Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

78Neben der DSGVO und dem BDSG n.F. findet auch das bereichsspezifische Datenschutzrecht (bspw. im Meldewesen, Telekommunikationssektor, Sozialversicherungsrecht, Finanz- und Steuerverwaltung etc.) in Deutschland Anwendung (vgl. § 1 Abs. 2 BDSG n.F.), das jedoch für die vorliegende Erörterung außer Betracht bleibt. 79Der europäische Gesetzgeber bezieht sich auf beide Alternativen des Art. 16 Abs. 2 S. 1 AEUV in der DSGVO, vgl. Art. 1 Abs. 1 DSGVO, Erwägungsgrund 12. Von der Kompetenzgrundlage hat der europäische Gesetzgeber in Anbetracht des Prinzips der begrenzten Einzelermächtigung, des Subsidiaritätsprinzips und des Verhältnismäßigkeitsgrundsatzes rechtmäßig Gebrauch gemacht, vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 21ff.; Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 3f.; zu den „Schrankentrias“ vgl. m.w.N. Trstenjak/Beysen, EuR 2012, 265 (266); zur Kompetenzregelung in Bezug auf die EU-Datenschutzrichtlinie vor Inkrafttreten des Lissabonner Vertrages siehe m.w.N. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 4ff. 80Greve, NVwZ 2017, 737 (743), der jedoch keinen möglichen Verstoß gegen das Normwiederholungsverbot erkennt. 81Allgemein zum Normwiederholungsverbot u.a. W. Schroeder, in: Streinz, EUV/AEUV, Art. 288 AEUV, Rn. 43, 50; EuGH, Rs. 272/83, Kommission/Italien, Slg. 1985, 1057, Rn. 26f. 82EuGH, Rs. 314/85, Foto-Frost, Slg. 1987, 4199, Rn. 12ff. 83Ebenso Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 8. Entgegen der Meinung der Verfasser lässt sich aus dieser Formulierung allerdings nicht die Schlussfolgerung ziehen, die DSGVO böte generell keinen Raum für „implizierte“ Öffnungsklauseln. Anders als direkte Öffnungsklauseln in der DSGVO, durch die Mitgliedstaaten ausdrücklich zum Erlass innerstaatlicher Vorschriften ermächtigt werden, besteht gem. Art. 2 Abs. 2 AEUV im Bereich geteilter Zuständigkeit auch dann ein normativer Handlungsspielraum, „sofern und soweit die Union ihre Zuständigkeit nicht ausgeübt hat.“ Implizierte Öffnungsklauseln währen also dann fort, soweit die DSGVO einen Sachverhalt nicht abschließend geregelt hat und die nationale Vorschrift nicht im Wiederspruch zur DSGVO steht, vgl. grundsätzlich ebenfalls Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 14, 19. Erwägungsgrund 8 bringt hingegen lediglich zum Ausdruck, dass eine Wiederholung des Verordnungswortlautes überhaupt dann nur in Betracht kommt, wenn die DSGVO eine Öffnungsklausel enthält. Ist der deutsche Gesetzgeber jenseits solcher direkten Öffnungsklauseln tätig geworden, gibt die DSGVO keinen konkreten Wortlaut her, der wiederholt werden könne. 84Vgl. Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 20. 85Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 10. 86Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 10. 87Zustimmend Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 10f. 88Abzuwarten bleibt, inwieweit sich deutsche Gerichte bei der Auslegung und Anwendung des BDSG n.F. mäßigen und in normativer Hinsicht lediglich den eigenständigen Gestaltungsspielraum überprüfen werden, da das BVerfG gerade nicht hinsichtlich der Frage zuständig ist, ob innerstaatliches einfaches Recht mit einer vorrangigen Bestimmung des Unionsrechts unvereinbar ist, vgl. BVerfG, Beschluss vom 9. Juni 1971 – 2 BvR 225/69 = BVerfGE 31, 145 (174f.). Bei Berührungspunkten mit der DSGVO, einschließlich der Kompatibilität einzelner Vorschriften des BDSG n.F. mit den Vorgaben der DSGVO, kann daher nur der EuGH eine Entscheidung treffen, vgl. Greve, NVwZ 2017, 737 (743). Ausführlich zum Kompetenzverhältnis zwischen EuGH und BVerfG siehe Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 66ff. 89Zur Geltung der Rechtsakte der EU vgl. EuGH, Rs. 6/64, Costa/E.N.E.L., Slg. 1964, 1141; EuGH, Rs. 106/77, Simmenthal II, Slg. 1978, 629, Rn. 17f. 90Wann hingegen kein Konflikt zwischen nationalem Recht und Unionsrecht gegeben ist, vgl. im Allgemeinen Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 12ff. 91Grundlegend erstmalig vgl. EuGH, Rs. 6/64, Costa/E.N.E.L., Slg. 1964, 1141; EuGH, Rs. 106/77, Simmenthal II, Slg. 1978, 629, Rn. 17f. Auch das BVerfG hat anerkannt, dass der Anwendungsvorrang gegenüber nationalem Gesetzesrecht „auf einer ungeschriebenen Norm des primären Gemeinschaftsrechts“ beruht, BVerfGE 73, 223 (244). Zur Begründung des Anwendungsvorrangs aufgrund der Integrationsfunktion des Unionsrechts, vgl. BVerfGE 126, 286 (301f.); m.w.N. Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 7ff., wonach das Integrationsziel auch für die DSGVO gilt. 92Vgl. EuGH, Rs. 106/77, Simmenthal II, Slg. 1978, 629, Rn. 17ff.; später klarstellend EuGH, Rs. 10/97 u. 22/97, Ministero delle Finanze/IN.CO.GE., Slg. 1998, I-6307, Rn. 20f.; zum Anpassungszwang der Mitgliedstaaten bei widerstreitenden nationalen Vorschriften infolge des Grundsatzes zur loyalen Zusammenarbeit nach Art. 4 Abs. 3 EUV vgl. EuGH, Rs. 74/86, Kommission/Deutschland, Slg. 1988, 2139, Rn. 11. 93Eine exekutive Nichtanwendungsbefugnis kollidierender nationaler Vorschriften erscheint im Hinblick auf die Gesetzesbindung, den Gewaltenteilungsgrundsatz und das Demokratieprinzip äußerst problematisch, da dies eine inzidente Normverwerfungskompetenz zur Folge hätte, weshalb nach überzeugender Ansicht nur bei evidenter Europarechtswidrigkeit der Exekutive eine Nichtanwendungsbefugnis zustehen sollte, vgl. m.w.N. Greve, NVwZ 2017, 737 (743f.); Ruffert, in: Calliess/Ruffert, EUV/AEUV, Art. 288 AEUV, Rn. 73f.; EuGH, Rs. 103/88, Fratelli Costanzo, Slg. 1989, I-1893; vertiefend m.w.N. Demleitner, NVwZ 2009, 1525 (1525ff.); gegen eine solche Nichtanwendungsbefugnis der Verwaltung in Bezug auf potenziell nicht-richtlinienkonformes nationales Recht W. Schroeder, in: Streinz, EUV/AEUV, Art. 288 AEUV, Rn. 105. 94Zwar war eine Koexistenz von nationalen Datenschutzgesetzen und DSGVO aufgrund der Einführung zahlreicher Öffnungsklauseln vom europäischen Gesetzgeber durchaus gewollt, dabei hätte eine Kollision deutscher Regelungen mit Vorgaben der DSGVO (oder zumindest Zweifel daran) aber bestenfalls vom deutschen Gesetzgeber vermieden werden müssen, vgl. Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 12; kritisch zum niedrigen Schutzniveau des BDSG n.F. (Entwurf) Roßnagel, DuD 2017, 277 (280f.). 95Dazu ausführlich S. 154ff. 96Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391ff.), im Folgenden: GRCh; zur Entstehungsgeschichte der GRCh Meyer, in: Meyer/Hölscheidt, Charta der Grundrechte der EU, Präambel, Rn. 14ff. 97Vertrag über die Europäischen Union in der Fassung der Bekanntmachung vom 9. Mai 2008 (ABl. C 115 vom 9.5.2008, S. 13ff.), im Folgenden: EUV. 98Zwar ist die GRCh erst seit Inkrafttreten des Vertrages von Lissabon im Jahr 2009 gem. Art. 6 Abs. 1 EUV für alle Mitgliedstaaten verpflichtend, jedoch hatte der EuGH schon zuvor die GRCh einbezogen, obwohl sie noch nicht verbindlich war. Die zuvor aus den nationalen Verfassungstraditionen der Mitgliedstaaten entwickelten Grundsätze gelten weiterhin fort, vgl. Art. 6 Abs. 3 EUV. 99Nach Sicht des EuGH wird der Geltungsbereich der Unionsgrundrechte durch den Anwendungsbereich des Unionsrechts bestimmt, vgl. EuGH, Rs. 198/13, Hernández, ECLI:EU:C: 2014:2055, Rn. 33. 100EuGH, Rs. 11/70, Internationale Handelsgesellschaft, Slg. 1970, 1125 (1135), Rn. 3; EuGH, Rs. 399/11, Melloni, ECLI:EU:C:2013:107, Rn. 59ff.; zuletzt EuGH, Rs. 198/13, Hernández, ECLI:EU:C:2014:2055, Rn. 47; zum Kooperationsverhältnis von BVerfG und EuGH vgl. m.w.N. Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 51 EU-GRCharta, Rn. 8ff; Wegener, in: Calliess/Ruffert, EUV/AEUV, EU-Vertrag (Lissabon) Art. 19, Rn. 28ff., einschließlich der sog. „Solange“-Rechtsprechung des BVerfG (siehe BVerfGE 37, 271 (271ff.); BVerfGE 73, 339 (339ff.)). Auch weiterhin wird der Grundkonflikt die Diskussion prägen, ob und inwieweit aus europäischen Verpflichtungen Begrenzungen des nationalen Grundrechtsschutzes erwachsen. 101Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 7. 102Nur sofern ein Umsetzungsspielraum gegeben ist, unterliegt das BDSG n.F. der Grundrechtskontrolle durch das BVerfG, vgl. BVerfG, Beschluss vom 06. November 2019 – 1 BvR 16/13; m.w.N. Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 89. Das BVerfG überprüft hingegen das nationale Recht am Maßstab der Unionsgrundrechte, wenn die anwendbaren Regelungen unionsrechtlich vollständig vereinheitlich sind, also dem nationalen Gesetzgeber kein Spielraum eingeräumt wurde, vgl. BVerfG, Beschluss vom 06. November 2019 – 1 BvR 276/17; BVerfG, Beschluss vom 13. März 2007 – 1 BvF 1/05 = BVerfGE 118, 79 (95f.). Konflikte bei Kompetenzfragen im Bereich der Öffnungsklauseln sind daher absehbar, Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 108. 103Klement, JZ 2017, 161 (167). 104Die Mitgliedstaaten haben bei der Ausgestaltung des nationalen Rechts im Zuge der Umsetzung einer EU-Richtlinie „die Erfordernisse des Schutzes der in der Gemeinschaftsordnung anerkannten allgemeinen Grundsätze, zu denen auch die Grundrechte zählen, bei der Durchführung gemeinschaftsrechtlicher Regelungen zu beachten“, EuGH, Rs. 540/06, Parlament/Rat, Slg. 2006, I-5769, Rn. 105; zum Überblick des Streits hinsichtlich des Prüfungsmaßstabs von nationalen oder europäischen Grundrechten bei der Durchführung von EU-Richtlinien ausführlich Calliess, JZ 2009, 113 (115ff.). 105Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 8. 106Klement, JZ 2017, 161 (166) lässt bereits eine unionsrechtliche „Veranlassung“ mitgliedstaatlichen Handelns genügen, um das Erfordernis des unmittelbaren (oder auch mittelbaren) Vollzugs von Unionsrecht zu begründen. 107Kritisch gegenüber einem rigiden Anwendungsvorrang der GRCh gegenüber nationalen Grundrechten insbesondere Kirchhof, NVwZ 2014, 1537 (1538ff.), wonach nationale Grundrechte im gleichen Maße bei der Anwendung der Normen der GRCh zu berücksichtigen sind, denn im Gegensatz zum Anwendungsvorrang von europäischen Normen vor nationalem Recht, findet der Integrationsgedanke der EU bei europäischen Grundrechten keine Beachtung; für ein Nebeneinander von nationalen und europäischen Grundrechten im Ergebnis ebenso Schantz/Wolff, Das neue Datenschutzrecht, Rn. 194ff.; Greve, NVwZ 2017, 737 (744); a.A. Albrecht/Janson, CR 2016, 500 (503ff.); Klement, JZ 2017, 161 (167f.), der eine Anwendung der nationalen Grundrechte wegen des abschließenden Charakters der DSGVO ausschließt. 108Schantz/Wolff, Das neue Datenschutzrecht, Rn. 196. 109Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 65.