Datenschutzrecht

Anmerkungen

[1]

Jarass, Kommentar zur Charta der Grundrechte der Europäischen Union, 3. Aufl. 2016, Art. 8 Rn. 4; Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 5. Aufl. 2016, Art. 8 GrCh Rn. 1 f.; Wolff, in: Pechstein/Nowak/Häde (Hrsg.), Frankfurter Kommentar EUV, GRC, AEUV, Bd. 1, 2017, Art. 8 GrCh Rn. 3.

[2]

EuGH, Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662, Rn. 47 – Schecke und Eifert.

[3]

EUGH, Urt. v. 8.4.2014, C-293/12 und C-594/12, ECLI:EU:C:2014:238 – Digital Rights Ireland und Seitlinger u.a.; vgl. jüngst auch Gutachten 1/15 v. 26.7.2017, ECLI:EU:C:2017:592, Rn. 133 – PNR-Abkommen mit Kanada.

[4]

Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 5. Aufl. 2016, GrCh Art. 8 GrCh Rn. 9. Im Übrigen ist eine im Ergebnis unschädliche, in grundrechtsdogmatischer Hinsicht jedoch noch divergierende Schutzgehaltserfassung des EuGH und des EuG festzustellen, vgl. EuG, T-194/04, ECLI:EU:T:2007:334, Rn. 111 ff. – Bavarian Lager und Urt. v. 29.6.2010, C-28/08 P, ECLI:EU:C:2010:378, – Kommission/Bavarian Lager, Rn. 59 f.; Wolff, in: Pechstein/Nowak/Häde (Hrsg.), Frankfurter Kommentar EUV, GRC, AEUV, Bd. 1, 2017, Art. 8 GrCh Rn. 12.

[5]

Diff. Bernsdorff, in: Meyer/Hölscheidt (Hrsg.), Kommentar zur Charta der Grundrechte der Europäischen Union, 5. Aufl. 2019, Art. 8 Rn. 25; s.a. Goldhammer/Sieber, JuS 2018, 22.

[6]

EuGH, Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert, Rn. 53; kritisch dazu Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 5. Aufl. 2016, GrCh Art. 8 GrCh Rn. 11.

[7]

Vgl. zur Art und zum Kontext der veröffentlichten Daten ausführlich Kühling/Klar, in: Dix u.a. (Hrsg.), Informationsfreiheit und Informationsrecht, Jahrbuch 2010, 2010, 69 (76 ff.); Wollenschläger, AöR 2010, 363 (389 f.).

[8]

EuGH, Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert, Rn. 87.

[9]

Die korrekte Terminologie der Grundrechtsprüfung auf Unionsebene ist eigentlich „Anwendungsbereich – Einschränkungen – Rechtfertigung“. Aus Gründen der besseren Lesbarkeit und Verständlichkeit beim synoptischen Lernen wird im Folgenden auch bei den Unionsgrundrechten die ebenfalls gebräuchliche deutsche Terminologie verwendet.

[10]

Vgl. auch Bernsdorff, in: Meyer/Hölscheidt (Hrsg.), Kommentar zur Charta der Grundrechte der Europäischen Union, 5. Aufl. 2019, Art. 8 Rn. 22; Jarass, Kommentar zur Charta der Grundrechte der Europäischen Union, 3. Aufl. 2016, Art. 8 Rn. 8; Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 5. Aufl. 2016, Art. 8 GrCh Rn. 12.

[11]

Vgl. auch Schorkopf, in: Ehlers (Hrsg.), Europäische Grundrechte und Grundfreiheiten, 4. Aufl. 2014, § 16 III 3 Rn. 47.

[12]

Kühling, NVwZ 2014, 681.

[13]

Vgl. EuGH, Urt. v. 29.6.2010, C-28/08 P, ECLI:EU:C:2010:378, Rn. 53 f. – Kommission/Bavarian Lager und Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662, Rn. 68 ff. – Schecke und Eifert; vgl. zum Transparenzgebot, das einen in der EU aufgrund des weiterhin bestehenden Demokratiedefizits besonders wichtigen Abwägungstopos darstellt, ausführlich Kühling/Klar, in: Dix u.a. (Hrsg.), Informationsfreiheit und Informationsrecht, Jahrbuch 2010, 2010, 69 (80 ff.); Wollenschläger, AöR 2010, 363 (366 ff.).

[14]

EuGH, Urt. v. 16.12.2008, C-73/07, ECLI:EU:C:2008:727, Rn. 53 ff. – Satakunnan Markkinapörssi und Satamedia und Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert, Rn. 76.

[15]

Vgl. EuGH, Urt. v. 29.6.2010, C-28/08 P, ECLI:EU:C:2010:662 – Kommission/Bavarian Lager, Rn. 75 ff. und Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert, Rn. 85.

[16]

In jüngerer Zeit etwa EuGH, Gutachten 1/15 v. 26.7.2017, ECLI:EU:C:2017:592 – PNR-Abkommen mit Kanada, Rn. 140; ferner Urt. v. 16.12.2008, C-73/07, ECLI:EU:C:2008:727, Rn. 56 ff. – Satakunnan Markkinapörssi und Satamedia und Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert, Rn. 77. Im letzteren Urteil kommt der EuGH zu dem Ergebnis, die in Rede stehenden Verordnungen der Union verstießen gegen Art. 8 Abs. 1 und Art. 7 GrCh, da der Unionsgesetzgeber zur Verfügung stehende mildere Mittel zur Zielerreichung nicht geprüft habe. Wieso jedoch eine durch Verordnung statuierte Veröffentlichungspflicht in Abhängigkeit von Kriterien wie etwa des Bezugszeitraums, der Bezugshäufigkeit und der Art und des Umfangs des Bezugs zu einer vom EuGH angenommenen geringeren Eingriffstiefe in die Grundrechte der von der Veröffentlichung Betroffenen bei gleicher Zweckeffektivität führen soll, bleibt rätselhaft, vgl. hierzu auch Kühling/Klar, in: Dix u.a. (Hrsg.), Informationsfreiheit und Informationsrecht, Jahrbuch 2010, 2010, 69 (86 ff.), die auf die besonders weite Einschätzungsprärogative des Unionsgesetzgebers abstellen.

[17]

EuGH, Urt. v. 9.11.2010, C-92/09 u. C-93/09, ECLI:EU:C:2010:662 – Schecke und Eifert; siehe dazu auch Kühling/Klar, JURA 2011, 771 ff.

[18]

BVerfG, Beschl. v. 25.2.2008, 1 BvR 3255/07, Rn. 20 ff. = BVerfG, NJW 2008, 1435 (1436 f.).

[19]

Vgl. hierzu und zum Folgenden bereits Kühling/Raab, in: Kühling/Buchner (Hrsg.), DS-GVO/BDSG, 3. Aufl. 2020, Einführung Rn. 31 ff., woran diese Passage stark angelehnt ist.

[20]

EuGH, Urt. v. 6.10.2015, C-362/14, ECLI:EU:C:2015:650, Rn. 91 f. – Schrems I; dagegen noch mit einer Abwägung zugunsten der Verhinderung der illegalen Einreise gegenüber Datenschutzinteressen Urt. v. 17.10.2013 – C-291/12, ECLI:EU:C:2013:670 Rn. 54 ff. – Schwarz.

[21]

Zu dieser Kritik bereits Kühling/Heberlein, NVwZ 2016, 7, 12.

[22]

EuGH, Urt. v. 13.5.2014, C-131/12, ECLI:EU:C:2014:317 – Google Spain.

[23]

So bereits Kühling, EuZW 2014, 527 (529 f.).

[24]

Jarass/Kment, EU-Grundrechte, 2. Aufl. 2019, § 13 Rn. 11.

1. Kapitel Grundlagen › C. Rechtsrahmen im Grundgesetz

C. Rechtsrahmen im Grundgesetz

1. Kapitel Grundlagen › C. Rechtsrahmen im Grundgesetz › I. Einführung

I. Einführung

57

Trotz umfassender unionsrechtlicher Überformung des nationalen Rechts hat das nationale Verfassungsrecht weiterhin eine wichtige Bedeutung für das nationale einfachgesetzliche Recht. Im deutschen Grundgesetz finden sich die Vorgaben zur Gesetzgebung in den Art. 70 ff. GG (dazu II.), während die einschlägigen grundrechtlichen Steuerungsvorgaben vor allem in den Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie Art. 10 GG zu finden sind (dazu III.).

1. Kapitel Grundlagen › C. Rechtsrahmen im Grundgesetz › II. Datenschutzrechtliche Gesetzgebungskompetenz in Bund und Ländern

II. Datenschutzrechtliche Gesetzgebungskompetenz in Bund und Ländern

58

Für die Datenschutzgesetzgebung in Deutschland greift die allgemeine Kompetenzverteilung des Grundgesetzes. Danach steht gemäß Art. 70 Abs. 1 GG den Ländern das Recht der Gesetzgebung zu, soweit keine Bundeskompetenz besteht. Hierbei ist zu beachten, dass es keine spezifische Kompetenzgrundlage für datenschutzrechtliche Gesetze gibt. Angesichts der Vielfalt der möglichen Verarbeitungszusammenhänge ist in der Kompetenzordnung des Bundes die Identifikation eines einheitlichen, die gesamte Regelungsbreite des Gesetzes abdeckenden Anknüpfungspunktes nicht möglich.[1] Je mehr Datenschutzgesetzgebung allerdings abschließend auf der Ebene der Europäischen Union erfolgt, desto weniger relevant wird die Frage der innerstaatlichen Kompetenzverteilung. Unabhängig davon wäre die Schaffung einer umfassenden Gesetzgebungskompetenz auf Bundesebene de constitutione ferenda sehr wohl erwägenswert.

59

Bis dahin gilt jedoch im nichtöffentlichen Bereich – also bei der Datenverarbeitung durch private Unternehmen etc. – vorwiegend die konkurrierende Gesetzgebungskompetenz aus Art. 74 Abs. 1 Nr. 1 und 11 GG, beispielsweise bei der Übermittlung von Arbeitnehmerdaten jedoch auch aus Art. 74 Abs. 1 Nr. 12 GG.

60

Im Anwendungsbereich der öffentlichen Verwaltung des Bundes folgt die Gesetzgebungsbefugnis des Bundes aus der Annexkompetenz des Verwaltungsverfahrens zu den jeweiligen Sachkompetenzen der Art. 73 und 74 GG.[2] Für die in Art. 74 GG ggf. aufgeführten Bereiche der konkurrierenden Gesetzgebung ergibt sich die Bundeskompetenz aus Art. 72 Abs. 2 GG. Eine einheitliche Regelung durch den Bund im Bereich des Datenschutzrechts ist zur Wahrung der Rechts- und Wirtschaftseinheit im gesamtstaatlichen Interesse zwingend erforderlich.[3]

61

Auch außerhalb des BDSG bzw. der verschiedenen LDSGe orientiert sich die Kompetenz am Regelungsgegenstand der jeweiligen bereichsspezifischen Materie. In einzelnen Bereichen kann sich daher die Gesetzgebungskompetenz der Länder auch auf das Datenschutzrecht auswirken, etwa im Bereich des Rundfunks oder den klassischen Landesmaterien des Polizei-, Kommunal- und Schulrechts, aber auch im Gesundheitswesen und anderen Bereichen mit Landeskompetenzen. Nicht zuletzt diese Zersplitterung der Kompetenzgrundlagen hat zu einem großen Teil zur Zersplitterung des Datenschutzrechts geführt, was die Qualität dieser Rechtsmaterie nicht verbessert hat.[4]

Anmerkungen

[1]

Zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, § 1 Rn. 6.

[2]

Zum BDSG a.F. Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 7; Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, § 1 Rn. 13.

[3]

Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 8.

[4]

Zur Heterogenität der Ermächtigungsgrundlagen Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 8; zur überkomplexen Ausdifferenzierung kritisch Kingreen/Kühling, JZ 2015, 213.

1. Kapitel Grundlagen › C. Rechtsrahmen im Grundgesetz › III. Grundrechte

III. Grundrechte

62

Fallbeispiel 3 Ermittlung von Mobilfunkdaten durch IMSI-Catcher – Fernmeldegeheimnis

Auf der Basis einer entsprechenden strafprozessualen Norm (§ 100i StPO) darf zum Zwecke der Ergreifung eines Beschuldigten in bestimmten qualifizierten Fällen die Geräte- und Kartennummer eines aktiv geschalteten Mobiltelefons mittels eines so genannten IMSI[1]-Catchers ermittelt werden.[2] Hierdurch wird die genaue Standortbestimmung des Mobiltelefons ermöglicht. Die so erhobenen Daten werden anonym und automatisch abgeglichen und bei fehlender Betroffenheit erfolgt eine unverzügliche Löschung nach dem Messeinsatz. Unbeteiligte Dritte werden nicht identifiziert. Gegenüber dem des Mordes dringend verdächtigen T erfolgt eine entsprechende Erhebung. T sieht hierin einen nicht gerechtfertigten Eingriff in sein Grundrecht aus Art. 10 Abs. 1 Var. 3 GG (Fernmeldegeheimnis). Nachdem er erfolglos alle Instanzen durchlaufen hat, wendet er sich an das BVerfG.

Verletzt die angegriffene Maßnahme Grundrechte des T?

Hintergrund: Zum Empfang eingehender Anrufe oder Kurzmitteilungen ist die Lokalisierung des Standorts eines Mobiltelefons durch den Mobilfunknetzbetreiber nötig. Im Rahmen dieser ständigen Positionsangabe werden u.a. die Kartennummer (IMSI) und die Gerätenummer (IMEI[3]) des Mobiltelefons an die Basisstation gesendet. Dieses Prinzip nutzt der IMSI-Catcher, indem er innerhalb einer Funkzelle eine Basisstation des Mobilfunknetzes simuliert. Sämtliche eingeschalteten Mobiltelefone, die sich im Einzugsbereich des IMSI-Catchers befinden, senden nunmehr ihre Daten an diesen. Auf diese Weise ist es möglich, Karten- und Gerätenummer sowie den Standort des Mobiltelefons zu ermitteln.

(Lösung siehe Rn. 116)

63

Fallbeispiel 4 Löschbegehren gegen Online-Archiv – Recht auf Vergessen I

(angelehnt an BVerfG, Beschl. v. 6.11.2019 – 1 BvR 16/13 – Recht auf Vergessen I (s. auch Anmerkungen Kühling, NJW 2020, 275))

Der spätere Beschwerdeführer B wurde 1982 rechtskräftig wegen Mordes verurteilt. Nach Verbüßen seiner Strafe wurde er 2002 aus der Haft entlassen. Das Online-Angebot einer Zeitung, die 1982 über die rechtskräftige Verurteilung des Beschwerdeführers mit drei Artikeln berichtete und ihn namentlich nannte, ist weiterhin in Verbindung mit seinem Namen mithilfe der Nutzung einer Internet-Suchmaschine auffind- und online einsehbar. Der Beschwerdeführer macht daher einen Unterlassungsanspruch gegen die Zeitung dahingehend geltend, dass die drei Artikel mit Namensnennung nicht online ohne Zugangsbarrieren verfügbar sein sollen. In der Konsequenz würden diese auch nicht mehr unter den ersten Treffern bei einer Namenssuche in einer Internet-Suchmaschine erscheinen. Das Landgericht hatte der Klage des B und seinem Löschbegehren gegen das Online-Archiv zunächst stattgegeben und das zuständige Oberlandesgericht die Berufung zurückgewiesen. Die dagegen gerichtete Revision war vor dem Bundesgerichtshof allerdings erfolgreich und führte zur Änderung des Urteils des Landgerichts und zur Klageabweisung.

Nun richtet sich der B mit einer Verfassungsbeschwerde an das BVerfG. Ist seine Beschwerde begründet?

(Lösung siehe Rn. 117)

64

Fallbeispiel 5 Löschbegehren gegen Suchmaschinenbetreiber – Recht auf Vergessen II

(angelehnt an BVerfG, Beschl. v. 6.11.2019 – 1 BvR 276/17 – Recht auf Vergessen II (s. auch Anmerkungen Kühling, NJW 2020, 275))

Die Betroffene und spätere Beschwerdeführerin A war Gegenstand eines Berichtes eines bekannten Fernsehmagazins. Sie hatte ihrerzeit auf Anfrage ein Interview für einen Beitrag gegeben. In dem Beitrag wurde ihr Verhalten als Geschäftsführerin im Zusammenhang mit der Kündigung eines Arbeitsnehmers negativ dargestellt. Unter dem Titel „Die fiesen Tricks der Arbeitgeber“ ist der Beitrag auch auf der Internetseite des Magazins abrufbar. Die Beschwerdeführerin verlangte nun von der Internet-Suchmaschine Google die Löschung eines Links auf diesen Beitrag. Zunächst hatte das Landgericht der Klage stattgegeben. In der Berufung hatte das zuständige Oberlandesgericht ihre Klage hingegen abgewiesen. Nun erhebt sie Verfassungsbeschwerde.

Ist die A beschwerdebefugt? Ist die Verfassungsbeschwerde begründet?

(Lösung siehe Rn. 118)

Anmerkungen

[1]

International Mobile Subscriber Identity.

[2]

Angelehnt an BVerfG, Beschl. v. 22.8.2006, 2 BvR 1345/03 = BVerfGK 9, 62 = K&R 2007, 32.

[3]

International Mobile Equipment Identity.

1. Anwendbarkeit deutscher Grundrechte neben den Unionsgrundrechten

65

Wesentliche Teile der datenschutzrechtlichen Normen finden sich seit dem Mai 2018 in einer europäischen Verordnung (Datenschutz-Grundverordnung).[1] Diese sind nicht anhand der Grundrechte des Grundgesetzes überprüfbar, sondern nur am Maßstab des europäischen Primärrechts, denn (jegliches) europäisches Recht geht grundsätzlich auch nationalem Verfassungsrecht vor.[2] Die Grundrechte des Grundgesetzes und die hierzu ergangene verfassungsgerichtliche Rechtsprechung sind gleichwohl weiterhin von Bedeutung: Einerseits belässt die DS-GVO für den nationalen Gesetzgeber umfangreiche Spielräume, die durch das neugefasste Bundesdatenschutzgesetz[3], entsprechende Landesdatenschutzgesetze und eine Vielzahl bereichsspezifischer Regelungen ausgefüllt werden. Da der nationale Gesetzgeber bei der Ausgestaltung der Spielräume einerseits – wie bei jedem nationalen Gesetz – die nationale Verfassung zu beachten hat und andererseits in Durchführung von Unionsrecht handelt, gelten insoweit die Grundrechte des Grundgesetzes und europäische Grundrechte parallel.[4] Auch die Ausführung der datenschutzrechtlichen Normen erfolgt im Wesentlichen durch nationale Behörden, die insoweit ebenfalls einer parallelen Grundrechtsbindung unterliegen. Sollte es zu Interferenzen zwischen den Schutzbereichen der korrespondierenden Normen kommen, insbesondere in multipolaren Grundrechtssituationen, so bleibt es beim Anwendungsvorrang des Unionsrechts, so dass insoweit letztlich die Maßstäbe der Unionsgrundrechte ausschlaggebend sind.[5] Von Bedeutung bleiben wird die nationale Grundrechtsdogmatik aber allemal, zumal ein Großteil der verfassungsgerichtlichen Rechtsprechung im Datenschutzrecht zu Normen im bipolaren Bürger-Staat-Verhältnis ergangen ist und in Bereichen, in denen erhebliche mitgliedstaatliche Ausgestaltungsspielräume verbleiben. Zudem hat die jüngere Rechtsprechung des EuGH am Maßstab des „Rechts auf Vergessenwerden“ klar gemacht, dass auch im Rahmen der Anwendung der DS-GVO feine Spielräumen für die Mitgliedstaaten verbleiben, bei deren Ausfüllung mitgliedstaatliche Grundrechtsstandards relevant sind (siehe oben → Rn. 48).

66

Darauf aufbauend hat das BVerfG jüngst in zwei revolutionären Beschlüssen den Grundrechtsschutz im Mehrebenensystem gerade am Beispiel des auch auf der Unionsebene hoch umstrittenen „Rechts auf Vergessen(werden)“ (dazu unter → Rn. 81 f.) neu austariert und dabei auf den vom EuGH entwickelten Vorrang des Unionsrechts ebenso wie auf die Öffnung gegenüber jener unterschiedliche mitgliedstaatliche Grundrechtspräferenzen wahrenden Anwendung und Auslegung des Unionssekundärrechts reagiert.[6] Dabei sieht sich das Bundesverfassungsgericht künftig auch im unionsrechtlich vollständig überformten nationalen Recht als Hüter des individuellen Grundrechtsschutzes. Bei der Überprüfung der Anwendung des Unionsrechts durch die deutsche Gewalt greift das BVerfG aber nicht auf den Maßstab der – durch den unionsrechtlichen Anwendungsvorrang – verdrängten Grundrechte des Grundgesetzes zurück, sondern auf die Grundrechte der GRCh. Im nicht vollständig durch Unionsrecht determinierten innerstaatlichen Recht bleibt es hingegen beim Prüfungsmaßstab der nationalen Grundrechte, die allerdings im Lichte der Unionsgrundrechte ausgelegt werden. Diesem Prüfungsansatz müssen die Gerichte und Behörden in Deutschland gleichermaßen folgen. Wie fruchtbar die Wahrnehmung der auf diese Weise neu ausgestalteten Rolle sein kann, demonstrieren sodann die beiden Beschlüsse in der Sache. Sehr umsichtig arbeitet das BVerfG die komplexen widerstreitenden Persönlichkeits- und Mediengrundrechte beim „Recht auf Vergessenwerden“ heraus und wägt diese ab. Insgesamt wird damit die Bedeutung einer grundrechtechartakonformen Auslegung des Datenschutzrechts in Deutschland steigen.

Anmerkungen

[1]

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung); siehe dazu unten → Rn. 185 ff.

[2]

St. Rspr. des EuGH, vgl. bereits EuGH, Urt. v. 5.2.1963, C-26/62, ECLI:EU:C:1963:1 – Van Gend & Loos; Urt. v. 15.7.1964, C-6/64, ECLI:EU:C:1964:66 – Costa/ENEL; vgl. umfassend Oppermann/Classen/Nettesheim, Europarecht, 8. Aufl. 2018, § 10 Rn. 32 ff.

[3]

Gesetz zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) v. 30.6.2017, BGBl. I, S. 2097; vgl. hierzu auch Kühling, NJW 2017, 1985.

[4]

EuGH, Urt. v. 26.2.2013, C-617/10, ECLI:EU:C:2013:105 – Åkerberg Fransson; Urt. v. 6.3.2014, C-206/13, ECLI:EU:C:2014:126 – Siragusa; vgl. außerdem allgemein zur Frage der parallelen Anwendbarkeit von Grundgesetz und Grundrechtecharta Ludwigs/Sikora, JuS 2017, 385 (390 f.).

[5]

Vgl. auch Kühling/Sackmann, JURA 2018, 364; Ludwigs/Sikora, JuS 2017, 385 (391); zu Besonderheiten der sog. Identitäts- und Ultra-Vires-Kontrolle vgl. BVerfG, Urt. v. 30.6.2009, 2 BvE 2/08 u.a. = BVerfGE 123, 267 – Lissabon.

[6]

Hierzu und zum Folgenden bereits Kühling/Raab, in: Kühling/Buchner (Hrsg.), DS-GVO/BDSG, 3. Aufl. 2020, Einführung Rn. 35b; vgl. hierzu auch Toros/Weiß, ZJS 2020, 100.