Mål C‑518/07
Europeiska kommissionen
mot
Förbundsrepubliken Tyskland
”Fördragsbrott – Direktiv 95/46/EG – Skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter – Artikel 28.1 – Nationella tillsynsmyndigheter – Oberoende – Administrativ kontroll som utövas över dessa myndigheter”
Sammanfattning av domen
1. Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Nationella tillsynsmyndigheter
(Europaparlamentets och rådets direktiv 95/46, artikel 28.1)
2. Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Nationella tillsynsmyndigheter
(Europaparlamentets och rådets direktiv 95/46, artikel 28.1)
1. Garantin för de nationella tillsynsmyndigheternas oberoende, som föreskrivs i artikel 28.1 andra stycket i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, är avsedd att säkerställa en effektiv och tillförlitlig övervakning av att bestämmelserna om skydd för enskilda personer med avseende på behandling av personuppgifter följs och den ska tolkas mot bakgrund av det syftet. Garantin har inte införts för att dessa myndigheter själva och deras ombud ska ges en särskild ställning, utan för att förstärka skyddet av de personer och organ som berörs av deras beslut. Av detta följer att tillsynsmyndigheterna, i utövandet av sina uppgifter, måste kunna handla objektivt och opartiskt. De får för detta ändamål inte vara utsatta för någon påverkan utifrån. Detta gäller inte bara påverkan från de organ som är föremål för övervakning utan även, direkt eller indirekt, från staten eller delstaterna.
Följaktligen ska de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter inom den icke‑offentliga sektorn åtnjuta ett sådant oberoende att de kan utöva sina uppgifter utan påverkan utifrån. Detta oberoende utesluter inte bara all påverkan från de organ som är föremål för övervakning utan också varje åläggande eller all annan påverkan utifrån, direkt eller indirekt, som kan hindra nämnda myndigheter från att fullgöra sin uppgift att säkerställa en riktig avvägning mellan skyddet för rätten till privatliv och ett fritt flöde av personuppgifter.
(se punkterna 25 och 30)
2. Risken att kontrollmyndigheterna i politiskt hänseende kan påverka de beslut som fattas av de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter, enligt artikel 28.1 andra stycket i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, är i sig tillräcklig för att hindra tillsynsmyndigheterna från att utöva sina uppgifter oberoende. För det första kan dessa myndigheter visa en ”föregripande hörsamhet” med hänsyn till kontrollmyndighetens beslutspraxis. För det andra förutsätter den roll som väktare av rätten till privatliv som nämnda tillsynsmyndigheter har, att deras beslut, och följaktligen de själva, är höjda över varje misstanke om partiskhet. Den statliga kontroll som de nationella myndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter inom den icke-offentliga sektorn ställs under är följaktligen oförenlig med kravet på oberoende.
En medlemsstat underlåter följaktligen att uppfylla sina skyldigheter enligt artikel 28.1 andra stycket i direktiv 95/46 om den ställer de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter som utförs av icke-offentliga organ och offentliga företag som verkar på en konkurrensutsatt marknad i de olika delstaterna under statlig kontroll och således inte korrekt genomför kravet på att dessa myndigheter ska utöva sina uppgifter fullständigt oberoende.
(se punkterna 36, 37, 56 och domslutet)
DOMSTOLENS DOM (stora avdelningen)
den 9 mars 2010 (*)
”Fördragsbrott – Direktiv 95/46/EG – Skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter – Artikel 28.1 – Nationella tillsynsmyndigheter – Oberoende – Administrativ kontroll som utövas över dessa myndigheter”
I mål C‑518/07,
angående en talan om fördragsbrott enligt artikel 226 EG, som väckts den 22 november 2007,
Europeiska kommissionen, företrädd av C. Docksey, C. Ladenburger och H. Krämer, samtliga i egenskap av ombud, med delgivningsadress i Luxemburg,
sökande,
med stöd av
Europeiska datatillsynsmannen, företrädd av H. Hijmans och A. Scirocco, båda i egenskap av ombud, med delgivningsadress i Luxemburg,
intervenient,
mot
Förbundsrepubliken Tyskland, företrädd av M. Lumma och J. Möller, båda i egenskap av ombud, med delgivningsadress i Luxemburg,
svarande,
meddelar
DOMSTOLEN (stora avdelningen)
sammansatt av ordföranden V. Skouris, avdelningsordförandena A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot och E. Levits samt domarna A. Rosas, K. Schiemann (referent), J.-J. Kasel, M. Safjan och D. Šváby,
generaladvokat: J. Mazák,
justitiesekreterare: R. Grass,
efter det skriftliga förfarandet,
och efter att den 12 november 2009 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Europeiska kommissionen har yrkat att domstolen ska fastställa att Förbundsrepubliken Tyskland har underlåtit att uppfylla sina skyldigheter enligt artikel 28.1 andra stycket i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31), genom att ställa de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter inom den icke-offentliga sektorn i de olika delstaterna under statlig kontroll och genom att således inte korrekt genomföra kravet på att de myndigheter som har till uppgift att säkerställa skyddet av sådana uppgifter ska vara ”fullständigt oberoende”.
Tillämpliga bestämmelser
Gemenskapslagstiftningen
2 Direktiv 95/46 antogs med stöd av artikel 100a i EG‑fördraget (sedermera artikel 95 EG i ändrad lydelse) och syftar till att harmonisera de nationella lagstiftningarna om behandling av personuppgifter.
3 I skälen 3, 7, 8, 10 och 62 i direktiv 95/46 anges följande:
”3) Upprättandet av den inre marknaden och dennas funktion, som i enlighet med artikel 7a i [EG‑fördraget (sedermera artikel 14 EG i ändrad lydelse)] innebär fri rörlighet för varor, personer, tjänster och kapital, förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas.
…
7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar.
8) För att hindren mot flöden av personuppgifter skall kunna avskaffas måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater. Denna målsättning är av grundläggande betydelse för den inre marknaden men kan inte uppnås genom åtgärder endast av medlemsstaterna, i synnerhet med tanke på omfattningen av de skillnader som för närvarande finns mellan nationell lagstiftning på området och med tanke på behovet av att samordna lagstiftningen i medlemsstaterna för att säkerställa en sådan enhetlig reglering av det gränsöverskridande flödet av personuppgifter som överensstämmer med målsättningen för den inre marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av lagstiftningen.
…
10) Ändamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna [undertecknad i Rom den 4 november 1950] och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.
…
62) För skyddet av enskilda personer med avseende på behandlingen av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter.”
4 Artikel 1 i direktiv 95/46, med rubriken ”Direktivets syfte”, har följande lydelse:
”1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.”
5 I artikel 28 i direktiv 95/46, med rubriken ”Tillsynsmyndighet”, föreskrivs följande:
”1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.
2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.
3. Varje tillsynsmyndighet skall särskilt ha
– undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,
– effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner,
– befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.
4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.
Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.
5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras.
6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.
De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.
7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.”
6 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1), antogs med stöd av artikel 286 EG. I artikel 44.1 och 44.2 i förordningen föreskrivs följande:
”1. Den europeiska datatillsynsmannen [nedan kallad datatillsynsmannen] skall vara fullständigt oberoende i sin tjänsteutövning.
2. [Datatillsynsmannen] skall i sin tjänsteutövning varken begära eller ta emot instruktioner av någon.”
Den nationella lagstiftningen
7 I tysk rätt görs åtskillnad vad gäller skyddet för enskilda personer med avseende på behandling av personuppgifter beroende på om uppgifterna behandlas av offentliga organ eller inte.
8 De myndigheter som övervakar att bestämmelserna på området följs av dels offentliga organ, dels icke-offentliga organ och offentliga företag som verkar på en konkurrensutsatt marknad (öffentlich-rechtliche Wettbewerbsunternehmen) (tillsammans nedan kallade den icke-offentliga sektorn) skiljer sig nämligen åt.
9 De offentliga organens behandling av personuppgifter övervakas, på federal nivå, av det federala ombudet för skydd av uppgifter och informationsfrihet (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) och, på delstatsnivå, av delstatsombuden för skydd av uppgifter (Landesdatenschutzbeauftragte). Alla dessa ombud ansvarar endast inför sina respektive parlament och är normalt inte underordnade någon kontroll, instruktioner eller annan påverkan från de offentliga organ som är föremål för deras övervakning.
10 De myndigheter som har till uppgift att övervaka den behandling av nämnda uppgifter som utförs inom den icke-offentliga sektorn är däremot organiserade på olika sätt beroende på delstat. Gemensamt kännetecken för delstaternas lagar är dock att dessa tillsynsmyndigheter uttryckligen är underordnade statlig kontroll.
Det administrativa förfarandet och förfarandet vid domstolen
11 Kommissionen anser att det är oförenligt med artikel 28.1 andra stycket i direktiv 95/46 att ställa den myndighet som har till uppgift att övervaka iakttagandet av bestämmelserna om skydd för enskilda personer, med avseende på behandling av personuppgifter som utförs inom den icke-offentliga sektorn, under statlig kontroll, vilket är fallet i samtliga tyska delstater. Kommissionen sände därför, den 5 juli 2005, en formell underrättelse till Förbundsrepubliken Tyskland. Nämnda stat besvarade den formella underrättelsen genom en skrivelse av den 12 september 2005, i vilken den anförde att det tyska kontrollsystemet i fråga uppfyllde kraven enligt nämnda direktiv. Kommissionen riktade härefter, den 12 december 2006, ett motiverat yttrande till Förbundsrepubliken Tyskland, genom vilket den upprepade den anmärkning som den hade framställt tidigare. Denna stat förklarade i sitt svar av den 14 februari 2007 att den vidhöll sin ursprungliga ståndpunkt.
12 Mot denna bakgrund beslutade kommissionen att väcka förevarande talan.
13 Genom beslut av domstolens ordförande den 14 oktober 2008 tilläts datatillsynsmannen att intervenera i detta mål, till stöd för kommissionens yrkanden.
Talan
Parternas argument
14 Detta mål avser de två motstridiga uppfattningar som kommissionen, med stöd av datatillsynsmannen, och Förbundsrepubliken Tyskland har om begreppet ”fullständigt oberoende” i artikel 28.1 andra stycket i direktiv 95/46 och om tillsynsmyndigheternas utövande av uppgifter i fråga om skydd för enskilda personer med avseende på behandling av personuppgifter.
15 Enligt kommissionen och datatillsynsmannen, vilka grundar sig på en vid tolkning av begreppet ”fullständigt oberoende”, ska kravet att tillsynsmyndigheterna ska utöva sina uppgifter ”fullständigt oberoende” tolkas på så sätt att en tillsynsmyndighet inte ska kunna påverkas alls, vare sig av andra myndigheter eller av enheter som inte hör till statsförvaltningen. Kravet åsidosätts följaktligen genom att de tillsynsmyndigheter som övervakar iakttagandet av bestämmelserna om skydd för enskilda personer med avseende på behandling av personuppgifter inom den icke-offentliga sektorn i Tyskland ställs under statlig kontroll.
16 Förbundsrepubliken Tyskland har för sin del förordat en snävare tolkning av begreppet ”fullständigt oberoende”. Nämnda stat har hävdat att det enligt artikel 28.1 andra stycket i direktiv 95/46 krävs att tillsynsmyndigheterna är verksamhetsmässigt oberoende, i den meningen att myndigheterna ska vara oberoende i förhållande till den icke‑offentliga sektor som är föremål för deras översyn och att de inte får vara utsatta för påverkan utifrån. Enligt Förbundsrepubliken Tyskland utgör inte den statliga kontroll som utövas i de tyska delstaterna en sådan påverkan utifrån, utan en form av intern kontroll inom förvaltningen. Den interna kontrollen utförs av myndigheter som hör till samma förvaltning som tillsynsmyndigheterna och som, precis som tillsynsmyndigheterna, är skyldiga att genomföra de mål som eftersträvas med direktiv 95/46.
Domstolens bedömning
Omfattningen av kravet att tillsynsmyndigheterna ska vara oberoende
17 Bedömningen av huruvida denna talan ska bifallas är avhängig hur omfattande kravet på oberoende i artikel 28.1 andra stycket i direktiv 95/46 är och, följaktligen, hur denna bestämmelse ska tolkas. I detta sammanhang ska bestämmelsens ordalydelse samt syftena med och systematiken i direktiv 95/46 beaktas.
18 Vad, för det första, avser ordalydelsen i artikel 28.1 andra stycket i direktiv 95/46 gör domstolen följande bedömning. Eftersom orden ”fullständigt oberoende” inte definieras i direktivet, ska den innebörd orden vanligen ges beaktas. I fråga om statliga organ åsyftar begreppet ”oberoende” normalt en ställning genom vilken det säkerställs att det aktuella organet kan verka helt fritt, utan några instruktioner eller påtryckningar.
19 Till skillnad från Förbundsrepubliken Tysklands uppfattning finns det inget som pekar på att kravet på ”oberoende” uteslutande avser förhållandet mellan tillsynsmyndigheterna och de organ som är föremål för deras övervakning. Begreppet oberoende förstärks tvärtom genom adverbet ”fullständigt”, vilket förutsätter beslutsbefogenheter genom vilka tillsynsmyndigheten inte utsätts för någon påverkan utifrån, vare sig direkt eller indirekt.
20 Vad, för det andra, avser syftena med direktiv 95/46, framgår det särskilt av skälen 3, 7 och 8 i direktivet att syftet med detsamma i huvudsak är att genom harmonisering av nationella bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter säkerställa det fria flödet av sådana uppgifter mellan medlemsstaterna (se, för ett liknande resonemang, dom av den 20 maj 2003 i de förenade målen C‑465/00, C‑138/01 och C‑139/01, Österreichischer Rundfunk m.fl., REG 2003, s. I‑4989, punkterna 39 och 70), vilket är nödvändigt för upprättandet och funktionen av den inre marknaden, i den mening som avses i artikel 14.2 EG.
21 Det fria flödet av personuppgifter kan emellertid utgöra en kränkning av den rätt till privatlivet som bland annat erkänns i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (se, för ett liknande resonemang, Europadomstolens dom av den 16 februari 2000 i målet Amann mot Schweiz, Reports of judgments and decisions 2000-II, punkterna 69 och 80, och av den 4 maj 2000 i målet Rotaru mot Rumänien, Reports of judgments and decisions 2000-V, punkterna 43 och 46) och i gemenskapsrättens allmänna principer.
22 Det är av denna anledning, såsom särskilt framgår av skäl 10 och artikel 1 i direktiv 95/46, som direktivet även är avsett att inte medföra någon inskränkning av det skydd som säkerställs genom gällande nationella bestämmelser, utan tvärtom att inom gemenskapen säkerställa en hög skyddsnivå i fråga om grundläggande fri- och rättigheter med avseende på behandling av personuppgifter (se domen i de ovannämnda förenade målen Österreichischer Rundfunk m.fl., punkt 70, och dom av den 16 december 2008 i mål C‑73/07, Satakunnan Markkinapörssi och Satamedia, REG 2008, s. I‑9831, punkt 52).
23 De tillsynsmyndigheter som avses i artikel 28 i direktiv 95/46 är följaktligen dessa grundläggande fri- och rättigheters väktare, och deras inrättande i medlemsstaterna anses således vara av avgörande betydelse för skyddet av enskilda personer med avseende på behandlingen av personuppgifter, såsom påpekas i skäl 62 i direktivet.
24 För att garantera detta skydd ska tillsynsmyndigheterna säkerställa en riktig avvägning mellan den grundläggande rätten till privatliv, å ena sidan, och de intressen som avser ett fritt flöde av personuppgifter, å andra sidan. Enligt artikel 28.6 i direktiv 95/46 ska de olika nationella myndigheterna dessutom samarbeta med varandra och de ska, i förekommande fall, även utöva sina befogenheter på anmodan av en myndighet i en annan medlemsstat.
25 Garantin för de nationella tillsynsmyndigheternas oberoende är avsedd att säkerställa en effektiv och tillförlitlig övervakning av att bestämmelserna om skydd för enskilda personer med avseende på behandling av personuppgifter följs och den ska tolkas mot bakgrund av det syftet. Garantin har inte införts för att dessa myndigheter själva och deras ombud ska ges en särskild ställning, utan för att förstärka skyddet av de personer och organ som berörs av deras beslut. Av detta följer att tillsynsmyndigheterna, i utövandet av sina uppgifter, måste kunna handla objektivt och opartiskt. De får för detta ändamål inte vara utsatta för någon påverkan utifrån. Detta gäller inte bara påverkan från de organ som är föremål för övervakning, utan även, direkt eller indirekt, från staten eller delstaterna.
26 Vad, för det tredje, avser systematiken i direktiv 95/46, erinrar domstolen om att detta direktiv ska anses utgöra motsvarigheten till artikel 286 EG och förordning nr 45/2001. De senare avser gemenskapsinstitutionernas och gemenskapsorganens behandling av personuppgifter och den fria rörligheten för sådana uppgifter. Genom direktivet eftersträvas samma syften, men det avser behandling av personuppgifter i medlemsstaterna.
27 I likhet med de övervakningsorgan som finns på nationell nivå föreskrivs även att det på gemenskapsnivå ska finnas ett organ med uppgift att övervaka tillämpningen av bestämmelserna om skydd för enskilda personer med avseende på behandling av personuppgifter, nämligen datatillsynsmannen. Enligt artikel 44.1 i förordning nr 45/2001 ska detta organ vara fullständigt oberoende i sin tjänsteutövning. I punkt 2 i nämnda artikel förklaras begreppet oberoende genom tillägget att datatillsynsmannen i sin tjänsteutövning varken ska begära eller ta emot instruktioner av någon.
28 Med hänsyn till att det i artikel 44 i förordning nr 45/2001 och artikel 28 i direktiv 95/46 utgås från samma allmänna begrepp, ska de båda bestämmelserna tolkas enhetligt. Därför innebär inte bara datatillsynsmannens oberoende utan även de nationella myndigheternas oberoende att dessa organ i utövandet av sina uppgifter inte får vara beroende av några instruktioner.
29 Genom att utgå från själva ordalydelsen i artikel 28.1 andra stycket i direktiv 95/46 samt från direktivets syften och systematik, är det möjligt att göra en tydlig tolkning av nämnda artikel 28.1 andra stycket. Det är följaktligen inte nödvändigt att beakta direktivets bakgrund eller att uttala sig om de i detta hänseende motstridiga framställningar som gjorts av kommissionen och Förbundsrepubliken Tyskland.
30 Mot bakgrund av det föregående ska artikel 28.1 andra stycket i direktiv 95/46 tolkas så, att de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter inom den icke‑offentliga sektorn ska åtnjuta ett sådant oberoende att de kan utöva sina uppgifter utan påverkan utifrån. Detta oberoende utesluter inte bara all påverkan från de organ som är föremål för övervakning utan också varje åläggande eller all annan påverkan utifrån, direkt eller indirekt, som kan hindra nämnda myndigheter från att fullgöra sin uppgift att säkerställa en riktig avvägning mellan skyddet för rätten till privatliv och ett fritt flöde av personuppgifter.
Statlig kontroll
31 Det ska därefter prövas huruvida den statliga kontroll som de myndigheter som övervakar behandling av personuppgifter som utförs inom den icke-offentliga sektorn ställs under i Tyskland är förenlig med kravet på oberoende, såsom detta har angetts.
32 Det kan i detta hänseende konstateras att statlig kontroll, oavsett slag, i princip gör det möjligt för den berörda delstatsregeringen eller ett förvaltningsorgan som är underordnat delstatsregeringen att direkt eller indirekt påverka tillsynsmyndigheternas beslut eller, i förekommande fall, att upphäva och ersätta dessa beslut.
33 Det ska visserligen noteras att, såsom har hävdats av Förbundsrepubliken Tyskland, den statliga kontrollen i princip endast är avsedd att säkerställa att tillsynsmyndigheterna handlar i överensstämmelse med de nationella bestämmelser och gemenskapsbestämmelser som gäller, och att syftet med den således inte är att tvinga nämnda myndigheter att eventuellt följa politiska mål som strider mot skyddet för enskilda personer med avseende på behandling av personuppgifter och mot de grundläggande rättigheterna.
34 Det kan emellertid inte uteslutas att kontrollmyndigheterna, som hör till den allmänna förvaltningen och följaktligen är underordnade sina respektive delstatsregeringar, inte är i stånd att handla objektivt när de tolkar och tillämpar bestämmelserna om behandling av personuppgifter.
35 Såsom datatillsynsmannen har anfört i sitt yttrande kan den berörda delstatsregeringen nämligen ha ett intresse av att inte följa bestämmelserna om skydd för enskilda personer med avseende på behandling av personuppgifter, när det är inom den icke-offentliga sektorn som sådana uppgifter behandlas. Delstatsregeringen kan själv utgöra en part som berörs av behandlingen, om den deltar eller skulle kunna delta i denna, exempelvis vid ett offentligt-privat partnerskap eller vid en offentlig upphandling med enheter inom den privata sektorn. Delstatsregeringen kan även ha ett särskilt intresse, om det är nödvändigt, eller helt enkelt till nytta, för den att få tillgång till databaser för att fullgöra vissa av sina uppgifter, särskilt för skattemässiga eller repressiva ändamål. Samma delstatsregering kan dessutom ha en tendens att främja ekonomiska intressen vid tillämpningen av nämnda bestämmelser med avseende på vissa bolag som, i ekonomiskt hänseende, är betydelsefulla för delstaten eller regionen.
36 Det ska dessutom understrykas att risken att kontrollmyndigheterna kan påverka tillsynsmyndigheternas beslut i politiskt hänseende i sig är tillräcklig för att hindra tillsynsmyndigheterna från att utöva sina uppgifter oberoende. För det första kan dessa myndigheter, såsom kommissionen har påpekat, visa en ”föregripande hörsamhet” med hänsyn till kontrollmyndighetens beslutspraxis. För det andra förutsätter den roll som väktare av rätten till privatliv som nämnda myndigheter har, att deras beslut, och följaktligen de själva, är höjda över varje misstanke om partiskhet.
37 Det kan mot bakgrund av föregående överväganden konstateras att den statliga kontroll som de tyska myndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter inom den icke-offentliga sektorn ställs under är oförenlig med kravet på oberoende, såsom detta har beskrivits i punkt 30 i denna dom.
Gemenskapsrättsliga principer som åberopats av Förbundsrepubliken Tyskland
38 Förbundsrepubliken Tyskland har gjort gällande att det skulle strida mot flera av gemenskapsrättens principer att tolka kravet på oberoende enligt artikel 28.1 andra stycket i direktiv 95/46 på ett sådant sätt att denna medlemsstat var tvungen att överge det tillförlitliga och effektiva system som den infört för kontroll av tillsynsmyndigheterna i fråga om behandling av personuppgifter inom den icke-offentliga sektorn.
39 Förbundsrepubliken Tyskland anser, för det första, att särskilt principen om demokrati utgör hinder för att göra en vid tolkning av nämnda krav på oberoende.
40 Denna princip, som inte bara slås fast i den tyska grundlagen utan även i artikel 6.1 EU, förutsätter att förvaltningen underkastar sig de instruktioner som meddelas av regeringen, som ansvarar inför parlamentet. Ingripanden som avser medborgarnas och företagens rättigheter ska således vara föremål för en lagenlighetsprövning av den behörige ministern. De tillsynsmyndigheter som är behöriga i fråga om skydd för enskilda personer med avseende på behandling av personuppgifter har vissa befogenheter att ingripa vad beträffar medborgare och den icke-offentliga sektorn med stöd av artikel 28.3 i direktiv 95/46. Det är därför absolut nödvändigt med en utvidgad kontroll av deras verksamheters lagenlighet genom instrument för rättslig eller materiell kontroll.
41 Det ska härvid erinras om att principen om demokrati utgör en del av gemenskapens rättsordning och slås uttryckligen fast i artikel 6.1 EU som utgörande en av Europeiska unionens grundvalar. Den ska, såsom princip som är gemensam för medlemsstaterna, beaktas vid tolkningen av en bestämmelse i sekundärrätten, exempelvis artikel 28 i direktiv 95/46.
42 Denna princip utgör inte något hinder för att det finns offentliga myndigheter som inte ingår i en klassisk hierarkisk förvaltning och som är mer eller mindre oberoende av regeringen. Bestämmelser om förekomsten av sådana myndigheter och om villkoren för deras funktion har i medlemsstaterna antagits i lag eller, i vissa medlemsstater, i grundlag, och dessa myndigheter är skyldiga att följa lagen, under de behöriga domstolarnas kontroll. Sådana oberoende förvaltningsmyndigheter, som för övrigt förekommer i det tyska rättssystemet, har ofta en regleringsfunktion eller utövar uppgifter som inte får utsättas för politisk påverkan, samtidigt som de är skyldiga att följa lagen, under de behöriga domstolarnas kontroll. Så är just fallet beträffande de uppgifter som tillsynsmyndigheterna har i fråga om skydd för enskilda personer med avseende på behandling av personuppgifter.
43 Man kan visserligen inte föreställa sig att dessa myndigheter inte utsätts för något parlamentariskt inflytande. Det ska emellertid påpekas att det i direktiv 95/46 inte heller föreskrivs att det i medlemsstaterna inte får förekomma något parlamentariskt inflytande.
44 Parlamentet eller regeringen kan således utnämna de personer som ska åta sig ledningen av tillsynsmyndigheterna. Lagstiftaren kan vidare fastställa dessa myndigheters behörighet.
45 Lagstiftaren kan dessutom ålägga tillsynsmyndigheterna en skyldighet att inför parlamentet redogöra för sina verksamheter. Det kan i detta hänseende göras en jämförelse med artikel 28.5 i direktiv 95/46, i vilken det föreskrivs att varje tillsynsmyndighet regelbundet ska upprätta en rapport om sin verksamhet, som ska offentliggöras.
46 Den omständigheten att de tillsynsmyndigheter som är behöriga i fråga om skydd för enskilda personer med avseende på behandling av personuppgifter inom den icke-offentliga sektorn ges en oberoende ställning i förhållande till den allmänna förvaltningen är, mot bakgrund av det ovan anförda, i sig inte ägnad att frånta dessa myndigheter deras demokratiska legitimitet.
47 Vad, för det andra, avser den i artikel 5 första stycket fastslagna principen om tilldelade befogenheter, som också har åberopats av Förbundsrepubliken Tyskland, innebär denna att gemenskapen endast ska handla inom ramen för de befogenheter som den har tilldelats och de mål som har ställts upp för den genom EG‑fördraget.
48 Förbundsrepubliken Tyskland har i detta sammanhang gjort gällande att ett krav att tillsynsmyndigheterna ska vara oberoende i förhållande till överordnade förvaltningsmyndigheter inte kan grundas på artikel 100a i EG‑fördraget, med stöd av vilken direktiv 95/46 antagits.
49 Genom denna bestämmelse ges gemenskapslagstiftaren behörighet att besluta om åtgärder som syftar till att förbättra villkoren för upprättandet av den inre marknaden och dess funktion. Åtgärderna ska rent faktiskt ha detta syfte genom att de bidrar till att undanröja hinder för de ekonomiska friheter som garanteras i EG‑fördraget (se bland annat dom av den 5 oktober 2000 i mål C‑376/98, Tyskland mot parlamentet och rådet, REG 2000, s. I‑8419, punkterna 83, 84 och 95, av den 10 december 2002 i mål C‑491/01, British American Tobacco (Investments) och Imperial Tobacco, REG 2002, s. I‑11453, punkt 60, och av den 2 maj 2006 i mål C‑436/03, parlamentet mot rådet, REG 2006, s. I‑3733, punkt 38).
50 Såsom har anförts ovan är tillsynsmyndigheternas oberoende, i det att de inte får utsättas för någon påverkan utifrån som kan styra deras beslut, av avgörande betydelse med hänsyn till syftena med direktiv 95/46. Oberoendet är nödvändigt för att säkerställa en lika hög nivå av skydd för fysiska personer med avseende på behandling av personuppgifter i alla medlemsstater och bidrar, på så sätt, till det fria flödet av sådana uppgifter, vilket är nödvändigt för upprättandet och funktionen av den inre marknaden.
51 Mot bakgrund av det föregående överskrider en vid tolkning av kravet på tillsynsmyndigheternas oberoende inte gränserna för de befogenheter som gemenskapen har tilldelats med stöd av artikel 100a i EG‑fördraget, som utgör den rättsliga grunden för direktiv 95/46.
52 Förbundsrepubliken Tyskland har, för det tredje, åberopat subsidiaritets- och proportionalitetsprinciperna, vilka slås fast i artikel 5 andra och tredje styckena EG, samt principen om lojalt samarbete mellan medlemsstaterna och gemenskapens institutioner, som slås fast i artikel 10 EG.
53 Denna stat har särskilt hänvisat till punkt 7 i protokollet om tillämpning av subsidiaritets- och proportionalitetsprinciperna, som fogats till EU‑fördraget och EG‑fördraget genom Amsterdamfördraget. I nämnda punkt 7 föreskrivs att samtidigt som gemenskapsrätten skall följas, är det viktigt att följa väletablerade nationella ordningar och att respektera de sätt på vilka medlemsstaternas rättssystem är organiserade och fungerar.
54 Det skulle enligt Förbundsrepubliken Tyskland strida mot detta krav om den var tvungen att anta ett system som var främmande för dess rättsordning och om den således var tvungen att överge ett effektivt övervakningssystem som med framgång har tillämpats sedan nästan trettio år och som varit en förebild på lagstiftningsområdet för skydd av uppgifter, vars betydelse sträckt sig längre än till det nationella planet.
55 Förbundsrepubliken Tyskland kan inte vinna någon framgång med denna argumentering. Såsom har förklarats i punkterna 21–25 och 50 i denna dom går den tolkning av det krav på oberoende som föreskrivs i artikel 28.1 andra stycket i direktiv 95/46, enligt vilken kravet utgör hinder för en statlig kontroll, inte utöver vad som är nödvändigt för att uppnå målen i EG‑fördraget.
56 Mot bakgrund av samtliga ovannämnda överväganden konstaterar domstolen följande. Förbundsrepubliken Tyskland har underlåtit att uppfylla sina skyldigheter enligt artikel 28.1 andra stycket i direktiv 95/46, genom att ställa de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter som utförs inom den icke-offentliga sektorn i de olika delstaterna under statlig kontroll och genom att således inte korrekt genomföra kravet på att dessa myndigheter ska utöva sina uppgifter ”fullständigt oberoende”.
Rättegångskostnader
57 Enligt artikel 69.2 i rättegångsreglerna ska tappande part förpliktas att ersätta rättegångskostnaderna om detta har yrkats. Kommissionen har yrkat att Förbundsrepubliken Tyskland ska ersätta rättegångskostnaderna. Eftersom Förbundsrepubliken Tyskland har tappat målet ska kommissionens yrkande bifallas.
58 Datatillsynsmannen ska bära sina rättegångskostnader.
Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:
1) Förbundsrepubliken Tyskland har underlåtit att uppfylla sina skyldigheter enligt artikel 28.1 andra stycket i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, genom att ställa de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter som utförs av icke-offentliga organ och offentliga företag som verkar på en konkurrensutsatt marknad (öffentlich-rechtliche Wettbewerbsunternehmen) i de olika delstaterna under statlig kontroll och genom att således inte korrekt genomföra kravet på att dessa myndigheter ska utöva sina uppgifter ”fullständigt oberoende”.
2) Förbundsrepubliken Tyskland ska ersätta Europeiska kommissionens rättegångskostnader.
3) Europeiska datatillsynsmannen ska bära sina rättegångskostnader.
Underskrifter
* Rättegångsspråk: tyska.