DA+

Aufsatz : Primärrechtliche Vorgaben für eine Reform des Datenschutzrechts : aus der RDV 1/2015, Seite 10 bis 17

Lesezeit 27 Min.

Nach den Wahlen zum Europäischen Parlament wird die Reform des Datenschutzrechts nun wieder als eines der zentralen Gesetzgebungsvorhaben auf EU-Ebene vorangetrieben. Viele Punkte sind weiterhin streitig, selbst ein vollständiges Scheitern ist nicht auszuschließen. Nicht wenige der bislang noch ungelösten Fragen sind dabei nicht allein rechtspolitischer Natur, sondern sie betreffen grundlegende rechtsdogmatische Probleme, insbesondere zum Wechselspiel zwischen sekundärem Datenschutzrecht und Primärrecht. Der nachfolgende Beitrag gibt eine Übersicht zu primärrechtlichen Vorgaben, die bei der Reform des Datenschutzrechts zu beachten sind. So wird zunächst untersucht, welche Bedeutung die Festlegung auf eine (Grund-) Verordnung als gesetzgeberische Handlungsform hat. Ein weiterer Schwerpunkt befasst sich dann mit der Bedeutung der Unionsgrundrechte und Grundfreiheiten für die Ausgestaltung des sekundären Datenschutzrechts. Nach einer kritischen Betrachtung der zahlreichen Ermächtigungen zu delegierter Rechtsetzung folgen schließlich einige Gedanken zu Rechtschutzmöglichkeiten des Einzelnen, vor allem im Hinblick auf die Grundrechte.

I. Wiederaufnahme des Gesetzgebungsprozesses für eine Datenschutz-Grundverordnung

Bereits vor über zwei Jahren stellte die Kommission ihren Entwurf für eine Datenschutz-Grundverordnung (DSGVO-E)[1] vor und entfachte damit eine sehr lebhafte Debatte. Das Gesetzgebungsverfahren ist durch die Wahlen zum Europäischen Parlament vorerst ins Stocken gekommen, wurde aber nun wieder aufgenommen. Schon mit der Zusammensetzung der neuen Kommission hat Kommissionspräsident Jean-Claude Juncker deutlich gemacht, dass er den von der vorherigen Kommission angestoßenen Reformprozess für das EU-Datenschutzrecht mit Nachdruck fortsetzen will. Zuständig für „die digitale Wirtschaft und Gesellschaft“ ist künftig der Kommissar Günther Oettinger. Zudem hat Juncker mit Andrus Ansip einen seiner Vizepräsidenten als Leiter eines „Projektteams digitaler Binnenmarkt“ eingesetzt. Beide sind u.a. für den Bereich Datenschutz zuständig[2]. Wie genau die Verantwortlichkeiten bei der politischen Arbeit, insbesondere im Rahmen eines Trilogs mit Parlament und Rat verteilt sein werden, ist heute zwar noch nicht absehbar, es wird aber bereits deutlich, dass Juncker einen Schwerpunkt der Kommissionsarbeit im Bereich der digitalen Wirtschaft setzen will. In einer der ersten Veröffentlichungen Junckers, den Political Guidelines für seine Agenda in der kommenden Legislaturperiode, stellt er die Vollendung des digitalen Binnenmarkts als eines von zehn Kernzielen dar[3].

Der nachfolgende Beitrag gibt eine Übersicht zu primärrechtlichen Vorgaben, die bei der Reform des Datenschutzrechts zu beachten sind. Der Blick ins Primärrecht lohnt auch für alle im Gesetzgebungsprozess involvierten Akteure, denn so manche intensiv geführte Diskussion um einzelne Regelungen im Kommissionsvorschlag erübrigt sich im Lichte höherrangigen Unionsrechts, zumindest verschiebt sich das Gewicht zugunsten mancher Argumente.

II. Rechtsnatur: Von der Richtlinie zur Verordnung

Ein psychologisch geschickter Schachzug der Kommission war es sicherlich, die vorgeschlagene Neuregelung „Grundverordnung“ zu taufen. Damit wird suggeriert, dass nur einige grundlegende Fragen des Datenschutzes reguliert werden, im Übrigen aber noch erhebliche Spielräume verbleiben, um durch detailreiche Einzelgesetze die abstrakten Vorgaben zu konkretisieren oder sogar abweichende Vorschriften zu erlassen. In Wahrheit ist das Gegenteil der Fall.

1. Vollharmonisierung: Eine „Grundverordnung“ ist eine Verordnung

Gem. Art. 288 Abs. 2 S. 2 AEUV ist die Verordnung in allen ihren Teilen verbindlich, während Richtlinien gem. Art. 288 Abs. 3 AEUV nur hinsichtlich ihrer Ziele verbindlich sind, den innerstaatlichen Stellen aber die Wahl der Form und der Mittel überlassen bleibt. Ein Rechtsformwechsel von einer Richtlinie zur Verordnung indiziert also zunächst einen geringeren Ausgestaltungsspielraum für die Mitgliedstaaten. Außerdem wirken Verordnungen – anders als Richtlinien – unmittelbar, sie bedürfen also keines Umsetzungsakts. Die unmittelbare Geltung nimmt den Mitgliedstaaten die Befugnis, normative Bestimmungen zu erlassen, die die Tragweite der Verordnung selbst berühren[4]. Selbst den Erlass inhaltsgleichen nationalen Rechts lässt der EuGH nur in besonderen Ausnahmefällen zu, in denen ein vielschichtiges Regelungsgeflecht aus mitgliedstaatlichen und regionalen Vorschriften erforderlich ist, um dem Regelungsanspruch der Verordnung zu entsprechen[5]. Im Einzelfall kann eine Verordnung auch explizit oder implizit voraussetzen, dass die Mitgliedstaaten Durchführungsregeln erlassen, als sog. „hinkende Verordnung“[6]. Die Mitgliedstaaten haben dabei allerdings den von der Verordnung gesetzten Rahmen einzuhalten. Das Durchführungsrecht darf nicht den Zweck oder die Wirkung haben, die Tragweite der jeweiligen Bestimmungen zu ändern[7].

Grundsätzlich zielt die Verordnung also auf Vollharmonisierung, während die Richtlinie sowohl vollharmonisierend als auch mindestharmonisierend wirken kann[8]. Wie bei jedem Grundsatz gibt es natürlich Ausnahmen, aber von der Grundtendenz bedeutet die Wahl der Rechtsform der Verordnung eine im Vergleich zur Richtlinie vertiefte Integration. Für Durchführungsregelungen oder gar abweichende materielle Maßstäbe auf mitgliedstaatlicher Ebene ist nur in engen Grenzen Raum. Es finden sich in der Rechtsetzungspraxis nur sehr vereinzelt Beispiele zu Mindeststandardregelungen in Verordnungen[9], und diese gelten eher nur punktuell. Es gibt bislang wohl keine Verordnung, die annähernd so weite Spielräume zur Durchführung und Konkretisierung einräumt wie der Kommissionsentwurf zur DSGVO. Der Vorschlag entfernt sich somit weit vom bisherigen Verordnungstypos.

Gleichwohl muss dies nicht zwingend bedeuten, dass die Konzeption einer „Grundverordnung“ primärrechtswidrig ist. Sollten sich Rat, Kommission und EP auf einen gemeinsamen Rechtsakt verständigen, der zahlreiche Öffnungsklauseln, Konkretisierungsvorbehalte etc. enthält, so würde man zwar Neuland betreten. Der EuGH ist jedoch generell sehr zurückhaltend, wenn es darum geht, Rechtsakte der Legislative für unwirksam zu erklären. Es gibt keine Vorschrift in den Verträgen, die es explizit verbieten würde, im Wege der Verordnung lediglich Mindeststandards zu setzen. Zudem ließe sich argumentieren, dass durch die „Richtlinienelemente“ innerhalb der Grundverordnung dem Grundsatz der Verhältnismäßigkeit bei der Wahl der Handlungsform (Art. 296 Abs. 1 AEUV) Rechnung getragen wird[10].

Trotz der zahlreichen Öffnungsklauseln ist es aber äußerst unwahrscheinlich, dass durch die vorgeschlagene Verordnung lediglich Mindestvorgaben errichtet werden. Schon die Datenschutzrichtlinie 95/46/EG setzt nach mittlerweile gefestigter Rechtsprechung des EuGH einen verbindlichen Standard und bewirkt weitestgehend eine Vollharmonisierung der nationalen Datenschutzregime[11]. In der Praxis gibt es dennoch erhebliche Unterschiede im Datenschutzniveau der Mitgliedstaaten, den in vielen Rechtsordnungen bestehen Umsetzungs- oder Vollzugsdefizite[12]. Es ist kein Zufall, dass Google und Facebook ihre europäischen Headquarters in Irland angesiedelt haben. Eine Verordnung würde hier – und dies ist von der Kommission auch klar so kommuniziert worden – einen Integrationsfortschritt bedeuten, denn im Gegensatz zu einer Richtlinie wäre sie unmittelbar anwendbar und würde das nationale Recht ersetzen. Ein wesentliches Ziel, das die Kommission mit ihrem Reformvorschlag verfolgt, ist gerade eine stärkere Harmonisierung des Datenschutzrechts – der „digitale Binnenmarkt“ soll verwirklicht werden. Es ist also schon entstehungsgeschichtlich eindeutig ein Mehr an Integration gewollt.

Außerdem begründet der EuGH den Vollharmonisierungsansatz bei der Datenschutzrichtlinie 95/46/EG letztlich im Lichte des Primärrechts[13]: Einerseits muss im Hinblick auf die Unionsgrundrechte (insbesondere Art. 7 und 8 GRC) ein Mindestmaß an Datenschutz, das die Mitgliedstaaten nicht unterschreiten dürfen, gewährleistet sein. Andererseits ergibt sich eine Obergrenze vor dem Hintergrund der Grundfreiheiten und des – mit den Grundfreiheiten verknüpften – Prinzips des freien Verkehrs personenbezogener Daten sowie der grundrechtlich geschützten Interessen der verantwortlichen Stelle. Zwischen diesen beiden Polen gibt die Richtlinie einen verbindlichen Mittelweg vor. Dieses Argumentationsmuster des EuGH, eine Vollharmonisierung mit einer Auslegung im Lichte der Vorschriften zum Binnenmarkt zu begründen, ist dabei nicht neu und beschränkt sich keinesfalls auf das Datenschutzrecht. So entschied sich der EuGH etwa auch bei der Interpretation der Arbeitnehmerentsenderichtlinie 96/71/EG gegen einen schlichten Mindeststandard[14]. Auch im Verbraucherschutzrecht gibt es Beispiele, die sich dieser Logik bedienen[15].

Die Generalklausel des Art. 7 Richtlinie 95/46/EG sieht demzufolge nach der Rechtsprechung des EuGH eine „erschöpfende und abschließende Liste der Fälle“ vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann[16]. Unionsrechtswidrig sind alle Maßnahmen, die zusätzliche Bedingungen vorsehen, mit denen die Tragweite eines in Art. 7 enthaltenen Rechtfertigungstatbestandes verändert wird[17]. Die Richtlinie regelt mithin den Ausgleich der Grundrechte und Grundfreiheiten prinzipiell abschließend. Daher steht dem nationalen Gesetzgeber im Bereich des EUDatenschutzes kein wesentlicher eigener Spielraum zur Konkretisierung oder Feinjustierung der praktischen Konkordanz zwischen widerstreitenden Grundrechten und Grundfreiheiten zu. Der europäische Gesetzgeber hat mit der Datenschutzrichtlinie diesen Konkretisierungsspielraum selbst genutzt und den Ausgleich zwischen den verschiedenen Interessen geschaffen.

Diese Argumentationstopoi dürften ebenfalls für eine künftige DSGVO gelten[18], denn der Kommissionsvorschlag behält die duale Schutzrichtung – Schutz der Grundrechte einerseits und Gewährleistung eines freien Datenverkehrs innerhalb des Binnenmarkts andererseits – bei: Hierfür sprechen zahlreiche Anhaltspunkte, insb. in den Erwägungsgründen (2) bis (8) und (11) DSGVO-E wird ausgiebig auf die Grundfreiheiten und den freien Datenverkehr hingewiesen und eine kontinuierliche Fortentwicklung der Ziele der Datenschutzrichtlinie angestrebt. Außerdem wird weiterhin Art. 114 AEUV als Kompetenzgrundlage angeführt.

2. Restriktive Interpretation von Öffnungsklauseln

Vor diesem Hintergrund sind auch die Öffnungsklauseln im DSGVO-E zu interpretieren. Eine gerade für Deutschland wichtige Vorschrift stellt die Regelung zum Beschäftigtendatenschutz dar (Art. 82 DSGVO-E). Datenverarbeitungen im Beschäftigungsverhältnis wären nach dem DSGVO-E weiterhin vom Anwendungsbereich des EU-Datenschutzrechts erfasst[19], zugleich aber erlaubt Art. 82 DSGVO-E nationale Regelungen für den Beschäftigtendatenschutz, vgl. auch Erwägungsgrund (124)

Es sind jedoch erhebliche Zweifel daran angebracht, dass diese Öffnungsklausel tatsächlich Abweichungen vom materiellen Schutzstandard der Verordnung erlauben würde. Im Ergebnis dürften eher nur konkretisierende Vorschriften zulässig sein. Für diese Sicht streiten eine Reihe von Argumenten: Erstens ist es zunächst sehr unwahrscheinlich, dass die Kommission als „Hüterin des Gemeinschaftsinteresses“ eine Regelung vorschlägt, die einen Integrationsrückschritt bedeuten würde. Zweitens sprechen die oben genannten Erwägungen zur Rechtsnatur einer Grundverordnung gegen ein extensives Verständnis einer solchen Öffnungsklausel. Drittens wird eine restriktive Auslegung von Art. 82 DSGVO-E auch durch den Wortlaut der Vorschrift gestützt, wonach nationale Regelungen nur „in den Grenzen der Verordnung“[20] möglich sind.

Einzig die teleologischen Argumente zur dualen Schutzrichtung des EU-Datenschutzrechts (Grundrechtsschutz einerseits, digitaler Binnenmarkt andererseits) sind im Bereich des Beschäftigtendatenschutzes nicht überzeugend. Hier fehlt regelmäßig ein binnengrenzüberschreitender Bezug, denn es geht darum, das Verhältnis zwischen Arbeitgeber und Beschäftigtem zu regulieren. Das Fragerecht des Arbeitgebers, die Zulässigkeit einer Videoüberwachung am Arbeitsplatz, die Erhebung sensibler Informationen über die Gesundheit des Arbeitnehmers – all dies sind Probleme, die sich regelmäßig auf rein nationale Sachverhalte beschränken. Zwar sind auch binnengrenzüberschreitende Sachverhalte denkbar, etwa bei der Entsendung von Arbeitnehmern in das EU-Ausland oder bei konzernweiten internal investigations, aber auch in diesen Fällen ist nicht ersichtlich, warum durch unterschiedlich hohe Datenschutzstandards Marktbeschränkungen verursacht werden könnten. Während weite Teile des privaten Datenschutzrechts eher verbraucherschützenden Charakter aufweisen, stellt Beschäftigtendatenschutz Arbeitsrecht dar. Im Bereich des Arbeits- und Sozialrechts werden auf EU-Ebene aber zu Recht meist nur Mindeststandards gesetzt, die Mitgliedstaaten können also ein Mehr an Arbeitnehmerschutz vorsehen. In der Regel ist eine Mindestharmonisierung im Arbeitsrecht ausreichend, um ein hinreichendes Schutzniveau zu garantieren und gleichzeitig die Vorteile eines Regulierungswettbewerbs zu nutzen[21]. Will man diesen Weg auch im Bereich des Beschäftigtendatenschutzes gehen, muss dies klarer formuliert werden als im aktuellen Art. 82 DSGVO-E. So könnte etwa die Wendung „in den Grenzen der Verordnung“ gestrichen und deutlicher gemacht werden, dass lediglich eine Mindestharmonisierung angestrebt ist, dass also Abweichungen zugunsten der Beschäftigten möglich sind.

Entsprechende Überlegungen gelten auch für andere (vermeintliche) Öffnungsklauseln. Bei ihnen ist ebenfalls eine sehr enge Auslegung durch den EuGH zu erwarten. Alle Akteure im Gesetzgebungsprozess sollten sich also bewusst sein, dass es kaum gelingen kann, strittige Felder über solche Vorschriften auszuklammern.

III. Die Unionsgrundrechte als Richtschnur gesetzgeberischen Handelns

1. Das Recht auf Vergessenwerden und das Recht auf Datenportabilität: Eigentum an personenbezogenen Daten?

Bedenken aus primärrechtlicher Sicht bestehen ferner hinsichtlich zweier neuer Rechtsinstitute: dem Recht auf Vergessenwerden (Art. 17 DSGVO-E) und dem Recht auf Datenportabilität (Art. 18 DSGVO-E). Von Schwierigkeiten bei ihrer praktischen Handhabung abgesehen[22], suggerieren diese Vorschriften eine Eigentumskomponente des Grundrechts auf Schutz personenbezogener Daten. Datenschutz ist aber – in erster Linie[23] – Persönlichkeitsschutz und kein zweites Urheberrecht. Zudem ist gesellschaftliche Kommunikation darauf angewiesen, dass wir Informationen, die wir von anderen erhalten, weiter verarbeiten und uns bei Bedarf auch daran erinnern dürfen[24]. Ein Recht auf Vergessenwerden ist daher entweder eine Fiktion, oder es geht nicht wesentlich über bereits bestehende Löschungs- und Auskunftspflichten hinaus. Das vom EuGH in der Entscheidung Google Spain entwickelte Recht auf Vergessenwerden basiert ebenfalls nur auf den bereits nach der Datenschutzrichtlinie 95/46/EG bestehenden Rechten[25]. Art. 12 lit. b und Art. 14 Abs. 1 lit. a der Richtlinie 95/46/EG seien dahin auszulegen, dass die betroffene Person regelmäßig ein Recht darauf habe, dass Information über sie nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Google-Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht werden können. Es sei nicht erforderlich, dass der betroffenen Person durch die Einbeziehung der Daten in die Ergebnisliste ein Schaden entstehe. Sie könne in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 GRCh grundsätzlich verlangen, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, denn ihre Rechte würden regelmäßig die wirtschaftlichen Interessen des Suchmaschinenbetreibers und auch das Interesse der breiten Öffentlichkeit am Zugang zu der Information bei einer anhand des Namens durchgeführten Suche überwiegen. Eine Ausnahme könne etwa dann bestehen, wenn sich aus besonderen Gründen – wie etwa der Rolle der Person im öffentlichen Leben – ergeben sollte, dass der Eingriff in die Grundrechte dieser Person durch das überwiegende Interesse der breiten Öffentlichkeit gerechtfertigt sei[26].

Diese Rechtsprechung dürfte auf andere Suchmaschinenanbieter und auf soziale Netzwerke mit einer Personensuchfunktion übertragbar sein. Jedoch ist bei einer uneingeschränkten Verallgemeinerung Vorsicht geboten. So wird man ein Recht auf Vergessenwerden nicht ohne weiteres hinsichtlich aller Websites annehmen können, auf denen der über Google & Co. auffindbare Beitrag über eine Person eingestellt wurde. Jeder einzelne datenschutzrechtlich Verantwortliche kann unterschiedliche Ziele verfolgen. Während bei Google noch der gewinnorientierte Betrieb einer Suchmaschine im Vordergrund steht, verfolgt der Betreiber einer Online-Zeitung auch journalistische Zwecke, so dass das Medienprivileg des Art. 9 Richtlinie 95/46/EG (in Deutschland: § 41 BDSG) zu beachten ist. Bei Presseartikeln ist ganz zentral die Meinungs- und Pressefreiheit (Art. 11 GRCh) zu berücksichtigen, während bei Suchmaschinen eher die unternehmerische Freiheit (Art. 16 GRCh) einschlägig ist. Es ist also nicht auszuschließen, dass die betroffene Person die Rechte gem. Art. 12 lit. b, 14 Abs. 1 lit. a Richtlinie 95/46/EG gegen den Suchmaschinenbetreiber, aber nicht gegen den Herausgeber der Website geltend machen kann[27]. Das Recht auf Vergessenwerden würde dann lediglich bewirken, dass bspw. ein negativer Zeitungsartikel über eine Person nicht noch Jahrzehnte später ohne weiteres von jedermann über Suchmaschinen gefunden werden kann und so das öffentliche Bild der betroffenen Person prägt; gleichzeitig würde aber der Beitrag selbst auf der Internetseite der Zeitung weiterhin lesbar sein, ein vollständiges Vergessenwerden wäre also zum Schutz der Pressefreiheit gerade nicht gewährleistet.

Dies macht deutlich: Neue Rechtsinstitute wie das Recht auf Vergessenwerden mögen in bestimmten Fällen eine sinnvolle Ergänzung darstellen, in anderen jedoch wiederum erhebliche Umsetzungsschwierigkeiten mit sich bringen. Zudem ist ihre rechtliche Reichweite im Einzelfall von den jeweils betroffenen, grundrechtlich geschützten Interessen abhängig. Es wäre daher sinnvoll, die weitere Entwicklung dieses Rechtsinstituts der Rechtsprechung zu überantworten. Zwar sind das Recht auf Vergessenwerden und das Recht auf Datenportabilität „sexy Label“ für neue Rechte der Betroffenen, die sich sicherlich hervorragend für den Reformprozess begleitende Pressemitteilungen eignen – kluge Politik sollte aber solchen Versuchungen widerstehen.

2. Drittwirkung von Grundrechten: Berücksichtigung von Drittinteressen primärrechtlich zwingend?

Allgemein sollte bei der Reform des EU-Datenschutzrechts genauer darauf geachtet werden, dass Vorschriften, die in einem spezifischen Kontext eine sinnvolle Neuerung darstellen, nicht unüberlegt auf sämtliche Bereiche ausgedehnt werden. Nicht nur beim Recht auf Vergessenwerden gilt der Kritikpunkt, dass die Kommission ein ganz bestimmtes Problem vor Augen hatte und dies zum Anlass für eine generelle Regelung genommen hat. So etwa bei der Reformulierung der Generalklausel des privaten Datenschutzes: Nach Art. 7 lit. f Richtlinie 95/46/EG gilt bislang, dass eine Datenverarbeitung gerechtfertigt ist, wenn sie erforderlich ist „zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen.“ Nach der entsprechenden Vorschrift des Art. 6 Abs. 1 lit. f DSGVO-E ist eine Rechtfertigung nur noch „zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen“ möglich, ein Verweis auf Drittinteressen fehlt. Mit dieser Änderung zielt man wohl vor allem auf die Werbebranche und die Tätigkeit von Auskunfteien. Ohne eine Einwilligung des Betroffenen wären nach dem DSGVO-E viele Formen der Direktwerbung nicht mehr möglich. Dies mag ein legitimes politisches Ziel sein, die Regelung des Art. 6 Abs. 1 lit. f DSGVO-E schießt aber klar über dieses Ziel hinaus – ob bewusst oder nicht sei einmal dahingestellt. Nach dem Kommissionsentwurf ist jedes Drittinteresse irrelevant, mag es auch noch so wichtig sein. Auch Grundrechte wie die Meinungs- und Pressefreiheit (Art. 11 GRCh) sind damit nicht berücksichtigungsfähig. Dies ist primärrechtswidrig.

Das deutsche Datenschutzrecht bietet Anschauungsmaterial, wie durch eine Vorschrift, die auf einen bestimmten Bereich zugeschnitten wurde, versehentlich auch andere Fälle reguliert werden, bei denen dann aber die fragliche Norm überhaupt nicht passt. Prominentes Beispiel ist etwa § 29 BDSG: Mit dieser Vorschrift sollte in erster Linie der Umgang mit personenbezogenen Daten zu Zwecken der Werbung, der Tätigkeit von Auskunfteien oder des Adresshandels beschränkt werden. Der Anwendungsbereich der Norm ist aber nicht auf diese Geschäftsfelder begrenzt, sondern erfasst jedes „geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung“, so dass etwa auch Bewertungsportale im Internet hierunter fallen. Für diese Angebote hat der BGH in der berühmten Spickmich-Entscheidung im Wege einer grundrechtskonformen Auslegung im Lichte der Meinungsfreiheit einen beträchtlichen Teil der Vorgaben des § 29 BDSG korrigieren müssen[28]. Dieses nationale Exempel zeigt deutlich: Möchte der Unionsgesetzgeber spezifische Sachprobleme regeln, sollte er behutsam vorgehen und die Auswirkungen neuer Vorschriften auf alle erfassten Bereiche prüfen.

3. Ausgleich von Meinungsfreiheit und Datenschutz

Der Ausgleich von Meinungsfreiheit und Datenschutz ist generell ein Gesichtspunkt, der im Kommissionsentwurf nicht ausreichend durchdacht ist. Art. 80 Abs. 1 DSGVO-E sieht hierfür eine Öffnungsklausel vor. Diese lautet: „Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen von den allge meinen Grundsätzen des Kapitels II, von den Rechten der betroffenen Person in Kapitel III, von den Bestimmungen über den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter in Kapitel IV, von der Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen in Kapitel V, von den Vorschriften über die Aufsichtsbehörden in Kapitel VI sowie von den Vorschriften über Zusammenarbeit und Kohärenz in Kapitel VII vor, um das Recht auf Schutz der Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen.“

Zwar wird hierdurch den Mitgliedstaaten überantwortet, das Gleichgewicht zwischen Meinungs- bzw. Pressefreiheit und Persönlichkeitsrecht auszutarieren, jedoch gilt diese Vorschrift – angelehnt an das Medienprivileg in Art. 9 Richtlinie 95/47/EG (in Deutschland: § 41 BDSG) – nur für journalistische, künstlerische oder literarische Zwecke. Dies bedeutet, dass private Meinungsäußerungen im Internet weiterhin[29] durch das EU-Daten-schutzrecht reguliert werden. Ob hier tatsächlich der volle Datenschutz greifen sollte, darf bezweifelt werden. Medienrechtliche Fragen sollten nicht oder allenfalls nur am Rande durch das Datenschutzrecht geregelt werden. Vorzugswürdig sind daher Vorschläge, die sog. Haushaltsausnahme (Art. 2 Abs. 2 lit. d DSGVO-E) zu erweitern, so dass rein private[30]Meinungsäußerungen nicht vom Datenschutzrecht erfasst werden.

4. Die Einwilligung des Betroffenen als Rechtfertigungstatbestand

Wenig gelungen, da zu pauschal, ist die Regelung zur Einwilligung in Art. 7 DSGVO-E. Nach Abs. 4 dieser Vorschrift kann eine Einwilligung nicht zur Rechtfertigung einer Datenverarbeitung dienen, wenn ein strukturelles Ungleichgewicht zwischen dem Betroffenen und der verarbeitenden Stelle besteht. Nach Erwägungsgrund (34) soll dies dann der Fall sein, „wenn sich die betroffene Person in einem Abhängigkeitsverhältnis von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden.“ Damit wird die Einwilligung pauschal als Grundlage für Datenverarbeitungen im Beschäftigungsverhältnis ausgeschlossen, und zwar unabhängig vom tatsächlichen Vorliegen einer Abhängigkeitssituation, durch die ein freier Willensentschluss gefährdet wird. Folglich wäre selbst in Fällen, in denen die Einwilligung sich nur zu Gunsten des Beschäftigten auswirkt (z.B. Sozialleistungen des Arbeitgebers), eine umfangreiche Prüfung anderer Erlaubnistatbestände erforderlich[31].

Diese Einengung ist primärrechtlich bedenklich[32]. Durch Art. 8 Abs. 2 GRCh ist die Einwilligung als ein Rechtfertigungstatbestand vorgegeben. Auch eine Interpretation der Einwilligung als Grundrechtsverzicht ist denkbar[33]. Ein Grundrechtsverzicht ist letztlich nur die Kehrseite der positiv verbürgten Freiheit, er kann sogar als eine Form der Freiheitsbetätigung interpretiert werden[34]. Informationelle Selbstbestimmung bedeutet eben nicht nur, dass man kraft eigenen Willens darüber entscheiden kann, bestimmte Daten nicht preiszugeben, sondern zugleich ist auch als Spiegelbild hierzu das Recht umfasst, Informationen über einen selbst anderen zukommen zu lassen[35]. Wenn also die Voraussetzungen für eine wirklich freiwillige Preisgabe personenbezogener Daten gegeben sind, sollte eine Datenverarbeitung hierauf gestützt werden können.

IV. Ausweitung delegierter Rechtssetzung zugunsten der Kommission

Ein von vielen Seiten kritisierter Aspekt des Reformvorschlags ist ferner, dass die Kommission sich in ihrem Vorschlag selbst zahlreiche Befugnisse zu delegierter Rechtsetzung einräumt. Seit dem Lissabonvertrag gibt es delegierte Rechtsakte (Art. 290 AEUV) und Durchführungsrechtsakte (Art. 291 AEUV) als neue Handlungsformen der EU-Gesetzgebung. Es leuchtet zunächst durchaus ein, die technikneutrale und weitestgehend ohne bereichsspezifische Regelungen konzipierte Grundverordnung durch delegierte Rechtsetzung zu ergänzen, so dass speziellere Sachprobleme und Detailfragen adressiert werden können. Der Kommissionsentwurf macht hiervon jedoch reichlich großzügig Gebrauch, insgesamt enthält er 26 Ermächtigungen. Dies steht zum einen im Widerspruch zur Rechtsnatur der Verordnung, die gerade eine unmittelbar anwendbare und grundsätzlich auf Vollharmonisierung ausgerichtete Form der Gesetzgebung darstellt. Außerdem bestehen Bedenken hinsichtlich des Grundsatzes der Gewaltenteilung und in Bezug auf das institutionelle Gefüge der EU. Zwar kennt das Recht der Union keine Gewaltenteilung im klassischen Sinn, gleichwohl können die Funktionen der Kommission insgesamt im Wesentlichen den Exekutiv- und Regierungsfunktionen zugeordnet werden[36]. Die Rechtsetzung obliegt hingegen schwerpunktmäßig Rat und EP. Ähnlich wie bei der aus dem nationalen Verfassungsrecht bekannten Regelung des Art. 80 Abs. 1 GG müssen daher in dem Gesetzgebungsakt „Ziele, Inhalt, Geltungsbereich und Dauer der Befugnisübertragung“ auf die Kommission festgelegt werden; zudem sind alle „wesentlichen Aspekte eines Bereichs […] dem Gesetzgebungsakt vorbehalten“ (Art. 290 Abs. 1 UAbs. 2 AEUV).

Der ständige Rekurs auf delegierte Rechtsetzung ist auch vor dem Hintergrund des Gebots der Rechtssicherheit problematisch. So wird etwa für den Bereich des Beschäftigtendatenschutzes die Kommission nach Art. 82 Abs. 3 DSGVO-E dazu ermächtigt, „delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Garantien für die Verarbeitung personenbezogener Daten für die in Absatz 1 genannten Zwecke festzulegen.“ Für die Praxis wesentliche rechtliche Fragen sollen also zunächst ungeregelt bleiben.

V. Rechtschutzdefizit ohne Verfassungsbeschwerde auf EU-Ebene?

Last but not least: Eine für den Grundrechtschutz zentrale Frage, die durch das Reformvorhaben der Kommission aufgeworfen wird, ist die Möglichkeit der prozessualen Durchsetzbarkeit. Zunächst sind alle nationalen Instanzgerichte dazu aufgerufen, die Durchsetzung des Unionsrechts zu gewährleisten (Art. 19 Abs. 1 UAbs. 2 EUV), zumal eine Verordnung ohnehin unmittelbar anwendbar wäre. Jedoch verlangt die Verordnung regelmäßig eine Interessenabwägung, bei der die Grundrechte im Rahmen ihrer Drittwirkung zum Tragen kommen. Fast jeder datenschutzrechtliche Fall tangiert somit auch primärrechtliche Fragen. Vor allem für diese Abwägungsfragen bedarf die Praxis höchstgerichtlicher Entscheidungen. Da bei einer Verordnung keine nationalen Umsetzungsakte erforderlich sind, ist der Weg zum BVerfG grundsätzlich versperrt[37]. Eine Anrufung des EuGH ist oft zeitintensiv und kann außerdem nicht durch die Parteien eines Rechtsstreits initiiert werden.

Masing befürchtet bereits den „Abschied von den Grundrechten“[38]. Dies mag etwas drastisch formuliert sein, aber es ist in der Tat zutreffend, dass es im Rahmen des EU-Rechtschutzsystems kein Äquivalent zur (Urteils-)Verfassungsbeschwerde gibt. Zwar können seit Inkrafttreten des Lissabonvertrages natürliche Personen „gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen“, eine Nichtigkeitsklage gem. Art. 263 Abs. 4 Alt. 2 AEUV erheben. Diese Erweiterung der Nichtigkeitsklage ermöglicht aber weiterhin keine „Verfassungsbeschwerde auf EU-Ebene“[39]. Die Bürger werden also künftig weiterhin darauf angewiesen sein, dass die mitgliedstaatlichen Gerichte Auslegungsfragen dem EuGH nach Art. 267 AEUV vorlegen. Dieses Defizit wirkt sich insbesondere bei Grundrechtskollisionen zwischen Privaten aus, etwa bei medienrechtlichen Sachverhalten wie sie durch das Urteil Google Spain[40] adressiert wurden. Hier ist eine weitere Konturierung der Fallpraxis dringend erforderlich, jedoch wird man hierauf vermutlich noch Jahre bis Jahrzehnte warten müssen.

Angesichts der Reichweite der Datenschutz-Grundverordnung und der Vielzahl von Auslegungsfragen, die sich bei ihrer Anwendung stellen werden, ist es daher dringend geboten, beim weiteren Reformprozess auch das Problem der Rechtsdurchsetzung in den Blick zu nehmen. Genau wie für unsere nationale Verfassungsbeschwerde[41] gilt auch auf Unionsebene: Ohne ausreichende Durchsetzungsmöglichkeiten des Einzelnen sind Grundrechte nur wenig wert.

VI. Zusammenfassung

Die herausgearbeiteten Ergebnisse lassen sich wie folgt zusammenfassen:

  1. Eine Grundverordnung ist eine Verordnung. Eine Umsetzung durch die Mitgliedstaaten ist prinzipiell weder erforderlich noch zulässig.
  2. Durch den Handlungsformwechsel von der Richtlinie zur Verordnung wird eine Vertiefung der Integration im Bereich des Datenschutzes bewirkt.
  3. Öffnungsklauseln sind eng auszulegen. Sie erlauben lediglich Konkretisierungen und keine Abweichungen vom materiellen Schutzstandard der Verordnung, sofern dies nicht unmissverständlich entsprechend geregelt wird. Für Bereiche wie den Beschäftigtendatenschutz sollten ausdrücklich nur Mindeststandards gesetzt werden.
  4. Neue Rechtsinstitute wie das Recht auf Vergessenwerden und das Recht auf Datenportabilität suggerieren eine Eigentumskomponente, obwohl Datenschutz in erster Linie Persönlichkeitsschutz bleiben sollte.
  5. Ein Recht auf Vergessenwerden ist entweder eine Fiktion, oder es geht nicht wesentlich über bereits bestehende Löschungs- und Auskunftspflichten hinaus. Die vom EuGH in der Entscheidung Google Spain aufgestellten Leitlinien sollten behutsam weiterentwickelt werden, denn in jedem Einzelfall können andere grundrechtlich geschützte Interessen auf Seiten des Verantwortlichen und des Betroffenen eine Rolle spielen.
  6. Der Ausgleich von Datenschutz und Meinungsfreiheit sollte beim Handeln von Privatpersonen durch klar gefasste Ausnahmen vom Anwendungsbereich der Grundverordnung hergestellt werden.
  7. Die Einwilligung sollte weiterhin als eine Möglichkeit der Rechtfertigung von Datenverarbeitungsvorgängen bewahrt werden.
  8. Ebenso dürfen Drittinteressen im Rahmen der Rechtfertigung nicht unberücksichtigt bleiben, vor allem wenn diese „Verfassungsrang“ haben, insbesondere also bei den primärrechtlich verankerten Grundrechten und Grundfreiheiten Dritter.
  9. Die zahlreichen Ermächtigungen zu delegierter Rechtsetzung sind im Hinblick auf das institutionelle Gefüge der EU (Gewaltenteilung) und das Gebot der Rechtssicherheit kritisch zu sehen.
  10. Beim weiteren Reformprozess muss dringend das Problem der Rechtsdurchsetzung in den Blick genommen werden. Eine (Urteils-)Verfassungsbeschwerde gibt es auf EUEbene bislang nicht. Ohne ausreichende Rechtschutzmöglichkeiten des Einzelnen ist ein effektiver Grundrechtsschutz nicht zu gewährleisten; wichtige Fortschritte auf materiell-rechtlicher Ebene würden durch ein Rechtsschutzdefizit konterkariert.

Dr. Stephan Pötters

Der Autor ist Habilitand am Institut für Arbeitsrecht und Recht der sozialen Sicherheit, Universität Bonn.

[1] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM (2012) 11 endg.

[2] Vgl. zu Oettinger http://ec.europa.eu/commission/2014-2019/oettinger_en (Stand: Dezember 2014) bzw. zu Ansip http://ec.europa.eu/commission/2014-2019/ansip_en (Stand: Dezember 2014).

[3] Juncker, A New Start for Europe: My Agenda for Jobs, Growth, Fairness and Democratic Change, Political Guidelines for the next European Commission, Strasbourg 2014, abrufbar unter http://ec.europa.eu/priorities/docs/pg_en.pdf#page=6 (Stand: Dezember 2014).

[4] EuGH v. 18.02.1970 – 40/69, Slg. 1970, 69, 80 (Hauptzollamt Hamburg/ Bollmann); EuGH v. 18.06.1970 – 74/69, Slg. 1970, 451, 459 f. (Hauptzollamt Bremen/Krohn); Nettesheim, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 53. EGL 2014, Art. 288 AEUV Rn. 101.

[5] EuGH v. 28.03.1985 – 272/83, Slg. 1985, 1057 (Kommission/Italien); vgl. Ruffert, in: Calliess/Ruffert, EUV/AEUV, 4. Aufl. 2011, Art. 288 AEUV Rn. 20.

[6] Vgl. Ruffert, in: Calliess/Ruffert, EUV/AEUV, 4. Aufl. 2011, Art. 288 AEUV Rn. 21.

[7] Nettesheim, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 53. EGL 2014, Art. 288 AEUV Rn. 101.

[8] Vgl. Nettesheim, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 53. EGL 2014, Art. 288 AEUV Rn. 100; Micklitz/Rott, in: Dauses, EU-Wirtschaftsrecht, 35. EGL 2014, Kap. H.V., Rn. 41 ff

[9] Micklitz/Rott, in: Dauses, EU-Wirtschaftsrecht, 35. EGL 2014, Kap. H.V., Rn. 42 weisen etwa zu Recht auf die Verordnung (EG) Nr. 2006/2004 hin.

[10] Instruktiv hierzu Wunderlich/Pickartz, EuR 2014, 659, die aber einen Vorrang der Richtlinie gegenüber der Verordnung anmahnen.

[11] Grundlegend EuGH v. 6.11.2003 – C-101/01, Slg. 2003, I-12971 (Lindqvist), Rn. 96 f.; bestätigt durch EuGH v. 16.12.2008 – C-524/06, Slg. 2008, I-9705 (Huber), Rn. 51; aktuell EuGH v. 24.11.2011 – C-468/10 und 469/10, NZA 2011, 1409 (ASNEF); vgl. zur Vollharmonisierung Brühann, EuZW 2009, 639, 641; Forst, RDV 2010, 150, 151; ders., NZA 2010, 1043; Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 239 ff.; ders./Traut, RDV 2013, 132; Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 3 Rn. 5.

[12] Vgl. hierzu Brühann, EuZW 2009, 639, 640 f.; Forst, NZA 2012, 364, 365.

[13] S. EuGH v. 24.11.2011 – C-468/10 und 469/10, NZA 2011, 1409 (ASNEF).

[14] EuGH v. 18.12.2007 – C-341/05, Slg. 2007, I-11767 (Laval), insb. Rn. 79 ff

[15] S. etwa EuGH v. 23.04.2009 – C-261/07 u.a., Slg. 2009, I-2949 (VTBVAB NV/Total Belgium NV u.a.), Rn. 51 f.: „Nach dieser Klarstellung ist zunächst daran zu erinnern, dass die Richtlinie nach ihren Erwägungsgründen 5 und 6 sowie ihrem Art. 1 einheitliche Regeln für unlautere Geschäftspraktiken zwischen Unternehmen und Verbrauchern aufstellen soll, um zu einem reibungslosen Funktionieren des Binnenmarkts und zum Erreichen eines hohen Verbraucherschutzniveaus beizutragen. Mit der Richtlinie werden diese Regeln somit auf Gemeinschaftsebene vollständig harmonisiert. Daher dürfen die Mitgliedstaaten, wie dies in Art. 4 der Richtlinie ausdrücklich vorgesehen ist, entgegen dem Vorbringen von VTB und der französischen Regierung keine strengeren als die in der Richtlinie festgelegten Maßnahmen erlassen, und zwar auch nicht, um ein höheres Verbraucherschutzniveau zu erreichen.“ Vgl. ferner EuGH v. 14.1.2010 – C-304/08, EuZW 2010, 183 = NJW 2010, 1867 (Zentrale zur Bekämpfung unlauteren Wettbewerbs/Plus).

[16] EuGH v. 24.11.2011 – C-468/10 und 469/10, NZA 2011, 1409 (ASNEF), Rn. 30.

[17] EuGH v. 24.11.2011 – C-468/10 und 469/10, NZA 2011, 1409 (ASNEF), Rn. 35

[18] Ebenso Gola, EuZW 2012, 332, 336; a.A. Wybitul/Fladung, BB 2012, 509, 514: Die ASNEF-Entscheidung des EuGH sei nicht einschlägig, denn es gehe bei der Datenschutz-Grundverordnung nicht mehr um die Frage „Vollharmonisierung oder Mindeststandard“. Da eine Verordnung nach Art. 288 AEUV direkt und unmittelbar gelte, stelle sich die Frage nach einer Übererfüllung nicht.

[19] Dies hängt u.a. von der Reichweite der sog. Haushaltsausnahme (Art. 2 Abs. 2 lit. d DSGVO-E) ab. Nach aktuellem Stand sind Datenverarbeitungen im Rahmen der Beschäftigung, die also im Kontext einer professionellen Tätigkeit erfolgen, weiterhin erfasst. Im Rat wurden Vorschläge diskutiert, die „Haushaltsausnahme“ so zu gestalten, dass private Meinungsäußerungen nicht mehr vom Anwendungsbereich des Datenschutzrechts erfasst wären und zumindest die weitreichende LindquistRechtsprechung teilweise eingeschränkt würde. Auch dies würde aber den Beschäftigtendatenschutz nicht tangieren.

[20] EN: „within the limits of this Regulation”; FR: „dans les limites du présent règlement”.

[21] Denkbar ist dann aber nur – so die Theorie – ein race to the top, s. hierzu Deakin/Wilkinson, ILJ 1994, 289. In der Literatur gibt es daher Stimmen, die grundsätzlich den Ansatz einer reflexive harmonisation gegenüber einer Vollharmonisierung bevorzugen, s. Deakin, in: Esty/Geradin (Hrsg.), Regulatory Competition and Economic Integration: Comparative Perspectives, 2001, S. 190 ff., 209 ff.; s. ferner Watt, EdinLR 2005, 6.

[22] Hierzu etwa Wybitul/Fladung, BB 2012, 509, 511 f.

[23] Aufschlussreiche Überlegungen zu einem „Dateneigentum“ bei Hoeren, MMR 2013, 486; vgl. ferner Spindler, GRUR-Beilage 2014, 101, 103.

[24] Vgl. treffend Masing, NJW 2012, 2305, 2307: „Daten sind nicht unveräußerbare Artikel des Selbst, deren Nutzung leihweise an Dritte überlassen und dann nach Belieben wieder zurückgefordert werden kann: Niemand hat ein prinzipielles Recht, dass ein Kommunikationspartner auf Wunsch wieder vergisst, was ihm mitgeteilt wurde.“

[25] EuGH v. 13.05.2014 – C-131/12, RDV 2014, 265 = NJW 2014, 2257 (Google Spain); hierzu Nolte, NJW 2014, 2238; Luch/Schulz/Kuhlmann, EuR 2014, 698.

[26] EuGH v. 13.05.2014 – C-131/12, RDV 2014, 265 = NJW 2014, 2257, 2264 (Google Spain), Rn. 99.

[27] EuGH v. 13.05.2014 – C-131/12, RDV 2014, 265 = NJW 2014, 2257, 2263 (Google Spain), Rn. 85.

[28] BGH v. 23.06.2009 – VI ZR 196/08, RDV 2010, 27 = NJW 2009, 2888: Grundsätzlich ist die Zulässigkeit der Übermittlung der Daten gem. § 29 Abs. 2 Nr. 1 lit. a und 2 BDSG daran gebunden, dass der Datenempfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegt und kein Grund zu der Annahme besteht, dass ein schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Übermittlung besteht. Dies geschieht indes beim Angebot von Bewertungsportalen nicht. Um eine unverhältnismäßige Einschränkung der Kommunikation und des Meinungsaustauschs im Internet zu vermeiden, müsse daher das Erfordernis des § 29 Abs. 2 BDSG einschränkend ausgelegt werden. Einer verfassungskonformen Auslegung bedürfe es auch, soweit § 29 Abs. 2 S. 4 BDSG die Datenempfänger verpflichtet, die Gründe für das Vorliegen eines berechtigten Interesses aufzuzeichnen, und festlegt, in welcher Art und Weise dieses glaubhaft dargelegt ist.

[29] Zum bisherigen Recht s. bereits EuGH v. 06.11.2003 – C-101/01, Slg. 2003, I-12971 (Lindqvist).

[30] Anwendbar sollte das Datenschutzrecht hingegen bei Meinungsäußerungen sein, die nicht von Privatpersonen als solche getätigt werden, so dass bspw. Datenverarbeitungen zum Zwecke der Werbung erfasst wären.

[31] Gola, EuZW 2012, 332, 335.

[32] Kritisch auch Forst, NZA 2012, 364, 365; Gola, EuZW 2012, 332, 333.

[33] Vgl. Forst, RDV 2010, 150, 151.

[34] Simitis/Simitis, BDSG, § 4a Rn. 2

[35] S. nur BVerfG v. 23.10.2006 – 1 BvR 2027/02, DVBl 2007, 111: „Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen […]. Auch die Freiheit, persönliche Informationen zu offenbaren, ist grundrechtlich geschützt. […] Dem Einzelnen steht allerdings frei, Daten anderen gegenüber zu offenbaren. Als freiwillige Preisgabe persönlicher Informationen ist es grundsätzlich anzusehen, wenn jemand eine vertragliche Verpflichtung oder Obliegenheit eingeht, solche Informationen seinem Vertragspartner mitzuteilen oder Dritte zu derartigen Mitteilungen zu ermächtigen. Der Vertrag ist das maßgebliche Instrument zur Verwirklichung freien und eigenverantwortlichen Handelns in Beziehung zu anderen. Der in ihm zum Ausdruck gebrachte übereinstimmende Wille der Vertragsparteien lässt in der Regel auf einen sachgerechten Interessenausgleich schließen, den der Staat grundsätzlich zu respektieren hat.“

[36] S. nur Martenczuk, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 53. EGL 2014, Art. 17 EUV Rn. 9.

[37] Dies folgt bereits aus der Solange-II-Rechtsprechung (BVerfG v. 22.10.1986 – 2 BvR 197/83, BVerfGE 73, 339).

[38] Süddeutsche Zeitung v. 09.01.2012; vgl. ferner Hornung, ZD 2012, 99, 100.

[39] Zur restriktiven Auslegung von Art. 263 Abs. 4 Alt. 2 AEUV s. EuGH v. 03.10.2013 – C-583/11 P, NVwZ 2014, 53 (Inuit Tapiriit Kanatami u. a.).

[40] EuGH v. 13.05.2014 – C-131/12, RDV 2014, 265 = NJW 2014, 2257 (Google Spain).

[41] S. hierzu Bethge, in: Maunz/Schmidt-Bleibtreu/Klein/Bethge, Bundesverfassungsgerichtsgesetz, 44. EGL 2014, § 35 Rn. 27.