Europarecht

3. Völkerrecht

490

Außerhalb der EU ist auf völkerrechtlicher Ebene das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108, in Kraft getreten am 1.10.1985) zu nennen, das am 28.1.1981 durch den → Europarat aufgelegt wurde und auch offen für Drittstaaten ist. Es verpflichtet zur Einhaltung internationaler Mindeststandards im Bereich des Datenschutzes. Inzwischen haben alle Mitgliedstaaten des Europarats dieses Abkommen ratifiziert, außerdem sind Kap Verde, Mauritius, Mexiko, der Senegal, Tunesien und Uruguay beigetreten. Ergänzt wurde es durch ein Zusatzprotokoll vom 8.11.2001 (SEV Nr. 181, in Kraft getreten am 1.7.2004), das bislang (Stand: Juli 2018) jedoch nicht von allen Vertragsstaaten ratifiziert worden ist. Dieses Zusatzprotokoll soll u.a. das Übereinkommen für einen Beitritt der EU öffnen, was jedoch erst nach dessen Ratifikation in sämtlichen Vertragsstaaten möglich ist.

491

Unter Beteiligung der EU sind völkerrechtliche Regelungen zum Datenschutz v.a. in speziellen Abkommen zu finden, die jedoch nicht zum Zwecke eines einheitlichen Datenschutzstandards vereinbart wurden, sondern schon aufgrund ihrer Regelungsmaterie datenschutzrechtliche Relevanz aufweisen. Dies sind v.a. Abkommen zur Datenübermittlung zwischen der EU und Drittstaaten, wie sie typischerweise zur Gewährleistung internationaler Sicherheit geschlossen werden. Als Beispiel können Übereinkünfte zur gegenseitigen Fluggastdatenübermittlung genannt werden (etwa das Abkommen mit den USA vom 11.8.2012, Abl. 2012, L 215).

492

Daneben existieren gewisse Vorgaben für den Datentransfer zwischen der EU und ihren Mitgliedstaaten auf der einen sowie Drittstaaten auf der anderen Seite. Diese sind jedoch weder dem Völkervertrags- noch -gewohnheitsrecht zuzuordnen, sondern basieren allenfalls auf Verwaltungsabkommen, politischen Absichtserklärungen oder unverbindlichen Zusicherungen – also soft law. Dazu zählen auch die mit den USA getroffenen und unter den Namen „Safe Harbor“ und „Privacy Shield“ bekannt gewordenen Vereinbarungen (dazu Rn. 502 f.). Ihren Rechtscharakter erlangten diese allerdings erst durch entsprechende Entscheidungen der → Europäischen Kommission; unionsrechtlich gesehen handelt es sich also richtigerweise um Sekundärrecht, nicht um Völkerrecht.

D › Datenschutz, Europäischer (Björn Schiffbauer) › III. Insbesondere die Datenschutz-Grundverordnung (DSGVO)

III. Insbesondere die Datenschutz-Grundverordnung (DSGVO)

1. Allgemeines

493

Die DSGVO hat am 25.5.2018 die Datenschutz-RL vollständig abgelöst und sich zudem spürbar auf das Datenschutzrecht der Mitgliedstaaten ausgewirkt. Mit ihr wird eine Vollharmonisierung des Datenschutzrechts in den Mitgliedstaaten angestrebt. Als Reaktion der deutschen Rechtsordnung sind weite Teile des deutschen Bundesdatenschutzgesetzes und auch der Landesdatenschutzgesetze überarbeitet und überlagert worden, weil die DSGVO insoweit Anwendungsvorrang genießt (→ Anwendungsvorrang des EU-Rechts). In Systematik und Terminologie knüpft die DSGVO an die Datenschutz-RL an; inhaltlich vollzieht sie jedoch einen erheblichen Entwicklungsschritt.

2. Anwendungsbereich

494

Ihren sachlichen Anwendungsbereich bestimmt die DSGVO in Art. 2. Sie betrifft das gesamte Unionsrecht mit Außenwirkung unter Ausklammerung der GASP, für welche die Datenschutz-RL für Polizei und Strafjustiz 2016/680 gilt. Die DSGVO entfaltet unmittelbare Rechtswirkungen sowohl auf die Beziehungen zwischen nationalen Hoheitsträgern und Privatpersonen als auch – und zwar in erheblichem Maße – im horizontalen Verhältnis zwischen Privatpersonen untereinander. Für den innerunionalen Rechtskreis ist zudem weiterhin speziell VO (EG) Nr. 45/2001 und weiteres besonderes Sekundärrecht anwendbar. Schließlich bestimmt Art. 95 DSGVO, dass sie die RL 2002/58/EG (sog. ePrivacy-RL) nicht überlagert. Sofern kein speziellerer Sekundärrechtsakt einschlägig ist, kommt es für den sachlichen Anwendungsbereich der DSGVO entscheidend darauf an, ob die Verarbeitung personenbezogener Daten betroffen ist. Die entsprechenden Legaldefinitionen finden sich in Art. 4 DSGVO.

495

Bemerkenswert ist der räumliche Anwendungsbereich der DSGVO (Art. 3). Denn sie stellt zwar auch auf die Niederlassung eines Verantwortlichen ab (Art. 3 Abs. 1). Darüber hinaus manifestiert sie aber nicht nur das bereits durch den EuGH in Sachen Google Spain (C-131/12) bestätigte Marktortprinzip, sondern zieht dessen Kreise noch weiter als es der EuGH vorgegeben hat (Art. 3 Abs. 2). Das Marktortprinzip stellt nicht auf den Sitz eines Unternehmens oder den Ort der Datenverarbeitung ab, sondern auf den bloßen Bezug eines relevanten Verhaltens zum → Binnenmarkt. Es ist etwa aus dem Wettbewerbs- und Kartellrecht bekannt und wird u.a. im Internationalen Privatrecht herangezogen (z.B. Art. 6 Rom-II-VO, dazu → Justizielle Zusammenarbeit in Zivilsachen [JZZ]). Datenschutzrechtlich gewendet kommt es für die Anwendbarkeit der DSGVO bei Verantwortlichen ohne Niederlassung in der Union darauf an, ob innerhalb der EU Waren oder Dienstleistungen angeboten werden (Art. 3 Abs. 2 Buchst. a) oder ob die Datenverarbeitung der Beobachtung des Verhaltens einer Person in der EU dient (Art. 3 Abs. 2 Buchst. b). Insbesondere letztere Variante wird jedenfalls bei transnational agierenden Unternehmen mit Datenverarbeitungsschwerpunkten (z.B. Google, Facebook, Apple, Microsoft) zu einer universellen (und wohl auch nicht ineffektiven, s. Rn. 501) Anwendbarkeit der DSGVO führen.

3. Struktur und Inhalt

496

Die DSGVO ist ein umfangreiches und komplexes Regelwerk, das aus 99 Artikeln in 11 Kapiteln besteht und durch 173 Erwägungsgründe eingeleitet wird. Die Regelungsbereiche der DSGVO lassen sich grob unterteilen in Allgemeines und Grundsätzliches (Kapitel I und II), Rechte Betroffener und Pflichten Verantwortlicher (Kapitel III und IV), Datenübermittlung (Kapitel V), Aufsicht und Kontrolle (Kapitel VI und VII), Rechtsschutz und Rechtsdurchsetzung (Kapitel VIII) sowie besondere und abschließende Bestimmungen (Kapitel IX bis XI).

497

Die Bestimmungen der DSGVO konkretisieren das primärrechtlich verbürgte Grundrecht auf den Schutz personenbezogener Daten. Dabei festigen und verstärken die in Kapitel II formulierten Grundsätze den hergebrachten Datenschutzstandard, indem sie unterschiedlichste Bedingungen an die Rechtmäßigkeit von Datenverarbeitungen bzw. eine für die Datenverarbeitung im Übrigen erforderliche Einwilligung knüpfen und unter den Vorbehalt einer Zweckbindung stellen.

498

Deutlich fortschrittlicher als der bisherige Standard zeigt sich die DSGVO mit ihren Betroffenenrechten (Kapitel III). Hier werden umfangreiche Informationspflichten für Verwender und Ansprüche auf Benachrichtigung und Löschung für Betroffene formuliert. In diesem Zusammenhang ist auch das viel bemühte „Recht auf Vergessenwerden“ relevant, das als solches ausdrücklich nicht nur in den Erwägungsgründen Nr. 65, 66 und 156 genannt wird, sondern auch Bestandteil im Klammerzusatz zu der amtlichen Überschrift von Art. 17 DSGVO ist. In dieser Norm zeigt sich der wahre Gehalt dieses Rechts: Es handelt sich tatsächlich um eine besondere Form eines Anspruchs auf Löschung personenbezogener Daten. Neu ist in diesem Zusammenhang eine über die bloße Datenlöschung hinausgehende Pflicht von Verantwortlichen, bei vorheriger öffentlicher Zugänglichmachung betroffener Daten Vorkehrungen (auch technischer Art) dafür zu treffen, dass auf eine Datenlöschung durch Dritte hingewirkt wird (Art. 17 Abs. 2 DSGVO). Dies sind letztlich erweiterte Informationspflichten darüber, dass die entsprechende Datennutzung nunmehr unzulässig ist. Es wird Aufgabe der Rechtsprechung sein, Inhalt und Reichweite dieser Pflicht abzustecken und damit dem „Recht auf Vergessenwerden“ Konturenschärfe zu verleihen.

499

Schließlich bekräftigt auch die DSGVO i.R. ihrer Kontrollbestimmungen das Institut des Datenschutzbeauftragten (Art. 37 ff.). Damit wird für jedes auf dem Binnenmarkt tätige Unternehmen mit Berührungspunkten zu personenbezogenen Daten die Pflicht statuiert, dauerhaft die Position eines Datenschutzbeauftragten zu besetzen.

500

Neben den umfangreich statuierten materiell- und verfahrensrechtlichen Ausgestaltungen des Grundrechts auf den Schutz personenbezogener Daten verdient besonders die von der DSGVO ebenfalls berücksichtigte Durchsetzungsebene besondere Beachtung. Nicht nur wird ein eigener datenschutzrechtlicher Schadensersatzanspruch normiert (Art. 82), sondern es wird den zuständigen Datenschutzbehörden ein scharfer Sanktionsmechanismus an die Hand gegeben, um die Vorgaben der DSGVO auch gegenüber wirtschaftsmächtigen Unternehmen zur Durchsetzung zu bringen. Die in Art. 83 aufgeführten Tatbestände für die Verhängung von Geldbußen sind umfangreich, doch sind v.a. die zulässigen Sanktionshöhen entscheidend, die sich erstmals am unternehmerischen Umsatz orientieren. So gestattet Art. 83 Abs. 6 unter bestimmten Voraussetzungen die Verhängung von Geldbußen „im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“. Erst ein solcher umsatzorientierter Sanktionsrahmen ermöglicht ein effektives Durchgreifen der Datenschutzbehörden, die zuvor gegenüber multinationalen Unternehmen wie Google oder Facebook strukturell deutlich unterlegen waren.

4. Anwendung und Ausblick

501

Wie weit sich die DSGVO auf die Rechtsanwendungspraxis insbesondere zwischen Privatpersonen auswirken und welche Konflikte sie dabei hervorrufen wird, lässt sich wenige Monate nach ihrem Geltungsbeginn noch nicht messen. Bereits jetzt (Stand: Juli 2018) ist aber erkennbar, dass die DSGVO in der öffentlichen Wahrnehmung äußerst präsent ist und unterschiedliche Reaktionen hervorruft, die zuweilen auf lückenhafter oder unscharfer Berichterstattung beruhen. Aus Sicht des Europäischen Datenschutzrechts ist einerseits das Ziel zu begrüßen, ein einheitlich hohes Datenschutzniveau in allen Mitgliedstaaten der Union zu schaffen. Andererseits bereiten die auch Privatpersonen (jedenfalls unterhalb der Schwelle zu Wirtschaftsunternehmen, d.h. vor allem selbständige Erwerbstätige und sogar gemeinnützige Vereinigungen) treffenden Pflichten zur Gewährleistung dieses Niveaus nicht wenigen Menschen Unbehagen, weil sie Zeit und Verantwortung in Anspruch nehmen sowie bei Schlechterfüllung zu Sanktionierungen führen können. Die behördliche und rechtsprechende Praxis wird daher v.a. im horizontalen Verhältnis noch auszutarieren haben, wie viele und wie umfangreiche Pflichten einzelnen Personen vernünftigerweise zuzumuten sind, um die Kehrseite solcher Pflichten – die auf informationeller Selbstbestimmung fußenden Rechte betroffener Personen – effektiv, aber nicht übermäßig zu gewährleisten.

D › Datenschutz, Europäischer (Björn Schiffbauer) › IV. Insbesondere „Safe Harbor“ und „Privacy Shield“

IV. Insbesondere „Safe Harbor“ und „Privacy Shield“

502

Im datenschutzrechtlichen Kontext wurde der Name „Safe Harbor“ im Zuge der gleichnamigen Entscheidung des EuGH (Urteil vom 6.10.2015, C-362/14 – Schrems/Data Protection Commissioner –) bekannt. Die Bezeichnung „Safe Harbor“ steht für eine vom US-Handelsministerium herausgegebene freiwillige Selbstverpflichtung US-amerikanischer Unternehmen zu Grundsätzen über den Schutz personenbezogener Daten. Auf Grundlage der Datenschutz-RL hat die Kommission mit ihrer Entscheidung 2000/520/EG vom 26.7.2000 den „Sicheren Hafen“ in das (heutige) Unionsrecht inkorporiert und festgestellt, dass das auf dieser Grundlage in den USA herrschende Datenschutzniveau angemessen sei. Der EuGH jedoch hat 15 Jahre später diese Entscheidung für ungültig erklärt, weil „Safe Harbor“ gerade kein mit den unionsrechtlichen Vorgaben vergleichbares Datenschutzniveau gewährleistet.

503

Als Reaktion auf das Safe-Harbor-Urteil des EuGH wurde zwischen der EU und den USA eine Folgevereinbarung ausgearbeitet, die den Namen „EU-US Privacy Shield“ trägt. Sie implementiert ein System der Selbstzertifizierung, wonach sich US-amerikanische Organisationen zu einem Katalog von Datenschutzgrundsätzen verpflichten, die vom Handelsministerium der USA herausgegeben wurden. Vom System (jedoch nicht vom Inhalt) her unterscheidet sich der „Privacy Shield“ vom „Safe Harbor“ also allenfalls marginal. Diesen „Datenschutzschild“ hat die Kommission mit ihrem Durchführungsbeschluss (EU) 2016/1250 vom 12.7.2016 (weiterhin auf Grundlage der alten Datenschutz-RL) in das Unionsrecht überführt. Die einzelnen Bestandteile des „Privacy Shield“ sind diesem Beschluss als Anlage beigefügt.

D › Demokratieprinzip (Stephan Hobe)

Demokratieprinzip (Stephan Hobe)[1]

I.Entwicklung des Demokratieprinzips im Unionsrecht505, 506

II.Ausprägungen des Demokratieprinzips507 – 519

1.Demokratieverständnis der Mitgliedstaaten508 – 512

a)Gewährleistungsgehalt des Demokratieprinzips am Beispiel der Bundesrepublik Deutschland509, 510

b)Überstaatlich anerkannte Gewährleistungen des Demokratieprinzips511, 512

2.Unionsrechtliches Demokratieverständnis513 – 519

a)Grundsatz der repräsentativen Demokratie514, 515

b)Teilhaberechte der Unionsbürger516, 517

c)Offenheit und Bürgernähe518, 519

III.Vorwurf des Demokratiedefizits520 – 524

Lit.:

A. Bleckmann, Das europäische Demokratieprinzip, JZ 56 (2001), 53; E.-W. Böckenförde, Demokratie als Verfassungsprinzip, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts, Band II, 3. Aufl. 2004, 429; A. v. Bogdandy, Grundprinzipien, in: ders./J. Bast (Hrsg.), Europäisches Verfassungsrecht – Theoretische und dogmatische Grundzüge, 2. Aufl. 2009, 13; B.-O. Bryde, Demokratisches Europa und Europäische Demokratie, FS für M. Zuleeg, 2005, 131; C. Calliess, Das Demokratieprinzip im europäischen Staaten- und Verfassungsverbund, FS für G. Ress, 2005, 399; K. Doehring, Demokratiedefizit in der Europäischen Union?, DVBl 1997, 1133; C. Franzius, Demokratisierung der Europäischen Union, EuR 48 (2013), 655; S. Hobe, Der offene Verfassungsstaat zwischen Souveränität und Interdependenz, 1998.

504

Das Demokratieprinzip zählt wie auch der → Vertrauensschutz zu den wesentlichen Verfassungsprinzipien des Unionsrechts (→ Europarecht: Begriff; → Konstitutionalisierung). Der Europäischen Union kommt insofern aufgrund ihrer Rechtsetzungsbefugnis eine Sonderstellung im Verhältnis zu anderen Internationalen und regionalen Organisationen zu. Nach einem zunächst zögerlichen Beginn hat das Demokratieprinzip im Unionsrecht eine bemerkenswerte Entwicklung durchlebt. Dabei ist die genaue Ausgestaltung des Prinzips hier naturgemäß besonders problematisch, weil die Vorstellungen von Demokratie in den Mitgliedstaaten einerseits und in der Union andererseits nicht immer gleich ausgeprägt und zudem schwer miteinander in Einklang zu bringen sind.

D › Demokratieprinzip (Stephan Hobe) › I. Entwicklung des Demokratieprinzips im Unionsrecht

I. Entwicklung des Demokratieprinzips im Unionsrecht

505

Bis in die 1990er Jahre wurde das Demokratieprinzip im Unionsrecht eher als politische Forderung denn als rechtliches Prinzip verstanden. In den Vertragstexten fand sich der Begriff nicht wieder. Auch der → Europäische Gerichtshof (EuGH) hat sich in seiner Rechtsprechung nur zögerlich darauf bezogen. Mit zunehmender Integration auch souveränitätssensibler Bereiche wurde der Bedarf nach demokratischer Legitimation jedoch immer stärker. Eine erste Kodifizierung erfolgte schließlich mit dem Vertrag von Maastricht (→ Europäische Union: Geschichte). Im fünften Erwägungsgrund wurde dort der Wunsch der Mitgliedstaaten festgehalten, „Demokratie und Effizienz in der Arbeit der Organe weiter zu stärken“. Art. F Abs. 1 statuierte zudem die Achtung der „nationale[n] Identität [der] Mitgliedstaaten, deren Regierungssysteme auf demokratischen Grundsätzen beruhen“. Eine gewisse Festigung erfuhr das Prinzip sodann in den Verträgen von Amsterdam und Nizza, welche in ihrem jeweiligen damaligen Art. 6 Abs. 1 EUV explizit vorsahen, dass die Union u.a. auf dem Grundsatz der Demokratie beruht, welcher „allen Mitgliedstaaten gemeinsam“ ist. Somit waren nicht mehr nur die Mitgliedstaaten, sondern auch die Union selbst an den Grundsatz der Demokratie gebunden.

506

Der – letztlich gescheiterte – Konventsentwurf des Verfassungsvertrags (→ Konstitutionalisierung) ging wesentlich weiter. Unter Teil I Titel VI (Das demokratische Leben der Union) und Teil II Titel V (Bürgerrechte) wurden verschiedene Aspekte des Demokratieprinzips aufgegriffen. Das in der Literatur z.T. als zu heterogen kritisierte Zusammenspiel der Demokratieelemente wurde schließlich im Vertrag von Lissabon gelockert. Unter Beibehaltung der Kernaspekte wurde die Zahl der Vorschriften zum Demokratieprinzip reduziert. Das Prinzip wird nunmehr zunächst im zweiten, vierten und siebten Erwägungsgrund erwähnt. In Art. 2 EUV wird die Demokratie sodann zu einem Wert erhoben, auf den sich die Union gründet. Unter Titel II (Bestimmungen über die demokratischen Grundsätze) werden Teile des Prinzips in vier Artikeln (Art. 9–12 EUV) konkret behandelt. Mit dem Vertrag von Lissabon fand das Demokratieprinzip somit erstmalig eine präzisierte Ausgestaltung.

D › Demokratieprinzip (Stephan Hobe) › II. Ausprägungen des Demokratieprinzips

II. Ausprägungen des Demokratieprinzips

507

Das Demokratieprinzip wird im Unionsrecht weder durch die Gründungsverträge noch durch den EuGH definiert. Es handelt sich vielmehr um ein offenes Prinzip, welches sich einer eindeutigen Begriffsbestimmung entzieht. Sein tatsächlicher Gehalt kann demnach nur anhand seiner jeweiligen Ausprägungen erfasst werden. Orientierungspunkte liefern insofern die Art. 9–12 EUV, in welchen das Demokratieprinzip unionsrechtlich konkretisiert wird.

1. Demokratieverständnis der Mitgliedstaaten

508

Bereits vor dem Lissabonner Vertrag war das Demokratieprinzip als Allgemeiner Rechtsgrundsatz (→ Primärrecht) der EU anerkannt. Insofern ergibt sich sein Gewährleistungsgehalt auch aus dem gemeinsamen Verständnis der Mitgliedstaaten.

a) Gewährleistungsgehalt des Demokratieprinzips am Beispiel der Bundesrepublik Deutschland

509

Im deutschen Grundgesetz ist das Demokratieprinzip in Art. 20 Abs. 1 und 2 GG verankert. So hält Art. 20 Abs. 1 GG fest, dass die Bundesrepublik Deutschland „ein demokratischer und sozialer Bundesstaat“ ist. Nach Art. 20 Abs. 2 S. 1 GG geht alle Staatsgewalt vom Volke aus. Dieses sog. Prinzip der Volkssouveränität wird in Art. 20 Abs. 2 S. 2 GG dahingehend präzisiert, dass die Staatsgewalt „in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung“ ausgeübt wird. Das Grundgesetz ist demnach auf eine repräsentative Demokratie ausgelegt. Abstimmungen als Formen direkter Demokratie sind auf Bundesebene nur in wenigen ausdrücklich vorgesehenen Fällen zugelassen.

510

Im Wesentlichen beschreibt das Demokratieprinzip nach deutschem Verständnis somit die Herrschaft des Volkes. Alle Staatsgewalt muss letztlich auf den Willen des deutschen Volkes als Träger ebendieser rückführbar sein. In einem Staat, in welchem Grundrechte gewährleistet werden, kann Staatsgewalt nur ausüben, wer demokratisch legitimiert ist. Daraus ergeben sich auch Anforderungen für die Wahl der Volksvertreter, welche gem. Art. 38 Abs. 1 S. 1 GG „in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt“ werden. Auch das Mehrheitsprinzip, also das Prinzip der Herrschaft der Mehrheit auf Zeit, ist somit vom Demokratieprinzip geschützt. Gleiches gilt für das Erfordernis des effektiven Minderheitenschutzes, des Mehrparteiensystems sowie des Transparenzgebots. Weitere Ausprägungen des Demokratieprinzips stellen z.B. der Parlamentsvorbehalt sowie das Bestehen demokratischer Grundrechte an sich dar.