In seinem heutigen Urteil hat der Europäische Gerichtshof (EuGH) in Luxemburg festgestellt, dass die Staatsaufsicht für Datenschutzbeauftragte der Bundesländer hinsichtlich der Kontrolle von Datenverarbeitung durch Private nicht mit dem EU-Recht vereinbar ist, welches die „völlige Unabhängigkeit“ jener Stellen verlangt.
Unter dem Aspekt Whistleblowing ist dieses Urteil insoweit relevant, als es einige sehr bemerkenswerte Ausführungen zum Begriff „Unabhängigkeit“ von Staatseinfluss enthält und zugleich die Argumentation welche in Deutschland immer wieder gegen die Forderung der Unabhängigkeit von Staatsanwaltschaften vorgebracht wird entkräftet.
Es trifft zwar, wie die Bundesrepublik Deutschland geltend macht, a priori zu, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.
Es lässt sich aber nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden.
Die Regierung des betroffenen Landes hat nämlich, wie der EDSB in seinen Erklärungen hervorhebt, möglicherweise ein Interesse an der Nichteinhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, wenn es um die Verarbeitung solcher Daten im nichtöffentlichen Bereich geht. Sie kann selbst involvierte Partei dieser Verarbeitung sein, wenn sie davon betroffen ist oder sein könnte, z. B. im Fall einer Kooperation von öffentlichen und privaten Stellen oder im Rahmen öffentlicher Aufträge an den privaten Bereich. Außerdem könnte sie ein besonderes Interesse haben, wenn sie für bestimmte ihrer Aufgaben, insbesondere zu Zwecken der Finanzverwaltung oder der Strafverfolgung, Zugang zu Datenbanken benötigt oder ein solcher Zugang einfach nur sachdienlich ist. Im Übrigen könnte diese Regierung auch geneigt sein, wirtschaftlichen Interessen den Vorrang zu geben, wenn es um die Anwendung der genannten Vorschriften durch bestimmte Unternehmen geht, die für das Land oder die Region wirtschaftlich von Bedeutung sind.
Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen. Zum einen könnte es, wie die Kommission ausführt, einen „vorauseilenden Gehorsam“ der Kontrollstellen im Hinblick auf die Entscheidungspraxis der Aufsichtsstellen geben. Zum anderen erfordert die Rolle der Kontrollstellen als Hüter des Rechts auf Privatsphäre, dass ihre Entscheidungen, also sie selbst, über jeglichen Verdacht der Parteilichkeit erhaben sind.
Nach alledem ist festzustellen, dass die staatliche Aufsicht, der die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen in Deutschland unterworfen sind, nicht mit dem Unabhängigkeitserfordernis, wie es in Randnr. 30 des vorliegenden Urteils beschrieben ist, vereinbar ist.
Nach Auffassung der Bundesrepublik Deutschland würde es gegen mehrere Grundsätze des Gemeinschaftsrechts verstoßen, das Unabhängigkeitserfordernis des Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 so auszulegen, dass der Mitgliedstaat gezwungen wäre, sein bewährtes und effektives System der Aufsicht über die Kontrollstellen hinsichtlich der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich aufzugeben.
Erstens stehe insbesondere das Demokratieprinzip einer weiten Auslegung dieses Unabhängigkeitserfordernisses entgegen.
Dieses Prinzip, das nicht nur in der deutschen Verfassung, sondern auch in Art. 6 Abs. 1 EU verankert sei, verlange eine Weisungsgebundenheit der Verwaltung gegenüber der Regierung, die ihrerseits dem Parlament verantwortlich sei. So müssten Eingriffe in die Rechte der Bürger und Unternehmen der Rechtsaufsicht des zuständigen Ministers unterliegen. Da die Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß Art. 28 Abs. 3 der Richtlinie 95/46 über bestimmte Eingriffsbefugnisse gegenüber Bürgern und dem nichtöffentlichen Bereich verfügten, sei eine erweiterte Rechtmäßigkeitskontrolle ihres Handelns über Rechts- oder Fachaufsichtsinstrumente dringend geboten.
Hierzu ist festzustellen, dass der Grundsatz der Demokratie zur Gemeinschaftsrechtsordnung gehört und in Art. 6 Abs. 1 EU ausdrücklich als Grundlage der Europäischen Union niedergelegt ist. Als den Mitgliedstaaten gemeinsamer Grundsatz ist er daher bei der Auslegung eines sekundärrechtlichen Aktes wie Art. 28 der Richtlinie 95/46 zu berücksichtigen.
Dieser Grundsatz bedeutet nicht, dass es außerhalb des klassischen hierarchischen Verwaltungsaufbaus keine öffentlichen Stellen geben kann, die von der Regierung mehr oder weniger unabhängig sind. Das Bestehen und die Bedingungen für das Funktionieren solcher Stellen sind in den Mitgliedstaaten durch Gesetz und in einigen Mitgliedstaaten sogar in der Verfassung geregelt, und diese Stellen sind an das Gesetz gebunden und unterliegen der Kontrolle durch die zuständigen Gerichte. Solche unabhängigen öffentlichen Stellen, wie es sie im Übrigen auch im deutschen Rechtssystem gibt, haben häufig Regulierungsfunktion oder nehmen Aufgaben wahr, die der politischen Einflussnahme entzogen sein müssen, bleiben dabei aber an das Gesetz gebunden und der Kontrolle durch die zuständigen Gerichte unterworfen. Eben dies ist bei den Aufgaben der Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten der Fall.
Gewiss kommt ein Fehlen jeglichen parlamentarischen Einflusses auf diese Stellen nicht in Betracht. Die Richtlinie 95/46 schreibt jedoch den Mitgliedstaaten keineswegs vor, dem Parlament jede Einflussmöglichkeit vorzuenthalten.
So kann zum einen das Leitungspersonal der Kontrollstellen vom Parlament oder der Regierung bestellt werden. Zum anderen kann der Gesetzgeber die Kompetenzen der Kontrollstellen festlegen.
Außerdem kann der Gesetzgeber die Kontrollstellen verpflichten, dem Parlament Rechenschaft über ihre Tätigkeiten abzulegen. Insoweit lässt sich eine Parallele zu Art. 28 Abs. 5 der Richtlinie 95/46 ziehen, wonach jede Kontrollstelle regelmäßig einen Bericht über ihre Tätigkeit vorlegt, der veröffentlicht wird.
Nach alledem ist der Umstand, dass den Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich eine von der allgemeinen Staatsverwaltung unabhängige Stellung zukommt, für sich allein noch nicht geeignet, diesen Stellen die demokratische Legitimation zu nehmen.
Wenn demnach nun die Landesdatenschutzgesetze abgeändert werden müssen, stellt sich die Frage ob die Gelegenheit nicht auch benutzt werden sollte um, wie zuletzt auch vom Europarat gefordert, das deutsche Spezifikum der Weisungsgebundenheit der Staatsanwälte endlich abzuschaffen und eine Justizreform einzuleiten, bei der auch in jenen Bereich dieser, bisher auch dort nicht gewahrte, Standard von Unabhängigkeit eingeführt wird, den der EuGH Deutschland jetzt für den Bereich Datenschutz verordnet hat. Diese käme Whistleblowern, gerade jenen aus dem öffentlichen Bereich, sicherlich sehr zu gute.