Language of document : ECLI:EU:C:2010:125

DOMSTOLENS DOM (Store Afdeling)

9. marts 2010 (*)

»Traktatbrud – direktiv 95/46/EF – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger – artikel 28, stk. 1 – nationale tilsynsmyndigheder – uafhængighed – administrativt tilsyn, som udøves over for disse myndigheder«

I sag C-518/07,

angående et traktatbrudssøgsmål i henhold til artikel 226 EF, anlagt den 22. november 2007,

Europa-Kommissionen ved C. Docksey, C. Ladenburger og H. Krämer, som befuldmægtigede, og med valgt adresse i Luxembourg,

sagsøger,

støttet af:

Den Europæiske Tilsynsførende for Databeskyttelse ved H. Hijmans og A. Scirocco, som befuldmægtigede, og med valgt adresse i Luxembourg,

intervenient,

mod

Forbundsrepublikken Tyskland ved M. Lumma og J. Möller, som befuldmægtigede, og med valgt adresse i Luxembourg,

sagsøgt,

har

DOMSTOLEN (Store Afdeling)

sammensat af præsidenten, V. Skouris, afdelingsformændene A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot og E. Levits samt dommerne A. Rosas, K. Schiemann (refererende dommer), J.-J. Kasel, M. Safjan og D. Šváby,

generaladvokat: J. Mazák

justitssekretær: R. Grass,

på grundlag af den skriftlige forhandling,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 12. november 2009,

afsagt følgende

Dom

1        Med sin stævning har Kommissionen for De Europæiske Fællesskaber nedlagt påstand om, at det fastslås, at Forbundsrepublikken Tyskland har tilsidesat sine forpligtelser i henhold til artikel 28, stk. 1, andet afsnit, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31) ved at underlægge de nationale tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger uden for den offentlige sektor i de forskellige delstater, et statsligt tilsyn og således foretage en ukorrekt gennemførelse af kravet om »fuld uafhængighed« for de myndigheder, der skal sikre beskyttelsen af disse oplysninger.

 Retsforskrifter

 Fællesskabsbestemmelser

2        Direktiv 95/46 er blevet vedtaget med hjemmel i EF-traktatens artikel 100 A (efter ændring nu artikel 95 EF) og har til formål at harmonisere medlemsstaternes nationale lovgivninger om behandling af personoplysninger.

3        Betragtning 3, 7, 8, 10 og 62 til direktiv 95/46 er affattet således:

»(3)      Det indre markeds oprettelse og funktion, som i henhold til traktatens artikel 7 A (efter ændring nu artikel 14 EF) indebærer fri bevægelighed for varer, personer, tjenesteydelser og kapital, forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes.

[…]

(7)      Forskellen i den beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre, at oplysninger af denne art videregives fra én medlemsstats område til en anden medlemsstats område; denne forskel kan derved udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på fællesskabsplan, virke konkurrencefordrejende og hindre de nationale myndigheder i at udføre de opgaver, som påhviler dem i henhold til fællesskabsretten; denne forskel i beskyttelsesniveauet hidrører fra forskellene i de nationale love og administrative bestemmelser.

(8)      For at hindringerne for udveksling af personoplysninger kan fjernes, skal beskyttelsen af det enkelte menneskes rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstaterne; denne målsætning er af grundlæggende betydning for det indre marked, men kan ikke realiseres af medlemsstaterne alene, navnlig på grund af omfanget af de nuværende forskelle mellem de nationale love på området, og fordi det er nødvendigt at samordne medlemsstaternes lovgivninger, så udveksling af personoplysninger på tværs af landegrænserne underlægges et samlet regelsæt, der er i overensstemmelse med målsætningen om det indre marked som fastsat i traktatens artikel 7 A; det er derfor nødvendigt, at Fællesskabet tager skridt til at gennemføre en indbyrdes tilnærmelse af lovgivningerne.

[…]

(10)      Medlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder [undertegnet i Rom den 4. november 1950] og i fællesskabsrettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet.

[…]

(62)      Oprettelsen af en uafhængig tilsynsmyndighed i hver medlemsstat har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.«

4        Artikel 1 i direktiv 95/46 med overskriften »Direktivets formål« har følgende ordlyd:

»1.      Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

2.      Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.«

5        I artikel 28 i direktiv 95/46 med overskriften »Tilsynsmyndighed« er fastsat:

»1.      Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

2.      Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.

3.      Hver tilsynsmyndighed skal bl.a. kunne:

–        iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

–        gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

–        indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

4.      Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.

Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol.

5.      Hver tilsynsmyndighed udarbejder med regelmæssige mellemrum en rapport om sin virksomhed. Denne rapport offentliggøres.

6.      Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.

7.      Medlemsstaterne fastsætter bestemmelser i deres lovgivning om, at tilsynsmyndighedernes medlemmer og ansatte også efter deres aktiviteters ophør har tavshedspligt for så vidt angår de fortrolige oplysninger, de har adgang til.«

6        Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT 2001 L 8, s. 1) er vedtaget med hjemmel i artikel 286 EF. I denne forordnings artikel 44, stk. 1 og 2, er fastsat:

»1.      Den [E]uropæiske [T]ilsynsførende for [D]atabeskyttelse [herefter »EDPS«] udfører sit hverv i fuld uafhængighed.

2.      EDPS må ved udøvelsen af sine pligter hverken søge eller modtage instrukser fra andre.«

 Nationale bestemmelser

7        Den tyske lovgivning opererer med en sondring på området for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger alt efter, om denne behandling bliver udført af offentlige organer eller ej.

8        Det er således forskellige myndigheder, som har til opgave at føre tilsyn med, at offentlige organer på den ene side og ikke-offentlige organer og offentligretlige virksomheder, der deltager i konkurrencen på markedet (öffentlich-rechtliche Wettbewerbsunternehmen) (herefter samlet den »ikke-offentlige sektor«), på den anden side overholder bestemmelserne på området.

9        Offentlige organers behandling af personoplysninger overvåges på forbundsplan af »Bundesbeauftragter für den Datenschutz und die Informationsfreiheit« (Forbundsstatens tilsyn med databeskyttelse og informationsfrihed) og på delstatsplan af »Landesdatenschutzbeauftragte« (Datatilsynet i delstaterne). Alle disse tilsyn er alene ansvarlige over for deres respektive parlamenter og er normalt ikke underlagt tilsyn, instruks eller anden påvirkning fra offentlige organer, der er under deres kontrol.

10      Strukturen for de myndigheder, der har til opgave at påse den ikke-offentlige sektors behandling af personoplysninger, varierer derimod fra den ene delstat til den anden. Delstatslovgivningerne har imidlertid det fællestræk, at de udtrykkeligt underlægger disse tilsynsmyndigheder et statsligt tilsyn.

 Den administrative procedure og retsforhandlingerne ved Domstolen

11      Da Kommissionen fandt, at det var uforeneligt med artikel 28, stk. 1, andet afsnit, i direktiv 95/46 at underlægge myndigheder, der har til opgave at påse overholdelsen af bestemmelserne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger i den ikke-offentlige sektor, et statsligt tilsyn, således som det er tilfældet i alle de tyske delstater, tilstillede den den 5. juli 2005 Forbundsrepublikken Tyskland en åbningsskrivelse. Sidstnævnte svarede ved skrivelse af 12. september 2005 og hævdede, at det tyske tilsynssystem på området er i overensstemmelse med kravene i det nævnte direktiv. Ved skrivelse af 12. december 2006 sendte Kommissionen en begrundet udtalelse til Forbundsrepublikken Tyskland, hvori den gentog det tidligere formulerede klagepunkt. Ved svar af 14. februar 2007 fastholdt Forbundsrepublikken Tyskland sit oprindelige synspunkt.

12      Det er på denne baggrund, at Kommissionen har besluttet at anlægge den foreliggende sag.

13      Ved kendelse af 14. oktober 2008 har Domstolens præsident givet EDPS tilladelse til at intervenere i den foreliggende sag til støtte for Kommissionens påstande.

 Om søgsmålet

 Parternes argumenter

14      Det foreliggende søgsmål vedrører de to forskellige opfattelser, som Kommissionen, støttet af EDPS, og Forbundsrepublikken Tyskland har af udtrykket »i fuld uafhængighed« i artikel 28, stk. 1, andet afsnit, i direktiv 95/46 og af tilsynsmyndighedernes udøvelse af deres funktioner på området for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

15      Ifølge Kommissionen og EDPS, der støtter sig på en bred fortolkning af udtrykket »i fuld uafhængighed«, skal kravet om, at tilsynsmyndighedernes skal udøve deres funktioner »i fuld uafhængighed«, fortolkes således, at en tilsynsmyndighed skal være unddraget enhver påvirkning, det være sig fra andre myndigheder eller fra organer uden for administrationen. Det statslige tilsyn, som tilsynsmyndighederne for overholdelsen af reglerne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger i den ikke-offentlige sektor er underlagt i Tyskland, udgør derfor en tilsidesættelse af det nævnte krav.

16      Forbundsrepublikken Tyskland forfægter en mere snæver fortolkning af udtrykket »i fuld uafhængighed« og gør gældende, at artikel 28, stk. 1, andet afsnit, i direktiv 95/46 kræver en funktionel uafhængighed for tilsynsmyndighederne i den forstand, at disse myndigheder skal være uafhængige af den ikke-offentlige sektor, der er underlagt deres kontrol, og at de ikke skal udsættes fra ydre påvirkning. Ifølge Forbundsrepublikken Tyskland udgør det statslige tilsyn, der bliver udøvet i de tyske delstater, imidlertid ikke en sådan udefra kommende påvirkning, men en intern overvågningsmekanisme af administrationen, der gennemføres af myndigheder, der henhører under det samme administrative apparat som tilsynsmyndighederne, og som ligesom sidstnævnte er forpligtet til at opfylde formålene med direktiv 95/46.

 Domstolens bemærkninger

 Rækkevidden af kravet om fuld uafhængighed for tilsynsmyndighederne

17      Bedømmelsen af, om søgsmålet skal tages til følge, afhænger af rækkevidden af kravet om fuld uafhængighed i artikel 28, stk. 1, andet afsnit, i direktiv 95/46 og dermed af fortolkningen af denne bestemmelse. I den forbindelse må der tages hensyn til den nævnte bestemmelses ordlyd samt formålet med og opbygningen af direktiv 95/46.

18      Hvad for det første angår ordlyden af artikel 28, stk. 1, andet afsnit, i direktiv 95/46 bemærkes, at da udtrykket »i fuld uafhængighed« ikke er defineret i direktiv 95/46, må der tages hensyn til dets almindelige betydning. I relation til offentlige organer betegner udtrykket »uafhængighed« normalt en status, der sikrer, at det pågældende organ kan handle helt frit uden nogen form for instruks eller pression.

19      I modsætning til hvad Forbundsrepublikken Tyskland har gjort gældende, er der intet, der tyder på, at kravet om fuld uafhængighed udelukkende vedrører forholdet mellem tilsynsmyndighederne og de organer, der er underlagt deres tilsyn. Begrebet »uafhængighed« forstærkes derimod af adjektivet »fuld«, hvilket indebærer en beslutningsbeføjelse for tilsynsmyndigheden, der er unddraget enhver ydre påvirkning, hvad enten denne er direkte eller indirekte.

20      Hvad for det andet angår formålet med direktiv 95/46 fremgår det navnlig af dettes betragtning 3, 7 og 8, at direktivet ved at harmonisere de nationale bestemmelser til beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger som dets hovedformål skal sikre den frie bevægelighed for sådanne oplysninger mellem medlemsstaterne (jf. i denne retning dom af 20.5.2003, forenede sager C-465/00, C-138/01 og C-139/01, Österreichischer Rundfunk m.fl., Sml. I, s. 4989, præmis 39 og 70), som er nødvendig for oprettelsen af det indre marked og dets funktion som omhandlet i artikel 14, stk. 2, EF.

21      Den frie bevægelighed for personoplysninger er imidlertid potentielt krænkende for retten til privatlivets fred, som bl.a. anerkendes i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (jf. i denne retning Den Europæiske Menneskerettighedsdomstols dom af 16.2.2000, Amann mod Schweiz, Report of Judgements and Decisions 2000-II, præmis 69 og 80, og af 4.5.2000, Rotaru mod Rumænien, Report of Judgements and Decisions 2000-V, præmis 43 og 64) og efter almindelige fællesskabsretlige grundsætninger.

22      Af denne grund har direktiv 95/46, således som det fremgår især af direktivets betragtning 10 og artikel 1, også til formål ikke at mindske det beskyttelsesniveau, som de gældende nationale regler sikrer, men derimod at sikre et højt beskyttelsesniveau for frihedsrettigheder og grundlæggende rettigheder i Fællesskabet med hensyn til behandlingen af personoplysninger (jf. i denne retning dommen i sagen Österreichischer Rundfunk m.fl., præmis 70, og dom af 16.12.2008, sag C-73/07, Satakunnan Markkinapörssi og Satamedia, Sml. I, s. 9831, præmis 52).

23      Tilsynsmyndighederne, der er omhandlet i artikel 28 i direktiv 95/46, er således de grundlæggende rettigheder og frihedsrettigheders vogter, og, som det er anført i betragtning 62 til dette direktiv, har oprettelsen af en tilsynsmyndighed i hver medlemsstat afgørende betydning for beskyttelsen af personer i forbindelse med behandling af personoplysninger.

24      For at sikre denne beskyttelse skal tilsynsmyndighederne sikre en ligevægt mellem på den ene side overholdelsen af den grundlæggende ret til privatlivets fred og på den andens side de hensyn, der styrer den frie udveksling af personoplysninger. I henhold til artikel 28, stk. 6, i direktiv 95/46 kan de forskellige nationale myndigheder desuden blive anmodet om at samarbejde med hinanden og i givet fald om at udøve deres beføjelser på anmodning af en myndighed i en anden medlemsstat.

25      Tilsynsmyndighedernes uafhængighed har til formål at sikre et effektivt og pålideligt tilsyn med overholdelsen af reglerne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og skal fortolkes i lyset af dette formål. Tilsynsmyndighedernes uafhængighed er ikke etableret med henblik på at give disse myndigheder og deres ansatte en særlig status, men med henblik på at styrke beskyttelsen af personer og organer, der måtte blive berørt af deres afgørelser. Det følger heraf, at når tilsynsmyndighederne udøver deres funktioner, skal de handle objektivt og upartisk. De skal derfor beskyttes imod enhver form for ydre påvirkning, herunder direkte eller indirekte påvirkning fra staten eller delstaterne, og ikke blot imod påvirkning fra de kontrollerede organer.

26      Hvad for det tredje angår opbygningen af direktiv 95/46 bemærkes, at dette direktiv skal betragtes som en pendant til artikel 285 EF og forordning nr. 45/2001. Sidstnævnte vedrører fællesskabsinstitutionerne og fællesskabsorganernes behandling af personoplysninger og den frie udveksling af sådanne oplysninger. Det nævnte direktiv forfølger samme formål, men vedrører behandlingen af personoplysninger i medlemsstaterne.

27      På samme måde, som der findes tilsynsmyndigheder på nationalt plan, er der også på fællesskabsplan oprettet en tilsynsmyndighed, der har til opgave at påse overholdelsen af reglerne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, nemlig EDPS. I henhold til artikel 44, stk. 1, i forordning nr. 45/2001 udøver dette organ sine funktioner i fuld uafhængighed. Artikel 44, stk. 2, uddyber dette uafhængighedsbegreb og tilføjer, at EDPS ved udøvelsen af sine pligter hverken må søge eller modtage instrukser fra andre.

28      I betragtning af, at artikel 44 i forordning nr. 45/2001 og artikel 28 i direktiv 95/46 er baseret på det samme generelle koncept, skal de to bestemmelser fortolkes ensartet, således at ikke alene EDPS’ uafhængighed, men også de nationale myndigheders uafhængighed forudsætter, at udøvelsen af deres funktioner ikke er underlagt nogen instrukser.

29      Med henvisning til ordlyden i artikel 28, stk. 1, andet afsnit, i direktiv 95/46 og til formålet med og opbygningen af dette direktiv er det muligt at nå til en entydig fortolkning af den nævnte artikel 28, stk. 1, andet afsnit. Det er derfor ikke nødvendigt at tage hensyn til det nævnte direktivs tilblivelse eller tage stilling til de modstridende indlæg, der er fremsat i den henseende af Kommissionen og Forbundsrepublikken Tyskland.

30      Under hensyn til det ovenstående skal artikel 28, stk. 1, andet afsnit, i direktiv 95/46 fortolkes således, at de tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger uden for den offentlige sektor, skal være uafhængige, således at de har mulighed for at udøve deres funktioner uden ydre påvirkning. Denne uafhængighed udelukker ikke alene enhver påvirkning, der bliver udøvet af de kontrollerede organer, men også ethvert påbud og enhver anden ydre påvirkning – hvad enten denne er direkte eller indirekte – der kan skabe tvivl om udførelsen af de nævnte myndigheders opgave, der består i at skabe en ligevægt mellem beskyttelsen af retten til privatlivets fred og den frie udveksling af personoplysninger.

 Det statslige tilsyn

31      Det må herefter undersøges, om det statslige tilsyn, som tilsynsmyndighederne for behandling af personoplysninger i den ikke-offentlige sektor er underlagt i Tyskland, er i overensstemmelse med kravet om uafhængighed som fortolket ovenfor.

32      I den forbindelse må det fastslås, at det statslige tilsyn uanset dets art i princippet giver mulighed for, at den pågældende delstats regering eller et administrativt organ, der er underlagt denne regering, kan øve direkte eller indirekte indflydelse på tilsynsmyndighedernes beslutninger eller i givet fald annullere og erstatte disse beslutninger.

33      Som Forbundsrepublikken Tyskland har gjort gældende, bør det på forhånd anerkendes, at det statslige tilsyn kun har til formål at sikre, at tilsynsmyndighedernes handlinger er forenelige med de gældende nationale og fællesskabsretlige bestemmelser, og det har således ikke til formål at forpligte de nævnte myndigheder til at forfølge politiske mål, som er i strid med beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og med de grundlæggende rettigheder.

34      Det kan imidlertid ikke udelukkes, at tilsynsmyndighederne, der indgår i den almindelige forvaltning, og som derfor er underlagt regeringen i deres respektive delstater, ikke er i stand til at handle på en objektiv måde, når de fortolker og anvender bestemmelserne om behandling af personoplysninger.

35      Som EDPS således har påpeget i sine bemærkninger, kan den pågældende delstats regering have interesse i ikke at overholde bestemmelserne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, når der er tale om et ikke-offentligt organs behandling af sådanne oplysninger. Denne regering kan selv være berørt af denne behandling, hvis den deltager heri eller ville kunne deltage heri, f.eks. i tilfælde af offentlig-private partnerskaber eller i forbindelse med offentlige kontrakter med den private sektor. Denne regering kan også have en særlig interesse, hvis det er nødvendigt eller endog blot nyttigt for den at få adgang til databaser for at udføre sine opgaver bl.a. med skattemæssige formål eller retshåndhævelsesformål for øje. Selv samme regering kan i øvrigt også være tilbøjelig til at foretrække at fremme økonomiske interesser, når virksomheder, der i økonomisk henseende er vigtige for delstaten eller regionen, anvender de nævnte bestemmelser.

36      Desuden bemærkes, at foreligger der blot en risiko for, at det statslige tilsyn kan øve politisk indflydelse på tilsynsmyndighedernes beslutninger, er dette tilstrækkeligt til at hindre, at sidstnævnte kan udøve deres opgaver uafhængigt. Som Kommissionen har bemærket, kan det for det første medføre en »forudgående lydighed« fra disse myndigheders side over for det statslige tilsyns beslutningspraksis. For det andet kræver den rolle som vogter af retten til privatlivets fred, som tilsynsmyndighederne har påtaget sig, at deres beslutninger og således myndighederne selv står uden for enhver mistanke om partiskhed.

37      På grundlag af det ovenfor anførte skal det fastslås, at det statslige tilsyn, som de tyske tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger i den ikke-offentlige sektor, er underlagt, ikke er foreneligt med kravet om uafhængighed som beskrevet i denne doms præmis 30.

 Principperne i fællesskabsretten, som Forbundsrepublikken Tyskland påberåber sig

38      Forbundsrepublikken Tyskland har gjort gældende, at det strider mod forskellige principper i fællesskabsretten at fortolke kravet om uafhængighed i artikel 28, stk. 1, andet afsnit, i direktiv 95/46, således at denne medlemsstat tvinges til at ophæve sit afprøvede og effektive tilsyn over for tilsynsmyndighederne for så vidt angår behandlingen af personoplysninger på det ikke-offentlige område.

39      For det første er det den nævnte medlemsstats opfattelse, at især princippet om demokrati er til hinder for en bred fortolkning af kravet om uafhængighed.

40      Dette princip, som er hjemlet ikke alene i den tyske forfatning, men også i artikel 6, stk. 1, EU, kræver, at administrationen underkaster sig instrukser fra regeringen, der er ansvarlig over for sit parlament. Indgreb i erhvervslivets eller borgernes rettigheder skal således være underlagt et legalitetstilsyn udført af det ansvarlige ministerium. Da tilsynsmyndighederne på området for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger råder over visse beføjelser til at gribe ind over for borgere og den ikke-offentlige sektor i henhold til artikel 28, stk. 3, i direktiv 95/46, er en udvidet kontrol med lovligheden af deres aktiviteter ved hjælp af regler om legalitetskontrol eller materiel kontrol absolut nødvendig.

41      I den forbindelse bemærkes, at princippet om demokrati henhører under fællesskabsretten og er udtrykkeligt hjemlet i artikel 6, stk. 1, EU som et af de grundlæggende principper for Den Europæiske Union. Da der er tale om et princip, der er fælles for medlemsstaterne, skal der tages hensyn til dette ved fortolkningen af en afledt retsakt som artikel 28 i direktiv 95/46.

42      Dette princip er ikke til hinder for offentlige myndigheder, der er placeret uden for en klassisk hierarkisk administration, og som er mere eller mindre uafhængige af regeringen. Tilstedeværelsen af og funktionsbetingelserne for sådanne myndigheder er omfattet af lovgivningen i medlemsstaterne, eller endog i visse medlemsstater af forfatningen og underlagt de kompetente retsinstansers kontrol. Sådanne uafhængige administrative myndigheder, som i øvrigt allerede findes i det tyske retssystem, har ofte en regulerende funktion eller udøver funktioner, som skal være unddraget enhver politisk påvirkning, mens de forbliver underlagt loven og de kompetente retsinstansers kontrol. Dette er netop tilfældet for tilsynsmyndighedernes funktioner på området for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

43      Disse myndigheder kan ganske vist ikke stå uden for enhver parlamentarisk indflydelse. Det bemærkes dog, at direktiv 95/46 heller ikke på nogen måde pålægger medlemsstaterne at holde disse myndigheder uden for enhver parlamentarisk indflydelse.

44      For det første kan de personer, der påtager sig ledelsen af tilsynsmyndighederne, således udpeges af parlamentet eller regeringen. For det andet kan lovgiveren fastlægge de nævnte myndigheders beføjelser.

45      Desuden kan lovgiveren pålægge tilsynsmyndighederne en forpligtelse til at rapportere om deres aktiviteter til parlamentet. I den henseende kan der sammenholdes med artikel 28, stk. 5, i direktiv 95/46, der bestemmer, at hver tilsynsmyndighed med regelmæssige mellemrum udarbejder en rapport om sin virksomhed, der offentliggøres.

46      På baggrund af det ovenstående vil den omstændighed, at tilsynsmyndighederne på området for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i den ikke-offentlige sektor gives en status, der er uafhængig af den almindelige forvaltning, ikke i sig selv fratage disse myndigheder deres demokratiske legitimitet.

47      Hvad for det andet angår princippet om tildelte kompetencer i artikel 5, første afsnit, EF, der også er blevet gjort gældende af Forbundsrepublikken Tyskland, kræves det i henhold til dette, at Fællesskabet handler inden for rammerne af de beføjelser og mål, der er tillagt det ved traktaten.

48      Forbundsrepublikken Tyskland har i den forbindelse gjort gældende, at det ikke kan kræves i medfør af EF-traktatens artikel 100 A, som direktiv 95/46 har hjemmel i, at tilsynsmyndighederne er uafhængige i forhold til de øverste administrative myndigheder.

49      Denne bestemmelse bemyndiger fællesskabslovgiver til at vedtage foranstaltninger til forbedring af vilkårene for det indre markeds oprettelse og funktion, idet disse foranstaltninger reelt skal have dette formål og bidrage til at fjerne hindringerne for de økonomiske friheder, der er garanteret ved EF-traktaten (jf. i denne retning bl.a. dom af 5.10.2000, sag C-376/98, Tyskland mod Parlamentet og Rådet, Sml. I, s. 8419, præmis 83, 84 og 95, af 10.12.2002, sag C-491/01, British American Tobacco (Investments) og Imperial Tobacco, Sml. I, s. 11453, præmis 60, og af 2.5.2006, sag C-436/03, Parlamentet mod Rådet, Sml. I, s. 3733, præmis 38).

50      Som det allerede er anført, har tilsynsmyndighedernes uafhængighed, forstået således, at disse myndigheder skal være unddraget enhver ydre påvirkning, der kan øve indflydelse på deres beslutninger, afgørende betydning i forhold til formålet med direktiv 95/46. Uafhængigheden er nødvendig for at sikre et beskyttelsesniveau, der er lige højt i alle medlemsstater, for så vidt angår beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, og den bidrager på denne måde til den frie udveksling af personoplysninger, som er nødvendig for oprettelsen af det indre marked og dets funktion.

51      På baggrund af det ovenstående overskrider en bred fortolkning af kravet om tilsynsmyndighedernes uafhængighed ikke rammerne for de beføjelser, der er tillagt Fællesskabet i medfør af EF-traktatens artikel 100 A, der udgør retsgrundlaget for direktiv 95/46.

52      For det tredje har Forbundsrepublikken Tyskland påberåbt sig nærhedsprincippet og proportionalitetsprincippet i artikel 5, andet og tredje afsnit, EF og princippet om loyalt samarbejde mellem medlemsstater og fællesskabsinstitutionerne, der er fastsat i artikel 10 EF.

53      Forbundsrepublikken Tyskland henviser navnlig til artikel 7 i protokollen om anvendelse af nærhedsprincippet og proportionalitetsprincippet, der er knyttet som bilag til EU-traktaten og EF-traktaten ved Amsterdamtraktaten, hvorefter der under overholdelse af fællesskabslovgivningen skal drages omsorg for, at veletablerede nationale ordninger og den måde, hvorpå medlemsstaternes retssystemer er opbygget og fungerer, respekteres.

54      Det er i strid med dette krav at pålægge Forbundsrepublikken Tyskland at indføre en ordning, der er fremmed for dens retssystem, og således ophæve det effektive tilsyn, som har stået sin prøve igennem næsten 30 år, og som har været et eksempel inden for lovgivningen om beskyttelse af oplysninger, der har haft langt mere end national betydning.

55      Denne argumentation kan ikke tiltrædes. Som anført i denne doms præmis 21-25 og 50, er det ikke mere vidtrækkende end nødvendigt for at nå denne traktats mål at fortolke kravet om uafhængighed i artikel 28, stk. 1, andet afsnit, i direktiv 95/46 således, at dette er til hinder for et statsligt tilsyn.

56      Henset til alle de ovenstående bemærkninger, skal det fastslås, at Forbundsrepublikken Tyskland har tilsidesat sine forpligtelser i henhold til artikel 28, stk. 1, andet afsnit, i direktiv 95/46 ved at underlægge de nationale tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger uden for den offentlige sektor i de forskellige delstater, et statsligt tilsyn og således foretage en ukorrekt gennemførelse af kravet om, at disse myndigheder skal udøve deres funktioner »i fuld uafhængighed«.

 Sagens omkostninger

57      I henhold til procesreglementets artikel 69, stk. 2, pålægges det den tabende part at betale sagens omkostninger, hvis der er nedlagt påstand herom. Da Kommissionen har nedlagt påstand om, at Forbundsrepublikken Tyskland tilpligtes at betale sagens omkostninger, og Forbundsrepublikken Tyskland har tabt sagen, bør det pålægges denne at betale sagens omkostninger.

58      EDPS bærer sine egne omkostninger.

På grundlag af disse præmisser udtaler og bestemmer Domstolen (Store Afdeling):

1)      Forbundsrepublikken Tyskland har tilsidesat sine forpligtelser i henhold til artikel 28, stk. 1, andet afsnit, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ved at underlægge de nationale tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger, der foretages i de forskellige delstater af ikke-offentlige organer og offentligretlige virksomheder, der deltager i konkurrencen på markedet (öffentlich-rechtliche Wettbewerbsunternehmen), et statsligt tilsyn og således foretage en ukorrekt gennemførelse af kravet om, at disse myndigheder skal udøve deres funktioner »i fuld uafhængighed«.

2)      Forbundsrepublikken Tyskland betaler Europa-Kommissionens omkostninger.

3)      Den Europæiske Tilsynsførende for Databeskyttelse bærer sine egne omkostninger.

Underskrifter


* Processprog: tysk.