EuGH-Urteil: Staatliche Aufsicht über deutsche Datenschutz-Behörden verstößt gegen Europarecht
09.03.2010
“Die Bundesrepublik Deutschland hat gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.”
Dies entschied der Europäische Gerichtshof heute (9. März 2010) in einem Urteil. Die Entscheidung überrascht, nachdem der Generalanwalt Ján Mazák noch am 12. November 2009 in seinen Schlussanträgen eine Abweisung der Klage empfohlen hatte, und der Gerichtshof in den meisten Fällen den Schlussanträgen der Generalanwälte folgt.
Hintergrund:
Die Kommission der Europäischen Gemeinschaften hatte am 22. November 2007 Klage (Vertragsverletzung eines Mitgliedstaats) gegen die Bundesrepublik Deutschland vor dem Europäischen Gerichtshof eingereicht.
Nach Ansicht der Kommission hat die Bundesrepublik gegen ihre Verpflichtungen aus Artikel 28 Absatz 1 Satz 2 der Richtlinie 95/46/EG verstoßen, indem sie die für die Überwachung der Datenverarbeitung im nicht-öffentlichen Bereich zuständigen Kontrollstellen in den Ländern Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen-Anhalt, Schleswig-Holstein und Thüringen einer staatlichen Aufsicht unterwirft und damit die Vorgabe der “völligen Unabhängigkeit” der Datenschutz-Aufsichtsbehörden fehlerhaft umsetzt.
Wesentliches Argument: „Artikel 28 Absatz 1 Satz 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates verpflichte die Mitgliedstaaten zur Beauftragung “einer oder mehrerer öffentlichen Stellen”, die “die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften”, also datenschutzrechtlicher Vorschriften, überwachen. Artikel 28 Absatz 1 Satz 2 der Richtlinie fordere die “völlige Unabhängigkeit” der beauftragten Kontrollstellen. Dem Wortlaut nach werde bestimmt, dass die Kontrollstellen der Einflussnahme, sei es durch sonstige Behörden, sei es von außerhalb der Staatsverwaltung, entzogen sein sollen, es müssten also die mitgliedstaatlichen Regelungen eine Einflussnahme von außen auf die Entscheidungen der Kontrollstellen und deren Durchführungen ausschließen. Der Wortlaut “völlige” Unabhängigkeit impliziere, dass nicht nur von keiner Seite, sondern auch in keinerlei Hinsicht, Abhängigkeit bestehen sollte.“
Die Bundesrepublik Deutschland vertritt dagegen eine engere Auslegung der Wendung „in völliger Unabhängigkeit“. Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 verlange eine funktionale Unabhängigkeit der Kontrollstellen in dem Sinne, dass sie von dem ihrer Kontrolle unterstellten nichtöffentlichen Bereich unabhängig sein müssten und keinen sachfremden Einflüssen unterliegen dürften. Die staatliche Aufsicht in den Bundesländern stelle keinen sachfremden Einfluss dar, sondern einen verwaltungsinternen Mechanismus der Kontrolle durch Stellen innerhalb desselben Verwaltungsapparats, die in derselben Weise wie die Kontrollstellen den Zielvorgaben der Richtlinie 95/46 verpflichtet seien.
Nach Ansicht des Generalanwalts hat die Kommission nicht nachgewiesen, dass die Aufsicht über die Datenschutz-Kontrollstellen diese daran hindert, ihre Aufgaben in völliger Unabhängigkeit wahrzunehmen. Daher ist ihre Klage abzuweisen.
Dem ist der EuGH nicht gefolgt. „Die Gewährleistung der Unabhängigkeit der nationalen Kontrollstellen soll die wirksame und zuverlässige Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen und ist im Licht dieses Zwecks auszulegen. Sie wurde eingeführt, um die von ihren Entscheidungen betroffenen Personen und Einrichtungen stärker zu schützen (…). Folglich müssen die Kontrollstellen bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen. Hierzu müssen sie vor jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme des Bundes oder der Länder sicher sein und nicht nur vor der Einflussnahme seitens der kontrollierten Einrichtungen.
(…) Nach alledem ist Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 dahin auszulegen, dass die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen aus, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.“
Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail: email@iitr.de