EuGH: "Völlige Unabhängigkeit" der Datenschutzaufsicht zu gewährleisten [Update]

Der Europäische Gerichtshof (EuGH) hat die Bundesrepublik Deutschland im Einklang mit einem Antrag der EU-Kommission für schuldig befunden, mit der in den Bundesländern vielfach gehandhabten Praxis der "staatlichen Aufsicht" über Instanzen zur Datenschutzkontrolle gegen EU-Recht verstoßen zu haben. In dem am heutigen Dienstag verkündeten Urteil (Az. C-518/07) betont die Große Kammer, dass die EU-Datenschutzrichtlinie die "völlige Unabhängigkeit" der Arbeit der zuständigen Kontrollstellen vorschreibe. Die Bundesrepublik habe diese Vorgabe falsch umgesetzt, indem sie die Überwachung der Verarbeitung personenbezogener Daten durch private Stellen und öffentlich-rechtliche Wettbewerbsunternehmen ihrerseits einer staatlichen Kontrolle unterworfen habe.

Die Richter wenden sich mit der Entscheidung gegen die Empfehlung des Generalanwalts Jan Mazak vom November, was selten vorkommt. Dieser hatte in seinem Schlussantrag die Meinung vertreten, aus einer staatlichen Aufsicht der Kontrollstellen sei nicht zu schlussfolgern, dass sie ihre Arbeit nicht vollkommen unabhängig im Sinne der EU-Vorgaben durchführen könnten. Der EuGH hielt dagegen, dass die Datenschutzaufsicht im privaten Bereich "jeglicher äußeren Einflussnahme entzogen sein" müsse, "die ihre Entscheidungen steuern könnte". Dies sei erforderlich, um in allen Mitgliedstaaten ein gleich hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schaffen, und trage so zum "freien Datenverkehr" im Binnenmarkt bei. Die Grundrechte müssten in der EU überall auf gleichem Niveau gewahrt werden.

[Update: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, sieht in dem Urteil eine deutliche Stärkung des Datenschutzes. Der EuGH habe klargestellt, dass jedes Risiko einer Einflussnahme auf die objektive und unabhängige Entscheidung der Datenschutzaufsichtsbehörden vermieden werden muss. In Schaars Stellungnahme heißt es weiter, auch wenn sich das Urteil direkt auf die Aufsichtsbehörden der Länder beziehe, müsse auch untersucht werden, welche weiteren Konsequenzen sich für die anderen Stellen ergeben, die über den Datenschutz wachen.]

Der Streit zwischen Kommission und der Bundesrepublik um die Aufsicht über die Gewährleistung der Privatsphäre zieht sich schon gut fünf Jahre hin. 2005 hatte die Brüsseler Behörde wegen angeblich unzulässiger Datenschutzgesetze ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet und eine Stellungnahme verlangt. Ende 2006 forderte sie die Bundesrepublik dazu auf, die Organisation der Kontrollstellen für die Datenverarbeitung im nicht-öffentlichen Bereich in den Bundesländern zu ändern. Im Allgemeinen dienen hierzulande die Regierungspräsidien der Länder als Datenschutz-Aufsichtbehörden. Ein Rechtsstreit um die Aufbewahrung von IP-Adressen in Hessen etwa hatte aber Anlass zu der Vermutung gegeben, dass diese Kontrolle nicht immer wirklich frei von Interessenkonflikten agiert.

Einzelne Bundesländer haben bereits vor dem Richterspruch begonnen, die Zuständigkeiten für die Datenschutzaufsicht neu zu organisieren und zu vereinheitlichen. Zuletzt machte in Brandenburg Anfang des Jahres die rot-rote Regierungskoalition den Weg frei für eine entsprechende Gesetzesänderung. So soll die Kontrolle für den privaten und den öffentlichen Bereich bei der Landesdatenschutzbeauftragten Dagmar Hartge gebündelt werden. Ein Ziel dabei ist es, den EU-Anforderungen Rechnung zu tragen. Vergleichbare kombinierte Kontrollansätze gibt es bereits in Hamburg, Sachsen, Schleswig-Holstein, Berlin, Mecklenburg-Vorpommern und Nordrhein-Westfalen. (anw)