Читать книгу: «Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO», страница 4
B. Ziele der DSGVO und ihre Auslegungsbedürftigkeit
Die DSGVO sollte der Diskussion um ein einheitliches unionsweites Datenschutzregime ein Ende setzen und die bislang bestehenden datenschutzrechtlichen Anforderungen wesentlich verändern.62 Um den uneinheitlichen Datenschutzentwicklungen in den einzelnen Mitgliedstaaten entgegenzuwirken, hat der europäische Gesetzgeber letztendlich eine Verordnung verabschiedet, die aufgrund ihrer Rechtsnatur keines Umsetzungsaktes mehr bedarf. Sie gilt auf europäischer Ebene als Reaktion auf die jüngsten technologischen Entwicklungen sowie die globalisierten Märkte und den digitalen Binnenmarkt und soll neue rechtssichere Rahmenbedingungen für die Herausforderungen des Datenschutzes schaffen.63
Die damit in Aussicht gestellte ‚Vollharmonisierung‘ findet jedoch auch nach Inkrafttreten der DSGVO zumindest in den diversen sog. Öffnungsklauseln, die national abweichende Regelungen erlauben, ihre Grenze.64 Sie erlauben nationale Gestaltungs- und daher auch Abweichungsspielräume, indem sie die Mitgliedstaaten in bestimmten Fällen nicht nur zum Erlass einzelstaatlicher Datenschutzvorschriften fakultativ ermächtigen (bspw. Art. 6 Abs. 2 DSGVO, Art. 8 Abs. 1 Satz 3 DSGVO), sogar teilweise verpflichten (bspw. Art. 54 Abs. 1 DSGVO, Art. 84 Abs. 1 DSGVO).65 Dadurch führte die DSGVO zur – wenn auch nur indirekten – dritten und bis dato letzten Novellierung des BDSG. Da der deutsche Gesetzgeber bereits von seinem Handlungsauftrag aus der DSGVO Gebrauch gemacht, wurde zeitgleich mit Geltung der DSGVO am 25. Mai 2018 gem. Art. 8 Abs. 1 DSAnpUG-EU66 das BDSG a.F. außer Kraft und gleichzeitig das BDSG n.F.67 in Kraft gesetzt.68
Neben den nationalen Gestaltungsspielräumen stellt vor allem die Auslegungsoffenheit der DSGVO die angestrebte Rechtssicherheit auf den Prüfstand. Durch ihre abstrakten Regeln fehlt es an Komplexität eines ausdifferenzierten Datenschutzregimes, wie es bislang aus dem BDSG a.F. bspw. in Bezug auf die Datenübermittlung an Auskunfteien (§ 28a BDSG a.F.) oder das Scoring (§ 28b BDSG a.F.) bekannt war.69 Ihre ausfüllungsbedürftigen Begriffe und die Unbestimmtheit zahlreicher Vorschriften birgt das Risiko, dass die Anwendungspraxis in den Mitgliedstaaten auseinanderdriftet.70
Aus diesem Grunde muss die DSGVO vorerst durch die Aufsichtsbehörden, den Europäischen Datenschutzausschuss (EDSA)71 und die Rechtsprechung bzw. ultimativ durch den EuGH inhaltlich konkretisiert werden, damit die Effektivität des Datenschutzes gewährleistet werden kann.72 Solange es an höchstrichterlicher Konturierung der unbestimmten Rechtsbegriffe mangelt, kann es zwar als Chance für Unternehmen gesehen werden, die Interpretationsspielräume der DSGVO bis zur Grenze der Rechtmäßigkeit zu nutzen. Gleichzeitig verursacht dies aber eine Gefahr zu Lasten der Grundrechte und Grundfreiheiten natürlicher Personen.
Obwohl vor diesem Hintergrund die offenen Tatbestände der DSGVO und die damit einhergehende Rechtsunsicherheit vielfach kritisiert worden sind,73 ist die vom europäischen Gesetzgeber mit der DSGVO beabsichtigte europaweite Datenschutzeinheitlichkeit zu begrüßen. Eine solche Vollharmonisierung aufgrund eines „soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen[s]“ (Erwägungsgrund 7 Satz 1) soll nicht nur das Vertrauen in die datenverarbeitende Wirtschaft wiederherstellen, sondern gleichzeitig die unternehmerische Sensibilität für datenschutzrechtliche Vorgaben entscheidend erhöhen, um weiteren Wachstum im Binnenmarkt zu ermöglichen.74 Ein großer Vorteil der DSGVO besteht in ihrer – wenn auch viel kritisierten – Flexibilität.75 Zwar könnten Tatbestände, die weniger auslegungsfähig und von einer Interessenabwägung geprägt sind, temporäre Rechtssicherheit schaffen. In Anbetracht des stetigen technologischen Fortschritts bedarf es aber anpassungsfähiger Rechtnormen, denn das Datenschutzrecht darf gegenüber den grundsätzlich zu begrüßenden Innovationen nicht als ‚Bremsklotz‘ fungieren. Ob die DSGVO in Anbetracht ihrer Auslegungsoffenheit und nationalen Gestaltungsspielräume mit Blick auf die angestrebte Rechtssicherheit aber tatsächlich insgesamt einen Mehrwert bietet, wird sich noch zeigen müssen.76 Ziel der nachfolgenden Rechtsinterpretation ist es, der derweil noch anhaltenden Rechtsunsicherheit in Bezug auf den Kundendatenschutz bei Unternehmenstransaktionen entgegenzuwirken.77
62 Dazu kritisch Härting/Schneider, CR 2015, 819 (819), die die DSGVO als eine „aufgehübschte“ Fortsetzung der EU-Datenschutzrichtlinie darstellen. 63 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, KOM (2010) 609 endgültig, S. 3f.; Entschließung des Europäischen Parlaments vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union, (2011/2025(INI)), Punkt C. 64 Hierzu kritisch u.a. Kühling/Martini, EuZW 2016, 448 (449), die die DSGVO gar als „atypischer Hybrid aus Verordnung und Richtlinie“ bezeichnen. 65 Etwa Hamann, BB 2017, 1090 (1090); Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 16; Kühling/Martini, EuZW 2016, 448 (449), die die fakultativen Handlungsspielräume weitergehend kategorisieren sowie zwischen allgemeinen und spezifischen Öffnungsklauseln differenzieren. Vor allem die Umsetzung obligatorischer Gestaltungsaufträge ist erforderlich, um die effektive Durchführung der DSGVO zu gewährleisten, vgl. Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 1. 66 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017 (BGBl. I vom 5.7.2017, S. 2097ff.) – sog. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU, im Folgenden: DSAnpUG-EU. 67 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 30. Juni 2017 (Art. 1 DSAnpUG-EU, BGBl. I vom 5.7.2017, S. 2097ff.), im Folgenden: BDSG n.F. 68 Die für das BDSG typische Differenzierung zwischen den Verarbeitungssituationen öffentlicher und nicht-öffentlicher Stellen gilt, wie bereits erwähnt, auch im BDSG n.F. weiterhin fort. 69 Vgl. Roßnagel, DuD 2017, 277 (278). 70 Dammann, ZD 2016, 307 (309). 71 Der EDSA, der gem. Art. 68 Abs. 1 DSGVO als Einrichtung der EU eigene Rechtspersönlichkeit besitzt, ist für die einheitliche Anwendung der Verordnung zuständig, vgl. Art. 70 Abs. 1 DSGVO. Er setzt sich aus den Leitern der einzelnen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten oder deren Vertretern zusammen, vgl. Art. 68 Abs. 3 DSGVO. Als Vorläufer des EDSA gilt die auf der Grundlage von Art. 29 EU-Datenschutzrichtlinie gegründete Artikel-29-Datenschutzgruppe, vgl. Erwägungsgrund 139. 72 Kühling/Martini, EuZW 2016, 448 (449); Roßnagel, DuD 2017, 277 (278). 73 Vgl. Buchner, DuD 2016, 155 (195); teilweise ist sogar von einer Verfehlung der Vollharmonisierung die Rede, vgl. Hofmann/Johannes, ZD 2017, 221 (221). 74 Vgl. Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 18. 75 Trotz ihrer Rechtsform als Verordnung kann aufgrund der vielen Öffnungsklauseln in der DSGVO auch im mitgliedstaatlichen Recht auf digitale Entwicklungen rasch reagiert werden, vgl. Greve, NVwZ 2017, 737 (744). 76 Kritisch u.a. Gierschmann, ZD 2016, 51 (55); Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 1; Roßnagel, Europäische Datenschutz-Grundverordnung, § 1, Rn. 43; anders hingegen Greve, NVwZ 2017, 737 (744), der eine Regelungsvielfalt auf nationaler Ebene förderlich für den Wettbewerb des digitalen Binnenmarktes und für Lösungsmöglichkeiten neuartiger Herausforderungen hält, da sich letztendlich meist nur eine Regelungsweise durchsetzen wird; dennoch möchte er aber nicht dem EuGH die notwendige Klärung der Grenzen der mitgliedstaatlichen Ausgestaltungsbefugnis im Wege von Vorabentscheidungsverfahren (Art. 267 Abs. 1 AEUV) oder Vertragsverletzungsverfahren (Art. 258 AEUV) absprechen. 77 Dabei erfordern die einheitliche Terminologie und Regelungssystematik der DSGVO eine einheitliche Interpretation und Rechtsfortbildung, Dammann, ZD 2016, 307 (309). Zur besonderen Auslegung europarechtlicher Vorschriften ausführlich Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 26ff.
C. Das Verhältnis des BDSG n.F. zur DSGVO
Notwendigerweise stellt sich die Frage des Verhältnisses zwischen BDSG n.F. und DSGVO.78 Dass die EU überhaupt die Kompetenz zur Regelung eines einheitlichen Datenschutzregimes inne hatte, steht außer Frage, denn gem. Art. 16 Abs. 2 S. 1 AEUV sind das Europäische Parlament und der Rat zum Erlass von Rechtsvorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten (oder durch die EU selbst) und zum Schutz des freien Datenverkehrs ermächtigt.79 Diskussionsbedürftig ist vielmehr, wie das BDSG n.F. in einem europarechtskonformen Kontext einzubetten ist und ob deutsche oder europäische Grundrechte anwendbar sind.
I. Potenzieller Verstoß gegen das Normwiederholungsverbot durch das BDSG n.F.
In das BDSG n.F. wurden teils Formulierungen aus dem Normentext der DSGVO inkorporiert,80 sodass voraussichtlich richterlich zu klären sein wird, inwiefern die Vorschriften des BDSG n.F. das europarechtliche Normwiederholungsverbot berühren.81 Das Normwiederholungsverbot, das der europäische Gesetzgeber sogar in Erwägungsgrund 8 in die DSGVO aufgenommen hat, verbietet es den Mitgliedstaaten, den Verordnungswortlaut in nationalen Vorschriften zu wiederholen; es sei denn, solche Wiederholungen sind aus Gründen der Kohärenz und der Verständlichkeit für die Beteiligten unbedingt erforderlich. Durch das Normwiederholungsverbot wird dem Telos des Art. 267 AEUV Rechnung getragen, wonach der EuGH über die alleinige Kompetenz zur Auslegung und Anwendung von Unionrechtsakten verfügt.82 Sofern die Wiedergabe einer mit der DSGVO im Wortlaut übereinstimmenden Regelung ausnahmsweise gerechtfertigt ist, um die nationale Norm klarer zu gestalten, muss diese Vorschrift jedenfalls in einem sachlichen Zusammenhang mit einer Öffnungsklausel stehen, denn Erwägungsgrund 8 eröffnet nur bei Vorschriften aus der DSGVO zur „Präzisierung[en] oder Einschränkung[en]“ die Möglichkeit zur Normwiederholung.83 Wenn also das BDSG n.F. Gegenstand eines gerichtlichen Verfahrens wird, muss dieser Umstand Berücksichtigung finden, denn es gilt zu verhindern, dass die DSGVO bei wortgleicher Wiedergabe in nationalen Vorschriften indirekt von den Mitgliedstaaten überprüft werden kann.84
Die Europäische Kommission hat klargestellt, dass sie einem erneuten Risiko erhöhter Rechtsunsicherheit in der Wirtschaft entschieden entgegenwirken will. So dürfen Wiederholungen des Verordnungswortlautes in nationalen Normen „nicht dazu verwendet werden, um zusätzliche Bedingungen oder Auslegungen zu ergänzen.“85 Andernfalls zieht sie bei gegebenem Anlass in Erwägung, ein Vertragsverletzungsverfahrens einzuleiten.86 Diese Sichtweise ist zu begrüßen, denn letztendlich ist es eben nicht Aufgabe des deutschen Gesetzgebers, die DSGVO auszulegen.87 Es ist daher durchaus zu erwarten, dass sich die nationalen Gerichte und im Zweifel der EuGH mit der Rechtmäßigkeit einzelstaatlicher Vorschriften, vor allem mit solchen des BDSG n.F., beschäftigen werden müssen.88
II. Europarechtskonforme Auslegung des BDSG n.F. und der Anwendungsvorrang der DSGVO
Im Zusammenhang mit der Auslegung und Anwendung des BDSG n.F. markiert der Anwendungsvorrang der DSGVO eine weitere wichtige Weichenstellung. Ohne weiteren Umsetzungsakt gilt die DSGVO als unmittelbar anwendbares Recht in Deutschland (Art. 288 Abs. 2 AEUV) und wurde mit Inkrafttreten Teil der deutschen Rechtsordnung.89 Deshalb können Vorschriften sowohl aus der DSGVO als auch aus dem BDSG n.F. den gleichen Sachverhalt regeln und sich ggf. widersprechen.90 Aus der Sicht des EuGH genießt das Unionsrecht im Falle einer Kollision umfassenden Vorrang gegenüber dem nationalen Recht.91 Dieser Anwendungsvorrang bedeutet aber nicht, dass mit der DSGVO kollidierende nationale Vorschriften nichtig sind, sondern lediglich „ohne weiteres unanwendbar“ bleiben.92 Während die Voraussetzungen und Grenzen einer solchen Nichtanwendungsbefugnis vermeintlich europarechtswidriger Vorschriften durch die Behörden schon in der Vergangenheit rechtliche Unsicherheiten hervorgerufen haben,93 stellt dies in Anbetracht fehlender Rechtsprechung zur noch jungen DSGVO insbesondere auch die unmittelbaren Adressaten der DSGVO und des BDSG n.F. vor besondere Herausforderungen.94 Kann eine europarechtskonforme Auslegung des BDSG n.F. keine Rechtsklarheit verschaffen, sind nach der hier vertretenen Auffassung deshalb auch datenverarbeitende Unternehmen im Zweifel gehalten, einzelne Vorschriften des BDSG n.F. nicht anzuwenden.
Aus diesen Gründen liegt in der nachfolgenden Bearbeitung der Fokus auf den generell-abstrakten Regeln der DSGVO, die ohnehin weitestgehend diejenigen Erlaubnistatbestände definieren, die die Verarbeitung von personenbezogenen Daten bei Unternehmenstransaktionen zum Gegenstand haben oder damit im Zusammenhang stehen. Das BDSG n.F. sieht hingegen grundsätzlich keine speziellen Vorschriften im Umgang mit Kundendaten vor, sodass die Problematik allein anhand der allgemeinen datenschutzrechtlichen Vorgaben der DSGVO zu beurteilen ist. Auf das BDSG n.F. wird nur in Einzelfällen Bezug genommen, vor allem im Zusammenhang mit der Erfüllung von Informationspflichten.95
III. Anwendung der Grundrechte – welcher Maßstab gilt?
Mit dieser europarechtlichen Fragestellung ist einhergehend zu klären, welche Grundrechte im Rahmen der DSGVO und des BDSG n.F. anzuwenden sind. Die Charta der Grundrechte der Europäischen Union96, die gem. Art. 6 Abs. 1 EUV97 als Teil des Primärrechts der EU gilt,98 ist dem Wortlaut des Art. 51 Abs. 1 Satz 1 GRCh nach indes eindeutig. Die GRCh „gilt [...] für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union“. Die GRCh beansprucht also immer dann unmittelbare Geltung, wenn der Anwendungsbereich der DSGVO eröffnet ist, insbesondere in den Bereichen, in denen eine Vollharmonisierung mit der DSGVO erreicht werden soll.99 In diesen Fällen ist nicht auf den Grundrechtsmaßstab des GG abzustellen, da aus der Sicht des EuGH die nationalen Grundrechte im Anwendungsbereich des europäischen Rechts verdrängt werden.100
Im Umkehrschluss darf jedoch nicht angenommen werden, dass im Fall der Anwendung des BDSG n.F. ausschließlich das deutsche Grundgesetz gelte.101 Vielmehr sind auch dann die europäischen Grundrechte der GRCh zu beachten, wenn Deutschland im Kontext des BDSG n.F. europäisches Recht durchführt.102 So sind die Mitgliedstaaten bei der Durchführung des Rechts der Union gehalten, nach Maßgabe von Art. 8 Abs. 2, Art. 52 Abs. 1 GRCh nicht gerechtfertigte Eingriffe in das Grundrecht des Schutzes personenbezogener Daten zu unterlassen.103 Die Rechtsprechung des EuGH in Bezug auf EU-Richtlinien und der Frage, ob ein Mitgliedstaat im Anwendungsbereich des Rechts der EU agiert,104 muss auf die DSGVO übertragen werden, denn diese enthält ebenso Gestaltungsspielräume der Mitgliedstaaten in Form von Öffnungsklauseln, wie sie sonst nur bei der Umsetzung einer EU-Richtlinie eröffnet werden.105 Folgerichtig wird mit dem BDSG n.F. überwiegend das Recht der DSGVO durchgeführt,106 sodass bei der Anwendung und Auslegung des BDSG n.F. vor allem die GRCh in Betracht zu ziehen ist.107
Ohnehin bilden europäische Grundrechte einen faktischen Mindeststandard, bei dessen Unterschreitung durch nationale Grundrechte eine Auslegung nach der GRCh geboten ist.108 Vice versa sind bei der Auslegung der GRCh gem. Art. 52 Abs. 4 GRCh gemeinsame Grundrechte im Einklang mit den gemeinsamen Verfassungsüberlieferungen der Mitgliedsaaten auszulegen. So wird teils argumentiert, dass die Rechtsprechung des BVerfG zu den Grundrechten bei der Auslegung von unbestimmten Rechtsbegriffen der GRCh als auch bei der Auslegung der DSGVO herangezogen werden kann.109 Da grundsätzlich der Anwendungsbereich der DSGVO bei Unternehmenstransaktionen eröffnet ist, sind im Nachfolgenden maßgeblich die Vorschriften der DSGVO am Maßstab der europäischen Grundrechte zu messen. Dessen ungeachtet bestünden auch bei der Berücksichtigung deutscher Grundrechte keinerlei gravierende nationale Abweichungen im Falle der Auslegung und Anwendung der DSGVO.
78 Neben der DSGVO und dem BDSG n.F. findet auch das bereichsspezifische Datenschutzrecht (bspw. im Meldewesen, Telekommunikationssektor, Sozialversicherungsrecht, Finanz- und Steuerverwaltung etc.) in Deutschland Anwendung (vgl. § 1 Abs. 2 BDSG n.F.), das jedoch für die vorliegende Erörterung außer Betracht bleibt. 79 Der europäische Gesetzgeber bezieht sich auf beide Alternativen des Art. 16 Abs. 2 S. 1 AEUV in der DSGVO, vgl. Art. 1 Abs. 1 DSGVO, Erwägungsgrund 12. Von der Kompetenzgrundlage hat der europäische Gesetzgeber in Anbetracht des Prinzips der begrenzten Einzelermächtigung, des Subsidiaritätsprinzips und des Verhältnismäßigkeitsgrundsatzes rechtmäßig Gebrauch gemacht, vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 21ff.; Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 3f.; zu den „Schrankentrias“ vgl. m.w.N. Trstenjak/Beysen, EuR 2012, 265 (266); zur Kompetenzregelung in Bezug auf die EU-Datenschutzrichtlinie vor Inkrafttreten des Lissabonner Vertrages siehe m.w.N. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 4ff. 80 Greve, NVwZ 2017, 737 (743), der jedoch keinen möglichen Verstoß gegen das Normwiederholungsverbot erkennt. 81 Allgemein zum Normwiederholungsverbot u.a. W. Schroeder, in: Streinz, EUV/AEUV, Art. 288 AEUV, Rn. 43, 50; EuGH, Rs. 272/83, Kommission/Italien, Slg. 1985, 1057, Rn. 26f. 82 EuGH, Rs. 314/85, Foto-Frost, Slg. 1987, 4199, Rn. 12ff. 83 Ebenso Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 8. Entgegen der Meinung der Verfasser lässt sich aus dieser Formulierung allerdings nicht die Schlussfolgerung ziehen, die DSGVO böte generell keinen Raum für „implizierte“ Öffnungsklauseln. Anders als direkte Öffnungsklauseln in der DSGVO, durch die Mitgliedstaaten ausdrücklich zum Erlass innerstaatlicher Vorschriften ermächtigt werden, besteht gem. Art. 2 Abs. 2 AEUV im Bereich geteilter Zuständigkeit auch dann ein normativer Handlungsspielraum, „sofern und soweit die Union ihre Zuständigkeit nicht ausgeübt hat.“ Implizierte Öffnungsklauseln währen also dann fort, soweit die DSGVO einen Sachverhalt nicht abschließend geregelt hat und die nationale Vorschrift nicht im Wiederspruch zur DSGVO steht, vgl. grundsätzlich ebenfalls Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 14, 19. Erwägungsgrund 8 bringt hingegen lediglich zum Ausdruck, dass eine Wiederholung des Verordnungswortlautes überhaupt dann nur in Betracht kommt, wenn die DSGVO eine Öffnungsklausel enthält. Ist der deutsche Gesetzgeber jenseits solcher direkten Öffnungsklauseln tätig geworden, gibt die DSGVO keinen konkreten Wortlaut her, der wiederholt werden könne. 84 Vgl. Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 20. 85 Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 10. 86 Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 10. 87 Zustimmend Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 10f. 88 Abzuwarten bleibt, inwieweit sich deutsche Gerichte bei der Auslegung und Anwendung des BDSG n.F. mäßigen und in normativer Hinsicht lediglich den eigenständigen Gestaltungsspielraum überprüfen werden, da das BVerfG gerade nicht hinsichtlich der Frage zuständig ist, ob innerstaatliches einfaches Recht mit einer vorrangigen Bestimmung des Unionsrechts unvereinbar ist, vgl. BVerfG, Beschluss vom 9. Juni 1971 – 2 BvR 225/69 = BVerfGE 31, 145 (174f.). Bei Berührungspunkten mit der DSGVO, einschließlich der Kompatibilität einzelner Vorschriften des BDSG n.F. mit den Vorgaben der DSGVO, kann daher nur der EuGH eine Entscheidung treffen, vgl. Greve, NVwZ 2017, 737 (743). Ausführlich zum Kompetenzverhältnis zwischen EuGH und BVerfG siehe Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 66ff. 89 Zur Geltung der Rechtsakte der EU vgl. EuGH, Rs. 6/64, Costa/E.N.E.L., Slg. 1964, 1141; EuGH, Rs. 106/77, Simmenthal II, Slg. 1978, 629, Rn. 17f. 90 Wann hingegen kein Konflikt zwischen nationalem Recht und Unionsrecht gegeben ist, vgl. im Allgemeinen Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 12ff. 91 Grundlegend erstmalig vgl. EuGH, Rs. 6/64, Costa/E.N.E.L., Slg. 1964, 1141; EuGH, Rs. 106/77, Simmenthal II, Slg. 1978, 629, Rn. 17f. Auch das BVerfG hat anerkannt, dass der Anwendungsvorrang gegenüber nationalem Gesetzesrecht „auf einer ungeschriebenen Norm des primären Gemeinschaftsrechts“ beruht, BVerfGE 73, 223 (244). Zur Begründung des Anwendungsvorrangs aufgrund der Integrationsfunktion des Unionsrechts, vgl. BVerfGE 126, 286 (301f.); m.w.N. Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 7ff., wonach das Integrationsziel auch für die DSGVO gilt. 92 Vgl. EuGH, Rs. 106/77, Simmenthal II, Slg. 1978, 629, Rn. 17ff.; später klarstellend EuGH, Rs. 10/97 u. 22/97, Ministero delle Finanze/IN.CO.GE., Slg. 1998, I-6307, Rn. 20f.; zum Anpassungszwang der Mitgliedstaaten bei widerstreitenden nationalen Vorschriften infolge des Grundsatzes zur loyalen Zusammenarbeit nach Art. 4 Abs. 3 EUV vgl. EuGH, Rs. 74/86, Kommission/Deutschland, Slg. 1988, 2139, Rn. 11. 93 Eine exekutive Nichtanwendungsbefugnis kollidierender nationaler Vorschriften erscheint im Hinblick auf die Gesetzesbindung, den Gewaltenteilungsgrundsatz und das Demokratieprinzip äußerst problematisch, da dies eine inzidente Normverwerfungskompetenz zur Folge hätte, weshalb nach überzeugender Ansicht nur bei evidenter Europarechtswidrigkeit der Exekutive eine Nichtanwendungsbefugnis zustehen sollte, vgl. m.w.N. Greve, NVwZ 2017, 737 (743f.); Ruffert, in: Calliess/Ruffert, EUV/AEUV, Art. 288 AEUV, Rn. 73f.; EuGH, Rs. 103/88, Fratelli Costanzo, Slg. 1989, I-1893; vertiefend m.w.N. Demleitner, NVwZ 2009, 1525 (1525ff.); gegen eine solche Nichtanwendungsbefugnis der Verwaltung in Bezug auf potenziell nicht-richtlinienkonformes nationales Recht W. Schroeder, in: Streinz, EUV/AEUV, Art. 288 AEUV, Rn. 105. 94 Zwar war eine Koexistenz von nationalen Datenschutzgesetzen und DSGVO aufgrund der Einführung zahlreicher Öffnungsklauseln vom europäischen Gesetzgeber durchaus gewollt, dabei hätte eine Kollision deutscher Regelungen mit Vorgaben der DSGVO (oder zumindest Zweifel daran) aber bestenfalls vom deutschen Gesetzgeber vermieden werden müssen, vgl. Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 12; kritisch zum niedrigen Schutzniveau des BDSG n.F. (Entwurf) Roßnagel, DuD 2017, 277 (280f.). 95 Dazu ausführlich S. 154ff. 96 Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391ff.), im Folgenden: GRCh; zur Entstehungsgeschichte der GRCh Meyer, in: Meyer/Hölscheidt, Charta der Grundrechte der EU, Präambel, Rn. 14ff. 97 Vertrag über die Europäischen Union in der Fassung der Bekanntmachung vom 9. Mai 2008 (ABl. C 115 vom 9.5.2008, S. 13ff.), im Folgenden: EUV. 98 Zwar ist die GRCh erst seit Inkrafttreten des Vertrages von Lissabon im Jahr 2009 gem. Art. 6 Abs. 1 EUV für alle Mitgliedstaaten verpflichtend, jedoch hatte der EuGH schon zuvor die GRCh einbezogen, obwohl sie noch nicht verbindlich war. Die zuvor aus den nationalen Verfassungstraditionen der Mitgliedstaaten entwickelten Grundsätze gelten weiterhin fort, vgl. Art. 6 Abs. 3 EUV. 99 Nach Sicht des EuGH wird der Geltungsbereich der Unionsgrundrechte durch den Anwendungsbereich des Unionsrechts bestimmt, vgl. EuGH, Rs. 198/13, Hernández, ECLI:EU:C: 2014:2055, Rn. 33. 100 EuGH, Rs. 11/70, Internationale Handelsgesellschaft, Slg. 1970, 1125 (1135), Rn. 3; EuGH, Rs. 399/11, Melloni, ECLI:EU:C:2013:107, Rn. 59ff.; zuletzt EuGH, Rs. 198/13, Hernández, ECLI:EU:C:2014:2055, Rn. 47; zum Kooperationsverhältnis von BVerfG und EuGH vgl. m.w.N. Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 51 EU-GRCharta, Rn. 8ff; Wegener, in: Calliess/Ruffert, EUV/AEUV, EU-Vertrag (Lissabon) Art. 19, Rn. 28ff., einschließlich der sog. „Solange“-Rechtsprechung des BVerfG (siehe BVerfGE 37, 271 (271ff.); BVerfGE 73, 339 (339ff.)). Auch weiterhin wird der Grundkonflikt die Diskussion prägen, ob und inwieweit aus europäischen Verpflichtungen Begrenzungen des nationalen Grundrechtsschutzes erwachsen. 101 Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 7. 102 Nur sofern ein Umsetzungsspielraum gegeben ist, unterliegt das BDSG n.F. der Grundrechtskontrolle durch das BVerfG, vgl. BVerfG, Beschluss vom 06. November 2019 – 1 BvR 16/13; m.w.N. Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 89. Das BVerfG überprüft hingegen das nationale Recht am Maßstab der Unionsgrundrechte, wenn die anwendbaren Regelungen unionsrechtlich vollständig vereinheitlich sind, also dem nationalen Gesetzgeber kein Spielraum eingeräumt wurde, vgl. BVerfG, Beschluss vom 06. November 2019 – 1 BvR 276/17; BVerfG, Beschluss vom 13. März 2007 – 1 BvF 1/05 = BVerfGE 118, 79 (95f.). Konflikte bei Kompetenzfragen im Bereich der Öffnungsklauseln sind daher absehbar, Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 108. 103 Klement, JZ 2017, 161 (167). 104 Die Mitgliedstaaten haben bei der Ausgestaltung des nationalen Rechts im Zuge der Umsetzung einer EU-Richtlinie „die Erfordernisse des Schutzes der in der Gemeinschaftsordnung anerkannten allgemeinen Grundsätze, zu denen auch die Grundrechte zählen, bei der Durchführung gemeinschaftsrechtlicher Regelungen zu beachten“, EuGH, Rs. 540/06, Parlament/Rat, Slg. 2006, I-5769, Rn. 105; zum Überblick des Streits hinsichtlich des Prüfungsmaßstabs von nationalen oder europäischen Grundrechten bei der Durchführung von EU-Richtlinien ausführlich Calliess, JZ 2009, 113 (115ff.). 105 Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 8. 106 Klement, JZ 2017, 161 (166) lässt bereits eine unionsrechtliche „Veranlassung“ mitgliedstaatlichen Handelns genügen, um das Erfordernis des unmittelbaren (oder auch mittelbaren) Vollzugs von Unionsrecht zu begründen. 107 Kritisch gegenüber einem rigiden Anwendungsvorrang der GRCh gegenüber nationalen Grundrechten insbesondere Kirchhof, NVwZ 2014, 1537 (1538ff.), wonach nationale Grundrechte im gleichen Maße bei der Anwendung der Normen der GRCh zu berücksichtigen sind, denn im Gegensatz zum Anwendungsvorrang von europäischen Normen vor nationalem Recht, findet der Integrationsgedanke der EU bei europäischen Grundrechten keine Beachtung; für ein Nebeneinander von nationalen und europäischen Grundrechten im Ergebnis ebenso Schantz/Wolff, Das neue Datenschutzrecht, Rn. 194ff.; Greve, NVwZ 2017, 737 (744); a.A. Albrecht/Janson, CR 2016, 500 (503ff.); Klement, JZ 2017, 161 (167f.), der eine Anwendung der nationalen Grundrechte wegen des abschließenden Charakters der DSGVO ausschließt. 108 Schantz/Wolff, Das neue Datenschutzrecht, Rn. 196. 109 Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 65.
