SCHLUSSANTRÄGE DES GENERALANWALTS
MELCHIOR WATHELET
vom 10. Dezember 2013(1)
Rechtssache C‑288/12
Europäische Kommission
gegen
Ungarn
„Vertragsverletzung eines Mitgliedstaats – Richtlinie 95/46/EG – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr – Art. 28 Abs. 1 – Nationale Kontrollstellen – Nationale Rechtsvorschriften, mit denen die sechsjährige Amtszeit des Datenschutzbeauftragten vor deren Ablauf beendet wird – Schaffung einer nationalen Behörde für Datenschutz und Informationsfreiheit und Ernennung einer anderen Person als des Datenschutzbeauftragten zum Präsidenten dieser Behörde für eine Amtszeit von neun Jahren“
I – Einleitung
1. Mit ihrer Klage vom 24. Mai 2012 beantragt die Europäische Kommission, festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(2) verstoßen hat, dass es die Amtszeit der Kontrollstelle für den Datenschutz vorzeitig beendet hat. Die Kommission wirft Ungarn insoweit eine Verletzung der nach Art. 28 Abs. 1 Unterabs. 2 geforderten Unabhängigkeit der Kontrollstelle für den Datenschutz vor.
2. Wie in den Rechtssachen, in denen die Urteile vom 9. März 2010, Kommission/Deutschland(3), und vom 16. Oktober 2012, Kommission/Österreich(4), ergangen sind, geht es in der vorliegenden Rechtssache um den Umfang der den Mitgliedstaaten nach Art. 28 Abs. 1 Unterabs. 2 der Richtlinie auferlegten Pflicht, eine oder mehrere Kontrollstellen für den Schutz personenbezogener Daten einzurichten, die „die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen“.
II – Unionsrecht
3. Die Richtlinie wurde auf der Grundlage des Art. 100a EG-Vertrag (nach Änderung Art. 95 EG, jetzt Art. 114 AEUV) erlassen und hat die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Verarbeitung personenbezogener Daten zum Ziel.
4. Der 62. Erwägungsgrund der Richtlinie lautet:
„Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten.“
5. Art. 28 Abs. 1 („Kontrollstelle“) der Richtlinie bestimmt:
„Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“
III – Ungarisches Recht und Sachverhalt
6. Bis zum 31. Dezember 2011 war nach dem Gesetz Nr. LXIII von 1992 über den Schutz personenbezogener Daten und den Zugang zu Daten von allgemeinem Interesse (im Folgenden: früheres Datenschutzgesetz) der Datenschutzbeauftragte(5) die nach Art. 28 der Richtlinie geforderte Kontrollstelle für den Datenschutz. Art. 23 des früheren Datenschutzgesetzes sah vor, dass der Datenschutzbeauftragte vom ungarischen Parlament gewählt wurde, und die Art. 24 und 25 dieses Gesetzes legten seine Aufgaben fest. Die Dauer und das Ende seiner Amtszeit waren in dem Gesetz Nr. LIX von 1993 über den Parlamentsbeauftragten für Bürgerrechte (im Folgenden: Gesetz Nr. LIX von 1993) geregelt. Art. 4 Abs. 5 dieses Gesetzes in der bis zum 31. Dezember 2011 geltenden Fassung bestimmte, dass der Datenschutzbeauftragte für sechs Jahre gewählt wurde und einmal wiedergewählt werden konnte. Art. 15 dieses Gesetzes regelte das Ende der Amtszeit.
7. Herr Jóri wurde auf der Grundlage des früheren Datenschutzgesetzes zum Datenschutzbeauftragten gewählt und übernahm seine Amtsgeschäfte am 29. September 2008. Seine Amtszeit betrug sechs Jahre und hätte somit bis September 2014 andauern sollen.
8. Nach Art. VI Abs. 3 des am 1. Januar 2012 in Kraft getretenen Grundgesetzes Ungarns (im Folgenden: Grundgesetz) wird „[d]ie Einhaltung des Rechts auf Schutz der personenbezogenen Daten sowie darauf, Daten von öffentlichem Interesse zu erfahren, … von einer unabhängigen, mit einem Schwerpunktgesetz geschaffenen Behörde kontrolliert“.
9. Am 1. Januar 2012 trat das Gesetz Nr. CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit (im Folgenden: neues Datenschutzgesetz) in Kraft. Mit diesem Gesetz wurde das frühere Datenschutzgesetz aufgehoben und zugleich die Nationale Behörde für Datenschutz und Informationsfreiheit (im Folgenden: Datenschutzbehörde) geschaffen. Das neue Datenschutzgesetz hat die Aufgaben des Datenschutzbeauftragten auf diese Behörde übertragen. Nach Art. 40 Abs. 1 und 3 des neuen Datenschutzgesetzes wird der Präsident der Datenschutzbehörde auf Vorschlag des Ministerpräsidenten vom Präsidenten der Republik für neun Jahre ernannt.
10. Die Datenschutzbehörde nahm ihre Tätigkeit am 1. Januar 2012 auf.
11. Die Amtszeit von Herrn Jóri, die erstmals im September 2014 auslaufen sollte, endete gemäß Art. 16 der Übergangsbestimmungen des Grundgesetzes, wonach „[d]as Mandat des … Datenschutzbeauftragten … mit dem Inkrafttreten des Grundgesetzes [erlischt]“, am 31. Dezember 2011.
12. Herr Jóri wurde nicht für das Amt des Präsidenten der Datenschutzbehörde vorgesehen. Auf Vorschlag des Ministerpräsidenten ernannte der Präsident der Republik Herrn Péterfalvi für neun Jahre zum Präsidenten der Datenschutzbehörde.
IV – Vorverfahren und Verfahren vor dem Gerichtshof
13. Am 17. Januar 2012 übersandte die Kommission Ungarn ein Mahnschreiben. Darin vertritt die Kommission die Auffassung, dass Ungarn in dreierlei Hinsicht gegen Art. 28 Abs. 1 und 2 der Richtlinie verstoßen habe. Erstens habe Ungarn die Amtszeit des Datenschutzbeauftragten vorzeitig beendet. Zweitens habe es den Datenschutzbeauftragten nicht zum Entwurf des neuen Datenschutzgesetzes angehört, wozu es verpflichtet gewesen wäre. Drittens sehe das neue Datenschutzgesetz zum einen zu viele Möglichkeiten vor, die Amtszeit des Präsidenten der Datenschutzbehörde zu beenden, und zum anderen könne die Exekutive des Landes durch die Rolle des Präsidenten der Republik und des Ministerpräsidenten bei der Beendigung dieser Amtszeit Einfluss auf den Präsidenten der Datenschutzbehörde nehmen.
14. Die Kommission forderte Ungarn auf, ihr seine Antwort innerhalb eines Monats zu übermitteln.
15. In seiner Antwort vom 17. Februar 2012 wies Ungarn den Vorwurf eines Verstoßes im Zusammenhang mit der vorzeitigen Beendigung der Amtszeit des Datenschutzbeauftragten u. a. mit dem Vorbringen zurück, diese sei Folge der Änderung des ungarischen Modells gewesen. Nach den in der Presse veröffentlichten Äußerungen des Datenschutzbeauftragten habe er nicht der Präsident der Datenschutzbehörde werden wollen. Da außerdem die Ernennung des Präsidenten der Datenschutzbehörde bereits erfolgt sei, sei es vor Ablauf von dessen Amtszeit am 31. Dezember 2020 nicht mehr möglich, dem Datenschutzbeauftragten dasselbe Amt zuzuweisen, denn eine vorzeitige Beendigung der Amtszeit des derzeitigen Präsidenten würde die Rechtsnormen verletzen, die seine Unabhängigkeit gewährleisteten.
16. Zur Anhörung des Datenschutzbeauftragten wies Ungarn darauf hin, dass eine solche sehr wohl stattgefunden habe, und übermittelte der Kommission entsprechende Unterlagen.
17. Hinsichtlich der möglichen Gründe für eine Beendigung der Amtszeit des Präsidenten der Datenschutzbehörde bestritt Ungarn den geltend gemachten Verstoß, schlug aber vor, das neue Datenschutzgesetz zu ändern, um den darauf bezogenen Bedenken der Kommission zu begegnen, und zwar dahin, dass die Bestimmungen über die Außerdienststellung und die Amtsenthebung des Präsidenten der Datenschutzbehörde aufgehoben würden und eine Möglichkeit, gerichtlichen Rechtsschutz zu suchen, in all jenen Fällen vorgesehen werde, in denen er die auf Vorschlag des Ministerpräsidenten ergangene Entscheidung des Präsidenten der Republik, seine Amtszeit zu beenden, anzweifele.
18. Am 7. März 2012 richtete die Kommission eine mit Gründen versehene Stellungnahme an Ungarn, in der sie ihre Bedenken gegen die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten wiederholte und Ungarn aufforderte, dieser Stellungnahme binnen einem Monat nach ihrer Zustellung nachzukommen. Ihre Bedenken wegen der vorherigen Anhörung des Datenschutzbeauftragten zum Entwurf des neuen Gesetzes zog die Kommission dagegen zurück. Schließlich wies die Kommission zu den möglichen Gründen für eine Beendigung der Amtszeit des Präsidenten der Datenschutzbehörde darauf hin, dass sie, wenn Ungarn die in seiner Antwort auf das Mahnschreiben vorgeschlagenen Gesetzesänderungen innerhalb der in der mit Gründen versehenen Stellungnahme gesetzten Frist erließe, den Verstoß in dieser Hinsicht als beendet ansehen würde.
19. Am 30. März 2012 antwortete Ungarn auf die mit Gründen versehene Stellungnahme der Kommission und behielt darin seinen Standpunkt hinsichtlich der Beendigung der Amtszeit des Datenschutzbeauftragten bei. Das hat die Kommission dazu bewogen, die vorliegende Klage zu erheben.
20. Mit Beschluss des Präsidenten des Gerichtshofs vom 8. Januar 2013 ist der Europäische Datenschutzbeauftragte zur Unterstützung der Anträge der Kommission zugelassen worden.
21. In der mündlichen Verhandlung vom 15. Oktober 2013 haben die Kommission, Ungarn und der Europäische Datenschutzbeauftragte ihre mündlichen Stellungnahmen abgegeben.
V – Zur Klage
A – Zur Zulässigkeit
1. Vorbringen der Beteiligten
22. Nach Ansicht Ungarns ist die Klage unzulässig.
23. Die einzig denkbare Art, den geltend gemachten Rechtsverstoß zu beseitigen, sei es, die Amtszeit des Präsidenten der Datenschutzbehörde vorzeitig zu beenden und ihn durch den Datenschutzbeauftragten in diesem Amt zu ersetzen, was im Kern eine Wiederholung der geltend gemachten Vertragsverletzung darstellte. Die Kommission könne den Gerichtshof nicht um ein Urteil auf Feststellung einer Vertragsverletzung ersuchen, dem der betreffende Mitgliedstaat nur mittels eines Verstoßes gegen das Unionsrecht nachkommen könne. Auch führe der Erlass einer solchen Maßnahme zu einer verfassungswidrigen Situation, da gegen den im Grundgesetz aufgestellten Grundsatz der Unabhängigkeit der Datenschutzbehörde verstoßen werde.
24. Die Änderung des Modells für die mit dem Schutz personenbezogener Daten beauftragten Institutionen habe zudem in Anbetracht des Umstands, dass die Funktion des Datenschutzbeauftragten abgeschafft worden sei, notwendigerweise bewirkt, dass die Amtszeit der Person, die diese Funktion ausgeübt habe, beendet worden sei. Eine Beendigung der Amtszeit des derzeitigen Präsidenten der Datenschutzbehörde ohne institutionelle Änderung lasse sich jedoch nicht durch einen entsprechenden normativen Grund rechtfertigen.
25. Zudem gewährleiste das neue Datenschutzgesetz die völlige Unabhängigkeit des Präsidenten der Datenschutzbehörde und erfülle daher die entsprechenden Anforderungen der Richtlinie. Selbst wenn die Beendigung der Amtszeit des Datenschutzbeauftragten einen Verstoß gegen das Unabhängigkeitsgebot darstelle, habe ein solcher Verstoß keinen Einfluss auf die Tätigkeit des Datenschutzbeauftragten gehabt, ebenso wenig wie er den Präsidenten der Datenschutzbehörde davon abhalte, seine Tätigkeit ohne Einflussnahme von außen auszuüben. Das Recht auf den Schutz personenbezogener Daten sei in Übereinstimmung mit den Zielen der Richtlinie in Ungarn durchgehend und jederzeit gewährleistet gewesen – sowohl vor als auch nach dem 1. Januar 2012. Ungarn nehme mit Befriedigung zur Kenntnis, dass auch die Kommission dies einräume, da sie ausführe, dass die ungarische Regelung die rechtliche Kontinuität gewahrt habe, indem sie die beim Datenschutzbeauftragten anhängigen Verfahren der Datenschutzbehörde übertragen habe. Folglich habe eine Vertragsverletzung, sollte es sie gegeben haben, jedenfalls keine rechtlichen Auswirkungen gehabt, die auszugleichen wären.
26. Die geltend gemachte Vertragsverletzung habe ferner ihre Wirkung zum Zeitpunkt des Ablaufs der in der mit Gründen versehenen Stellungnahme der Kommission gesetzten Frist bereits erschöpft und nach dem 1. Januar 2012 auf die Abläufe bei der Datenschutzbehörde und insbesondere auf ihre Unabhängigkeit keinen Einfluss gehabt. Daher sei die Klage der Kommission gegenstandslos und somit unzulässig.
27. Folgte man der Argumentation der Kommission, wären alle seit dem 1. Januar 2012 vom derzeitigen Präsidenten der Datenschutzbehörde ergriffenen Maßnahmen nicht mit dem Unionsrecht vereinbar, und es käme zu einer Verletzung des Grundsatzes der Rechtssicherheit.
28. Ungarn fügt hinzu, dass es entgegen dem unten in Nr. 33 angeführten Vorbringen der Kommission im vorliegenden Verfahren vor dem Gerichtshof seinen Wunsch, eine eventuelle Feststellung einer Vertragsverletzung möge nicht das Mandat des amtierenden Präsidenten der Datenschutzbehörde beeinträchtigen, klar geäußert habe, auch wenn der Ausdruck „zeitliche Beschränkung der Wirkungen“ in der Klagebeantwortung nicht vorkomme.
29. Nach Ansicht der Kommission ist die vorliegende Klage zulässig.
30. Eine Beseitigung der Vertragsverletzung sei nicht unmöglich. Ungarn müsse die Maßnahmen ergreifen, die erforderlich seien, damit Herr Jóri bis zum regulären Ablauf seiner Amtszeit im September 2014 erneut das in Art. 28 der Richtlinie vorgesehene Amt ausübe. Die Art und Weise, wie Ungarn die Vertragsverletzung heile, stehe in seinem Ermessen und sei für die vorliegende Klage unerheblich. Zudem könne Ungarn für seine Opposition gegen die Wiedereinsetzung von Herrn Jóri in sein Amt nicht die Unabhängigkeit des Präsidenten der Datenschutzbehörde anführen. Damit würde es sich für seine Verteidigung auf die eigene Vertragsverletzung berufen.
31. Das Vorliegen einer Vertragsverletzung sei anhand der Lage zu beurteilen, in der sich der Mitgliedstaat bei Ablauf der Frist befunden habe, die in der mit Gründen versehenen Stellungnahme gesetzt worden sei. Nach der Rechtsprechung des Gerichtshofs dauere die Vertragsverletzung fort, solange die Wirkungen der unter Verstoß gegen das Unionsrecht ergriffenen Maßnahmen bei Ablauf der Frist fortbestünden. Im vorliegenden Fall bestehe die Vertragsverletzung in der vorzeitigen Beendigung der Amtszeit des Datenschutzbeauftragten und dauere fort, da Herr Jóri bei Ablauf dieser Frist nicht in sein früheres Amt wiedereingesetzt worden sei.
32. Zu dem oben in Nr. 23 angeführten Vorbringen Ungarns, die Betrachtung der Klage der Kommission als zulässig gehe mit der vorzeitigen Beendigung der Amtszeit des Präsidenten der Datenschutzbehörde einher, was auch zu einer gegen das Grundgesetz verstoßenden Situation führen könne, weist die Kommission darauf hin, dass gemäß dem Grundsatz des Vorrangs des Unionsrechts das Unionsrecht dem Verfassungsrecht der Mitgliedstaaten vorgehe. Außerdem rechtfertige die Reform der Kontrollstelle für den Datenschutz die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten in keiner Weise. Es wäre nach Ansicht der Kommission auch durchaus möglich gewesen – was von Ungarn in seiner Klagebeantwortung nicht bestritten wird –, in einem Instrument des internen Rechts entweder vorzusehen, dass das neue Modell erst nach Ablauf der Amtszeit des zu dem Zeitpunkt amtierenden Datenschutzbeauftragten gelten solle oder dass der Datenschutzbeauftragte für den Rest seiner Amtszeit als erster Präsident der Datenschutzbehörde tätig werde.
33. Der Gerichtshof dürfe das oben in Nr. 28 angeführte Vorbringen Ungarns, die Feststellung einer Vertragsverletzung im vorliegenden Fall führe auch zur Unvereinbarkeit der von der Datenschutzbehörde seit dem 1. Januar 2012 ergriffenen Maßnahmen mit dem Unionsrecht, nicht im Rahmen der Zulässigkeit dieser Klage prüfen. Mit diesem Vorbringen werde in Wirklichkeit die Frage aufgeworfen, ob sich der zeitliche Geltungsbereich des Urteils, mit dem der Verstoß festgestellt werde, auf die Zeit vor Verkündung des Urteils erstrecke. Der Gerichtshof könne die für die Betroffenen bestehende Möglichkeit, sich auf die Auslegung, die er einer Bestimmung gegeben habe, zu berufen, um in gutem Glauben begründete Rechtsverhältnisse in Frage zu stellen, nur ausnahmsweise aufgrund des Grundsatzes der Rechtssicherheit beschränken. Ungarn habe in seiner Klagebeantwortung den Gerichtshof nicht darum ersucht, die zeitlichen Wirkungen seines Urteils, mit dem in der vorliegenden Rechtssache möglicherweise eine Vertragsverletzung festgestellt werde, zu begrenzen. Außerdem habe Ungarn nicht nachgewiesen, dass die dafür von der Rechtsprechung aufgestellten Voraussetzungen erfüllt seien.
34. Die Wiedereinsetzung des Datenschutzbeauftragten in sein Amt oder seine Ernennung zum Präsidenten der Datenschutzbehörde hätte nach Ansicht der Kommission nicht die Unvereinbarkeit der vom Präsidenten der Datenschutzbehörde nach dem 1. Januar 2012 getroffenen Entscheidungen mit dem Unionsrecht zur Folge.
35. Der Europäische Datenschutzbeauftragte hat sich nicht zur Zulässigkeit der Klage geäußert.
2. Würdigung
36. Dem Vorbringen Ungarns, es sei nicht möglich, einem die geltend gemachte Vertragsverletzung feststellenden Urteil nachzukommen, kann ich nicht zustimmen. Dieses Vorbringen besteht aus zwei Teilen.
37. Ungarn trägt erstens vor, die geltend gemachte Vertragsverletzung habe ihre Wirkung zum Zeitpunkt des Ablaufs der in der mit Gründen versehenen Stellungnahme der Kommission gesetzten Frist bereits erschöpft. Das denke ich nicht.
38. Nach ständiger Rechtsprechung ist das Vorliegen einer Vertragsverletzung anhand der Lage zu beurteilen, in der sich der Mitgliedstaat bei Ablauf dieser Frist befunden hat(6).
39. Da die Amtszeit des Datenschutzbeauftragten nach dem Gesetz Nr. LIX von 1993(7) erst im September 2014 enden sollte, bin ich der Auffassung, dass die geltend gemachte Vertragsverletzung ihre Wirkung zum Zeitpunkt des Ablaufs der in der mit Gründen versehenen Stellungnahme der Kommission gesetzten Frist(8) nicht erschöpft hatte und auch heute noch Rechtswirkungen erzeugt.
40. Zweitens ist nach Ansicht Ungarns die Klage der Kommission unzulässig, weil es ihm nicht möglich sei, einem Urteil, das eine Vertragsverletzung feststelle, nachzukommen, ohne den gleichen Verstoß zu wiederholen, den das Urteil festgestellt habe. Auch diese Ansicht teile ich nicht.
41. Stellt der Gerichtshof eine Vertragsverletzung eines Mitgliedstaats fest, so verpflichtet diese Feststellung den betreffenden Mitgliedstaat schon dem Wortlaut des Art. 260 AEUV nach, die Maßnahmen zu ergreifen, die sich aus dem Urteil des Gerichtshofs ergeben.
42. Auch wenn der Gerichtshof mit seinem rein deklaratorischen Urteil dem Mitgliedstaat, dessen Vertragsverletzung er feststellt, nicht aufgeben kann, bestimmte Maßnahmen zu ergreifen(9), haben alle Organe des betreffenden Mitgliedstaats einschließlich des Gesetzgebers, der Gerichte und der Verwaltungsbehörden die Pflicht, in ihrem jeweiligen Zuständigkeitsbereich die Durchführung des Urteils des Gerichtshofs zu gewährleisten(10), was u. a. das Verbot, eine mit dem Unionsrecht unvereinbare nationale Rechtsvorschrift anzuwenden, sowie die Verpflichtung einschließt, alle Bestimmungen zu erlassen, um die volle Geltung des Unionsrechts zu erleichtern(11).
43. Zudem stellt die Aufrechterhaltung einer Regelung, die durch ein Urteil des Gerichtshofs für mit dem Unionsrecht unvereinbar erklärt wurde, eine schwerwiegende Verletzung der Pflicht der Mitgliedstaaten aus Art. 4 Abs. 3 EUV zur loyalen Zusammenarbeit dar, worunter auch die Pflicht fällt, alle Maßnahmen zu unterlassen, die die Verwirklichung der Ziele der Union gefährden können(12).
44. Folglich hat die Feststellung einer Vertragsverletzung in der vorliegenden Rechtssache trotz ihres deklaratorischen Charakters erhebliche rechtliche Folgen, die zwangsläufig Auswirkungen auf die Stellung des derzeitigen Präsidenten der Datenschutzbehörde haben, wie Ungarn im Übrigen vorträgt (wenn auch nur, um der etwaigen Feststellung eines Verstoßes entgegenzutreten).
45. Mit Blick auf den rechtlichen und tatsächlichen nationalen Kontext, der oben in den Nrn. 6 bis 12 dargestellt worden ist, stand die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten zum 31. Dezember 2011 in der Tat unmittelbar mit der Ernennung des Präsidenten der Datenschutzbehörde am 1. Januar 2012 im Zusammenhang. Sollte der Gerichtshof feststellen, dass Ungarn dadurch gegen Art. 28 Abs. 1 Unterabs. 2 der Richtlinie verstoßen hat, dass es die Amtszeit des Datenschutzbeauftragten vorzeitig beendet hat, so folgte daraus, dass die Ernennung des Präsidenten der Datenschutzbehörde ebenfalls mit einem Fehler behaftet wäre, wie dies die Kommission vorträgt. Der derzeitige Präsident der Datenschutzbehörde hätte dann nämlich sein Amt seit dem 1. Januar 2012 unter Verstoß gegen das Unionsrecht inne.
46. Unter diesen Umständen bin ich der Auffassung, dass das Vorbringen, die Durchführung eines Urteils, mit dem eine eventuelle Vertragsverletzung festgestellt werde, sei unmöglich, nicht begründet ist, denn, wie die Kommission vorträgt, könnte ein Urteil, mit dem die im vorliegenden Fall geltend gemachte Vertragsverletzung festgestellt würde, entweder dadurch durchgeführt werden, dass Herr Jóri für den Rest seiner ursprünglichen Amtszeit in sein Amt als Datenschutzbeauftragter wiedereingesetzt würde, oder dadurch, dass er zum Präsidenten der Datenschutzbehörde ernannt würde.
47. Überdies haben die Fragen, ob das neue Datenschutzgesetz den Kriterien der Richtlinie genügt oder ob die Datenschutzbehörde unabhängig handelt und ob die Durchführung des Urteils, das die Vertragsverletzung feststellt, zu einer Wiederholung des festgestellten Verstoßes führen würde(13), keinerlei Einfluss auf die Frage, ob die Amtszeit des Datenschutzbeauftragten unter Verstoß gegen Art. 28 Abs. 1 Unterabs. 2 der Richtlinie(14) beendet worden ist.
48. Käme man zu einem anderen Ergebnis, erlaubte dies einem Mitgliedstaat, jeder Feststellung der Unvereinbarkeit einiger seiner Entscheidungen mit dem Unionsrecht unter dem Vorwand zu entgehen, dass andere spätere Entscheidungen, die nur infolge des Verstoßes möglich waren, mit dem Unionsrecht vereinbar seien und nur unter nochmaliger Begehung des gleichen Verstoßes geändert werden könnten.
49. Auch von dem Vorbringen Ungarns, der Grundsatz der Rechtssicherheit stehe der Zulässigkeit der vorliegenden Klage entgegen, weil durch die Feststellung der im vorliegenden Fall geltend gemachten Vertragsverletzung alle seit dem 1. Januar 2012 ergriffenen Maßnahmen des Präsidenten der Datenschutzbehörde mit dem Unionsrecht unvereinbar würden, bin ich nicht überzeugt.
50. Der Grundsatz der Rechtssicherheit ist ein allen Rechtsordnungen der Mitgliedstaaten gemeinsamer Grundsatz, der Teil der Unionsrechtsordnung ist und von den Organen des betreffenden Mitgliedstaats, die die Durchführung eines die Verletzung des Unionsrechts durch diesen Mitgliedstaat feststellenden Urteils sicherstellen, in jedem Fall zu beachten ist. Ohne auf die Stichhaltigkeit der These einzugehen, die Feststellung der geltend gemachten Vertragsverletzung lasse die seit dem 1. Januar 2012 getroffenen Maßnahmen der Datenschutzbehörde rechtswidrig werden, genügt der Hinweis, dass es nicht Sache des Gerichtshofs(15), sondern eventuell der nationalen ungarischen Gerichte ist, über etwaige Verletzungen dieses Grundsatzes in konkreten Fällen zu entscheiden und geeignete Maßnahmen zu ergreifen, ohne eine wirksame Durchführung des Urteils des Gerichtshofs zu behindern.
51. Bei dieser Gelegenheit weise ich darauf hin, dass der Gerichtshof ungeachtet eventueller Rechtswirkungen solcher Feststellungen auf die von den betreffenden Stellen ergriffenen Maßnahmen festgestellt hat, dass die Bundesrepublik Deutschland(16) und die Republik Österreich(17) gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie verstoßen haben.
52. Den Antrag Ungarns, die Wirkungen eines die geltend gemachte Vertragsverletzung möglicherweise feststellenden Urteils zu beschränken, werde ich in dem Teil meiner Schlussanträge prüfen, der sich mit der Begründetheit der Klage befasst(18).
53. Ich schlage demnach vor, die Klage für zulässig zu erachten.
B – Zur Begründetheit
1. Vorbringen der Beteiligten
54. Nach Ansicht der Kommission steht außer Frage, dass Ungarn das Recht hat, sein System zur Kontrolle des Schutzes personenbezogener Daten zu ändern. Das setze aber voraus, dass die völlige Unabhängigkeit der Stelle, die diese Kontrolle ausübe, gewahrt werde, was, wie die Rechtsprechung zeige(19), über eine bloße funktionelle Unabhängigkeit hinausgehe, da jede Form von Abhängigkeit, sei sie institutioneller, personeller oder materieller Art, ausgeschlossen sein müsse.
55. Für die Kommission, die darin vom Europäischen Datenschutzbeauftragten unterstützt wird, ist es unerlässlich, dass der Mitgliedstaat, sobald er die Amtszeit dieser Stelle festgelegt habe, diese respektiere, ohne dass er sie anders als aus schwerwiegenden und objektiv nachvollziehbaren Gründen vorzeitig beenden könnte. Eine vorzeitige Beendigung der Amtszeit schaffe die Gefahr einer ungebührlichen Einflussnahme auf die Kontrollstelle bei der Ausübung ihrer Aufgaben, was ihre Unabhängigkeit beeinträchtige. Ein Vergleich mit den für den Europäischen Datenschutzbeauftragten geltenden Regelungen der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr(20) bestätige diese Auslegung.
56. Die Kommission ist der Meinung, dass die Reform der ungarischen Kontrollstelle es nicht gerechtfertigt habe, die Amtszeit des Datenschutzbeauftragten zu beenden. Es wäre Ungarn problemlos möglich gewesen, in seinem internen Recht entweder vorzusehen, dass das neue Modell erst nach Ende der Amtszeit des amtierenden Datenschutzbeauftragten Anwendung finde oder dass kein anderer als der Datenschutzbeauftragte für den Rest seiner Amtszeit der erste Präsident der Datenschutzbehörde sei. Dies hätte die Unabhängigkeit der Kontrollstelle für den Datenschutz geschützt. Hinsichtlich anderer Aspekte wie u. a. der laufenden Verfahren und der Datenverarbeitung habe Ungarn die Kontinuität zwischen der früheren und der neuen Kontrollstelle gewahrt.
57. Die Annahme, es sei erforderlich gewesen, die Amtszeit des Datenschutzbeauftragten zu beenden, weil sein Amt „nicht mehr existiert“ habe, würde nach Ansicht der Kommission bedeuten, dass jeder Kontrollstelle in der Union zu jedem Zeitpunkt der Entzug ihres Mandats durch eine gesetzgeberische Maßnahme drohen könne, mit der die bestehende Kontrollstelle abgeschafft und stattdessen eine neue Stelle mit denselben Aufgaben wie denjenigen, die in Art. 28 der Richtlinie definiert seien, geschaffen werde. Es könne nicht ausgeschlossen werden, dass Politiker solche Reformen nutzten, um die Kontrollstellen, mit denen sie nicht einer Meinung seien, zu kontrollieren und zu sanktionieren. Nach der Rechtsprechung des Gerichtshofs sei die bloße Gefahr einer solchen Einflussnahme mit dem Gebot der völligen Unabhängigkeit der Kontrollstellen nicht vereinbar(21).
58. Nach Ansicht der Kommission hat Ungarn die Weigerung des Datenschutzbeauftragten, die Datenschutzbehörde zu leiten, nicht nachgewiesen. Seine dahin gehenden Äußerungen in von der ungarischen Presse veröffentlichten Interviews seien unbeachtlich, denn nach Art. 15 Abs. 3 des Gesetzes Nr. LIX von 1993 hätte ein Rücktritt des Datenschutzbeauftragten dem Präsidenten des ungarischen Parlaments schriftlich angezeigt werden müssen. Da dies nicht geschehen sei, könne sich Ungarn nicht auf vage Erklärungen in der Presse berufen, um darzutun, dass der Datenschutzbeauftragte nicht mehr bereit gewesen sei, seine Aufgaben aus Art. 28 der Richtlinie zu erfüllen. Zudem habe Ungarn Herrn Jóri die neue Funktion nie angeboten und ihm nie versichert, dass Übergangsregelungen erlassen würden, um ihm die Fortführung seines Amtes bis zum ordnungsgemäßen Ende der Amtszeit zu ermöglichen.
59. Ungarn trägt vor, die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten stelle, da sie mit der Änderung des institutionellen Modells einhergegangen sei, keinen Verstoß gegen Art. 28 Abs. 1 Unterabs. 2 der Richtlinie dar. Der einschlägigen Rechtsprechung sei zu entnehmen, dass sowohl Art. 28 der Richtlinie als auch Art. 44 der Verordnung Nr. 45/2001 verlangten, den nationalen und europäischen Stellen zum Schutz personenbezogener Daten völlige Unabhängigkeit „in Ausübung [ihres] Amtes“, d. h. in funktioneller Hinsicht, zu gewähren. Zu dieser „funktionellen Unabhängigkeit“ gehörten alle Faktoren, die sicherstellten, dass die Kontrollstelle die ihr übertragenen Aufgaben ohne – unmittelbare oder mittelbare – Einflussnahme von außen erfülle. Darunter fielen auch die Faktoren zur Gewährleistung der organisatorischen, budgetären und personellen Unabhängigkeit, die diese Stelle bei der Erfüllung ihrer Aufgaben genießen müsse.
60. Im vorliegenden Fall werde nicht in Abrede gestellt, dass die Datenschutzbehörde wie ihr Vorgänger in den Genuss rechtlicher Rahmenbedingungen komme, die sie vor jeder Einflussnahme von außen bei der Ausübung ihrer Tätigkeit der Überwachung des Datenschutzes schützten, und dass sie das Unabhängigkeitsgebot des Art. 28 der Richtlinie in jedem Punkt erfülle. Zwischen der vorliegenden Situation und den Fallgestaltungen, in denen das Urteil vom 9. März 2010, Kommission/Deutschland, und das Urteil Kommission/Österreich ergangen seien, könne keine Parallele gezogen werden. Anders als im vorliegenden Fall hätten die deutsche und die österreichische Regelung nicht rechtlich die Gefahr ausgeschlossen, dass die Unabhängigkeit ihrer nationalen Kontrollstelle für den Datenschutz bei der Wahrnehmung „der ihr zugewiesenen Aufgaben“ beeinträchtigt werde.
61. Der Grund für das Unabhängigkeitsgebot des Art. 28 der Richtlinie liege darin, dass in jedem Mitgliedstaat immer eine Kontrollstelle für den Datenschutz vorhanden sein solle, die ihre Aufgaben ohne Einflussnahme von außen wahrnehme. Der Begriff der Unabhängigkeit räume der Person, die an der Spitze dieser Stelle stehe, kein subjektives Recht auf die Wahrnehmung dieser Aufgaben ein. In Anbetracht der durchgeführten institutionellen Änderung sei es nicht gerechtfertigt, von der neuen Regelung zu verlangen, dass sie dem Datenschutzbeauftragten automatisch die Funktion des Präsidenten der Datenschutzbehörde zuweise. Da die funktionelle Unabhängigkeit der Kontrollstelle nicht beeinträchtigt werde, sei es unerheblich, dass eine Änderung in der Person erfolge, die an der Spitze der Stelle stehe, und zwar selbst vor dem Ende ihrer ursprünglichen Amtszeit.
62. Es sei Sache der Mitgliedstaaten, die Organisationsstruktur der nationalen Datenschutzbehörden festzulegen. Dies bedeute, dass auch die Wahl der Einrichtung oder Person, die innerhalb des gewählten Organisationsmodells mit der Ausübung der Tätigkeiten betraut werde, und ihre gleichzeitig mit einer Modelländerung erfolgende Ersetzung in die Zuständigkeit der Mitgliedstaaten fielen. Die gesetzliche Regelung über den Datenschutzbeauftragten sei auf der Grundlage der neuen Bestimmungen des Grundgesetzes vollständig durch eine neue Regelung ersetzt worden, die die zuvor vom Datenschutzbeauftragten wahrgenommenen Aufgaben auf eine neue mit dem Datenschutz betraute Stelle übertragen habe. Trotz der Ähnlichkeiten zwischen der Stellung des Datenschutzbeauftragten und der des Präsidenten der Datenschutzbehörde, die sich aus dem Unabhängigkeitsgebot erklärten, handele es sich um zwei klar voneinander getrennte Institutionen des öffentlichen Rechts.
63. Die Ernennung des Datenschutzbeauftragten zum Präsidenten der Datenschutzbehörde wäre nach Ansicht Ungarns in Anbetracht mehrerer öffentlicher Äußerungen, in denen er zum Ausdruck gebracht habe, dass er mit dem neuen institutionellen Modell grundsätzlich nicht einverstanden sei und dass er nicht vorhabe, eine solche Ernennung anzunehmen, ungerechtfertigt und unverständlich gewesen.
2. Würdigung
a) Die Grundsätze
64. Zunächst ist festzuhalten, dass die Kommission das Recht Ungarns, das institutionelle Modell seiner Kontrollstelle für den Datenschutz zu ändern, indem es von einer Struktur unter der Leitung einer einzigen Person zu einem Kollegialorgan übergeht, nicht in Frage stellt. Sie ist jedoch der Auffassung, dass Ungarn, als es diese Wahl getroffen habe, seine Pflicht verletzt habe, die Unabhängigkeit der Kontrollstelle bis zum Ende ihrer Amtszeit zu wahren.
65. Nach ständiger Rechtsprechung ist das Gebot, den Schutz personenbezogener Daten durch eine unabhängige Stelle zu überwachen, ein wesentliches Element der Wahrung des Schutzes der Personen bei der Verarbeitung personenbezogener Daten(22), das sich nicht nur aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie ergibt, sondern auch aus dem Primärrecht der Union, insbesondere aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und aus Art. 16 Abs. 2 AEUV(23). Die in Art. 28 der Richtlinie vorgesehenen Kontrollstellen sind nämlich für den Bereich der Verarbeitung personenbezogener Daten die Hüter der Grundrechte und Grundfreiheiten(24).
66. Im Urteil vom 9. März 2010, Kommission/Deutschland, und im Urteil Kommission/Österreich hat der Gerichtshof den Ausdruck „in völliger Unabhängigkeit“ des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie autonom(25) und weit(26) ausgelegt. Er hat diese Auslegung zum einen auf den Wortlaut selbst des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie gestützt, indem er ausgeführt hat, dass der Begriff „Unabhängigkeit“ durch das Adjektiv „völlig“ verstärkt wird, und zum anderen auf das Ziel der Gewährleistung der Unabhängigkeit der fraglichen Stellen, die die wirksame und zuverlässige Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen soll(27).
67. Der Gerichtshof hat hervorgehoben, dass diese Gewährleistung eingeführt wurde, um die von den Entscheidungen der Kontrollstellen betroffenen Personen und Einrichtungen stärker zu schützen, und nicht, um diesen Stellen selbst oder ihren Bevollmächtigten eine besondere Stellung zu verleihen(28). Folglich müssen die Kontrollstellen bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen und vor jeglicher – unmittelbaren oder mittelbaren – Einflussnahme von außen, die ihre Entscheidungen steuern könnte, sicher sein(29).
68. Die bloße Gefahr einer solchen Einflussnahme reicht für einen Verstoß gegen Art. 28 Abs. 1 Unterabs. 2 der Richtlinie aus(30).
69. Hierzu ist dem Urteil Kommission/Österreich klar zu entnehmen, dass jedes Vorgehen, das bei der Kontrollstelle für den Datenschutz zu einer Form von „vorauseilendem Gehorsam“(31) führen könnte, das Gebot der „völligen Unabhängigkeit“, die die Mitgliedstaaten nach Art. 28 Abs. 1 Unterabs. 2 der Richtlinie und dem Primärrecht der Union ihren Kontrollstellen gewährleisten müssen, nicht erfüllt.
70. Ich bin wie die Kommission der Auffassung, dass es zwar jedem Mitgliedstaat freisteht, das institutionelle System zu wählen, das er für sein Land am besten geeignet hält, und damit auch, es später zu ändern, jedoch nur unter der Voraussetzung, dass diese Wahl und die spätere Änderung nicht gegen das zwingende Gebot der „völligen Unabhängigkeit“ aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie verstoßen.
71. Wie die Kommission meine ich, dass die Unabhängigkeit dieser Stelle „zwingend über eine Amtszeit mit vorbestimmter Dauer“(32) und ihre Unabsetzbarkeit bis zum Ablauf dieser Amtszeit herzustellen ist, es sei denn, es liegen gesetzlich vorgegebene und objektiv überprüfbare schwerwiegende Gründe im Zusammenhang mit dem Verhalten der Kontrollstelle oder ihrer Fähigkeit, ihre Aufgaben zu erfüllen, vor.
72. Der innere Zusammenhang zwischen dieser Unabsetzbarkeit bis zum Ende der Amtszeit und dem Gebot der „völligen Unabhängigkeit“ ist unbestreitbar(33). Entsprechend könnte nicht davon ausgegangen werden, dass die Unabhängigkeit eines Richters gewahrt bliebe, wenn er unter dem Vorwand vorzeitig aus dem Amt entlassen würde, dass das Gericht, dem er angehöre, abgeschafft und durch ein anderes Gericht, sei es auch mit Unabhängigkeit ausgestattet, ersetzt werde.
73. Schon allein die Gefahr der vorzeitigen Beendigung ihrer Amtszeit kann die in Art. 28 Abs. 1 Unterabs. 2 der Richtlinie vorgesehene Stelle „ungebührlichen Eingriffen oder Pressionen“(34) aussetzen und bei ihr zu einer Form „vorauseilenden Gehorsams“ führen.
74. Daraus folgt, dass die Mitgliedstaaten zwar hinsichtlich der institutionellen Struktur der nach Art. 28 Abs. 1 Unterabs. 2 der Richtlinie vorgeschriebenen Kontrollstelle über einen Wertungsspielraum verfügen(35), doch setzt das im Unionsrecht aufgestellte Gebot der „völligen Unabhängigkeit“ unbestreitbar voraus, dass es spezielle und detaillierte Regeln gibt, die es im Bereich der Ernennung, der Amtsdauer und möglicher Gründe für die Abberufung oder Absetzung dieser Stelle ermöglichen, jeden berechtigten Zweifel an der Unempfänglichkeit dieser Stelle für jegliche – unmittelbare oder mittelbare – Einflussnahme von außen, die ihre Entscheidungen steuern könnte, auszuräumen, und dass diese Regeln eingehalten werden(36).
b) Anwendung auf den vorliegenden Fall
75. Den Verfahrensakten ist zu entnehmen, dass die Bedingungen des Mandats des Datenschutzbeauftragten in speziellen und detaillierten Vorschriften des ungarischen Rechts geregelt waren. Er wurde nämlich in Anwendung von Art. 4 Abs. 5 des Gesetzes Nr. LIX von 1993 im Jahr 2008 für eine Amtszeit von sechs Jahren gewählt und konnte einmal wiedergewählt werden. Art. 15 dieses Gesetzes regelte die Möglichkeit der vorzeitigen Beendigung der Amtszeit und schränkte sie damit sehr stark ein(37).
76. Meiner Auffassung nach hat die Kommission hinreichend nachgewiesen, dass die Amtszeit des Datenschutzbeauftragten am 31. Dezember 2011 unter Missachtung des Art. 15 des Gesetzes Nr. LIX von 1993 beendet wurde und dass die Verfahrensgarantien, die mit diesem Gesetz eingeführt worden waren, um sein Amt zu schützen, nicht eingehalten wurden. Zudem hat Ungarn bei den 2012 in Kraft getretenen institutionellen Änderungen keinerlei Übergangsmaßnahmen ergriffen, um die Bedingungen des Mandats einzuhalten und damit die Unabhängigkeit des Datenschutzbeauftragten zu wahren.
77. Ungarn hebt die Tatsache hervor, dass es der Verfassungsgesetzgeber gewesen sei, der die „Modelländerung“ beschlossen habe, die mit der am 1. Januar 2012 in Kraft getretenen neuen Regelung eingeführt worden sei, und dass der Präsident der Datenschutzbehörde auf der einen und der Datenschutzbeauftragte auf der anderen Seite zwei klar voneinander getrennte öffentliche Ämter seien, bei denen nicht davon ausgegangen werde, dass sie deshalb miteinander verbunden seien, weil beide von derselben Person ausgeübt würden.
78. Dieses Vorbringen überzeugt mich nicht.
79. Meines Erachtens hat die Kommission hinreichend nachgewiesen, dass die Datenschutzbehörde, obwohl sie eine andere Rechtsstellung als der Datenschutzbeauftragte hat und nach anderen Bedingungen tätig wird als dieser, diesem in der Erfüllung der Aufgaben nachgefolgt ist, die der Kontrollstelle nach Art. 28 der Richtlinie übertragen sind. Sowohl der Datenschutzbeauftragte als auch die Datenschutzbehörde wurden nämlich von Ungarn eingesetzt, um der sich aus dieser Bestimmung ergebenden Pflicht nachzukommen, eine öffentliche Stelle vorzusehen, die die Anwendung der von diesem Mitgliedstaat zur Umsetzung der Richtlinie erlassenen Vorschriften in seinem Hoheitsgebiet überwachen soll. Hinsichtlich der in Anwendung dieser Bestimmung wahrgenommenen Aufgabe besteht somit zwischen den beiden Stellen Identität. Außerdem wurde die Kontinuität zwischen den beiden Stellen durch Art. 75 Abs. 1 und 2 des neuen Datenschutzgesetzes gewahrt, der vorsieht, dass die Datenschutzbehörde die vom Datenschutzbeauftragten vor dem 1. Januar 2012 eröffneten Vorgänge verwaltet und die Daten verarbeitet, die er vor diesem Zeitpunkt verarbeitet hat.
80. Zu dem Umstand, dass die institutionelle Änderung vom Verfassungsgesetzgeber beschlossen wurde, ergibt sich zunächst aus den Verfahrensakten, dass die Datenschutzbehörde durch ein Schwerpunktgesetz – das neue Datenschutzgesetz – und nicht durch das Grundgesetz geschaffen wurde(38). Ferner dürfen institutionelle Änderungen, selbst wenn sie durch Verfassungsgesetze erfolgen, die praktische Wirksamkeit der im Unionsrecht vorgesehenen übergeordneten Pflicht, die „völlige Unabhängigkeit“ zu gewährleisten, nicht beeinträchtigen, da der Vorrang des Unionsrechts ungeachtet des Ranges der betreffenden nationalen Norm gilt. Sie können daher nicht die vorzeitige Beendigung der Amtszeit der Kontrollstelle für den Datenschutz rechtfertigen. Wie die Kommission und der Europäische Datenschutzbeauftragte vorgetragen haben, wäre eine in der Hierarchie höherstehende Stelle der gesetzgebenden oder verfassungsgebenden Gewalt in diesem Fall allein durch die ausdrückliche oder implizite Androhung solcher Änderungen und der vorzeitigen Beendigung der Amtszeit der in Art. 28 Abs. 1 der Richtlinie vorgesehenen Kontrollstelle für den Datenschutz in der Lage, auf die Kontrollstelle ungebührlichen Einfluss von außen zu nehmen, was eventuell zu einer Form „vorauseilenden Gehorsams“ führen könnte(39).
81. Schließlich bin ich nicht von der Erheblichkeit der Erklärung Ungarns überzeugt, die Ernennung des Datenschutzbeauftragten zum Präsidenten der Datenschutzbehörde sei infolge seiner öffentlichen Äußerungen, dass er eine solche Ernennung nicht annehmen wolle, nicht möglich. Abgesehen davon, dass solche öffentlichen Äußerungen in der Presse angesichts der strengen Anforderungen in Art. 28 der Richtlinie und Art. 15 des Gesetzes Nr. LIX von 1993(40) keinen rechtlichen Wert hätten, hat Ungarn nicht vorgetragen, dass dem Datenschutzbeauftragten das betreffende Amt offiziell angeboten worden wäre. Im Übrigen entnehme ich der Antwort Ungarns vom 30. März 2012 auf die mit Gründen versehene Stellungnahme, dass der Datenschutzbeauftragte, Herr Jóri, zum Ausdruck gebracht hat, dass er mit dem neuen Datenschutzgesetz nicht einverstanden sei und eine Ernennung zum Präsidenten der Datenschutzbehörde nicht angenommen hätte, wenn ihm dies vorgeschlagen worden wäre, weil er u. a. der Ansicht war, dass die Einrichtung der Datenschutzbehörde nicht dem Unabhängigkeitsgebot der Richtlinie entspreche. Im Rahmen des Vorverfahrens hat die Kommission diese Kritikpunkte selbst aufgegriffen, und Ungarn hat mit Ausnahme der vorzeitigen Beendigung der Amtszeit des Datenschutzbeauftragten letztlich einige von ihnen in Gesetzesänderungen berücksichtigt(41). Zudem können dem Datenschutzbeauftragten seine offiziellen Stellungnahmen vom 10. und 22. Juni 2011(42) zum Entwurf des neuen Gesetzes, in denen er darauf hinwies, dass das Fehlen von Übergangsvorschriften eine Verletzung seiner Unabhängigkeit darstelle, und die demnach in seiner offiziellen Funktion als nach Art. 28 der Richtlinie eingesetzte Kontrollstelle erfolgten, auf keinen Fall zum Vorwurf gemacht und nicht als Rücktritt angesehen werden.
82. Ich bin daher der Ansicht, dass Ungarn dadurch gegen seine Verpflichtungen aus der Richtlinie verstoßen hat, dass es die Amtszeit der Kontrollstelle für den Datenschutz vorzeitig beendet hat.
83. Ich weise ergänzend darauf hin, dass ein die Vertragsverletzung in der vorliegenden Rechtssache feststellendes Urteil des Gerichtshofs sehr große Bedeutung hätte, und zwar nicht nur für die in Anwendung des Art. 28 Abs. 1 der Richtlinie geschaffenen Stellen, sondern auch für jede andere unabhängige Stelle, die in Anwendung des Unionsrechts geschaffen wird. Dieses Urteil würde, indem es diesen unabhängigen Stellen außer bei Vorliegen gesetzlich vorgegebener und objektiv überprüfbarer schwerwiegender Gründe die Unabsetzbarkeit bis zum vorgesehenen Ende ihrer Amtszeit gewährleistet, die schädliche Gefahr eines „vorauseilenden Gehorsams“ gegenüber – öffentlichen oder privaten – externen Akteuren erheblich verringern. Es würde das „Damoklesschwert“ der lähmenden Gefahr einer vorzeitigen Beendigung ihrer Amtszeit beseitigen.
VI – Zu den zeitlichen Wirkungen der Feststellung einer Vertragsverletzung
84. Ungarn hat für den Fall, dass der Gerichtshof der Klage der Kommission stattgibt, beantragt, die zeitlichen Wirkungen des Urteils zu begrenzen(43), um das Mandat des derzeitigen Präsidenten der Datenschutzbehörde nicht zu beeinträchtigen. Es trägt vor, auch die Konsequenzen aus dem Grundsatz der Rechtssicherheit schlössen eine Infragestellung der bereits endgültig abgeschlossenen Verfahren aus.
85. Es ist darauf hinzuweisen, dass der „Gerichtshof die Befugnis der Betroffenen, sich auf die Auslegung, die er einer Bestimmung gegeben hat, zu berufen, um in gutem Glauben begründete Rechtsverhältnisse in Frage zu stellen, nur ausnahmsweise aufgrund des allgemeinen gemeinschaftsrechtlichen Grundsatzes der Rechtssicherheit beschränken [kann]“(44). Außerdem rechtfertigen nach ständiger Rechtsprechung die finanziellen Konsequenzen, die sich aus einem im Vorabentscheidungsverfahren ergangenen Urteil für einen Mitgliedstaat ergeben können, für sich allein nicht die zeitliche Begrenzung der Wirkungen dieses Urteils(45).
86. Der Gerichtshof hat „diese Lösung in der Tat nur unter ganz bestimmten Umständen angewandt, wenn die Gefahr schwerwiegender wirtschaftlicher Auswirkungen bestand, die insbesondere auf die große Anzahl von Rechtsverhältnissen zurückzuführen waren, die gutgläubig auf der Grundlage der als gültig betrachteten Regelung eingegangen worden waren, und wenn sich herausstellte, dass die Bürger und die nationalen Behörden durch eine objektive und bedeutende Ungewissheit über die Tragweite der [Unionsbestimmungen], zu der gegebenenfalls auch das Verhalten anderer Mitgliedstaaten oder der Kommission beigetragen hatte, zu einem mit dem [Unionsrecht] unvereinbaren Verhalten veranlasst worden waren“(46).
87. „Selbst wenn man annähme, dass die nach Art. [258 AEUV] ergangenen Urteile die gleichen Wirkungen haben wie die nach Art. [267 AEUV] ergangenen und daher Erwägungen der Rechtssicherheit ausnahmsweise eine Beschränkung ihrer zeitlichen Wirkungen erforderlich machen könnten“(47), ist der Antrag Ungarns – seine formell ordnungsgemäße Formulierung unterstellt – meines Erachtens zurückzuweisen.
88. Ungarn hat nämlich nicht nachgewiesen, dass die Gefahr schwerwiegender wirtschaftlicher Störungen besteht oder dass es sich zur Zeit des Erlasses des Gesetzes, mit dem die Datenschutzbehörde geschaffen wurde, einer objektiven und bedeutenden Ungewissheit über die Tragweite des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie gegenübersah.
89. Zu jener Zeit hatte der Gerichtshof nämlich den in Art. 28 Abs. 1 Unterabs. 2 der Richtlinie enthaltenen Begriff „völlige Unabhängigkeit“ bereits ausgelegt(48). Das Unionsrecht konnte daher bei vernünftiger Betrachtung nicht dahin verstanden werden, dass es Ungarn erlaubte, die Amtszeit des Datenschutzbeauftragten vorzeitig zu beenden(49).
VII – Kosten
90. Nach Art. 138 Abs. 1 der Verfahrensordnung des Gerichtshofs ist die unterliegende Partei auf Antrag zur Tragung der Kosten zu verurteilen. Da die Kommission die Verurteilung Ungarns beantragt hat und Ungarn meines Erachtens mit seinen Anträgen unterliegen muss, bin ich der Auffassung, dass ihm die Kosten aufzuerlegen sind. Nach Art. 140 der Verfahrensordnung trägt der Europäische Datenschutzbeauftragte seine eigenen Kosten.
VIII – Ergebnis
91. In Anbetracht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor,
– festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen hat, dass es die Amtszeit des Datenschutzbeauftragten vorzeitig beendet hat,
– Ungarn zu verurteilen, seine eigenen Kosten und die Kosten der Europäischen Kommission zu tragen,
– den Europäischen Datenschutzbeauftragten zu verurteilen, seine eigenen Kosten zu tragen.