Datenschutzrecht

Anmerkungen

[1]

Ministerkomitee, Entschließung (73) 22 über den Schutz der Privatsphäre natürlicher Personen gegenüber elektronischen Datenbanken im privaten Bereich, 26.9.1973, abrufbar unter: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680502830 (Abruf: 12.1.2021).

[2]

Ministerkomitee, Entschließung (74) 29 über den Schutz der Privatsphäre natürlicher Personen gegenüber elektronischen Datenbanken öffentlichen Charakters, 20.9.1974, abrufbar unter: https://rm.coe.int/native/09000016804d1c51 (Abruf: 12.1.2021).

[3]

Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten v. 28.1.1981, SEV-Nr. 108.

[4]

Parlamentarische Versammlung, Draft Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) and its explanatory report, Dok. 14437, 15.11.2017, S. 3 et passim.

[5]

Vgl. Simitis/Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einl. Rn. 106.

[6]

Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr v. 8.11.2001, SEV-Nr. 181.

[7]

Konsultationskomitee zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV-Nr. 108), Propositions of Modernisation, DG I – Human Rights and Rule of Law, T-PD_2012_04_rev4_E, abrufbar unter: https://rm.coe.int/168049691b#search=T%2DPD%5F2012%5F04%5Frev4%5FE (Abruf: 12.1.2021).

[8]

Ad-hoc-Datenschutzkomitee (CAHDATA), Abridged Report of the 3rd and final meeting, DG I – Human Rights and Rule of Law, CAHDATA(2014)RAP03Abr, abrufbar unter: https://rm.coe.int/1680591271 (Abruf: 12.1.2021).

[9]

Vgl. dazu und zum Folgenden Parlamentarische Versammlung, Draft Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) and its explanatory report, Dok. 14437, 15.11.2017, S. 7 f.

[10]

Abrufbar unter: https://www.coe.int/de/web/conventions/full-list/-/conventions/rms/090000168098b1be (Abruf: 12.1.2021).

[11]

Mitteilung der Verabschiedung auf der Website des Europarats v. 18.5.2020, abrufbar unter: https://www.coe.int/de/web/portal/-/enhancing-data-protection-globally-council-of-europe-updates-its-landmark-convention (Abruf: 12.1.2021).

[12]

Der aktuelle Stand der Ratifizierungen ist auf der Website des Europarats einsehbar, abrufbar unter: https://www.coe.int/de/web/conventions/full-list/-/conventions/treaty/223/signatures?p_auth=roAlhaNR (Abruf: 12.1.2021).

[13]

Vgl. hierzu zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einl. Rn. 182.

1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen

B. Unionsprimärrechtliche Grundlagen

1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen › I. Einführung

I. Einführung

42

Das Datenschutzrecht ist spätestens mit der Datenschutz-Grundverordnung auch in den Details ganz wesentlich auf europäischer Ebene ausgestaltet. Zentraler normativer Rahmen für die Schaffung, Überprüfung, Auslegung und Anwendung dieses sog. Sekundärrechts ist das Primärrecht der Europäischen Union, also der EUV, der AEUV und vor allem die GrCh. Rechtsakte, die die Organe der Union erlassen, müssen vollumfänglich dem Primärrecht entsprechen, dem damit eine verfassungsähnliche Funktion zukommt. Die Reichweite, entsprechende Gesetzgebungsakte auf Unionsebene zu erlassen, ergibt sich aus der Kompetenzverteilung (dazu II.). Prägende Wirkung für das geltende Recht entfalten zunehmend jedoch auch die Unionsgrundrechte (dazu III.).

1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen › II. Kompetenzgrundlagen für Sekundärrechtsakte

II. Kompetenzgrundlagen für Sekundärrechtsakte

1. Kompetenz zum Erlass von Rechtsakten

43

Nach alter Rechtslage bildete Art. 286 EGV die einzige explizit datenschutzrechtliche Gesetzgebungsgrundlage. Als Kompetenzgrundlage für die Schaffung datenschutzrechtlicher Sekundärrechtsbestimmungen kam im Übrigen vor allem die gemeinschaftsrechtliche Binnenmarktkompetenz des Art. 95 EGV (jetzt Art. 114 AEUV) in Betracht. Dabei hatten die Gemeinschaftsorgane vor allem auf Art. 95 EGV zurückgegriffen, um ein europäisches Datenschutzrecht zu kreieren, da hier ein Mehrheitsbeschluss ausreichte und keine einstimmige Entscheidung erforderlich war. Kompetenzstreitigkeiten zum Erlass datenschutzrelevanter Vorschriften waren mehrfach ausgebrochen,[1] was angesichts der unterschiedlichen Normgebungsverfahren nicht weiter verwunderte. Dieses Konfliktpotential wurde mit Inkrafttreten des Lissabonner Änderungsvertrags und dem neu eingefügten Art. 16 AEUV minimiert.

44

Art. 16 AEUV weist allerdings eine der dem Lissabonner Vertrag eigenen unnötigen Dopplungen auf: So wird in Art. 16 Abs. 1 AEUV ein Datenschutzgrundrecht normiert, dem jedoch neben dem spezielleren Datenschutzgrundrecht aus Art. 8 GrCh keine Bedeutung zukommt. Art. 16 AEUV enthält im Gegensatz zu Art. 8 GrCh keine Schrankenbestimmung. Um ein Leerlaufen der Schranken der Art. 8 Abs. 2, 52 Abs. 1 GrCh zu vermeiden, ist auf die Anwendung des Art. 52 Abs. 2 GrCh im Fall des Art. 16 Abs. 1 AEUV zu verzichten, so dass Art. 8 GrCh einzige Rechtsquelle für die Grundrechtsprüfung ist.[2] Art. 16 Abs. 2 AEUV schafft daher vor allem eine datenschutzrechtliche Gesetzgebungskompetenz der Union gegenüber ihren eigenen Organen und den Mitgliedstaaten, sofern diese Unionsrecht ausführen. Durch die Überführung des Bereichs der PJZS in das Unionsrecht ist Art. 16 AEUV Rechtsgrundlage für den Erlass datenschutzrechtlicher Bestimmungen auf diesem Feld.[3] Dagegen stellt Art. 16 Abs. 2 UAbs. 2 AEUV klar, dass auf Grundlage des Art. 16 Abs. 2 UAbs. 1 AEUV ergangenes Sekundärrecht die Vorgaben des Art. 39 EUV unberührt lässt. Dieser verleiht dem Rat die alleinige Kompetenz, einen Beschluss zur Festlegung datenschutzrechtlicher Vorschriften bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Kapitels 2 des EUV („Besondere Bestimmungen über die Gemeinsame Außen- und Sicherheitspolitik“) fallen, und über den freien Datenverkehr zu erlassen. Gemäß Art. 39 S. 2 EUV wird die Einhaltung der datenschutzrechtlichen Vorschriften von unabhängigen Behörden überwacht. Trotz des Wegfalls der Differenzierung zwischen supranationalem Gemeinschaftsrecht einerseits und intergouvernementalem Unionsrecht andererseits muss auch weiterhin zur Bestimmung der einschlägigen Rechtsgrundlage zum Erlass datenschutzrechtlichen Sekundärrechts auf Unionsebene unterschieden werden: Bei Datenverarbeitungen, die im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik erfolgen, erlässt der Rat, gestützt auf Art. 39 EUV, die erforderlichen Bestimmungen, in allen anderen Fällen das Europäische Parlament zusammen mit dem Rat gemäß dem ordentlichen Gesetzgebungsverfahren und auf Grundlage des Art. 16 Abs. 2 AEUV.

Anmerkungen

[1]

EuGH, Urt. v. 30.5.2006, C-317/04 u. 318/04, ECLI:EU:C:2006:346 – Fluggastdatenübermittlung; Urt. v. 10.2.2009, C-301/06, ECLI:EU:C:2009:68 – Vorratsdatenspeicherung.

[2]

Vgl. auch Bernsdorff, in: Meyer/Hölscheidt (Hrsg.), Kommentar zur Charta der Grundrechte der Europäischen Union, 5. Aufl. 2019, Art. 8 Rn. 24; Jarass, Kommentar zur Charta der Grundrechte der Europäischen Union, 3. Aufl. 2016, Art. 8 Rn. 1.

[3]

Zu beachten ist der explizite Hinweis auf den als lex specialis bezeichneten Art. 39 EUV in Art. 16 Abs. 2 UAbs. 2 AEUV, der das Datenschutzgrundrecht auch im Bereich der Gemeinsamen Außen- und Sicherheitspolitik anerkennt, die Gesetzgebungskompetenz zu seiner Ausgestaltung aber einzig dem Rat zuspricht. Vgl. auch die Erklärungen 20 u. 21 der Schlussakte von Lissabon bezüglich der datenschutzrechtlichen Rechtssetzung im Bereich der Domaine Réservé und der PJZS, CIG 15/07 Schlussakte der Konferenz der Vertreter der Regierungen der Mitgliedstaaten v. 3.12.2007. Der Rat hat von seiner unter der alten Rechtslage alleinigen Kompetenz zur Ausgestaltung in Form des Rahmenbeschlusses 2008/977/JI über den Schutz personenbezogener Daten, die im Rahmen der PJZS verarbeitet werden, Gebrauch gemacht, ABl. EU 2008, L 350/60. Die Mitgliedstaaten waren gehalten, den Vorschriften des Rahmenbeschlusses bis zum 27.11.2010 nachzukommen (Art. 29 Abs. 1). Vgl. auch tiefergehend hierzu Albers, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Ed. 2020, Syst. L. Rn. 30.

2. Kompetenz zum Abschluss internationaler Übereinkünfte

45

Mit Inkrafttreten des Lissabonner Vertrags erlangte die EU Völkerrechtssubjektivität. Dementsprechend regelt Titel V (Internationale Übereinkünfte) des fünften Teils (Auswärtiges Handeln der Union) des AEUV die Kompetenzen und die Verfahren zum Abschluss völkerrechtlicher Verträge zwischen der EU und Drittstaaten bzw. internationalen Organisationen. Art. 216 Abs. 1 AEUV räumt der EU eine Vertragsabschlusskompetenz ein, während Abs. 2 klarstellt, dass die nach Abs. 1 geschlossenen Übereinkünfte die Organe der Union und die Mitgliedstaaten binden. Art. 218 AEUV beschreibt das zum Abschluss völkerrechtlicher Verträge einzuhaltende Verfahren detailliert. Insbesondere wird in Abs. 6 präzise festgelegt, wann – mit Ausnahme der Übereinkünfte, die ausschließlich die Gemeinsame Außen- und Sicherheitspolitik betreffen – das Europäische Parlament einem Beschluss des Rates zustimmen und wann es lediglich angehört werden muss, um einen völkerrechtlichen Vertrag wirksam abzuschließen. Im Rahmen solcher völkerrechtlichen Übereinkommen können insbesondere datenschutzrechtliche oder datenschutzrelevante Übereinkommen geschlossen werden. Beispiel hierfür sind etwa die verschiedenen PNR-(Fluggastdaten-)Abkommen[1], die zwischen der EU und Drittstaaten (bisher mit den USA und Australien) geschlossen wurden. Fortgeschrittene Verhandlungen zu einem solchem Abkommen gibt es zudem etwa mit Japan.[2] Zukünftige Beschlüsse zu Abkommen in diesem Bereich können auf Art. 216 Abs. 1 AEUV gestützt werden und müssen gemäß dem Verfahren des Art. 218 AEUV zustande kommen. Regelmäßig wird dabei das Europäische Parlament dem Beschluss des Rates wegen Art. 218 Abs. 6 S. 2 lit. a (v) AEUV zustimmen müssen.

Anmerkungen

[1]

PNR steht dabei für „Passenger Name Record“, zur Primärrechtswidrigkeit eines geplanten Abkommens mit Kanada und zu Möglichkeiten einer primärrechtskonformen Ausgestaltung vgl. EuGH, Gutachten 1/15 v. 26.7.2017, ECLI:EU:C:2017:592 – PNR-Abkommen mit Kanada.

[2]

Vgl. Rat der EU, PNR-Abkommen EU-Japan: Rat genehmigt Aufnahme von Verhandlungen, Pressemitteilung v. 18.2.2020.

1. Kapitel Grundlagen › B. Unionsprimärrechtliche Grundlagen › III. Unionsgrundrechte

III. Unionsgrundrechte

1. Grundlagen

46

Ausgangspunkt des Grundrechtsschutzes in der EG/EU war bis zum Inkrafttreten des Lissabonner Vertrags am 1.12.2009 Art. 6 Abs. 2 EUV a.F., der die Union verpflichtete, die Grundrechte, wie sie in der EMRK gewährleistet sind und wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten als allgemeine Grundsätze des damaligen Gemeinschaftsrechts ergeben, zu achten. Ergänzend trat die noch nicht rechtsverbindliche GrCh[1] hinzu, die vom EuGH als Rechtserkenntnisquelle herangezogen wurde.[2] Angesichts der fehlenden expliziten normativen Ausgangsgrundlage hat der EuGH das Datenschutzgrundrecht als allgemeinen Rechtsgrundsatz entwickelt.[3] Allerdings fehlte es zunächst lange an einer entsprechenden ausgereiften Dogmatik des EuGH.[4] Dies wurde etwa im ORF-Urteil deutlich, in dem das Gericht die Eingriffsqualität des bloßen Speicherns von Daten verneinte.[5] Welche fundamentalen Probleme eine solche Auffassung im Ergebnis aufwirft, zeigt sich besonders eindrücklich mit Blick auf die äußerst kontroverse Vorratsdatenspeicherung (dazu detailliert → Rn. 91 ff., 164 ff.). Hier bliebe auf dieser Basis gerade der wesentliche Kern des Problems unberücksichtigt. Ein erster Vorbote einer deutlichen Stärkung des Datenschutzgrundrechtes war aber die Entscheidung des EuGH zu den Internetveröffentlichungspflichten der EU-Agrarbeihilfen (vgl. dazu auch Fallbeispiel 2). Dass gerade im Hinblick auf den Datenschutz die unionsrechtlichen Grundrechtsvorgaben, sowohl was die Systematik[6] angeht als auch und insbesondere bezüglich der Schutzhöhe, im Wesentlichen dem Rechtsrahmen in Deutschland entsprechen,[7] hat eindrucksvoll die Entscheidung des EuGH zur Vorratsdatenspeicherung (näher zum EuGH-Urteil unter → Rn. 164 ff.) demonstriert,[8] die sich – anders als noch das rein kompetenzrechtliche Urteil aus dem Jahr 2009[9] – nunmehr umfassend und richtungsweisend mit der (mangelnden) Grundrechtskonformität der entsprechenden Richtlinie auseinandergesetzt[10] und diese im Ergebnis verworfen hat. Dabei wendet der EuGH beide Datenschutzgrundrechte aus Art. 7 und 8 GrCh weitgehend parallel nebeneinander an und verlangt eine tendenziell strenge Beschränkung der Datenverarbeitung auf das „absolut Notwendige“.[11]

47

Fallbeispiel 2 EU-Agrarbeihilfen – Datenschutz nach der GrCh[12]

Die Gemeinsame Agrarpolitik (GAP) der EU stellt den größten Posten des EU-Haushalts dar. Nachdem in der Vergangenheit in der Öffentlichkeit der Eindruck entstanden war, öffentliche Gelder würden im Rahmen der GAP intransparent verwendet und Empfängern zuteil, die hierzu nicht berechtigt seien, entschlossen sich der Rat und die Kommission, die Verwendung und Zuteilung der Gelder im Rahmen der GAP transparenter zu gestalten. Zu diesem Zweck wurden die Mitgliedstaaten durch Verordnung (VO) verpflichtet, bestimmte Angaben über die Empfänger von EU-Geldern im Rahmen der GAP zu veröffentlichen. Zu diesen Angaben gehören bei natürlichen Personen der Vor- und Zuname des Empfängers, bei juristischen Personen der vollständige eingetragene Name mit Rechtsform, die entsprechende Gemeinde des Empfängers samt Postleitzahl sowie der empfangene Gesamtbetrag an EU-Geldern. Diese Informationen werden auf einer speziellen Website veröffentlicht und sind über differenzierte Suchfunktionen zwei Jahre lang für jedermann abrufbar. Die Kläger Meyer-GmbH und Schmitz haben Anträge auf EU-Agrarbeihilfen gestellt, denen entsprochen wurde. Die Antragsformulare enthielten einen Hinweis auf die Veröffentlichungspflicht ihrer Informationen. Die Meyer-GmbH und Schmitz beantragen vor dem Verwaltungsgericht (VG), das Land zu verpflichten, die Weitergabe oder die Veröffentlichung dieser Daten zu unterlassen bzw. durch Anordnung zu untersagen, mit dem Ziel, die Veröffentlichung ihrer Daten zu verhindern. Sie sind der Meinung, dass die Veröffentlichung der genannten Daten gegen ihre Grundrechte verstößt. Das VG ersucht im Rahmen dieses Rechtsstreits den EuGH, da es Zweifel an der EU-Primärrechtskonformität der betreffenden Verordnung hegt. Dabei legt es ihm folgende Frage zur Vorabentscheidung vor: Ist die Verordnung, die die zu veröffentlichenden Daten bestimmt und die Veröffentlichung im Internet vorsieht, ungültig?

Wie wird der EuGH die vorgelegte Frage unter Berücksichtigung der einschlägigen Grundrechte der GrCh beantworten?

(Lösung siehe Rn. 56)

Anmerkungen

[1]

ABl. EU 2007, C 303, 1.

[2]

Zum Ganzen Kühling, in: v. Bogdandy/Bast (Hrsg.), Europäisches Verfassungsrecht, 2. Aufl. 2009, S. 657.

[3]

Vgl. EuGH, Urt. v. 8.6.2000, C-369/98, ECLI:EU:C:2000:443 – Fisher; Urt. v. 20.5.2003, C-465/00 u.a., ECLI:EU:C:2003:294 – Österreichischer Rundfunk u.a.; Urt. v. 6.11.2003, C-101/01, ECLI:EU:C:2003:596 – Lindqvist; Urt. v. 29.1.2008, C-275/06, ECLI:EU:C:2008:54 – Promusicae.

[4]

Beachte zum Ganzen den lesenswerten Beitrag von Britz, EuGRZ 2009, 1 und vgl. die Ausführungen bei Frenz, EuZW 2009, 6 (7); zur „zögerlichen Anerkennung“ des Datenschutzgrundrechts durch den EuGH vor der Rechtsverbindlichkeit der Charta siehe auch Breuer, in: Heselhaus/Nowak (Hrsg.), Handbuch der Europäischen Grundrechte, 2. Aufl. 2020, § 25 Rn. 9.

[5]

EuGH, Urt. v. 20.5.2003, C-465/00 u.a., ECLI:EU:C:2003:294, Rn. 74 – Österreichischer Rundfunk u.a.

[6]

Die korrekte Terminologie der Grundrechtsprüfung auf Unionsebene ist eigentlich „Anwendungsbereich – Einschränkungen – Rechtfertigung“. Aus Gründen der besseren Lesbarkeit und Verständlichkeit beim synoptischen Lernen wird im Folgenden auch bei den Unionsgrundrechten die ebenfalls gebräuchliche deutsche Terminologie verwendet.

[7]

Ausführlich Kühling, Europäisierung des Datenschutzrechts – Gefährdung deutscher Grundrechtsstandards?, 2014, S. 26 ff.

[8]

EuGH, Urt. v. 8.4.2014, C-293/12 u. C-594/12, ECLI:EU:C:2014:238 – Digital Rights Ireland und Seitlinger u.a.

[9]

EuGH, Urt. v. 10.2.2009, C-301/06, ECLI:EU:C:2009:68 – Vorratsdatenspeicherung.

[10]

Dazu ausführlich Kühling, NVwZ 2014, 681.

[11]

Zuletzt EuGH, Gutachten 1/15 v. 26.7.2017, ECLI:EU:C:2017:592 – PNR-Abkommen mit Kanada, Rn. 140.

[12]

Angelehnt an EuGH, Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert; vgl. dazu Kühling/Klar, in: Dix u.a. (Hrsg.), Informationsfreiheit und Informationsrecht, Jahrbuch 2010, 2010, 69; Wollenschläger, AöR 2010, 363.

2. Anwendungsbereich der Unionsgrundrechte und Zusammenspiel mit mitgliedstaatlichem Grundrechtschutz

48

Die Unionsgrundrechte binden stets die Organe der Union, die Mitgliedstaaten hingegen nur „bei der Durchführung von Unionsrecht“, Art. 51 Abs. 1 S. 1 GrCh. Der EuGH legt den Begriff jedoch weit aus, so dass es ausreicht, wenn auch Unionsrecht berührt ist.[1] Angesichts der prägenden DS-GVO als Sekundärrechtsakt und dem fast immer betroffenen freien Datenverkehr im Binnenmarkt gibt es im Datenschutzrecht kaum mehr denkbare Fälle, bei denen Unionsgrundrechte keine Anwendung finden. Allerdings hat der EuGH im Rahmen der Entwicklung seiner Rechtsprechung zum „Recht auf Vergessenwerden“ festgestellt, dass den Mitgliedstaaten im Rahmen der unionssekundärrechtlich verbliebenen Ausgestaltungsspielräume auch mitgliedstaatliche Konkretisierungsspielräume für die Auflösung multipolarer Grundrechtskonflikte anhand nationaler Grundrechtsstandards verbleiben[2] (siehe zur komplementären Rechtsprechung des BVerfG → Rn. 65 f.). Angesichts der zahlreichen Öffnungsklauseln der DS-GVO (dazu unter → Rn. 198) bleibt dies auch im gegenwärtigen Recht weiter von Bedeutung.

Anmerkungen

[1]

EuGH, Urt. v. 26.2.2013, C-617/10, ECLI:EU:C:2013:105 – Åkerberg Fransson.

[2]

EuGH, Urt. v. 24.9.2019, C-507/17, ECLI:EU:C:2019:772 – Google LLC (Google II), Rn. 67.

3. Recht auf Achtung des Privatlebens und der Kommunikation (Art. 7 GrCh)

49

Art. 7 GrCh normiert das Recht auf Achtung des Privatlebens und der Kommunikation und entspricht in Formulierung und Gewährleistungsgehalt weitgehend Art. 8 EMRK. Der Europäische Konvent, der den Text der Charta formuliert hat, stellt fest, dass die Rechte nach Art. 7 GrCh den Rechten entsprechen, die durch Art. 8 EMRK garantiert werden. Sie haben daher gemäß Art. 52 Abs. 3 GrCh grundsätzlich die gleiche Bedeutung und Tragweite wie die Konventionsrechte. Lediglich der Begriff der Korrespondenz wurde durch den Begriff der Kommunikation ersetzt, ohne dass sich hieraus materielle Unterschiede ergäben.[1] In jüngerer Zeit ergriff auch der EuGH die Gelegenheit, die Entsprechung des Art. 7 GrCh mit Art. 8 EMRK sowohl in der Gewährleistungs- als auch in der Rechtfertigungsdimension festzustellen.[2] Geschützt ist damit insbesondere das Brief-, Post- und Telekommunikationsgeheimnis, wobei auch moderne Formen der Kommunikation (E-Mail, SMS) in den Schutzbereich fallen.[3] Der effektive Schutz der Vertraulichkeit der (vermittelten) Kommunikation verlangt nicht nur die Gewähr der Vertraulichkeit des Inhalts der Kommunikation, sondern beinhaltet auch den Schutz vor Kenntnisnahme der Umstände der Kommunikation durch Dritte. Solche Kommunikationsumstände stellen die bei der Kommunikation erzeugten Kommunikationsdaten (z.B. Verkehrsdaten) dar. Diese können Aufschluss geben über Ort, Zeit, Dauer und weitere Informationen der Kommunikation einer Person.[4] Als personenbezogene Daten fallen sie jedoch auch in den grundsätzlich spezielleren Schutzbereich des Art. 8 GrCh. Für die gemäß Art. 52 Abs. 3 GrCh zu beachtenden Einschränkungsgründe des Art. 8 Abs. 2 EMRK spielt die Zuordnung dieser personenbezogenen Telekommunikationsdaten allerdings keine Rolle. Sie sind sowohl bei Art. 7 GrCh als auch bei Art. 8 GrCh zu berücksichtigen.[5] Weitere ebenfalls in Art. 8 GrCh zu berücksichtigende Einschränkungsgründe sind in Art. 52 Abs. 1 GrCh enthalten. Die Bestimmung formuliert darüber hinaus die wesentlichen Schranken der Einschränkungsmöglichkeiten, nämlich