Glossar

Ein Angemessenheitsbeschluss im Sinne der Datenschutzgrundverordnung (DSGVO) ist eine Entscheidung der Europäischen Kommission, durch welche festgestellt wird, dass ein Nicht-EU-Land oder ein bestimmter Sektor eines solchen Landes ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die aus der Europäischen Union in dieses Land übermittelt werden. Ein solcher Beschluss ermöglicht die Übermittlung personenbezogener Daten in das betreffende Drittland ohne weitere Schutzmaßnahmen.

Anonymisierung: Der Prozess, bei dem personenbezogene Daten unwiderruflich so verändert werden, dass eine Person direkt oder indirekt nicht mehr identifiziert werden kann oder identifizierbar ist. Sobald Daten wirklich anonym sind, ist die DSGVO nicht mehr anwendbar. (Erwägungsgrund 26 DSGVO)
Pseudonymisierung: Die Pseudonymisierung von Daten beschreibt den Prozess, bei dem sämtliche identifizierenden Merkmale von Daten durch ein Pseudonym oder anders gesagt einen Wert, der es nicht zulässt, dass ein Benutzer direkt identifiziert wird, ersetzt werden. Sie unterscheidet sich von der Anonymisierung, da sie in vielen Fällen immer noch eine Identifizierung mit indirekten Identifikatoren ermöglicht.

Ein Auftragsverarbeitungsvertrag ist ein verbindlicher Vertrag gemäß Artikel 28 Absatz 3 der Datenschutzgrundverordnung (DSGVO), der die Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Datenverarbeiters im Hinblick auf den Schutz personenbezogener Daten definiert.

Im Zusammenhang mit Gesetzen zum Datenschutz und zum Schutz der Privatsphäre wie der Datenschutz-Grundverordnung bezieht sich das berechtigte Interesse auf eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Es erlaubt einer Organisation, personenbezogene Daten ohne die ausdrückliche Zustimmung der Person zu verarbeiten, wenn diese Verarbeitung für die berechtigten Interessen der Organisation notwendig ist, vorausgesetzt, dass die Grundrechte und -freiheiten der betroffenen Person nicht beeinträchtigt werden.

Eine Bewertung des berechtigten Interesses (LIA) ist ein Verfahren, das Organisationen anwenden, um ihre Interessen mit den Rechten und Freiheiten des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten zu bewerten und abzuwägen.
Eine LIA ist ein strukturierter Ansatz, bei dem das von einer Organisation verfolgte berechtigte Interesse ermittelt und dokumentiert wird, die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung personenbezogener Daten zur Erreichung dieses Interesses bewertet und mit den Rechten und Freiheiten der Person abgewogen wird.
Die LIA sollte Faktoren wie die Art der verarbeiteten Daten, den Zweck der Verarbeitung, die potenziellen Auswirkungen auf die betroffene Person und alle Schutzmaßnahmen berücksichtigen, die zur Minderung der Risiken für die Privatsphäre eingeführt werden können.
Die DSGVO verlangt, dass Organisationen eine LIA durchführen, bevor sie personenbezogene Daten auf der Grundlage legitimer Interessen verarbeiten, und dass sie die Ergebnisse der Bewertung dokumentieren, um die Einhaltung der Verordnung nachzuweisen.

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumers Privacy Act, CCPA) ist eine kalifornische Verordnung aus dem Jahr 2018, die sich auf den Schutz der Rechte von Verbrauchern mit Wohnsitz in Kalifornien konzentriert. Zu diesen Rechten gehören das Recht, über die von Unternehmen gesammelten personenbezogenen Daten informiert zu werden; das Recht, die gesammelten Daten zu erhalten; und das Recht, die bereitgestellten Informationen zu löschen (mit einigen Ausnahmen). Die CCPA ist mit der DSGVO vergleichbar.

Die Erhebung von personenbezogenen Daten sollte auf das notwendige Maß beschränkt werden, um einen bestimmten Zweck zu erfüllen. Eine Sammlung personenbezogener Daten darf nicht nur aufgrund möglicher zukünftiger Verwendungszwecke erfolgen. Es muss ein klar definierter und spezifizierter Bedarf für die Datenerhebung bestehen.

Ein Datenschutzbeauftragter (DSB) ist eine Funktion innerhalb einer Organisation, welcher für die Einhaltung der Datenschutzgesetze und -vorschriften verantwortlich ist. Die Hauptaufgabe eines Datenschutzbeauftragten besteht darin, die Organisation hinsichtlich ihrer Datenschutzverpflichtungen zu überwachen und zu beraten, sowie als Kontaktstelle zwischen der Organisation und den Datenschutzbehörden sowie den betroffenen Personen, deren personenbezogene Daten von der Organisation verarbeitet werden, zu fungieren.
Gemäß der Datenschutz-Grundverordnung (DSGVO) sind Organisationen, die in der Europäischen Union (EU) tätig sind oder personenbezogene Daten von Personen in der EU verarbeiten, verpflichtet, einen DSB zu bestellen. Die Rolle eines DSB kann Aufgaben wie die Beratung und Anleitung in Datenschutzfragen, die Überwachung der Einhaltung von Datenschutzgesetzen und -richtlinien, die Durchführung von Datenschutz-Folgenabschätzungen sowie die Funktion als Ansprechpartner für Betroffene und Datenschutzbehörden umfassen. Der Datenschutzbeauftragte sollte unabhängig sein und direkt der Geschäftsleitung unterstellt sein, um seine Autonomie bei der Wahrnehmung seiner Aufgaben zu gewährleisten.

Aufsichtsbehörden sind die nationalen Datenschutzbehörden, die für den Schutz der Privatsphäre und der personenbezogenen Daten zuständig sind. Jeder Mitgliedstaat hat eine Aufsichtsbehörde ernannt, die das lokale Datenschutzrecht um- und durchsetzt und Orientierungshilfe bietet. Die Aufsichtsbehörden haben weitreichende Durchsetzungsbefugnisse, einschließlich der Möglichkeit, erhebliche Geldbußen zu verhängen.

Eine Methode zur Identifizierung und Bewältigung von Risiken für die Privatsphäre unter Einhaltung der Datenschutzgesetze.

Eine Richtlinie oder ein Informationsblatt, das der für die Verarbeitung Verantwortliche (z.B. JENTIS) den betroffenen Personen zur Verfügung stellt und in dem die betroffenen Personen Informationen über die betreffende Verarbeitung nachlesen können. Datenschutzerklärungen sind wichtige Instrumente für einen für die Verarbeitung Verantwortlichen, um den Grundsatz der Transparenz gemäß Art. 5 (1) (a) DSGVO zu erfüllen und der betroffenen Person die Informationen zur Verfügung stellen zu können, zu denen sie nach der DSGVO verpflichtet ist. Die Informationen, die durch eine Datenschutzerklärung bereitgestellt werden sollten, können je nach Verarbeitung unterschiedlich sein. Unabhängig von der Verarbeitung sollte eine Datenschutzerklärung immer Informationen über die Kontaktdaten des für die Verarbeitung Verantwortlichen, über die Art und Weise, wie betroffene Personen ihr Recht gemäß der DSGVO geltend machen können, sowie wesentliche Informationen über die Verarbeitung enthalten.

Datenschutz durch Technik: Privacy by Design zielt darauf ab, den Schutz der Privatsphäre und den Datenschutz von vornherein in die Designspezifikationen und die Architektur von Informations- und Kommunikationssystemen und -technologien einzubauen, um die Einhaltung der Grundsätze des Schutzes der Privatsphäre und des Datenschutzes zu erleichtern.

Datenschutz als Standardeinstellung ist ein verwandtes Konzept, das von Organisationen verlangt, dass sie sicherstellen, dass die Datenschutzeinstellungen standardmäßig auf die datenschutzfreundlichste Option eingestellt sind, anstatt von den Nutzern zu verlangen, dass sie die Einstellungen ändern, um mehr Datenschutz zu erreichen.

Die EU-Datenschutzgrundverordnung (Verordnung (EU) 2016/679) ist eine Verordnung, mit der das Europäische Parlament, der Rat der Europäischen Union und die Europäische Kommission den Datenschutz für alle Personen in der Europäischen Union (EU) stärken und vereinheitlichen wollen. Diese Verordnung ersetzt die Datenschutzrichtlinie 95/46/EG und wurde entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren, den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise, wie Organisationen an den Datenschutz herangehen, neu zu gestalten.

Eine Verletzung der Datensicherheit bezieht sich auf jegliche Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unberechtigten Zugriff auf Daten führt. Eine Datenschutzverletzung kann sowohl fahrlässig als auch vorsätzlich verursacht worden sein und bezieht sich nicht ausschließlich auf personenbezogene Daten.

Die Datensouveränität bezieht sich auf das Recht einer Gruppe oder eines Einzelnen, ihre eigenen Daten autonom und eigenständig zu kontrollieren und zu verwalten. Hierunter fallen sämtliche Aspekte des Umgangs mit Daten, einschließlich der Sammlung, Speicherung, Verarbeitung und Interpretation von Daten.

Die Situation bezüglich Datenübertragungen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) ist komplex und entwickelt sich ständig weiter, wobei mehrere rechtliche Mechanismen für die Übermittlung personenbezogener Daten zwischen den beiden Regionen bestehen.
Die Datenschutz-Grundverordnung (DSGVO) der EU schreibt vor, dass personenbezogene Daten, die außerhalb der EU übermittelt werden, angemessenen Garantien unterliegen, um ein Schutzniveau zu gewährleisten, das dem der DSGVO entspricht. Ein solcher Mechanismus für Datenübermittlungen ist die Verwendung von Standardvertragsklauseln (SCC), bei denen es sich um vorab genehmigte Vertragsklauseln handelt, die zur Regelung der Übermittlung personenbezogener Daten verwendet werden können.
Im Juli 2020 erklärte der Europäische Gerichtshof jedoch den EU-US Privacy Shield für ungültig, der einen Rahmen für die Übermittlung personenbezogener Daten zwischen der EU und den USA bildete. Das Gericht befand, dass das Privacy Shield aufgrund von Bedenken über die vorherrschenden Überwachungspraktiken der USA keinen angemessenen Schutz für personenbezogene Daten bietet.
Infolge der Nichtigerklärung des Privacy Shields mussten Organisationen, die sich bei der Datenübermittlung auf diesen Rahmen stützen, alternative Übermittlungsmechanismen wie SCC oder verbindliche unternehmensinterne Vorschriften (BCR) suchen. Die Verwendung von SCCs ist jedoch auch unter die Lupe genommen worden, wobei einige Datenschutzbehörden darauf hinweisen, dass unter bestimmten Umständen zusätzliche Schutzmaßnahmen erforderlich sein könnten.

Eine Datenübermittlung in Drittländer bezeichnet den Vorgang der Übermittlung personenbezogener Daten aus dem Gebiet der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) in Länder außerhalb dieser Regionen. Die Datenschutzgrundverordnung (DSGVO) legt für solche Übermittlungen besondere Voraussetzungen und Schutzmaßnahmen fest, um das angemessene Schutzniveau der betroffenen Personen zu gewährleisten.

Jede freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich abgegebene Willenserklärung der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung personenbezogener Daten zum Ausdruck bringt.

Der Begriff “Endgerät” bezieht sich auf das Gerät, auf dem ein Cookie platziert wird – in der Regel ein Computer oder ein mobiles Gerät, aber auch andere Geräte wie tragbare Technologie, Smart-TVs und vernetzte Geräte einschließlich des “Internets der Dinge”.

Die ePrivacy-Richtlinie, auch bekannt als “EU-Cookie-Gesetz”, ist ein Stück EU-Gesetzgebung, das den Zugang zu und die Speicherung von Informationen auf dem Endgerät des Nutzers regelt. Sie enthält spezifische Regeln darüber, wie Websites nicht nur personenbezogene, sondern auch nicht-personenbezogene Informationen von Nutzers oder Website-Besuchern durch Cookies und andere Web-Tracker erwerben dürfen. Die Richtlinie, die 2009 geändert wurde, ist rechtlich bindend für alle EU-Mitgliedstaaten und erfordert eine nationale Umsetzung (z.B. österreichisches TKG / deutsches TTDSG).

Der Europäische Datenschutzausschuss (EDPB) ist ein unabhängiges Gremium, das gemäß der Datenschutzgrundverordnung (DSGVO) eingerichtet wurde, um die Zusammenarbeit und Konsistenz zwischen den nationalen Datenschutzbehörden der Europäischen Union zu fördern. Der EDPB hat die Aufgabe, Empfehlungen und Leitlinien zu erarbeiten, um einheitliche Datenschutzstandards in der EU zu gewährleisten, sowie Entscheidungen in grenzüberschreitenden Fällen zu treffen und Streitigkeiten zwischen den nationalen Behörden zu lösen.

Der Europäische Datenschutzbeauftragte (EDSB) ist ein unabhängiges Aufsichtsorgan, das von der EU eingerichtet wurde, um sicherzustellen, dass die EU personenbezogene Daten fair behandelt und die Privatsphäre des Einzelnen schützt. Der EDSB ist für die Überwachung des Umgangs der EU mit personenbezogenen Daten verantwortlich und gewährleistet die Einhaltung der Bestimmungen der Datenschutzgrundverordnung. Des Weiteren bietet der EDSB Leitlinien zu Datenschutzfragen an und trägt zur Förderung des öffentlichen Bewusstseins für Datenschutzrechte und -pflichten bei.

Nach der DSGVO bezieht sich ein gemeinsamer für die Verarbeitung Verantwortlicher auf zwei oder mehr für die Verarbeitung Verantwortliche, die gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Dies bedeutet, dass sie gemeinsam für die Einhaltung der DSGVO in Bezug auf diese Verarbeitungstätigkeit verantwortlich sind.
Gemeinsam für die Verarbeitung Verantwortliche müssen über eine transparente Vereinbarung verfügen, in der ihre jeweiligen Verantwortlichkeiten und Pflichten gemäß der DSGVO festgelegt sind. Außerdem müssen sie Personen über ihren Status als gemeinsam für die Verarbeitung Verantwortliche informieren und ihnen Informationen über ihre jeweilige Rolle bei der Verarbeitung personenbezogener Daten zur Verfügung stellen.
Gemeinsam für die Verarbeitung Verantwortliche können gesamtschuldnerisch für alle Verstöße gegen die DSGVO im Zusammenhang mit ihren gemeinsamen Verarbeitungstätigkeiten haftbar gemacht werden. Das bedeutet, dass jeder gemeinsam für die Verarbeitung Verantwortliche für die Einhaltung der DSGVO und für etwaige Geldbußen oder Strafen bei Nichteinhaltung verantwortlich ist.

Die Grundrechte und -freiheiten umfassen eine Vielzahl von individuellen Rechten, darunter das Recht auf Leben, Freiheit und Sicherheit, Meinungsfreiheit, Religionsfreiheit, Vereinigungsfreiheit, das Recht auf ein faires Verfahren und das Recht auf Privatsphäre. Diese Rechte sind in der Regel durch innerstaatliches Recht sowie internationale Menschenrechtsvorschriften wie die Allgemeine Erklärung der Menschenrechte und die Europäische Menschenrechtskonvention geschützt. Insbesondere im Zusammenhang mit dem Datenschutzrecht sind diese Grundrechte und -freiheiten von besonderer Bedeutung, da sie den rechtlichen Rahmen für den Schutz personenbezogener Daten des Einzelnen bilden.

Die Datenschutz-Grundverordnung legt sieben Grundsätze für die Verarbeitung personenbezogener Daten fest: Rechtmäßigkeit, Fairness und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit (Sicherheit), Rechenschaftspflicht.

Vorsitzender und Gründer von noyb (Noneofyourbusiness), einer “Datenschutz-Durchsetzungsplattform”, die Datenschutzfälle im Rahmen der EU-Datenschutzgrundverordnung vor Gericht bringt. Schrems wurde erstmals als österreichischer Jurastudent bekannt, der nach den Enthüllungen von Edward Snowden eine Beschwerde beim irischen Datenschutzbeauftragten einreichte, wonach Facebook Ireland seine persönlichen Daten unrechtmäßig an die US-Regierung weitergegeben habe. Der Fall, der als Schrems I bekannt wurde, führte schließlich dazu, dass das Safe-Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt wurde (siehe Safe Harbor und Privacy Shield). Schrems änderte später seine Klage gegen Facebook Ireland bei der irischen Datenschutzkommission, nachdem Facebook seinen Übermittlungsmechanismus von Safe Harbor auf Standardvertragsklauseln umgestellt hatte, was zu einer erneuten Anrufung des EuGH führte, die sowohl Standardvertragsklauseln als auch den EU-US-Datenschutzschild-Rahmen betraf. Am 16. Juli 2020 erklärte der Gerichtshof der Europäischen Union das Privacy Shield (“Schrems II”) für ungültig und stellte zusätzliche Anforderungen an Unternehmen, die Standardvertragsklauseln für Drittländer außerhalb der EU verwenden.

Viele Unternehmen haben Standorte in mehreren EU-Mitgliedstaaten. Das One-Stop-Shop-Konzept ermöglicht es den Unternehmen, mit der federführenden Aufsichtsbehörde in ihrem Heimatland zu verhandeln und nicht mit allen Regulierungsbehörden in allen Ländern, in denen sie tätig sind.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann.

Eine betroffene Person im Sinne der Datenschutz-Grundverordnung (DSGVO) ist eine identifizierte oder identifizierbare natürliche Person, von der oder über die personenbezogene Informationen gesammelt werden. Ein Unternehmen oder eine Organisation kann nicht als Datensubjekt betrachtet werden . Die DSGVO gewährt betroffenen Personen bestimmte Rechte, die darauf abzielen, ihre Privatsphäre und ihr Recht auf Selbstbestimmung in Bezug auf ihre personenbezogenen Daten zu schützen. Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten verarbeiten und speichern, sind nach der DSGVO verpflichtet, die Rechte der betroffenen Personen zu wahren und zu schützen.

Sensible Daten sind all jene personenbezogene Daten, die Aufschluss über Rasse oder ethnische Herkunft, politische Meinungen, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, körperliche oder geistige Gesundheit oder Sexualleben geben. In der Datenschutz-Grundverordnung werden genetische Daten hinzugefügt. Daten über strafrechtliche Verurteilungen oder damit verbundene Sicherheitsmaßnahmen werden in vielen Mitgliedstaaten ebenfalls als sensibel behandelt.

Standardvertragsklauseln sind DSGVO-konforme Klauseln, die verwendet (oder zu einer Vereinbarung zwischen einem für die Datenverarbeitung Verantwortlichen und einem Datenverarbeiter hinzugefügt) werden können, wenn personenbezogene Daten zwischen einem Land innerhalb des EWR und einem Land ohne Angemessenheitsbeschluss übermittelt werden sollen. Sie sollen den Schutz personenbezogener Daten gewährleisten, wenn diese international an einen Ort übermittelt werden, der möglicherweise nicht über angemessene Sicherheitsvorkehrungen verfügt, um den Standards der DSGVO zu entsprechen.

Das Telekommunikationsgesetz (TKG) regelt den Wettbewerb im Bereich der Telekommunikation. Unter Telekommunikation versteht man in diesem Zusammenhang die Übertragung von Informationen aller Art (gesprochene und geschriebene Texte, Bilder und Filme) mit Hilfe von technischen Einrichtungen, insbesondere (Mobil-)Telefonen.

Das TTDSG/TTDPA steht für das Telekommunikations- und Telemedien-Datenschutzgesetz in Deutschland. Es ist ein Bundesgesetz, das den Schutz personenbezogener Daten in den Bereichen Telekommunikation und Telemedien regelt.
Das TTDSG/TTDPA setzt die ePrivacy-Richtlinie der EU um, die Telekommunikations- und Telemediendiensteanbieter verpflichtet, die Privatsphäre der Kommunikation ihrer Nutzer und die damit verbundenen personenbezogenen Daten zu schützen.

Die Datenschutzrichtlinie für elektronische Kommunikation nimmt den Zugang zu und die Speicherung von Informationen auf dem Endgerät des Nutzers aus, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich angeforderten Webseitendienst bereitzustellen.
“Unbedingt erforderliche” Cookies sind für die grundlegenden Dienste einer Website und ihre Zusatzfunktionen unerlässlich, die ein durchschnittlicher Nutzer beim Surfen auf einer Website erwarten würde.
Solche Cookies ermöglichen den Nutzern den Zugang zu bestimmten Funktionen oder Diensten auf einer Website und sind für das Funktionieren der Website erforderlich.
Ob die Verwendung von Cookies von der Zustimmung der Nutzer ausgenommen ist, hängt letztlich davon ab, welchen Zweck der Betreiber einer Website mit den Cookies erreichen will und ob er mehr Daten verarbeitet, als zur Erreichung dieses Zwecks erforderlich sind.

Gemäß der EU-Datenschutzgrundverordnung (DSGVO) sind der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter zwei zentrale Akteure bei der Verarbeitung personenbezogener Daten.
Der für die Verarbeitung Verantwortliche ist jede Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Mit anderen Worten: Der für die Verarbeitung Verantwortliche entscheidet, warum und wie personenbezogene Daten verarbeitet werden sollen und ist dafür verantwortlich, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
Der Auftragsverarbeiter ist jede Einrichtung, die im Auftrag des für die Verarbeitung Verantwortlichen personenbezogene Daten verarbeitet. Wie die meisten Dienstleister ist auch JENTIS ein Auftragsverarbeiter und die Kunden von JENTIS sind die für die Verarbeitung Verantwortlichen im Sinne der DSGVO. Das bedeutet, dass JENTIS angemessene Sicherheitsmaßnahmen ergreifen muss, die Daten nur gemäß den Anweisungen des Kunden verarbeiten darf und den Kunden bei der Erfüllung seiner Pflichten im Rahmen der DSGVO unterstützen muss. Jedoch trägt der Kunde weiterhin die Hauptverantwortung für die Einhaltung der Datenschutzvorschriften.
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter haben unterschiedliche Verantwortlichkeiten nach der DSGVO und müssen einen Datenverarbeitungsvertrag abschließen, in dem die Bedingungen ihrer Beziehung, einschließlich der Verpflichtungen und Verantwortlichkeiten jeder Partei in Bezug auf den Schutz personenbezogener Daten, festgelegt sind. Der Vertrag sollte unter anderem den Zweck und die Dauer der Verarbeitung, die Art der betroffenen personenbezogenen Daten und die Sicherheitsmaßnahmen, die zum Schutz der Daten ergriffen werden müssen, regeln.

Der Grundsatz der Verhältnismäßigkeit ist ein fundamentaler Rechtsgrundsatz, der durch die Notwendigkeit von Fairness und Gerechtigkeit untermauert wird. Im Zusammenhang mit dem Datenschutzrecht bedeutet dies, dass jede Verarbeitung personenbezogener Daten für einen bestimmten Zweck erforderlich sein muss und nicht über das hinausgehen darf, was zur Erreichung dieses Zwecks erforderlich ist.

Das Verhältnis zwischen nationalem Recht und dem Recht der Europäischen Union (EU) wird durch den Grundsatz des Vorrangs des EU-Rechts geregelt. Dieser Grundsatz besagt, dass das EU-Recht Vorrang vor dem kollidierenden nationalen Recht hat, wenn beide anwendbar sind. Das EU-Recht besteht aus Verträgen, Verordnungen, Richtlinien und der Rechtsprechung des Europäischen Gerichtshofs (EuGH). Der Grundsatz des Vorrangs des EU-Rechts wurde vom EuGH in dem Grundsatzurteil Costa gegen ENEL aufgestellt.
Die nationalen Gerichte sind für die Auslegung und Anwendung des EU-Rechts in ihrem jeweiligen Zuständigkeitsbereich verantwortlich. Wenn ein nationales Gericht mit einer Frage der Auslegung oder Gültigkeit einer EU-Rechtsvorschrift konfrontiert ist, kann es die Angelegenheit dem EuGH zur Vorabentscheidung vorlegen. Dieser Mechanismus ermöglicht es den nationalen Gerichten, eine kohärente und einheitliche Auslegung und Anwendung des EU-Rechts in der gesamten EU sicherzustellen.