Nach Ansicht des Europäischen Gerichtshofs (09.03.2010, Az. C-518/07) verstößt die Unterwerfung der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich unter staatliche Kontrolle gegen die EG-Datenschutzrichtlinie (RL 95/46/EG). Nun werden einige Bundesländer die Struktur ihrer Aufsichtsbehörden ändern müssen.
Die EG-Kommission hatte 2007 vor dem EuGH gegen die Bundesrepublik Deutschland ein Vertragsverletzungsverfahren eingeleitet. Als Begründung brachte sie an, dass die Bundesrepublik Deutschland gegen ihre Verpflichtungen aus der Datenschutzrichtlinie verstoße, indem sie die für die Überwachung der Datenverarbeitung im nicht-öffentlichen Bereich zuständigen Kontrollstellen in den Bundesländern einer staatlichen Aufsicht unterwerfe. Damit entspreche die deutsche Datenschutzaufsicht nicht den Anforderungen von Art. 28 Abs. 1 Satz 2 der Datenschutzrichtlinie, der eine “völlige Unabhängigkeit” der Kontrollstellen verlangt.
Die Bundesrepublik Deutschland verteidigte sich damit, dass die staatliche Aufsicht in den Bundesländern keinem sachfremden Einfluss, sondern vielmehr einem verwaltungsinternen Mechanismus der Kontrolle durch Stellen innerhalb desselben Verwaltungsapparats, der in derselben Weise wie die Kontrollstellen den Zielvorgaben der Richtlinie verpflichtet sei, unterliege.
Dieser weiten Auslegung ist der EuGH in seinem Urteil jedoch nicht gefolgt: Seiner Ansicht nach müssen die Kontrollstellen bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen. Hierzu müssen sie, so die Richter weiter, vor jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme des Bundes oder der Länder sicher sein und nicht nur vor der Einflussnahme seitens der kontrollierten datenverarbeitenden Stellen. Art. 28 Abs. 1 Satz 2 der EG-Datenschutzrichtlinie sei so auszulegen, dass die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermögliche, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließe nach Ansicht des EuGH auch jede Anordnung und jede sonstige äußere Einflussnahme aus, durch die die Aufgabe der Aufsichtsbehörden, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, gestört werden kann.
Damit kommt der EuGH in seinem Urteil zu dem Ergebnis, dass die Unterwerfung der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich unter staatliche Kontrolle gegen die Datenschutzrichtlinie, insbesondere gegen Art. 28 Abs. 1 Satz 2 verstößt. Die dort geforderte Unabhängigkeit sei nämlich nur dann gewahrt, wenn diese Stellen frei von jeglicher staatlicher Weisung sind. Als Konsequenz dieser Entscheidung werden einige Bundesländer ihre Regelungen zu den Aufsichtsbehörden ändern müssen. Dies gilt etwa für das Land Hessen, bei dem die Datenschutzaufsicht über nicht-öffentliche Stellen bei dem Regierungspräsidium in Darmstadt angesiedelt ist. Es steht zu erwarten, dass dort – nach dem Vorbild anderer Bundesländer – einem unabhängigen Landesdatenschutzbeauftragten diese Kontrollpflichten zugewiesen werden. Das Urteil des EuGH gewährt der Bundesrepublik Deutschland allerdings keine Übergangsfrist, bis wann die Datenschutzaufsicht über die nicht-öffentlichen Stellen umzustrukturieren ist.