Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 22

43

Durch den 2009 in Kraft getretenen Vertrag von Lissabon wurden die drei Säulen der Union, die Europäischen Gemeinschaften (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitgehend vereinigt. Gleichzeitig haben sich in datenschutzrechtlicher Hinsicht wichtige Änderungen ergeben. Art. 16 Abs. 2 AEUV148 regelt nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass diese von Parlament und Rat im ordentlichen Gesetzgebungsverfahren gem. Art. 294 AEUV erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und dessen Kompetenzen erheblich vergrößert.149 Auch die DSGVO stützt sich auf die neu geschaffene europäische Kompetenz für das Datenschutzrecht. Inhaltlich erweitert der Vertrag von Lissabon die Kompetenzen der Union, indem diese nun die Verarbeitung personenbezogener Daten nicht nur für europäische Organe und Einrichtungen, sondern auch für die Mitgliedstaaten regeln kann.150 Über die kompetenzielle Neuordnung hinaus wurde mit dem Vertrag von Lissabon auch die Europäische Grundrechtecharta rechtsverbindlich, die in Art. 8 das Grundrecht auf den Schutz personenbezogener Daten enthält (zum europäischen Grundrechtsschutz s. Art. 1 Rn. 13ff.).151 Für die Entwicklung des Datenschutzrechts in seiner europäischen Dimension kommt dem Vertrag von Lissabon damit eine herausgehobene Stellung zu.

44

Die Kompetenz für den Erlass der Richtlinie folgt aus Art. 16 Abs. 2 AEUV, wonach das Europäische Parlament und der Rat die Kompetenz zur Rechtsetzung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten haben.152 Diese Kompetenz besteht gem. Art. 5 Abs. 3 EUV jedoch nur unter dem Vorbehalt der Subsidiarität.153 Eine gemeinschaftsrechtliche Regelung kann nur getroffen werden, wenn ihre Ziele durch eine Umsetzung auf mitgliedstaatlicher Ebene nicht erreicht werden können. Eine weitere Kompetenzbegrenzung folgt aus Art. 5 Abs. 4 EUV, wonach europäische Regelungen nur so weit zulässig sind, wie sie sich im Hinblick auf den Regelungszweck im Rahmen der Verhältnismäßigkeit bewegen.

45

Dass die Grundsätze der Subsidiarität und Verhältnismäßigkeit durch die Union beim Erlass der DSGVO gewahrt sind, wird in der Literatur bezweifelt.154 Der europäische Datenschutzbeauftragte155 und der Wirtschafts- und Sozialausschuss156 sowie der Ausschuss der Regionen157 begrüßten an dem Entwurf der DSGVO die stärkere Berücksichtigung der Grundrechte und den Harmonisierungsgedanken,158 kritisierten aber,159 ebenso wie Vertreter der rechtswissenschaftlichen Literatur und Lobbyvertreter,160 die Verfassungsmäßigkeit des Regelungsinstruments der Verordnung selbst, die im Konflikt mit dem Subsidiaritätsgedanken stehe. Die Diskussion um die Kompetenz der Union zum Erlass der DSGVO gipfelte in einer Subsidiaritätsrüge des Bundesrates,161 die letztlich jedoch an dem erforderlichen Quorum von einem Drittel der Parlamente der Mitgliedstaaten scheiterte.162 Der Subsidiaritätsrüge schlossen sich nur Belgien, Frankreich, Italien und Schweden an.163