Im Zuge der Errichtung des Binnenmarktes kam es in der Europäischen Gemeinschaft 1995 erstmals zu einer Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (RL 95/46/EG ). Damit knüpfte das Unionssekundärrecht an das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten an, das bereits 1981 im Europarat zustande kam. Eine Einigung über einen Beschäftigtendatenschutz kam im Unionsrecht indes nicht zustande. Die Kommission leitete zwar 2001 ein Konsultationsverfahren nach Art. 154 Abs. 2 und 3 AEUV ein373; die Verhandlungen hierüber scheiterten jedoch 2003. Das Datenschutzrecht war somit von Anfang an keine sozialpolitische Maßnahme, sondern ist eine Querschnittsmaterie. Das wird durch die GRC und den dort garantierten Schutz der Privatsphäre (Art. 7 GRC) und den Schutz personenbezogener Daten (Art. 8 GRC) sowie durch Art. 16 AEUV und die dort geregelte Ermächtigung (Abs. 2) inzwischen deutlich herausgestellt.
