht
56
Die DSGVO hat Anwendungsvorrang vor dem deutschen Datenschutzrecht, schafft aber durch zahlreiche Öffnungsklauseln auch Regelungsbefugnisse für die Mitgliedstaaten. Diese verbleibenden Regelungsbereiche können und müssen von den Stellen der deutschen Legislative entsprechend der Kompetenzregelungen der Art. 70ff. GG mit Leben gefüllt werden. Insofern bleibt es in der föderalen deutschen Struktur bei einer zweigeteilten Zuständigkeit mit einer Bundeskompetenz, die zum Erlass des BDSG geführt hat. Neben der Bundeskompetenz besteht auch eine Länderkompetenz, die zum Erlass von Landesdatenschutzgesetzen genutzt werden kann.207
1. Bundesdatenschutzgesetz – Gesetzgebungsprozess