Ein parlamentarischer Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung einhalten.
Dies gilt nicht, wenn er eine die nationale Sicherheit betreffende Tätigkeit ausübt.
Ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung (DSGVO) einhalten. Gibt es in diesem Mitgliedstaat nur eine Aufsichtsbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch den Untersuchungsausschuss zuständig. Übt der Untersuchungsausschuss jedoch eine Tätigkeit aus, die als solche der Wahrung der nationalen Sicherheit dient, unterliegt er nicht der DSGVO und folglich auch nicht der Kontrolle durch die Aufsichtsbehörde.
Der Nationalrat, die Abgeordnetenkammer des österreichischen Parlaments, setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufzuklären.
Dieser Untersuchungsausschuss befragte medienöffentlich eine Auskunftsperson. Das Protokoll dieser Befragung wurde auf der Webseite des österreichischen Parlaments veröffentlicht. Es enthielt den vollständigen Namen der Auskunftsperson, obwohl diese die Anonymisierung beantragt hatte.
Da die Nennung ihres Namens aus der Sicht der Auskunftsperson gegen die DSGVO verstieß, brachte sie bei der österreichischen Datenschutzbehörde eine Beschwerde ein. Sie legte dar, als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig zu sein. Die Datenschutzbehörde wies die Beschwerde mit der Begründung zurück, dass sie aufgrund des Gewaltenteilungsgrundsatzes als Teil der Exekutive nicht kontrollieren könne, ob der Untersuchungsausschuss, der der Legislative zuzurechnen sei, die DSGVO einhalte. Die Auskunftsperson bekämpfte diese Entscheidung sodann vor den österreichischen Gerichten.
Der österreichische Verwaltungsgerichtshof möchte vom Gerichtshof wissen, ob der Untersuchungsausschuss, der der Legislative zuzurechnen ist und Tätigkeiten betreffend die nationale Sicherheit untersucht, der DSGVO und damit der Kontrolle der Datenschutzbehörde unterliegt.
Der Gerichtshof stellt fest, dass auch ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss grundsätzlich die DSGVO einzuhalten hat.
Zwar ist die DSGVO nicht auf Verarbeitungen personenbezogener Daten anwendbar, die von Behörden im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient. Vorbehaltlich einer Überprüfung durch den österreichischen Verwaltungsgerichtshof scheint die in Rede stehende Untersuchung jedoch nicht als solche der Wahrung der nationalen Sicherheit zu dienen. Der Untersuchungsausschuss sollte nämlich eine mögliche politische Einflussnahme auf eine der Exekutive zuzurechnende Behörde prüfen, die für Verfassungsschutz und Terrorismusbekämpfung zuständig war.
Allerdings können Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen aufgrund der nationalen Sicherheit gerechtfertigt sein. Aus der Akte ergibt sich jedoch nicht, dass der in Rede stehende Untersuchungsausschuss dargetan hätte, dass die Offenlegung des Namens der Auskunftsperson für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des österreichischen Verwaltungsgerichtshofs, die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.
Da Österreich entschieden hat, nur eine Aufsichtsbehörde im Sinne der DSGVO einzurichten, nämlich die Datenschutzbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch einen Untersuchungsausschuss wie den in Rede stehenden zuständig, und zwar ungeachtet des Gewaltenteilungsgrundsatzes. Dies ergibt sich aus der unmittelbaren Wirkung der DSGVO und dem Anwendungsvorrang des Unionsrechts, einschließlich gegenüber nationalem Verfassungsrecht.
Pressemitteilung des EuGH vom 16. Januar 2024
Tenor des Urteils:
Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.
2. Art. 2 Abs. 2 Buchst. a der Verordnung 2016/679 im Licht des 16. Erwägungsgrundes dieser Verordnung
ist dahin auszulegen, dass
die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.
3. Art. 77 Abs. 1 und Art. 55 Abs. 1 der Verordnung 2016/679
sind dahin auszulegen, dass
diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.