EU-Gericht: Datenschutz nicht unabhängig genug

Die Datenschutz-Behörden in den Bundesländern müssen neu aufgestellt werden. Bisherige Regelungen widersprechen der von der EU geforderten „völliger Unabhängigkeit“ dieser Stellen, urteilte heute der Europäische Gerichtshof.

Acht Bundesländer müssen die Kontrolle von Firmen und Verbänden bei der Verwendung persönlicher Daten von Bürgern verbessern. Die Datenschutz-Behörden der Länder seien bei der Aufsicht im privaten Bereich nicht unabhängig genug, entschied der Europäische Gerichtshof (EuGH) in der Rechtssache C-518/07. Die Datenschutzbeauftragten der Länder, die den öffentlichen Bereich beaufsichtigen, sind nicht betroffen.

Das EU-Gesetz schreibt den Mitgliedstaaten vor, dass sie Kontrollstellen einsetzen müssen, die als Hüter der Grundrechte und Grundfreiheiten agieren. Da die Datenschutzstellen der Länder staatlicher Aufsicht unterstellt sind, könnten sie nicht in "völliger Unabhängigkeit" arbeiten – so wie es das EU-Gesetz vorsehe, entschied der EuGH. Es bestehe die Gefahr der Einflussnahme.

Der Bundesdatenschutzbeauftragte Peter Schaar wertete das Urteil als "deutliche Stärkung des Datenschutzes". Auch wenn sich das Urteil direkt auf die Aufsichtsbehörden der Länder beziehe, müssten weitere Konsequenzen für andere Datenschutz-Behörden geprüft werden.

Datenschutz neu regeln

In Hessen arbeitet nun der Datenschutzbeauftragte des Landes, Michael Ronellenfitsch, Vorschläge für eine Neuregelung aus. Ronellenfitsch ist bislang nur für den öffentlichen Datenschutz etwa bei Behörden zuständig und daher wie seine Länderkollegen nicht von dem Urteil betroffen.

Der EuGH bezieht sich auf Behörden wie Regierungspräsidien oder Ministerien, die in acht Bundesländern (Baden-Württemberg, Bayern, Brandenburg, Hessen, Rheinland-Pfalz, Saarland, Sachsen-Anhalt und Thüringen) als Datenschutzstellen für den nicht-öffentlichen Bereich agieren. Hessenweit ist dafür bislang das Regierungspräsidium Darmstadt zuständig.

Das EU-Gesetz schreibt den Mitgliedstaaten vor, dass sie Kontrollstellen einsetzen müssen, die als Hüter der Grundrechte und Grundfreiheiten agieren. Da die Datenschutzstellen der Länder staatlicher Aufsicht unterstellt sind, könnten sie nicht in "völliger Unabhängigkeit" arbeiten – so wie es das EU-Gesetz vorsehe, entschied der EuGH. Es bestehe die Gefahr der Einflussnahme.

Ronellenfitsch will seine Vorschläge für Hessen bei einer Sitzung des Landtags-Innenausschusses Mitte April vorstellen. Eine Zusammenlegung der Datenschutzaufsicht für beide Bereiche wäre eine sinnvolle Lösung, sagte eine Sprecherin des Datenschutzbeauftragten. Die bisherige Trennung sei nicht bürgerfreundlich.

Die SPD-Fraktion im hessischen Landtag sprach mit Blick auf das Urteil von einer "Ohrfeige" für Innenminister Volker Bouffier (CDU), der Widerstand gegen eine Neuregelung geleistet habe. Die SPD hatte zu der Frage einen Gesetzentwurf eingebracht, der momentan im Innenausschuss beraten wird. Die Grünen forderten als Konsequenz ein unabhängiges Datenschutzkompetenzzentrum. Die FDP kündigte an, sie werde mit dem Koalitionspartner CDU prüfen, "welche Maßnahmen zu ergreifen sind".

Die Richter gaben mit ihrem Urteil einer Klage der EU-Kommission gegen Deutschland wegen Vertragsverletzung statt. Nach Ansicht des Gerichts hat die Bundesregierung die EU-Vorgabe falsch umgesetzt und muss sie nun rasch ändern. Mit seinem Urteil folgte der Gerichtshof nicht dem Generalanwalt, der empfohlen hatte, die Klage abzuweisen.

Europarechtswidrig ist laut Urteil nicht nur die organisatorische Einbindung knapp der Hälfte der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in die jeweiligen Innenministerien, sondern auch die Aufsicht der Landesregierungen über die Datenschutzbehörden.

red mit dpa

Dokumente

EuGH: Urteil zur Datenschutzaufsicht über die Privatwirtschaft in Deutschland (Rechtssache C-518/07)