Klares EuGH-Urteil zu Deutschem Datenschutz

Der EuGH hat heute entschieden, dass Deutschland gegen EU-Datenschutzrecht verstößt. Österreich könnte ein ähnliches Urteil blühen.

Der Europäische Gerichtshof stellte heute in einem Urteil fest, dass die Bundesrepublik Deutschland gegen Art. 28. Abs. 1 Unterabschnitt 2 der EU-Datenschutzrichtlinie verstößt, weil die Datenschutzaufsicht für den nicht-öffentlichen Bereich nicht in völliger Unabhängigkeit organisiert ist.

Gegenstand des Verfahrens beim EuGH waren Beschwerden über die mangelnde Unabhängigkeit der deutschen Landesbehörden, soweit sie die Datenschutzaufsicht über die Privatwirtschaft ausüben. Dabei ging es um die organisatorische Einbindung zahlreicher Landesdatenschutzbehörden in die jeweiligen Innenministerien. Weiters hatte der EuGH darüber zu entscheiden, ob die Rechts-, Fach- und Dienstaufsicht der Landesregierungen über die Datenschutzbehörden mit der europäischen Datenschutzrichtlinie vereinbar sind.

Gemäß Urteilsspruch ist nicht nur die organisatorische Einbindung etlicher Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in die jeweiligen Innenministerien europarechtswidrig, sondern auch die Aufsicht der Landesregierungen über die Datenschutzbehörden.

Der Deutsche Bundesbeauftragte für den Datenschutz, Peter Schaar, begrüßt das Urteil und sieht darin eine Stärkung für den Datenschutz. Auch der Europäische Datenschutzbeauftragte, Peter Hustinx, zeigt sich erfreut: "Das Urteil des Gerichtshofs ist von großer Bedeutung. Es stärkt und verdeutlicht die Position der Datenschutzbehörden als Teil des Grundrechts auf Datenschutz. Dieses Urteil ist relevant für alle Aufsichtsbehörden in allen EU-Mitgliedsstaaten."

Der gegenständliche Artikel 28 der Europäischen Datenschutzrichtlinie (95/46/EG) fordert, dass die Datenschutzaufsichtsbehörden ihre Aufgaben in völliger Unabhängigkeit ausführen können müssen. Umstritten war bisher, wie weit diese Unabhängigkeit in der Praxis geht. Der Europäische Gerichtshof hat nun klargestellt, dass jedes Risiko einer Einflussnahme auf die objektive und unabhängige Entscheidung der Datenschutzaufsichtsbehörden vermieden werden muss.

Das Urteil ist auch aus österreichischer Sicht brisant, denn die Kommission hat 2005 aus ähnlichen Gründen wie im Falle Deutschlands ein Vertragsverletzungsverfahren gegen die Republik Österreich eingeleitet. Angeregt wurde das Verfahren durch eine Beschwerde der Arge Daten, die bereits im Jahr 2003 moniert hatte, dass die in Österreich rechtlich bestehende und praktisch angewandte Organisation der Datenschutzkontrolle nicht mit Gemeinschaftsrecht vereinbar ist und gegen die genannte Datenschutzrichtlinie verstößt.

Insbesondere die "organisatorische Eingliederung der Datenschutzkommission (DSK) nebst Geschäftsstelle und Personal in die Behörde Bundeskanzleramt" sowie die "Stellung des Bundesbeamten als geschäftsführendes Mitglied" entspricht laut Auffassung der Kommission nicht der in Artikel 28, Abs. 1 Satz 2 der Richtlinie geforderten völligen Unabhängigkeit der Datenschutzkontrolle in Österreich.

Im Klartext: Die Datenschutzkommission sei personell und organisatorisch mit dem Bundeskanzleramt verflochten und von diesem finanziell abhängig. Das Verfahren ist noch immer anhängig; reagiert Österreich nicht, so droht ebenfalls eine Klage beim Europäischen Gerichtshof (siehe auch Arge Daten: Unzureichender Datenschutz - das EU-Vertragsverletzungsverfahren geht weiter).

In den betroffenen deutschen Bundesländern soll nun umgehend eine Neuordnung der Datenschutzaufsicht erfolgen, einzelne (deutsche) Bundesländer haben sogar schon vor dem Richterspruch begonnen, die Zuständigkeiten für die Datenschutzaufsicht neu zu organisieren. Nur in Österreich heißt es immer noch: Bitte warten.

[ unwatched ]