Urteil des EuGH, Az. C-217/04

EuGH: verordnung, vereinigtes königreich, kommission, rat der europäischen union, kommunikation, europäisches parlament, erlass, rechtsgrundlage, zusammenarbeit, daten
WICHTIGER RECHTLICHER HINWEIS:
und Urheberrechtsschutz.
URTEIL DES GERICHTSHOFES (Große Kammer)
2. Mai 2006 ()
„Verordnung (EG) Nr. 460/2004 – Europäische Agentur für Netz- und Informationssicherheit – Wahl der
Rechtsgrundlage“
In der Rechtssache C-217/04
betreffend eine Nichtigkeitsklage nach Artikel 230 EG, eingereicht am 20. Mai 2004,
Vereinigtes Königreich Großbritannien und Nordirland,
Bevollmächtigten im Beistand von Lord Goldsmith und N. Paines, QC, sowie T. Ward, Barrister,
Kläger,
gegen
Europäisches
Parlament,
Zustellungsanschrift in Luxemburg,
Rat der Europäischen Union,
Beklagte,
unterstützt durch
Republik Finnland
Kommission der Europäischen Gemeinschaften
Bevollmächtigte, Zustellungsanschrift in Luxemburg,
Streithelferinnen,
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten V. Skouris, der Kammerpräsidenten P. Jann, C. W. A. Timmermans,
A. Rosas und J. Malenovský, des Richters R. Schintgen, der Richterin N. Colneric, der Richter S. von
Bahr und J. N. Cunha Rodrigues, der Richterin R. Silva de Lapuerta (Berichterstatterin) sowie der
Richter M. Ilešič, J. Klučka und U. Lõhmus,
Generalanwältin: J. Kokott,
Kanzler: K. Sztranc, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 7. September 2005,
nach Anhörung der Schlussanträge der Generalanwältin in der Sitzung vom 22. September 2005
folgendes
Urteil
1 Das Vereinigte Königreich Großbritannien und Nordirland beantragt mit seiner Klage die
Nichtigerklärung der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom
10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ABl. L 77,
S. 1, im Folgenden: Verordnung).
2 Mit Beschluss des Präsidenten des Gerichtshofes vom 25. November 2004 sind die Republik Finnland
und die Kommission der Europäischen Gemeinschaften als Streithelferinnen zur Unterstützung der
Anträge des Europäischen Parlaments und des Rates der Europäischen Union zugelassen worden.
Rechtlicher Rahmen
3 Nach Artikel 1 Absatz 1 der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7.
März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -
dienste (Rahmenrichtlinie) (ABl. L 108, S. 33) soll mit dieser Richtlinie ein harmonisierter Rahmen für
die Regulierung elektronischer Kommunikationsdienste sowie zugehöriger Einrichtungen und
zugehöriger Dienste vorgegeben werden. Sie legt insbesondere die Aufgaben der nationalen
Regulierungsbehörden sowie eine Reihe von Verfahren fest, die die gemeinschaftsweit harmonisierte
Anwendung des Rechtsrahmens gewährleisten.
4 Die Gemeinschaftsregelung über elektronische Netze und elektronische Kommunikation umfasst
ferner folgende Richtlinien (im Folgenden: Einzelrichtlinien):
– die Richtlinie 2002/19/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über
den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie
deren Zusammenschaltung (Zugangsrichtlinie) (ABl. L 108, S. 7);
– die Richtlinie 2002/20/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über
die Genehmigung elektronischer Kommunikationsnetze und -dienste (Genehmigungsrichtlinie)
(ABl. L 108, S. 21);
– die Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über
den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und ‑diensten
(Universaldienstrichtlinie) (ABl. L 108, S. 51);
– die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über
die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der
elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl.
L 201, S. 37);
– die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999
über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (im Folgenden:
Richtlinie über elektronische Signaturen) (ABl. 2000, L 13, S. 12);
– die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über
bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des
elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen
Geschäftsverkehr“) (ABl. L 178, S. 1).
5 Mit dem Beschluss 2002/627/EG vom 29. Juli 2002 (ABl. L 200, S. 38) richtete die Kommission die
Gruppe Europäischer Regulierungsstellen für elektronische Kommunikationsnetze und -dienste ein.
6 Die Verordnung wurde auf der Grundlage des Artikels 95 EG erlassen. Ihr Artikel 1 Absatz 1 errichtet
eine Europäische Agentur für Netz‑ und Informationssicherheit (im Folgenden: Agentur).
7 Nach Artikel 1 Absatz 2 der Verordnung besteht die Aufgabe der Agentur darin, „die Kommission und
die Mitgliedstaaten [zu unterstützen] und … folglich mit der Wirtschaft zusammen[zuarbeiten], um
diesen dabei zu helfen, die Anforderungen an die Netz‑ und Informationssicherheit – einschließlich der
in geltenden und künftigen Rechtsvorschriften der Gemeinschaft wie beispielsweise in der Richtlinie
2002/21/EG niedergelegten Anforderungen – zu erfüllen und damit das reibungslose Funktionieren des
Binnenmarktes zu gewährleisten“.
8 Artikel 2 – Ziele – der Verordnung lautet wie folgt:
„(1) Die Agentur verbessert die Fähigkeit der Gemeinschaft und der Mitgliedstaaten und folglich der
Wirtschaft, Probleme im Bereich der Netz‑ und Informationssicherheit zu verhüten, zu bewältigen und zu
beheben.
(2) Die Agentur unterstützt und berät die Kommission und die Mitgliedstaaten in Fragen der Netz‑
und Informationssicherheit, die gemäß dieser Verordnung in ihre Zuständigkeit fallen.
(3) Aufbauend auf einzelstaatlichen und gemeinschaftlichen Anstrengungen arbeitet die Agentur
auf ein hohes Niveau fachlicher Kompetenz hin. Die Agentur nutzt diese Fachkompetenz, um Anstöße
zu einer umfassenden Zusammenarbeit zwischen den Akteuren des öffentlichen und des privaten
Sektors zu geben.
(4) Auf Aufforderung unterstützt die Agentur die Kommission bei den technischen Vorarbeiten für
die Aktualisierung und Weiterentwicklung der gemeinschaftlichen Rechtsvorschriften im Bereich der
Netz‑ und Informationssicherheit.“
9 Artikel 3 der Verordnung definiert die Aufgaben, die die Agentur wahrnehmen muss, „[u]m zu
gewährleisten, dass dem Zuständigkeitsbereich und den Zielen gemäß den Artikeln 1 und 2
entsprochen wird“. Es handelt sich dabei um folgende Aufgaben:
„a) Erhebung geeigneter Informationen zur Analyse der derzeitigen und absehbaren Risiken sowie –
insbesondere auf europäischer Ebene – der Risiken, die sich auf die Belastbarkeit und die
Verfügbarkeit elektronischer Kommunikationsnetze und auf die Authentizität, Integrität und
Vertraulichkeit der auf diesem Weg abgerufenen und übertragenen Informationen auswirken
könnten, sowie Bereitstellung der Analyseergebnisse für die Mitgliedstaaten und die
Kommission;
b) im Rahmen ihrer Ziele Beratung und – auf Verlangen – Unterstützung des Europäischen
Parlaments, der Kommission, europäischer Stellen und Einrichtungen oder der von den
Mitgliedstaaten benannten zuständigen Stellen;
c) Förderung der Zusammenarbeit zwischen verschiedenen Akteuren im Bereich der Netz‑ und
Informationssicherheit, unter anderem durch regelmäßige Anhörung der Industrie, der
Hochschulen sowie anderer betroffener Sektoren und durch den Aufbau von Kontaktnetzen für
gemeinschaftliche Stellen sowie für die von den Mitgliedstaaten benannten öffentlichen Stellen
und für Organisationen des Privatsektors und Verbraucherorganisationen;
d) Erleichterung der Zusammenarbeit zwischen der Kommission und den Mitgliedstaaten bei der
Entwicklung gemeinsamer Methoden zur Verhütung, Bewältigung und Behebung von Problemen
im Bereich der Netz‑ und Informationssicherheit;
e) Beitrag zur Sensibilisierung und zur frühzeitigen, objektiven und umfassenden
Informationsvermittlung in Fragen der Netz‑ und Informationssicherheit für alle Nutzer, unter
anderem durch Förderung des Austauschs der jeweils besten Verfahren, einschließlich der
Verfahren zur Warnung der Nutzer, sowie durch Nutzung der Synergieeffekte zwischen Initiativen
des öffentlichen und des privaten Sektors;
f) Unterstützung der Kommission und der Mitgliedstaaten in ihrem Dialog mit der Industrie, um
sicherheitsrelevante Probleme bei Hardware- und Softwareprodukten anzugehen;
g) Verfolgen der Entwicklung von Standards für Produkte und Dienstleistungen im Bereich der Netz‑
und Informationssicherheit;
h) Beratung der Kommission in Bezug auf Forschungsarbeiten im Bereich der Netz- und
Informationssicherheit sowie hinsichtlich des effizienten Einsatzes von Technologien zur
Risikovermeidung;
i) Förderung von Risikobewertungsmaßnahmen und interoperablen Lösungen für das
Risikomanagement sowie von Studien über Lösungen für das Präventionsmanagement innerhalb
von Organisationen des öffentlichen und des privaten Sektors;
j) Beitrag zu den Bemühungen der Gemeinschaft um eine Zusammenarbeit mit Drittländern und
gegebenenfalls mit internationalen Organisationen zur Förderung eines gemeinsamen
Gesamtkonzepts für Fragen der Netz‑ und Informationssicherheit, wodurch zur Entwicklung einer
Kultur der Netz‑ und Informationssicherheit beigetragen wird;
k) unabhängige Formulierung eigener Schlussfolgerungen, Leitlinien und Ratschläge zu Fragen
innerhalb ihrer Zuständigkeiten und Ziele“.
10 Die Abschnitte 2 und 3 der Verordnung betreffen die Organisation und die Arbeitsweise der Agentur.
Zur Klage
11 Das Vereinigte Königreich macht zur Stützung seines Antrags auf Nichtigerklärung der Verordnung
geltend, dass Artikel 95 EG keine geeignete Rechtsgrundlage für den Erlass dieser Verordnung liefere.
Die dem Gemeinschaftsgesetzgeber durch Artikel 95 EG verliehene Befugnis sei eine Befugnis zur
Harmonisierung
der
nationalen
Rechtsordnungen
und
nicht
zur
Schaffung
von
Gemeinschaftseinrichtungen und zur Übertragung von Aufgaben auf diese.
12 Zu prüfen sei, ob die nach Artikel 95 EG erlassene Maßnahme ein Ziel verfolge, das durch den
gleichzeitigen Erlass identischer Rechtsvorschriften in allen Mitgliedstaaten erreicht werden könnte.
Sei dies der Fall, so harmonisiere die Verordnung die nationalen Rechtsordnungen. Wenn die
Verordnung hingegen „etwas tue“, was nicht durch den gleichzeitigen Erlass identischer
Rechtsvorschriften auf Ebene der Mitgliedstaaten erreicht werden könne, d. h., wenn sie Regelungen
in Bereichen treffe, die nicht in die Zuständigkeit der einzelnen Mitgliedstaaten fielen, handele es sich
nicht um eine Harmonisierungsmaßnahme.
13 Das Vereinigte Königreich räumt ein, dass eine nach Artikel 95 EG erlassene
Harmonisierungsmaßnahme Vorschriften enthalten könne, die an sich keine Harmonisierung der
nationalen Rechtsordnungen darstellten, wenn diese Vorschriften bloße Nebenbestimmungen seien
oder der Durchführung von Vorschriften dienten, die die nationalen Rechtsordnungen harmonisierten.
14 Keine der Vorschriften der Verordnung bezwecke auch nur indirekt und in sehr begrenztem Maße eine
Angleichung nationaler Rechtsvorschriften. Es sei der Agentur vielmehr ausdrücklich untersagt, in die
Zuständigkeiten nationaler Einrichtungen einzugreifen; sie dürfe nämlich in dem betreffenden Bereich
nur nicht bindende Ratschläge erteilen.
15 Die Verordnung reagiere auf die Gefahren, die die Komplexität der Materie für das reibungslose
Funktionieren des Binnenmarktes mit sich bringe, nicht mit der Harmonisierung der nationalen
Rechtsvorschriften, sondern mit der Schaffung einer Gemeinschaftseinrichtung mit Beratungsfunktion.
Eine Gemeinschaftsmaßnahme sei jedoch nicht allein deshalb eine Harmonisierungsmaßnahme im
Sinne von Artikel 95 EG, weil sie sich positiv auf das Funktionieren des Binnenmarktes auswirken
könne.
16 Die Erteilung von nicht bindenden Ratschlägen könne nicht mit einer „Angleichung der Rechts‑ und
Verwaltungsvorschriften der Mitgliedstaaten“ im Sinne von Artikel 95 EG gleichgesetzt werden.
Außerdem könne die Erteilung solcher Ratschläge in der Praxis die Unterschiede zwischen den
nationalen Rechtsordnungen vergrößern. Darüber, ob die Ratschläge der Agentur in der Praxis dazu
führten, dass die Mitgliedstaaten das Ermessen, über das sie nach der Rahmenrichtlinie und den
Einzelrichtlinien verfügten, in ähnlicher Weise ausübten, lasse sich nur spekulieren.
17 Die Aufgaben der Agentur beschränkten sich auf die Entwicklung des Fachwissens und die Beratung
eines breit gefächerten Kreises potenzieller Adressaten; allein aus dem Umstand, dass sie die
Kommission unterstütze, könne sich möglicherweise eine Verbindung zwischen den von ihr zu
erfüllenden Aufgaben und der Harmonisierung der Rechtsordnungen ergeben. Diese Funktion, bei der
es um technische Forschung zu gehen scheine, weise jedoch eine zu schwache Verbindung mit den
Gemeinschaftsbestimmungen über die Harmonisierung der nationalen Rechtsvorschriften auf.
18 Der Erlass der Rahmenrichtlinie und der Einzelrichtlinien stehe dieser Beurteilung nicht entgegen. Die
Tätigkeiten der Agentur erstreckten sich nämlich weit über den Anwendungsbereich dieser Richtlinien
hinaus. Außerdem erleichtere die Erteilung nicht bindender Ratschläge, wie sie die Verordnung
vorsehe, die Durchführung dieser Richtlinien nicht, da diese Aufgabe ausschließlich den zuständigen
Einrichtungen der Mitgliedstaaten vorbehalten sei, zu denen die Agentur nicht gehöre.
19 Die der Agentur übertragene Rolle gehe über den Anwendungsbereich der Einzelrichtlinien hinaus, da
die Verordnung nicht nur die Sicherheit der Kommunikationsnetze, sondern auch die der
Informationssysteme, wie Datenbanken, betreffe.
20 Außerdem sei die Begründung der Verordnung in Bezug auf die Wahrscheinlichkeit, dass
unterschiedliche nationale Anforderungen an die Informationssicherheit zu Handelshemmnissen
führten, unzureichend. Die bloße Möglichkeit einer heterogenen Umsetzung der Anforderungen an die
Netzsicherheit und der Umstand, dass diese Anforderungen zu ineffizienten Lösungen und
Hindernissen für den Binnenmarkt führen könnten, seien keine ausreichende Begründung.
21 Das Vereinigte Königreich räumt jedoch ein, dass die Errichtung der Agentur einem wünschenswerten
Ziel entspreche, nämlich der Einrichtung eines eigenen Fachzentrums für den Bereich Netz‑ und
Informationssicherheit durch die Gemeinschaft. Es habe auch gegen den Inhalt der Verordnung nichts
einzuwenden. Aus der Gesamtheit der vorgebrachten Argumente ergebe sich jedoch, dass diese
Verordnung auf Artikel 308 EG hätte gestützt werden müssen.
22 Das Parlament macht geltend, dass Artikel 95 EG nicht bestimme, in welchem Maße der vorgesehene
Gemeinschaftsrechtsakt die Rechtsordnungen der Mitgliedstaaten einander angleichen müsse. Der
EG‑Vertrag verlange nicht, dass auf diese Rechtsgrundlage gestützte Maßnahmen die materiell-
rechtlichen nationalen Vorschriften einander anglichen, wenn ein geringeres Maß an
gemeinschaftlichem Handeln angebracht sei. Es reiche nämlich aus, dass eine auf diese Vorschrift
gestützte Maßnahme die Angleichung der nationalen Vorschriften betreffe, selbst wenn sie diese nicht
selbst bewirke.
23 Die Verordnung entspringe dem Bemühen, für die Angleichung bestimmter Vorschriften zu sorgen, die
die Mitgliedstaaten im Bereich der Netz‑ und Informationssicherheit erlassen hätten oder in Kürze
erlassen würden, um eine effiziente Durchführung der einschlägigen Gemeinschaftsbestimmungen zu
erleichtern. In diesem Rahmen wäre die Verwendung einer anderen, engeren Rechtsgrundlage
inkohärent, da die Verordnung als Ergänzung zu einer Reihe von Richtlinien über den Binnenmarkt für
elektronische Kommunikationsnetze und ‑dienste zu würdigen sei.
24 Der Gesetzgeber habe für die aktuellen und vorhersehbaren Probleme der Netz‑ und
Informationssicherheit einen gemeinschaftlichen Lösungsansatz für angebracht gehalten und daher
eine Einrichtung geschaffen, die in enger Abstimmung mit dem privaten Sektor die zuständigen Stellen
der Staaten und der Gemeinschaft beraten solle. Die drei Tätigkeitsbereiche der Agentur, nämlich die
Erhebung
und
Verbreitung
von
Informationen,
die
Beratungsfunktionen
und
der
Zusammenarbeitsauftrag, trügen zu einer gemeinschaftlichen Regelung der verschiedenen Aspekte
der Netz‑ und Informationssicherheit bei.
25 Nach Ansicht des Parlaments hätte die Gemeinschaft zwar theoretisch Regeln zur Harmonisierung der
Vorschriften der Mitgliedstaaten über alle oder einige der Bereiche, die in der Verordnung behandelt
würden, erlassen können, der Gemeinschaftsgesetzgeber habe jedoch angesichts der technischen
Komplexität und der schnellen Entwicklung des in Rede stehenden Bereiches die Verordnung erlassen,
um Handelshemmnisse und den Effizienzverlust zu verhindern, zu denen es bei einer nicht
koordinierten Regelung der technischen und organisatorischen Durchführung durch die
Mitgliedstaaten kommen könne. Mit der Errichtung eines Fachzentrums, das Orientierung, Beratung
und Unterstützung im Bereich der elektronischen Kommunikation bieten solle, habe der
Gemeinschaftsgesetzgeber dieses Ziel über eine „Angleichung geringer Intensität“ erreichen wollen,
die es den Mitgliedstaaten ermöglichen solle, einheitliche Rechtsakte zur Durchführung der
verschiedenen Gemeinschaftsmaßnahmen in diesem Bereich zu erlassen.
26 Dass die materiell-rechtlichen Harmonisierungsvorschriften in der Rahmenrichtlinie und den
Einzelrichtlinien enthalten seien, ändere nichts daran, dass es sich bei der Verordnung um eine
ergänzende Maßnahme handle, die die Durchführung dieser Richtlinien erleichtern solle.
27 Die Aufgaben der Agentur seien insoweit relativ bescheiden, als die Agentur nicht befugt sei,
„Standards“ festzulegen. Die Erteilung von Ratschlägen, die aus einer einzigen, auf
Gemeinschaftsebene maßgeblichen Fachwissensquelle stammten, trage nämlich in Situationen, in
denen die Gemeinschaft und die nationalen Akteure gegebenenfalls unterschiedliche technische
Ratschläge erhalten könnten, zur Festlegung gemeinsamer Standpunkte bei. Auch die verschiedenen
von der Agentur geförderten Formen der Zusammenarbeit erleichterten die Angleichung der
Marktbedingungen und den Erlass von Maßnahmen durch die Mitgliedstaaten, die den Problemen der
Informationssicherheit Rechnung trügen.
28 Schließlich könne die Verordnung, wenn der Gerichtshof zu dem Ergebnis kommen sollte, dass Artikel
95 EG als Grundlage nicht in Betracht komme, jedenfalls auf die impliziten Befugnisse gestützt werden,
die diese Vorschrift dem Gemeinschaftsgesetzgeber verleihe. Im Hinblick auf diese impliziten
Befugnisse könnte die Schaffung der Agentur als zur Erreichung der mit den Einzelrichtlinien verfolgten
Ziele unerlässlich angesehen werden.
29 Der Rat macht geltend, dass die in Artikel 95 EG vorgesehene Angleichung nicht nur die nationalen
Gesetze, sondern auch die Rechts‑ und Verwaltungsvorschriften der Mitgliedstaaten betreffe.
Außerdem könnten auf diese Rechtsgrundlage gestützte Rechtsakte Vorschriften enthalten, die selbst
keine Harmonisierungsregeln darstellten, jedoch die Angleichung der nationalen Regelungen
erleichterten. Insbesondere hindere der Wortlaut dieses Artikels den Gesetzgeber nicht daran, eine
Gemeinschaftseinrichtung zu schaffen, die in einem Bereich, der bereits Gegenstand von
Harmonisierungsmaßnahmen sei, Fachkompetenzen einbringen solle.
30 Artikel 95 EG untersage es dem Gemeinschaftsgesetzgeber nicht, Maßnahmen zu erlassen, um zu
verhüten, dass aufgrund einer uneinheitlichen Entwicklung der nationalen Rechtsordnungen
zukünftige Handelshemmnisse entstünden. Der Gemeinschaftsgesetzgeber sei nämlich ermächtigt,
Rechtsakte zu erlassen, die, auch wenn sie selbst keine Harmonisierungsregeln darstellten, in
unmittelbarem Zusammenhang mit der Angleichung der nationalen Regeln stünden, insbesondere um
zu verhindern, dass es zu ineffizienten Lösungen und uneinheitlichen Entwicklungen der Regelungen
der Mitgliedstaaten komme.
31 Die Agentur leiste dadurch, dass sie der Kommission helfe, mit Blick auf die Ausarbeitung der
Gemeinschaftsbestimmungen vorbereitende technische Arbeiten durchzuführen, selbst mittels nicht
bindender Ratschläge, einen entscheidenden Beitrag zur Harmonisierung der nationalen Regelungen
und Praktiken im Bereich der Netz‑ und Informationssicherheit sowie zur Aktualisierung, Entwicklung
und Durchführung dieser Bestimmungen.
32 Die Stellungnahme einer unabhängigen Stelle, die auf Anfrage der Kommission und der
Mitgliedstaaten technische Ratschläge erteile, erleichtere die Umsetzung der einschlägigen Richtlinien
in das innerstaatliche Recht der Mitgliedstaaten. Die Verordnung habe somit, was die Harmonisierung
der Marktbedingungen innerhalb der Gemeinschaft angehe, keine unwesentliche oder untergeordnete
Wirkung, sondern trage unmittelbar zur Angleichung der nationalen Regelungen bei.
33 Schließlich verleihe Artikel 308 EG dem Gemeinschaftsgesetzgeber in den Bereichen, in denen die
Befugnis, zur Verwirklichung bestimmter Ziele materielle Regelungen zu erlassen, nicht der
Gemeinschaft übertragen worden sei, nur eine Restgesetzgebungszuständigkeit. Sobald es eine
spezifische Rechtsgrundlage für den Erlass eines Gemeinschaftsrechtsakts gebe, sei der Rückgriff auf
Artikel 308 EG ausgeschlossen; dieser habe lediglich Auffangfunktion.
34 Die Republik Finnland macht geltend, dass die Ziele und der Inhalt der Verordnung eng mit der
Errichtung und dem reibungslosen Funktionieren des Binnenmarktes zusammenhingen. Die
grundlegende Aufgabe der Agentur sei es nämlich, ein hohes und wirkungsvolles Niveau der Netz‑ und
Informationssicherheit zu gewährleisten und die in den Unterschieden zwischen den Regelungen der
Mitgliedstaaten in diesem Bereich bestehenden Hindernisse für das Funktionieren des Binnenmarktes
zu verringern.
35 Die Agentur erleichtere die einheitliche Anwendung der Gemeinschaftsbestimmungen im Bereich der
elektronischen Kommunikationsnetze und ‑dienste. Sie solle insbesondere das Auftreten zukünftiger
Handelshemmnisse verhüten, die aufgrund des komplexen und technischen Charakters der
elektronischen Netze sowie der unterschiedlichen Praktiken in den Mitgliedstaaten entstehen
könnten.
36 Bei der Suche nach der Rechtsgrundlage für Vorschriften über die Errichtung einer
Gemeinschaftseinrichtung sei der Grad der Angleichung der Gemeinschaftsbestimmungen über den
fraglichen Bereich zu berücksichtigen. Da die durch die Gemeinschaftsbestimmungen über
elektronische Kommunikationsnetze und ‑dienste bewirkte Vereinheitlichung bereits weit
fortgeschritten sei, könne die auf Gemeinschaftsebene eingeführte Regelung zur Gewährleistung einer
einheitlichen Praxis bei der Anwendung dieser Bestimmungen Maßnahmen vorschreiben, die über die
üblicherweise in diesem Bereich erlassenen hinausgingen.
37 Die Kommission ist der Ansicht, dass die Verordnung ihrem Zweck und ihrem Inhalt nach eine
Maßnahme darstelle, die unmittelbar die harmonisierte Durchführung und Anwendung bestimmter auf
Artikel 95 EG gestützter Richtlinien erleichtere. Eines der Hauptmerkmale der bestehenden Regelung
sei nämlich, dass ihre Anwendung im Einzelnen zu einem Großteil dezentralisiert und den nationalen
Regulierungsbehörden übertragen sei.
38 Die Schaffung der Agentur falle, insbesondere, weil sie die harmonisierte Anwendung der
Gemeinschaftsrichtlinien durch die nationalen Regulierungsbehörden erleichtere, unter einen
erweiterten Harmonisierungsbegriff. Der Zweck der Verordnung gehe nämlich über die bloße
Schaffung der Agentur hinaus, da diese der Kommission und den genannten Behörden Beratung und
Unterstützung bieten solle. Somit bestehe ein Zusammenhang zwischen der Schaffung dieser Agentur
und dem gemeinschaftsrechtlichen Rahmen für elektronische Kommunikation.
39 Die Rahmenrichtlinie schaffe ein harmonisiertes System für die Regulierung elektronischer
Kommunikationsdienste und ‑netze sowie zugehöriger Einrichtungen. Sie lege die Aufgaben der
nationalen Regulierungsbehörden fest, indem sie eine Reihe von Verfahren einführe, die die
gemeinschaftsweit harmonisierte Anwendung des Rechtsrahmens gewährleisteten.
40 Selbst wenn die Parameter für die dezentralisierte Anwendung der genannten Richtlinien klar definiert
seien, könne nicht ausgeschlossen werden, dass die nationalen Regulierungsbehörden bei der
Ausübung des ihnen übertragenen Ermessens unterschiedliche Standpunkte einnähmen. Die Agentur
sei geschaffen worden, um diesen Behörden dabei zu helfen, zu einem gemeinsamen technischen
Verständnis der Fragen der Netz‑ und Informationssicherheit zu gelangen.
41 Außerdem sei die Agentur innerhalb der Grenzen der harmonisierten Parameter des
gemeinschaftlichen Rechtsrahmens für elektronische Kommunikation tätig; es sei ohne Belang, dass
die Rolle dieser Einrichtung nicht bei Erlass dieses allgemeinen Rahmens definiert worden sei.
Zur Bedeutung des Artikels 95 EG
42 Zum Umfang der in Artikel 95 EG vorgesehenen Rechtsetzungskompetenzen hat der Gerichtshof in
Randnummer 44 seines Urteils vom 6. Dezember 2005 in der Rechtssache C‑66/04 (Vereinigtes
Königreich/Parlament und Rat, Slg. 2005, I‑0000) festgestellt, dass diese Bestimmung nur dann als
Rechtsgrundlage herangezogen wird, wenn aus dem Rechtsakt objektiv und tatsächlich hervorgeht,
dass er den Zweck hat, die Voraussetzungen für die Errichtung und das Funktionieren des
Binnenmarktes zu verbessern.
43 Der Gerichtshof hat ferner in Randnummer 45 des Urteils Vereinigtes Königreich/Parlament und Rat
ausgeführt, dass die Verfasser des EG-Vertrags mit dem Ausdruck „Maßnahmen zur Angleichung“ in
Artikel 95 EG dem Gemeinschaftsgesetzgeber nach Maßgabe des allgemeinen Kontextes und der
speziellen Umstände der zu harmonisierenden Materie einen Ermessensspielraum hinsichtlich der zur
Erreichung eines angestrebten Ergebnisses am besten geeigneten Angleichungstechnik
insbesondere in den Bereichen einräumen wollten, die durch komplexe technische Eigenheiten
gekennzeichnet sind.
44 Hinzuzufügen ist, dass der Wortlaut des Artikels 95 EG nicht den Schluss erlaubt, dass die vom
Gemeinschaftsgesetzgeber auf der Grundlage dieser Vorschrift erlassenen Maßnahmen nur an die
Mitgliedstaaten gerichtet sein dürften. Der Gemeinschaftsgesetzgeber kann nämlich aufgrund seiner
Sachwürdigung die Schaffung einer Gemeinschaftseinrichtung für notwendig erachten, deren Aufgabe
es ist, in Situationen, in denen der Erlass von nicht zwingenden Begleit‑ und Rahmenmaßnahmen zur
Erleichterung der einheitlichen Durchführung und Anwendung von auf Artikel 95 EG gestützten
Rechtsakten geeignet erscheint, zur Verwirklichung des Harmonisierungsprozesses beizutragen.
45 Die einer solchen Einrichtung übertragenen Aufgaben müssen jedoch in engem Zusammenhang mit
den Bereichen stehen, auf die sich die Rechtsakte zur Angleichung der Rechts‑ und
Verwaltungsvorschriften der Mitgliedstaaten beziehen. Dies ist insbesondere dann der Fall, wenn die
Gemeinschaftseinrichtung
den
nationalen
Behörden
und/oder
Wirtschaftsteilnehmern
Dienstleistungen erbringt, die sich auf die einheitliche Durchführung der Harmonisierungsmaßnahmen
auswirken und deren Anwendung erleichtern können.
Zur Vereinbarkeit der Verordnung mit den Anforderungen von Artikel 95 EG
46 Demgemäß ist zu prüfen, ob die in Artikel 2 der Verordnung festgelegten Ziele der Agentur und die ihr
in Artikel 3 der Verordnung übertragenen Aufgaben den in den Randnummern 44 und 45 des
vorliegenden Urteils genannten Vorgaben entsprechen.
47 Dabei ist zunächst zu bestimmen, ob diese Ziele und Aufgaben eng mit den Bereichen
zusammenhängen, auf die sich die in Artikel 1 Absatz 2 der Verordnung als die „geltenden …
Rechtsvorschriften der Gemeinschaft“ beschriebenen Maßnahmen beziehen, und ob, falls dies bejaht
wird, diese Ziele und Aufgaben die Durchführung dieser Rechtsvorschriften begleiten und sich in
diesen Rahmen einfügen.
48 Was die in der neunten Begründungserwägung der Verordnung genannte Rahmenrichtlinie angeht,
so ergibt sich aus deren Artikel 1 Absatz 1, dass mit dieser Richtlinie ein harmonisierter Rahmen für die
Regulierung elektronischer Kommunikationsdienste und Kommunikationsnetze sowie zugehöriger
Einrichtungen und zugehöriger Dienste vorgegeben werden soll. Sie legt die Aufgaben der nationalen
Regulierungsbehörden sowie eine Reihe von Verfahren fest, die die gemeinschaftsweit harmonisierte
Anwendung des Rechtsrahmens gewährleisten.
49 In der sechzehnten Begründungserwägung der Rahmenrichtlinie heißt es dazu, dass die genannten
Behörden einheitliche Ziele und Grundsätze verfolgen sollten. Letztere sind in Artikel 8 dieser Richtlinie
aufgeführt, und dazu gehören insbesondere ein hohes Datenschutzniveau und die Integrität und
Sicherheit der öffentlichen Kommunikationsnetze (vgl. Artikel 8 Absatz 4 Buchstaben c und f der
Rahmenrichtlinie).
50 Auch zahlreiche Bestimmungen der Einzelrichtlinien bringen die Erwägungen des
Gemeinschaftsgesetzgebers hinsichtlich der Netz‑ und Informationssicherheit zum Ausdruck.
51 Erstens werden, wie sich aus der sechsten Begründungserwägung der Verordnung ergibt, im Anhang
Teil A Nummern 7 und 16 der Genehmigungsrichtlinie der Schutz personenbezogener Daten und der
Privatsphäre im Bereich der elektronischen Kommunikation sowie die Sicherung öffentlicher Netze
gegen unbefugten Zugang erwähnt.
52 Zweitens soll, wie aus der siebten Begründungserwägung der Verordnung hervorgeht, die
Universaldienstrichtlinie die Integrität und Verfügbarkeit öffentlicher Telefonfestnetze sicherstellen.
Artikel 23 dieser Richtlinie sieht hierzu vor, dass die Mitgliedstaaten alle gebotenen Maßnahmen
treffen, um diese Funktionen insbesondere bei einem Vollausfall des Netzes oder in Fällen höherer
Gewalt zu gewährleisten.
53 Drittens verlangt nach der achten Begründungserwägung der Verordnung die Datenschutzrichtlinie
für elektronische Kommunikation, dass Betreiber eines öffentlich zugänglichen elektronischen
Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die
Sicherheit der betroffenen Dienste sowie die Vertraulichkeit der Kommunikation und der damit
verbundenen Verkehrsdaten zu gewährleisten. Diese Anforderungen kommen insbesondere in den
Artikeln 4 und 5 dieser Richtlinie zum Ausdruck, in denen es um die Netzsicherheit und die
Vertraulichkeit der Kommunikation geht.
54 Viertens sieht Artikel 17 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und
zum freien Datenverkehr (ABl. L 281, S. 31) vor, dass die Mitgliedstaaten sich versichern, dass der für
die Verarbeitung der Daten Verantwortliche die geeigneten technischen und organisatorischen
Maßnahmen trifft, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den
zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den
unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz
übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung
personenbezogener Daten erforderlich sind.
55 Fünftens sieht die Richtlinie über elektronische Signaturen in Artikel 3 Absatz 4 vor, dass geeignete
Stellen, die von den Mitgliedstaaten benannt werden, die Übereinstimmung sicherer
Signaturerstellungseinheiten mit den Anforderungen feststellen.
56 Die der Agentur übertragenen Aufgaben betreffen zum einen die Erhebung geeigneter Informationen
zur Analyse der derzeitigen und absehbaren Risiken, insbesondere der Risiken, die sich auf die
Belastbarkeit elektronischer Kommunikationsnetze und auf die Authentizität, Integrität und
Vertraulichkeit dieser Kommunikation auswirken könnten. Die Agentur soll ferner gemeinsame
Methoden zur Verhütung von Problemen im Bereich der Sicherheit entwickeln, zur Sensibilisierung aller
Nutzer beitragen sowie den Austausch der „jeweils besten Verfahren“, „Verfahren zur Warnung“ und
Risikobewertungs‑ und Risikomanagementmaßnahmen fördern.
57 Zum anderen ist es Aufgabe der Agentur, die Zusammenarbeit zwischen verschiedenen Akteuren im
Bereich der Netz- und Informationssicherheit zu fördern, die Kommission und die Mitgliedstaaten in
ihrem Dialog mit der Industrie zu unterstützen, um sicherheitsrelevante Probleme bei Hardware- und
Softwareprodukten anzugehen, sowie zu den Bemühungen der Gemeinschaft um eine
Zusammenarbeit mit Drittländern und gegebenenfalls mit internationalen Organisationen zur
Förderung eines gemeinsamen Gesamtkonzepts für Fragen der Netz- und Informationssicherheit
beizutragen.
58 Die der Agentur in Artikel 3 der Verordnung übertragenen Aufgaben stehen somit in engem
Zusammenhang mit den von der Rahmenrichtlinie und den Einzelrichtlinien im Bereich der Netz‑ und
Informationssicherheit verfolgten Zielen.
59 Wie in Randnummer 47 des vorliegenden Urteils ausgeführt, ist daher zu prüfen, ob die Aufgaben der
Agentur die Durchführung der Gemeinschaftsbestimmungen in diesem Bereich begleiten und sich in
diesen Rahmen einfügen, ob also die Schaffung der Agentur sowie die dieser durch die Verordnung
zugewiesenen Ziele und Aufgaben als „Maßnahmen zur Angleichung“ im Sinne von Artikel 95 EG
angesehen werden können.
60 Aufgrund der Merkmale des betroffenen Bereiches stellt die Verordnung keine isolierte Maßnahme
dar, sondern fügt sich in einen Regelungskomplex ein, der von der Rahmenrichtlinie und den
Einzelrichtlinien umrissen wird und die Verwirklichung des Binnenmarktes im Bereich der elektronischen
Kommunikation bezweckt.
61 Aus den Akten ergibt sich außerdem, dass der Gemeinschaftsgesetzgeber sich mit einem Bereich zu
befassen hatte, in dem Technologien zum Einsatz kommen, die nicht nur komplex sind, sondern auch
schnellem Wandel unterliegen. Er hielt es daher für absehbar, dass es bei der Umsetzung und
Anwendung der Rahmenrichtlinie und der Einzelrichtlinien zu Unterschieden zwischen den
Mitgliedstaaten kommen würde.
62 Der Gemeinschaftsgesetzgeber war deshalb der Auffassung, dass die Schaffung einer
Gemeinschaftseinrichtung wie der Agentur ein geeignetes Mittel sei, um das Auftreten von
Unterschieden zu verhüten, die zu Hindernissen für das reibungslose Funktionieren des Binnenmarktes
in diesem Bereich führen könnten.
63 Aus der dritten und der zehnten Begründungserwägung der Verordnung ergibt sich nämlich, dass der
Gemeinschaftsgesetzgeber
aufgrund
der
technischen
Komplexität
von
Netzen
und
Informationssystemen, der Vielfalt der zusammengeschalteten Produkte und Dienste und der Vielzahl
eigenverantwortlicher privater und öffentlicher Akteure der Ansicht war, dass das reibungslose
Funktionieren des Binnenmarktes durch eine heterogene Umsetzung der in der Rahmenrichtlinie und
den Einzelrichtlinien enthaltenen technischen Vorschriften gefährdet werden könnte.
64 Der Gemeinschaftsgesetzgeber konnte also der Ansicht sein, dass die Stellungnahme einer
unabhängigen Stelle, die auf Anfrage der Kommission und der Mitgliedstaaten technische Ratschläge
erteilt, die Umsetzung der genannten Richtlinien in das innerstaatliche Recht der Mitgliedstaaten und
deren Durchführung auf nationaler Ebene erleichtern könne.
65 Schließlich ist darauf hinzuweisen, dass die Agentur nach Artikel 27 der Verordnung zum 14. März
2004 für einen Zeitraum von fünf Jahren errichtet wird und dass die Kommission nach Artikel 25
Absätze 1 und 2 der Verordnung bis zum 17. März 2007 eine Bewertung durchführen muss, in der
insbesondere der Einfluss der Agentur mit Blick auf die ihr zugewiesenen Ziele und Aufgaben sowie
ihre Arbeitsweise untersucht wird.
66 Liest man diese beiden Vorschriften zusammen, so ergibt sich, dass der Gemeinschaftsgesetzgeber
es für angebracht hielt, vor der Entscheidung über das weitere Schicksal der Agentur die Wirksamkeit
ihrer Tätigkeit sowie ihren tatsächlichen Beitrag zur Durchführung der Rahmenrichtlinie und der
Einzelrichtlinien zu bewerten.
67 Damit ist unter Berücksichtigung der Akten festzustellen, dass die Verordnung zu Recht auf Artikel 95
EG gestützt ist; die Klage ist somit abzuweisen.
Kosten
68 Nach Artikel 69 § 2 der Verfahrensordnung ist die unterliegende Partei zur Tragung der Kosten zu
verurteilen. Da das Parlament und der Rat die Verurteilung des Vereinigten Königreichs beantragt
haben und dieses mit seinem Vorbringen unterlegen ist, sind ihm die Kosten aufzuerlegen. Nach § 4
dieses Artikels tragen die Republik Finnland und die Kommission ihre eigenen Kosten.
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt und entschieden:
1. Die Klage wird abgewiesen.
2. Das Vereinigte Königreich Großbritannien und Nordirland trägt die Kosten des
Verfahrens.
3. Die Republik Finnland und die Kommission der Europäischen Gemeinschaften tragen
ihre eigenen Kosten.
Unterschriften.
Verfahrenssprache: Englisch.