Rz. 32
Zur Einschränkung der Datenschutzgrundrechte bedarf es einer gesetzlichen Grundlage, also in erster Linie eines der in Art. 288 AEUV genannten Instrumente, namentlich einer Verordnung, einer Richtlinie oder eines Beschlusses. Vor Inkrafttreten des Vertrages von Lissabon war die Europäische Union insoweit mit einem besonderen Problem konfrontiert: Mangels einer datenschutzspezifischen Ermächtigungsgrundlage in den Verträgen, welche den Erlass von sekundärrechtlichen Datenschutzregelungen auch gegenüber den Mitgliedstaaten erlaubt hätte, wurde die entsprechende Ermächtigungsgrundlage bisher hauptsächlich in Art. 95 EG (vgl. nunmehr Art. 114 AEUV) gesehen, da die Datenschutzvorschriften der Europäischen Union nicht nur den Schutz vor Beeinträchtigungen des Persönlichkeitsrechts beabsichtigen, sondern auch einen freien Verkehr mit Daten im Binnenmarkt und in Drittstaaten ermöglichen sollen. Mehr und mehr stellte sich nämlich heraus, dass die europaweit in den nationalen Rechtsordnungen bestehenden Unterschiede im Datenschutzrecht sich als Hindernis für die Schaffung eines Binnenmarktes (vgl. Art. 26 AEUV) erwiesen. Zur Beseitigung dieser Hindernisse erließen Parlament und Rat in den Jahren 1995 und 1997 zunächst zwei Richtlinien auf dem Gebiet des Datenschutzrechts. Weitere folgten ihnen. Art. 95 EG als Rechtsgrundlage erwies sich hierfür aber auch nicht als unproblematisch, wie sich am Widerstand einiger Mitgliedstaaten gegen die Richtlinie über die Vorratsdatenspeicherung gezeigt hat. Diese Problemlage hat der Vertrag von Lissabon beseitigt. Unabhängig vom Erfordernis eines Bedürfnisses nach Angleichung der Rechtsvorschriften zur Sicherstellung der Funktionsfähigkeit des Binnenmarktes enthält Art. 16 Abs. 2 AEUV nun eine ausdrückliche datenschutzspezifische Ermächtigungsgrundlage für an die Mitgliedstaaten gerichtete Rechtsakte wie auch solche, die sich an die Europäische Union selbst richten. Diese Norm dürfte für künftige Änderungen des EU-Sekundärrechts maßgeblich sein. Die danach zu erlassenden Rechtsvorschriften sind im Wege des ordentlichen Gesetzgebungsverfahrens (Art. 289, 294 AEUV) zu verabschieden.
Rz. 33
Eine herausgehobene Stellung im europäischen Datenschutzrecht kommt dabei bislang der an die Mitgliedstaaten gerichteten Richtlinie 95/46/EG – häufig auch einfach (EG-/EU)Datenschutzrichtlinie genannt – zu. Sie war ursprünglich Teil eines umfassenden Maßnahmenpakets, das jedoch erst deutlich später als die Datenschutzrichtlinie vollständig umgesetzt wurde. Nach mehrjährigen Vorarbeiten wurde die Datenschutzrichtlinie am 24.10.1995 erlassen.
Rz. 34
Von ihrer Zielsetzung her beabsichtigt die Datenschutzrichtlinie einerseits die bereichsübergreifende – sowohl der öffentliche als auch der nicht-öffentliche Bereich werden erfasst – Harmonisierung des Schutzes Betroffener und ihrer Grundrechte in der Union, andererseits soll sie aber auch den freien Verkehr mit personenbezogenen Daten und damit das Funktionieren des Binnenmarktes ermöglichen, Art. 1 RiL 95/46/EG. Beide Ziele sind als gleichrangig anerkannt und von der Datenschutzrichtlinie bzw. den mitgliedstaatlichen Rechtsvorschriften in ein Gleichgewicht zu bringen. Letztlich wird der Vorrang des einen oder anderen Ziels im Einzelfall gefunden werden müssen.
Rz. 35
Die Datenschutzrichtlinie enthält neben den auch für das nationale Recht bedeutsamen grundlegenden Begriffsbestimmungen (Art. 2 RiL 95/46/EG) eine Regelung ihres Anwendungsbereichs in Art. 3, wonach die Datenschutzrichtlinie ausdrücklich nicht auf die Verarbeitung personenbezogener Daten außerhalb des Kompetenzbereichs der Europäischen Union anzuwenden ist. Ausgespart bleibt ebenso der Umgang mit Daten, soweit ein Bezug zur öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates oder des strafrechtlichen Bereiches besteht. Dies bezieht sich vorwiegend auf die Gemeinsame Außen- und Sicherheitspolitik (GASP), wo eine gesonderte Bestimmung in Art. 39 EUV existiert. Zwar ist die strenge Säulenstruktur in der Europäischen Union mit dem Vertrag von Lissabon weggefallen. Zu einer inhaltlichen Änderung der Datenschutzrichtlinie hat dies indes nicht geführt.
Rz. 36
Eine wesentliche und daher auch von der Datenschutzrichtlinie adressierte Frage ist die nach dem anwendbaren Recht (vgl. Art. 4 RiL 95/46/EG). Werden Daten innerhalb der Europäischen Union verarbeitet, ist das Recht desjenigen Staates anwendbar, in welchem das datenverarbeitende Unternehmen seinen bzw. die öffentliche Verwaltungsstelle ihren Sitz hat ("Sitzlandprinzip"). Erfolgt die Datenverarbeitung in einer, in einem anderen Mitgliedstaat ansässigen Niederlassung oder Zweigstelle, so findet das Recht am Ort der Niederlassung oder Zweigstelle Anwendung. Das so umschriebene Sitzlandprinzip gilt aber nicht für Unternehmen oder Verwaltungen mit Sitz außerhalb der Europäischen Union. In diesem Fall ist gemäß dem Territorialitätsprinzip auf das Recht abzustellen, welches am O...