Grundrechte dienen dem Schutz der Freiheitssphäre des Einzelnen gegen staatliche Eingriffe. Eine Überprüfung des Handelns der EU als supranationale Organisation kann wegen des Anwendungsvorrangs des Unionsrechts nicht anhand der in den Verfassungen der Mitgliedstaaten verankerten Grundrechte erfolgen.[1] Da aber auch das Handeln der EU Individuen unmittelbar berechtigt und verpflichtet, muss hier in gleicher Weise grundrechtlicher Schutz gewährleistet werden. Als rechtlich verbindliche Regelungen kommen hierzu die Grundfreiheiten des AEUV und des EUV, sowie die Grundrechtecharta der Europäischen Union (GRCh) in Betracht. Die Europäische Menschenrechtskonvention (EMRK) ist zwar über Art. 6 EUV primärrechtlich verankert, hat jedoch als allg. Rechtsgrundsatz keine unmittelbar bindende Wirkung für die Unionsorgane sondern nur eine Funktion als Rechtserkenntnisquelle und wird daher gesondert abgehandelt.
Im Hinblick auf die IT-Sicherheit lässt sich grundsätzlich feststellen, dass immer dann, wenn die Möglichkeit der Grundrechtsausübung im digitalen Raum besteht, auch eine Schutzpflicht für den Staat in Frage steht, die ggf. durch die Schaffung technischer und organisatorischer Maßnahmen (Schutz vor Cyberangriffen auf das Netz / Aufsichtsbehörden etc.) umzusetzen ist. Daher sind von vorneherein all solche Grundrechte mit einem Bezug zur digitalen Welt von Bedeutung für die Beantwortung der Frage nach den Vorgaben zur IT-Sicherheit im europäischen Primärrecht.
[1] EuGH, Rs. 11 /70, Slg. 1970, S 1123, Rn. 3.