C‑518/07. sz. ügy
Európai Bizottság
kontra
Németországi Szövetségi Köztársaság
„Tagállami kötelezettségszegés – 95/46/EK irányelv – A természetes személyek védelme a személyes adatok kezelése vonatkozásában és ezen adatok szabad áramlása – A 28. cikk (1) bekezdése – Nemzeti ellenőrző hatóságok – Függetlenség – E hatóságok felett gyakorolt közigazgatási felügyelet”
Az ítélet összefoglalása
1. Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – Nemzeti ellenőrző hatóságok
(95/46 európai parlamenti és tanácsi irányelv, 28. cikk, (1) bekezdés)
2. Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – Nemzeti ellenőrző hatóságok
(95/46 európai parlamenti és tanácsi irányelv, 28. cikk, (1) bekezdés)
1. A nemzeti ellenőrző hatóságok függetlensége – a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében előírt – garantálásának célja a személyes adatok kezelése vonatkozásában az egyének védelmére vonatkozó rendelkezések tiszteletben tartásának ellenőrzése hatékonyságának és megbízhatóságának biztosítása, és e függetlenséget e célkitűzés fényében kell értelmezni. Előírására nem azért került sor, hogy különleges jogállást biztosítson e hatóságoknak, valamint azok alkalmazottainak, hanem a határozataik által érintett személyek és szervezetek védelmének megerősítése érdekében. Ebből következik, hogy feladataik gyakorlása során az ellenőrző hatóságoknak objektíven és pártatlanul kell eljárniuk. Ezért minden külső befolyástól mentesnek kell lenniük, ideértve az állam vagy a tartományok által gyakorolt közvetlen vagy közvetett befolyást is, nemcsak az ellenőrzött szervezetek általi befolyást.
Következésképpen a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdését akként kell értelmezni, hogy a személyes adatok nem állami szektorban való kezelésének ellenőrzésére hatáskörrel rendelkező hatóságoknak olyan függetlenséggel kell rendelkezniük, amelynek alapján feladatkörüket külső befolyás nélkül láthatják el. E függetlenség nemcsak az ellenőrzött szervezetek által gyakorolt bármilyen befolyást zár ki, hanem bármilyen összefonódást vagy más, akár közvetlen, akár közvetett külső befolyást is, amely akadályozhatná az említett hatóságoknak a magánélet védelméhez való alapvető jog és a személyes adatok szabad áramlása közötti helyes egyensúly létrehozásában álló feladatai teljesítését.
(vö. 25., 30. pont)
2. Önmagában az a kockázat, hogy az adatkezelést ellenőrző – a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében említett – hatóságok döntéseire az őket felügyelő hatóságok politikai befolyást gyakorolhatnak, már elegendő akadályát jelenti annak, hogy az előbbiek független módon láthassák el feladatkörüket. Egyrészt itt szó lehet e hatóságoknak az őket felügyelő hatóságok döntéshozatali gyakorlatához való „idő előtti igazodásáról”. Másrészt a magánélethez való jog őrzőjének szerepe, amit az említett hatóságok betöltenek, megköveteli, hogy határozataik, így ők maguk is, mentesek legyenek a részrehajlás legcsekélyebb gyanújától is. A nem állami szektorban a személyes adatok kezelésének ellenőrzésére hatáskörrel rendelkező nemzeti hatóságok feletti állami felügyelet nem egyeztethető össze a függetlenség követelményével.
Következésképpen az a tagállam, amely a személyes adatoknak a nem állami szervek és a piaci versenyben részt vevő közjogi vállalkozások általi kezelését ellenőrző hatóságokat egyes tartományokban állami felügyelet alá vonja, és ezáltal e hatóságok teljes függetlensége biztosításának kötelezettségét helytelenül ülteti át, nem teljesíti a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdéséből eredő kötelezettségeit.
(vö. 36–37., 56. pont és a rendelkező rész)
A BÍRÓSÁG ÍTÉLETE (nagytanács)
2010. március 9.(*)
„Tagállami kötelezettségszegés – 95/46/EK irányelv – A természetes személyek védelme a személyes adatok kezelése vonatkozásában és ezen adatok szabad áramlása – A 28. cikk (1) bekezdése – Nemzeti ellenőrző hatóságok – Függetlenség – E hatóságok felett gyakorolt közigazgatási felügyelet”
A C‑518/07. sz. ügyben,
az EK 226. cikk alapján kötelezettségszegés megállapítása iránt a Bírósághoz 2007. november 22‑én
az Európai Bizottság (képviselik: C. Docksey, C. Ladenburger és H. Krämer, meghatalmazotti minőségben, kézbesítési cím: Luxembourg)
felperesnek,
támogatja:
az európai adatvédelmi biztos (képviselik: H. Hijmans és A. Scirocco, meghatalmazotti minőségben, kézbesítési cím: Luxembourg)
beavatkozó,
a Németországi Szövetségi Köztársaság (képviselik: M. Lumma és J. Möller, meghatalmazotti minőségben, kézbesítési cím: Luxembourg)
alperes ellen
benyújtott keresete tárgyában,
A BÍRÓSÁG (nagytanács),
tagjai: V. Skouris elnök, A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.‑C. Bonichot és E. Levits tanácselnökök, A. Rosas, K. Schiemann (előadó), J.‑J. Kasel, M. Safjan és D. Šváby bírák,
főtanácsnok: J. Mazák,
hivatalvezető: R. Grass,
tekintettel az írásbeli szakaszra,
a főtanácsnok indítványának a 2009. november 12‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Keresetével az Európai Közösségek Bizottsága annak megállapítását kéri a Bíróságtól, hogy a Németországi Szövetségi Köztársaság – mivel a személyes adatoknak a nem állami szektorban történő kezelését ellenőrző hatóságokat egyes tartományokban állami felügyelet alá vonta és ezáltal e hatóságok „teljes függetlensége” biztosításának kötelezettségét helytelenül ültette át – nem teljesítette a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 28. cikke (1) bekezdésének második albekezdéséből eredő kötelezettségeit.
Jogi háttér
A közösségi szabályozás
2 A 95/46 irányelvet az EK‑Szerződés 100a. cikke (módosítást követően EK 95. cikk) alapján fogadták el, és célja a személyes adatok kezelésére vonatkozó nemzeti jogszabályok harmonizálása.
3 A 95/46 irányelv (3), (7), (8), (10) és (62) preambulumbekezdése a következőképpen rendelkezik:
„(3) mivel egy olyan belső piac kialakítása és működése, amelyben az EK‑[Szerződés] 7a. cikkének [módosítást követően EK 14. cikk] megfelelően biztosított az áruk, a személyek, a szolgáltatások és a tőke szabad mozgása, nem csak azt kívánja meg, hogy a személyes adatok szabadon áramolhassanak egyik tagállamból a másikba, hanem azt is, hogy az egyének alapvető jogai biztosítva legyenek;
[…]
(7) mivel az egyes tagállamokban végzett személyesadat‑feldolgozás [helyesen: személyesadat‑kezelés] terén az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmének szintjei közötti eltérések akadályozhatják az ilyen adatok egyik tagállamból a másikba történő továbbítását; mivel ebből eredően ezek az eltérések akadályt jelentenek számos közösségi szintű gazdasági tevékenység elvégzésében, torzítják a versenyt, és hátráltatják a hatóságokat a közösségi jog szerinti feladataik teljesítésében; mivel a védelmi szintek közötti ezen eltérések a nemzeti törvényi, rendeleti és közigazgatási rendelkezések sokféleségének tulajdoníthatók;
(8) mivel a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása [helyesen: kezelése] terén azonos kell legyen minden tagállamban; mivel ez a célkitűzés alapvető fontosságú a belső piac szempontjából, de a tagállamok egyedül nem tudják azt megvalósítani, főként a tagállamok vonatkozó jogszabályai között jelenleg fennálló eltérések miatt, és ezért össze kell hangolni a tagállamok jogszabályait ahhoz, hogy biztosított legyen a személyes adatok határokon keresztül történő áramlásának a Szerződés 7a. cikkében meghatározott belső piac céljának megfelelő következetes szabályozása; mivel ezért szükség van az említett jogszabályok közelítését célzó közösségi fellépésre;
[…]
(10) mivel a személyes adatok feldolgozására [helyesen: kezelésére] vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind [a Rómában, 1950. november 4‑én aláírt,] az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek; mivel ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a Közösségen belül;
[…]
(62) mivel a tagállamokban a feladataikat teljes függetlenséggel gyakorló felügyelő hatóságok létrehozása alapvető eleme az egyének védelmének a személyes adatok feldolgozása [helyesen: kezelése] tekintetében”.
4 A 95/46 irányelv 1. cikke, amelynek címe „Az irányelv célja”, a következőképpen rendelkezik:
„(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása [helyesen: kezelése] tekintetében.
(2) A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.”
5 A 95/46 irányelvnek „A felügyelő hatóság” címet viselő 28. cikke értelmében:
„(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.
E hatóságok a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el.
(2) Minden tagállamnak rendelkeznie kell arról, hogy a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak és szabadságainak védelmére vonatkozó közigazgatási intézkedések vagy rendeletek kidolgozásakor a felügyelő hatóságokkal konzultáljanak.
(3) A hatóságok különösen a következő jogosultságokkal rendelkeznek:
– vizsgálati jogkör, mint például az adatfeldolgozási [helyesen: adatkezelési] műveletek tárgyát képező adatokhoz való hozzáférés joga, továbbá a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének joga,
– tényleges beavatkozási jogosultságok, mint például a 20. cikknek megfelelően végzett adatfeldolgozási [helyesen: adatkezelési] műveletek megkezdése előtti véleményezés joga, e vélemények megfelelő közzétételének biztosítása, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás [helyesen: adatkezelés] átmeneti vagy végleges tilalmának megállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése,
– bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.
A felügyelő hatóság kifogásolható [helyesen: sérelmet okozó] határozatai bíróság előtt megtámadhatók.
(4) A felügyelő hatóságok foglalkoznak a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy vagy az őt képviselő szervezet által benyújtott kérelmekkel. A kérelem elbírálásáról az érintett személyt értesíteni kell.
A felügyelő hatóságoknak foglalkozniuk kell különösen az adatfeldolgozás [helyesen: adatkezelés] törvényességének ellenőrzésére irányuló, bármely személy által benyújtott kérelemmel, amennyiben az ezen irányelv 13. cikkének értelmében elfogadott nemzeti rendelkezések alkalmazhatóak. Az érintett személyt mindenképpen értesíteni kell, ha az ellenőrzés megtörtént.
(5) A felügyelő hatóságok tevékenységükről rendszeresen jelentést készítenek. A jelentést nyilvánosságra kell hozni.
(6) A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam [helyesen: tagállam] hatóságát hatáskörének gyakorlására.
A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.
(7) A tagállamoknak rendelkezniük kell arról, hogy a felügyelő hatóság tagjaira és személyzetére megbízatásuk lejárta után is vonatkozzon a szakmai titoktartási kötelezettség a számukra hozzáférhető bizalmas információk tekintetében.”
6 A személyes adatok közösségi intézmények és szervek által történő feldolgozása [helyesen: kezelése] tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18‑i 45/2001/EK európai parlamenti és tanácsi rendeletet (HL 2001. L 8., 1. o.; magyar nyelvű különkiadás 13. fejezet, 26. kötet, 102. o.) az EK 286. cikk alapján fogadták el. E rendelet 44. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:
„(1) Az európai adatvédelmi biztos [(a továbbiakban: EAB)] feladatkörének ellátása során teljesen függetlenül jár el.
(2) Az európai adatvédelmi biztos feladatkörének ellátása során senkitől nem kérhet és nem fogadhat el utasítást.”
A nemzeti szabályozás
7 A német jog különbséget tesz az egyének védelmét illetően a személyes adatok kezelése vonatkozásában aszerint, hogy az adatkezelést állami szervek végzik‑e, vagy sem.
8 Eltérő hatóságok felügyelik ugyanis az adatvédelemre vonatkozó rendelkezések betartását az állami szervek, illetve a nem állami szervek és a piaci versenyben részt vevő közjogi vállalkozások (öffentlich-rechtliche Wettbewerbsunternehmen) (a továbbiakban: nem állami szektor) vonatkozásában.
9 A személyes adatok állami szervek általi kezelését szövetségi szinten az adatvédelemért és az információs szabadságért felelős szövetségi megbízott (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), tartományi szinten pedig a tartományi adatvédelmi megbízottak (Landesdatenschutzbeauftragte) ellenőrzik. Valamennyi megbízott csak saját parlamentjének felelős, és a felügyelete alatt álló állami szervek részéről minden ellenőrzéstől, utasítástól vagy más befolyástól mentes.
10 A személyes adatoknak a nem állami szektorban való kezelését ellenőrző hatóságok felépítése viszont tartományonként változó. A tartományi szabályozások közös sajátossága azonban, hogy e hatóságokat kifejezetten állami felügyeletnek vetik alá.
A pert megelőző eljárás és a Bíróság előtti eljárás
11 A Bizottság, mivel úgy vélte, hogy a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésével összeegyeztethetetlen a nem állami szektorban a személyes adatok kezelése vonatkozásában az egyének védelmére vonatkozó rendelkezések betartását ellenőrző hatóságok állami felügyelet alá vonása, amint az valamennyi német tartományban történik, 2005. július 5‑én felszólító levelet intézett a Németországi Szövetségi Köztársasághoz. Ez utóbbi 2005. szeptember 12‑i levelével válaszolt, azt állítva, hogy a szóban forgó német felügyeleti rendszer megfelel az említett irányelv követelményeinek. A Bizottság ezt követően, 2006. december 12‑én indokolással ellátott véleményt küldött a Németországi Szövetségi Köztársaságnak, megismételve az előzőleg emelt kifogást. 2007. február 14‑i válaszában az fenntartotta eredeti álláspontját.
12 Ilyen körülmények között a Bizottság benyújtotta a jelen keresetet.
13 A Bíróság elnöke 2008. október 14‑i végzésével megengedte a beavatkozást az EAB‑nak a Bizottság kérelmeinek támogatása végett.
A keresetről
A felek érvei
14 A jelen jogvita az EAB által támogatott Bizottság illetve a Németországi Szövetségi Köztársaság által képviselt két eltérő felfogással kapcsolatos, a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő „teljes függetlenséggel” kifejezés és a személyes adatok kezelése vonatkozásában az egyének védelmét felügyelő hatóságok feladatainak teljes függetlenséggel történő gyakorlása tekintetében.
15 A „teljes függetlenséggel” kifejezés tág értelmezéséből kiinduló Bizottság és az EAB szerint az ellenőrző hatóságok feladatai „teljes függetlenséggel” történő gyakorlásának kötelezettségét úgy kell értelmezni, hogy az ellenőrző hatóságnak a más hatóságok által, vagy a közigazgatás keretein kívül gyakorolt bármilyen befolyástól mentesnek kell lennie. Ezért az állami felügyelet, amelynek Németországban a nem állami szektorban a személyes adatok kezelése tekintetében az egyének védelmére vonatkozó szabályozás betartását ellenőrző hatóságok alá vannak vetve, az említett követelmény megsértését jelenti.
16 A Németországi Szövetségi Köztársaság a „teljes függetlenséggel” kifejezés megszorítóbb értelmezése mellett van, és azt állítja, hogy a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdése az ellenőrző hatóságok működésbeli függetlenségét követeli meg abban az értelemben, hogy e hatóságoknak függetlennek kell lenniük a felügyeletük alatt álló nem állami szektortól, és nem lehetnek külső befolyásnak kitéve. Márpedig álláspontja szerint a német tartományokban gyakorolt állami felügyelet nemcsak, hogy ilyen külső befolyást, hanem belső közigazgatási ellenőrzési mechanizmust is jelent, amelyet az ellenőrző hatóságokkal azonos közigazgatási ágba tartozó hatóságok gyakorolnak, amelyek, ez utóbbiakhoz hasonlóan, szintén kötelesek teljesíteni a 95/46 irányelv célkitűzéseit.
A Bíróság álláspontja
Az ellenőrző hatóságok függetlensége követelményének hatályáról
17 A jelen kereset megalapozottságának értékelése a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében foglalt függetlenség követelményének hatályától, következésképpen e rendelkezés értelmezésétől függ. E tekintetben az említett rendelkezés szövegezését, valamint a 95/46 irányelv céljait és szerkezetét kell figyelembe venni.
18 Először is, a 95/46 irányelv 28. cikke (1) bekezdése második albekezdésének szövegezésével kapcsolatban, mivel ez utóbbi nem definiálja a „teljes függetlenséggel” kifejezést, annak szokásos értelmét kell alapul venni. Hatóság esetében a „függetlenség” kifejezés olyan jogállást jelöl, amely biztosítja az érintett szerv számára, hogy teljesen szabadon, utasításoktól és nyomásgyakorlástól mentesen működhessen.
19 A Németországi Szövetségi Köztársaság álláspontjával ellentétben semmi nem utal arra, hogy a függetlenség követelménye kizárólag az ellenőrző hatóságok és az ellenőrzésük alatt álló szervek közötti kapcsolatra vonatkozik. Ellenkezőleg, a „függetlenség” fogalmát a „teljes” melléknév erősíti, ami az ellenőrző hatóságon kívüli bármilyen, közvetlen vagy közvetett befolyástól mentes döntéshozatali jogkört jelent.
20 Másodszor, a 95/46 irányelv céljait illetően, különösen annak (3), (7) és (8) preambulumbekezdéséből kitűnik, hogy az mindenekelőtt a személyes adatok tagállamok közötti szabad áramlásának biztosítására irányul azon nemzeti szabályok összehangolása révén, amelyek az egyének védelmére vonatkoznak az ilyen személyes adatok kezelése tekintetében (lásd e tekintetben a C‑465/00, C‑138/01. és C‑139/01. sz., Österreichischer Rundfunk és társai egyesített ügyekben 2003. május 20‑án hozott ítélet [EBHT 2003., I‑4989. o.] 39. és 70. pontját), ami az EK 14. cikk (2) bekezdése értelmében a belső piac kialakítása és működése érdekében szükséges.
21 A személyes adatok szabad áramlása azonban sértheti a magánélethez való – különösen az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikkében (lásd e tekintetben az EJEB, 2000. február 16‑i Amman kontra Svájc ítélet, Ítéletek és határozatok tára 2000‑II, 69. és 80. §‑át és a 2000. május 4‑i Rotaru kontra Románia ítélet, Ítéletek és határozatok tára 2000‑V, 43. és 46. §‑át), valamint a közösségi jog általános elveiben elismerést nyert – jogot.
22 Ezért, amint az különösen a 95/46 irányelv (10) preambulumbekezdéséből és 1. cikkéből kitűnik, annak célja többek között nem a meglévő nemzeti jogszabályok által nyújtott védelem szintjének csökkenése, hanem ellenkezőleg, a Közösségen belül az alapvető jogok és szabadságok védelmének biztosítása a személyes adatok kezelése tekintetében (lásd e vonatkozásban a fent hivatkozott Österreichischer Rundfunk és társai egyesített ügyekben hozott ítélet 70. pontját, valamint a C‑73/07. sz., Satakunnan Markkinapörssi és Satamedia ügyben 2008. december 16‑án hozott ítélet [EBHT 2008., I‑9831. o.] 52. pontját).
23 A 95/46 irányelv 28. cikkében szereplő ellenőrző hatóságok tehát az említett alapvető jogok és szabadságok őrzői, és létrehozásuk a tagállamokban, amint arra ezen irányelv (62) preambulumbekezdése utal, alapvető eleme az egyének védelmének a személyes adatok kezelése tekintetében.
24 E védelem biztosítása érdekében az ellenőrző hatóságoknak meg kell teremteniük a helyes egyensúlyt egyrészt a magánélet védelméhez való alapvető jog tiszteletben tartása, másrészt a személyes adatok szabad áramlásához fűződő érdekek között. Továbbá, a 95/46 irányelv 28. cikkének (6) bekezdése alapján a különböző nemzeti hatóságoknak együtt kell működniük egymással, adott esetben hatáskörüket egy másik állam hatóságának felkérésére kell gyakorolniuk.
25 A nemzeti ellenőrző hatóságok függetlensége garantálásának célja a személyes adatok kezelése vonatkozásában az egyének védelmére vonatkozó rendelkezések tiszteletben tartásának ellenőrzése hatékonyságának és megbízhatóságának biztosítása, és e függetlenséget e célkitűzés fényében kell értelmezni. Előírására nem azért került sor, hogy különleges jogállást biztosítson e hatóságoknak, valamint azok alkalmazottainak, hanem a határozataik által érintett személyek és szervezetek védelmének megerősítése érdekében. Ebből következik, hogy feladataik gyakorlása során az ellenőrző hatóságoknak objektíven és pártatlanul kell eljárniuk. Ezért minden külső befolyástól mentesnek kell lenniük, ideértve az állam vagy a tartományok által gyakorolt közvetlen vagy közvetett befolyást is, nemcsak az ellenőrzött szervezetek általi befolyást.
26 Ami harmadsorban a 95/46 irányelv szerkezetét illeti, ezen irányelvet úgy kell tekinteni, mint amely az EK 286. cikk és a 45/2001 rendelet függvénye. Ez utóbbiak a személyes adatok közösségi intézmények és szervek által történő kezelése tekintetében az egyének védelmét, valamint az ilyen adatok szabad áramlását érintik. Az említett irányelvnek ugyanez a célja, de az ilyen adatoknak a tagállamokban történő kezelése vonatkozásában.
27 Mint ahogy az ellenőrző hatóságok nemzeti szinten léteznek, közösségi szinten is létezik a személyes adatok kezelése vonatkozásában az egyének védelmére vonatkozó rendelkezések alkalmazását ellenőrző szerv, mégpedig az EAB. A 45/2001 rendelet 44. cikkének (1) bekezdése értelmében e szerv feladatkörének ellátása során teljesen függetlenül jár el. Az említett cikk (2) bekezdése kihangsúlyozza a függetlenség e fogalmát, hozzátéve, hogy az EAB feladatkörének ellátása során senkitől nem kérhet és nem fogadhat el utasítást.
28 Tekintettel arra, hogy a 45/2001 rendelet 44. cikke és a 95/46 irányelv 28. cikke ugyanazon az általános elven alapul, a két rendelkezést egységesen kell értelmezni, úgy, hogy nemcsak az EAB, hanem a nemzeti hatóságok függetlensége is magában foglalja az utasításoktól való mentességet feladatkörük ellátása során.
29 Magának a 95/46 irányelv 28. cikke (1) bekezdése második albekezdésének a szövegezése, valamint ezen irányelv céljai és szerkezete alapján világosan értelmezhető az említett 28. cikk (1) bekezdésének második albekezdése. Következésképpen nem szükséges az említett irányelv keletkezésének történetét figyelembe venni, vagy a Bizottság és a Németországi Szövetségi Köztársaság e tekintetben egymással ellentétes előadásaival kapcsolatban állást foglalni.
30 A fentiekre tekintettel a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdését akként kell értelmezni, hogy a személyes adatok nem állami szektorban való kezelésének ellenőrzésére hatáskörrel rendelkező hatóságoknak olyan függetlenséggel kell rendelkezniük, amelynek alapján feladatkörüket külső befolyás nélkül láthatják el. E függetlenség nemcsak az ellenőrzött szervezetek által gyakorolt bármilyen befolyást zár ki, hanem bármilyen összefonódást vagy más, akár közvetlen, akár közvetett külső befolyást is, amely akadályozhatná az említett hatóságoknak a magánélet védelméhez való alapvető jog és a személyes adatok szabad áramlása közötti helyes egyensúly létrehozásában álló feladatai teljesítését.
Az állami felügyeletről
31 A továbbiakban azt kell megvizsgálni, hogy az állami felügyelet, amelynek a személyes adatok nem állami szektorban való kezelését ellenőrző hatóságok Németországban alá vannak vetve, összeegyeztethető‑e az így körülírt függetlenség követelményével.
32 E tekintetben megállapítandó, hogy az állami felügyelet, bármilyen természetű legyen is, lényegében lehetővé teszi az érintett tartomány kormányának, vagy annak fennhatósága alatt álló valamely közigazgatási szervnek az ellenőrző hatóságok határozatainak közvetlen vagy közvetett befolyásolását, vagy adott esetben megsemmisítését és helyettük új határozat hozatalát.
33 Kétségtelenül előzetesen el kell ismerni, amint arra a Németországi Szövetségi Köztársaság rámutat, hogy az állami felügyelet mindössze az ellenőrző hatóságok tevékenységének biztosítását célozza, ami összhangban van az alkalmazandó közösségi és nemzeti rendelkezésekkel, és annak tehát nem célja, hogy az említett hatóságokat esetleg a személyes adatok kezelése vonatkozásában az egyének védelmével és az alapvető jogokkal ellentétes politikai szándékok megvalósítására kényszerítse.
34 Nem zárható ki mindazonáltal, hogy az ellenőrző hatóságoknak, amelyek az általános közigazgatás részét képezik, tehát tartományuk kormányának fennhatósága alatt állnak, nem áll módjukban objektíven eljárni, amikor a személyes adatok kezelésére vonatkozó rendelkezéseket értelmezik és alkalmazzák.
35 Amint arra ugyanis az EAB észrevételeiben rámutat, az érintett tartomány kormányának érdekében állhat, hogy ne tartsa be a személyes adatok kezelése vonatkozásában az egyének védelmére vonatkozó rendelkezéseket, ha az ilyen adatoknak a nem állami szektorban való kezelése a kérdés. E kormány maga is érdekelt lehet ezen adatkezelésben, ha abban részt vesz vagy részt vehet, például egy közjogi-magánjogi társulás esetében, vagy a magánszektort érintő közbeszerzés keretében. E kormánynak, ha az szükséges, vagy csak hasznos számára, ahhoz is különleges érdeke fűződhet, hogy adatbázisokhoz férjen hozzá bizonyos feladatai teljesítése érdekében, például költségvetési vagy büntetés-végrehajtási célból. Ugyanez a kormány arra is hajlamos lehet, hogy a személyes adatok kezelése vonatkozásában az egyének védelmére vonatkozó rendelkezéseknek egyes fontos vállalkozások által történő alkalmazása során gazdasági érdekeket részesítsen előnyben, a tartomány vagy a régió gazdasági érdekeire figyelemmel.
36 Hangsúlyozandó továbbá: önmagában az a kockázat, hogy az adatkezelést ellenőrző hatóságok döntéseire az őket felügyelő hatóságok politikai befolyást gyakorolhatnak, már elegendő akadályát jelenti annak, hogy az előbbiek független módon láthassák el feladatkörüket. Egyrészt, amint azt a Bizottság kifejtette, itt szó lehet e hatóságoknak az őket felügyelő hatóságok döntéshozatali gyakorlatához való „idő előtti igazodásáról”. Másrészt a magánélethez való jog őrzőjének szerepe, amit az említett hatóságok betöltenek, megköveteli, hogy határozataik, így ők maguk is, mentesek legyenek a részrehajlás legcsekélyebb gyanújától is.
37 A fenti megfontolások alapján megállapítandó, hogy a nem állami szektorban a személyes adatok kezelésének ellenőrzésére hatáskörrel rendelkező német hatóságok feletti állami felügyelet nem egyeztethető össze a függetlenség jelen ítélet 30. pontjában bemutatott követelményével.
A Németországi Szövetségi Köztársaság által hivatkozott közösségi jogi elvekről
38 A Németországi Szövetségi Köztársaság szerint több közösségi jogi elvvel is ellentétes volna a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő függetlenség követelményét oly módon értelmezni, ami a nem állami szektorban a személyes adatok kezelése körében az ellenőrző hatóságok feletti felügyelet bevált és hatékony rendszerének megszüntetésére kötelezné e tagállamot.
39 Az említett tagállam szerint elsősorban különösen a demokrácia elvével volna ellentétes az említett függetlenségi követelmény tág értelmezése.
40 Ezen elv alapján, amely nemcsak a német alkotmányban szerepel, hanem az EU 6. cikk (1) bekezdésében is, a közigazgatást a parlamentnek felelős kormány utasításainak kell alávetni. Ennek megfelelően a polgárok és a vállalkozások jogait érintő beavatkozások felett az illetékes miniszternek törvényességi felügyeletet kell gyakorolnia. Mivel a személyes adatok kezelése vonatkozásában az egyének védelmét felügyelő hatóságok a 95/46 irányelv 28. cikkének (3) bekezdése alapján bizonyos beavatkozási jogkörrel rendelkeznek a polgárok és a nem állami szektor tekintetében, tevékenységük jogszerűségére vonatkozóan mindenképpen szükséges lenne a törvényességi vagy szakmai felügyeleti eszközökkel végzett bővített felügyelet.
41 E tekintetben emlékeztetni kell arra, hogy a demokrácia elve a közösségi jogrendbe tartozik, és azt az EU 6. cikk (1) bekezdése kifejezetten, mint Európai Unió egyik alapját említi. Mint a tagállamok közös alapelveinek egyike, tekintettel kell rá lenni a másodlagos jog olyan rendelkezéseinek értelmezése során, mint például a 95/46 irányelv 28. cikke.
42 Ezzel az elvvel nem ellentétes olyan hatóságok létezése, amelyek a hagyományos hierarchikus közigazgatási struktúrán kívül helyezkednek el, és a kormánytól többé-kevésbé függetlenek. Az ilyen hatóságok létezését és működéseinek feltételét a tagállamokban törvény, vagy bizonyos tagállamokban maga az alkotmány szabályozza, e hatóságoknak törvényesen kell működniük, és alá vannak vetve a hatáskörrel rendelkező bíróságok felülvizsgálatának. Az ilyen független közigazgatási hatóságok, amint az egyébként a német jogrendszerben is így van, gyakran szabályozási hatáskörrel is rendelkeznek, vagy olyan feladatokat látnak el, amelyeknek politikai befolyástól mentesnek kell lenniük, a törvényesség talaján maradva azonban, és a hatáskörrel rendelkező bíróságok felülvizsgálati jogkörének hatálya alatt. Pontosan ez a helyzet a személyes adatok kezelése vonatkozásában az egyének védelmét felügyelő hatóságok esetében.
43 A parlamenti befolyás teljes hiánya e hatóságok felett természetesen nem képzelhető el. Megjegyzendő azonban, hogy a 95/46 irányelv nem is írja elő a tagállamok számára a parlamenti befolyás ilyen teljes hiányát.
44 Így egyrészt az ellenőrző hatóságok vezetését ellátó személyeket a parlament vagy a kormány nevezheti ki. Másrészt a jogalkotó határozhatja meg az említett hatóságok hatáskörét.
45 Továbbá, a jogalkotó előírhatja az ellenőrző hatóságok számára, hogy tevékenységükről beszámoljanak a parlamentnek. E tekintetben lehetséges a 95/46 irányelv 28. cikkének (5) bekezdéséhez történő közelítés, amely szerint az ellenőrző hatóságok tevékenységükről rendszeresen jelentést készítenek, amelyet nyilvánosságra kell hozni.
46 A fentiekre tekintettel a nem állami szektorban a személyes adatok kezelése vonatkozásában az egyének védelmét felügyelő hatóságok részére az általános közigazgatástól független jogállás biztosítása önmagában nem fosztja meg e hatóságokat demokratikus legitimációjuktól.
47 Másodsorban, a Közösségre ruházott hatáskörök EK 5. cikk első bekezdésében szereplő, a Németországi Szövetségi Köztársaság által szintén hivatkozott elvét illetően, e rendelkezés szerint a Közösség az EK‑Szerződésben ráruházott hatáskörök és a számára kijelölt célkitűzések keretén belül jár el.
48 A Németországi Szövetségi Köztársaság e tekintetben arra hivatkozik, hogy az ellenőrző hatóságoknak a felsőbb közigazgatási szervektől való függetlensége nem írható elő az EK‑Szerződés 100a. cikke alapján, amelyen a 95/46 irányelv is alapul.
49 E rendelkezés felhatalmazza a közösségi jogalkotót a belső piac megteremtése és működése feltételeinek javítását célzó intézkedések meghozatalára; ezen intézkedéseknek ténylegesen ezt kell célozniuk, tehát hozzá kell járulniuk a Szerződés által biztosított gazdasági szabadságok korlátainak kiküszöböléséhez (lásd különösen a C‑376/98. sz., Németország kontra Parlament és Tanács ügyben 2000. október 5‑én hozott ítélet [EBHT 2000., I‑8419. o.] 83., 84. és 95. pontját, valamint a C‑491/01. sz., British American Tobacco [Investments] és Imperial Tobacco ügyben 2002. december 10‑én hozott ítélet [EBHT 2002., I‑11453. o.] 60. pontját, valamint a C‑436/03. sz., Parlament kontra Tanács ügyben 2006. május 2‑án hozott ítélet [EBHT 2006., I‑3733. o.] 38. pontját).
50 Amint már kifejtésre került, az ellenőrző hatóságok függetlensége, abban az értelemben, hogy mentesnek kell lenniük a döntéseiket irányítani képes bármilyen külső befolyástól, lényeges elem a 95/46 irányelv célkitűzéseire tekintettel. Szükséges ahhoz, hogy minden tagállamban létrehozzák a személyes adatok kezelése tekintetében a személyek védelmének egységesen magas szintjét, és ily módon elősegíti az adatok szabad áramlását, amely a belső piac létrehozásához és működéséhez szükséges.
51 A fentiekre figyelemmel az ellenőrző hatóságok függetlensége követelményének tág értelmezése nem haladja meg a 95/46 irányelv jogalapját képező EK‑Szerződés 100a cikke alapján a Közösség számára biztosított jogkör határait.
52 Harmadsorban a Németországi Szövetségi Köztársaság az EK 5. cikk második és harmadik bekezdésében szereplő szubszidiaritás elvére, illetve az arányosság elvére, valamint az EK 10. cikkben szereplő, a tagállamok és a közösségi intézmények közötti jóhiszemű együttműködés elvére hivatkozik.
53 Különösen az Amszerdami Szerződéssel az EU‑Szerződéshez és az EK‑Szerződéshez csatolt, a szubszidiaritás és az arányosság elveinek alkalmazásáról szóló jegyzőkönyv 7. pontjára utal, amely szerint a közösségi jog sérelme nélkül ügyelni kell arra, hogy a bevett nemzeti szabályozást, valamint a tagállamok jogrendjének szervezetét és működését tiszteletben tartsák.
54 Szerinte e követelménnyel ellentétes volna a Németországi Szövetségi Köztársaságot saját jogrendjétől idegen rendszer elfogadására kötelezni, és így megszüntetni egy hatékony, már közel harminc éve bevált felügyeleti rendszert, amely az adatvédelmi jogszabályok területén olyan példát mutat, amelynek kisugárzása a nemzeti szintet jóval meghaladja.
55 Ennek az érvelésnek nem lehet helyt adni. Amint ugyanis a jelen ítélet 21–25., és 50. pontjában szerepel, a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő függetlenség követelményének oly módon történő értelmezése, hogy azzal ellentétes az állami felügyelet, nem haladja meg az EK‑Szerződés céljainak eléréséhez szükséges mértéket.
56 A fenti megfontolások alapján meg kell állapítani, hogy a Németországi Szövetségi Köztársaság – mivel a személyes adatoknak a nem állami szektorban történő kezelését ellenőrző hatóságokat egyes tartományokban állami felügyelet alá vonta, és ezáltal e hatóságok „teljes függetlensége” biztosításának kötelezettségét helytelenül ültette át – nem teljesítette a 95/46/EK irányelv 28. cikke (1) bekezdésének második albekezdéséből eredő kötelezettségeit.
A költségekről
57 Az eljárási szabályzat 69. cikkének 2. §‑a alapján a Bíróság a pervesztes felet kötelezi a költségek viselésére, ha a pernyertes fél ezt kérte. A Németországi Szövetségi Köztársaságot, mivel pervesztes lett, a Bizottság kérelmének megfelelően kötelezni kell a költségek viselésére.
58 Az EAB maga viseli saját költségeit.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A Németországi Szövetségi Köztársaság – mivel a személyes adatoknak a nem állami szervek és a piaci versenyben részt vevő közjogi vállalkozások általi kezelését ellenőrző hatóságokat egyes tartományokban állami felügyelet alá vonta, és ezáltal e hatóságok „teljes függetlensége” biztosításának kötelezettségét helytelenül ültette át – nem teljesítette a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 28. cikke (1) bekezdésének második albekezdéséből eredő kötelezettségeit.
2) A Bíróság a Németországi Szövetségi Köztársaságot kötelezi az Európai Bizottságnál felmerült költségek viselésére.
3) Az európai adatvédelmi biztos maga viseli saját költségeit.
Aláírások
* Az eljárás nyelve: német.