URTEIL DES GERICHTSHOFS (Große Kammer)

8. April 2014(*)

„Vertragsverletzung eines Mitgliedstaats – Richtlinie 95/46/EG – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr – Art. 28 Abs. 1 – Nationale Kontrollstellen – Unabhängigkeit – Nationale Rechtsvorschriften, mit denen das Mandat der Kontrollstelle vor Ablauf beendet wird – Schaffung einer neuen Kontrollstelle und Ernennung einer anderen Person zum Präsidenten“

In der Rechtssache C‑288/12

betreffend eine Vertragsverletzungsklage nach Art. 258 AEUV, eingereicht am 8. Juni 2012,

Europäische Kommission, vertreten durch K. Talabér-Ritz und B. Martenczuk als Bevollmächtigte, Zustellungsanschrift in Luxemburg,

Klägerin,

unterstützt durch:

Europäischer Datenschutzbeauftragter (EDSB), vertreten durch I. Chatelier, A. Buchta, Z. Belényessy und H. Kranenborg als Bevollmächtigte,

Streithelfer,

gegen

Ungarn, vertreten durch M. Z. Fehér als Bevollmächtigten,

Beklagter,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten V. Skouris, des Vizepräsidenten K. Lenaerts, der Kammerpräsidenten M. Ilešič, L. Bay Larsen, T. von Danwitz, E. Juhász, A. Borg Barthet, C. G. Fernlund und J. L. da Cruz Vilaça, der Richter G. Arestis und J. Malenovský, der Richterinnen M. Berger und A. Prechal sowie der Richter E. Jarašiūnas (Berichterstatter) und C. Vajda,

Generalanwalt: M. Wathelet,

Kanzler: C. Strömholm, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 15. Oktober 2013,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 10. Dezember 2013

folgendes

Urteil

1        Mit ihrer Klage beantragt die Europäische Kommission, festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) verstoßen hat, dass es das Mandat der Kontrollstelle für den Schutz personenbezogener Daten vorzeitig beendet hat.

 Rechtlicher Rahmen

 Unionsrecht

2        Der 62. Erwägungsgrund der Richtlinie 95/46 lautet:

„Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten.“

3        Art. 28 („Kontrollstelle“) der Richtlinie 95/46 bestimmt in den Abs. 1 und 2:

„(1)      Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

(2)      Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.“

4        Mit Kapitel V der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1) wird eine unabhängige Kontrollbehörde, der Europäische Datenschutzbeauftragte (EDSB), eingerichtet.

5        Art. 42 („Ernennung“) dieser Verordnung sieht vor:

„(1)      Das Europäische Parlament und der Rat ernennen den [EDSB] im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren, wobei sie ihre Entscheidung auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Einreichung von Bewerbungen erstellten Liste treffen.

(3)      Eine Wiederernennung des [EDSB] ist zulässig.

(4)      Außer bei normaler Neubesetzung oder im Todesfall enden die Aufgaben des [EDSB], wenn er von seinem Mandat zurücktritt oder nach Absatz 5 seines Amtes enthoben wird.

(5)      Der [EDSB] kann auf Antrag des Europäischen Parlaments, des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn er die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.

…“

 Ungarisches Recht

6        Bis zum 31. Dezember 2011 war die in Art. 28 der Richtlinie 95/46 geforderte Kontrollstelle für den Schutz personenbezogener Daten (im Folgenden: Kontrollstelle) durch das Gesetz Nr. LXIII von 1992 über den Schutz personenbezogener Daten und den Zugang zu Daten von allgemeinem Interesse in geänderter Fassung (im Folgenden: Gesetz von 1992) geregelt. Art. 23 dieses Gesetzes lautete:

„(1)      Das Parlament benennt einen Datenschutzbeauftragten, um das Grundrecht auf Schutz personenbezogener Daten und Zugang zu Daten von allgemeinem Interesse zu schützen …

(2)      Unbeschadet der in diesem Gesetz vorgesehenen Besonderheiten sind auf den Datenschutzbeauftragten die Bestimmungen des Gesetzes über den Parlamentsbeauftragten für Bürgerrechte anwendbar.“

7        Die Aufgaben des Datenschutzbeauftragten waren in den Art. 24 und 25 des Gesetzes von 1992 festgelegt. Art. 24 Buchst. a dieses Gesetzes sah insbesondere vor, dass der Datenschutzbeauftragte „auf Anzeige oder von Amts wegen die Einhaltung dieses Gesetzes und der anderen Rechtsnormen über die Datenverarbeitung [kontrolliert], sofern in der Sache kein Gerichtsverfahren anhängig ist“, und Art. 24 Buchst. d, dass er „die unionsweit einheitliche Anwendung der Rechtsvorschriften über die Verarbeitung persönlicher Daten und den Zugang zu Daten von allgemeinem Interesse [fördert]“.

8        Da das Gesetz von 1992 keine Bestimmungen über die Dauer oder das Ende der Amtszeit des Datenschutzbeauftragten enthielt, galten die Bestimmungen des Gesetzes Nr. LIX von 1993 über den Parlamentsbeauftragten für Bürgerrechte in der bis zum 31. Dezember 2011 geltenden Fassung (im Folgenden: Gesetz von 1993). Art. 4 Abs. 5 dieses Gesetzes sah vor, dass der Parlamentsbeauftragte für sechs Jahre gewählt wurde und einmal wiedergewählt werden konnte. Art. 15 des Gesetzes von 1992 regelte das Ende der Amtszeit wie folgt:

„(1)      Die Amtszeit des Parlamentsbeauftragten endet

a)      durch Ablauf,

b)      im Todesfall,

c)      durch Rücktritt,

d)      durch Erklärung eines Interessenkonflikts,

e)      durch Versetzung in den Ruhestand von Amts wegen,

f)      durch Amtsenthebung.

(2)      Der Präsident des Parlaments stellt das Ende der Amtszeit des Parlamentsbeauftragten nach Abs. 1 Buchst. a bis c fest. Über das Ende der Amtszeit in den Fällen des Abs. 1 Buchst. d bis f entscheidet das Parlament. Um die Amtszeit für beendet zu erklären, ist die Mehrheit von zwei Dritteln der Mitglieder erforderlich.

(3)      Der Rücktritt erfolgt durch schriftliche Erklärung gegenüber dem Präsidenten des Parlaments. Die Amtszeit des Parlamentsbeauftragten endet zu dem in dem Rücktritt angegebenen Zeitpunkt. Die Wirksamkeit des Rücktritts bedarf keiner Annahmeerklärung.

…“

9        Art. 15 Abs. 4 bis 6 des Gesetzes von 1993 regelte die Einzelheiten zu den in Art. 15 Abs. 1 Buchst. d bis f genannten Fällen. Insbesondere konnte nach Art. 15 Abs. 5 des Gesetzes von 1993 die Versetzung in den Ruhestand von Amts wegen nur erfolgen, wenn der Parlamentsbeauftragte aus von ihm nicht zu vertretenden Gründen für mehr als 90 Tage nicht in der Lage war, die mit seinem Amt verbundenen Aufgaben wahrzunehmen. Nach Art. 15 Abs. 6 des Gesetzes von 1993 konnte die Amtsenthebung verfügt werden, wenn der Parlamentsbeauftragte die mit seinem Amt verbundenen Aufgaben aus von ihm zu vertretenden Gründen für mehr als 90 Tage nicht wahrnahm, er seiner Pflicht zur Offenlegung seines Vermögens vorsätzlich nicht nachkam, er in dieser Erklärung seiner Vermögensverhältnisse vorsätzlich wesentliche Daten oder Tatsachen falsch angab oder wenn er eine durch rechtskräftiges Urteil festgestellte strafbare Handlung begangen hatte.

10      Das Grundgesetz Ungarns trat am 1. Januar 2012 in Kraft. Nach seinem Art. VI Abs. 3 wird „[d]ie Einhaltung des Rechts auf Schutz der personenbezogenen Daten sowie darauf, Daten von öffentlichem Interesse zu erfahren, … von einer unabhängigen, mit einem Schwerpunktgesetz geschaffenen Behörde kontrolliert“. Die Nrn. 3 und 5 der Schlussbestimmungen des Grundgesetzes sehen vor, dass das Parlament gesondert Übergangsbestimmungen verabschiedet, die Teil des Grundgesetzes sind.

11      Art. 16 dieser vom Parlament verabschiedeten Übergangsbestimmungen lautet:

„Mit Inkrafttreten des Grundgesetzes erlischt das Mandat des amtierenden Datenschutzbeauftragten.“

12      Dementsprechend wurden am 1. Januar 2012 die ungarischen Rechtsvorschriften über die Kontrollstelle geändert und trat das Gesetz Nr. CXII von 2011 über die informationelle Selbstbestimmung und die Informationsfreiheit (im Folgenden: Gesetz von 2011), das nach seinem Art. 77 Buchst. a die Richtlinie 95/46 in ungarisches Recht umsetzt, in Kraft. Dieses Gesetz hob das Gesetz von 1992 auf und setzte an die Stelle des Datenschutzbeauftragten die Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, im Folgenden: Datenschutzbehörde).

13      Die Aufgaben der Datenschutzbehörde sind in Art. 38 Abs. 2 und 3 des Gesetzes von 2011 festgelegt. Nach Art. 38 Abs. 2 dieses Gesetzes „überwacht und fördert [die Datenschutzbehörde] die Durchsetzung des Rechts auf Zugang zu Daten von öffentlichem Interesse und zu aus Gründen des Allgemeininteresses zugänglichen Daten sowie des Rechts auf Schutz personenbezogener Daten“. Art. 38 Abs. 3 des Gesetzes sieht u. a. vor, dass sie im Rahmen der ihr übertragenen Aufgaben auf Anzeige oder von Amts wegen tätig werden kann.

14      Art. 75 Abs. 1 und 2 des Gesetzes von 2011 sichert die Kontinuität zwischen dem Datenschutzbeauftragten und der Datenschutzbehörde, indem im Wesentlichen bestimmt wird, dass diese die dem Datenschutzbeauftragten vor dem 1. Januar 2012 übermittelten Daten auf der Grundlage der vor dem 1. Januar 2012 eingereichten Stellungnahmen weiter bearbeitet und dass sie ab dem 1. Januar 2012 die Daten verarbeitet, die vor diesem Zeitpunkt von dem Datenschutzbeauftragten verarbeitet worden sind.

15      Nach Art. 38 Abs. 5 des Gesetzes von 2011 ist „die Datenschutzbehörde … unabhängig und nur an das Gesetz gebunden, sie unterliegt keinen Weisungen anderer Einrichtungen und wird frei von jeglicher Einmischung tätig“. Der Datenschutzbehörde können gemäß dieser Vorschrift Aufgaben nur durch Gesetz übertragen werden.

16      Der Datenschutzbehörde steht nach Art. 40 Abs. 1 und 3 des Gesetzes von 2011 ein Präsident vor, der von dem Präsidenten der Republik auf Vorschlag des Ministerpräsidenten für eine Amtszeit von neun Jahren ernannt wird. Art. 45 dieses Gesetzes regelt das Ende der Amtszeit des Präsidenten der Datenschutzbehörde. In der seit dem 7. April 2012 geltenden Fassung des Gesetzes Nr. XXV von 2012 bestimmt Art. 45 Abs. 1:

„Die Amtszeit des Präsidenten der Datenschutzbehörde endet

a)      durch Ablauf,

b)      durch Rücktritt,

c)      im Todesfall,

c)      durch Feststellung, dass die Voraussetzungen seiner Ernennung nicht vorliegen oder dass gegen die Vorschriften über die Erklärung der Vermögensverhältnisse verstoßen wurde,

d)      durch Feststellung eines Interessenkonflikts.“

17      Die Einzelheiten zu diesen einzelnen Fällen sind in Art. 45 Abs. 2 bis 8 des Gesetzes von 2011 in der durch das Gesetz Nr. XXV von 2012 geänderten Fassung geregelt.

18      Art. 74 des Gesetzes von 2011 regelt die Ernennung des ersten Präsidenten der Datenschutzbehörde. Er lautet:

„Der Premierminister schlägt dem Präsidenten der Republik bis zum 15. November 2011 den ersten Präsidenten der Datenschutzbehörde vor. Der Präsident der Republik ernennt den ersten Präsidenten der Datenschutzbehörde mit Wirkung vom 1. Januar 2012.“

 Sachverhalt

19      Am 29. September 2008 wurde Herr Jóri nach dem Gesetz von 1992 zum Datenschutzbeauftragten ernannt und nahm am selben Tag seine Amtsgeschäfte auf. Da seine Amtszeit sechs Jahre betrug, hätte sie im September 2014 enden müssen. Nach Art. 16 der Übergangsbestimmungen des Grundgesetzes endete sie jedoch am 31. Dezember 2011. Die Datenschutzbehörde nahm ihre Tätigkeit am 1. Januar 2012 auf, und Herr Péterfalvi wurde vom Präsidenten der Republik auf Vorschlag des Ministerpräsidenten für eine Amtszeit von neun Jahren zum Präsidenten der Datenschutzbehörde ernannt.

 Vorgerichtliches Verfahren und Verfahren vor dem Gerichtshof

20      Am 17. Januar 2012 richtete die Kommission ein Mahnschreiben an Ungarn. Sie machte darin geltend, Ungarn habe gegen Art. 28 Abs. 1 und 2 der Richtlinie 95/46 verstoßen, indem es die Amtszeit des Datenschutzbeauftragten vorzeitig beendet, diesen nicht zum Entwurf des neuen Datenschutzgesetzes angehört sowie in diesem neuen Gesetz zu viele Möglichkeiten für eine Beendigung der Amtszeit des Präsidenten der Datenschutzbehörde vorgesehen sowie dem Präsidenten der Republik und dem Ministerpräsidenten dabei eine Rolle zugewiesen habe.

21      Mit Schreiben vom 17. Februar 2012 wies Ungarn den Vorwurf einer Vertragsverletzung zurück. Es machte erstens geltend, die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten sei Folge der Änderung des ungarischen Modells der Kontrollstelle gewesen, der Datenschutzbeauftragte habe nicht zum Präsidenten der Datenschutzbehörde ernannt werden wollen und eine vorzeitige Beendigung der Amtszeit des derzeitigen Präsidenten der Datenschutzbehörde stünde nicht im Einklang mit den Rechtsnormen, die dessen Unabhängigkeit gewährleisteten. Zweitens übermittelte Ungarn der Kommission Unterlagen über die Anhörung des Datenschutzbeauftragten zum Entwurf eines neuen Datenschutzgesetzes. Drittens kündigte es an, dass die Bestimmungen über die Möglichkeiten zur Beendigung der Amtszeit des Präsidenten der Datenschutzbehörde geändert würden, um den Bedenken der Kommission zu begegnen.

22      Am 7. März 2012 richtete die Kommission eine mit Gründen versehene Stellungnahme an Ungarn, in der sie ihre Vorbehalte hinsichtlich der Anhörung des Datenschutzbeauftragten zu dem neuen Datenschutzgesetz zurückzog. Sie wiederholte jedoch ihre Bedenken hinsichtlich zum einen der vorzeitigen Beendigung der Amtszeit des Datenschutzbeauftragten sowie zum anderen der Möglichkeiten, die Amtszeit des Präsidenten der Datenschutzbehörde zu beenden, und der Rolle, die dem Präsidenten der Republik und dem Ministerpräsidenten dabei zukommt. Zu diesem letztgenannten Gesichtspunkt stellte sie jedoch in Aussicht, dass sie den Verstoß in dieser Hinsicht als beendet ansähe, wenn Ungarn die angekündigten Gesetzesänderungen innerhalb der in der mit Gründen versehenen Stellungnahme gesetzten Frist, d. h. innerhalb eines Monats ab ihrer Bekanntgabe, erlasse.

23      Ungarn antwortete mit Schreiben vom 30. März 2012 auf die mit Gründen versehene Stellungnahme. Es kündigte an, dass das Gesetz zur Änderung von Art. 45 des Gesetzes von 2011 in den folgenden Tagen erlassen werde, was am 2. April 2012 durch das Gesetz Nr. XXV von 2012, das am 7. April 2012 in Kraft trat, auch geschah. Ungarn hielt in dem Schreiben jedoch an seinem Standpunkt hinsichtlich der vorzeitigen Beendigung der Amtszeit des Datenschutzbeauftragten fest, was die Kommission dazu veranlasste, die vorliegende Klage zu erheben.

24      Mit Schreiben vom 6. Dezember 2012 hat Ungarn gemäß Art. 60 Abs. 1 der Verfahrensordnung des Gerichtshofs beantragt, dass die Große Kammer über die Rechtssache entscheidet.

25      Durch Beschluss des Präsidenten des Gerichtshofs vom 8. Januar 2013 ist der EDSB als Streithelfer zur Unterstützung der Anträge der Kommission zugelassen worden.

 Zur Klage

 Zulässigkeit

 Vorbringen der Parteien

26      Nach Auffassung Ungarns ist die vorliegende Klage unzulässig, da das Urteil, mit dem die geltend gemachte Vertragsverletzung festgestellt würde, nicht durchgeführt werden könnte. Sollte der Gerichtshof nämlich feststellen, dass die Amtszeit des Datenschutzbeauftragten unter Verstoß gegen die Richtlinie 95/46 beendet worden sei, könnte ein solcher Rechtsverstoß nur dadurch beseitigt werden, dass der Präsident der Datenschutzbehörde abberufen und durch den früheren Datenschutzbeauftragten ersetzt würde, was auf eine Wiederholung der geltend gemachten Vertragsverletzung hinausliefe. Die Kommission könne den Gerichtshof jedoch nicht um ein Urteil auf Feststellung einer Vertragsverletzung ersuchen, dem der betreffende Mitgliedstaat nur unter Verstoß gegen das Unionsrecht nachkommen könnte. Auch führte die vorzeitige Beendigung der Amtszeit des Präsidenten der Datenschutzbehörde zu einem Verstoß gegen den im Grundgesetz festgeschriebenen Grundsatz der Unabhängigkeit der Datenschutzbehörde.

27      Die von der Kommission vorgeschlagene Lösung zur Behebung der geltend gemachten Vertragsverletzung würde, sollte diese festgestellt werden, außerdem dazu führen, dass alle vom derzeitigen Präsidenten der Datenschutzbehörde ergriffenen Maßnahmen nicht mit dem Unionsrecht vereinbar wären, da sie von einer Kontrollstelle erlassen worden wären, die den Anforderungen der Richtlinie 95/46 nicht entspräche, und es käme zu einem Verstoß gegen den Grundsatz der Rechtssicherheit. Das Gesetz von 2011 erfülle jedoch die Anforderungen der Richtlinie 95/46.

28      Die Kommission entgegnet, dass das Vorbringen Ungarns zurückzuweisen sei, die vorliegende Klage nicht gegenstandslos werde und der Durchführung eines Urteils, mit dem die geltend gemachte Vertragsverletzung festgestellt würde, nichts entgegenstünde.

 Würdigung durch den Gerichtshof

29      Zunächst ist daran zu erinnern, dass nach ständiger Rechtsprechung des Gerichtshofs das Vorliegen einer Vertragsverletzung anhand der Lage zu beurteilen ist, in der sich der Mitgliedstaat bei Ablauf der Frist befand, die in der mit Gründen versehenen Stellungnahme gesetzt wurde (Urteil Kommission/Portugal, C‑20/09, EU:C:2011:214, Rn. 31 und die dort angeführte Rechtsprechung). Im vorliegenden Fall lief die Frist, die Ungarn in der mit Gründen versehenen Stellungnahme gesetzt worden war, um dieser nachzukommen, einen Monat nach deren Zustellung, d. h. am 7. April 2012, ab.

30      Insoweit hat der Gerichtshof zwar bereits entscheiden können, dass eine Vertragsverletzungsklage unzulässig ist, wenn die geltend gemachte Verletzung bei Ablauf der in der mit Gründen versehenen Stellungnahme gesetzten Frist keine rechtlichen Wirkungen mehr erzeugte (vgl. in diesem Sinne Urteile Kommission/Spanien, C‑221/04, EU:C:2006:329, Rn. 25 und 26, und Kommission/Portugal, EU:C:2011:214, Rn. 33).

31      Im vorliegenden Fall liegt die von der Kommission gerügte Vertragsverletzung jedoch darin, dass der Datenschutzbeauftragte sein Amt nicht bis zum Ablauf der ursprünglich vorgesehenen Zeit ausüben konnte; diese Zeit war unstreitig zu dem in der mit Gründen versehenen Stellungnahme festgelegten Zeitpunkt noch nicht abgelaufen. Daher kann nicht davon ausgegangen werden, dass die gerügte Vertragsverletzung nach Ablauf der in der mit Gründen versehenen Stellungnahme gesetzten Frist keine Wirkungen mehr erzeugte.

32      Der Umstand – unterstellt, er wäre erwiesen –, dass das Gesetz von 2011 den Vorgaben der Richtlinie 95/46 entspricht, wäre insoweit unerheblich, da er nicht die Frage berührt, ob die gerügte Vertragsverletzung bei Ablauf der in der mit Gründen versehenen Stellungnahme gesetzten Frist noch Wirkungen erzeugte; die vorliegende Klage bezieht sich nämlich nur auf die Frage, ob Ungarn dadurch, dass es die Amtszeit des Datenschutzbeauftragten vorzeitig beendete, gegen seine Verpflichtungen aus der Richtlinie 95/46 verstoßen hat.

33      Sodann ist darauf hinzuweisen, dass ein Mitgliedstaat, wenn der Gerichtshof feststellt, dass dieser Staat gegen eine Verpflichtung aus den Verträgen verstoßen hat, nach Art. 260 Abs. 1 AEUV die Maßnahmen zu ergreifen hat, die sich aus dem Urteil des Gerichtshofs ergeben, da die Frage, welche Maßnahmen zu ergreifen sind, um einem Urteil in einem Vertragsverletzungsverfahren nachzukommen, nicht Gegenstand eines Urteils nach Art. 258 AEUV ist (vgl. in diesem Sinne Urteil Kommission/Deutschland, C‑503/04, EU:C:2007:432, Rn. 15 und die dort angeführte Rechtsprechung).

34      Der von Ungarn angeführte Umstand – unterstellt, er wäre erwiesen –, dass die gerügte Vertragsverletzung nicht ohne Verstoß gegen die Richtlinie 95/46 oder den Grundsatz der Rechtssicherheit abgestellt werden könnte, fällt daher jedenfalls unter die Durchführung des Urteils, mit dem die Vertragsverletzung festgestellt wird, und hat demnach auf die Zulässigkeit der vorliegenden Klage keinen Einfluss.

35      Zu dem Vorbringen Ungarns schließlich, dass die Durchführung des Urteils, mit dem die gerügte Vertragsverletzung festgestellt werde, eine Sachlage schaffen könnte, die mit dem Grundgesetz unvereinbar sei, ist festzustellen, dass nach ständiger Rechtsprechung ein Mitgliedstaat sich nicht auf Bestimmungen seiner internen Rechtsordnung, auch nicht auf solche verfassungsrechtlicher Art, berufen kann, um die Nichteinhaltung der aus dem Unionsrecht folgenden Verpflichtungen zu rechtfertigen (vgl. u. a. Urteile Kommission/Belgien, 102/79, EU:C:1980:120, Rn. 15, und Kommission/Portugal, C‑70/06, EU:C:2008:3, Rn. 21 und 22).

36      Nach alledem ist die vorliegende Klage zulässig.

 Begründetheit

 Vorbringen der Parteien

37      Die Kommission, unterstützt durch den EDSB, macht geltend, dass der Ausdruck „in völliger Unabhängigkeit“ in Art. 28 Abs. 1 der Richtlinie 95/46 nach der Rechtsprechung des Gerichtshofs eine vollständige Unabhängigkeit von jeglicher Einflussnahme, sei sie unmittelbar oder mittelbar, bedeute, die gewährleiste, dass die betreffende Kontrollstelle ohne äußere Einflussnahme und ohne die Gefahr, dass eine solche Einflussnahme ausgeübt werde, völlig frei von Weisungen und Druck handeln könne.

38      Die Kommission und der EDSB erkennen an, dass die Richtlinie 95/46 den Mitgliedstaaten bei der Umsetzung ihres Art. 28, insbesondere bei der Wahl des institutionellen Modells und der genauen Dauer des Mandats der Kontrollstelle, einen Handlungsspielraum einräumt. Die Mitgliedstaaten könnten diese Dauer daher grundsätzlich frei bestimmen. Sei jedoch die Dauer des Mandats einmal festgesetzt, müsse der Mitgliedstaat sie beachten und könne sie nur aus schwerwiegenden und objektiv nachprüfbaren Gründen vor ihrem Ablauf beenden. Diese Auslegung werde durch einen Vergleich mit Art. 42 der Verordnung Nr. 45/2001 über den EDSB bestätigt.

39      Im vorliegenden Fall habe Ungarn nicht nachgewiesen, dass die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten durch einen objektiven Grund gerechtfertigt sei. Erstens könne die Reform der Kontrollstelle keine zulässige Rechtfertigung darstellen, auch wenn Ungarn das Recht habe, das institutionelle Modell seiner Kontrollstelle zu ändern. Zweitens habe Ungarn nicht nachgewiesen, dass der Datenschutzbeauftragte auf das Recht, sein Amt weiterzuführen, verzichtet und sich geweigert habe, die Datenschutzbehörde zu leiten. Drittens sei unerheblich, ob die in Rede stehende ungarische Regelung Teil des Grundgesetzes und seiner Übergangsbestimmungen sei und ob das Gesetz von 2011 die Kriterien der Richtlinie 95/46 erfülle.

40      Ungarn weist zunächst darauf hin, dass die Entscheidung, an die Stelle des Datenschutzbeauftragten eine Einrichtung in Form einer Behörde zu setzen, und, damit einhergehend, die Entscheidung, die Amtszeit des Datenschutzbeauftragten zu beenden, vom Verfassungsgeber getroffen worden seien und dass das neue Gesetz über die Datenschutzbehörde auf dem Grundgesetz beruhe.

41      In der Sache tritt Ungarn der Auffassung der Kommission und des EDSB entgegen. Es sei zweifelhaft, ob sich das Unabhängigkeitsgebot des Art. 28 der Richtlinie 95/46 auf die Entscheidung eines Mitgliedstaats über die Form oder eine Änderung der Form, die der Kontrollstelle zugewiesen werde, erstrecke, sofern die Arbeitsweise und der Entscheidungsprozess der geschaffenen Einrichtung im Einklang mit dem Unabhängigkeitsgebot stünden, wie es in dieser Richtlinie vorgesehen sei und vom Gerichtshof ausgelegt werde.

42      Aus dem Wortlaut von Art. 28 der Richtlinie 95/46 und von Art. 44 der Verordnung Nr. 45/2001 sowie aus der Rechtsprechung des Gerichtshofs ergebe sich eindeutig, dass das Unabhängigkeitsgebot nach Art. 28 Abs. 1 der Richtlinie 95/46 an die Unabhängigkeit bei der Wahrnehmung der den Kontrollstellen übertragenen Aufgaben anknüpfe und sich folglich auf die funktionelle Unabhängigkeit der betreffenden Behörde beziehe. Die ungarische Regelung sowohl vor als auch nach dem 1. Januar 2012 komme dieser Vorgabe in vollem Umfang nach. Art. 28 der Richtlinie 95/46 lasse sich nicht entnehmen, dass der Person, die diese Behörde leite, ein subjektives Recht auf Ausübung dieser Tätigkeit verliehen werden müsse. Soweit die funktionelle Unabhängigkeit der Stelle gewährleistet sei, sei unerheblich, dass in der Person, die an deren Spitze stehe, eine Änderung erfolge, selbst wenn dies vor dem Ablauf ihrer ursprünglichen Amtszeit geschehe. Dieses Konzept stehe im Einklang mit der den Mitgliedstaaten übertragenen Befugnis, die Dauer der Amtszeit der Kontrollstellen festzusetzen.

43      Da die Richtlinie 95/46 weder die Struktur noch die Organisation der Kontrollstellen, noch die Dauer der Amtszeit der diese leitenden Personen regele, stehe es den Mitgliedstaaten frei, die institutionelle Struktur der Kontrollstellen zu bestimmen. Diese Freiheit umfasse auch die Wahl der Person, die im Rahmen des ausgewählten institutionellen Modells mit der Wahrnehmung der Aufgaben der Kontrollstelle betraut werde, und die Entscheidung, sie bei Änderung des Modells – auch in dem Fall, dass sich diese aus einem vorzeitigen Ende des Mandats der amtierenden Kontrollstelle „durch Gesetz“ ergebe – zu ersetzen.

44      Die einzige Beschränkung, die Art. 28 der Richtlinie 95/46 den Mitgliedstaaten auferlege, bestehe darin, sicherzustellen, dass die Kontrollstellen ihre Aufgabe während der Dauer ihres von den Mitgliedstaaten selbst festgelegten Mandats ununterbrochen und in völliger Unabhängigkeit wahrnehmen können. Das sei hier der Fall.

45      Eine Änderung des institutionellen Systems des Datenschutzes stelle daher einen objektiven Grund dar, der die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten rechtfertige. Da das neue System sowie das Ende der Amtszeit des Datenschutzbeauftragten durch das Grundgesetz und dessen Übergangsbestimmungen vorgeschrieben würden, hätte weder das alte noch das neue Gesetz andere Vorschriften in dem Bereich enthalten können. In Anbetracht der durch die neue Regelung eingeführten institutionellen Änderung wäre eine Vorschrift, nach der der Datenschutzbeauftragte automatisch die Aufgabe des Präsidenten der Datenschutzbehörde übernähme, nicht gerechtfertigt gewesen. Im Übrigen habe der Datenschutzbeauftragte zum Ausdruck gebracht, dass er mit dem neuen institutionellen Modell nicht einverstanden sei und dass er nicht vorhabe, eine entsprechende Ernennung anzunehmen.

46      Folgte man der Auffassung der Kommission, müsste die Richtlinie 95/46 dahin ausgelegt werden, dass sie auch verbiete, dass die Amtszeit der Person an der Spitze der Kontrollstelle erneuert werden oder diese Person ein anderes öffentliches Wahlamt ausüben könnte. Diese Auffassung hätte nämlich zur Folge, dass die Aussicht auf eine Wiederernennung oder auf Ausübung eines anderen öffentlichen Wahlamts den Präsidenten der Kontrollstelle veranlassen könnte, mit Blick auf sein späteres berufliches Fortkommen den tatsächlichen oder mutmaßlichen Erwartungen der politisch Verantwortlichen nachzukommen.

 Würdigung durch den Gerichtshof

47      Zunächst ist daran zu erinnern, dass die Mitgliedstaaten nach Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 eine oder mehrere Kontrollstellen einrichten müssen, die die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen. Das Erfordernis, die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle zu überwachen, ergibt sich auch aus dem Primärrecht der Union, nämlich aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und aus Art. 16 Abs. 2 AEUV.

48      Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten stellt daher – wie es auch im 62. Erwägungsgrund der Richtlinie 95/46 heißt – ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten dar (Urteile Kommission/Deutschland, C‑518/07, EU:C:2010:125, Rn. 23, und Kommission/Österreich, C‑614/10, EU:C:2012:631, Rn. 37).

49      Es ist darauf hinzuweisen, dass in Ungarn das Gesetz von 1992 vorsah, dass das Amt der Kontrollstelle für den Schutz personenbezogener Daten im Sinne der Richtlinie 95/46 von dem mit der Möglichkeit einer einmaligen Wiederernennung für eine Amtszeit von sechs Jahren ernannten Datenschutzbeauftragten wahrgenommen wurde, was Ungarn nicht bestreitet.

50      Zur Beurteilung der Begründetheit der vorliegenden Klage ist zu prüfen, ob, wie die Kommission geltend macht, die Vorgabe von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46, nach der zu gewährleisten ist, dass die Kontrollstellen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen, die Verpflichtung des betreffenden Mitgliedstaats einschließt, die Dauer des Mandats einer solchen Stelle bis zu seinem ursprünglich vorgesehenen Ablauf zu beachten.

51      Der Gerichtshof hat bereits entschieden, dass Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 dahin auszulegen ist, dass die für die Überwachung der Verarbeitung personenbezogener Daten zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt u. a. jede Anordnung und jede sonstige wie auch immer geartete äußere Einflussnahme aus, sei sie unmittelbar oder mittelbar, an denen ihre Entscheidungen ausgerichtet werden könnten und durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe erfüllen, zwischen dem Schutz des Rechts auf Privatsphäre und dem freien Verkehr personenbezogener Daten ein ausgewogenes Verhältnis herzustellen (vgl. in diesem Sinne Urteile Kommission/Deutschland, EU:C:2010:125, Rn. 30, und Kommission/Österreich, EU:C:2012:631, Rn. 41 und 43).

52      Die funktionelle Unabhängigkeit der Kontrollstellen in dem Sinn, dass deren Mitglieder bei der Wahrnehmung ihrer Aufgaben an keine Anordnung gebunden sind, ist daher eine notwendige Voraussetzung dafür, dass sie das Kriterium der Unabhängigkeit im Sinne von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 erfüllen können, doch reicht eine solche funktionelle Unabhängigkeit entgegen dem Vorbringen Ungarns für sich allein nicht aus, um die Kontrollstellen vor jeder äußeren Einflussnahme zu bewahren (Urteil Kommission/Österreich, EU:C:2012:631, Rn. 42).

53      Insoweit hat der Gerichtshof bereits entschieden, dass schon die bloße Gefahr einer politischen Einflussnahme auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen. Zum einen könnte daraus nämlich ein „vorauseilender Gehorsam“ dieser Stellen im Hinblick auf die Entscheidungspraxis der Aufsichtsstelle folgen. Zum anderen erfordert Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 angesichts der Rolle der Kontrollstellen als Hüter des Rechts auf Privatsphäre, dass ihre Entscheidungen, also sie selbst, über jeglichen Verdacht der Parteilichkeit erhaben sind (Urteile Kommission/Deutschland, EU:C:2010:125, Rn. 36, und Kommission/Österreich, EU:C:2012:631, Rn. 52).

54      Dürfte aber ein Mitgliedstaat das Mandat einer Kontrollstelle vor seinem ursprünglich vorgesehenen Ablauf beenden, ohne die von den anwendbaren Rechtsvorschriften zu diesem Zweck im Voraus festgelegten Grundsätze und Garantien zu beachten, könnte die Drohung einer solchen vorzeitigen Beendigung, die dann während der gesamten Ausübung des Mandats über dieser Stelle schwebte, zu einer Form des Gehorsams dieser Stelle gegenüber den politisch Verantwortlichen führen, die mit dem Unabhängigkeitsgebot nicht vereinbar wäre (vgl. in diesem Sinne Urteil Kommission/Österreich, EU:C:2012:631, Rn. 51). Dies gilt auch dann, wenn das vorzeitige Ende des Mandats auf einer Umstrukturierung oder einer Änderung des Modells beruht; diese sind in einer Weise zu gestalten, dass sie die Anforderungen der geltenden Rechtsvorschriften an die Unabhängigkeit erfüllen.

55      Zudem könnte in einer solchen Situation nicht davon ausgegangen werden, dass die Kontrollstelle bei ihrer Tätigkeit in jedem Fall über jeden Verdacht der Parteilichkeit erhaben ist. Das Unabhängigkeitsgebot in Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 ist daher notwendigerweise dahin auszulegen, dass es die Verpflichtung umfasst, die Dauer des Mandats der Kontrollstellen bis zu seinem Ablauf zu beachten und sie nur unter Einhaltung der Grundsätze und Garantien der anwendbaren Rechtsvorschriften vorzeitig zu beenden.

56      Diese Auslegung spiegelt sich in den für die Beendigung der Amtszeit des EDSB geltenden Bestimmungen wider. Aus Kapitel V der Verordnung Nr. 45/2001 und vor allem aus deren Art. 42 Abs. 4 und 5, der strikte Vorgaben macht, unter welchen Umständen die Amtszeit des EDSB vorzeitig beendet werden kann, geht nämlich hervor, dass die Beachtung der Amtszeit des EDSB bis zu ihrem Ablauf – es sei denn, es wäre ein schwerwiegender und objektiv nachprüfbarer Grund gegeben – eine Hauptvoraussetzung seiner Unabhängigkeit ist.

57      Im vorliegenden Fall konnte nach Art. 15 Abs. 1 des Gesetzes von 1993, der gemäß Art. 23 Abs. 2 des Gesetzes von 1992 auf den Datenschutzbeauftragten Anwendung fand, dessen Amtszeit nur durch Ablauf, Todesfall, Rücktritt, Erklärung eines Interessenkonflikts, Versetzung in den Ruhestand von Amts wegen oder Amtsenthebung beendet werden. In den drei letztgenannten Fällen war eine mit einer Mehrheit von zwei Dritteln seiner Mitglieder angenommene Entscheidung des Parlaments erforderlich. Im Übrigen konnte sowohl die Versetzung in den Ruhestand von Amts wegen als auch die Amtsenthebung nur unter eingeschränkten, in Art. 15 Abs. 5 bzw. 6 des Gesetzes von 1993 näher beschriebenen Umständen erfolgen.

58      Es ist jedoch unstreitig, dass die Amtszeit des Datenschutzbeauftragten nicht aufgrund einer dieser Vorschriften beendet worden ist und dass er insbesondere nicht offiziell zurückgetreten ist.

59      Ungarn hat daher die Amtszeit des Datenschutzbeauftragten beendet, ohne die zum Schutz dieser Amtszeit gesetzlich vorgesehenen Garantien zu beachten, und damit dessen Unabhängigkeit im Sinne von Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 beeinträchtigt. Der Umstand, dass diese vorzeitige Beendigung auf einer Änderung des institutionellen Modells beruht, kann sie – wie in Rn. 54 des vorliegenden Urteils ausgeführt – nicht mit dem Erfordernis der Unabhängigkeit der Kontrollbehörden gemäß dieser Vorschrift in Einklang bringen.

60      Zwar steht es den Mitgliedstaaten frei, das institutionelle Modell, das ihnen für ihre Kontrollstellen am geeignetsten erscheint, festzulegen und zu ändern. Sie müssen in diesem Rahmen jedoch dafür Sorge tragen, dass die Unabhängigkeit der Kontrollstelle gemäß Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 nicht beeinträchtigt wird, die, wie in Rn. 54 des vorliegenden Urteils ausgeführt worden ist, die Verpflichtung zur Beachtung der Dauer ihres Mandats einschließt.

61      Auch wenn sich, wie Ungarn geltend macht, der Datenschutzbeauftragte und die Datenschutzbehörde in Organisation und Struktur grundlegend voneinander unterscheiden, obliegen beiden Einrichtungen jedoch, wie aus den ihnen jeweils übertragenen Aufgaben und der bei der Bearbeitung der Vorgänge durch Art. 75 Abs. 1 und 2 des Gesetzes von 2011 sichergestellten Kontinuität zwischen ihnen hervorgeht, im Wesentlichen die gleichen Aufgaben, nämlich diejenigen, mit denen nach der Richtlinie 95/46 die nationalen Kontrollstellen betraut sind. Die bloße Änderung des institutionellen Modells kann daher keine objektive Rechtfertigung dafür sein, dass die Beendigung der Amtszeit der Person, der die Aufgaben des Datenschutzbeauftragten übertragen waren, möglich ist, ohne dass Übergangsmaßnahmen vorgesehen werden, die die Beachtung der Dauer ihrer Amtszeit gewährleisten.

62      Nach alledem ist festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus der Richtlinie 95/46 verstoßen hat, dass es das Mandat der Kontrollstelle für den Schutz personenbezogener Daten vorzeitig beendet hat.

 Zur Beschränkung der zeitlichen Wirkungen des vorliegenden Urteils

63      Ungarn schlägt dem Gerichtshof vor, die zeitlichen Wirkungen seines Urteils zu beschränken, indem er vorsehe, dass die festgestellte Vertragsverletzung das Mandat des Präsidenten der Datenschutzbehörde nicht beeinträchtige. Es stützt seinen Antrag darauf, dass das Gesetz von 2011 mit der Richtlinie 95/46 vereinbar und die durch die vorliegende Rechtssache aufgeworfene Problemstellung neu sei. Die Kommission beantragt dagegen, diesem Antrag nicht stattzugeben.

64      Selbst wenn man annähme, dass die nach Art. 258 AEUV ergangenen Urteile die gleichen Wirkungen haben wie die nach Art. 267 AEUV ergangenen und daher Erwägungen der Rechtssicherheit ausnahmsweise eine Beschränkung ihrer zeitlichen Wirkungen erforderlich machen könnten, sofern die von der Rechtsprechung des Gerichtshofs im Rahmen des Art. 267 AEUV geforderten Voraussetzungen vorliegen (vgl. u. a. Urteile Kommission/Griechenland, C‑178/05, EU:C:2007:317, Rn. 67 und die dort angeführte Rechtsprechung, sowie Kommission/Irland, C‑82/10, EU:C:2011:621, Rn. 63 und die dort angeführte Rechtsprechung), ist festzustellen, dass Ungarn im vorliegenden Fall nicht nachgewiesen hat, dass diese Voraussetzungen vorlagen. Insbesondere ist im Hinblick auf die in Rn. 62 des vorliegenden Urteils festgestellte Vertragsverletzung der Ausdruck „in völliger Unabhängigkeit“ in Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 als solcher eindeutig, und war jedenfalls über ein Jahr vor dieser Vertragsverletzung bereits Gegenstand der Auslegung durch den Gerichtshof im Urteil Kommission/Deutschland, EU:C:2010:125. Nach Erlass dieses Urteils konnte das Unionsrecht nämlich bei vernünftiger Betrachtung nicht dahin verstanden werden, dass es eine vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten durch Ungarn zulässt.

65      Dem Antrag Ungarns auf Beschränkung der zeitlichen Wirkungen des vorliegenden Urteils ist daher nicht stattzugeben.

 Kosten

66      Nach Art. 138 Abs. 1 der Verfahrensordnung ist die unterliegende Partei auf Antrag zur Tragung der Kosten zu verurteilen. Da die Kommission die Verurteilung Ungarns zur Tragung der Kosten beantragt hat und dieses mit seinem Vorbringen unterlegen ist, sind ihm die Kosten aufzuerlegen.

67      Nach Art. 140 Abs. 3 der Verfahrensordnung kann der Gerichtshof entscheiden, dass ein anderer Streithelfer als die in den Abs. 1 und 2 dieses Art. 140 genannten seine eigenen Kosten trägt. Dementsprechend erlegt der Gerichtshof dem EDSB, der dem Rechtsstreit als Streithelfer beigetreten ist, seine eigenen Kosten auf.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt und entschieden:

1.      Ungarn hat dadurch gegen seine Verpflichtungen aus der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, dass es das Mandat der Kontrollstelle für den Schutz personenbezogener Daten vorzeitig beendet hat.

2.      Ungarn trägt die Kosten.

3.      Der Europäische Datenschutzbeauftragte (EDSB) trägt seine eigenen Kosten.

Unterschriften


* Verfahrenssprache: Ungarisch.