europäische Datenschutz ist auf Unionsebene inzwischen sehr ausgeprägt geregelt. Es existiert primärrechtlich (→ Primärrecht) ein fest verankertes Grundrecht auf Schutz personenbezogener Daten, das im → Sekundärrecht auf unterschiedliche Weise konkretisiert und durch die Rechtsprechung des Gerichtshofes der EU (→ Gerichtssystem der EU) – im Zweifel betroffenenfreundlich – ausgelegt und angewendet wird. Mit der Datenschutz-Grundverordnung wird nun ein hoher datenschutzrechtlicher Standard in allen Mitgliedstaaten sichergestellt. Doch auch auf der völkerrechtlichen Ebene des → Europarats spielt europäischer Datenschutz in einem speziell dazu aufgelegten Abkommen eine wichtige Rolle.
D › Datenschutz, Europäischer (Björn Schiffbauer) › I. Historische Entwicklung
I. Historische Entwicklung
479
Eine erste Andeutung, dass Datenschutz auf europäischer Ebene eine besondere Rolle spielen kann, lieferte der → Europäische Gerichtshof (EuGH) mit seiner Stauder-Entscheidung (Urt. v. 12.11.1969, 29/69, – Stauder/Ulm –). Darin (amtl. Rn. 7 der Entscheidungsgründe) wird nämlich der Umgang personenbezogener Daten erstmalig mit grundrechtlichen Garantien in Verbindung gebracht. Die erste grundrechtlich relevante Entscheidung des EuGH war damit auch eine datenschutzrechtlich einschlägige.
480
Auf völkerrechtlicher Ebene gelang dem Europarat mit dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.1.1981 ein beachtlicher Vorstoß. Die Bundesrepublik Deutschland gehörte zu den ersten Staaten, die diesen Vertrag ratifizierten.
481
Diese Entwicklung strahlte jedoch nur mit Verzögerung auf das geschriebene Recht der damaligen E(W)G ab. Noch im Vertrag von Maastricht (in Kraft getreten am 1.11.1993; → Europäische Union: Geschichte) fanden sich keine datenschutzrechtlichen Vorgaben. Allerdings wurde auf Grundlage des EGV – allgemein zur Verwirklichung der Ziele der damaligen EG – der lange Zeit bedeutendste datenschutzrechtliche Sekundärrechtsakt erlassen, nämlich die Datenschutz-RL 95/46/EG vom 24.10.1995. So kam zumindest indirekt zum Ausdruck, dass der Datenschutz als Teil der europäischen Idee angesehen und der Gemeinschaftszuständigkeit zugeordnet wurde.
482
Bis man von einem Europäischen Datenschutz i.S.e. zusammenhängenden Systems geschriebener Regelungen sprechen konnte, verging noch einige Zeit. Eingang in das Primärrecht fand der Datenschutz erst mit dem Vertrag von Amsterdam (in Kraft getreten am 1.5.1999). Der damit neu eingefügte Art. 213b EGV (ab der Version des Vertrages von Nizza: Art. 286 EGV) stärkte den Schutz personenbezogener Daten und bot die Grundlage für einen Europäischen Datenschutzbeauftragten. Ein solcher wurde durch Art. 41 der VO (EG) Nr. 45/2001 eingerichtet und existiert tatsächlich seit 2004.
483
Mit dem Vertrag von Lissabon (in Kraft getreten am 1.12.2009) schließlich wurde der Datenschutz gleich dreifach primärrechtlich verankert: in Art. 39 EUV, Art. 16 AEUV und Art. 8 → Grundrechtecharta (GRCh). Spätestens seitdem sind datenschutzrechtliche Klauseln in Sekundärrechtsakten nicht mehr hinwegzudenken. Doch auch der Datenschutz als eigene Regelungsmaterie hat jüngst einen Quantensprung vollzogen: Zunächst bot der EuGH mit seinem viel beachteten Google-Urteil vom 13.5.2014 (Rs. C-131/12) transnationalen Datensammlern die Stirn, verankerte das sog. Marktortprinzip und deutete zudem ein „Recht auf Vergessenwerden“ an. Zwei Jahre später traten die lange verhandelte Datenschutz-Grundverordnung (VO [EU] 2016/679 – „DSGVO“) sowie die Datenschutz-RL für Polizei und Strafjustiz 2016/680 in Kraft, nämlich am 25.5.2016. Zwei Jahre später, am 25.5.2018, hat die DSGVO gem. ihrem Art. 99 Abs. 2 Geltung in der gesamten EU erlangt.
D › Datenschutz, Europäischer (Björn Schiffbauer) › II. Rechtsgrundlagen
1. Primärrecht
484
Die datenschutzrechtliche Kernbestimmung im → Primärrecht ist Art. 16 AEUV. Sie setzt sich zusammen aus einem Grundrecht (→ Grundrechte: Freiheitsrechte) auf den Schutz personenbezogener Daten (Abs. 1, häufig als konturlos kritisiert) und einer unionalen Gesetzgebungskompetenz auf diesem Gebiet (Abs. 2). Ausdrücklich unberührt davon bleibt jedoch Art. 39 EUV. Diese zweite primärrechtliche Bestimmung zum Datenschutz ist lex specialis für den Bereich der → Gemeinsamen Außen- und Sicherheitspolitik (GASP). Sie unterscheidet sich lediglich im Hinblick auf den Erlass von Sekundärrechtsakten. Während gem. Art. 16 Abs. 2 AEUV grundsätzlich Sekundärrecht in jeder vertraglich vorgesehenen Form eines → Rechtsakts („Vorschriften“) – aber nur gemeinsam durch das → Europäische Parlament und den → Rat (Ministerrat) – erlassen werden kann, geschieht dies gem. Art. 39 S. 1 EUV für den Bereich der GASP durch einfachen → Beschluss des Rates.
485
Daneben ist Art. 8 GRCh einschlägig, wobei Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV wortgleich formuliert (und damit ähnlicher Kritik ausgesetzt) sind. Dies wirft Fragen zum Verhältnis dieser beiden Primärrechtsnormen untereinander auf (→ Normenhierarchie). Umstritten ist etwa, ob Art. 16 AEUV Art. 8 GRCh verdrängt (nach h.M. sei dies nicht der Fall) oder inwieweit die Kollisionsregel des Art. 52 Abs. 2 GRCh greift. Art. 8 Abs. 2 GRCh statuiert – zusätzlich zu den allgemeinen Anforderungen von Art. 52 GRCh – Vorgaben und Grenzen für einen rechtmäßigen Grundrechtseingriff, nämlich den Vorbehalt eines → Rechtsakts, der eine Zweckbindung „nach Treu und Glauben“ sowie ein Auskunftsrecht für Betroffene gewährt oder auf die Einwilligung des Betroffenen abstellt.
486
Alle drei primärrechtlichen Vorgaben haben schließlich gemeinsam, dass die Einhaltung der datenschutzrechtlichen Normen „von unabhängigen Behörden“ (Art. 16 UAbs. 2 S. 2 AEUV, Art. 39 S. 2 EUV) bzw. „von einer unabhängigen Stelle“ (Art. 8 Abs. 3 GRCh) überwacht werden muss. Damit ist eine Institution wie der Europäische Datenschutzbeauftragte – wenn auch nicht ausdrücklich so bezeichnet – primärrechtlich dreifach verbürgt.
2. Sekundärrecht
487
Im → Sekundärrecht regelt VO (EG) Nr. 45/2001 die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union (→