Personen durch die Verarbeitung personenbezogener Daten ist dies der freie Verkehr personenbezogener Daten in der Union. Der Dualismus des Regelungsgegenstands entspricht Art. 16 Abs. 2 S. 1 AEUV. Die Ziele der DSRL, welche durch die Grundverordnung ersetzt wird, besitzen zwar nach wie vor Gültigkeit.[3] Doch nicht nur hinsichtlich der Wahl des Rechtsakts zur Regelung des Datenschutzes und des freien Datenverkehrs unterscheiden sich die beide Sekundärrechtsakte, sondern auch in ihrer Kompetenzgrundlage. Die damalige Befugnis zum Erlass von Maßnahmen stand im Zusammenhang mit dem Binnenmarkt, was in Bezug auf den Datenschutz als Persönlichkeitsschutz nicht vollumfänglich der Fall ist, für die Regelung der Datenverarbeitung als Harmonisierungsmaßnahme aber problemlos greift.[4] Dem Abbau von Handelshemmnissen dient auch die DS-GVO.[5] Auf die Binnenmarktdimension des Datenschutzrechts verweist das Ziel des freien Datenverkehrs.[6] Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.[7]
3
Die Regelung des Datenschutzrechts in Form der DS-GVO kann auch als Anpassung an die Veränderung im Primärrecht verstanden werden. Art. 16 Abs. 1 AEUV als Entsprechung des Art. 8 Abs. 1 GRCh normieren seit dem Jahr 2009 gemeinsam das Recht auf Datenschutz auf Primärrechtsebene. Art. 16 Abs. 2 AEUV wurde erst durch den Vertrag von Lissabon eingefügt und ist die Grundlage der DS-GVO.[8] Die Grundverordnung dient also nicht mehr nur der Verwirklichung des Binnenmarkts, sondern gleichermaßen unmittelbar dem Schutz des von Art. 8 GRCh und Art. 16 Abs. 1 AEUV verbürgten Grundrechts.[9]
4
Im Ergebnis fasst Abs. 1 die beiden Folgeabsätze als eine Art „Programmnorm“ zusammen, indem er feststellt, dass die DS-GVO insgesamt die inhaltlich gleichen Ziele, den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten als auch den freien Verkehr mit solchen Daten, regelt.[10]
III. Schutz der Grundrechte und Grundfreiheiten (Abs. 2)
5
Nach Abs. 2 verfolgt die DS-GVO in Übereinstimmung mit Art. 1 Abs. 1 DSRL den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und hebt dabei deren Recht auf Schutz der sie betreffenden Daten hervor. Aufgrund des unmittelbaren Zusammenhangs zwischen dem grundrechtlichen Schutz personenbezogener Daten im AEU-Vertrag mit der die EU-Kompetenz begründenden Norm Art. 16 Abs. 2 AEUV kann eine Schutzpflicht, die mithin zum Erlass eines Datenschutzkonzepts verpflichtet, abgeleitet werden.[11] Die DS-GVO dient der Erfüllung dieser Schutzpflicht.
6
Der Schutz der sie betreffenden personenbezogenen Daten ist ein Grundrecht jeder natürlichen Person ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsortes.[12] Die DS-GVO verfolgt ausdrücklich den Schutz dieses Grundrechts. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht.[13] Das Primärrecht sieht in Art. 8 Abs. 2 S. 1 GRCh eine Einschränkung vor, wonach Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Das damit kodifizierte Verbot mit Erlaubnisvorbehalt, das Recht auf Auskunft (Art. 8 Abs. 2 S. 2 GRCh) sowie die Überwachung des Datenschutzes durch eine unabhängige Stelle (Art. 8 Abs. 3 GRCh) finden in der DS-GVO ihre sekundärrechtliche Konkretisierung.
7
Die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten richten sich sowohl gegen öffentliche als auch gegen private Datenverarbeiter.[14]
IV. Freier Datenverkehr (Abs. 3)
8
Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes der von der Datenverarbeitung Betroffenen weder eingeschränkt noch verboten werden (Abs. 3). Insoweit darf der Datenschutz nach Abs. 3 keine innereuropäische Verkehrsbeschränkung begründen. Diese Behauptung hält einer Überprüfung aber nicht stand. Tatsächlich beinhaltet die DS-GVO zahlreiche datenflussbeschränkende Normen in Form von diversen Auflagen und strengen Rechtmäßigkeitsvoraussetzungen.[15] Das Schutzziel, so wie es auch in Art. 1 Abs. 2 DSRL geregelt war, hat durch die zwischenzeitliche Normierung einer Kompetenzgrundlage im AEUV ihre ursprüngliche Funktion, über den Binnenmarktbezug zur Rechtssetzungsbefugnis beizutragen, verloren und nimmt nun eine unklare Stellung ein.[16]
9
Gewährleistet die DS-GVO ein hohes Datenschutzniveau, darf der Verkehr personenbezogener Daten innerhalb der Union weder beschränkt noch untersagt werden.[17] Dazu besteht auch keine Veranlassung. Der Unionsgerichtsbarkeit nach ist das Schutzziel des freien Datenverkehrs durch Vereinheitlichung herzustellen, aber hierbei ein hohes datenschutzrechtliches Schutzniveau zu gewährleisten.[18] Dieses Verständnis erstreckt sich auch auf die DS-GVO, denn durch die zwischenzeitliche Veränderung des Primärrechts hat die grundrechtliche Zielrichtung der Datenschutzgesetzgebung der EU ein noch stärkeres Gewicht erhalten als zum Zeitpunkt des Erlasses der DSRL.[19]
10
Bedeutung gewinnt das Schutzziel vor allem bei der Nutzung von Daten in verschiedenen Mitgliedstaaten. Dieses trägt dazu bei gleichen Wettbewerbsbedingungen innerhalb der Union zu schaffen.[20]
Anmerkungen
Vgl. ErwG 13.
Vgl. ErwG 9.
Vgl. ErwG 9 S. 1.
Simitis-Simitis EG-Datenschutzrichtlinie, 1997, Einleitung, Rn. 6, 8. Als Rechtsgrundlage diente Art. 100a EWG-Vertrag, eingefügt durch Art. 18 Einheitliche Europäische Akte (EEA), ABl. L 169 v. 29.6.1987, 1; heute: Art. 114 AEUV.
Vgl. ErwG 9 S. 2 und 3 und ErwG 13; Vgl. auch Albrecht/Jotzo Das neue Datenschutzrecht der EU, 2017, 38.
Vgl. Grabitz/Hilf/Nettesheim-Sobotta Art. 16 AEUV Rn. 32.
ErwG 13 S. 2.
Vgl.
