DSGVO - BDSG - TTDSG

43

Durch den 2009 in Kraft getretenen Vertrag von Lissabon wurden die drei Säulen der Union, die Europäischen Gemeinschaften (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitgehend vereinigt. Gleichzeitig haben sich in datenschutzrechtlicher Hinsicht wichtige Änderungen ergeben. Art. 16 Abs. 2 AEUV148 regelt nun die Zuständigkeit für den Erlass von Datenschutzvorschriftenumfassend und ordnet an, dass diese von Parlament und Rat im ordentlichen Gesetzgebungsverfahren gem. Art. 294 AEUV erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und dessen Kompetenzen erheblich vergrößert.149 Auch die DSGVO stützt sich auf die neu geschaffene europäische Kompetenz für das Datenschutzrecht. Inhaltlich erweitert der Vertrag von Lissabon die Kompetenzen der Union, indem diese nun die Verarbeitung personenbezogener Daten nicht nur für europäische Organe und Einrichtungen, sondern auch für die Mitgliedstaaten regeln kann.150 Über die kompetenzielle Neuordnung hinaus wurde mit dem Vertrag von Lissabon auch die Europäische Grundrechtecharta rechtsverbindlich, die in Art. 8 das Grundrecht auf den Schutz personenbezogener Daten enthält (zum europäischen Grundrechtsschutz s. Art. 1 Rn. 13ff.).151 Für die Entwicklung des Datenschutzrechts in seiner europäischen Dimension kommt dem Vertrag von Lissabon damit eine herausgehobene Stellung zu.

44

Die Kompetenz für den Erlass der Richtlinie folgt aus Art. 16 Abs. 2 AEUV, wonach das Europäische Parlament und der Rat die Kompetenz zur Rechtsetzung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten haben.152 Diese Kompetenz besteht gem. Art. 5 Abs. 3 EUV jedoch nur unter dem Vorbehalt der Subsidiarität.153 Eine gemeinschaftsrechtliche Regelung kann nur getroffen werden, wenn ihre Ziele durch eine Umsetzung auf mitgliedstaatlicher Ebene nicht erreicht werden können. Eine weitere Kompetenzbegrenzung folgt aus Art. 5 Abs. 4 EUV, wonach europäische Regelungen nur so weit zulässig sind, wie sie sich im Hinblick auf den Regelungszweck im Rahmen der Verhältnismäßigkeit bewegen.

45

Dass die Grundsätze der Subsidiarität und Verhältnismäßigkeit durch die Union beim Erlass der DSGVO gewahrt sind, wird in der Literatur bezweifelt.154 Der europäische Datenschutzbeauftragte155 und der Wirtschafts- und Sozialausschuss156 sowie der Ausschuss der Regionen157 begrüßten an dem Entwurf der DSGVO die stärkere Berücksichtigung der Grundrechte und den Harmonisierungsgedanken,158 kritisierten aber,159 ebenso wie Vertreter der rechtswissenschaftlichen Literatur und Lobbyvertreter,160 die Verfassungsmäßigkeit des Regelungsinstruments der Verordnung selbst, die im Konflikt mit dem Subsidiaritätsgedanken stehe. Die Diskussion um die Kompetenz der Union zum Erlass der DSGVO gipfelte in einer Subsidiaritätsrüge des Bundesrates,161 die letztlich jedoch an dem erforderlichen Quorum von einem Drittel der Parlamente der Mitgliedstaaten scheiterte.162 Der Subsidiaritätsrüge schlossen sich nur Belgien, Frankreich, Italien und Schweden an.163

46

Das europäische Recht genießt im Rahmen der Kompetenzübertragung an die europäischen Institutionen Anwendungsvorrang vor dem deutschen Recht.164 Dies hat zur Konsequenz, dass die DSGVO nicht an den deutschen Grundrechten zu messen ist.165 Entsprechend wurde im Vorfeld der Verabschiedung der DSGVO kritisiert, dass mit der DSGVO 30 Jahre Rechtsprechung des BVerfG zum Datenschutzrecht obsolet würden.166 Dieses Schutzdefizit wird in materiellrechtlicher Hinsicht jedoch kompensiert, indem die DSGVO auf europäischer Ebene an dem Grundrecht auf Datenschutz gem. Art. 8 GrCh zu messen ist,167 das der Gewährleistung der informationellen Selbstbestimmung in der deutschen Grundrechtsdogmatik entspricht. Dennoch sieht sich die DSGVO erheblicher verfassungsrechtlicher Kritik ausgesetzt.168 Diese ist zum einen dadurch begründet, dass es auf europäischer Ebene keine Rechtsprechung gibt, die ein der Grundrechtsrechtsprechung des BVerfG entsprechendes Niveau erreicht.169 Zudem führt die Regelung des Datenschutzes auf europäischer Ebene dazu, dass den Betroffenen der Weg zu einer Verfassungsbeschwerdevor dem BVerfG erschwert ist, während es auf europäischer Ebene keinen Rechtsbehelf gibt, der den Betroffenen nach der Erschöpfung des Rechtsweges Rechtsschutz wegen der Verletzung von Grundrechten aus der GrCh bietet.170

47

Der Primärrechtsschutz wegen der Verletzung von Rechten nach der DSGVO ändert sich hingegen mit Inkrafttreten der DSGVO nicht, da die mitgliedstaatlichen Gerichte auch für die Anwendung des Gemeinschaftsrechts zuständig sind.171 Gegen Maßnahmen der Aufsichtsbehörden bleibt es daher bei der Zuständigkeit der Verwaltungsgerichteund gegen Datenschutzverstöße von Privaten kann Rechtsschutz vor den ordentlichen Gerichten erlangt werden.172 Ein entscheidender Unterschied ergibt sich jedoch im Fall der Erschöpfung des Rechtsweges, da die Entscheidungskompetenz des BVerfG eingeschränkt sein kann. Nach der Solange-Rechtsprechung des BVerfG überprüft dieses europäische Rechtsakte nämlich nicht am Maßstab des Grundgesetzes, solange die europäischen Gemeinschaften insbesondere durch die Rechtsprechung des EuGH einen Grundrechtsschutz gewährleisten, der in seinem Wesensgehalt mit dem der Grundrechte des GG vergleichbar ist.173

48

Während in der Solange I-Entscheidung174 noch davon ausgegangen wurde, dass dieses Schutzniveau nicht erreicht ist, geht das BVerfG seit der Solange II-Entscheidung175 davon aus, dass ein entsprechendes Schutzniveau besteht. Eine Überprüfungskompetenz des BVerfG besteht in Anwendung dieser Grundsätze nur solche Rechtsakte, die aufgrund einer Öffnungsklausel in der DSGVO erlassen wurden176 und nach den Grundsätzen der Lissabon-Entscheidung für europäische Rechtsakte, die offensichtlich in den Kernbereich souveräner Staatlichkeit eingreifen,177 soweit diese strukturelle Bedeutung haben und vom EuGH unbeanstandet geblieben sind.178 Ein Verstoß gegen europäische Grundrechte kann danach nur indirekt im Wege des Vorabentscheidungsverfahrens gem. Art. 267 Abs. 3 AEUV durch eine Vorlage eines Fachgerichts vom EuGH auf einen Verstoß gegen europäische Grundrechte geprüft werden.179 Eine Pflicht zur Vorlage ergibt sich gem. Art. 267 Abs. 3 AEUV für Gerichte, deren Entscheidungen nicht mehr mit innerstaatlichen Rechtsmitteln angefochten werden können, insbesondere also für Entscheidungen des BVerwG und des BGH.180 Mit den Entscheidungen Recht auf Vergessen I181 und Recht auf Vergessen II182 relativiert das BVerfG diese Grundsätze und schafft die Möglichkeit der verfassungsrechtlichen Kontrolle deutscher Stellen am Maßstab der deutschen Grundrechte (Recht auf Vergessen I) mit der Vermutung, dass dadurch auch die Europäischen Grundrechte mitgewährleistet seien und der direkten Anwendung der Europäischen Grundrechte durch das BVerfG unter Berufung auf die Integrationsverantwortung nach Art. 23 Abs. 1 GG (Recht auf Vergessen II).183

49

Alternativ verbleibt die Möglichkeit einer Nichtigkeitsfeststellungsklage gem. Art. 263 Abs. 4 i.V.m. Art. 256 Abs. 1 AEUV,184 mit der die Nichtigkeit der Verordnung erklärt werden könnte.185 Die Klage setzt jedoch den regelmäßig nicht erbringbaren Nachweis voraus, dass der Kläger unmittelbar und individuell wegen besonderer Eigenschaften betroffen ist, die ihn aus dem Kreis aller übrigen Personen heraushebt.186

50

Als letzte Möglichkeit verbleibt nach einem Beitritt der EU zum Europarat die Möglichkeit einer Klage vor dem EGMR unter Berufung auf die EMRK. Die Verfahrensvoraussetzungen sind nicht besonders hoch, jedoch ist aufgrund der Überlastung des Gerichts mit einer langen Verfahrensdauer zu rechnen.187