Nach einem heute verkündeten Urteil des Gerichtshofs der Europäischen Union hat die Bundesrepublik Deutschland gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.
Inhaltsübersicht
Unabhängigkeit als Freiheit von jeder Einflussnahme[↑]
Hinsichtlich des Wortlauts von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 ist angesichts des Fehlens einer Definition in der Richtlinie nach dem Urteil des EuGH auf den gewöhnlichen Sinn der Wendung „in völliger Unabhängigkeit“ abzustellen. In Bezug auf öffentliche Stellen bezeichnet der Begriff „Unabhängigkeit“ in der Regel eine Stellung, in der gewährleistet ist, dass die betreffende Stelle völlig frei von Weisungen und Druck handeln kann. Entgegen dem Standpunkt der Bundesrepublik Deutschland deutet für den Gerichtshof der Europäischen Union nichts darauf hin, dass das Unabhängigkeitserfordernis allein das Verhältnis zwischen den Kontrollstellen und den ihrer Kontrolle unterstellten Einrichtungen beträfe. Im Gegenteil wird der Begriff „Unabhängigkeit“ durch das Adjektiv „völlig“ verstärkt, was eine Entscheidungsgewalt impliziert, die jeglicher Einflussnahme von außerhalb der Kontrollstelle, sei sie unmittelbar oder mittelbar, entzogen ist.
Freier Datenverkehr vs. Recht auf Privatspähre[↑]
Zweitens geht, so der EuGH in seinen Urteilsgründen weiter, in Bezug auf die Ziele der Richtlinie 95/46 insbesondere aus deren Erwägungsgründen 3, 7 und 8 hervor, dass sie durch die Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in erster Linie den freien Verkehr dieser Daten zwischen Mitgliedstaaten gewährleisten soll1, der für die Errichtung und das Funktionieren des Binnenmarkts nach Art. 14 Abs. 2 EG erforderlich ist.
Der freie Verkehr personenbezogener Daten kann jedoch das Recht auf Privatsphäre beeinträchtigen, wie es u. a. in Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten2 und durch die allgemeinen Grundsätze des Gemeinschaftsrechts anerkannt ist.
Deshalb und wie insbesondere aus ihrem zehnten Erwägungsgrund und Art. 1 hervorgeht, hat die Richtlinie 95/46 außerdem zum Ziel, den durch die bestehenden nationalen Rechtsvorschriften garantierten Schutz nicht zu verringern, sondern vielmehr in der Gemeinschaft bei der Verarbeitung personenbezogener Daten ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten zu gewährleisten3.
Die in Art. 28 der Richtlinie 95/46 vorgesehenen Kontrollstellen sind somit die Hüter dieser Grundrechte und Grundfreiheiten, und ihre Einrichtung in den Mitgliedstaaten gilt, wie es im 62. Erwägungsgrund der Richtlinie heißt, als ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten.
Um diesen Schutz zu gewährleisten, müssen die Kontrollstellen zum einen die Achtung des Grundrechts auf Privatsphäre und zum anderen die Interessen, die den freien Verkehr personenbezogener Daten verlangen, miteinander ins Gleichgewicht bringen. Im Übrigen sind die verschiedenen nationalen Kontrollstellen nach Art. 28 Abs. 6 der Richtlinie 95/46 zu gegenseitiger Zusammenarbeit aufgerufen und können gegebenenfalls von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
Die Gewährleistung der Unabhängigkeit der nationalen Kontrollstellen soll die wirksame und zuverlässige Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen und ist im Licht dieses Zwecks auszulegen. Sie wurde eingeführt, um die von ihren Entscheidungen betroffenen Personen und Einrichtungen stärker zu schützen, und nicht, um diesen Kontrollstellen selbst oder ihren Bevollmächtigten eine besondere Stellung zu verleihen. Folglich müssen die Kontrollstellen bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen. Hierzu müssen sie vor jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme des Bundes oder der Länder sicher sein und nicht nur vor der Einflussnahme seitens der kontrollierten Einrichtungen.
Vergleich mit den Regelungen für die Datenverarbeitung durch öffentliche Stellen[↑]
Drittens ist die Richtlinie 95/46 hinsichtlich ihrer Systematik als Gegenstück zu Art. 286 EG und der Verordnung Nr. 45/2001 zu sehen. Diese betreffen die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft sowie den freien Verkehr dieser Daten. Die Richtlinie verfolgt diese Ziele ebenfalls, aber in Bezug auf die Verarbeitung solcher Daten in den Mitgliedstaaten.
So wie Kontrollstellen auf nationaler Ebene bestehen, ist auch auf der Ebene der Union eine Kontrollstelle damit beauftragt, die Anwendung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen, nämlich der EDSB. Nach Art. 44 Abs. 1 der Verordnung Nr. 45/2001 übt dieser sein Amt in völliger Unabhängigkeit aus. In Abs. 2 desselben Artikels wird zur Erläuterung dieses Begriffs der Unabhängigkeit hinzugefügt, dass der EDSB in Ausübung seines Amtes niemanden um Weisung ersucht und keine Weisungen entgegennimmt. Angesichts dessen, dass Art. 44 der Verordnung Nr. 45/2001 und Art. 28 der Richtlinie 95/46 dasselbe allgemeine Konzept zugrunde liegt, sind beide Bestimmungen homogen auszulegen, so dass nicht nur die Unabhängigkeit des EDSB, sondern auch die der nationalen Stellen impliziert, dass sie bei der Wahrnehmung ihrer Aufgaben keinerlei Weisungen unterliegen.
Ausgehend vom Wortlaut von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 sowie von den Zielen und der Systematik dieser Richtlinie ist eine klare Auslegung der genannten Bestimmung möglich. Folglich ist es nicht erforderlich, die Entstehungsgeschichte dieser Richtlinie heranzuziehen oder auf die einander widersprechenden Ausführungen der Kommission und der Bundesrepublik Deutschland dazu einzugehen.
Die erforderliche Unabhängigkeit der Kontrollstellen[↑]
Nach alledem ist Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 nach dem Urteil des Gerichtshofs der Europäischen Union dahin auszulegen, dass die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen aus, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.
Zur staatlichen Aufsicht[↑]
Sodann prüft der Gerichtshof der Europäischen Union, ob die staatliche Aufsicht, der in Deutschland die Kontrollstellen unterworfen sind, die die Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich überwachen, mit dem so beschriebenen Unabhängigkeitserfordernis vereinbar ist.
Hierzu ist festzustellen, dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.
Es trifft zwar, wie die Bundesrepublik Deutschland geltend macht, a priori zu, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.
Es lässt sich aber nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden.
Die Regierung des betroffenen Landes hat nämlich, wie der EDSB in seinen Erklärungen hervorhebt, möglicherweise ein Interesse an der Nichteinhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, wenn es um die Verarbeitung solcher Daten im nichtöffentlichen Bereich geht. Sie kann selbst involvierte Partei dieser Verarbeitung sein, wenn sie davon betroffen ist oder sein könnte, z. B. im Fall einer Kooperation von öffentlichen und privaten Stellen oder im Rahmen öffentlicher Aufträge an den privaten Bereich. Außerdem könnte sie ein besonderes Interesse haben, wenn sie für bestimmte ihrer Aufgaben, insbesondere zu Zwecken der Finanzverwaltung oder der Strafverfolgung, Zugang zu Datenbanken benötigt oder ein solcher Zugang einfach nur sachdienlich ist. Im Übrigen könnte diese Regierung auch geneigt sein, wirtschaftlichen Interessen den Vorrang zu geben, wenn es um die Anwendung der genannten Vorschriften durch bestimmte Unternehmen geht, die für das Land oder die Region wirtschaftlich von Bedeutung sind.
Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen. Zum einen könnte es, wie die Kommission ausführt, einen „vorauseilenden Gehorsam“ der Kontrollstellen im Hinblick auf die Entscheidungspraxis der Aufsichtsstellen geben. Zum anderen erfordert die Rolle der Kontrollstellen als Hüter des Rechts auf Privatsphäre, dass ihre Entscheidungen, also sie selbst, über jeglichen Verdacht der Parteilichkeit erhaben sind.
Nach alledem ist festzustellen, dass die staatliche Aufsicht, der die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in Deutschland unterworfen sind, nicht mit dem Unabhängigkeitserfordernis, wie es in Randnr. 30 des vorliegenden Urteils beschrieben ist, vereinbar ist.
Die abweichende deutsche Rechtsauffassung[↑]
Nach Auffassung der Bundesrepublik Deutschland würde es gegen mehrere Grundsätze des Gemeinschaftsrechts verstoßen, das Unabhängigkeitserfordernis des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 so auszulegen, dass der Mitgliedstaat gezwungen wäre, sein bewährtes und effektives System der Aufsicht über die Kontrollstellen hinsichtlich der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich aufzugeben.
Demokratieprinzip und Parlamentskontrolle
Erstens stehe insbesondere das Demokratieprinzip einer weiten Auslegung dieses Unabhängigkeitserfordernisses entgegen. Dieses Prinzip, das nicht nur in der deutschen Verfassung, sondern auch in Art. 6 Abs. 1 EU verankert sei, verlange eine Weisungsgebundenheit der Verwaltung gegenüber der Regierung, die ihrerseits dem Parlament verantwortlich sei. So müssten Eingriffe in die Rechte der Bürger und Unternehmen der Rechtsaufsicht des zuständigen Ministers unterliegen. Da die Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß Art. 28 Abs. 3 der Richtlinie 95/46 über bestimmte Eingriffsbefugnisse gegenüber Bürgern und dem nichtöffentlichen Bereich verfügten, sei eine erweiterte Rechtmäßigkeitskontrolle ihres Handelns über Rechts- oder Fachaufsichtsinstrumente dringend geboten.
Hierzu stellt der EuGH fest, dass der Grundsatz der Demokratie zur Gemeinschaftsrechtsordnung gehört und in Art. 6 Abs. 1 EU ausdrücklich als Grundlage der Europäischen Union niedergelegt ist. Als den Mitgliedstaaten gemeinsamer Grundsatz ist er daher bei der Auslegung eines sekundärrechtlichen Aktes wie Art. 28 der Richtlinie 95/46 zu berücksichtigen. Dieser Grundsatz bedeutet aber nicht, so der EuGH weiter, dass es außerhalb des klassischen hierarchischen Verwaltungsaufbaus keine öffentlichen Stellen geben kann, die von der Regierung mehr oder weniger unabhängig sind. Das Bestehen und die Bedingungen für das Funktionieren solcher Stellen sind in den Mitgliedstaaten durch Gesetz und in einigen Mitgliedstaaten sogar in der Verfassung geregelt, und diese Stellen sind an das Gesetz gebunden und unterliegen der Kontrolle durch die zuständigen Gerichte. Solche unabhängigen öffentlichen Stellen, wie es sie im Übrigen auch im deutschen Rechtssystem gibt, haben häufig Regulierungsfunktion oder nehmen Aufgaben wahr, die der politischen Einflussnahme entzogen sein müssen, bleiben dabei aber an das Gesetz gebunden und der Kontrolle durch die zuständigen Gerichte unterworfen. Eben dies ist bei den Aufgaben der Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten der Fall.
Gewiss kommt, wie der EuGH einräumt, ein Fehlen jeglichen parlamentarischen Einflusses auf diese Stellen nicht in Betracht. Die Richtlinie 95/46 schreibt jedoch den Mitgliedstaaten keineswegs vor, dem Parlament jede Einflussmöglichkeit vorzuenthalten. So kann zum einen das Leitungspersonal der Kontrollstellen vom Parlament oder der Regierung bestellt werden. Zum anderen kann der Gesetzgeber die Kompetenzen der Kontrollstellen festlegen. Außerdem kann der Gesetzgeber die Kontrollstellen verpflichten, dem Parlament Rechenschaft über ihre Tätigkeiten abzulegen. Insoweit lässt sich eine Parallele zu Art. 28 Abs. 5 der Richtlinie 95/46 ziehen, wonach jede Kontrollstelle regelmäßig einen Bericht über ihre Tätigkeit vorlegt, der veröffentlicht wird.
Nach alledem ist der Umstand, dass den Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich eine von der allgemeinen Staatsverwaltung unabhängige Stellung zukommt, für sich allein noch nicht geeignet, diesen Stellen die demokratische Legitimation zu nehmen.
Grundsatz der begrenzten Einzelermächtigung
Zweitens verpflichtet der von der Bundesrepublik Deutschland ebenfalls angeführte, in Art. 5 Abs. 1 EG verankerte Grundsatz der begrenzten Einzelermächtigung die Gemeinschaft, nur innerhalb der Grenzen der ihr im EG-Vertrag zugewiesenen Befugnisse und gesetzten Ziele tätig zu werden.
Die Bundesrepublik Deutschland macht insoweit geltend, die Unabhängigkeit der Kontrollstellen von den übergeordneten Verwaltungsstellen könne nicht auf der Grundlage von Art. 100a EG-Vertrag, auf den die Richtlinie 95/46 gestützt sei, verlangt werden.
Diese Bestimmung ermächtigt den Gemeinschaftsgesetzgeber zum Erlass von Maßnahmen zur Verbesserung der Bedingungen für die Errichtung und das Funktionieren des Binnenmarkts, wobei die entsprechenden Maßnahmen tatsächlich dieses Ziel verfolgen und dazu beitragen müssen, Hemmnisse für die mit dem EG-Vertrag garantierten wirtschaftlichen Freiheiten zu beseitigen4.
Nach Ansicht des Gerichtshofs der Europäischen Union ist dagegen die Unabhängigkeit der Kontrollstellen in dem Sinne, dass sie jeglicher äußeren Einflussnahme entzogen sein müssen, die ihre Entscheidungen steuern könnte, ein im Hinblick auf die Ziele der Richtlinie 95/46 wesentliches Element. Sie ist erforderlich, um in allen Mitgliedstaaten ein gleich hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schaffen, und trägt so zum freien Datenverkehr bei, der für die Errichtung und das Funktionieren des Binnenmarkts erforderlich ist. Nach alledem geht nach dem Urteil des EuGH eine weite Auslegung des Erfordernisses der Unabhängigkeit der Kontrollstellen nicht über die Grenzen der Befugnisse hinaus, die der Gemeinschaft nach Art. 100a EG-Vertrag, der die Rechtsgrundlage der Richtlinie 95/46 bildet, zugewiesen werden.
Subsidiarität und Verhältnismäßigkeit
Drittens beruft sich die Bundesrepublik Deutschland auf die in Art. 5 Abs. 2 und 3 EG verankerten Grundsätze der Subsidiarität und der Verhältnismäßigkeit sowie auf den Grundsatz der loyalen Zusammenarbeit zwischen den Mitgliedstaaten und den Gemeinschaftsorganen nach Art. 10 EG. Sie verweist insbesondere auf Nr. 7 des durch den Vertrag von Amsterdam dem EU-Vertrag und dem EG-Vertrag beigefügten Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit, wonach bewährte nationale Regelungen sowie Struktur und Funktionsweise der Rechtssysteme der Mitgliedstaaten unter Einhaltung der gemeinschaftlichen Rechtsvorschriften geachtet werden sollten. Es verstoße gegen dieses Erfordernis, wenn die Bundesrepublik Deutschland gezwungen werde, ein ihrer Rechtsordnung fremdes System zu übernehmen und damit ein effektives, seit fast 30 Jahren bewährtes Kontrollsystem aufzugeben, das weit über den nationalen Bereich hinaus richtungsweisend für die Datenschutzgesetzgebung gewesen sei.
Auch diesem Vorbringen folgt der Gerichtshof der Europäischen Union nicht. Vielmehr geht nach Ansicht des EuGH die Auslegung des Unabhängigkeitserfordernisses des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 in dem Sinne, dass dieses Erfordernis einer staatlichen Aufsicht entgegensteht, nicht über das hinaus, was zur Erreichung der Ziele des EG-Vertrags erforderlich ist.
Das Urteil[↑]
In Anbetracht aller vorstehenden Erwägungen hat der Gerichtshof der Europäischen Union festgestellt, dass die Bundesrepublik Deutschland gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 verstoßen hat, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.
- vgl. in diesem Sinne EuGH, Urteil vom 20.05.2003, Österreichischer Rundfunk u. a., C?465/00, C?138/01 und C?139/01, Slg. 2003, I?4989, Randnrn. 39 und 70[↩]
- vgl. in diesem Sinne EGMR, Urteile vom 16.02.2000, Amann/Schweiz, Recueil des arrêts et décisions 2000-II, §§ 69 und 80; und vom 04.05.2000, Rotaru/Rumänien, Recueil des arrêts et décisions 2000-V, §§ 43 und 46[↩]
- vgl. in diesem Sinne EuGH, Urteile Österreichischer Rundfunk u. a., Randnr. 70; sowie vom 16.12.2008, Satakunnan Markkinapörssi und Satamedia, C?73/07, Slg. 2008, I?9831, Randnr. 52[↩]
- vgl. in diesem Sinne u. a. EuGH, Urteile vom 05.10.2000, Deutschland/Parlament und Rat, C?376/98, Slg. 2000, I?8419, Randnrn. 83, 84 und 95; vom 10.12.2002, British American Tobacco [Investments] und Imperial Tobacco, C?491/01, Slg. 2002, I?11453, Randnr. 60; sowie vom 02.05.2006, Parlament/Rat, C?436/03, Slg. 2006, I?3733, Randnr. 38[↩]
