EuGH: Datenschutzaufsicht in Deutschland nicht unabhängig
Der EuGH hat am Dienstag entschieden, dass deutsche Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich nicht unabhängig genug sind und Deutschland damit gegen Art. 28 Abs. 1 der Richtlinie 95/46/EG verstößt (Az. C-518/07). Die Behörden dürfen nun nicht mehr der Aufsicht eines Ministeriums unterstellt werden und müssen vor politischem Einfluss besonders geschützt werden.
EU fordert „völlige Unabhängigkeit”
Innerhalb dieser Vorschrift heißt es konkret, dass die Mitgliedstaaten öffentliche Stellen beauftragen, welche die Anwendung der umgesetzten einzelstaatlichen Vorschriften der Richtlinie in ihrem Hoheitsgebiet überwachen, und diese Stellen ferner die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen.
„Die Mitgliedstaaten sehen vor, daß eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.”
Diese „völlige Unabhängigkeit“ sei nicht gewährleistet, sofern die Aufsichtsbehörden ihrerseits einer staatlichen Aufsicht unterstellt sind. Genau das ist aber in den meisten deutschen Bundesländern üblich. Insbesondere kritisiert der EuGH, dass die meisten Aufsichtsbehörden der Länder auch noch unmittelbar dem jeweiligen Innenministerium unterstehen.
Verbotene Früchte in Reichweite der Ministerien
Begrüßenswerterweise interpretiert der EuGH die „völlige Unabhängigkeit“ in seinem Urteil damit in zwei Richtungen: Zum einen sollen die Aufsichtsbehörden unabhängig von den jeweils beaufsichtigten verantwortlichen Stellen operieren können. Auf der anderen Seite soll „Unabhängigkeit“ aber auch bedeuten, dass die Aufsichtsbehörde keinem politischen Einfluss oder Druck ausgesetzt ist.
Eine solche Auslegung des Begriffs ist überfällig. Gerade die deutschen Innenministerien sind in der Vergangenheit immer wieder durch eine besondere „Datengier” aufgefallen. Gleichzeitig unterfallen immer mehr Unternehmen der Datenschutzaufsicht des BDSG. Die „verbotenen Früchte“ hängen damit faktisch in unmittelbarer Reichweite der Ministerien. Dieser Widerspruch wurde vom EuGH erkannt und soll nun künftig genauso ausgeschlossen werden wie eine etwaige politische Einflussnahme durch Interessensvertreter von Firmen, deren Geschäftsmodell maßgeblich auf der Verarbeitung und Nutzung personenbezogener Daten basiert.
Für die Wahrnehmung der Aufgaben der Aufsichtsbehörden ist eine solches Begriffsverständnis ebenso von elementarer Bedeutung. Denn darunter fällt nicht nur die Aufsicht, sondern auch die Beratung und Unterstützung der jeweiligen Datenschutzbeauftragten und der verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse (§ 38 Abs. 1 Satz 2 BDSG).
Offen bleibt indes, wie eine solche Unabhängigkeit in Zukunft strukturell und organisatorisch von den Ländern gewährleistet werden kann. Vorschläge, die jeweiligen Aufsichtsbehörden der Länder künftig nur noch dem Gesetz, und keinem Dienstherrn zu unterstellen, gehen schon einmal in eine richtige Richtung. Als Beispiel und Vorreiter könnte insoweit das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein fungieren, welches diese Vorgaben bereits erfüllen soll.
Die Entscheidung vom 9. März 2010, Az. C-518/07 im Volltext.
