Datenschutzgrundverordnung gilt für parlamentarische Untersuchungsausschüsse

Der EuGH hat sich in einem lange erwarteten Urteil mit der Frage auseinandergesetzt, ob die Datenschutz-Grundverordnung (DSGVO) auf parlamentarische Untersuchungsausschüsse anwendbar ist. In der Rs C-33/22 (Österreichische Datenschutzbehörde) hat der EuGH am 16. Jänner 2024 in einem österreichischen Fall entschieden, dass die DSGVO auf parlamentarische Untersuchungsausschüsse grundsätzlich anwendbar ist. Dadurch haben Untersuchungsausschüsse in Ausübung ihrer parlamentarischen Kontrollrechte auch das Recht auf Datenschutz von Auskunftspersonen zu beachten. Dies betrifft essenzielle verfassungsrechtliche Fragen zum Umgang mit diesem zentralen demokratischen Kontrollinstrument bzw Kontrollrechten allgemein sowie dem Verhältnis zum Datenschutz und geht weit über den Ausgangssachverhalt hinaus. Die österreichische Judikatur und Praxis, wonach die Gesetzgebung von der Anwendbarkeit der DSGVO gänzlich ausgenommen ist, wird nach diesem EuGH-Urteil nicht aufrechterhalten werden können.

Untersuchungsausschüsse und Datenschutz

Wie in einer internationalen Fachtagung zu Datenschutz im Bereich der Gesetzgebung von Bierlein zutreffend ausgeführt wurde (siehe Seiten 51ff hier), sind hierbei zwei Problemkomplexe von besonderer Relevanz:

Der erste Problemkomplex betrifft die Vorlageverpflichtung gem Art 53 Abs 3 S 1 B-VG, wonach Akten und Unterlagen einem Untersuchungsausschuss vorgelegt werden müssen, insoweit darin personenbezogene Daten enthalten sind, die in medienöffentlichen Sitzungen verwendet werden oder generell an die Medien weitergegeben werden. Der VfGH hält hierzu in ständiger Rsp fest: „Die Befugnisse, die dem Untersuchungsausschuss durch Art 53 B-VG und die Ausführungsbestimmungen in der [Verfahrensordnung-Untersuchungsausschuss] übertragen werden, sollen eine wirksame parlamentarische Kontrolle durch den Nationalrat ermöglichen“ (siehe hier Rz 166). Eberhard spricht zu Recht von einem „Primat der parlamentarischen Kontrolle“ (siehe hier Seite 280). Somit scheint der VfGH parlamentarische Kontrollrechte gegenüber subjektiven und öffentlichen Interessen (Grundrechte wie Datenschutz und Amtsverschwiegenheit) stärker zu gewichten. Das Grundrecht auf Datenschutz kann daher nicht gegen die Vorlage von Akten und Unterlagen eingewendet werden, da die Ausnahmen von der Vorlageverpflichtung durch Art 53 Abs 3 letzter Satz B-VG (Quellenschutz) und Art 53 Abs 4 B-VG (Beeinträchtigung der rechtmäßigen Willensbildung der Bundesregierung) abschließend festgelegt sind.

Der zweite Problemkomplex beschäftigt sich mit der im EuGH-Verfahren relevanten Frage, ob personenbezogene Daten von Auskunftspersonen auf der Parlamentswebsite veröffentlicht werden dürfen bzw dies einen Verstoß gegen die DSGVO darstellen kann.

Untersuchungsausschuss-Reform 2015 in Österreich

Untersuchungsausschüsse sind eines der wichtigsten Instrumente politischer Kontrolle. Das Recht des österreichischen Nationalrats (die Abgeordnetenkammer des österreichischen Parlaments), gemäß Art 53 Bundes-Verfassungsgesetz (B-VG) Untersuchungsausschüsse einzusetzen, wurde mit 1.1.2015 grundlegend reformiert. Dieses ist seither als Minderheitsrecht ausgestaltet und wurde bereits siebenmal auf Bundesebene in Anspruch genommen. Dies bedeutet, dass seit Einführung des Minderheitsrechts fast durchgehend ein Untersuchungsausschuss eingesetzt war. Aktuell läuft ein Untersuchungsausschuss zur zweckwidrigen Verwendung öffentlicher Gelder unter SPÖ- und FPÖ-Regierungsbeteiligung, der COFAG-Untersuchungsausschuss, zuvor hat sich ein Untersuchungsausschuss mit den Korruptionsvorwürfen gegen ÖVP-Regierungsmitglieder beschäftigt (siehe hier, hier und hier).

Unterdessen hat auch der Verfassungsgerichtshof (VfGH) in zahlreichen Verfahren über Streitigkeiten betreffend parlamentarische Untersuchungsausschüsse entschieden (siehe hier) – eine Kompetenz, die dem VfGH erst im Zuge der Untersuchungsausschuss-Reform 2015 in Art 138b B-VG eingeräumt wurde.

Sachverhalt

Das Ausgangsverfahren in C-33/22, Österreichische Datenschutzbehörde, betrifft einen österreichischen Fall, im Zusammenhang mit einem 2018 eingesetzten Untersuchungsausschuss, der die politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) beleuchten sollte (siehe hier). Das BVT wurde am 1.12.2021 in die Direktion Staatsschutz und Nachrichtendienst umgewandelt (siehe hier).

Die betroffene Person wurde im September 2018 medienöffentlich als Auskunftsperson befragt. Obwohl die Anonymisierung beantragt wurde, wurde das gesamte Protokoll der Befragung samt vollständiger Namensnennung auf der Webseite des Österreichischen Parlaments veröffentlicht (siehe hier).

Dagegen erhob die besagte Auskunftsperson eine Datenschutzbeschwerde an die Datenschutzbehörde, in der die Veröffentlichung des Protokolls seiner Befragung unter Preisgabe seiner Identität gegen seinen Willen als Verstoß gegen die DSGVO und das in § 1 Datenschutzgesetz normierte Grundrecht auf Datenschutz vorgebracht wurde. Besonders relevant ist dabei, dass die Auskunftsperson als verdeckter Polizist tätig war.

Diese Beschwerde wurde von der österreichischen Datenschutzbehörde zurückgewiesen, da eine Kontrolle der Gesetzgebung (Untersuchungsausschuss) durch die Verwaltung (Datenschutzbehörde) gemäß der österreichischen Rsp aufgrund des verfassungsrechtlichen Grundprinzips der Gewaltenteilung ausgeschlossen ist. Der BVT-Untersuchungsausschuss ist der Gesetzgebung zuzurechnen (siehe hier), weshalb eine Kontrolle durch die Datenschutzbehörde als Organ der Verwaltung nicht möglich sei.

In der Folge gab das Bundesverwaltungsgericht der von der Auskunftsperson eingebrachten Bescheidbeschwerde statt und führte begründend aus, dass die DSGVO auch auf die Akte der Gesetzgebung und folglich auf Untersuchungsausschüsse anwendbar ist. Im Anschluss erhob die Datenschutzbehörde eine Revision gegen das Erkenntnis des Bundesverwaltungsgerichts an den Verwaltungsgerichtshof (VwGH). Basierend auf dem Vorabentscheidungsersuchen des VwGH hat der EuGH nunmehr entschieden.

DSGVO auf Untersuchungsausschüsse anwendbar…

In der ersten Vorlagefrage hatte der EuGH zu beurteilen, ob die DSGVO auf parlamentarische Untersuchungsausschüsse anwendbar ist. Die maßgeblichen Bestimmungen sind Art 16 Abs 2 Satz 1 AEUV und Art 2 Abs 2 lit a DSGVO. Der EuGH hat hierzu festgehalten, dass „eine Tätigkeit [nicht] allein deshalb, weil es sich bei ihr um eine Tätigkeit eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses handelt, außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist“ (Rn 43).

Art 2 Abs 1 DSGVO normiert den sachlichen Anwendungsbereich, der nach der einschlägigen EuGH Rsp sehr weit auszulegen ist (siehe hier Rn 61): „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Eine abschließende Aufzählung der Ausnahmen ist in Art 2 Abs 2 und 3 DSGVO festgelegt, die wiederum nach der EuGH-Rsp eng auszulegen sind (siehe hier Rn 66). Die DSGVO gilt sowohl für Privatpersonen als auch Behörden (siehe hier Rn 25).

Folglich hält der EuGH, dass auch „die Verarbeitung von personenbezogenen Daten durch einen vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss“ (Rn 42) grundsätzlich in den Anwendungsbereich der DSGVO fällt, insofern nicht ein Ausnahmetatbestand erfüllt ist. Ein Verweis des österreichischen Nationalratspräsidenten, der einen anderen Standpunkt wie österreichische Bundesregierung vertreten hat, darauf, dass der Untersuchungsausschuss unmittelbar dem Parlament zugeordnet werden kann, wies der Gerichtshof mit Verweis auf das EuGH-Verfahren Land Hessen zurück. In diesem Verfahren wurde die Anwendbarkeit der DSGVO auf den hessischen Petitionsausschuss bestätigt (siehe hier und im Detail hier). Interessanterweise hatte dieses EuGH-Urteil keinen harmonisierenden Effekt in Bezug auf die Frage, ob die DSGVO auf parlamentarische Untersuchungsausschüsse anwendbar ist, wie von König ausgearbeitet wurde (siehe hier).

…außer es betrifft Tätigkeiten der nationalen Sicherheit

Die zweite Vorlagefrage hat sich damit auseinandergesetzt, ob die Anwendbarkeit der DSGVO auf den BVT-Untersuchungsausschuss deshalb ausgeschlossen ist, weil dieser Fragen der nationalen Sicherheit zum Gegenstand hatte. Art 2 Abs 2 lit a DSGVO normiert, dass die DSGVO nicht auf die Verarbeitung personenbezogener Daten „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, anwendbar ist. Diese Ausnahme ist laut EuGH eng auszulegen (Rn 37) und betrifft allein jene Verarbeitungen personenbezogener Daten, „die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden“ (Rn 45). Diese „umfassen insbesondere solche [Tätigkeiten], die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken“ (siehe hier Rn 67). Für diese Einordnung ist also maßgeblich, um welche Art von Tätigkeit es sich in concreto handelt (Rn 41). „Insoweit reicht der Umstand, dass der Verantwortliche eine Behörde ist, deren Haupttätigkeit in der Gewährleistung der nationalen Sicherheit besteht, als solcher nicht aus, um Verarbeitungen personenbezogener Daten durch diese Behörde im Rahmen anderer von ihr durchgeführter Tätigkeiten vom Anwendungsbereich der DSGVO auszunehmen“ (Rn 51).

Der BVT-Untersuchungsausschuss hatte zwar die Aufklärung der politischen Einflussnahme auf das BVT zum Untersuchungsgegenstand, diese stellt als solche aber keine Tätigkeit dar, die der Wahrung der nationalen Sicherheit dient (Rn 52). Somit ist diese politische Kontrolle durch den Untersuchungsausschuss auch nicht pauschal vom Anwendungsbereich der DSGVO ausgenommen. Vielmehr ist es die Aufgabe des vorlegenden Gerichts (Verwaltungsgerichtshofs) zu prüfen, ob die Tätigkeit des BVT-Untersuchungsausschusses aufgrund des Art 2 Abs 2 lit a DSGVO vom Anwendungsbereich der DSGVO ausgenommen ist.

Datenschutzbeschwerde an die Datenschutzbehörde zulässig

Die dritte und letzte Vorlagefrage betraf den Rechtsschutz von Auskunftspersonen. Gem Art 77 Abs 1 DSGVO hat jede Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Meinung ist, dass die Verarbeitung personenbezogener Daten gegen die DSGVO verstößt. In Österreich wurde hierfür die Datenschutzbehörde als einzige Aufsichtsbehörde iSd Art 51 Abs 1 DSGVO eingerichtet. Somit muss nach dem EuGH in der derzeitigen Ausgestaltung des österreichischen Rechts und aufgrund des Vorrangs des Europarechts auch diese einzige Aufsichtsbehörde, die Datenschutzbehörde, für Datenschutzbeschwerden zuständig sein. Das Argument, dass dies dem österreichischen Verfassungsrecht widersprechen würde, wischt der EuGH beiseite und führt aus, dass es dem österreichischen Gesetzgeber frei stehen würde, mehrere Aufsichtsbehörden einzurichten, da Art 51 Abs 1 DSGVO den Mitgliedstaaten in diesem Punkt einen Ermessenspielraum einräumt (Rn 68, 69).

Schlussfolgerungen

Die Schlussfolgerungen dieses Urteils für das Spannungsverhältnis zwischen parlamentarischen Kontrollrechten und Datenschutz sind gravierend und altbekannt (siehe hier).

Die österreichische Praxis, wonach die Gesetzgebung von der Anwendbarkeit der DSGVO ausgenommen ist, wird jedenfalls nicht aufrechterhalten werden können. Dies betrifft sowohl parlamentarische Untersuchungsausschüsse als auch parlamentarische Anfragen. Dass parlamentarische Untersuchungsausschüsse seit der Untersuchungsausschuss-Reform 2015 en vogue sind, steht im Lichte der eingangs erwähnten parlamentarischen Praxis außer Frage. In Österreich sind aber auch parlamentarische Anfragen von großer Bedeutung, die in sehr hoher Zahl vorkommen und oft mit ausführlichen Begründungen zu versehen sind.

Neben diesen allgemeinen Fragen der Anwendbarkeit, stellen sich aber auch noch spezifische Fragen, insbesondere wie der Rechtsschutz in Bezug auf Datenschutzbeschwerden ausgestaltet werden soll. Nach der derzeitigen Rechtslage wäre die Datenschutzbehörde zuständig, was aber (wie erläutert) mit dem österreichischen Verfassungsrecht nicht vereinbar ist – die Verwaltung (Datenschutzbehörde) darf die Gesetzgebung (Untersuchungsausschuss) nicht kontrollieren. Der Rechtsschutz muss in diesem Punkt also dringend an die europarechtlichen Erfordernisse angepasst werden. Österreich könnte etwa von dem in Art 51 Abs 1 DSGVO normierten Ermessensspielraum Gebrauch machen und eine weitere Aufsichtsbehörde normieren – bspw das Bundesverwaltungsgericht (welche im regulären Instanzenzug die Datenschutzbehörde kontrolliert) – oder aber eine weitere Kompetenz des VfGH in Art 138b B-VG festlegen.

Fraglich ist auch, wie sich die genannte Rsp des VfGH zur Vorlageverpflichtung (siehe oben und hier) mit dem Urteil des EuGH vereinbaren lässt. Dem Recht auf Datenschutz muss nunmehr uU in gewissen Fällen der Vorzug gegenüber der wirksamen parlamentarischen Kontrolle eingeräumt werden.

Ein weiterer Weg nach vorne könnte für den österreichischen Gesetzgeber außerdem Art 23 DSGVO sein, wonach bestimmte Pflichte und Rechte „im Wege von Gesetzgebungsmaßnahmen beschränkt werden können, um u. a. die nationale Sicherheit oder eine Kontrollfunktion, die mit der Ausübung öffentlicher Gewalt – insbesondere im Rahmen der nationalen Sicherheit – verbunden ist, sicherzustellen“ (Rn 54).

Nach der aktuellen Entscheidung (Österreichische Datenschutzbehörde) und (Land Hessen) stellt sich schließlich noch eine weitere Frage von allgemeiner Bedeutung – welche Ausnahmen können noch von Parlamenten geltend gemachten werden, und zwar außerhalb von Tätigkeiten, die die nationale Sicherheit betreffen. Insgesamt bleibt somit mit Spannung zu erwarten, wie der österreichische Gesetzgeber auf dieses Urteil reagieren wird.