© 2018 Deutscher Bundestag PE 6 - 3000 - 76/18 8 Ausnahmen von der Datenschutz-Grundverordnung Nationale Sonderregelungen zur Abmahnung von KMU, Vereinen und ähnlichen Institutionen Ausarbeitung Unterabteilung Europa Fachbereich Europa Die Arbeiten des Fachbereichs Europa geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten des Fachbereichs Europa geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegen, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab der Fachbereichsleitung anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Diese Ausarbeitung dient lediglich der bundestagsinternen Unterrichtung, von einer Weiterleitung an externe Stellen ist abzusehen. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 2 Ausnahmen von der Datenschutz-Grundverordnung Nationale Sonderregelungen zur Abmahnung von KMU, Vereinen und ähnlichen Institutionen Aktenzeichen: PE 6 - 3000 - 76/18 Abschluss der Arbeit: 31.05.2018 Fachbereich: PE 6: Fachbereich Europa Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 3 Inhaltsverzeichnis 1. Fragestellung und Prüfungsaufbau 4 2. Vorgaben der DS-GVO 4 2.1. Materielle Vorgaben - Datenschutzbestimmungen 4 2.2. Durchsetzungsmechanismen 5 2.3. Sonderregeln für KMU 6 2.4. Zwischenergebnis 6 3. Mögliche Rechtsgrundlagen für Abmahnungen im deutschen Recht 7 4. Vereinbarkeit einer nationalen Ausnahmeregelung mit dem Unionsrecht 7 4.1. Vorgaben der DS-GVO 7 4.2. Äquivalenzgebot 8 Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 4 1. Fragestellung und Prüfungsaufbau Der Wissenschaftliche Dienst und der Fachbereich Europa sind um Auskunft ersucht worden, ob und wie eine nationale Regelung getroffen werden kann, wonach bei kleinen und mittleren Unternehmen (KMU), Vereinen und ähnlichen Institutionen keine Abmahnungen bei Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO)1 vorgenommen werden können. Für die Fragen zum deutschen Recht wird auf die Ausarbeitung des Fachbereichs WD 7 verwiesen.2 In der vorliegenden Ausarbeitung wird geprüft, ob eine nationale Regelung, die Abmahnungen aufgrund von Verstößen durch KMU, Vereine und ähnlichen Institutionen gegen die DS-GVO ausschließt, mit dem Unionsrecht vereinbar wäre. Dafür wird zunächst ein Überblick über die für die Fragestellung relevanten Vorgaben der DS- GVO gegeben. Auf diesen Grundlagen beruht der anschließende Hauptteil der Ausarbeitung, der sich mit der Frage befasst, ob eine nationale Regelung, wonach bei KMU, Vereinen und ähnlichen Institutionen keine Abmahnungen bei Verstößen gegen die DS-GVO vorgenommen werden können, mit der DS-GVO und dem europäischen Äquivalenzgebot vereinbar wäre. 2. Vorgaben der DS-GVO 2.1. Materielle Vorgaben - Datenschutzbestimmungen Die DS-GVO enthält für diejenigen, die personenbezogene Daten verarbeiten bzw. über die Verarbeitung entscheiden, verschiedene Datenschutzvorgaben. Verordnungen sind gemäß Art. 288 AEUV in allen ihren Teilen verbindlich und gelten unmittelbar in jedem Mitgliedstaat. Die Vorgaben der DS-GVO verpflichten mithin diejenigen, die personenbezogene Daten verarbeiten bzw. über die Verarbeitung entscheiden, unmittelbar. Gemäß Art. 2 Abs. 1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die DS-GVO enthält Vorgaben zur rechtskonformen Verarbeitung von Daten, wie Dokumentations - und Nachweispflichten, Lösch- und Berichtigungspflichten, Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, Informationspflichten und die Pflicht zur Gewährleistung der gesetzlich vorgeschriebenen Datensicherheit.3 1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. vom 4.5.2016, L 119/1, abrufbar unter https://eurlex .europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE. 2 Ausarbeitung, Abmahnungen im Datenschutzrecht, WD 7 - 3000 - 116/18. 3 S. auch die Übersicht bei Wybitul/Haß/Albrecht, Abwehr von Schadensersatzansprüchen nach der Datenschutz- Grundverordnung, NJW 2018, S. 113 ff. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 5 2.2. Durchsetzungsmechanismen Die DS-GVO stellt verschiedene Mittel zur Durchsetzung der von ihr vorgegebenen Datenschutzbestimmungen bereit. Art. 79 Abs. 1 DS-GVO ordnet an, dass jede betroffene Person unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund der Verordnung zustehenden Rechte infolge einer nicht im Einklang mit der DS-GVO stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Nach wohl h.M. in der Literatur zielt Art. 79 Abs. 1 DS-GVO darauf ab, dass der Betroffene seine Ansprüche, insbesondere Unterlassungsansprüche gegen Datenschutzverletzungen , gerichtlich geltend machen kann.4 In der Literatur finden sich in diesem Zusammenhang Ausführungen zu der Frage, ob Art. 79 DS-GVO ein eigenständiger materiell-rechtlicher Gehalt zukommt oder er auf die an anderer Stelle in der DS-GVO normierten Rechte Betroffener verweist .5 Rechtsprechung existiert zu dieser Frage noch nicht. Zur Möglichkeit einer Abmahnung äußern sich in diesem Kontext nur wenige Autoren. Die Ausführungen zu Art. 79 DS-GVO, die sich mit Abmahnungen befassen, sehen eine solche als möglichen ersten Schritt vor einer Unterlassungsklage an.6 Gemäß Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Art. 83 DS-GVO ordnet Geldbußen für Verstöße an und Art. 84 Abs. 1 DS-GVO verpflichtet die Mitgliedstaaten, Vorschriften über andere Sanktionen für Verstöße gegen die DS-GVO – insbesondere für Verstöße, die keiner Geldbuße gemäß Art. 83 unterliegen – festzulegen und alle zu deren Anwendung erforderlichen Maßnahmen zu treffen. Die DS-GVO enthält in diesem Zusammenhang auch Vorgaben bezüglich der Möglichkeit von Verbänden und anderen Einrichtungen, über die Einhaltung der materiellen Vorgaben der DS- GVO zu wachen. So haben betroffene Personen, die sich in ihren Rechten aus der DS-GVO verletzt sehen, nach Art. 80 Abs. 1 DS-GVO das Recht, eine Einrichtung, Organisation oder Verband ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können überdies gemäß Art. 80 Abs. 2 DS-GVO vorsehen, 4 Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 79 DS-GVO, Rn. 2; Martini, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 79 DS-GVO, Rn. 17; von Lewinski, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, Art. 79 DS-GVO, Rn. 2. 5 Für Letzteres argumentieren: Kreße, in: Sydow, Europäische Datenschutzgrundverordnung, 2017, Art. 79 DSGVO, Rn. 7 ff. (insbesondere 10 ff.); Koreng, in: Gierschmann/Schlender/Stentzel/Veil, Kommentar DSGVO, 2018, Art. 79 DS-GVO, Rn. 4. 6 Koreng, in: Gierschmann/Schlender/Stentzel/Veil, Kommentar DSGVO, 2018, Art. 79 DS-GVO, Rn. 5. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 6 dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen . Zudem können sie von den Mitgliedstaaten das Recht auf einen wirksamen gerichtlichen Rechtsbehelf erhalten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Die DS-GVO normiert das Rechtsinstrument der Abmahnung somit nicht ausdrücklich für den Bereich des Datenschutzes. Sie normiert aber in Art. 79 Abs. 1 DS-GVO wirksame gerichtliche Rechtsbehelfe für Betroffene und eröffnet durch Art. 80 Abs. 2 DS-GVO den Mitgliedstaaten einen Spielraum (Stichwort: „können“) für die Durchsetzung der DS-GVO durch Einrichtungen, Organisationen und Verbände unabhängig vom Auftrag einer betroffenen Person, die in ihren Rechten aus der DS-GVO verletzt worden sind.7 Mit der Möglichkeit, für Einrichtungen, Organisationen oder Verbände einen Rechtsbehelf gemäß Art. 78 und 79 DS-GVO vorzusehen, gestattet Art. 80 Abs. 2 DS-GVO den Mitgliedstaaten, im nationalen Recht die Verfolgung von Datenschutzverstößen durch Verbände vorzusehen.8 Die genaue Reichweite dieser Norm ist in der Literatur umstritten (näher dazu unter 4.1.). 2.3. Sonderregeln für KMU Die DS-GVO soll ausweislich ihres Erwägungsgrunds Nr. 13 der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung tragen. Gemäß Erwägungsgrund Nr. 13 werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung der DS-GVO die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen . Spezielle Ausnahmeregelungen für KMU sind in der DS-GVO bis auf die Regelung in Art. 30 Abs. 5 DS-GVO, soweit ersichtlich, nicht vorgesehen. Art. 30 Abs. 5 DS-GVO enthält eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses von Verarbeitungstätigkeiten für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Die übrigen Vorschriften der DS- GVO finden grundsätzlich auch auf Unternehmen mit weniger als 250 Mitarbeitern Anwendung,9 wie beispielsweise die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung aus Art. 19 DS-GVO. 2.4. Zwischenergebnis Die DS-GVO ordnet die Möglichkeit zur Abmahnung nicht ausdrücklich an, gibt jedoch wirksame gerichtliche Rechtsbehelfe für die Betroffenen vor und gesteht den Mitgliedstaaten einen 7 So auch: Halfmeier, Die neue Datenschutzverbandsklage, NJW 2016, S. 1126 (1129). 8 Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 80 DS-GVO, Rn. 10 ff.; Kreße, in: Sydow, Europäische Datenschutzgrundverordnung , 2017, Art. 80 DSGVO, Rn. 16. 9 Hartung, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 30 DS-GVO, Rn. 39. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 7 Umsetzungsspielraum zu, der eine nationale Ermächtigung von Einrichtungen, Organisationen und Verbänden zur Durchsetzung der DS-GVO mittels Rechtsbehelfen ermöglicht. Die DS-GVO enthält Ausnahmeregelungen für KMU, diese erfassen jedoch nicht sämtliche Vorgaben , sodass die DS-GVO auch für KMU Datenschutzvorgaben enthält. Es gibt mithin Normen in der DS-GVO, welche KMU, wenn sie personenbezogene Daten verarbeiten bzw. über die Verarbeitung entscheiden, bestimmte Pflichten auferlegen. Im Ergebnis ist es daher unionsrechtlich möglich, dass KMU, Vereine und ähnliche Institutionen, aufgrund von Verstößen gegen die DS-GVO abgemahnt werden, wenn das jeweils anwendbare nationale Recht Abmahnungen in Bezug auf derartige Datenschutzverstöße zulässt. 3. Mögliche Rechtsgrundlagen für Abmahnungen im deutschen Recht Die rechtliche Situation in Deutschland in Bezug auf Abmahnungen aufgrund von Datenschutzverstößen wird in der Ausarbeitung von WD 7 dargestellt.10 4. Vereinbarkeit einer nationalen Ausnahmeregelung mit dem Unionsrecht Wenn es nach deutschem Recht möglich ist, bestimmte Verstöße gegen die DS-GVO abzumahnen, stellt sich die Frage, ob eine nationale Regelung, welche Datenschutzverstöße von KMU, Vereinen und ähnlichen Institutionen von den Vorschriften zu Abmahnungen ausnimmt, mit dem Unionsrecht vereinbar wäre. Dies soll im Folgenden geprüft werden. 4.1. Vorgaben der DS-GVO Die DS-GVO verpflichtet die Mitgliedstaaten nicht, Verstöße gegen die Verordnungsvorgaben mit dem Rechtsinstrument der Abmahnung zu bekämpfen. Sie ordnet in Art. 79 Abs. 1 DS-GVO an, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat. In Art. 80 Abs. 2 DS-GVO stellt sie es den Mitgliedstaaten frei, Einrichtungen, Organisationen oder Verbänden das Recht zu geben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf zu haben. Die wohl überwiegende Anzahl von Stimmen in der Literatur vertritt die Ansicht, dass Art. 80 Abs. 2 DS-GVO den Mitgliedstaaten einen Spielraum gewährt, in dessen Rahmen sie die benannten Einrichtungen ganz, teilweise oder gar nicht zur Geltendmachung von Datenschutzvorschriften , auch im Wege der Abmahnung, ermächtigen können.11 Die Verordnung überlasse es mangels konkreter Vorgaben den Mitgliedstaaten, die Einzelheiten des Verbandsklagerechts zu regeln und 10 S. die Ausarbeitung, Abmahnungen im Datenschutzrecht, WD 7 - 3000 - 116/18. 11 Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 80 DS-GVO, Rn. 13; von Lewinski, in: Auernhammer , DSGVO/BDSG, 5. Aufl. 2017, Art. 80 DS-GVO, Rn. 11; Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 80 DS-GVO, Rn. 6. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 8 auszugestalten.12 Es gibt jedoch auch Stimmen in der Literatur, denen zufolge Einrichtungen, Organisationen oder Verbände nur ganz oder gar nicht durch die Mitgliedstaaten nach Art. 80 Abs. 2 DS-GVO ermächtigt werden können. Der nationale Gesetzgeber hat nach dieser Ansicht nur die Wahl eine Beschwerde- bzw. Klagebefugnis für Verbände ohne Auftrag zu normieren oder dies nicht zu tun. Die nationale Schaffung eines beschränkten Beschwerde- bzw. Klagerechts sei jedoch nicht mit Art. 80 Abs. 2 DS-GVO vereinbar.13 Vertreter dieser Ansicht argumentieren , ein weiter Ermessensspielraum der Mitgliedstaaten widerspreche dem Vollharmonisierungscharakter der DS-GVO14 und würde zu einer Rechtszersplitterung in den Mitgliedstaaten führen.15 Der ersten Ansicht zufolge, welche den Mitgliedstaaten einen weiten Umsetzungsspielraum zugesteht , wäre eine Begrenzung der Möglichkeit zur Abmahnung in Bezug auf KMU, Vereine und ähnliche Institutionen vereinbar mit den Vorgaben der DS-GVO, da Art. 80 Abs. 2 DS-GVO den Mitgliedstaaten insoweit einen Gestaltungsspielraum einräumt. Nach der zweiten Ansicht, welche den Spielraum der Mitgliedstaaten auf die Frage begrenzt, ein Beschwerde- bzw. Klagerecht für Einrichtungen, Organisationen oder Verbänden zu schaffen oder nicht, wäre eine Beschränkung dieses Rechts und eine Ausnahmeregelung für KMU, Vereine und ähnliche Institutionen hingegen nicht vereinbar mit den Vorgaben des Art. 80 Abs. 2 DS-GVO. Aufgrund der fehlenden Rechtspraxis und Rechtsprechung zur DS-GVO ist diesbezüglich keine abschließende Feststellung möglich. 4.2. Äquivalenzgebot Der Äquivalenzgrundsatz gebietet, dass bei der Anwendung einer für die Geltendmachung von Ansprüchen geltenden nationalen Regelung nicht danach unterschieden wird, ob ein Verstoß gegen Unionsrecht oder gegen innerstaatliches Recht gerügt wird.16 Er gibt vor, dass die innerstaatliche Rechtsordnung unionsrechtliche Vorgaben nicht ungünstiger regeln darf als die Modalitäten , die für gleichartige interne Sachverhalte gelten. Die Behörden müssen im Bereich des Unionsrechts mit derselben Sorgfalt wie bei innerstaatlichen Angelegenheiten vorgehen. Dies gilt auch bei der Intensität der Kontrolle und der Sanktionierung von Verstößen.17 12 Koreng, in: Gierschmann/Schlender/Stentzel/Veil, Kommentar DSGVO, 2018, Art. 80 DS-GVO, Rn. 40 und 44. 13 Werkmeister, in: Gola, DS-GVO, 2017, Art. 80 DS-GVO, Rn. 18. In diese Richtung auch: Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 80 DS-GVO, Rn. 13 f. 14 Werkmeister, in: Gola, DS-GVO, 2017, Art. 80 DS-GVO, Rn. 11. 15 Werkmeister, in: Gola, DS-GVO, 2017, Art. 80 DS-GVO, Rn. 18. 16 EuGH, Urt. v. 28.1.2015, Rs. C‑417/13, - ÖBB Personenverkehr, Rn. 74. 17 Von Bogdandy/Schill, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 51. EL, Stand: September 2013, Art. 4 EUV, Rn. 84. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 76/18 Seite 9 Im Hinblick auf das Äquivalenzgebot wäre vorliegend entscheidend, ob die Beseitigung von Abmahnungsmöglichkeiten sich auf Rechtsverstöße von KMU, Vereinen und ähnlichen Institutionen generell oder nur bei Datenschutzverstößen oder nur im Rahmen der DS-GVO bezieht. Im Folgenden werden diese drei Regelungsmöglichkeiten untersucht. Wenn eine einzuführende Sonderregelung in Bezug auf KMU, Vereine und ähnliche Institutionen im deutschen Recht nur Verletzungen der DS-GVO von Abmahnverfahren ausnehmen würde, Verstöße gegen deutsche Datenschutzbestimmungen hingegen nicht, läge ein Eingriff in das Äquivalenzgebot nahe. Wenn hingegen Datenschutzverstöße generell von Abmahnverfahren ausgenommen und diese Verfahren auf die Verletzung anderer Normen, bspw. anderer verbraucherschützender Vorgaben, beschränkt würden, wäre eine Verletzung des Äquivalenzgebots fraglich, da es sich hierbei um unterschiedliche Sachverhalte handeln könnte. Wenn allerdings aufgrund der DS-GVO nahezu alle Datenschutzbestimmungen Teil des Unionsrechts sind, könnte auch eine solche Regelung eine ungünstigere Regelung für den speziellen Bereich der unionsrechtlichen Datenschutzregelungen als für vergleichbare nationale Normen darstellen. Voraussetzung dafür wäre, dass die jeweiligen Normen des nationalen Rechts, bspw. verbraucherschützende Normen, deren Verletzung abgemahnt werden kann, mit dem europäischen Datenschutzrecht vergleichbar sind im Sinne des Äquivalenzgebots. Zur Beantwortung der Frage, ob eine solche Regelung das Äquivalenzgebot verletzt, ist mithin der Vergleichsmaßstab von entscheidender Bedeutung. Fraglich ist, ob die Datenschutzregelungen der DS-GVO anderen Vorgaben entsprechen, deren Verletzung im deutschen Recht abgemahnt werden können. Die europäische Rechtsprechung hat bisher noch keine allgemeinen Kriterien vorgegeben, welches nationale Verfahren jeweils den Vergleichsmaßstab für die Umsetzung unionsrechtlicher Vorgaben bildet.18 Eine Ausnahmeregelung speziell in Bezug auf KMU, Vereinen und ähnlichen Institutionen, wonach diese grundsätzlich (und nicht nur im Bereich des Datenschutzrechts) nicht abgemahnt werden können, dürfte im Hinblick auf das Äquivalenzgebot keine Probleme bereiten. In diesem Fall ist eine Ungleichhandlung von unionsrechtlichen und nationalen Regelungen nicht ersichtlich . Entscheidend für die Einhaltung des Äquivalenzgebots sind jeweils der Regelungsumfang und der Vergleichsmaßstab, dessen Bestimmung mangels einschlägiger Rechtsprechung vorliegend allerdings nicht abschließend dargelegt werden kann. – Fachbereich Europa – 18 Von Bogdandy/Schill, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 51. EL, Stand: September 2013, Art. 4 EUV, Rn. 84.