EuGH: Datenschutz muss unabhängig von Politik werden

Der Europäische Gerichtshof hat heute in einem Urteil bekannt gegeben, dass der Datenschutz in Deutschland unabhängiger sein muss. Aus der Urteilsbegründung:

Mit ihrer Klage beantragt die Kommission der Europäischen Gemeinschaften, festzustellen, dass die Bundesrepublik Deutschland gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) verstoßen hat, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterworfen und damit das Erfordernis der „völligen Unabhängigkeit“ der mit dem Schutz dieser Daten beauftragten Stellen falsch umgesetzt hat.

Pressereaktionen:

Spiegel-Online: Europa befreit Datenschützer von politischem Druck.

Heise: EuGH: „Völlige Unabhängigkeit“ der Datenschutzaufsicht zu gewährleisten.

Die Richter wenden sich mit der Entscheidung gegen die Empfehlung des Generalanwalts Jan Mazak vom November, was selten vorkommt. Dieser hatte in seinem Schlussantrag die Meinung vertreten, aus einer staatlichen Aufsicht der Kontrollstellen sei nicht zu schlussfolgern, dass sie ihre Arbeit nicht vollkommen unabhängig im Sinne der EU-Vorgaben durchführen könnten. Der EuGH hielt dagegen, dass die Datenschutzaufsicht im privaten Bereich „jeglicher äußeren Einflussnahme entzogen sein“ müsse, „die ihre Entscheidungen steuern könnte“. Dies sei erforderlich, um in allen Mitgliedstaaten ein gleich hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schaffen, und trage so zum „freien Datenverkehr“ im Binnenmarkt bei. Die Grundrechte müssten in der EU überall auf gleichem Niveau gewahrt werden.

Peter Schaar hatte vorgestern schon dazu gebloggt: Nach dem Urteil ist vor dem Urteil – Zur Unabhängigkeit der Datenschutzaufsicht.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Bandwurmsatz… nicht dass ich das nicht verstehe, aber kann das mal jemand für Laien übersetzen? In vielen, einzelnen, kleinen, vollständigen, nicht unnötig langen Sätzen?

    1. @ SeveQ:

      Ich versuche es mal. Also:

      Die Verarbeitung personenbezogener Daten kann durch öffentliche und nichtöffentliche Stellen (also private Unternehmen und natürliche Personen) erfolgen. Um letztere geht es hier.

      Nichtöffentliche Stellen müssen bei der Verarbeitung personenbezogener Daten die nationalen Datenschutzgesetze beachten. Das muss von irgendjemandem kontrolliert werden, da ansonsten Mißbrauch droht.

      Die Kontrollstellen müssen nach Art. 28 Abs. 1 S. 2 der Datenschutzrichtlinie 95/46/EG „die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr[nehmen].“

      In Deutschland kontrolliert dies der (betriebliche) Datenschutzbeauftragte, der direkt bei der verantwortlichen Stelle tätig wird. Der Datenschutzbeuaftragte wird jedoch seinerseits von staatlichen Kontrollstellen beaufsichtigt. Das ist die sog. Aufsichtsbehörde. Sie „kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz“ (§ 38 BDSG).

      Für eine effektive Kontrolle müssen der Behörde dann auch bestimmte Befugnisse an die Hand gegeben werden. Hier setzt der EuGH mit seiner Kritik an: Es fürchtet, dass „dass die Aufsichtsstellen [also die Datenschutzbeauftragten], die Teil der allgemeinen Staatsverwaltung […] sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften […] auslegen und anwenden.“ Wenn der Staat ein Interesse an bestimmten Daten hat (z.B. Finanzbehörden an Steuerdaten, Polizeibehörden an Standortdaten usw.), kann er leicht „übersehen“, dass die Datenschutzgesetze nicht eingehalten wurden. In solchen klassischen Interessenkonflikten könnte der Staat also Druck auf die Datenschutzbeauftragen ausüben.

      Die „völlige Unabhängigkeit“ ist damit also gefährdet.

      Dem hat der EuGH jetzt entgegengewirkt. Die staatliche Aufsicht verstößt gegen die EU-Richtlinie. Deutschland muss also das BDSG und die Länder ihre Landesdatenschutzgesetze nachbessern. Die Aufsicht müsste bei konsequenter Befolgung des Urteils also wegfallen.

      1. Sorry,mir ist ein kleiner Fehler unterlaufen. Es muss heißen:

        Hier setzt der EuGH mit seiner Kritik an: Es fürchtet, dass “dass die Aufsichtsstellen [also die staatliche Aufsichtsbehörde], die Teil der allgemeinen Staatsverwaltung […] sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften […] auslegen und anwenden.”

  2. Hallo,

    ich gehöre zum eYouGuide team der EU Kommission und bei der Suche nach relevanten Infos im Internet zum Thema online Datenschutz bin ich auf Ihren sehr interessanten und hilfreichen Blog gestoßen. Ich denke, es könnte Sie bzw. Ihre Leser interessieren, dass die EU Kommission eine eigene Webseite zum Thema hat. Anbei der entsprechende Link:
    http://ec.europa.eu/information_society/eyouguide/navigation/index_de.htm

    Beste Grüße,
    Olaf
    eYouGuide Team

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.