Arrest van het Hof (Grote kamer) van 9 maart 2010.
Arrest van het Hof (Grote kamer) van 9 maart 2010.
Gegevens
- Instantie
- Hof van Justitie EU
- Datum uitspraak
- 9 maart 2010
Uitspraak
Arrest van het Hof (Grote kamer)
9 maart 2010(*)
In zaak C-518/07,
betreffende een beroep wegens niet-nakoming krachtens artikel 226 EG, ingesteld op 22 november 2007,
Europese Commissie, vertegenwoordigd door C. Docksey, C. Ladenburger en H. Krämer als gemachtigden, domicilie gekozen hebbende te Luxemburg,
verzoekster,ondersteund door:
Europese Toezichthouder voor gegevensbescherming, vertegenwoordigd door H. Hijmans en A. Scirocco als gemachtigden, domicilie gekozen hebbende te Luxemburg,
interveniënt, tegenBondsrepubliek Duitsland, vertegenwoordigd door M. Lumma en J. Möller als gemachtigden, domicilie gekozen hebbende te Luxemburg,
verweerster,wijst
HET HOF (Grote kamer),
samengesteld als volgt: V. Skouris, president, A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot en E. Levits, kamerpresidenten, A. Rosas, K. Schiemann (rapporteur), J.-J. Kasel, M. Safjan en D. Šváby, rechters,
advocaat-generaal: J. Mazák,
griffier: R. Grass,
gezien de stukken,
gehoord de conclusie van de advocaat-generaal ter terechtzitting van 12 november 2009,
het navolgende
Arrest
De Commissie van de Europese Gemeenschappen verzoekt het Hof vast te stellen dat de Bondsrepubliek Duitsland de verplichtingen niet is nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31), doordat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens in de niet-publieke sector in de verschillende Länder aan overheidstoezicht zijn onderworpen, waardoor het vereiste van „volledige onafhankelijkheid” van de autoriteiten die belast zijn met het waarborgen van de bescherming van die gegevens dus onjuist is uitgevoerd.
Toepasselijke bepalingen
Gemeenschapsregeling
Richtlijn 95/46 is vastgesteld op grond van artikel 100 A van het EG-Verdrag (thans, na wijziging artikel 95 EG) en beoogt de nationale wetgevingen met betrekking tot de verwerking van persoonsgegevens te harmoniseren.
De punten 3, 7, 8, 10 en 62 van de considerans van richtlijn 95/46 luiden:
Overwegende dat er voor de totstandbrenging en de werking van de interne markt, waarin volgens artikel 7 A van het [EG-]Verdrag [na wijziging artikel 14 EG] het vrije verkeer van goederen, personen, diensten en kapitaal is gewaarborgd, niet alleen verkeer van persoonsgegevens van de ene lidstaat naar de andere mogelijk moet zijn, maar dat ook de fundamentele rechten van personen moeten worden beschermd;
[…]
Overwegende dat verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, op het stuk van de verwerking van persoonsgegevens in de lidstaten is gewaarborgd, het doorzenden van die gegevens van het grondgebied van de ene lidstaat naar dat van een andere kunnen beletten; dat deze verschillen bijgevolg een belemmering kunnen vormen voor de uitoefening van een reeks economische activiteiten op communautaire schaal, de mededinging kunnen vervalsen en de overheid kunnen beletten haar taak ten aanzien van de toepassing van het gemeenschapsrecht te vervullen; dat deze verschillen in beschermingsniveau het gevolg zijn van divergenties tussen de nationale wettelijke en bestuursrechtelijke bepalingen;
Overwegende dat, teneinde de belemmeringen voor het verkeer van persoonsgegevens op te heffen, het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig moet zijn; dat dit doel, dat voor de interne markt van fundamenteel belang is, niet kan worden bereikt door een optreden van de lidstaten alleen, gezien met name de omvang van de bestaande divergenties tussen de geldende nationale wettelijke regelingen ter zake en de noodzaak om de wetgevingen van de lidstaten op elkaar af te stemmen teneinde voor de grensoverschrijdende stromen van persoonsgegevens tot een samenhangende reglementering te komen die in overeenstemming is met de doelstelling van de interne markt in de zin van artikel 7 A van het Verdrag; dat een optreden van de Gemeenschap in de vorm van een onderlinge aanpassing van de wetgevingen derhalve noodzakelijk is;
[…]
Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden [ondertekend te Rome op 4 november 1950] en in de algemene beginselen van het gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen;
[…]
Overwegende dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke lidstaat onafhankelijke toezichthoudende autoriteiten worden ingesteld.”
Artikel 1 van richtlijn 95/46, getiteld „Onderwerp van de richtlijn”, bepaalt:
„1.De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.
2.De lidstaten mogen het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.”
In artikel 28, getiteld „Toezichthoudende autoriteit”, is bepaald:
„1.Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.
Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid.
2.Elke lidstaat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens.
3.Elke toezichthoudende autoriteit beschikt met name over:
onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;
effectieve bevoegdheden om in te grijpen, zoals bijvoorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;
de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.
Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend.
4.Eenieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld.
Eenieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze richtlijn vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden.
5.Elke toezichthoudende autoriteit stelt op gezette tijden een verslag op over haar activiteiten. Dit verslag wordt gepubliceerd.
6.Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere lidstaat worden verzocht haar bevoegdheden uit te oefenen.
De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.
7.De lidstaten bepalen dat de leden en personeelsleden van de toezichthoudende autoriteit ook na beëindiging van hun werkzaamheden aan het beroepsgeheim zijn onderworpen voor wat betreft de vertrouwelijke gegevens waartoe zij toegang hebben.”
Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB 2001, L 8, blz. 1) is vastgesteld op grond van artikel 286 EG. Artikel 44, leden 1 en 2, van deze verordening luidt:
„1.De Europese Toezichthouder voor gegevensbescherming (hierna: „ETGB” handelt in de uitoefening van zijn taken volkomen onafhankelijk.
2.Bij de vervulling van zijn taken vraagt noch aanvaardt de [ETGB] van wie dan ook instructies.”
Nationale regeling
In het Duitse recht is de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens anders geregeld naargelang deze verwerking al dan niet door overheidsorganen wordt verricht.
De autoriteiten die belast zijn met het toezicht op de naleving van de ter zake vastgestelde bepalingen enerzijds door overheidsorganen en anderzijds door niet-publieke organen en publiekrechtelijke ondernemingen die op de markt concurreren (öffentlich-rechtliche Wettbewerbsunternehmen) (hierna, samen: „niet-publieke sector”), zijn immers niet dezelfde.
Op de verwerking van persoonsgegevens door overheidsorganen wordt op federaal niveau toezicht gehouden door de Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (federale commissaris voor de gegevensbescherming en de informatievrijheid) en op het niveau van de Länder door de Landesdatenschutzbeauftragte (commissarissen voor de gegevensbescherming van de Länder). Al deze commissarissen moeten uitsluitend verantwoording afleggen aan hun respectieve parlement en zijn normaal gezien niet onderhevig aan toezicht, instructies of andere beïnvloeding door de overheidsorganen waarop zij toezicht uitoefenen.
De structuur van de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens door de niet-publieke sector varieert daarentegen per Land. De wetten van de Länder hebben echter gemeen dat deze autoriteiten uitdrukkelijk aan overheidstoezicht zijn onderworpen.
Precontentieuze procedure en procedure voor het Hof
Van oordeel dat het met artikel 28, lid 1, tweede alinea, van richtlijn 95/46 onverenigbaar is, de autoriteit die belast is met het toezicht op de naleving van de bepalingen inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens door de niet-publieke sector, aan overheidstoezicht te onderwerpen, zoals in alle Duitse Länder het geval is, heeft de Commissie de Bondsrepubliek Duitsland op 5 juli 2005 een aanmaningsbrief gestuurd. Deze laatste heeft bij brief van 12 september 2005 geantwoord dat het Duitse stelsel van toezicht ter zake aan de eisen van richtlijn 95/46 voldoet. De Commissie heeft de Bondsrepubliek Duitsland vervolgens op 12 december 2006 een met redenen omkleed advies gestuurd, waarin zij het eerder geformuleerde bezwaar heeft herhaald. In haar antwoord van 14 februari 2007 heeft de Bondsrepubliek Duitsland haar aanvankelijke standpunt bevestigd.
Daarop heeft de Commissie het onderhavige beroep ingesteld.
Bij beschikking van de president van het Hof van 14 oktober 2008 is de ETGB toegelaten tot interventie aan de zijde van de Commissie.
Beroep
Argumenten van partijen
Het onderhavige geding betreft twee tegenstrijdige opvattingen die de Commissie, ondersteund door de ETGB, en de Bondsrepubliek Duitsland hebben van het begrip „in volledige onafhankelijkheid” in artikel 28, lid 1, tweede alinea, van richtlijn 95/46 en van de vervulling van de taken van de autoriteiten die belast zijn met het toezicht op de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Volgens de Commissie en de ETGB, die zich baseren op een ruime uitlegging van het begrip „in volledige onafhankelijkheid”, moet het vereiste dat de taken van de toezichthoudende autoriteiten „in volledige onafhankelijkheid” worden vervuld, aldus worden uitgelegd dat een toezichthoudende autoriteit niet onderhevig mag zijn aan beïnvloeding, zij het door andere autoriteiten zij het van buiten de overheid. Het overheidstoezicht dat in Duitsland wordt uitgeoefend op de autoriteiten die belast zijn met het toezicht op de naleving van de regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens in de niet-publieke sector, vormt dus een schending van dit vereiste.
De Bondsrepubliek Duitsland stelt een engere uitlegging van het begrip „in volledige onafhankelijkheid” voor en betoogt dat artikel 28, lid 1, tweede alinea, van richtlijn 95/46 een functionele onafhankelijkheid van de toezichthoudende autoriteiten vereist, in die zin dat deze autoriteiten onafhankelijk moeten zijn ten opzichte van de organen van de niet-publieke sector waarop zij toezicht uitoefenen en niet onderhevig mogen zijn aan beïnvloeding van buitenaf. Het overheidstoezicht in de Duitse Länder is geen beïnvloeding van buitenaf, maar een bestuurlijk intern mechanisme van toezicht door instanties binnen hetzelfde bestuursapparaat als de toezichthoudende autoriteiten en die, evenals deze laatste autoriteiten, de doelstellingen van richtlijn 95/46 moeten vervullen.
Beoordeling door het Hof
Strekking van het vereiste van onafhankelijkheid van de toezichthoudende autoriteiten
De beoordeling van de gegrondheid van het onderhavige beroep hangt af van de strekking van het in artikel 28, lid 1, tweede alinea, van richtlijn 95/46 neergelegde vereiste van onafhankelijkheid en dus van de uitlegging van deze bepaling. In dit kader dient rekening te worden gehouden met de bewoordingen van deze bepaling en met de doelstellingen en de opzet van richtlijn 95/46.
Wat in de eerste plaats de bewoordingen van artikel 28, lid 1, tweede alinea, van richtlijn 95/46 betreft, dient, aangezien het begrip „in volledige onafhankelijkheid” in deze richtlijn niet wordt gedefinieerd, rekening te worden gehouden met de normale betekenis ervan. Met betrekking tot overheidsorganen betekent het begrip „onafhankelijkheid” normaal gezien dat wordt gewaarborgd dat het betrokken orgaan in alle vrijheid kan handelen, vrij van instructies en druk.
Anders dan de Bondsrepubliek Duitsland beweert, wijst niets erop dat het vereiste van onafhankelijkheid uitsluitend betrekking heeft op de verhouding tussen de toezichthoudende autoriteiten en de organen waarop deze toezicht uitoefenen. Integendeel, het begrip „onafhankelijkheid” wordt versterkt door het adjectief „volledige”, wat inhoudt dat de toezichthoudende autoriteit zonder enige beïnvloeding van buitenaf, rechtstreeks of indirect, moet kunnen beslissen.
Wat in de tweede plaats de doelstellingen van richtlijn 95/46 betreft, volgt met name uit de punten 3, 7 en 8 van de considerans ervan, dat deze richtlijn met de harmonisatie van de nationale regels ter bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, hoofdzakelijk beoogt het vrije verkeer van deze gegevens tussen lidstaten te verzekeren (zie in die zin arrest van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, Jurispr. blz. I-4989, punten 39 en 70), dat noodzakelijk is voor de totstandbrenging en de werking van de interne markt in de zin van artikel 14, lid 2, EG.
Het vrije verkeer van persoonsgegevens kan indruisen tegen het recht op bescherming van de persoonlijke levenssfeer, dat met name is erkend in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (zie in die zin EHRM, arresten Amann v Zwitserland van 16 februari 2000, Recueil des arrêts et décisions 2000-II, §§ 69 en 80, en Rotaru v Roemenië van 4 mei 2000, Recueil des arrêts et décisions 2000-V, §§ 43 en 46) en door de algemene beginselen van gemeenschapsrecht.
Om deze reden heeft richtlijn 95/46 ook tot doel, zoals met name uit punt 10 van de considerans en artikel 1 van deze richtlijn blijkt, de bescherming die door de bestaande nationale regels wordt geboden, niet te verzwakken, maar daarentegen in de Gemeenschap een hoog niveau van bescherming van de fundamentele rechten en vrijheden bij de verwerking van persoonsgegevens te waarborgen (zie in die zin arrest Österreichischer Rundfunk e.a., reeds aangehaald, punt 70, en arrest van 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, Jurispr. blz. I-9831, punt 52).
De in artikel 28 van richtlijn 95/46 bedoelde toezichthoudende autoriteiten zijn dus de hoeders van deze fundamentele rechten en vrijheden en de oprichting van deze autoriteiten in de lidstaten is blijkens punt 62 van de considerans van deze richtlijn van wezenlijk belang voor de bescherming van personen bij de verwerking van persoonsgegevens.
Om deze bescherming te waarborgen, moeten de toezichthoudende autoriteiten een juist evenwicht verzekeren tussen de naleving van het grondrecht op bescherming van de persoonlijke levenssfeer en de belangen die een vrij verkeer van persoonsgegevens noodzakelijk maken. Overigens dienen de verschillende nationale autoriteiten krachtens artikel 28, lid 6, van richtlijn 95/46 onderling samen te werken en zelfs in voorkomend geval hun bevoegdheden uit te oefenen op verzoek van een autoriteit van een andere lidstaat.
De waarborg van onafhankelijkheid van de nationale toezichthoudende autoriteiten beoogt de doeltreffendheid en de betrouwbaarheid van het toezicht op de naleving van de bepalingen inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te verzekeren en moet tegen de achtergrond van deze doelstelling worden uitgelegd. Zij is niet ingevoerd om deze autoriteiten zelf en hun gemachtigden een bijzondere positie te verlenen, maar om een grotere bescherming te bieden aan de personen en organen die door hun beslissingen worden getroffen. Bij de uitoefening van hun taken moeten de toezichthoudende autoriteiten bijgevolg objectief en onpartijdig handelen. Daartoe moeten zij vrij zijn van beïnvloeding van buitenaf, daaronder begrepen de — rechtstreekse of indirecte — beïnvloeding door de staat of de Länder, en niet enkel van beïnvloeding door de organen waarop zij toezicht uitoefenen.
Wat in de derde plaats de opzet van richtlijn 95/46 betreft, moet deze richtlijn worden opgevat als de tegenhanger van artikel 286 EG en van verordening nr. 45/2001. Deze laatste bepalingen betreffen de verwerking van persoonsgegevens door de communautaire instellingen en organen en het vrije verkeer van deze gegevens. Richtlijn 95/46 streeft deze doelstellingen ook na, maar dan met betrekking tot de verwerking van persoonsgegevens in de lidstaten.
Net zoals er toezichthoudende organen op nationaal niveau bestaan, is er ook op gemeenschapsniveau een toezichthoudend orgaan dat belast is met het toezicht op de toepassing van de regels inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, namelijk de ETGB. Overeenkomstig artikel 44, lid 1, van verordening nr. 45/2001 handelt dit orgaan bij de vervulling van zijn taken volkomen onafhankelijk. Artikel 44, lid 2, verduidelijkt dit begrip onafhankelijkheid door toe te voegen dat de ETGB bij de vervulling van zijn taken van niemand instructies vraagt of aanvaardt.
Gelet op het feit dat artikel 44 van verordening nr. 45/2001 en artikel 28 van richtlijn 95/46 op hetzelfde algemene concept zijn gebaseerd, moeten deze twee bepalingen homogeen worden uitgelegd, zodat niet alleen de onafhankelijkheid van de ETGB, maar ook die van de nationale autoriteiten inhoudt dat zij bij de vervulling van hun taken geen instructies ontvangen.
Op basis van de bewoordingen van artikel 28, lid 1, tweede alinea, van richtlijn 95/46 en van de doelstellingen en de opzet van deze richtlijn, is een duidelijke uitlegging van artikel 28, lid 1, tweede alinea, mogelijk. Bijgevolg hoeft geen rekening te worden gehouden met de ontstaansgeschiedenis van deze richtlijn en hoeft geen uitspraak te worden gedaan over de in dit verband tegenstrijdige uiteenzettingen van de Commissie en de Bondsrepubliek Duitsland.
Gelet op al het voorgaande dient artikel 28, lid 1, tweede alinea, van richtlijn 95/46 aldus te worden uitgelegd dat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens in de niet-publieke sector een onafhankelijkheid moeten genieten die hen in staat stelt om hun taken zonder beïnvloeding van buitenaf te vervullen. Deze onafhankelijkheid sluit niet enkel elke beïnvloeding door de organen waarop toezicht wordt uitgeoefend, uit, maar ook elk bevel of elke andere beïnvloeding van buitenaf, zij het rechtstreeks of indirect, die de vervulling door deze autoriteiten van hun taak, een juist evenwicht tussen de bescherming van het recht op bescherming van de persoonlijke levenssfeer en het vrije verkeer van persoonsgegevens te vinden, in het gedrang zou kunnen brengen.
Overheidstoezicht
Vervolgens moet worden onderzocht of het overheidstoezicht dat in Duitsland wordt uitgeoefend op de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens door de niet-publieke sector, verenigbaar is met het aldus gepreciseerde vereiste van onafhankelijkheid.
In dit verband stelt het overheidstoezicht, van welke aard ook, de regering van het betrokken Land of een orgaan dat onder deze regering ressorteert, in beginsel in staat om rechtstreeks of indirect invloed uit te oefenen op de beslissingen van de toezichthoudende autoriteiten of in voorkomend geval deze beslissingen in te trekken en te vervangen.
Stellig is het a priori juist, zoals de Bondsrepubliek Duitsland betoogt, dat het overheidstoezicht enkel beoogt te waarborgen dat het optreden van de toezichthoudende autoriteiten in overeenstemming is met de toepasselijke nationale en communautaire bepalingen, en dus niet tot doel heeft, deze autoriteiten te verplichten om eventueel politieke doelstellingen na te streven die indruisen tegen de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en de grondrechten.
Er kan echter niet worden uitgesloten dat de instanties die belast zijn met het overheidstoezicht, die tot het algemene bestuursapparaat behoren en dus ressorteren onder de regering van hun respectieve Land, niet objectief kunnen handelen wanneer zij de bepalingen inzake de verwerking van persoonsgegevens uitleggen en toepassen.
Zoals de ETGB in zijn opmerkingen uiteenzet, kan de regering van het betrokken Land er immers belang bij hebben dat de bepalingen inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens niet worden nageleefd wanneer het om de verwerking van deze gegevens door de niet-publieke sector gaat. Deze regering kan zelf bij deze verwerking betrokken zijn indien zij daaraan deelneemt of zou kunnen deelnemen, bijvoorbeeld bij een publiek-private samenwerking of in het kader van overheidsopdrachten met de particuliere sector. Deze regering kan ook een bijzonder belang hebben indien toegang tot gegevensbestanden voor haar noodzakelijk of zelfs gewoon nuttig is om bepaalde van haar taken te vervullen, onder meer om fiscale of strafrechtelijke doeleinden. Deze regering kan overigens ook geneigd zijn om voorrang te geven aan economische belangen bij de toepassing van deze bepalingen door bepaalde ondernemingen die uit economisch oogpunt belangrijk zijn voor het Land of de regio.
Bovendien moet worden benadrukt dat het loutere gevaar dat de instanties die belast zijn met het overheidstoezicht, een politieke invloed kunnen uitoefenen op de beslissingen van de toezichthoudende autoriteiten, volstaat om de onafhankelijke vervulling van de taken van deze autoriteiten te hinderen. Zoals de Commissie heeft opgemerkt, zou er sprake kunnen zijn van een „geanticipeerde gehoorzaamheid” van deze autoriteiten in het licht van de beslissingspraktijk van de instantie die belast is met het overheidstoezicht. Bovendien vereist de door deze autoriteiten vervulde rol van hoeders van het recht op bescherming van de persoonlijke levenssfeer dat de beslissingen van deze autoriteiten, en dus de autoriteiten zelf, boven iedere verdenking van partijdigheid staan.
Gelet op het voorgaande dient te worden vastgesteld dat het overheidstoezicht op de Duitse autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens in de niet-publieke sector, niet verenigbaar is met het vereiste van onafhankelijkheid zoals dit in punt 30 van het onderhavige arrest is beschreven.
Door de Bondsrepubliek Duitsland ingeroepen beginselen van gemeenschapsrecht
De Bondsrepubliek Duitsland heeft betoogd dat het in strijd met verschillende beginselen van gemeenschapsrecht zou zijn om het in artikel 28, lid 1, tweede alinea, van richtlijn 95/46 neergelegde vereiste van onafhankelijkheid aldus uit te leggen dat het deze lidstaat zou verplichten om zijn beproefd en doeltreffend stelsel van overheidstoezicht op de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens in de niet-publieke sector af te schaffen.
In de eerste plaats staat volgens deze lidstaat in het bijzonder het beginsel van democratie in de weg aan een ruime uitlegging van dat vereiste van onafhankelijkheid.
Volgens de Bondsrepubliek vereist dat beginsel, dat niet alleen in de Duitse grondwet, maar ook in artikel 6, lid 1, EU is neergelegd, dat de administratie gebonden is aan de instructies van de regering, die voor het parlement verantwoording aflegt. Ingrepen in de rechten van burgers en ondernemingen moeten dan ook onderworpen zijn aan het rechtmatigheidstoezicht van de bevoegde minister. Aangezien de autoriteiten die belast zijn met het toezicht op de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, krachtens artikel 28, lid 3, van richtlijn 95/46 over bepaalde bevoegdheden om in te grijpen beschikken ten aanzien van burgers en de niet-publieke sector, is een ruimer toezicht op de rechtmatigheid van hun activiteiten door middel van instrumenten voor toezicht op de rechtmatigheid of de inhoud absoluut noodzakelijk.
In dit verband dient eraan te worden herinnerd dat het beginsel van democratie deel uitmaakt van de communautaire rechtsorde en uitdrukkelijk in artikel 6, lid 1, EU is neergelegd als een van de grondslagen van de Europese Unie. Als beginsel dat gemeenschappelijk is aan de lidstaten, dient het in aanmerking te worden genomen bij de uitlegging van een handeling van afgeleid recht, zoals artikel 28 van richtlijn 95/46.
Dat beginsel belet niet dat er buiten de klassieke hiërarchische administratie overheidsinstanties bestaan die in meerdere of mindere mate onafhankelijk zijn van de regering. Het bestaan en de voorwaarden voor de werking van deze autoriteiten worden in de lidstaten in de wet of in bepaalde lidstaten zelfs in de Grondwet geregeld en deze autoriteiten moeten de wet naleven en staan onder toezicht van de bevoegde rechter. Dergelijke onafhankelijke administratieve autoriteiten, zoals die overigens in het Duitse rechtsstelsel bestaan, hebben vaak regelgevende taken of vervullen taken waarbij er geen politieke beïnvloeding mag zijn, maar moeten wel de wet blijven naleven en staan onder toezicht van de bevoegde rechter. Juist dit is het geval bij de taken van de autoriteiten die belast zijn met het toezicht op de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Dat er geen parlementaire invloed op deze autoriteiten zou zijn, is stellig ondenkbaar. Richtlijn 95/46 schrijft de lidstaten echter niet voor, beïnvloeding door het parlement uit te sluiten.
Zo kunnen de personen die de toezichthoudende autoriteiten leiden, worden benoemd door het parlement of de regering. Bovendien kan de wetgever de bevoegdheden van deze autoriteiten omschrijven.
Daarbij komt dat de wetgever de toezichthoudende autoriteiten de verplichting kan opleggen om over hun activiteiten verantwoording af te leggen aan het parlement. In dit opzicht kan een verband worden gelegd met artikel 28, lid 5, van richtlijn 95/46, dat bepaalt dat elke toezichthoudende autoriteit op gezette tijden een verslag opstelt over haar activiteiten, welk verslag wordt gepubliceerd.
Gelet op het voorgaande ontneemt de omstandigheid dat de autoriteiten die belast zijn met het toezicht op de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens in de niet-publieke sector, onafhankelijk zijn van het algemene bestuur, deze autoriteiten op zich niet hun democratische legitimiteit.
In de tweede plaats verplicht het — ook door de Bondsrepubliek Duitsland ingeroepen — beginsel van attributie van bevoegdheid, dat in artikel 5, eerste alinea, EG is neergelegd, de Gemeenschap om binnen de grenzen van de haar door het EG-Verdrag verleende bevoegdheden en toegewezen doelstellingen te handelen.
De Bondsrepubliek Duitsland betoogt in deze context dat de onafhankelijkheid van de toezichthoudende autoriteiten ten opzichte van de hogere bestuursinstanties niet kan worden vereist op grond van artikel 100 A van het EG-Verdrag, waarop richtlijn 95/46 is gebaseerd.
Deze bepaling machtigt de gemeenschapswetgever om maatregelen te nemen ter verbetering van de voorwaarden voor de totstandbrenging en de werking van de interne markt, welke maatregelen daadwerkelijk die doelstelling moeten hebben door ertoe bij te dragen dat belemmeringen van de door het EG-Verdrag gewaarborgde economische vrijheden worden weggenomen [zie in die zin met name arresten van 5 oktober 2000, Duitsland/Parlement en Raad, C-376/98, Jurispr. blz. I-8419, punten 83, 84 en 95; 10 december 2002, British American Tobacco (Investments) en Imperial Tobacco, C-491/01, Jurispr. blz. I-11453, punt 60, en 2 mei 2006, Parlement/Raad, C-436/03, Jurispr. blz. I-3733, punt 38].
Zoals reeds is uiteengezet, is onafhankelijkheid van de toezichthoudende autoriteiten, voor zover zij niet onderhevig mogen zijn aan beïnvloeding van buitenaf die hun beslissingen kan sturen, van wezenlijk belang voor de bereiking van de doelstellingen van richtlijn 95/46. Zij is noodzakelijk om in alle lidstaten een gelijk niveau van bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te scheppen en draagt op deze wijze bij tot het vrije verkeer van gegevens, dat noodzakelijk is voor de totstandbrenging en de werking van de interne markt.
Gelet op het voorgaande worden bij een ruime uitlegging van het vereiste van onafhankelijkheid van de toezichthoudende autoriteiten de grenzen van de bevoegdheden die aan de Gemeenschap zijn verleend krachtens artikel 100 A van het EG-Verdrag, op welk artikel richtlijn 95/46 is gebaseerd, niet overschreden.
In de derde plaats beroept de Bondsrepubliek Duitsland zich op de in artikel 5, tweede en derde alinea, EG neergelegde beginselen van subsidiariteit en evenredigheid en op het in artikel 10 EG neergelegde beginsel van loyale samenwerking tussen de lidstaten en de gemeenschapsinstellingen.
Zij herinnert met name aan artikel 7 van het Protocol betreffende de toepassing van het subsidiariteits- en het evenredigheidsbeginsel, dat bij het EU-Verdrag en het EG-Verdrag is gevoegd door het Verdrag van Amsterdam. Luidens dat artikel wordt onder naleving van het gemeenschapsrecht erop toegezien dat de gevestigde nationale regelingen en de organisatie en werking van de rechtssystemen van de lidstaten worden gerespecteerd.
Volgens de Bondsrepubliek Duitsland is het in strijd met dit vereiste, haar te verplichten om een aan haar rechtsorde vreemd stelsel in te voeren en zo een doeltreffend stelsel van toezicht af te schaffen dat sedert bijna dertig jaar doeltreffend is gebleken en zeker niet alleen op nationaal niveau een voorbeeld is geweest op het gebied van de wetgeving inzake gegevensbescherming.
Dat betoog kan niet worden aanvaard. Zoals in de punten 21 tot en met 25 en 50 van het onderhavige arrest is uiteengezet, gaat de uitlegging van het in artikel 28, lid 1, tweede alinea, van richtlijn 95/46 neergelegde vereiste van onafhankelijkheid in die zin dat het in de weg staat aan overheidstoezicht, niet verder dan hetgeen noodzakelijk is om de doelstellingen van het EG-Verdrag te bereiken.
Gelet op al het voorgaande dient te worden vastgesteld dat de Bondsrepubliek Duitsland de krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46 op haar rustende verplichtingen niet is nagekomen doordat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens door de niet-publieke sector in de verschillende Länder aan overheidstoezicht zijn onderworpen, waardoor het vereiste dat deze autoriteiten hun taken „in volledige onafhankelijkheid” vervullen dus onjuist is uitgevoerd.
Kosten
Volgens artikel 69, lid 2, van het Reglement voor de procesvoering wordt de in het ongelijk gestelde partij in de kosten verwezen, voor zover dat is gevorderd. Aangezien de Bondsrepubliek Duitsland in het ongelijk is gesteld, moet zij overeenkomstig de vordering van de Commissie in de kosten worden verwezen.
De ETGB draagt zijn eigen kosten.
-
De Bondsrepubliek Duitsland is de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, doordat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens door niet-publieke organen en publiekrechtelijke ondernemingen die op de markt concurreren (öffentlich-rechtliche Wettbewerbsunternehmen) in de verschillende Länder aan overheidstoezicht zijn onderworpen, waardoor het vereiste dat deze autoriteiten hun taken„in volledige onafhankelijkheid”vervullen dus onjuist is uitgevoerd.
-
De Bondsrepubliek Duitsland draagt de kosten van de Europese Commissie.
-
De Europese Toezichthouder voor gegevensbescherming draagt zijn eigen kosten.
ondertekeningen