Language of document : ECLI:EU:C:2009:694

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

JÁN MAZÁK

föredraget den 22 oktober 20091(1)

Mål C‑518/07

Europeiska gemenskapernas kommission

mot

Förbundsrepubliken Tyskland

”Skydd för fysiska personer med hänsyn till behandling av personuppgifter – Statlig kontroll över nationella tillsynsmyndigheter – Fullständigt oberoende utövande av uppgifter”





1.        Europeiska gemenskapernas kommission har genom sin talan(2) begärt att domstolen ska fastställa att Förbundsrepubliken Tyskland, genom att med stöd av delstatslagstiftningarna ha ställt de myndigheter som har till uppgift att övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(3) (nedan kallade tillsynsmyndigheterna inom området för skydd av personuppgifter) under statlig kontroll vad avser tillsyn av icke-offentliga organ, har åsidosatt sin skyldighet enligt artikel 28.1 andra stycket i direktiv 95/46 att säkerställa att dessa myndigheter är fullständigt oberoende.

2.        Syftet med direktiv 95/46 är att medlemsstaterna, samtidigt som de tillåter det fria flödet av personuppgifter, ska säkerställa ett skydd för fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv, med avseende på behandlingen av nämnda uppgifter. Direktiv 95/46 syftar med andra ord till att uppnå en balans mellan, å ena sidan, det fria flödet av personuppgifter, vilket utgör en av de nödvändiga faktorerna för att den inre marknaden ska kunna fungera, och, å andra sidan, skyddet för fysiska personers grundläggande fri- och rättigheter.

3.        De nationella myndigheter som utövar kontroll av att de antagna nationella tillämpningsföreskrifterna till direktiv 95/46 följs bidrar också till att det ovannämnda syftet nås. Det framgår av skäl 62 till direktiv 95/46 att det för skyddet av enskilda personer med avseende på behandlingen av personuppgifter är av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter. Av detta skäl föreskrivs i artikel 28.1 i direktiv 95/46 följande:

”Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv. 

Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.”(4)

4.        Förevarande talan har sitt ursprung i en tvist mellan kommissionen, med stöd av Europeiska datatillsynsmannen, och Förbundsrepubliken Tyskland angående tolkningen av uttrycket ”fullständigt oberoende”, som förekommer i artikel 28.1 i direktiv 95/46 och som avser utövande av uppgifter av tillsynsmyndigheterna inom området skydd av personuppgifter.

5.        Kommissionens ansökan grundar sig på två hypoteser. Enligt den första hypotesen medför artikel 28.1 i direktiv 95/46 skyldighet för medlemsstaterna att tillse att deras tillsynsmyndigheter inom området skydd av personuppgifter är ”fullständigt oberoende”. Kommissionen har i sin replik preciserat att det inte rör sig om något institutionellt eller organisatoriskt oberoende, utan ett totalt funktionsmässigt oberoende, vilket innebär att tillsynsmyndigheterna inom området skydd av personuppgifter inte alls ska kunna påverkas utifrån.

6.        Enligt den andra hypotesen är den kontroll som medlemsstaten utövar över sina tillsynsmyndigheter inom området skydd av personuppgifter inom den icke-offentliga sektorn, vars förekomst inte har ifrågasatts av Förbundsrepubliken Tyskland och vilken dessutom har gjort ytterligare förtydliganden avseende kommissionens påståenden angående formerna för denna kontroll,(5) sådan att den utgör hinder för nämnda tillsynsmyndigheters fullständiga oberoende, i den mening som kommissionen har angett.

7.        Förbundsrepubliken Tysklands svaromål grundar sig på en annan tolkning av uttrycket ”fullständigt oberoende”, som är knutet till utövandet av tillsynsmyndigheternas uppgifter inom området skydd av personuppgifter. Den anser att detta uttryck avser ett funktionsmässigt oberoende för dessa myndigheter, vilket enbart innebär ett institutionellt oberoende för dessa när det gäller organisation i förhållande till de organ som är föremål för denna tillsyn. Den har i sin duplik gjort gällande att den kontroll som staten utövar inte innebär någon påverkan utifrån, eftersom kontrollmyndigheterna inte är utomstående organ, utan interna kontrollorgan inom myndigheten.

8.        Det kan visserligen mot bakgrund av talan urskiljas en motstridighet mellan två koncept avseende utövande av verkställande behörighet inom staten,(6) men jag ska försöka föreslå en lösning utifrån, för det första, ett förtydligande av betydelsen av uttrycket ”fullständigt oberoende utöva ... uppgifter” och, för det andra, en bedömning av huruvida de tillsynsmyndigheter inom området skydd av personuppgifter som står under en sådan statlig kontroll som kommissionen har beskrivit verkligen kan utöva sina uppgifter fullständigt oberoende.

 Fullständigt oberoende utöva uppgifter i den mening som avses i artikel 28.1 i direktiv 95/46

9.        Det kan på grundval av en undersökning av gemenskapslagstiftningen och domstolens rättspraxis konstateras att användningen av begreppet ”oberoende” är vanlig inte enbart med hänsyn till offentliga myndigheter, utan även avseende vissa grupper av personer som behöver vara oberoende med avseende på de uppgifter som de utövar i det sociala systemet eller alternativa sociala systemet.

10.      Som exempel kan anges artikel 19.4 i Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93,(7) enligt vilken det krävs att marknadskontrollmyndigheterna ska utföra sina uppgifter självständigt, eller artikel 16.1 i rådets förordning (EG) nr 168/2007 av den 15 februari 2007 om inrättande av Europeiska unionens byrå för grundläggande rättigheter,(8) enligt vilken det krävs att byrån ska vara helt oberoende vid utförandet av sina uppgifter, och vidare artikel 3.2 i Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster, (ramdirektivet)(9) enligt vilken det krävs att medlemsstaterna ska garantera sina respektive nationella regleringsmyndigheters oberoende.

11.      Begreppet ”oberoende”[*] förekommer också på området för ”soft law”. I detta sammanhang kan artikel 8.1 i den europeiska kodexen för god förvaltningssed citeras, vilken godkändes av Europaparlamentet den 6 september 2001(10) och enligt vilken tjänstemannen ska vara opartisk och obunden. [*Observera att i de svenska språkversionerna av de ovan citerade texterna används ”oberoende”, ”självständig” och ”obunden” för företeelser där bland annat de franska, engelska och tyska språkversionerna genomgående använder ett och samma begrepp. Övers. anm.]

12.      Domstolen har även redan haft tillfälle att undersöka oberoendet i förhållande till Europeiska centralbanken,(11) i förhållande till ledamöter i Europaparlamentet(12) och vidare i förhållande till advokater.(13)

13.      Trots det flitiga användandet av begreppet ”oberoende” är inte avgränsandet av detta begrepps innehåll självklart. Eftersom oberoende traditionellt sett är knutet till domstolsmakten, finns vissa indicier med avseende på domstolars oavhängighet. Även Europeiska datatillsynsmannen har i sin interventionsinlaga föreslagit att kriterierna för att bedöma huruvida ett organ kan anses vara oberoende ska fastställas mot bakgrund av domstolens rättspraxis avseende domstolars oavhängighet.(14)

14.      Enligt min uppfattning kan inte dessa kriterier användas i förevarande fall. Domstolen har nämligen vid fastställandet av dessa gjort en avgränsning mellan domstolar och andra typer av statliga organ. I förevarande mål rör det sig om tillsynsmyndigheter, och ingen har bestritt att nämnda myndigheter är administrativa strukturer och att de som sådana hör till området verkställande myndigheter. Härav följer att kravet på att deras uppgifter ska utövas fullständigt oberoende endast ska definieras inom ramen för verkställande myndigheter och inte i förhållande till andra typer av statliga organ.

15.      Det ska i detta hänseende påpekas att artikel 28.1 i direktiv 95/46 inte medför skyldighet för medlemsstaterna att inrätta myndigheter som är fristående från det hierarkiskt organiserade administrativa systemet. Det bör emellertid tilläggas att ingenting hindrar dem från att göra det. Eftersom medlemsstaterna enligt artikel 28.1 i direktiv 95/46 ska säkerställa att myndigheterna utövar sina uppgifter fullständigt oberoende och inte att dessa myndigheter är fullständigt oberoende, återstår det ett utrymme för dem att skönsmässigt bedöma på vilket sätt de ska uppfylla detta krav.

16.      Det ska inte heller förglömmas att begreppet ”oberoende” är ett relativt begrepp, eftersom det bör preciseras med hänsyn till vad eller vem och på vilken nivå detta oberoende ska föreligga.

17.      Man skulle visserligen vid en första anblick kunna anse att denna relativitet försvinner genom att ordet ”fullständigt” har tillfogats begreppet ”oberoende”. Jag anser emellertid att denna slutsats är felaktig. Om den ansågs riktig skulle detta innebära att artikel 28.1 i direktiv 95/46, genom att föreskriva att tillsynsmyndigheterna ska utöva sina uppgifter inom området skydd av personuppgifter fullständigt oberoende, kunde kräva oberoende på alla möjliga nivåer, det vill säga institutionellt, organisatoriskt, budgetmässigt, finansiellt, funktionsmässigt, beslutsmässigt och personligt oberoende.

18.      Enligt min uppfattning kan en sådan tolkning av artikel 28.1 i direktiv 95/46 inte godtas och oberoendet förblir således, trots uttrycket ”fullständigt oberoende”, relativt och ska därför avgränsas.

19.      Under detta avgränsningsförfarande, vilket parallellt medför ett förfarande för undersökning av omfattningen av kravet på att ”fullständigt utöva uppgifter”, är det enligt min uppfattning lämpligt att grunda sig på det ändamål för vilket tillsynsmyndigheterna inom området skydd av personuppgifter har inrättats.

20.      Det ska i detta hänseende påpekas att detta ändamål är nära anknutet till huvudsyftet med själva direktiv 95/46. Följaktligen utgör nämnda tillsynsmyndigheter ett av de medel som gör det möjligt att uppnå de syften som eftersträvas med direktiv 95/46 och härav följer att oberoendet inom ramen för dessa tillsynsmyndigheters utövande av uppgifter måste vara sådant att det tillåter att de medverkar till att uppnå en balans mellan, å ena sidan, det fria flödet av personuppgifter och, å andra sidan, skydd för fysiska personers grundläggande fri- och rättigheter, särskilt deras privatliv.

21.      Den nivå av oberoende som tillsynsmyndigheterna inom området skydd av personuppgifter ska åtnjuta för att kunna utöva sina uppgifter på ett effektivt sätt beror på för vilket ändamål dessa tillsynsmyndigheter har inrättats i detta avseende.

22.      Vad gäller frågan i förhållande till vem detta oberoende ska säkerställas för att tillsynsmyndigheterna inom området skydd för personuppgifter ska kunna utöva de uppgifter som de anförtrotts på ett effektivt sätt, delar jag inte Förbundsrepubliken Tysklands uppfattning, enligt vilken det enbart rör sig om ett oberoende i förhållande till organ som är föremål för denna tillsyn.

23.      Jag anser att tillsynsmyndigheterna inom området skydd av personuppgifter även måste vara oberoende med hänsyn till andra verkställande organ bland vilka dessa ingår, och detta på en nivå som gör det möjligt för dem att utöva sina uppgifter på ett effektivt sätt.

24.      Det förefaller svårt och, under omständigheterna i målet, föga meningsfullt att fastställa alla de faktorer som krävs för att säkerställa att de offentliga myndigheterna kan utöva sina uppgifter fullständigt oberoende. I syfte att avgöra kommissionens talan bör i stället en negativ metod tillämpas.

25.      Såtillvida uppkommer frågan huruvida förekomsten av en statlig kontroll är förenlig med den nivå av oberoende som krävs när tillsynsmyndigheterna inom området skydd av personuppgifter utövar sina uppgifter.

 Huruvida den statliga kontrollen är förenlig med kravet på att tillsynsmyndigheterna inom området skydd av personuppgifter ska utöva sina uppgifter fullständigt oberoende

26.      Såväl kommissionen som Förbundsrepubliken Tyskland har medgett att lydelsen i artikel 28.1 andra stycket i direktiv 95/46 är resultatet av en kompromiss. De båda parterna har emellertid gjort gällande att denna lydelse bekräftar deras argument avseende i vilken utsträckning tillsynsmyndigheterna inom området skydd för personuppgifter utövar sina uppgifter fullständigt oberoende.

27.      Vad gäller Förbundsrepubliken Tysklands argument att sökandens representant, vid de diskussioner som föregick antagandet av direktiv 95/46(15) bekräftat den tolkning av lydelsen i artikel 28.1 i direktiv 95/46 som Förbundsrepubliken Tyskland gjort, räcker det att uppmärksamma domen av den 14 januari 1987 i målet Tyskland mot kommissionen,(16) i vilken domstolen slog fast att en gemenskapsrättslig bestämmelse inte får tolkas mot bakgrund av förhandlingar mellan en medlemsstat och en av gemenskapens institutioner. Detta gäller i synnerhet om man beaktar att ett meningsutbyte mellan en av medlemsstaterna och en representant för en av gemenskapens institutioner som har upprättat ett förslag till en gemenskapsrättsakt inte kan ligga till grund för tolkningen av en gemenskapsrättslig bestämmelse.

28.      I förevarande mål rör det sig om ett organ som inte är oberoende i institutionellt hänseende och som således omfattas av ett visst system, i detta fall det som avser verkställande myndigheter. I detta fall föreligger verkligen en sådan spänning mellan, å ena sidan, organets oberoende och, å andra sidan, dess ansvar. Enligt min uppfattning kan statlig kontroll vara en av lösningarna i denna situation.

29.      Oberoende ska inte förväxlas med avsaknad av möjlighet att kontrolleras. Enligt min uppfattning är statlig kontroll en av de kontrollmöjligheter som får förekomma.

30.      För att besvara frågan huruvida statlig kontroll är förenlig med kravet att tillsynsmyndigheterna inom området skydd av personuppgifter ska utöva sina uppgifter fullständigt oberoende är det viktigt att beakta det syfte som eftersträvas med denna kontroll. Det framgår av den beskrivning av kontrollen som kommissionen har gjort att nämnda kontroll har till syfte att kontrollera huruvida den tillsyn som tillsynsmyndigheterna utövar är rationell, laglig och proportionerlig. Ur denna synvinkel anser jag att den statliga kontrollen bidrar till att systemet för övervakning av tillämpningen av de bestämmelser som antagits i enlighet med direktiv 95/46 fungerar. Om det visade sig att tillsynsmyndigheterna inte agerade rationellt, lagligt och proportionerligt skulle nämligen skyddet av fysiska personers rättigheter och, följaktligen, uppnåendet av det med direktiv 95/46 eftersträvade syftet vara hotat.

31.      Det ska påpekas att det av handlingarna i målet inte framgår någon omständighet som skulle kunna påverka uppnåendet av det med kontrollen eftersträvade syftet. Vidare finns det ingenting som antyder att kontrollen skulle utövas på ett sätt som skulle kunna påverka huruvida tillsynsmyndigheterna utövar sina uppgifter fullständigt oberoende. Kommissionen kan i detta hänseende inte endast komma med påståenden, utan det ankommer på den att styrka att kontrollen har fått sådana följder.

32.      Kommissionen har inte framlagt bevisning avseende några negativa konsekvenser av kontrollen av tillsynsmyndigheternas fullständigt oberoende utövande av sina uppgifter. Enligt denna räcker förekomsten av en statlig kontroll för att det ska kunna fastställas att tillsynsmyndigheterna inom området skydd av personuppgifter inte utövar sina uppgifter fullständigt oberoende. Härav följer att kommissionen enbart antar att kontrollen medför en störning i utövandet av de uppgifter som anförtrotts tillsynsmyndigheterna.

33.      Enligt fast rättspraxis åligger det kommissionen att i mål om fördragsbrott enligt artikel 226 EG bevisa det påstådda fördragsbrottet utan någon möjlighet för densamma att stödja sig på någon presumtion.(17)

34.      Jag anser att kommissionen inte har uppfyllt den bevisbörda som åligger den. Den har varken bevisat att kontrollsystemet misslyckats eller att det föreligger någon fast praxis hos kontrollmyndigheterna som utgör missbruk av deras behörighet, vilket skulle medföra en störning i utövandet av de uppgifter som har anförtrotts tillsynsmyndigheterna inom området skydd av personuppgifter.

35.      Följaktligen kan inte den omständigheten att sådana tillsynsmyndigheter som de som är aktuella i förevarande mål står under statlig kontroll leda till slutsatsen att nämnda tillsynsmyndigheter inte utövar sina uppgifter fullständigt oberoende i enlighet med artikel 28.1 i direktiv 95/46.

36.      Kommissionen har inte kunnat styrka att den statliga kontrollen över tillsynsmyndigheterna inom området skydd av personuppgifter hindrar dessa myndigheter från att utöva sina uppgifter fullständigt oberoende. Kommissionens talan ska således ogillas.

 Rättegångskostnader

37.      Enligt artikel 69.2 första stycket i rättegångsreglerna ska tappande part förpliktas att ersätta rättegångskostnaderna, om detta har yrkats. Förbundsrepubliken Tyskland har yrkat att kommissionen ska förpliktas att ersätta rättegångskostnaderna. Eftersom kommissionen har tappat målet ska Förbundsrepubliken Tysklands yrkande bifallas.

 Förslag till avgörande

38.      Av ovan anförda skäl föreslår jag att domstolen meddelar följande dom:

1)         Talan ogillas.

2)         Europeiska gemenskapernas kommission ska ersätta rättegångskostnaderna.

3)         Europeiska datatillsynsmannen ska bära sina rättegångskostnader.

1 – Originalspråk: franska.

2 – Vad gäller den administrativa delen av förfarandet räcker det att konstatera att den har ägt rum i enlighet med artikel 226 EG och att det inte vid domstolen har åberopats något argument som ifrågasätter lagligheten av denna fas.

3 – EGT L 281, s. 31.

4 –      Även i andra gemenskapsrättsakter föreskrivs att sådana myndigheter ska finnas. Det rör sig exempelvis om artikel 41 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (EUT L 218, s. 60) och artikel 9 i Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, s. 54).

5 – Kommissionen har nämligen angett att det i staterna Bremen och Hamburg endast uttryckligen föreskrivs en kontroll avseende tjänster. Förbundsrepubliken Tyskland har emellertid preciserat att de nationella tillsynsmyndigheterna inom området skydd av personuppgifter inom den icke-offentliga sektorn i alla de tyska staterna, det vill säga inbegripet Bremen och Hamburg, omfattar inte bara kontroll avseende tjänster, utan även laglighetskontroll.

6 – Det rör sig, å ena sidan, om det ”klassiska” eller ”traditionella” koncept som grundar sig på den hierarkiska myndighetens utövande av den verkställande behörigheten och, å andra sidan, det koncept som grundar sig på decentraliseringen av myndigheten, vilken leder till skapandet av oberoende administrativa myndigheter.

7 – EUT L 218, s. 30.

8 – EUT L 53, s. 1.

9 – EGT L 108, s. 33.

10 – Den europeiska kodexen för god förvaltningssed finns tillgänglig på webbplatsen http://www.ombudsman.europa.eu/resources/code.faces.

11 – Se dom av den 10 juli 2003 i mål C‑11/00, kommissionen mot Europeiska centralbanken (REG 2003, s. I‑7147).

12 – Se dom av den 30 mars 2004 i mål C‑167/02, Rothley m.fl. mot Europaparlamentet (REG 2004, s. I‑3149).

13 – Se dom av den 26 juni 2007 i mål C‑305/05, Ordre des barreaux francophones et germanophone m.fl (REG 2007, s. I‑5305).

14 – Det rör sig om dom av den 17 september 1997 i mål C‑54/96, Dorsch Consult (REG 1997, s. I‑4961), punkt 35, och av den 31 maj 2005 i mål C‑53/03, Syfait m.fl. (REG 2005, s. I‑4609), punkt 31.

15 – Det rör sig närmare bestämt om föregående diskussioner inför gruppmötet ”ekonomiska frågor (skydd av uppgifter)” i september 1994.

16 – Dom av den 14 januari 1987 i mål 278/84, Tyskland mot kommissionen (REG 1987, s. 1), punkt 18.

17 – Se dom av den 11 januari 2007 i mål C‑183/05, kommissionen mot Irland (REG 2007, s. I‑137, punkt 39 och där angiven rättspraxis).