GrCh = Grundrechtecharta der Europäischen Union
1. Allgemeines
Die Grundrechte Charta der Europäischen Union enthält bürgerliche, politische, wirtschaftliche, soziale und Unionsbürgerrechte. Die in der GRCh garantierten Rechte dürfen denen der EMRK in Bedeutung und Tragweite nicht nachstehen, vgl. Art. 52 Abs. 3 S. 1. Dies ist als Mindeststandard zu verstehen, die GRCh kann also problemlos einem weitergehenden Schutz bieten, vgl. Art. 52 Abs. 3 S. 2. Daher wird im Folgenden ggf. auf die Ausführungen zum entsprechenden Grundrecht der EMRK verwiesen und darüber hinaus vor allem dasjenige erörtert, was einen über die EMRK hinausgehenden Schutzumfang gewährleistet.
2. Art. 7 GRCh – Schutz der Privatsphäre
Historische Grundlage des Art. 7 GRCh ist der beinahe wortgleiche Art. 8 EMRK (s.o.). Einziger Unterschied ist, dass hier statt dem Begriff der Korrespondenz der weitere Begriff der Kommunikation gewählt wurde, um der fortschreitenden technischen Entwicklung gerecht zu werden.[1] Damit ist auch jegliche Kommunikation über neue Medien umfasst, die nicht dem engeren Begriff der Korrespondenz unterfällt.
3. Art. 8 GRCh – Recht auf Schutz der personenbezogenen Daten
a) Allgemeines
In Art. 8 GRCh wird der Datenschutz als eigene Grundrechtsgewährleistung normiert, was der zunehmenden Bedeutung dieses Rechtsgebietes durch den technologischen Wandel gerecht wird. Laut EuGH[2]ist die Hauptaufgabe des Europäischen Datenschutzes die Schaffung eines Gleichgewichts zwischen einem individuellen Abwehrrecht für den Betroffenen und der Gewährleistung des freien Datenverkehrs.[3]
Das Recht auf Schutz personenbezogener Daten nach Art. 8 GRCh ist lex specialis zur Achtung der Privatsphäre und der Kommunikation nach Art. 7 GRCh.[4]
b) Abwehrrecht, Auskunftsanspruch, Berichtigungsanspruch
Art. 8 GRCh gewährleistet drei individuelle Rechte – das grundlegende Abwehrrecht gegen staatliche Eingriffe in die Persönlichkeitssphäre durch Erhebung, Speicherung oder Verarbeitung von Daten (Art. 8 Abs. 1, Abs. 2 S. 1 GRCh) sowie einen Auskunfts- und einen Berichtigungsanspruch (Art. 8 Abs. 2 S. 2 GRCh).
c) Recht auf informationelle Selbstbestimmung
Zentraler Bestandteil ist hierbei der Grundsatz der informationellen Selbstbestimmung.
Der Grundrechtsträger soll selbst über ihre Preisgabe und die Zwecke der Verarbeitung bestimmen können (Art. 8 Abs. 2 S. 1 GRCh), wobei vom Begriff Verarbeitung jede Art der Speicherung, Erhebung oder Verwendung umfasst sein soll.[5]
d) Staatliche Schutzpflichten
Wie dem Wortlaut „Recht auf Schutz“ zu entnehmen ist, besteht hier neben der Abwehrfunktion auch eine Schutzpflicht für den Staat. Eine solche ist etwa die Ergreifung von technischen oder organisatorischen Maßnahmen bei der Erhebung und Verarbeitung personenbezogener Daten durch den Staat, die die Einhaltung der Anforderungen des Art. 8 GRCh sicherstellen. Eine solche Maßnahme wird sogar in Art. 8 Abs. 3 konkret genannt: Die Einrichtung einer unabhängigen Überwachungsstelle. Dies ist eine „organisatorische Maßnahme“ i.S.d. IT-Sicherheit (vgl. Definition oben).
e) Anspruch auf Löschung personenbezogener Daten
In der sog. „Google Spain Entscheidung“ des EuGH [6] zur Datenschutzrichtlinie (RL 95/46/EG), die auch unter Maßgabe der Art. 7 und 8 GRCh auszulegen war, hat dieser erstmals einen Anspruch auf Löschung personenbezogener Daten ggü. einem privaten Internetsuchmaschinenbetreiber anerkannt („Recht auf Vergessen werden“), wodurch ein grundsätzlicher Schutz der Persönlichkeitsrechte im digitalen Datenverkehr geschaffen wurde.
f) Handlungsverpflichtung für den europäischen Gesetzgeber
Da die Ausübung von Art. 8 GRCh gem. Art. 52 Abs. 2 GRCh nach den Vorgaben des Art. 16 AEUV erfolgt, lässt sich sogar eine Verpflichtung für den europäischen Gesetzgeber zum Erlass eines wirksamen Datenschutzkonzeptes ableiten [7] (vgl oben: Art. 16 Abs. 2 AEUV: „Das Europäische Parlament und der Rat erlassen […] Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten).
Mit dem Erlass der Datenschutzrichtlinie (95/46 EG) und der Datenschutzverordnung (EG) Nr. 45/2001 erfolgte diese sekundärrechtliche Ausgestaltung, die durch die neue EU Datenschutzgrundverordnung weiterentwickelt wird.
Dieses Sekundärrecht ist in Konformität mit den grundrechtlichen Regelungen auszulegen, kann aber in Ausnahmefällen sogar konstitutiv werden, wenn es über den grundrechtlichen Gewährleistungsinhalt hinausgeht.[8]
4. Art. 11 GRCh – Meinungsäußerungs- und Informationsfreiheit
Auch hier gelten wegen Art. 52 Abs. 3 GRCh die Ausführungen zu Art. 10 EMRK entsprechend. Es bleibt zu erörtern, inwieweit der Schutzumfang des Art. 11 GRCh über den von Art. 10 EMRK hinausgeht. Abs. 1 ist mit Art. 10 Abs. 1 S. 1 EMRK wortgleich. Abs. 2 garantiert jedoch zusätzlich die Freiheit und Pluralität der Medien. Der Begriff Medien geht über den klassischen Begriff von Presse und Rundfunk hinaus; umfasst mithin auch die genannten neuen Medien, sowie alle zukünftig entstehenden Übertragungsmedien für an die Allgemeinheit gerichtete Kommunikation. Art. 11 GRCh unterscheidet sich von Art. 10 EMRK diesbezüglich also durch eine besondere Zukunfts- und Entwicklungsoffenheit.[9] Da die Möglichkeit der Grundrechtsausübung im digitalen Raum ebenfalls vom Staat geschützt sein muss, steht auch an dieser Stelle eine Pflicht zum Schutz vor Störfaktoren durch technische Maßnahmen
5. Art. 15, 16, 17 GRCh – Berufsfreiheit, Unternehmerische Freiheit, Eigentumsrecht
Berufsfreiheit (Art. 15 GRCh), die Unternehmerische Freiheit (Art. 16 GRCh) und das Eigentumsrecht (Art. 17 GRCh) zielen auf die Gewährleistung eines freien und fairen Wettbewerbs ab. In Bezug auf die IT-Sicherheit bieten diese Freiheiten für Unternehmen mindestens insoweit Schutz vor staatlichen IT-Maßnahmen, als das ein Eingriff in Form von staatlichen IT-Maßnahmen, die für das Unternehmen finanziell ruinöse Folgen mit sich brächten, unzulässig wäre. Darüber hinaus kann aus diesen Freiheiten auch ein Schutz für geschäftliche Daten abgeleitet werden.
6. Art. 42 GRCh – Recht auf Zugang zu Dokumenten
Gem. Art. 42 GRCh hat jeder Unionsbürger sowie jede natürliche oder juristische Person mit Wohnsitz oder satzungsmäßigem Sitz in einem Mitgliedsstaat das Recht auf Zugang zu den Dokumenten des Europäischen Parlaments, des Rates und der Kommunikation. Der zugrundliegende Transparenzgrundsatz ist Teil des demokratischen Gedankens.
Neben der Verfügbarkeit, ist aber auch die Vertraulichkeit von Informationen Ziel der IT-Sicherheit. Letztere muss auch bei solchen Vorgängen gewährleistet sein, damit nur solche Dokumente zugänglich gemacht werden, deren Inhalt nicht die Rechte anderer verletzt oder gefährdet. Zur Umsetzung dieser Ziele müssen organisatorische Maßnahmen, wie etwa die Einrichtung von für die Bearbeitung zuständigen Stellen / Behörden oder technische Maßnahmen, z.B. solche, die Auskunftsanfragen über das Internet ermöglichen, getroffen werden.
7. Handlungspflicht für den europäischen Gesetzgeber
Durch den Vertrag von Lissabon erlangte die GRCh den Rang von Primärrecht und damit Rechtsverbindlichkeit (Art. 6 Abs. 1 EUV).
Adressaten sind die Organe, Einrichtungen und sonstige Stellen der Union (Art. 51 I 1 GRCh) sowie Mitgliedstaaten, sofern sie im Anwendungsbereich des Unionsrechts tätig werden, also etwa bei der Umsetzung und Vollziehung von Unionsrecht.[10]
Ob die Grundrechte über ihre Abwehrfunktion hinaus auch Schutzpflichten für die Hoheitsträger beinhalten ist umstritten und vom einzelnen Grundrecht abhängig. Der EuGH hat bei bestimmten Grundrechten bereits eine objektiv-rechtliche Funktion bejaht[11] und eine entsprechende Funktion auch den Grundfreiheiten der AUEV (s.o.) zugesprochen. In allen Fällen, in denen eine Schutzpflicht zu bejahen ist, muss der Hoheitsträger bei Grundrechtsverletzungen, etwa durch private Dritte, einschreiten oder ihnen sogar (gesetzlich) vorbeugen, womit eine Handlungspflicht zu für den europäischen Gesetzgeber zu bejahen wäre.
[1] Charta-Erläuterungen, ABl. 2007 C 303/20.
[2] EuGH (Große Kammer), Urt. v. 9.3.2010 – Rs. C-518/07.
[3] Handbuch Europarecht, Bd. 4, Rn 1358.
[4] EuropUnionsR, Augsberg, GRC Artikel 8, Rn. 1.
[5] EuGH, Rs. C-317 u. 318/04, Slg. 2006, I-4721 (4827 f., Rn. 54 ff.).
[6] EuGH (Große Kammer), Urt. v. 13.5.2014 – C-131/12 (Google).
[7] EuropUnionsR, GRC Art. 8, Rn. 8.
[8] HandbuchEuropaR, Rn. 1365.
[9] Handbuch EuropaR Bd. 4, Rn. 1747.
[10] EuGH, Rs. 12/86, Slg. 1987, S.3719, Rn. 28; EuGH, Rs. 5/88, Slg. 1989, S. 2609, Rn. 17ff.
[11] EuGH, Rs. C-288/89, Slg 1991, S. I – 4007, Rn. 22; EuGH, Rs. C-368/95, Slg. 1997, S. I – 3689, Rn. 18.