Читать книгу Europarecht - Bernhard Kempen - Страница 302

484

Die datenschutzrechtliche Kernbestimmung im → Primärrecht ist Art. 16 AEUV. Sie setzt sich zusammen aus einem Grundrecht (→ Grundrechte: Freiheitsrechte) auf den Schutz personenbezogener Daten (Abs. 1, häufig als konturlos kritisiert) und einer unionalen Gesetzgebungskompetenz auf diesem Gebiet (Abs. 2). Ausdrücklich unberührt davon bleibt jedoch Art. 39 EUV. Diese zweite primärrechtliche Bestimmung zum Datenschutz ist lex specialis für den Bereich der → Gemeinsamen Außen- und Sicherheitspolitik (GASP). Sie unterscheidet sich lediglich im Hinblick auf den Erlass von Sekundärrechtsakten. Während gem. Art. 16 Abs. 2 AEUV grundsätzlich Sekundärrecht in jeder vertraglich vorgesehenen Form eines → Rechtsakts („Vorschriften“) – aber nur gemeinsam durch das → Europäische Parlament und den → Rat (Ministerrat) – erlassen werden kann, geschieht dies gem. Art. 39 S. 1 EUV für den Bereich der GASP durch einfachen → Beschluss des Rates.

485

Daneben ist Art. 8 GRCh einschlägig, wobei Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV wortgleich formuliert (und damit ähnlicher Kritik ausgesetzt) sind. Dies wirft Fragen zum Verhältnis dieser beiden Primärrechtsnormen untereinander auf (→ Normenhierarchie). Umstritten ist etwa, ob Art. 16 AEUV Art. 8 GRCh verdrängt (nach h.M. sei dies nicht der Fall) oder inwieweit die Kollisionsregel des Art. 52 Abs. 2 GRCh greift. Art. 8 Abs. 2 GRCh statuiert – zusätzlich zu den allgemeinen Anforderungen von Art. 52 GRCh – Vorgaben und Grenzen für einen rechtmäßigen Grundrechtseingriff, nämlich den Vorbehalt eines → Rechtsakts, der eine Zweckbindung „nach Treu und Glauben“ sowie ein Auskunftsrecht für Betroffene gewährt oder auf die Einwilligung des Betroffenen abstellt.

486

Alle drei primärrechtlichen Vorgaben haben schließlich gemeinsam, dass die Einhaltung der datenschutzrechtlichen Normen „von unabhängigen Behörden“ (Art. 16 UAbs. 2 S. 2 AEUV, Art. 39 S. 2 EUV) bzw. „von einer unabhängigen Stelle“ (Art. 8 Abs. 3 GRCh) überwacht werden muss. Damit ist eine Institution wie der Europäische Datenschutzbeauftragte – wenn auch nicht ausdrücklich so bezeichnet – primärrechtlich dreifach verbürgt.