SCHLUSSANTRÄGE DES GENERALANWALTS
JÁN MAZÁK
vom 12. November 20091(1)
Rechtssache C‑518/07
Kommission der Europäischen Gemeinschaften
gegen
Bundesrepublik Deutschland
„Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Aufsicht des Staates über die nationalen Kontrollstellen – Wahrnehmung der Aufgaben in völliger Unabhängigkeit“
1. Mit ihrer Klage(2) beantragt die Kommission der Europäischen Gemeinschaften, festzustellen, dass die Bundesrepublik Deutschland gegen ihre Verpflichtung aus Art. 28 Abs. 1 Satz 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(3), die völlige Unabhängigkeit der Stellen für die Überwachung der Anwendung der Vorschriften zur Umsetzung der Richtlinie 95/46 (im Folgenden: Datenschutz-Kontrollstellen) zu gewährleisten, verstoßen hat, indem sie diese Stellen nach Landesrecht staatlicher Aufsicht unterstellt hat, soweit sie nichtöffentliche Stellen überwachen.
2. Ziel der Richtlinie 95/46 ist es, dass die Mitgliedstaaten den freien Verkehr personenbezogener Daten zwar erlauben, gleichzeitig aber den Schutz der Grundfreiheiten und der Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung dieser Daten gewährleisten. Mit der Richtlinie 95/46 soll mit anderen Worten ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten, der ein für das Funktionieren des Binnenmarkts wesentliches Element darstellt, einerseits und dem Schutz der Grundfreiheiten und der Grundrechte von natürlichen Personen andererseits hergestellt werden.
3. Die nationalen Stellen, die für die Kontrolle der Einhaltung der nationalen Vorschriften zur Umsetzung der Richtlinie 95/46 zuständig sind, tragen ebenfalls zur Verwirklichung dieses Ziels bei. Nach dem 62. Erwägungsgrund der Richtlinie 95/46 ist die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten. Daher bestimmt Art. 28 Abs. 1 der Richtlinie 95/46:
„Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“(4)
4. Der vorliegenden Klage liegen unterschiedliche Auffassungen der Kommission, die vom Europäischen Datenschutzbeauftragten unterstützt wird, und der Bundesrepublik Deutschland bezüglich der Auslegung des Ausdrucks „in völliger Unabhängigkeit“ zugrunde, der in Art. 28 Abs. 1 der Richtlinie 95/46 enthalten ist und sich auf die Wahrnehmung der Aufgaben der Datenschutz-Kontrollstellen bezieht.
5. Die Klage der Kommission beruht auf zwei Annahmen. Nach der ersten Annahme verlangt Art. 28 Abs. 1 der Richtlinie 95/46 von den Mitgliedstaaten, dass ihre Datenschutz-Kontrollstellen „völlig unabhängig“ sind. In ihrer Erwiderung hat die Kommission ausgeführt, es handele sich dabei nicht um eine institutionell-organisatorische, sondern um eine umfassende funktionale Unabhängigkeit, was bedeute, dass die Datenschutz-Kontrollstellen bei ihrer Aufgabenwahrnehmung von jeder externen Einflussnahme frei sein müssten.
6. Nach der zweiten Annahme kann die vom Staat im nichtöffentlichen Bereich über die Datenschutz-Kontrollstellen ausgeübte Aufsicht, die von der Bundesrepublik Deutschland, auch wenn sie die Ausführungen der Kommission zu den Arten einer solchen Aufsicht richtiggestellt hat(5), nicht bestritten wird, die völlige umfassende Unabhängigkeit dieser Kontrollstellen im von der Kommission dargelegten Sinne beeinträchtigen.
7. Die Verteidigung der Bundesrepublik Deutschland beruht auf einer anderen Auslegung des Ausdrucks „in völliger Unabhängigkeit“, der sich auf die Wahrnehmung der Aufgaben der Datenschutz-Kontrollstellen bezieht. Sie ist der Auffassung, dass dieser Ausdruck sich auf eine funktionale Unabhängigkeit dieser Behörden beziehe, was bedeute, dass lediglich im Verhältnis zu den kontrollierten Einrichtungen eine organisatorisch-institutionelle Unabhängigkeit bestehen müsse. In ihrer Gegenerwiderung hat sie hinzugefügt, dass die vom Staat ausgeübte Aufsicht keine externe Einflussnahme darstelle, da die Aufsichtsbehörden keine externen Stellen, sondern verwaltungsinterne Kontrollorgane seien.
8. Auch wenn vermutet werden darf, dass es bei der Klage im Grunde um zwei miteinander kollidierende Auffassungen von der Ausübung der exekutiven Befugnisse innerhalb eines Staates geht(6), werde ich versuchen, zu einer Lösung zu gelangen, indem ich zunächst die Bedeutung des Ausdrucks „Wahrnehmung der Aufgaben in völliger Unabhängigkeit“ klären und dann der Frage nachgehen werde, ob die Datenschutz-Kontrollstellen, die einer staatlichen Aufsicht in der von der Kommission beschriebenen Art unterliegen, ihre Aufgaben tatsächlich in völliger Unabhängigkeit wahrnehmen können.
Wahrnehmung der Aufgaben in völliger Unabhängigkeit im Sinne des Art. 28 Abs. 1 der Richtlinie 95/46
9. Nach Durchsicht der Gemeinschaftsregelung und der Rechtsprechung des Gerichtshofs lässt sich die Feststellung treffen, dass der Begriff „unabhängig“ häufig verwendet wird, und zwar nicht nur in Bezug auf Behörden, sondern auch bezüglich bestimmter Personengruppen, die bei der Wahrnehmung ihrer Aufgaben in einem gesellschaftlichen System oder Teilsystem unabhängig sein müssen.
10. Als Beispiel kann Art. 19 Abs. 4 der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates(7) angeführt werden, wonach die Marktüberwachungsbehörden ihren Verpflichtungen unabhängig nachkommen, oder Art. 16 Abs. 1 der Verordnung (EG) Nr. 168/2007 des Rates vom 15. Februar 2007 zur Errichtung einer Agentur der Europäischen Union für Grundrechte(8), wonach die Agentur ihre Aufgaben in völliger Unabhängigkeit wahrnimmt oder schließlich Art. 3 Abs. 2 der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste(9), wonach die Mitgliedstaaten die Unabhängigkeit der nationalen Regulierungsbehörden gewährleisten.
11. Der Begriff „Unabhängigkeit“ taucht auch im Bereich des soft law auf. Zu nennen ist Art. 8 Abs. 1 des vom Europäischen Parlament am 6. September 2001 angenommenen Europäischen Kodex für gute Verwaltungspraxis(10), wonach der Beamte unparteiisch und unabhängig handelt.
12. Ebenso hatte der Gerichtshof bereits Gelegenheit, die Unabhängigkeit in Bezug auf die Europäische Zentralbank(11), die Mitglieder des Europäischen Parlaments(12) oder die Rechtsanwälte(13) zu untersuchen.
13. Trotz der häufigen Verwendung des Begriffs „Unabhängigkeit“ ist es nicht einfach, seine Bedeutung zu bestimmen. Da die Unabhängigkeit traditionell mit der rechtsprechenden Gewalt in Verbindung gebracht wird, gibt es einige Anhaltspunkte aus dem Bereich der richterlichen Unabhängigkeit. Der Europäische Datenschutzbeauftragte hat in seinem Streithilfeschriftsatz ebenfalls vorgeschlagen, die Kriterien für die Beurteilung, ob eine Instanz als unabhängig angesehen werden kann, der Rechtsprechung des Gerichtshofs zur Unabhängigkeit der Gerichte zu entnehmen.(14)
14. Meines Erachtens sind diese Kriterien auf den vorliegenden Fall nicht anwendbar, da der Gerichtshof sie festgelegt hat, um Gerichte gegenüber anderen Arten der Staatsgewalt abzugrenzen. Im vorliegenden Fall geht es um Kontrollstellen, und niemand bestreitet, dass es sich dabei um Verwaltungsstrukturen handelt und diese Stellen daher der Sphäre der Exekutive angehören. Folglich ist das Erfordernis der völligen Unabhängigkeit bei der Wahrnehmung ihrer Aufgaben nur im Rahmen der Exekutive, und nicht im Verhältnis zu anderen Arten der Staatsgewalt einzugrenzen.
15. In diesem Zusammenhang ist festzustellen, dass Art. 28 Abs. 1 der Richtlinie 95/46 die Mitgliedstaaten nicht verpflichtet, Behörden zu errichten, die vom hierarchisch organisierten Verwaltungssystem getrennt sind. Allerdings hindert sie auch nichts daran. Da die Mitgliedstaaten nach Art. 28 Abs. 1 der Richtlinie 95/46 gewährleisten müssen, dass die Kontrollstellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen, nicht aber, dass sie selbst unabhängig sind, bleibt den Mitgliedstaaten ein Ermessensspielraum bei der Entscheidung, auf welche Weise sie dieser Verpflichtung nachkommen.
16. Man darf auch nicht die Relativität des Begriffs „Unabhängigkeit“ aus den Augen verlieren, da bestimmt werden muss, gegenüber wem und in welchem Maß diese Unabhängigkeit gegeben sein muss.
17. Zwar könnte man auf den ersten Blick meinen, dass diese Relativität beseitigt worden ist, weil dem Begriff „Unabhängigkeit“ die Wörter „in völliger“ hinzugefügt worden sind. Diese Schlussfolgerung ist meines Erachtens jedoch unzutreffend. Träfe sie zu, würde dies bedeuten, dass Art. 28 Abs. 1 der Richtlinie 95/46, wonach die Datenschutz-Kontrollstellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen, eine Unabhängigkeit in jeder erdenklichen Hinsicht verlangt, d. h. eine Unabhängigkeit u. a. in institutioneller und organisatorischer Hinsicht, im Hinblick auf Haushalt und Finanzen, in funktionaler Hinsicht, in Bezug auf Entscheidungen und in persönlicher Hinsicht.
18. Ich bin der Auffassung, dass Art. 28 Abs. 1 der Richtlinie 95/46 nicht auf diese Weise ausgelegt werden kann und dass die vorgeschriebene Unabhängigkeit trotz des Ausdrucks „in völliger Unabhängigkeit“ relativ bleibt und näher zu bestimmen ist.
19. Bei dieser näheren Bestimmung, bei der zugleich der Inhalt des Erfordernisses der „Wahrnehmung der Aufgaben in völliger Unabhängigkeit“ ermittelt wird, ist meines Erachtens vom Zweck auszugehen, zu dem die Datenschutz-Kontrollstellen geschaffen wurden.
20. In diesem Zusammenhang ist darauf hinzuweisen, dass dieser Zweck eng mit dem Hauptzweck der Richtlinie 95/46 selbst zusammenhängt. Folglich sind die Kontrollstellen eines der Mittel zur Verwirklichung der mit der Richtlinie 95/46 angestrebten Ziele, so dass die Unabhängigkeit der Kontrollstellen bei der Wahrnehmung ihrer Aufgaben diesen ermöglichen muss, zur Herstellung des Gleichgewichts zwischen dem freien Verkehr personenbezogener Daten einerseits und dem Schutz der Grundfreiheiten und der Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, andererseits beizutragen.
21. Wie unabhängig die Datenschutz-Kontrollstellen sein müssen, um ihre Aufgaben wirksam wahrnehmen zu können, hängt von dem in diesem Sinne verstandenen Zweck ihrer Existenz ab.
22. Was die Frage betrifft, wem gegenüber die Unabhängigkeit gewährleistet sein muss, damit die Datenschutz-Kontrollstellen die ihnen zugewiesenen Aufgaben wirksam wahrnehmen können, teile ich nicht die Auffassung der Bundesrepublik Deutschland, dass diese Stellen lediglich von den kontrollierten Einrichtungen unabhängig sein müssten.
23. Meines Erachtens müssen die Datenschutz-Kontrollstellen auch von anderen Exekutivorganen, in die sie eingegliedert sind, in einem Maß unabhängig sein, dass eine wirksame Wahrnehmung ihrer Aufgaben gewährleistet ist.
24. Es erscheint schwierig und unter den gegebenen Umständen auch wenig hilfreich, alle Elemente zu bestimmen, die notwendig sind, um zu gewährleisten, dass die öffentlichen Stellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen. Für die Entscheidung über die Klage der Kommission sollte besser eine negative Methode angewandt werden.
25. Daher stellt sich die Frage, ob die staatliche Aufsicht mit dem Maß an Unabhängigkeit zu vereinbaren ist, das die Wahrnehmung der Aufgaben der Datenschutz-Kontrollstellen verlangt.
Vereinbarkeit der staatlichen Aufsicht mit dem Erfordernis der völligen Unabhängigkeit der Datenschutz-Kontrollstellen bei der Wahrnehmung ihrer Aufgaben
26. Sowohl die Bundesrepublik Deutschland als auch die Kommission räumen ein, dass der Wortlaut des Art. 28 Abs. 1 Satz 2 der Richtlinie 95/46 auf einem Kompromiss beruht. Gleichwohl stützen sich beide Parteien auf dessen Wortlaut für ihre Argumentation bezüglich der Frage, wie weit die völlige Unabhängigkeit der Datenschutz-Kontrollstellen bei der Wahrnehmung ihrer Aufgaben reicht.
27. Was das Argument der Bundesrepublik Deutschland betrifft, der Vertreter der Klägerin habe in den Beratungen, die dem Erlass der Richtlinie vorausgegangen seien(15), die von der Bundesrepublik Deutschland vertretene Auslegung des Art. 28 Abs. 1 der Richtlinie 95/46 bestätigt, genügt ein Hinweis auf das Urteil vom 14. Januar 1987, Deutschland/Kommission(16), in dem der Gerichtshof entschieden hat, dass eine Bestimmung des Gemeinschaftsrechts nicht im Licht von Verhandlungen zwischen einem Mitgliedstaat und einem Gemeinschaftsorgan ausgelegt werden kann. Der Austausch zwischen einem Mitgliedstaat und dem Vertreter eines Gemeinschaftsorgans, das einen Vorschlag für einen Gemeinschaftsrechtsakt verfasst hat, kann erst recht keine Grundlage für die Auslegung einer Bestimmung des Gemeinschaftsrechts sein.
28. Im vorliegenden Fall handelt es sich um eine Stelle, die institutionell nicht unabhängig ist und daher in ein bestimmtes System, hier in das der Exekutive, eingegliedert ist. In einem derartigen Fall besteht tatsächlich eine Spannung zwischen der Unabhängigkeit der Stelle und ihrer Verantwortlichkeit. Meines Erachtens könnte in dieser Situation die Aufsicht eine Lösung sein.
29. Unabhängigkeit bedeutet nicht, dass nicht kontrolliert werden kann. Meines Erachtens stellt die staatliche Aufsicht ein Mittel der Kontrolle dar.
30. Um die Frage zu beantworten, ob die staatliche Aufsicht mit dem Erfordernis der völligen Unabhängigkeit der Datenschutz‑Kontrollstellen bei der Wahrnehmung ihrer Aufgaben vereinbar ist, ist es wichtig, das mit einer solchen Aufsicht verfolgte Ziel zu berücksichtigen. Die Kommission hat die Aufsicht so dargestellt, dass damit überprüft werden soll, ob die von den Kontrollstellen ausgeübte Kontrolle zweckmäßig, rechtmäßig und verhältnismäßig ist. Unter diesem Blickwinkel scheint mir die staatliche Aufsicht zum Funktionieren des Systems der Überwachung der Anwendung der Bestimmungen, die zur Umsetzung der Richtlinie 95/46 erlassen wurden, beizutragen. Sollte sich nämlich herausstellen, dass die Kontrollstellen nicht zweckmäßig, rechtmäßig und verhältnismäßig handeln, wäre der Schutz der natürlichen Personen und damit die Verwirklichung des mit der Richtlinie 95/46 angestrebten Ziels gefährdet.
31. Den Akten ist nichts zu entnehmen, was die Verwirklichung des mit der Aufsicht verfolgten Ziels beeinträchtigen könnte. Darüber hinaus liegen keine Anzeichen dafür vor, dass die Aufsicht in einer Weise ausgeübt wird, die dazu führen kann, dass die Kontrollstellen ihre Aufgaben nicht in völliger Unabhängigkeit wahrnehmen. Die Kommission kann sich in dieser Hinsicht nicht auf Behauptungen beschränken. Sie muss derartige Auswirkungen der Aufsicht nachweisen.
32. Die Kommission hat keine negativen Auswirkungen der Aufsicht auf die Unabhängigkeit der Kontrollstellen bei der Wahrnehmung ihrer Aufgaben nachgewiesen. Sie meint, schon das Bestehen einer staatlichen Aufsicht rechtfertige den Schluss, dass die Datenschutz‑Kontrollstellen ihre Aufgaben nicht in völliger Unabhängigkeit wahrnähmen. Daraus ergibt sich, dass die Kommission bloß vermutet, dass die Aufsicht zu einer Beeinträchtigung der völligen Unabhängigkeit der Kontrollstellen bei der Wahrnehmung der ihnen zugewiesenen Aufgaben führt.
33. Nach der Rechtsprechung des Gerichtshofs hat die Kommission im Rahmen eines Vertragsverletzungsverfahrens gemäß Art. 226 EG die behauptete Vertragsverletzung nachzuweisen, ohne dass sie sich hierfür auf Vermutungen gleich welcher Art stützen könnte.(17)
34. Meines Erachtens hat die Kommission ihrer Beweislast nicht genügt. Sie hat weder das Versagen des Aufsichtssystems noch eine ständige Praxis der Aufsichtsbehörden nachgewiesen, die einen Missbrauch ihrer Befugnisse darstellt und dazu führt, dass die Datenschutz-Kontrollstellen die ihnen zugewiesenen Aufgaben nicht in völliger Unabhängigkeit wahrnehmen.
35. Folglich kann die bloße Tatsache, dass Kontrollstellen wie die hier in Rede stehenden einer staatlichen Aufsicht unterliegen, nicht die Schlussfolgerung begründen, dass diese Kontrollstellen ihre Aufgaben nicht in völliger Unabhängigkeit gemäß Art. 28 Abs. 1 der Richtlinie 95/46 wahrnehmen.
36. Die Kommission hat nicht nachgewiesen, dass die Aufsicht über die Datenschutz-Kontrollstellen diese daran hindert, ihre Aufgaben in völliger Unabhängigkeit wahrzunehmen. Daher ist ihre Klage abzuweisen.
Kosten
37. Nach Art. 69 § 2 Abs. 1 der Verfahrensordnung ist die unterliegende Partei auf Antrag zur Tragung der Kosten zu verurteilen. Da die Bundesrepublik Deutschland die Verurteilung der Kommission beantragt hat und diese mit ihrem Vorbringen unterlegen ist, sind der Kommission meines Erachtens die Kosten aufzuerlegen.
Ergebnis
38. Nach alledem schlage ich dem Gerichtshof vor, wie folgt zu entscheiden:
1. Die Klage wird abgewiesen.
2. Die Kommission der Europäischen Gemeinschaften trägt die Kosten.
3. Der Europäische Datenschutzbeauftragte trägt seine eigenen Kosten.