Grundfreiheiten des AEUV und des EUV
1. Allgemeines
Die Grundfreiheiten des AEUV begründen subjektive Rechte für alle Unionsbürger, auf die sie sich vor nationalen Behörden, Gerichten und dem EuGH berufen können.[1] Der EuGH hat ihnen außerdem eine objektiv-rechtliche Funktion in Form von Schutzpflichten für den Hoheitsträger (Union/Mitgliedstaat) zugesprochen.[2]
Inhaltlich sind diese von einem der wichtigsten Ziele der Union geprägt: Der Schaffung einer wettbewerbsfähigen, sozialen Marktwirtschaft in allen Mitgliedsstaaten durch die Errichtung eines einheitlichen Binnenmarktes. Die Grundfreiheiten sind daher auf die Gewährleistung der Verkehrsfreiheit von Personen, Waren, Dienstleistungen und Kapital ausgerichtet. Dies hat zur Folge, dass sie überwiegend für die IT-Sicherheit von nachrangiger Bedeutung sind. Eine Ausnahme davon ist der Datenschutz, da es hier neben dem Datenschutz im engeren Sinne auch um die Gewährleistung des freien Datenverkehrs geht.[3]
2. Datenschutz in AEUV und EUV
Der Datenschutz ist im bindenden Primärrecht der Union gleich dreifach verankert, wobei sich der Regelungsgehalt der Bestimmungen zum Teil überschneidet. Ein Grundrecht auf Datenschutz ist sowohl in Art. 16 Abs. 1 AEUV als auch in Art. 8 GRCh (siehe VI „Grundrechtecharta“) verankert. Art. 39 EUV regelt den Datenschutz speziell in Bezug auf die gemeinsame Außen- und Sicherheitspolitik.
Allen gemein ist das Streben nach einem Ausgleich zwischen dem Schutz personenbezogener Daten als Ausprägung des Persönlichkeitsrechts auf der einen und dem freien Datenverkehr auf der anderen Seite. Für die konkrete Umsetzung dieser Ziele bedarf es it-sicherheitsgewährleistender Maßnahmen technischer und organisatorischer Art, die die Sicherheit der gespeicherten personenbezogenen Daten sowie deren Übertragung garantieren und so Datendiebstahl und -missbrauch verhindern.
a) Datenschutzgrundrecht und Gesetzgebungskompetenz Art. 16 AEUV
Geschützt wird das (einklagbare) Grundrecht auf den Schutz personenbezogener Daten.
Art. 16 Abs. 2 AEUV enthält eine Gesetzgebungskompetenz für die Union in zwei Bereichen: Zum einen für den freien Datenverkehr als Ausprägung der allg. Binnenmarktkompetenz (Art. 114 AEUV) und zum anderen für den Schutz personenbezogener Daten. Hieraus folgt die Verpflichtung für „das europäische Parlament und den Rat gem. dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Organe, Einrichtungen und sonstige Stellen der Union […] zu erlassen“.[4] Diese Pflicht hatte bereits in der allgemeinen Datenschutzrichtlinie (95/46/EG) eine Ausprägung erfahren. Seit dem 25.05.2018 ist diese durch die Datenschutzgrundverordnung (DS-GVO) abgelöst. Diese sekundärrechtlichen Ausgestaltungen sind in Konformität mit den grundrechtlichen Regelungen auszulegen, können aber in Ausnahmefällen sogar konstitutiven Charakter erlangen, wenn sie über den grundrechtlichen Gewährleistungsinhalt hinausgehen.[5]
b) Art. 39 EUV Datenschutz für die gemeinsame Außen- und Sicherheitspolitik
Art. 39 EUV schafft ein besonderes Verfahren für die Ausübung der Zuständigkeiten der EU zur Regelung von Datenschutz bzgl. Datenverarbeitungen im Rahmen von Tätigkeiten im Bereich der gemeinsamen Sicherheits- und Außenpolitik (GASP). Zwar begründet Art. 39 EUV kein eigenes Grundrecht, jedoch gelten auch im Bereich der GASP Art. 7, 8 GRCh, Art. 8 EMRK und Art. 16 AEUV. Für die IT-Sicherheit relevant wird Art. 39 EUV etwa bei der Übermittlung von Fluggastdaten zur Terrorprävention oder gemeinsamen Datenbanken nationaler Strafverfolgungsbehörden.[6]
[1] EuropaR Rn. 656.
[2] EuGH, Rs. C-265/95, Slg. 1997, S. I-6959, Rn. 30 – Komission/Frankreich.
[3] Handbuch EuropaR, Bd. 4, Rn 1358.
[4] EuropUnionsR, GRC Art. 8, Rn. 8.
[5] HandbuchEuropaR Rn. 1365.
[6] HandbuchEuropaR Rn. 1357.