Nicht nur ein geschriebener Grundrechtskatalog, sondern auch grundrechtsschützendes Sekundärrecht trägt entscheidend zur Grundrechtsunitarisierung in der EU bei. Dies gilt insbesondere für den Schutz personenbezogener Daten. Mit der 2016 abgeschlossenen Datenschutzreform wurde die Datenschutzrichtlinie durch eine Verordnung (DS-GVO) ersetzt. Aus diesem Anlass werden seither gewichtige Verschiebungen in der föderalen europäischen Grundrechtsarchitektur diskutiert. Aqilah Sandhu fragt, wie viel mitgliedstaatlicher Grundrechtsschutz im Datenschutzrecht danach verbleibt. Dafür legt sie den primärrechtlichen Anwendungsbereich der Datenschutzkompetenz im Lichte der Sachkompetenzen der EU aus. Auf dieser Basis werden ausgewählte Öffnungsklauseln im Sekundärrecht systematisiert, kategorisiert und auf den mitgliedstaatlichen Gestaltungsspielraum hin analysiert. Wo eine Regelungskompetenz der EU fehlt oder nur schwach ist, bleibt der Grundrechtsschutz primär in der Hand der Mitgliedstaatenund deren Gerichte. Die Autorin plädiert für eine transparente Verantwortungsteilung im Grundrechtsgefüge, die der primärrechtlichen Logik folgt.