werden kann, geschieht dies gem. Art. 39 S. 1 EUV für den Bereich der GASP durch einfachen → Beschluss des Rates.
485
Daneben ist Art. 8 GRCh einschlägig, wobei Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV wortgleich formuliert (und damit ähnlicher Kritik ausgesetzt) sind. Dies wirft Fragen zum Verhältnis dieser beiden Primärrechtsnormen untereinander auf (→ Normenhierarchie). Umstritten ist etwa, ob Art. 16 AEUV Art. 8 GRCh verdrängt (nach h.M. sei dies nicht der Fall) oder inwieweit die Kollisionsregel des Art. 52 Abs. 2 GRCh greift. Art. 8 Abs. 2 GRCh statuiert – zusätzlich zu den allgemeinen Anforderungen von Art. 52 GRCh – Vorgaben und Grenzen für einen rechtmäßigen Grundrechtseingriff, nämlich den Vorbehalt eines → Rechtsakts, der eine Zweckbindung „nach Treu und Glauben“ sowie ein Auskunftsrecht für Betroffene gewährt oder auf die Einwilligung des Betroffenen abstellt.
486
Alle drei primärrechtlichen Vorgaben haben schließlich gemeinsam, dass die Einhaltung der datenschutzrechtlichen Normen „von unabhängigen Behörden“ (Art. 16 UAbs. 2 S. 2 AEUV, Art. 39 S. 2 EUV) bzw. „von einer unabhängigen Stelle“ (Art. 8 Abs. 3 GRCh) überwacht werden muss. Damit ist eine Institution wie der Europäische Datenschutzbeauftragte – wenn auch nicht ausdrücklich so bezeichnet – primärrechtlich dreifach verbürgt.
2. Sekundärrecht
487
Im → Sekundärrecht regelt VO (EG) Nr. 45/2001 die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union (→ Einrichtungen und sonstige Stellen). Sie ist damit der maßgebliche Rechtsakt für den unionsinternen Datenschutz. Als solcher gestaltet sie auch den Europäischen Datenschutzbeauftragten institutionell und kompetenzmäßig näher aus (Art. 41 ff.). Daneben werden umfangreiche Standards gesetzt zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten, zu Informationspflichten und Rechtsschutzmöglichkeiten zu Gunsten Betroffener sowie zu Sicherheitsvorkehrungen und Kontrollmechanismen (u.a. auch behördliche Datenschutzbeauftragte).
488
Sämtliche Regelungen zum Datenschutz mit externer Reichweite sind nunmehr in der DSGVO zusammengefasst. Sie lässt sich als umfangreiche Konkretisierung des im Primärrecht formulierten Grundrechts auf Schutz personenbezogener Daten verstehen. Bevor die Regelungen der DSGVO am 25.5.2018 Geltung erlangt haben (s. o. Rn. 483), war ihr Vorgängerrechtsakt, nämlich die Datenschutz-RL 95/46/EG, wirksam.
489
Überdies existiert eine kaum überschaubare Menge weiteren Sekundärrechts mit datenschutzrechtlichem Bezug. Zu nennen für den Bereich der Gefahrenabwehr und Strafverfolgung ist dabei zuvörderst die neue Datenschutz-RL für den Sicherheitsbereich 2016/680 (in Kraft getreten am 24.5.2016), die den Rahmenbeschluss 2008/977/JHA ersetzt hat. Besonders im Bereich des europäischen Sicherheitsrechts (z.B. → Europol oder → Polizeiliche Zusammenarbeit [PZ]) sowie im → Europäischen Aufenthalts-, Ausländer- und Asylrecht (dort v.a. in den von der Agentur eu-Lisa betriebenen IT-Großsystemen) sind Konflikte zwischen dem Schutz personenbezogener Daten und der Aufrechterhaltung öffentlicher Sicherheit geradezu systemimmanent. Die einschlägigen Rechtsakte versuchen hier einen angemessenen Interessenausgleich zu schaffen. Dies gelingt freilich nicht immer. So hat der EuGH (Urt. v. 8.4.2015, C-293/12) die Vorratsdatenspeicherungs-RL 2006/24/EG u.a. wegen Verstoßes gegen Art. 8 GRCh für ungültig erklärt.
3. Völkerrecht
490
Außerhalb der EU ist auf völkerrechtlicher Ebene das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108, in Kraft getreten am 1.10.1985) zu nennen, das am 28.1.1981 durch den → Europarat aufgelegt wurde und auch offen für Drittstaaten ist. Es verpflichtet zur Einhaltung internationaler Mindeststandards im Bereich des Datenschutzes. Inzwischen haben alle Mitgliedstaaten des Europarats dieses Abkommen ratifiziert, außerdem sind Kap Verde, Mauritius, Mexiko, der Senegal, Tunesien und Uruguay beigetreten. Ergänzt wurde es durch ein Zusatzprotokoll vom 8.11.2001 (SEV Nr. 181, in Kraft getreten am 1.7.2004), das bislang (Stand: Juli 2018) jedoch nicht von allen Vertragsstaaten ratifiziert worden ist. Dieses Zusatzprotokoll soll u.a. das Übereinkommen für einen Beitritt der EU öffnen, was jedoch erst nach dessen Ratifikation in sämtlichen Vertragsstaaten möglich ist.
491
Unter Beteiligung der EU sind völkerrechtliche Regelungen zum Datenschutz v.a. in speziellen Abkommen zu finden, die jedoch nicht zum Zwecke eines einheitlichen Datenschutzstandards vereinbart wurden, sondern schon aufgrund ihrer Regelungsmaterie datenschutzrechtliche Relevanz aufweisen. Dies sind v.a. Abkommen zur Datenübermittlung zwischen der EU und Drittstaaten, wie sie typischerweise zur Gewährleistung internationaler Sicherheit geschlossen werden. Als Beispiel können Übereinkünfte zur gegenseitigen Fluggastdatenübermittlung genannt werden (etwa das Abkommen mit den USA vom 11.8.2012, Abl. 2012, L 215).
492
Daneben existieren gewisse Vorgaben für den Datentransfer zwischen der EU und ihren Mitgliedstaaten auf der einen sowie Drittstaaten auf der anderen Seite. Diese sind jedoch weder dem Völkervertrags- noch -gewohnheitsrecht zuzuordnen, sondern basieren allenfalls auf Verwaltungsabkommen, politischen Absichtserklärungen oder unverbindlichen Zusicherungen – also soft law. Dazu zählen auch die mit den USA getroffenen und unter den Namen „Safe Harbor“ und „Privacy Shield“ bekannt gewordenen Vereinbarungen (dazu Rn. 502 f.). Ihren Rechtscharakter erlangten diese allerdings erst durch entsprechende Entscheidungen der → Europäischen Kommission; unionsrechtlich gesehen handelt es sich also richtigerweise um Sekundärrecht, nicht um Völkerrecht.
D › Datenschutz, Europäischer (Björn Schiffbauer) › III. Insbesondere die Datenschutz-Grundverordnung (DSGVO)
1. Allgemeines
493
Die DSGVO hat am 25.5.2018 die Datenschutz-RL vollständig abgelöst und sich zudem spürbar auf das Datenschutzrecht der Mitgliedstaaten ausgewirkt. Mit ihr wird eine Vollharmonisierung des Datenschutzrechts in den Mitgliedstaaten angestrebt. Als Reaktion der deutschen Rechtsordnung sind weite Teile des deutschen Bundesdatenschutzgesetzes und auch der Landesdatenschutzgesetze überarbeitet und überlagert worden, weil die DSGVO insoweit Anwendungsvorrang genießt (→
