Europäischer Gerichtshof
"Vertragsverletzung eines Mitgliedstaats – Richtlinie 95/46/EG – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr – Art. 28 Abs. 1 – Nationale Kontrollstellen – Unabhängigkeit – Behördliche Aufsicht über diese Stellen"
1. Die Bundesrepublik Deutschland hat gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben "in völliger Unabhängigkeit" wahrnehmen, falsch umgesetzt hat.
2. Die Bundesrepublik Deutschland trägt die Kosten der Europäischen Kommission.
3. Der Europäische Datenschutzbeauftragte trägt seine eigenen Kosten.
EuGH, Urteil vom 9. 3. 2010 – C-518/07 (lexetius.com/2010,423)
[1] In der Rechtssache C-518/07 betreffend eine Vertragsverletzungsklage nach Art. 226 EG, eingereicht am 22. November 2007, Europäische Kommission, vertreten durch C. Docksey, C. Ladenburger und H. Krämer als Bevollmächtigte, Zustellungsanschrift in Luxemburg, Klägerin, unterstützt durch Europäischer Datenschutzbeauftragter, vertreten durch H. Hijmans und A. Scirocco als Bevollmächtigte, Zustellungsanschrift in Luxemburg, Streithelfer, gegen Bundesrepublik Deutschland, vertreten durch M. Lumma und J. Möller als Bevollmächtigte, Zustellungsanschrift in Luxemburg, Beklagte, erlässt DER GERICHTSHOF (Große Kammer) unter Mitwirkung des Präsidenten V. Skouris, der Kammerpräsidenten A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot und E. Levits sowie der Richter A. Rosas, K. Schiemann (Berichterstatter), J.-J. Kasel, M. Safjan und D. Šváby, Generalanwalt: J. Mazák, Kanzler: R. Grass, aufgrund des schriftlichen Verfahrens, nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 12. November 2009 folgendes Urteil (*):
[2] 1 Mit ihrer Klage beantragt die Kommission der Europäischen Gemeinschaften, festzustellen, dass die Bundesrepublik Deutschland gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) verstoßen hat, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterworfen und damit das Erfordernis der "völligen Unabhängigkeit" der mit dem Schutz dieser Daten beauftragten Stellen falsch umgesetzt hat.
Rechtlicher Rahmen
Gemeinschaftsrecht
[3] 2 Die Richtlinie 95/46 wurde auf der Grundlage von Art. 100a EG-Vertrag (nach Änderung Art. 95 EG) erlassen und hat die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Verarbeitung personenbezogener Daten zum Ziel.
[4] 3 Die Erwägungsgründe 3, 7, 8, 10 und 62 der Richtlinie 95/46 lauten:
"(3) Für die Errichtung und das Funktionieren des Binnenmarktes, der gemäß Artikel 7a des [EG-Vertrags (nach Änderung Art. 14 EG)] den freien Verkehr von Waren, Personen, Dienstleistungen und Kapital gewährleisten soll, ist es nicht nur erforderlich, dass personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat übermittelt werden können, sondern auch, dass die Grundrechte der Personen gewahrt werden. …
(7) Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten kann die Übermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mitgliedstaats verhindern. Dieses unterschiedliche Schutzniveau kann somit ein Hemmnis für die Ausübung einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen, den Wettbewerb verfälschen und die Erfüllung des Auftrags der im Anwendungsbereich des Gemeinschaftsrechts tätigen Behörden verhindern. Dieses unterschiedliche Schutzniveau ergibt sich aus der Verschiedenartigkeit der einzelstaatlichen Rechts- und Verwaltungsvorschriften.
(8) Zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ist ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich. Insbesondere unter Berücksichtigung der großen Unterschiede, die gegenwärtig zwischen den einschlägigen einzelstaatlichen Rechtsvorschriften bestehen, und der Notwendigkeit, die Rechtsvorschriften der Mitgliedstaaten zu koordinieren, damit der grenzüberschreitende Fluss personenbezogener Daten kohärent und in Übereinstimmung mit dem Ziel des Binnenmarktes im Sinne des Artikels 7a des Vertrags geregelt wird, lässt sich dieses für den Binnenmarkt grundlegende Ziel nicht allein durch das Vorgehen der Mitgliedstaaten verwirklichen. Deshalb ist eine Maßnahme der Gemeinschaft zur Angleichung der Rechtsvorschriften erforderlich. …
(10) Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 der [am 4. November 1950 in Rom unterzeichneten] Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen. …
(62) Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten."
[5] 4 Der mit "Gegenstand der Richtlinie" überschriebene Art. 1 der Richtlinie 95/46 lautet:
"(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."
[6] 5 Art. 28 ("Kontrollstelle") der Richtlinie 95/46 bestimmt:
"(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.
(3) Jede Kontrollstelle verfügt insbesondere über:
- Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
- wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
- das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befasst werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, dass eine Überprüfung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmäßig einen Bericht über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, dass die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen."
[7] 6 Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1) wurde auf der Grundlage von Art. 286 EG erlassen. Sie bestimmt in Art. 44 Abs. 1 und 2:
"(1) Der Europäische Datenschutzbeauftragte [im Folgenden: EDSB] übt sein Amt in völliger Unabhängigkeit aus.
(2) Der EDSB ersucht in Ausübung seines Amtes niemanden um Weisung und nimmt keine Weisungen entgegen."
Nationales Recht
[8] 7 Im deutschen Recht ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten unterschiedlich geregelt, je nachdem, ob die Daten von einer öffentlichen Stelle verarbeitet werden oder nicht.
[9] 8 Die Einhaltung der Datenschutzvorschriften zum einen durch öffentliche Stellen und zum anderen durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen (zusammen im Folgenden: nichtöffentlicher Bereich) wird nämlich nicht von denselben Stellen kontrolliert.
[10] 9 Die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes wird vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit überwacht, die Verarbeitung solcher Daten durch öffentliche Stellen der Länder vom jeweiligen Landesdatenschutzbeauftragten. Alle diese Datenschutzbeauftragten sind nur gegenüber ihrem jeweiligen Parlament rechenschaftspflichtig und unterliegen in aller Regel keinerlei Aufsicht, Weisungen oder sonstigem Einfluss durch die von ihnen zu kontrollierenden öffentlichen Stellen.
[11] 10 Dagegen ist die Stellung der mit der Kontrolle der Datenverarbeitung des nichtöffentlichen Bereichs beauftragten Stellen von Land zu Land unterschiedlich ausgestaltet. Den Gesetzen der Länder ist jedoch gemeinsam, dass diese Kontrollstellen ausdrücklich einer staatlichen Aufsicht unterworfen sind.
Vorverfahren und Verfahren vor dem Gerichtshof
[12] 11 Nach Auffassung der Kommission ist es mit Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 unvereinbar, die mit der Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich beauftragten Stellen einer staatlichen Aufsicht zu unterwerfen, wie dies in sämtlichen Bundesländern der Fall ist; sie richtete deshalb am 5. Juli 2005 ein Mahnschreiben an die Bundesrepublik Deutschland. Diese antwortete mit Schreiben vom 12. September 2005, dass das deutsche Datenschutzkontrollsystem den Anforderungen der Richtlinie 95/46 entspreche. Am 12. Dezember 2006 richtete die Kommission eine mit Gründen versehene Stellungnahme an die Bundesrepublik Deutschland, in der sie den zuvor erhobenen Vorwurf wiederholte. In seiner Antwort vom 14. Februar 2007 hielt dieser Mitgliedstaat an seinem ursprünglichen Standpunkt fest.
[13] 12 Unter diesen Umständen hat die Kommission beschlossen, die vorliegende Klage zu erheben.
[14] 13 Mit Beschluss des Präsidenten des Gerichtshofs vom 14. Oktober 2008 ist der EDSB als Streithelfer zur Unterstützung der Anträge der Kommission zugelassen worden.
Zur Klage
Vorbringen der Parteien
[15] 14 Im vorliegenden Rechtsstreit geht es um die gegensätzlichen Auffassungen der Kommission, die vom EDSB unterstützt wird, und der Bundesrepublik Deutschland hinsichtlich der Wendung "in völliger Unabhängigkeit" in Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 und der Wahrnehmung der Aufgaben der Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
[16] 15 Nach Auffassung der Kommission und des EDSB, die von einer weiten Auslegung der Wendung "in völliger Unabhängigkeit" ausgehen, ist das Erfordernis, dass die Kontrollstellen ihre Aufgaben "in völliger Unabhängigkeit" wahrnehmen, dahin auszulegen, dass eine Kontrollstelle jeglicher Einflussnahme, sei es durch sonstige Behörden, sei es von außerhalb der Staatsverwaltung, entzogen sein müsse. Die staatliche Aufsicht, der die mit der Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich beauftragten Stellen in Deutschland unterworfen seien, verstoße daher gegen dieses Erfordernis.
[17] 16 Die Bundesrepublik Deutschland vertritt dagegen eine engere Auslegung der Wendung "in völliger Unabhängigkeit". Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 verlange eine funktionale Unabhängigkeit der Kontrollstellen in dem Sinne, dass sie von dem ihrer Kontrolle unterstellten nichtöffentlichen Bereich unabhängig sein müssten und keinen sachfremden Einflüssen unterliegen dürften. Die staatliche Aufsicht in den Bundesländern stelle keinen sachfremden Einfluss dar, sondern einen verwaltungsinternen Mechanismus der Kontrolle durch Stellen innerhalb desselben Verwaltungsapparats, die in derselben Weise wie die Kontrollstellen den Zielvorgaben der Richtlinie 95/46 verpflichtet seien.
Würdigung durch den Gerichtshof
Zur Tragweite des Erfordernisses der Unabhängigkeit der Kontrollstellen
[18] 17 Die Beurteilung der Begründetheit der vorliegenden Klage hängt davon ab, welche Tragweite das Unabhängigkeitserfordernis des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 hat, und somit von der Auslegung dieser Bestimmung. In diesem Zusammenhang sind deren Wortlaut sowie die Ziele und die Systematik der Richtlinie 95/46 heranzuziehen.
[19] 18 Was erstens den Wortlaut von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 angeht, ist angesichts des Fehlens einer Definition in der Richtlinie auf den gewöhnlichen Sinn der Wendung "in völliger Unabhängigkeit" abzustellen. In Bezug auf öffentliche Stellen bezeichnet der Begriff "Unabhängigkeit" in der Regel eine Stellung, in der gewährleistet ist, dass die betreffende Stelle völlig frei von Weisungen und Druck handeln kann.
[20] 19 Entgegen dem Standpunkt der Bundesrepublik Deutschland deutet nichts darauf hin, dass das Unabhängigkeitserfordernis allein das Verhältnis zwischen den Kontrollstellen und den ihrer Kontrolle unterstellten Einrichtungen beträfe. Im Gegenteil wird der Begriff "Unabhängigkeit" durch das Adjektiv "völlig" verstärkt, was eine Entscheidungsgewalt impliziert, die jeglicher Einflussnahme von außerhalb der Kontrollstelle, sei sie unmittelbar oder mittelbar, entzogen ist.
[21] 20 Zweitens geht in Bezug auf die Ziele der Richtlinie 95/46 insbesondere aus deren Erwägungsgründen 3, 7 und 8 hervor, dass sie durch die Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in erster Linie den freien Verkehr dieser Daten zwischen Mitgliedstaaten gewährleisten soll (vgl. in diesem Sinne Urteil vom 20. Mai 2003, Österreichischer Rundfunk u. a., C-465/00, C-138/01 und C-139/01, Slg. 2003, I-4989, Randnrn. 39 und 70), der für die Errichtung und das Funktionieren des Binnenmarkts nach Art. 14 Abs. 2 EG erforderlich ist.
[22] 21 Der freie Verkehr personenbezogener Daten kann jedoch das Recht auf Privatsphäre beeinträchtigen, wie es u. a. in Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (vgl. in diesem Sinne Urteile des EGMR vom 16. Februar 2000, Amann/Schweiz, Recueil des arrêts et décisions 2000-II, §§ 69 und 80, und vom 4. Mai 2000, Rotaru/Rumänien, Recueil des arrêts et décisions 2000-V, §§ 43 und 46) und durch die allgemeinen Grundsätze des Gemeinschaftsrechts anerkannt ist.
[23] 22 Deshalb und wie insbesondere aus ihrem zehnten Erwägungsgrund und Art. 1 hervorgeht, hat die Richtlinie 95/46 außerdem zum Ziel, den durch die bestehenden nationalen Rechtsvorschriften garantierten Schutz nicht zu verringern, sondern vielmehr in der Gemeinschaft bei der Verarbeitung personenbezogener Daten ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten zu gewährleisten (vgl. in diesem Sinne Urteile Österreichischer Rundfunk u. a., Randnr. 70, sowie vom 16. Dezember 2008, Satakunnan Markkinapörssi und Satamedia, C-73/07, Slg. 2008, I-9831, Randnr. 52).
[24] 23 Die in Art. 28 der Richtlinie 95/46 vorgesehenen Kontrollstellen sind somit die Hüter dieser Grundrechte und Grundfreiheiten, und ihre Einrichtung in den Mitgliedstaaten gilt, wie es im 62. Erwägungsgrund der Richtlinie heißt, als ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten.
[25] 24 Um diesen Schutz zu gewährleisten, müssen die Kontrollstellen zum einen die Achtung des Grundrechts auf Privatsphäre und zum anderen die Interessen, die den freien Verkehr personenbezogener Daten verlangen, miteinander ins Gleichgewicht bringen. Im Übrigen sind die verschiedenen nationalen Kontrollstellen nach Art. 28 Abs. 6 der Richtlinie 95/46 zu gegenseitiger Zusammenarbeit aufgerufen und können gegebenenfalls von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
[26] 25 Die Gewährleistung der Unabhängigkeit der nationalen Kontrollstellen soll die wirksame und zuverlässige Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen und ist im Licht dieses Zwecks auszulegen. Sie wurde eingeführt, um die von ihren Entscheidungen betroffenen Personen und Einrichtungen stärker zu schützen, und nicht, um diesen Kontrollstellen selbst oder ihren Bevollmächtigten eine besondere Stellung zu verleihen. Folglich müssen die Kontrollstellen bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen. Hierzu müssen sie vor jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme des Bundes oder der Länder sicher sein und nicht nur vor der Einflussnahme seitens der kontrollierten Einrichtungen.
[27] 26 Drittens ist die Richtlinie 95/46 hinsichtlich ihrer Systematik als Gegenstück zu Art. 286 EG und der Verordnung Nr. 45/2001 zu sehen. Diese betreffen die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft sowie den freien Verkehr dieser Daten. Die Richtlinie verfolgt diese Ziele ebenfalls, aber in Bezug auf die Verarbeitung solcher Daten in den Mitgliedstaaten.
[28] 27 So wie Kontrollstellen auf nationaler Ebene bestehen, ist auch auf der Ebene der Union eine Kontrollstelle damit beauftragt, die Anwendung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen, nämlich der EDSB. Nach Art. 44 Abs. 1 der Verordnung Nr. 45/2001 übt dieser sein Amt in völliger Unabhängigkeit aus. In Abs. 2 desselben Artikels wird zur Erläuterung dieses Begriffs der Unabhängigkeit hinzugefügt, dass der EDSB in Ausübung seines Amtes niemanden um Weisung ersucht und keine Weisungen entgegennimmt.
[29] 28 Angesichts dessen, dass Art. 44 der Verordnung Nr. 45/2001 und Art. 28 der Richtlinie 95/46 dasselbe allgemeine Konzept zugrunde liegt, sind beide Bestimmungen homogen auszulegen, so dass nicht nur die Unabhängigkeit des EDSB, sondern auch die der nationalen Stellen impliziert, dass sie bei der Wahrnehmung ihrer Aufgaben keinerlei Weisungen unterliegen.
[30] 29 Ausgehend vom Wortlaut von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 sowie von den Zielen und der Systematik dieser Richtlinie ist eine klare Auslegung der genannten Bestimmung möglich. Folglich ist es nicht erforderlich, die Entstehungsgeschichte dieser Richtlinie heranzuziehen oder auf die einander widersprechenden Ausführungen der Kommission und der Bundesrepublik Deutschland dazu einzugehen.
[31] 30 Nach alledem ist Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 dahin auszulegen, dass die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen aus, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.
Zur staatlichen Aufsicht
[32] 31 Sodann ist zu prüfen, ob die staatliche Aufsicht, der in Deutschland die Kontrollstellen unterworfen sind, die die Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich überwachen, mit dem so beschriebenen Unabhängigkeitserfordernis vereinbar ist.
[33] 32 Hierzu ist festzustellen, dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.
[34] 33 Es trifft zwar, wie die Bundesrepublik Deutschland geltend macht, a priori zu, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.
[35] 34 Es lässt sich aber nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden.
[36] 35 Die Regierung des betroffenen Landes hat nämlich, wie der EDSB in seinen Erklärungen hervorhebt, möglicherweise ein Interesse an der Nichteinhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, wenn es um die Verarbeitung solcher Daten im nichtöffentlichen Bereich geht. Sie kann selbst involvierte Partei dieser Verarbeitung sein, wenn sie davon betroffen ist oder sein könnte, z. B. im Fall einer Kooperation von öffentlichen und privaten Stellen oder im Rahmen öffentlicher Aufträge an den privaten Bereich. Außerdem könnte sie ein besonderes Interesse haben, wenn sie für bestimmte ihrer Aufgaben, insbesondere zu Zwecken der Finanzverwaltung oder der Strafverfolgung, Zugang zu Datenbanken benötigt oder ein solcher Zugang einfach nur sachdienlich ist. Im Übrigen könnte diese Regierung auch geneigt sein, wirtschaftlichen Interessen den Vorrang zu geben, wenn es um die Anwendung der genannten Vorschriften durch bestimmte Unternehmen geht, die für das Land oder die Region wirtschaftlich von Bedeutung sind.
[37] 36 Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen. Zum einen könnte es, wie die Kommission ausführt, einen "vorauseilenden Gehorsam" der Kontrollstellen im Hinblick auf die Entscheidungspraxis der Aufsichtsstellen geben. Zum anderen erfordert die Rolle der Kontrollstellen als Hüter des Rechts auf Privatsphäre, dass ihre Entscheidungen, also sie selbst, über jeglichen Verdacht der Parteilichkeit erhaben sind.
[38] 37 Nach alledem ist festzustellen, dass die staatliche Aufsicht, der die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in Deutschland unterworfen sind, nicht mit dem Unabhängigkeitserfordernis, wie es in Randnr. 30 des vorliegenden Urteils beschrieben ist, vereinbar ist.
Zu den von der Bundesrepublik Deutschland angeführten Grundsätzen des Gemeinschaftsrechts
[39] 38 Nach Auffassung der Bundesrepublik Deutschland würde es gegen mehrere Grundsätze des Gemeinschaftsrechts verstoßen, das Unabhängigkeitserfordernis des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 so auszulegen, dass der Mitgliedstaat gezwungen wäre, sein bewährtes und effektives System der Aufsicht über die Kontrollstellen hinsichtlich der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich aufzugeben.
[40] 39 Erstens stehe insbesondere das Demokratieprinzip einer weiten Auslegung dieses Unabhängigkeitserfordernisses entgegen.
[41] 40 Dieses Prinzip, das nicht nur in der deutschen Verfassung, sondern auch in Art. 6 Abs. 1 EU verankert sei, verlange eine Weisungsgebundenheit der Verwaltung gegenüber der Regierung, die ihrerseits dem Parlament verantwortlich sei. So müssten Eingriffe in die Rechte der Bürger und Unternehmen der Rechtsaufsicht des zuständigen Ministers unterliegen. Da die Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß Art. 28 Abs. 3 der Richtlinie 95/46 über bestimmte Eingriffsbefugnisse gegenüber Bürgern und dem nichtöffentlichen Bereich verfügten, sei eine erweiterte Rechtmäßigkeitskontrolle ihres Handelns über Rechts- oder Fachaufsichtsinstrumente dringend geboten.
[42] 41 Hierzu ist festzustellen, dass der Grundsatz der Demokratie zur Gemeinschaftsrechtsordnung gehört und in Art. 6 Abs. 1 EU ausdrücklich als Grundlage der Europäischen Union niedergelegt ist. Als den Mitgliedstaaten gemeinsamer Grundsatz ist er daher bei der Auslegung eines sekundärrechtlichen Aktes wie Art. 28 der Richtlinie 95/46 zu berücksichtigen.
[43] 42 Dieser Grundsatz bedeutet nicht, dass es außerhalb des klassischen hierarchischen Verwaltungsaufbaus keine öffentlichen Stellen geben kann, die von der Regierung mehr oder weniger unabhängig sind. Das Bestehen und die Bedingungen für das Funktionieren solcher Stellen sind in den Mitgliedstaaten durch Gesetz und in einigen Mitgliedstaaten sogar in der Verfassung geregelt, und diese Stellen sind an das Gesetz gebunden und unterliegen der Kontrolle durch die zuständigen Gerichte. Solche unabhängigen öffentlichen Stellen, wie es sie im Übrigen auch im deutschen Rechtssystem gibt, haben häufig Regulierungsfunktion oder nehmen Aufgaben wahr, die der politischen Einflussnahme entzogen sein müssen, bleiben dabei aber an das Gesetz gebunden und der Kontrolle durch die zuständigen Gerichte unterworfen. Eben dies ist bei den Aufgaben der Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten der Fall.
[44] 43 Gewiss kommt ein Fehlen jeglichen parlamentarischen Einflusses auf diese Stellen nicht in Betracht. Die Richtlinie 95/46 schreibt jedoch den Mitgliedstaaten keineswegs vor, dem Parlament jede Einflussmöglichkeit vorzuenthalten.
[45] 44 So kann zum einen das Leitungspersonal der Kontrollstellen vom Parlament oder der Regierung bestellt werden. Zum anderen kann der Gesetzgeber die Kompetenzen der Kontrollstellen festlegen.
[46] 45 Außerdem kann der Gesetzgeber die Kontrollstellen verpflichten, dem Parlament Rechenschaft über ihre Tätigkeiten abzulegen. Insoweit lässt sich eine Parallele zu Art. 28 Abs. 5 der Richtlinie 95/46 ziehen, wonach jede Kontrollstelle regelmäßig einen Bericht über ihre Tätigkeit vorlegt, der veröffentlicht wird.
[47] 46 Nach alledem ist der Umstand, dass den Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich eine von der allgemeinen Staatsverwaltung unabhängige Stellung zukommt, für sich allein noch nicht geeignet, diesen Stellen die demokratische Legitimation zu nehmen.
[48] 47 Zweitens verpflichtet der von der Bundesrepublik Deutschland ebenfalls angeführte, in Art. 5 Abs. 1 EG verankerte Grundsatz der begrenzten Einzelermächtigung die Gemeinschaft, nur innerhalb der Grenzen der ihr im EG-Vertrag zugewiesenen Befugnisse und gesetzten Ziele tätig zu werden.
[49] 48 Die Bundesrepublik Deutschland macht insoweit geltend, die Unabhängigkeit der Kontrollstellen von den übergeordneten Verwaltungsstellen könne nicht auf der Grundlage von Art. 100a EG-Vertrag, auf den die Richtlinie 95/46 gestützt sei, verlangt werden.
[50] 49 Diese Bestimmung ermächtigt den Gemeinschaftsgesetzgeber zum Erlass von Maßnahmen zur Verbesserung der Bedingungen für die Errichtung und das Funktionieren des Binnenmarkts, wobei die entsprechenden Maßnahmen tatsächlich dieses Ziel verfolgen und dazu beitragen müssen, Hemmnisse für die mit dem EG-Vertrag garantierten wirtschaftlichen Freiheiten zu beseitigen (vgl. in diesem Sinne u. a. Urteile vom 5. Oktober 2000, Deutschland/Parlament und Rat, C-376/98, Slg. 2000, I-8419, Randnrn. 83, 84 und 95, vom 10. Dezember 2002, British American Tobacco [Investments] und Imperial Tobacco, C-491/01, Slg. 2002, I-11453, Randnr. 60, sowie vom 2. Mai 2006, Parlament/Rat, C-436/03, Slg. 2006, I-3733, Randnr. 38).
[51] 50 Wie bereits dargelegt, ist die Unabhängigkeit der Kontrollstellen in dem Sinne, dass sie jeglicher äußeren Einflussnahme entzogen sein müssen, die ihre Entscheidungen steuern könnte, ein im Hinblick auf die Ziele der Richtlinie 95/46 wesentliches Element. Sie ist erforderlich, um in allen Mitgliedstaaten ein gleich hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schaffen, und trägt so zum freien Datenverkehr bei, der für die Errichtung und das Funktionieren des Binnenmarkts erforderlich ist.
[52] 51 Nach alledem geht eine weite Auslegung des Erfordernisses der Unabhängigkeit der Kontrollstellen nicht über die Grenzen der Befugnisse hinaus, die der Gemeinschaft nach Art. 100a EG-Vertrag, der die Rechtsgrundlage der Richtlinie 95/46 bildet, zugewiesen werden.
[53] 52 Drittens beruft sich die Bundesrepublik Deutschland auf die in Art. 5 Abs. 2 und 3 EG verankerten Grundsätze der Subsidiarität und der Verhältnismäßigkeit sowie auf den Grundsatz der loyalen Zusammenarbeit zwischen den Mitgliedstaaten und den Gemeinschaftsorganen nach Art. 10 EG.
[54] 53 Sie verweist insbesondere auf Nr. 7 des durch den Vertrag von Amsterdam dem EU-Vertrag und dem EG-Vertrag beigefügten Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit, wonach bewährte nationale Regelungen sowie Struktur und Funktionsweise der Rechtssysteme der Mitgliedstaaten unter Einhaltung der gemeinschaftlichen Rechtsvorschriften geachtet werden sollten.
[55] 54 Es verstoße gegen dieses Erfordernis, wenn die Bundesrepublik Deutschland gezwungen werde, ein ihrer Rechtsordnung fremdes System zu übernehmen und damit ein effektives, seit fast 30 Jahren bewährtes Kontrollsystem aufzugeben, das weit über den nationalen Bereich hinaus richtungsweisend für die Datenschutzgesetzgebung gewesen sei.
[56] 55 Diesem Vorbringen ist nicht zu folgen. Wie in den Randnrn. 21 bis 25 sowie 50 des vorliegenden Urteils ausgeführt, geht die Auslegung des Unabhängigkeitserfordernisses des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 in dem Sinne, dass dieses Erfordernis einer staatlichen Aufsicht entgegensteht, nicht über das hinaus, was zur Erreichung der Ziele des EG-Vertrags erforderlich ist.
[57] 56 In Anbetracht aller vorstehenden Erwägungen ist festzustellen, dass die Bundesrepublik Deutschland gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 verstoßen hat, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben "in völliger Unabhängigkeit" wahrnehmen, falsch umgesetzt hat.
Kosten
[58] 57 Nach Art. 69 § 2 der Verfahrensordnung ist die unterliegende Partei auf Antrag zur Tragung der Kosten zu verurteilen. Da die Bundesrepublik Deutschland mit ihrem Vorbringen unterlegen ist, sind ihr entsprechend dem Antrag der Kommission die Kosten aufzuerlegen.
[59] 58 Der EDSB trägt seine eigenen Kosten.
* Verfahrenssprache: Deutsch.