VwGH 14.12.2021, Ro 2021/04/0006

Entscheidungsart: Beschluss

Rechtssätze

Entscheidungstext

Beachte

Vorabentscheidungsverfahren:

* EU-Register: EU 2021/0009

* EuGH-Zahl: C-33/22

Betreff

Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Handstanger, Hofrat Dr. Mayr, Hofrätin Mag. Hainz-Sator und die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Schara, über die Revision der Datenschutzbehörde gegen das Erkenntnis des Bundesverwaltungsgerichts vom 23. November 2020, Zl. W211 2227144-1/3E, betreffend Zurückweisung einer Datenschutzbeschwerde (mitbeteiligte Parteien: 1. W K in W vertreten durch MMag. Michael Sommer, Rechtsanwalt in 9020 Klagenfurt, Völkermarkter Ring 1; 2. Präsident des Nationalrates, 1017 Wien, Dr. Karl Renner-Ring 3), den Beschluss gefasst:

Spruch

Dem Gerichtshof der Europäischen Union (EuGH) werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 erster Satz AEUV, sodass die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaates anwendbar ist?

Falls Frage 1 bejaht wird:

2. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der Datenschutz-Grundverordnung zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO?

Falls Frage 2 verneint wird:

3. Sofern - wie vorliegend - ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus der Datenschutz-Grundverordnung?

Begründung

Sachverhalt und Ausgangsverfahren

1 Mit Beschluss vom 20. April 2018 setzte der Nationalrat gemäß Art. 53 Abs. 1 Bundes-Verfassungsgesetz (B-VG) den Untersuchungsausschuss über die politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT-Untersuchungsausschuss) ein.

2 Unstrittig ist, dass der Erstmitbeteiligte am 19. September 2018 als Auskunftsperson vom BVT-Untersuchungsausschuss medienöffentlich befragt wurde und das wörtliche Protokoll dieser Befragung auf der Website des österreichischen Parlaments unter vollständiger Nennung des Vor- und Familiennamens des Erstmitbeteiligten veröffentlicht wurde.

3 Der Erstmitbeteiligte erhob am 2. April 2019 bei der Datenschutzbehörde eine Datenschutzbeschwerde gemäß § 24 Abs. 1 Datenschutzgesetz (DSG). Darin beantragte er die Feststellung, dass die Veröffentlichung des Protokolls seiner Vernehmung unter vollständiger Nennung seines Namens gegen die Datenschutz-Grundverordnung (DSGVO) wie auch gegen § 1 DSG verstoße.

4 Der Erstmitbeteiligte brachte im Wesentlichen vor, er sei bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität als verdeckter Ermittler tätig. Durch die entgegen seinem Verlangen gegenüber dem BVT-Untersuchungsausschuss vollständige Nennung seines Vor- und Familiennamens im veröffentlichten Protokoll seiner Einvernahme sei er in seinem Grundrecht auf Datenschutz nach § 1 Abs. 1 DSG sowie im Recht auf Löschung unzulässig verarbeiteter Daten nach § 1 Abs. 3 Z 2 DSG verletzt worden.

5 Mit Bescheid vom 18. September 2019 wies die Datenschutzbehörde die Datenschutzbeschwerde des Erstmitbeteiligten „gegen das Österreichische Parlament, Untersuchungsausschuss des Nationalrates (Beschwerdegegner)“ zurück.

6 Begründend führte die Datenschutzbehörde aus, dass die Datenschutz-Grundverordnung grundsätzlich die Aufsicht der Datenschutz-Aufsichtsbehörden über Organe der Gesetzgebung - anders als über Gerichte im Rahmen der justiziellen Tätigkeit (Art. 55 Abs. 3 DSGVO) - nicht verneine. Der europäischen Rechtsordnung sei jedoch die Trennung der Staatsgewalten inhärent. Eine Kontrolle der Verwaltung über die Gesetzgebung sei ausgeschlossen. Der BVT-Untersuchungsausschuss sei ein Organ, das der Gesetzgebung zuzurechnen sei. Da die vom Erstmitbeteiligten angeführten Protokolle einem Organ der Gesetzgebung im (verfassungs-)gesetzlich übertragenen Wirkungsbereich zuzurechnen seien, sei die Datenschutzbeschwerde wegen Unzuständigkeit zurückzuweisen.

7 Gegen diesen Bescheid erhob der Erstmitbeteiligte Beschwerde an das Bundesverwaltungsgericht (Verwaltungsgericht).

8 Mit dem beim Verwaltungsgerichtshof angefochtenen Erkenntnis gab das Verwaltungsgericht der Beschwerde statt, hob den Bescheid der Datenschutzbehörde vom 18. September 2019 auf und sprach aus, dass die Revision an den Verwaltungsgerichtshof gemäß Art. 133 Abs. 4 B-VG zulässig sei.

9 Begründend führte das Verwaltungsgericht im Wesentlichen aus, weder die Bestimmung des Art. 2 Abs. 1 DSGVO über den sachlichen Anwendungsbereich der Verordnung noch die in Art. 2 Abs. 2 DSGVO normierten Ausnahmen von deren Anwendbarkeit stellten darauf ab, welcher Staatsfunktion ein verarbeitendes Organ zuzuordnen sei. Eine Ausnahme von der Anwendbarkeit der Bestimmungen der Datenschutz-Grundverordnung in Bezug auf eine bestimmte Staatsfunktion sei der Verordnung nicht zu entnehmen. Dies lasse auf eine vollumfängliche Anwendbarkeit der materiellen Bestimmungen der Datenschutz-Grundverordnung auf die Gesetzgebung schließen. Neben dem Unionsrecht enthalte auch die nationale Rechtsordnung keine Vorschriften, die die Tätigkeit von Untersuchungsausschüssen, die der gesetzgeberischen Gewalt zuzuordnen seien, vom Anwendungsbereich der Datenschutz-Grundverordnung ausdrücklich ausnehmen würden. Im Ergebnis sei davon auszugehen, dass die materiellen Vorschriften der Datenschutz-Grundverordnung und des Datenschutzgesetzes auch für Akte maßgeblich seien, die der Staatsfunktion Gesetzgebung zuzurechnen seien.

Die Kontrollbefugnis der Datenschutzbehörde als Datenschutz-Aufsichtsbehörde sei in der Datenschutz-Grundverordnung grundsätzlich umfassend angelegt. Weder Art. 55 noch Art. 77 DSGVO schlössen eine Zuständigkeit der Datenschutzbehörde für datenschutzrechtliche Vorgänge im Rahmen der Gesetzgebung aus.

Die Ausnahmeregelung des Art. 55 Abs. 3 DSGVO für den Bereich justizieller Tätigkeiten der Gerichte sei einer Verallgemeinerung nicht zugänglich. Es sei deshalb von einer uneingeschränkten Zuständigkeit der Datenschutz-Aufsichtsbehörden für alle anderen Einrichtungen, die mit Unabhängigkeit ausgestattet seien, auszugehen. Es sei daher auch deren Zuständigkeit für parlamentarische Untersuchungsausschüsse zu bejahen. Zusammengefasst stehe dem Argument der Trennung der Staatsgewalten entgegen, dass weder die Datenschutz-Grundverordnung noch das Datenschutzgesetz eine Ausnahme von der Zuständigkeit der Datenschutzbehörde für die Kontrolle der datenschutzrechtlichen Konformität der Verarbeitung von personenbezogenen Daten im Bereich der Gesetzgebung kenne. Vielmehr sehe die Datenschutz-Grundverordnung in Art. 77 einen effektiven Rechtsschutz im Anwendungsbereich der Verordnung vor, womit jedem Betroffenen ermöglicht werden solle, sich gegen Verletzungen von ihm in der Verordnung zugestandener Rechte zur Wehr zu setzen.

Da die Datenschutzbehörde entgegen der angefochtenen Entscheidung für die vorliegende Datenschutzbeschwerde zuständig sei, sei der angefochtene Bescheid zu beheben.

10 Gegen dieses Erkenntnis richtet sich die vorliegende Revision der Datenschutzbehörde. Der Erstmitbeteiligte beantragte in seiner Revisionsbeantwortung, der Revision keine Folge zu geben. Der Zweitmitbeteiligte hingegen beantragte in seiner Revisionsbeantwortung, der Revision Folge zu geben und das angefochtene Erkenntnis aufzuheben.

Die maßgeblichen Bestimmungen des Unionsrechts

11 Der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) lautet auszugsweise:

„TITEL I

ARTEN UND BEREICHE DER ZUSTÄNDIGKEIT DER UNION

...

Artikel 16

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht.

...“

12 Art. 3 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31), die durch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) aufgehoben wurde, lautete auszugsweise:

„Artikel 3

Anwendungsbereich

(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

...“

13 Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) samt Erwägungsgründen lautet auszugsweise:

„...

(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

...

(20) Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten.

...

Artikel 2

Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

...

Artikel 23

Beschränkungen

(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a) die nationale Sicherheit;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;

h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

j) die Durchsetzung zivilrechtlicher Ansprüche.

...

Artikel 51

Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).

...

Artikel 55

Zuständigkeit

(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

...

Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

...“

Die maßgeblichen Bestimmungen des nationalen Rechts

14 Art. 24 und Art. 56 Abs. 1 Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930 in der Fassung BGBl. I Nr. 100/2003, sowie Art. 53 Abs. 1 und Art. 138b Abs. 1 Z 7 B-VG, BGBl. Nr. 1/1930 in der Fassung BGBl. I Nr. 101/2014, lauten:

„Artikel 24. Die Gesetzgebung des Bundes übt der Nationalrat gemeinsam mit dem Bundesrat aus.

...

Artikel 53. (1) Der Nationalrat kann durch Beschluss Untersuchungsausschüsse einsetzen. Darüber hinaus ist auf Verlangen eines Viertels seiner Mitglieder einen Untersuchungsausschuss einzusetzen.

...

Artikel 56. (1) Die Mitglieder des Nationalrates und die Mitglieder des Bundesrates sind bei der Ausübung dieses Berufes an keinen Auftrag gebunden.

...

Artikel 138b. (1) Der Verfassungsgerichtshof erkennt über

...

7. Beschwerden einer Person, die durch ein Verhalten

a) eines Untersuchungsausschusses des Nationalrates,

b) eines Mitgliedes eines solchen Ausschusses in Ausübung seines Berufes als Mitglied des Nationalrates oder

c) gesetzlich zu bestimmender Personen in Ausübung ihrer Funktion im Verfahren vor dem Untersuchungsausschuss

in ihren Persönlichkeitsrechten verletzt zu sein behauptet.“

15 § 1 Abs. 1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 51/2012, § 4 Abs. 1 DSG in der Fassung BGBl. I Nr. 14/2019, § 18 Abs. 1 und § 24 Abs. 1 DSG jeweils in der Fassung BGBl. I Nr. 120/2017 lauten:

„Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

...

Artikel 2

1. Hauptstück

Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen

Anwendungsbereich und Durchführungsbestimmung

§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.

...

Datenschutzbehörde

Einrichtung

§ 18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.

...

Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.“

16 Zur Vorlageberechtigung

17 Der Verwaltungsgerichtshof ist ein Gericht im Sinne des Art. 267 AEUV, dessen Entscheidungen selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können.

18 Der Verwaltungsgerichtshof vertritt die Auffassung, dass sich bei der Entscheidung der von ihm zu beurteilenden Revisionssache die im gegenständlichen Ersuchen um Vorabentscheidung angeführten und im Folgenden näher erläuterten Fragen der Auslegung des Unionsrechts stellen.

Erläuterungen zu den Vorlagefragen

Zur ersten Frage

19 Vorliegend erachtet sich der Erstmitbeteiligte durch die Veröffentlichung des Protokolls seiner Einvernahme vor dem BVT-Untersuchungsausschuss als Auskunftsperson auf der Website des österreichischen Parlaments unter Nennung seines vollständigen Namens in seinem Recht auf Geheimhaltung bzw. seinem Grundrecht auf Schutz personenbezogener Daten im Sinne des Art. 8 GRC verletzt. Eine solche Veröffentlichung stellt an sich eine „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Z 2 DSGVO dar. Fraglich ist, ob die vorliegende Verarbeitung personenbezogener Daten nach Art. 2 Abs. 2 Buchst. a DSGVO vom Anwendungsbereich des Art. 2 Abs. 1 DSGVO ausgenommen ist.

20 Das Verwaltungsgericht geht von der Anwendbarkeit der Datenschutz-Grundverordnung auf Akte der Gesetzgebung, wie solche von parlamentarischen Untersuchungsausschüssen, aus. Es begründet dies im Wesentlichen damit, dass der materielle Anwendungsbereich in Art. 2 Abs. 1 DSGVO umfassend konzipiert sei und sich auf alle Datenverarbeitungen beziehe, unabhängig davon, wer die Verarbeitung vornehme und welcher Staatsfunktion ein verarbeitendes Organ zugeordnet sei. Eine Ausnahme bestimmter Staatsfunktionen, insbesondere der Gesetzgebung, von der Anwendbarkeit der Datenschutz-Grundverordnung sei Art. 2 Abs. 2 DSGVO nicht zu entnehmen. Der Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO sei sehr restriktiv auszulegen und erfasse nur die nationale Sicherheit.

21 Die Datenschutzbehörde verweist auf das Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, bestreitet jedoch ihre Zuständigkeit unter Verweis auf den Gewaltenteilungsgrundsatz, der einer Kontrolle der Gesetzgebung durch Organe der Vollziehung entgegenstehe.

22 Der Erstmitbeteiligte geht - wie das Verwaltungsgericht - von der Anwendbarkeit der Datenschutz-Grundverordnung auf die Gesetzgebung aus. Der Zweitmitbeteiligte hingegen verneint nicht nur die Anwendbarkeit der Datenschutz-Grundverordnung auf die Gesetzgebung, sondern auch die Festlegung einer konkreten innerstaatlichen Behördenzuständigkeit - wie vorliegend der Datenschutzbehörde - durch die Datenschutz-Grundverordnung.

23 Gegenstand des Urteils des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, war die Vorlagefrage des Verwaltungsgerichts Wiesbaden:

„Findet die Verordnung 2016/679 - hier Art. 15 (‚Auskunftsrecht der betroffenen Person‘) - auf den für die Bearbeitung von Eingaben von Bürgern zuständigen Ausschuss eines Parlaments eines Gliedstaats eines Mitgliedstaats - hier den Petitionsausschuss des Hessischen Landtags - Anwendung, und ist dieser insoweit wie eine Behörde im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 zu behandeln?“

24 Zu diesem Vorabentscheidungsersuchen hat der EuGH ausgeführt:

„63 Mit seinem Vorabentscheidungsersuchen möchte das vorlegende Gericht wissen, ob Art. 4 Nr. 7 der Verordnung 2016/679 dahin auszulegen ist, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats als ‚Verantwortlicher‘ im Sinne dieser Bestimmung einzustufen ist, so dass die Verarbeitung personenbezogener Daten durch diesen Ausschuss in den Anwendungsbereich der Verordnung, u. a. unter deren Art. 15, fällt.

64 Zur Beantwortung dieser Frage ist erstens daran zu erinnern, dass besagter Art. 4 Nr. 7 den ‚Verantwortlichen‘ definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.

65 Daher ist die Definition des in der Verordnung 2016/679 enthaltenen Begriffs ‚Verantwortlicher‘ nicht auf Behörden beschränkt, sondern, wie die tschechische Regierung hervorhebt, hinreichend weit, um jede Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, einzuschließen.

66 Zu, zweitens, den Erklärungen des Landes Hessen, wonach die Tätigkeiten eines parlamentarischen Ausschusses nicht in den Anwendungsbereich des Unionsrechts im Sinne von Art. 2 Abs. 2 der Verordnung 2016/679 fallen, ist darauf hinzuweisen, dass der Gerichtshof bereits Gelegenheit hatte, in Bezug auf Art. 3 Abs.2 der Richtlinie 95/46 klarzustellen, dass diese Richtlinie zwar auf Art. 100a EG-Vertrag (nach Änderung Art. 95 EG) gestützt ist, die Heranziehung dieser Rechtsgrundlage aber nicht voraussetzt, dass in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten besteht und dass es unangebracht wäre, den Ausdruck ‚Tätigkeiten ..., die nicht in den Anwendungsbereich des [Unions]rechts fallen‘ dahin auszulegen, dass in jedem Einzelfall geprüft werden müsste, ob die betreffende konkrete Tätigkeit den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtigt (Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 40 und 42).

67 Dies gilt erst recht in Bezug auf die Verordnung 2016/679, die auf Art. 16 AEUV - wonach das Europäische Parlament und der Rat der Europäischen Union Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch u. a. die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr erlassen - gestützt ist und deren Art. 2 Abs. 2 im Wesentlichen Art. 3 Abs. 2 der Richtlinie 95/46 entspricht.

68 Drittens ist Art. 2 Abs. 2 Buchst. a dieser Verordnung, da er eine Ausnahme von der in Art. 2 Abs. 1 der Verordnung enthaltenen sehr weiten Definition ihres Anwendungsbereichs darstellt, eng auszulegen.

69 Zwar hat der Gerichtshof grundsätzlich betont, dass die in Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 beispielhaft aufgeführten Tätigkeiten (nämlich solche nach den Titeln V und VI des Vertrags über die Europäische Union sowie Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich) jedenfalls spezifische Tätigkeiten der Staaten oder der staatlichen Stellen sind und mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun haben und dass diese Tätigkeiten dazu dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie zugeordnet werden können (ejusdem generis) (Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 43 und 44).

70 Jedoch reicht der Umstand, dass eine Tätigkeit eine spezifische des Staates oder einer Behörde ist, nicht aus, damit diese Ausnahme automatisch für diese Tätigkeit gilt. Es ist nämlich erforderlich, dass die Tätigkeit zu denjenigen gehört, die ausdrücklich in dieser Vorschrift genannt sind, oder dass sie derselben Kategorie wie diese zugeordnet werden kann.

71 Zwar sind die Tätigkeiten des Petitionsausschusses des Hessischen Landtags zweifellos behördlicher Art und spezifische dieses Landes, da dieser Ausschuss mittelbar zur parlamentarischen Tätigkeit beiträgt, dennoch sind diese Tätigkeiten nicht nur politischer und administrativer Natur, sondern aus den dem Gerichtshof vorliegenden Akten geht auch in keiner Weise hervor, dass diese Tätigkeiten im vorliegenden Fall den in Art. 2 Abs. 2 Buchst. b und d der Verordnung 2016/679 genannten Tätigkeiten entsprechen oder derselben Kategorie wie diese zugeordnet werden können.

72 Viertens und letztens ist in der Verordnung 2016/679, insbesondere in deren 20. Erwägungsgrund und deren Art. 23, keine Ausnahme in Bezug auf parlamentarische Tätigkeiten vorgesehen.

73 Folglich ist der Petitionsausschuss des Hessischen Landtags insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als ‚Verantwortlicher‘ im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 einzustufen, so dass im vorliegenden Fall Art. 15 der Verordnung anwendbar ist.

74 Nach alledem ist Art. 4 Nr. 7 der Verordnung 2016/679 dahin auszulegen, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als ‚Verantwortlicher‘ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt.“

25 Nach Art. 53 Abs. 1 B-VG kann der Nationalrat - gemäß Art. 24 B-VG ein Organ der Gesetzgebung des Bundes - durch Beschluss Untersuchungsausschüsse - hier den BVT-Untersuchungsausschuss - einsetzen. Vom Nationalrat eingesetzte Untersuchungsausschüsse dienen der Wahrnehmung der der gesetzgebenden Körperschaft von der österreichischen Verfassung übertragenen Kontroll- und Gesetzgebungsfunktion (vgl. VfGH 15.6.2015, UA 2/2015-14, UA 4/2015-4, Rn. 61). Sie sind ein Instrument der politischen Kontrolle (vgl. VfGH 18.1.2021, UA 4/2020, Rn. 38). Parlamentarische Untersuchungsausschüsse werden als Kontrollorgane der gesetzgebenden Körperschaft tätig und sind sowohl organisatorisch als auch funktionell der gesetzgebenden Gewalt zuzuordnen. Akte, die von parlamentarischen Untersuchungsausschüssen bzw. in deren Auftrag gesetzt werden, gehören daher zur Staatsfunktion Gesetzgebung (vgl. VfGH 6.3.2008, B 1535/07). Gegenstand der Untersuchung ist gemäß Art. 53 Abs. 2 erster Satz B-VG ein bestimmter abgeschlossener Vorgang im Bereich der Vollziehung des Bundes. Ziel der Untersuchungsausschüsse ist die Aufklärung von Vorgängen zu politischen Zwecken (vgl. VfGH 15.6.2015, UA 2/2015-14, UA 4/2015-4, Rn. 61). Die Befugnisse, die Untersuchungsausschüssen durch Art. 53 B-VG und die dazu ergangenen Ausführungsbestimmungen in der Verfahrensordnung für parlamentarische Untersuchungsausschüsse (VO-UA) übertragen werden, sollen eine wirksame parlamentarische Kontrolle durch den Nationalrat ermöglichen (vgl. VfGH 18.1.2021, UA 4/2020, Rn. 38). Den Untersuchungsausschüssen kommt dabei die Erfüllung des verfassungsgesetzlich übertragenen Kontrollauftrages zu (vgl. VfGH 11.12.2018, UA 3/2018, Rn. 163 mit Verweis auf VfGH 15.6.2015, UA 2/2015-14, UA 4/2015-4, Rn. 62).

26 Gestützt auf Art. 138b Abs. 1 Z 7 B-VG besteht für eine Auskunftsperson gegen den Beschluss eines Untersuchungsausschusses über die Veröffentlichung eines Protokolls seiner Befragung gemäß § 20 VO-UA wegen behaupteter Verletzung von § 1 DSG die Möglichkeit der Beschwerde an den Verfassungsgerichtshof (vgl. Zußner, Verfassungsgerichtlicher Persönlichkeitsschutz im Untersuchungsausschuss, ÖJZ 2016, 589). Dabei sieht sich der Verfassungsgerichtshof in seiner Entscheidungsbefugnis auf die Frage beschränkt, ob das konkret angefochtene Verhalten den Beschwerdeführer in den von diesem konkret geltend gemachten Persönlichkeitsrechten verletzt hat (vgl. VfGH 8.10.2015, UA 3/2015, Rn. 28).

27 In Bezug auf den Kernbereich parlamentarischer Tätigkeiten - wie vorliegend jene der der gesetzgebenden Körperschaft übertragenen und durch parlamentarische Untersuchungsausschüsse wahrgenommenen Kontrollfunktion - ist das Vorliegen des Ausnahmetatbestands des Art. 2 Abs. 2 Buchst. a DSGVO zu prüfen. Die Begrenzung der Reichweite der Datenschutz-Grundverordnung in Art. 2 Abs. 2 Buchst. a beruht darauf, dass die Kompetenzen der Union im Sinne des Grundsatzes der begrenzten Einzelermächtigung (Art. 5 Abs. 1 und 2 EUV) beschränkt sind. Der Wortlaut des Art. 2 Abs. 2 Buchst. a DSGVO („Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“) entspricht Art. 16 Abs. 2 UAbs. 1 Satz 1 AEUV, der Kompetenzgrundlage für den Erlass der Datenschutz-Grundverordnung. Insoweit hat dieser Ausnahmetatbestand nur deklaratorischen Charakter (vgl. Schwartmann/Grzeszick, Die Datenschutzrechtliche Stellung von Abgeordneten und Fraktionen, RDV 2020/2, 75, 76).

28 Ausgehend vom Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, und seiner darin zitierten Rechtsprechung zur Richtlinie 95/46 (EuGH 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, diese wiederum mit Hinweis auf EuGH 20.5.2003, Österreichischer Rundfunk u.a., C-465/00, C-138/01 und C-139/01, EU:C:2003:294) ist keine Voraussetzung für die Anwendbarkeit der Datenschutznormen, dass die Verarbeitung personenbezogener Daten konkret zu Zwecken erfolgt, die dem Unionsrecht unterliegen, grenzüberschreitend ist oder konkret den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtigt. Die Anwendbarkeit der Datenschutz-Grundverordnung ist vielmehr nur auszuschließen, wenn zumindest einer der Ausnahmetatbestände des Art. 2 Abs. 2 Buchst. a bis d DSGVO vorliegt (vgl. Stürmer/Wolff, Die parlamentarische Datenverarbeitung und die Datenschutzgrundverordnung, DÖV 2021, 167, 168).

29 Nach der Rechtsprechung des EuGH ist Art. 2 Abs. 2 Buchst. a DSGVO eng auszulegen und insoweit in Verbindung mit ihrem Art. 2 Abs. 2 Buchst. b und ihrem 16. Erwägungsgrund zu lesen, wonach diese Verordnung nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit „Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten“, sowie Tätigkeiten „im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union“ gilt. Daraus folgt, dass Art. 2 Abs. 2 Buchst. a und b DSGVO teilweise an Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 anknüpft. Folglich kann Art. 2 Abs. 2 Buchst. a und b DSGVO nicht dahin ausgelegt werden, dass er weiter gefasst ist als die Ausnahme nach Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46. Nach der Rechtsprechung des EuGH waren nur Verarbeitungen personenbezogener Daten im Rahmen einer in Art. 3 Abs. 2 ausdrücklich genannten spezifischen Tätigkeit des Staates oder staatlicher Stellen oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vom Anwendungsbereich der Richtlinie 95/46 ausgeschlossen. Demnach ist Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung so zu verstehen, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden. Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten, auf die Art. 2 Abs. 2 Buchst. a DSGVO abstellt, umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken (vgl. zu alldem EuGH 22.6.2021, Latvijas Republikas Saeima (Strafpunkte), C-439/19, EU:C:2021:504, Rn. 62 bis 67, mwN; zur systematischen Kritik in der Literatur an der Begrenzung des Ausnahmetatbestandes des Art. 2 Abs. 2 Buchst. a DSGVO auf Tätigkeiten, die ausdrücklich in Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 bzw. nunmehr in Art. 2 Abs. 2 Buchst. b und d DSGVO genannt sind, Stürmer/Wolff, Die parlamentarische Datenverarbeitung und die Datenschutzgrundverordnung, DÖV 2021, 167, 169f; Roßnagel/Rost, Ist die Datenschutz-Grundverordnung auch in den Landtagen anwendbar?, NVwZ 22/2021, 1641 (1643)).

30 Im Gegensatz zu dem im Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, behandelten Petitionsausschuss des Hessischen Landtags tragen vom Nationalrat eingesetzte Untersuchungsausschüsse allerdings nicht (bloß) mittelbar zur parlamentarischen Tätigkeit bei, sondern betreffen vielmehr als Kontrollorgane der gesetzgebenden Körperschaft den Kernbereich parlamentarischer Tätigkeit. Die Tätigkeiten von Untersuchungsausschüssen in Erfüllung des ihnen verfassungsgesetzlich übertragenen Kontrollauftrages dienen - wie sich der oben zitierten Rechtsprechung des Verfassungsgerichtshofes entnehmen lässt - (anders als beim Petitionsausschuss des Hessischen Landtags) der politischen Kontrolle bzw. der Aufklärung zu politischen Zwecken.

31 Die Ausführungen des EuGH im Urteil vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, zu Art. 2 Abs. 2 Buchst. a DSGVO vor allem in Rn. 71 schließen für sich betrachtet die Anwendbarkeit dieses Ausnahmetatbestandes auf eine Datenverarbeitung zu unmittelbar parlamentarischen Zwecken, somit für den Kernbereich parlamentarischer Tätigkeit nicht von vornherein aus (vgl. Stürmer/Wolff, Die parlamentarische Datenverarbeitung und die Datenschutzgrundverordnung, DÖV 2021, 167, 169; in Bezug auch auf die Tätigkeit der politischen Kontrolle etwa durch Untersuchungsausschüsse vgl. weiters Roßnagel/Rost, Ist die Datenschutz-Grundverordnung auch in den Landtagen anwendbar?, NVwZ 22/2021, 1641 (1645)). Vielmehr lässt sich argumentieren, dass Tätigkeiten der parlamentarischen Kontrolle grundsätzlich auch dem Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft dienen, auf den Art. 2 Abs. 2 Buchst. a DSGVO abstellt.

32 Überdies sind keine unionsrechtlichen Vorgaben ersichtlich, die die parlamentarische Tätigkeit in den Mitgliedstaaten, und zwar neben dem parlamentarischen Gesetzgebungsverfahren auch die den gesetzgebenden Körperschaften übertragenen Kontrollrechte, regelten. Die Grundlagen parlamentarischer Tätigkeiten, wie etwa die Organisation der nationalen Parlamente sowie auch die Ausgestaltung des Abgeordnetenmandats ergeben sich allein aus den jeweiligen nationalen Regelungen. Dies wird auch vom Unionsrecht respektiert, da nach Art. 4 Abs. 2 EUV die Union die nationale Identität achtet, die in ihren grundlegenden politischen und verfassungsgemäßen Strukturen zum Ausdruck kommt (vgl. Schwartmann/Grzeszick, Die datenschutzrechtliche Stellung von Abgeordneten und Fraktionen, RDV 2020/2, 75, 76; Grzeszick, Nationale Parlamente und EU-Datenschutzgrundverordnung, NVwZ 20/2018, 1505, 1508; Schröder, Anwendbarkeit der DS-GVO und des BDSG auf den deutschen Bundestag, ZRP 2018, 129, 130).

33 Die Aussage des EuGH im Urteil C-272/19, Rn. 72, wonach in der Datenschutz-Grundverordnung, insbesondere in deren 20. Erwägungsgrund und deren Art. 23, keine (im Sinne von keine generelle) Ausnahme in Bezug auf parlamentarische Tätigkeiten vorgesehen ist, steht nicht der Annahme entgegen, dass zumindest manche parlamentarische Tätigkeiten unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO fallen.

34 Schließlich ist sowohl dem Recht der einzelnen Mitgliedstaaten als auch dem Unionsrecht der Gewaltenteilungsgrundsatz in Bezug auf Legislative, Exekutive und Judikative inhärent (vgl. etwa EuGH 22.12.2010, DEB, C-279/09, EU:C:2010:810, Rn. 58; 18.4.2013, Germanwings GmbH, C-413/11, EU:C:2013:246, Rn. 16). Zwar nimmt Art. 55 Abs. 3 DSGVO unter Bedachtnahme auf den Gewaltenteilungsgrundsatz ausschließlich die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von der Zuständigkeit der von jedem Mitgliedstaat gemäß Art. 51 DSGVO einzurichtenden Aufsichtsbehörde aus, nicht jedoch auch die Aufsicht über die von Parlamenten im Rahmen ihrer unmittelbaren, dem Kernbereich zuordenbaren parlamentarischen Tätigkeit vorgenommenen Verarbeitungen. Die Einschränkung des Art. 55 Abs. 3 DSGVO auf den justiziellen Bereich könnte aber dahingehend verstanden werden, dass die parlamentarische Tätigkeit im Kernbereich bereits gemäß Art. 2 Abs. 2 Buchst. a DSGVO von der Anwendbarkeit der Datenschutz-Grundverordnung ausgenommen ist, ansonsten der Gewaltenteilungsgrundsatz in Art. 55 Abs. 3 DSGVO auch in Bezug auf die parlamentarische Tätigkeit berücksichtigt worden wäre (vgl. Siess-Scherz,Art. 30 B-VG, in Kneihs/Lienbacher (Hrsg.), Rill-Schäffer-Kommentar Bundesverfassungsrecht 22. Lfg (2019), Rz 124; Schröder, Anwendbarkeit der DS-GVO und des BDSG auf den deutschen Bundestag, ZRP 2018, 129, 130).

35 Zusammengefasst ist für den Verwaltungsgerichtshof daher fraglich, ob im Gegensatz zu dem, den Petitionsausschuss des Hessischen Landtags betreffenden Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, der Kernbereich parlamentarischer Tätigkeiten, wie etwa Vorgänge der Gesetzgebung bzw. der parlamentarischen Kontrolle, unter Art. 16 Abs. 2 AEUV fällt und somit gemäß Art. 2 Abs. 2 Buchst. a DSGVO vom sachlichen Anwendungsbereich der Datenschutz-Grundverordnung gemäß Art. 2 Abs. 1 DSGVO umfasst ist.

Zur zweiten Frage

36 Untersuchungsgegenstand des vorliegend vom Nationalrat eingesetzten BVT-Untersuchungsausschusses war „der Verdacht der abgestimmten, politisch motivierten Einflussnahme durch OrganwalterInnen, sonstige (leitende) Bedienstete sowie MitarbeiterInnen politischer Büros des BMI [Bundesministerium für Inneres] auf die Aufgabenerfüllung des BVT [Bundesamt für Verfassungsschutz und Terrorismusbekämpfung] samt damit in Zusammenhang stehender angeblicher Verletzung rechtlicher Bestimmungen ... im Bereich der Vollziehung des Bundes hinsichtlich

a. des Verwendens von Daten und Informationen inkl. des Unterlassens der Löschung, des Sammelns und Auslagerns von Daten sowie deren Weitergabe an Dritte;

b. der Vollziehung des § 6 PStSG [Polizeiliches Staatsschutzgesetz] und von Vorgängerregelungen (erweiterte Gefahrenerforschung und Ermittlungstätigkeit im Zusammenhang mit Extremismus, Terrorismus, Proliferation, nachrichtendienstlicher Tätigkeit und Spionage) inkl. der Ermittlungen zu rechtsextremen Aktivitäten durch das Extremismusreferat des BVT;

c. der Ausübung der Dienstaufsicht und Ermittlungen gegen Bedienstete des BVT wie Suspendierungen des Direktors und weiterer ranghoher Bediensteter;

d. der Zusammenarbeit mit den für den Verfassungsschutz zuständigen Organisationseinheiten der Landespolizeidirektionen bzw. ihren Vorgängerorganisationen hinsichtlich der lit. a bis c;

e. der Zusammenarbeit mit anderen obersten Organen und Ermittlungsbehörden (wie der StA [Staatsanwaltschaft] und der WKStA [Wirtschafts- und Korruptionsstaatsanwaltschaft] sowie dem Bundeskriminalamt, BAK [Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung], LKAs [Landeskriminalämter], EGS [Einsatzgruppe zur Bekämpfung der Straßenkriminalität]) im Hinblick auf die von diesen aus Anlass der oben genannten Rechtsverletzung geführten Ermittlungen und Hausdurchsuchungen; sowie

f. der Besetzung leitender Funktionen und Personalauswahl (einschließlich Ernennung bzw. Betrauung von MitarbeiterInnen der jeweiligen Kabinette von BundesministerInnen auf in Verbindung zum BVT stehende Stellen bzw. Aufgaben).“

37 Das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT), seit der mit 1. Dezember 2021 in Kraft getretenen Novelle BGBl. I Nr. 148/2021 die Direktion Staatsschutz und Nachrichtendienst (DSN), fungiert als polizeiliche Staatsschutzbehörde und nimmt gemäß § 1 Abs. 2 und 3 Staatsschutz- und Nachrichtendienst-Gesetz (bis zur Novelle BGBl. I Nr. 148/2021 Polizeiliches Staatsschutzgesetz - PStSG) den Schutz der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit sowie von Vertretern ausländischer Staaten, internationaler Organisationen und anderer Völkerrechtssubjekte nach Maßgabe völkerrechtlicher Verpflichtungen, kritischer Infrastruktur und der Bevölkerung vor terroristisch, ideologisch oder religiös motivierter Kriminalität, vor Gefährdungen durch Spionage, durch nachrichtendienstliche Tätigkeit und durch Proliferation sowie der Wahrnehmung zentraler Funktionen der internationalen Zusammenarbeit in diesen Bereichen wahr. Der Aufgabenbereich des BVT, nunmehr DSN, umfasst insofern „die nationale Sicherheit betreffende Tätigkeiten“ im Sinne des 16. Erwägungsgrundes der Datenschutz-Grundverordnung. Der Untersuchungsgegenstand des hier maßgeblichen Untersuchungsausschusses betrifft daher Tätigkeiten der nationalen Sicherheit, die im Hinblick auf den 16. Erwägungsgrund der Datenschutz-Grundverordnung nicht unter den Anwendungsbereich des Unionsrechts fallen und daher gemäß Art. 2 Abs. 2 Buchst. a DSGVO vom sachlichen Anwendungsbereich dieser Verordnung ausgenommen sind.

38 Gemäß dem Urteil des EuGH vom 6. Oktober 2020, La Quadrature du Net u.a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 101, sind in Bezug auf Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 „‚Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung [und] die Sicherheit des Staates‘ generell vom Anwendungsbereich dieser Richtlinie“ ausgenommen, „ohne anhand des Urhebers der betreffenden Verarbeitung von Daten zu unterscheiden“. Demnach erfolgt die Bestimmung der ausgeschlossenen Tätigkeiten zweckbestimmt, ohne nach der Art der handelnden Personen zu unterscheiden (vgl. Schlussanträge des Generalanwalts Campos Sanchez-Bordona vom 15. Jänner 2020 in den verbundenen Rechtssachen C-511/18 und C-512/18 La Quadrature du Net u.a., Rn. 70).

39 Sofern die parlamentarische Kontrolltätigkeit eines Untersuchungsausschusses grundsätzlich in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 AEUV fällt, stellt sich die Frage, ob Tätigkeiten eines parlamentarischen Untersuchungsausschusses zumindest dann unter denAusnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO fallen, wenn der Untersuchungsgegenstand Tätigkeiten der Vollziehung betrifft, die wie vorliegend nach dem 16. Erwägungsgrund nicht unter den Anwendungsbereich des Unionsrechts zu subsumieren sind.

Zur dritten Frage

40 Gemäß § 18 Abs. 1 DSG wurde in Österreich die Datenschutzbehörde als einzige nationale Aufsichtsbehörde nach Art. 51 DSGVO eingerichtet. Im Rahmen der Durchführung des Art. 77 DSGVO räumt § 24 Abs. 1 DSG jeder betroffenen Person das Recht auf Beschwerde bei der Datenschutzbehörde ein, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt.

41 Im Fall der Anwendbarkeit der Datenschutz-Grundverordnung auf die parlamentarische Kontrolltätigkeit setzt die Zuständigkeit der Datenschutzbehörde als einzige nationale Aufsichtsbehörde für Akte der Gesetzgebung auf Grund des verfassungsrechtlichen Gewaltentrennungsprinzips zwischen Exekutive und Legislative eine verfassungsrechtliche Verankerung voraus. Eine solche ist hingegen derzeit nicht vorhanden (vgl. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG, § 18 Rn. 5; Nikolay, Rechtsschutz bei Datenschutzverletzungen durch parlamentarische Kontrolltätigkeit, ZfV 1/2021, 78).

42 Jedes im Rahmen seiner Zuständigkeit angerufene nationale Gericht als Organ des Mitgliedstaates ist jedoch verpflichtet, in Anwendung des in Art. 4 Abs. 3 EUV niedergelegten Grundsatzes der Zusammenarbeit das unmittelbar geltende Unionsrecht uneingeschränkt anzuwenden und die Rechte, die es den Einzelnen verleiht, zu schützen. Die Geltung des Unionsrechts kann durch einen Mitgliedstaat nicht durch Vorschriften des nationalen Rechts, auch wenn diese Verfassungsrang haben, beeinträchtigt werden. Ist es nicht möglich, die volle Wirksamkeit des Unionsrechtes im Wege einer unionsrechtskonformen Auslegung des nationalen Rechts sicherzustellen, so hat ein nationales Gericht für die volle Wirksamkeit dieser unionsrechtlichen Normen im Wege des Anwendungsvorrangs Sorge zu tragen, indem es jede möglicherweise entgegenstehende Bestimmung des nationalen Rechts aus eigener Entscheidungsbefugnis unangewendet lässt (vgl. VwGH 10.10.2018, Ra 2017/03/0108, Rn. 21, mwN).

43 Sollte der EuGH die erste Frage bejahen und die zweite Frage verneinen und die Datenschutz-Grundverordnung auf die vorliegende parlamentarische Kontrolltätigkeit anwendbar sein, stellt sich für den Verwaltungsgerichtshof in Bezug auf die Datenschutzbehörde als einzige in Österreich gemäß Art. 51 Abs. 1 DSGVO eingerichtete Aufsichtsbehörde die weitere Frage, ob sich deren Zuständigkeit im Hinblick auf das in Art. 77 Abs. 1 DSGVO jeder betroffenen Person eingeräumte Recht auf Beschwerde bei einer Aufsichtsbehörde bereits unmittelbar aus dem Unionsrecht (Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO) ableitet.

Relevanz für das vorliegende Verfahren

44 Gegenstand des vor dem Verwaltungsgerichtshof anhängigen Revisionsverfahrens ist die vom Verwaltungsgericht bejahte Zuständigkeit der Datenschutzbehörde als nationale Aufsichtsbehörde für die einen Verstoß gegen die Datenschutz-Grundverordnung geltend machende Datenschutzbeschwerde des Erstmitbeteiligten gegen eine Datenverarbeitung des vom österreichischen Nationalrat im Rahmen der parlamentarischen Kontrolle der Vollziehung eingesetzten BVT-Untersuchungsausschusses.

45 Sofern sich die Zuständigkeit der Datenschutzbehörde als einzige nach Art. 51 Abs. 1 DSGVO in einem Mitgliedstaat eingerichtete Aufsichtsbehörde für Beschwerden im Sinne des Art. 77 Abs. 1 DSGVO unmittelbar aus der Datenschutz-Grundverordnung ergäbe, wäre eine innerstaatlich mangelnde verfassungsrechtliche Verankerung der Zuständigkeit der Datenschutzbehörde für Datenschutzbeschwerden betreffend geltend gemachte Verstöße gegen die Datenschutz-Grundverordnung durch Verarbeitung personenbezogener Daten im Rahmen der parlamentarischen Kontrolle nicht maßgeblich.

46 Dies setzt jedoch voraus, dass die Datenschutz-Grundverordnung, insbesondere Art. 51 und Art. 77 DSGVO, auf die parlamentarische Kontrolltätigkeit an sich bzw. vorliegend des BVT-Untersuchungsausschusses im Speziellen überhaupt anwendbar ist.

47 Die Klärung der Vorlagefragen ist daher für die Entscheidung im vor dem Verwaltungsgerichtshof anhängigen Revisionsverfahren rechtlich relevant.

Ergebnis

48 Da die Anwendung des Unionsrechts und dessen Auslegung nicht als derart offenkundig erscheint, dass für einen vernünftigen Zweifel kein Raum bleibt (vgl. EuGH 6.10.1982, Srl C.I.L.F.I.T. u.a., C-283/81, EU:C:1982:335; 6.10.2021, Consorzio Italian Management, C-561/19, EU:C:2021:799, Rn. 39ff) werden die eingangs formulierten Vorlagefragen gemäß Art. 267 AEUV mit dem Ersuchen um Vorabentscheidung vorgelegt.

Wien, am 14. Dezember 2021

Entscheidungstext

Entscheidungsart: Erkenntnis

Entscheidungsdatum: 01.02.2024

Betreff

Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Kleiser, Hofrat Dr. Mayr, Hofrätin Mag. Hainz-Sator und die Hofräte Dr. Pürgy sowie Mag. Brandl als Richter, unter Mitwirkung der Schriftführerin Löffler, LL.M., über die Revision der Datenschutzbehörde gegen das Erkenntnis des Bundesverwaltungsgerichts vom 23. November 2020, Zl. W211 2227144-1/3E, betreffend Zurückweisung einer Datenschutzbeschwerde (mitbeteiligte Partei: W K in W, vertreten durch MMag. Michael Sommer, Rechtsanwalt in 9020 Klagenfurt, Völkermarkter Ring 1; weitere Partei: Bundesministerin für Justiz), zu Recht erkannt:

Spruch

Die Revision wird als unbegründet abgewiesen.

Der Bund hat dem Mitbeteiligten Aufwendungen in der von € 1.106,40 binnen zwei Wochen bei sonstiger Exekution zu ersetzen. Das Mehrbegehren wird abgewiesen.

Die Revisionsbeantwortung des Präsidenten des Nationalrates wird zurückgewiesen.

Begründung

1 Mit Beschluss vom 20. April 2018 setzte der Nationalrat gemäß Art. 53 Abs. 1 Bundes-Verfassungsgesetz (B-VG) den Untersuchungsausschuss über die politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT-Untersuchungsausschuss) ein.

2 Unstrittig ist, dass der Mitbeteiligte am 19. September 2018 als Auskunftsperson vom BVT-Untersuchungsausschuss medienöffentlich befragt wurde und das wörtliche Protokoll dieser Befragung auf der Website des österreichischen Parlaments unter vollständiger Nennung des Vor- und Familiennamens des Mitbeteiligten veröffentlicht wurde.

3 Der Mitbeteiligte erhob am 2. April 2019 bei der Datenschutzbehörde eine Datenschutzbeschwerde gemäß § 24 Abs. 1 Datenschutzgesetz (DSG). Darin beantragte er die Feststellung, dass die Veröffentlichung des Protokolls seiner Vernehmung unter vollständiger Nennung seines Namens gegen die Datenschutz-Grundverordnung (DSGVO) wie auch gegen § 1 DSG verstoße.

4 Der Mitbeteiligte brachte im Wesentlichen vor, er sei bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität als verdeckter Ermittler tätig. Durch die (entgegen seinem Verlangen gegenüber dem BVT-Untersuchungsausschuss) vollständige Nennung seines Vor- und Familiennamens im veröffentlichten Protokoll seiner Einvernahme sei er in seinem Grundrecht auf Datenschutz nach § 1 Abs. 1 DSG sowie im Recht auf Löschung unzulässig verarbeiteter Daten nach § 1 Abs. 3 Z 2 DSG verletzt worden.

5 Mit Bescheid vom 18. September 2019 wies die Datenschutzbehörde die Datenschutzbeschwerde des Mitbeteiligten „gegen das Österreichische Parlament, Untersuchungsausschuss des Nationalrates (Beschwerdegegner)“ zurück.

6 Begründend führte die Datenschutzbehörde aus, dass die DSGVO grundsätzlich die Aufsicht der Datenschutz-Aufsichtsbehörden über Organe der Gesetzgebung - anders als über Gerichte im Rahmen der justiziellen Tätigkeit (Art. 55 Abs. 3 DSGVO) - nicht verneine. Der europäischen Rechtsordnung sei jedoch die Trennung der Staatsgewalten inhärent. Eine Kontrolle der Verwaltung über die Gesetzgebung sei ausgeschlossen. Der BVT-Untersuchungsausschuss sei ein Organ, das der Gesetzgebung zuzurechnen sei. Da die vom Mitbeteiligten angeführten Protokolle einem Organ der Gesetzgebung im (verfassungs-)gesetzlich übertragenen Wirkungsbereich zuzurechnen seien, sei die Datenschutzbeschwerde wegen Unzuständigkeit zurückzuweisen.

7 Gegen diesen Bescheid erhob der Mitbeteiligte Beschwerde an das Bundesverwaltungsgericht (Verwaltungsgericht).

8 Mit dem beim Verwaltungsgerichtshof angefochtenen Erkenntnis gab das Verwaltungsgericht der Beschwerde statt, hob den Bescheid der Datenschutzbehörde vom 18. September 2019 auf und sprach aus, dass die Revision an den Verwaltungsgerichtshof gemäß Art. 133 Abs. 4 B-VG zulässig sei.

9 Begründend führte das Verwaltungsgericht im Wesentlichen aus, weder die Bestimmung des Art. 2 Abs. 1 DSGVO über den sachlichen Anwendungsbereich der Verordnung noch die in Art. 2 Abs. 2 DSGVO normierten Ausnahmen von deren Anwendbarkeit stellten darauf ab, welcher Staatsfunktion ein verarbeitendes Organ zuzuordnen sei. Eine Ausnahme von der Anwendbarkeit der Bestimmungen der DSGVO in Bezug auf eine bestimmte Staatsfunktion sei der Verordnung nicht zu entnehmen. Dies lasse auf eine vollumfängliche Anwendbarkeit der materiellen Bestimmungen der DSGVO auf die Gesetzgebung schließen. Neben dem Unionsrecht enthalte auch die nationale Rechtsordnung keine Vorschriften, die die Tätigkeit von Untersuchungsausschüssen, die der gesetzgeberischen Gewalt zuzuordnen seien, vom Anwendungsbereich der DSGVO ausdrücklich ausnehmen würden. Im Ergebnis sei davon auszugehen, dass die materiellen Vorschriften der DSGVO und des DSG auch für Akte maßgeblich seien, die der Staatsfunktion Gesetzgebung zuzurechnen seien.

Die Kontrollbefugnis der Datenschutzbehörde als Datenschutz-Aufsichtsbehörde sei in der DSGVO grundsätzlich umfassend angelegt. Weder Art. 55 noch Art. 77 DSGVO schlössen eine Zuständigkeit der Datenschutzbehörde für datenschutzrechtliche Vorgänge im Rahmen der Gesetzgebung aus.

Die Ausnahmeregelung des Art. 55 Abs. 3 DSGVO für den Bereich justizieller Tätigkeiten der Gerichte sei einer Verallgemeinerung nicht zugänglich. Es sei deshalb von einer uneingeschränkten Zuständigkeit der Datenschutz-Aufsichtsbehörden für alle anderen Einrichtungen, die mit Unabhängigkeit ausgestattet seien, auszugehen. Es sei daher auch deren Zuständigkeit für parlamentarische Untersuchungsausschüsse zu bejahen. Zusammengefasst stehe dem Argument der Trennung der Staatsgewalten entgegen, dass weder die DSGVO noch das DSG eine Ausnahme von der Zuständigkeit der Datenschutzbehörde für die Kontrolle der datenschutzrechtlichen Konformität der Verarbeitung von personenbezogenen Daten im Bereich der Gesetzgebung kenne. Vielmehr sehe die DSGVO in Art. 77 einen effektiven Rechtsschutz im Anwendungsbereich der Verordnung vor, womit jedem Betroffenen ermöglicht werden solle, sich gegen Verletzungen von ihm in der Verordnung zugestandener Rechte zur Wehr zu setzen. Da die Datenschutzbehörde entgegen der angefochtenen Entscheidung für die vorliegende Datenschutzbeschwerde zuständig sei, sei der angefochtene Bescheid zu beheben.

10 Den Zulässigkeitsausspruch begründete das Verwaltungsgericht mit fehlender Rechtsprechung des Verwaltungsgerichtshofs zur Rechtsfrage der Anwendbarkeit der DSGVO und des DSG auf Sachverhalte im Rahmen der Gesetzgebung und der Kontrollbefugnis der Datenschutzbehörde betreffend gesetzgeberischen Handelns im engeren Sinn oder sonstiger funktionell der Gesetzgebung zuzurechnender Tätigkeiten.

11 Gegen dieses Erkenntnis richtet sich die vorliegende Revision der Datenschutzbehörde. Der Mitbeteiligte beantragte in seiner Revisionsbeantwortung, der Revision keine Folge zu geben. Im Übrigen erstattete der Präsident des Nationalrates, der vom Verwaltungsgericht als mitbeteiligte Partei dem Verfahren beigezogen worden war, eine Revisionsbeantwortung, in der er ergänzt mit weiteren unions- und verfassungsrechtlichen Ausführungen der Argumentation der Revision beitrat, und beantragte, „der Revision Folge zu geben und das angefochtene Erkenntnis wegen Rechtswidrigkeit des Inhalts nach § 42 Abs. 2 Z 1 VwGG aufzuheben“.

12 Mit Beschluss vom 14. Dezember 2021, EU 2021/0009-1 (Ro 2021/04/0006), legte der Verwaltungsgerichtshof im vorliegenden Revisionsverfahren folgende Fragen an den Gerichtshof der Europäischen Union (EuGH) zur Vorabentscheidung nach Art. 267 AEUV vor:

„1. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 erster Satz AEUV, sodass die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaates anwendbar ist?

Falls Frage 1 bejaht wird:

2. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der Datenschutz-Grundverordnung zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO?

Falls Frage 2 verneint wird:

3. Sofern - wie vorliegend - ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus der Datenschutz-Grundverordnung?“

13 Mit Urteil vom 16. Jänner 2024, C-33/22, Österreichische Datenschutzbehörde, hat der EuGH über dieses Vorabentscheidungsersuchen entschieden.

Der Verwaltungsgerichtshof hat erwogen:

Zulässigkeit

14 Die Revision erweist sich mangels Rechtsprechung des Verwaltungsgerichtshofs zu der vom Verwaltungsgericht dargelegten und im gesonderten Zulässigkeitsvorbringen der Revision präzisierten Rechtsfrage, ob Tätigkeiten eines vom Nationalrat - wie vorliegend - eingesetzten Untersuchungsausschusses in den Anwendungsbereich der DSGVO fallen und die Datenschutzbehörde als Aufsichtsbehörde für Datenschutzbeschwerden in Bezug auf Tätigkeiten eines parlamentarischen Untersuchungsausschusses zuständig ist, als zulässig. Sie ist jedoch nicht berechtigt.

Maßgebliche Rechtslage

Unionsrecht

15 Die maßgeblichen Erwägungsgründe und Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; DSGVO), ABl. L 119 vom 4.5.2016, lauten auszugsweise:

„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

...

Artikel 2

Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

...

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

...

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

...

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

...

Artikel 23

Beschränkungen

(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a) die nationale Sicherheit;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

...

h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

...

Artikel 51

Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).

...

Artikel 54

Errichtung der Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:

a) die Errichtung jeder Aufsichtsbehörde;

...

Artikel 55

Zuständigkeit

(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

...

Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“

Nationales Recht

16 § 4 Abs. 1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 14/2019, § 18 Abs. 1 und § 24 Abs. 1 DSG jeweils idF BGBl. I Nr. 120/2017 sowie § 35 Abs. 2 DSG idF BGBl. I Nr. 23/2018, lauten:

„Anwendungsbereich und Durchführungsbestimmung

§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.

...

Datenschutzbehörde

Einrichtung

§ 18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.

...

Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

...

Besondere Befugnisse der Datenschutzbehörde

§ 35. ...

(2) (Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art. 30 Abs. 3 bis 6, 125, 134 Abs. 8 und 148h Abs. 1 und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten aus.“

Anwendbarkeit der DSGVO auf die Tätigkeit eines vom Nationalrat gemäß Art. 53 Abs. 1 B-VG eingesetzten Untersuchungsausschusses

17 Vorliegend erachtet sich der Mitbeteiligte durch die Veröffentlichung des Protokolls seiner Einvernahme vor dem BVT-Untersuchungsausschuss als Auskunftsperson auf der Website des österreichischen Parlaments unter Nennung seines vollständigen Namens in seinem Recht auf Geheimhaltung bzw. seinem Grundrecht auf Schutz personenbezogener Daten im Sinne des Art. 8 GRC verletzt. Eine solche Veröffentlichung stellt an sich eine „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Z 2 DSGVO dar.

18 Der EuGH hat in seinem Urteil vom 16. Jänner 2024, C-33/22, Österreichische Datenschutzbehörde, die zunächst wesentliche Frage des Vorabentscheidungsersuchens des Verwaltungsgerichtshofs, ob eine Tätigkeit eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses der Anwendung der DSGVO entzogen ist, dahin beantwortet, Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 lit. a DSGVO sind dahin auszulegen, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses ausgeübt wird. Er hat dies im Wesentlichen wie folgt begründet:

„36 Hierzu ist darauf hinzuweisen, dass die DSGVO vorbehaltlich der in ihrem Art. 2 Abs. 2 und 3 genannten Fälle sowohl für Verarbeitungen gilt, die von Privatpersonen vorgenommen werden, als auch für Verarbeitungen, die durch Behörden erfolgen (vgl. in diesem Sinne Urteil vom 24. März 2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, Rn. 25).

37 Aus der Rechtsprechung des Gerichtshofs ergibt sich, dass die in Art. 2 Abs. 2 DSGVO vorgesehene Ausnahme eng auszulegen ist (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 62 und die dort angeführte Rechtsprechung). In diesem Zusammenhang hat der Gerichtshof bereits entschieden, dass mit Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung von deren Anwendungsbereich allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden, so dass der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nicht dafür ausreicht, dass diese Ausnahme automatisch für diese Tätigkeit gilt (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 66, und vom 20. Oktober 2022, Koalitsia ‚Demokratichna Bulgaria - Obedinenie‘, C-306/21, EU:C:2022:813, Rn. 39).

38 Diese Auslegung, die sich bereits daraus ergibt, dass Art. 2 Abs. 1 DSGVO nicht danach unterscheidet, wer Urheber der betreffenden Verarbeitung ist, wird durch ihren Art. 4 Nr. 7 bestätigt, der den Begriff ‚Verantwortlicher‘ als ‚die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet‘, definiert.

39 Bei der Auslegung ebendieser Bestimmung hat der Gerichtshof festgestellt, dass, soweit ein Petitionsausschuss eines Parlaments eines Gliedstaats eines Mitgliedstaats allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, er als ‚Verantwortlicher‘ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung fällt (Urteil vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, Rn. 74).

40 Der Umstand, dass es sich, wie der Präsident des Nationalrates (Österreich) hervorhebt, im Unterschied zum Petitionsausschuss in der dem Urteil vom 9. Juli 2020, Land Hessen (C-272/19, EU:C:2020:535), zugrunde liegenden Rechtssache, der nur mittelbar zur parlamentarischen Tätigkeit beitrug, beim BVT-Untersuchungsausschuss um ein Organ handelt, das unmittelbar und ausschließlich parlamentarisch tätig ist, bedeutet nicht, dass die Tätigkeit dieses Untersuchungsausschusses vom Anwendungsbereich der DSGVO ausgenommen ist.

41 Wie im Wesentlichen vom Generalanwalt in Nr. 84 seiner Schlussanträge ausgeführt, bezieht sich die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme vom Anwendungsbereich dieser Verordnung ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) und - für den Fall, dass der Verantwortliche eine Behörde ist - auch nicht darauf, dass die Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen Befugnis zuzurechnen sind, wenn diese Befugnis nicht mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist.

42 Somit ermöglicht der Umstand, dass die Verarbeitung von personenbezogenen Daten durch einen vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss erfolgt, für sich genommen nicht den Schluss, dass diese Verarbeitung im Rahmen einer Tätigkeit stattfindet, die im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO nicht in den Anwendungsbereich des Unionsrechts fällt.“

19 Ausgehend von dieser Rechtsprechung kommt es für die Beantwortung der Rechtsfrage, ob Tätigkeiten eines vom Nationalrat eingesetzten Untersuchungsausschusses, mit denen die Verarbeitung personenbezogener Daten verbunden ist, gemäß Art. 2 Abs. 2 lit. a DSGVO vom Anwendungsbereich der DSGVO ausgenommen sind, ausschließlich auf die Natur dieser Tätigkeiten an, und nicht darauf, ob die Person des Verantwortlichen privater oder öffentlich-rechtlicher Natur ist und - für den Fall, dass der Verantwortliche eine Behörde ist - auch nicht darauf, dass die Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer hoheitlichen Befugnis zuzurechnen sind. Wesentlich ist vielmehr, ob diese Befugnis mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist.

20 Daher ist nicht bereits jede Tätigkeit eines wie vorliegend vom Nationalrat nach Art. 53 Abs. 1 B-VG eingesetzten Untersuchungsausschusses von sich aus vom Anwendungsbereich der DSGVO ausgenommen, sondern nur jene Tätigkeit, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fällt.

Ausnahme von der Anwendung der DSGVO gemäß Art. 2 Abs. 2 lit. a DSGVO

21 Der EuGH hat in seinem Urteil C-33/22 die weitere Frage des Vorabentscheidungsersuchens des Verwaltungsgerichtshofs, ob Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne des Art. 2 Abs. 2 lit. a DSGVO anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen, verneint und dies im Wesentlichen wie folgt begründet:

„45 Wie in Rn. 37 des vorliegenden Urteils ausgeführt, ist Art. 2 Abs. 2 Buchst. a DSGVO eng auszulegen und soll allein Verarbeitungen personenbezogener Daten vom Anwendungsbereich dieser Verordnung ausnehmen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden.

46 Die im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 67, und vom 20. Oktober 2022, Koalitsia ‚Demokratichna Bulgaria - Obedinenie‘, C-306/21, EU:C:2022:813, Rn. 40).

47 Nach Art. 4 Abs. 2 EUV bleiben solche Tätigkeiten in der alleinigen Verantwortung der Mitgliedstaaten (vgl. in diesem Sinne Urteil vom 15. Juli 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, Rn. 36).

48 Im vorliegenden Fall ergibt sich aus der dem Gerichtshof vorliegenden Akte, dass der BVT-Untersuchungsausschuss vom Nationalrat eingesetzt wurde, um eine mögliche politische Einflussnahme auf das BVT zu untersuchen, das während des im Ausgangsverfahren in Rede stehenden Zeitraums für Verfassungsschutz und Terrorismusbekämpfung zuständig war.

...

50 Hierzu ist darauf hinzuweisen, dass es gemäß Art. 4 Abs. 2 EUV zwar Sache der Mitgliedstaaten ist, ihre wesentlichen Sicherheitsinteressen festzulegen und die geeigneten Maßnahmen zu ergreifen, um ihre innere und äußere Sicherheit zu gewährleisten, doch kann die bloße Tatsache, dass eine nationale Maßnahme zum Schutz der nationalen Sicherheit getroffen wurde, nicht dazu führen, dass das Unionsrecht unanwendbar ist und die Mitgliedstaaten von der erforderlichen Beachtung dieses Rechts entbunden werden (vgl. in diesem Sinne Urteil vom 15. Juli 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, Rn. 40 und die dort angeführte Rechtsprechung).

51 Wie bereits in Rn. 41 des vorliegenden Urteils ausgeführt, bezieht sich die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) und - für den Fall, dass der Verantwortliche eine Behörde ist - auch nicht darauf, dass Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen Befugnis zuzurechnen sind, wenn diese Befugnis nicht mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist. Insoweit reicht der Umstand, dass der Verantwortliche eine Behörde ist, deren Haupttätigkeit in der Gewährleistung der nationalen Sicherheit besteht, als solcher nicht aus, um Verarbeitungen personenbezogener Daten durch diese Behörde im Rahmen anderer von ihr durchgeführter Tätigkeiten vom Anwendungsbereich der DSGVO auszunehmen.

52 Im vorliegenden Fall ergibt sich aus der dem Gerichtshof vorliegenden Akte, dass der im Ausgangsverfahren in Rede stehende Untersuchungsausschuss eine politische Kontrolle der Tätigkeit des BVT zum Gegenstand hatte, da der Verdacht politischer Einflussnahme auf das BVT bestand; diese Kontrolle scheint im Sinne der oben in Rn. 45 wiedergegebenen Rechtsprechung jedoch als solche weder eine Tätigkeit darzustellen, die der Wahrung der nationalen Sicherheit dient, noch eine Tätigkeit, die derselben Kategorie zugeordnet werden kann. Daraus folgt, dass diese Tätigkeit vorbehaltlich einer Überprüfung durch das vorlegende Gericht nach Art. 2 Abs. 2 Buchst. a DSGVO nicht vom Anwendungsbereich dieser Verordnung ausgenommen ist.

53 Allerdings kann ein parlamentarischer Untersuchungsausschuss wie der im Ausgangsverfahren in Rede stehende im Rahmen seiner Tätigkeiten Zugang zu Informationen, insbesondere zu personenbezogenen Daten, haben, die aus Gründen der nationalen Sicherheit besonders zu schützen sind, indem z. B. die Informationen, die den betroffenen Personen zur Datenerfassung zur Verfügung gestellt werden, oder auch deren Zugang zu diesen Daten eingeschränkt werden.

54 In diesem Zusammenhang sieht Art. 23 DSGVO vor, dass die Pflichten und Rechte gemäß den Art. 5, 12 bis 22 und 34 DSGVO im Wege von Gesetzgebungsmaßnahmen beschränkt werden können, um u. a. die nationale Sicherheit oder eine Kontrollfunktion, die mit der Ausübung öffentlicher Gewalt - insbesondere im Rahmen der nationalen Sicherheit - verbunden ist, sicherzustellen.

55 So kann das Erfordernis der Gewährleistung der nationalen Sicherheit Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen rechtfertigen, insbesondere in Bezug auf die Erhebung personenbezogener Daten, die Unterrichtung der betroffenen Personen und ihren Zugang zu diesen Daten oder deren Offenlegung an andere Personen als den Verantwortlichen ohne Zustimmung der betroffenen Personen, soweit solche Beschränkungen den Wesensgehalt der Grundrechte und Grundfreiheiten der betroffenen Personen wahren und eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellen.

56 Im vorliegenden Fall ergibt sich aus der dem Gerichtshof vorliegenden Akte jedoch nicht, dass der BVT-Untersuchungsausschuss dargetan hätte, dass die Offenlegung der personenbezogenen Daten von WK, die im Rahmen der Veröffentlichung des Protokolls seiner Befragung vor diesem Untersuchungsausschuss auf der Webseite des Österreichischen Parlaments und ohne Zustimmung von WK erfolgte, für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer dafür vorgesehenen nationalen Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des vorlegenden Gerichts, gegebenenfalls die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.“

22 Untersuchungsgegenstand des vom Nationalrat eingesetzten BVT-Untersuchungsausschusses war „der Verdacht der abgestimmten, politisch motivierten Einflussnahme durch OrganwalterInnen, sonstige (leitende) Bedienstete sowie MitarbeiterInnen politischer Büros des BMI [Bundesministerium für Inneres] auf die Aufgabenerfüllung des BVT [Bundesamt für Verfassungsschutz und Terrorismusbekämpfung] samt damit in Zusammenhang stehender angeblicher Verletzung rechtlicher Bestimmungen ... im Bereich der Vollziehung des Bundes hinsichtlich

a. des Verwendens von Daten und Informationen inkl. des Unterlassens der Löschung, des Sammelns und Auslagerns von Daten sowie deren Weitergabe an Dritte;

b. der Vollziehung des § 6 PStSG [Polizeiliches Staatsschutzgesetz] und von Vorgängerregelungen (erweiterte Gefahrenerforschung und Ermittlungstätigkeit im Zusammenhang mit Extremismus, Terrorismus, Proliferation, nachrichtendienstlicher Tätigkeit und Spionage) inkl. der Ermittlungen zu rechtsextremen Aktivitäten durch das Extremismusreferat des BVT;

c. der Ausübung der Dienstaufsicht und Ermittlungen gegen Bedienstete des BVT wie Suspendierungen des Direktors und weiterer ranghoher Bediensteter;

d. der Zusammenarbeit mit den für den Verfassungsschutz zuständigen Organisationseinheiten der Landespolizeidirektionen bzw. ihren Vorgängerorganisationen hinsichtlich der lit. a bis c;

e. der Zusammenarbeit mit anderen obersten Organen und Ermittlungsbehörden (wie der StA [Staatsanwaltschaft] und der WKStA [Wirtschafts- und Korruptionsstaatsanwaltschaft] sowie dem Bundeskriminalamt, BAK [Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung], LKAs [Landeskriminalämter], EGS [Einsatzgruppe zur Bekämpfung der Straßenkriminalität]) im Hinblick auf die von diesen aus Anlass der oben genannten Rechtsverletzung geführten Ermittlungen und Hausdurchsuchungen; sowie

f. der Besetzung leitender Funktionen und Personalauswahl (einschließlich Ernennung bzw. Betrauung von MitarbeiterInnen der jeweiligen Kabinette von BundesministerInnen auf in Verbindung zum BVT stehende Stellen bzw. Aufgaben)“ (vgl. AB 109 BlgNR 26. GP).

23 Das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT), seit der mit 1. Dezember 2021 in Kraft getretenen Novelle BGBl. I Nr. 148/2021 die Direktion Staatsschutz und Nachrichtendienst (DSN), fungiert als polizeiliche Staatsschutzbehörde und nimmt gemäß § 1 Abs. 2 und 3 Staatsschutz- und Nachrichtendienst-Gesetz (bis zur Novelle BGBl. I Nr. 148/2021 Polizeiliches Staatsschutzgesetz - PStSG) den Schutz der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit sowie von Vertretern ausländischer Staaten, internationaler Organisationen und anderer Völkerrechtssubjekte nach Maßgabe völkerrechtlicher Verpflichtungen, kritischer Infrastruktur und der Bevölkerung vor terroristisch, ideologisch oder religiös motivierter Kriminalität, vor Gefährdungen durch Spionage, durch nachrichtendienstliche Tätigkeit und durch Proliferation sowie der Wahrnehmung zentraler Funktionen der internationalen Zusammenarbeit in diesen Bereichen wahr. Der Aufgabenbereich des BVT, nunmehr DSN, umfasst insofern „die nationale Sicherheit betreffende Tätigkeiten“ im Sinne des 16. Erwägungsgrundes der DSGVO. Tätigkeiten des BVT, nunmehr DSN, die insofern der Wahrung der nationalen Sicherheit dienen, sind daher gemäß Art. 2 Abs. 2 lit. a DSGVO vom sachlichen Anwendungsbereich dieser Verordnung ausgenommen.

24 Entsprechend den oben wiedergegebenen Ausführungen des EuGH im Urteil C-33/22 führt die bloße Tatsache, dass eine nationale Maßnahme zum Schutz der nationalen Sicherheit getroffen wurde, nicht dazu, dass das Unionsrecht (und insofern insbesondere die DSGVO) unanwendbar ist (Rn. 50). Ebenso reicht der Umstand, dass der Verantwortliche eine Behörde ist, deren Haupttätigkeit in der Gewährleistung der nationalen Sicherheit besteht, als solcher nicht aus, um Verarbeitungen personenbezogener Daten durch diese Behörde im Rahmen anderer von ihr durchgeführter Tätigkeiten, die nicht der Wahrung der nationalen Sicherheit dienen, vom Anwendungsbereich der DSGVO auszunehmen (Rn. 51).

25 Gegenstand der Tätigkeit des BVT-Untersuchungsausschusses ist die parlamentarische (politische) Kontrolle der „Aufgabenerfüllung des BVT“, somit von Tätigkeiten zur Gewährleistung der nationalen Sicherheit, zwecks Klärung des „Verdachts“ politischer Einflussnahme auf das BVT.

26 Ausgehend davon bestand die Haupttätigkeit des BVT-Untersuchungsausschusses nicht unmittelbar in der Gewährleistung der nationalen Sicherheit, sondern der Überprüfung der „Aufgabenerfüllung des BVT“ im Hinblick auf eine politische Einflussnahme. Die parlamentarische Kontrolltätigkeit des BVT-Untersuchungsausschusses an sich stellt daher weder eine Tätigkeit dar, die unmittelbar der Wahrung der nationalen Sicherheit im Sinne des 16. Erwägungsgrundes der DSGVO dient, noch eine Tätigkeit, die derselben Kategorie zugeordnet ist. Dementsprechend ist sie nicht gemäß Art. 2 Abs. 2 lit. a DSGVO vom Anwendungsbereich dieser Verordnung ausgenommen.

27 Die Kontrolltätigkeit des BVT-Untersuchungsausschusses ist insofern vom Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO umfasst.

28 Die vom EuGH in Rn. 56 letzter Satz seines Urteils C-33/22 dem vorlegenden Gericht überbundene Prüfung im Zusammenhang mit Art. 23 DSGVO ist vom Verwaltungsgerichtshof im vorliegenden Verfahrensstadium der Prüfung der Zuständigkeit nicht vorzunehmen.

Zuständigkeit der Datenschutzbehörde

29 Im Hinblick auf die Anwendbarkeit der DSGVO auf die parlamentarische Kontrolltätigkeit des BVT-Untersuchungsausschusses ist die vom Verwaltungsgericht bejahte Zuständigkeit der Datenschutzbehörde zur Behandlung und Entscheidung über die Beschwerde des Mitbeteiligten zu klären.

30 Die Datenschutzbehörde lehnt ihre Zuständigkeit mit Hinweis auf den Grundsatz der Trennung der Staatsgewalten, der auch Teil der europäischen Rechtsordnung sei und eine Kontrolle der Legislative durch Organe der Exekutive ausschließe, ab. Es sei nicht nachvollziehbar, dass eine Verwaltungsbehörde, die der Kontrolle durch den Nationalrat unterstehe, diesen zu kontrollieren habe. Dieses Verständnis spiegle sich auch im DSG wider, indem die Aufsicht über die Einhaltung der Vorgaben der DSGVO und des DSG gemäß Art. 77 DSGVO iVm §§ 4 und 35 DSG gegenüber Organen der Gesetzgebung der Datenschutzbehörde nur innerhalb enger Grenzen obliege und zwar - soweit in der Verfassungsbestimmung des § 35 Abs. 2 DSG vorgesehen - nur betreffend einzelner Verwaltungsangelegenheiten. Der Nationalrat und seine Ausschüsse seien das Organ, durch welches die Gesetzgebung (gemeinsam mit dem Bundesrat) auf Bundesebene ausgeübt werde. Der BVT-Untersuchungsausschuss sei somit ein Organ der Gesetzgebung. Die Datenschutzbehörde sei in diesem Zusammenhang nicht zuständig, über behauptete Verstöße zu befinden.

31 Die im Vorabentscheidungsersuchen des Verwaltungsgerichtshofs an den EuGH herangetragene Frage zur unmittelbar aus der DSGVO sich ergebenden Zuständigkeit einer - wie vorliegend - einzigen in einem Mitgliedstaat eingerichteten Aufsichtsbehörde für Beschwerden iSd Art. 77 Abs. 1 iVm Art. 55 Abs. 1 DSGVO beantwortete der EuGH dahin, diese Bestimmungen sind dahin auszulegen, dass sie, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung der DSGVO durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden. Er hat dies im Wesentlichen wie folgt begründet:

„59 Für die Beantwortung dieser Frage ist darauf hinzuweisen, dass die Verordnung gemäß Art. 288 Abs. 2 AEUV in allen ihren Teilen verbindlich ist und in jedem Mitgliedstaat unmittelbar gilt.

60 Nach gefestigter Rechtsprechung haben Verordnungen nach dieser Bestimmung sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Urteil vom 15. Juni 2021, Facebook Ireland u. a., C-645/19, EU:C:2021:483, Rn. 110 und die dort angeführte Rechtsprechung).

61 Zum einen hat nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Zum anderen ist nach Art. 55 Abs. 1 DSGVO jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

62 Aus dem Wortlaut dieser Bestimmungen ergibt sich, dass - wie im Wesentlichen vom Generalanwalt in Nr. 132 seiner Schlussanträge ausgeführt - für Art. 77 Abs. 1 und Art. 55 Abs. 1 DSGVO keine nationalen Durchführungsmaßnahmen erforderlich sind und sie hinreichend klar, genau und unbedingt sind, um unmittelbar anwendbar zu sein.

63 Daraus folgt, dass die DSGVO den Mitgliedstaaten gemäß ihrem Art. 51 Abs. 1 bei der Anzahl der einzurichtenden Aufsichtsbehörden einen Ermessensspielraum einräumt, im Gegenzug aber festlegt, welche Zuständigkeiten diesen Behörden unabhängig von ihrer Anzahl für die Überwachung der Anwendung der Verordnung einzuräumen sind.

64 Wie im Wesentlichen in Nr. 137 der Schlussanträge des Generalanwalts festgestellt, ist also in Fällen, in denen sich ein Mitgliedstaat für die Einrichtung einer einzigen Aufsichtsbehörde entscheidet, diese Behörde zwangsläufig mit allen Zuständigkeiten ausgestattet, die die DSGVO den Aufsichtsbehörden überträgt.

65 Jede andere Auslegung würde die praktische Wirksamkeit von Art. 55 Abs. 1 und Art. 77 Abs. 1 DSGVO in Frage stellen und könnte die praktische Wirksamkeit aller anderen Bestimmungen dieser Verordnung, die für eine Beschwerde von Bedeutung sein könnten, schwächen.

66 Im Übrigen hat der Unionsgesetzgeber in Fällen, in denen er die Zuständigkeit der Aufsichtsbehörden im Bereich der Aufsicht über die von Behörden vorgenommenen Verarbeitungen einschränken wollte, dies ausdrücklich getan. Dies zeigt sich am Beispiel von Art. 55 Abs. 3 DSGVO, nach dem diese Behörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig sind.

67 Die Datenschutzbehörde, der Präsident des Nationalrates und die österreichische Regierung weisen darauf hin, dass im Verfassungsrang stehende Bestimmungen des österreichischen Rechts jegliche Kontrolle der Legislative durch die Exekutive verböten. Aufgrund dieser Bestimmungen könne die Datenschutzbehörde, die der Exekutive zuzurechnen sei, nicht die Anwendung der DSGVO durch den BVT-Untersuchungsausschuss überwachen, der ein Organ der Legislative sei.

68 Im vorliegenden Fall beschränkt sich Art. 51 Abs. 1 DSGVO jedoch gerade mit Blick auf die Achtung der verfassungsrechtlichen Struktur der Mitgliedstaaten darauf, ihnen die Einrichtung mindestens einer Aufsichtsbehörde aufzuerlegen, und stellt es ihnen frei, mehrere einzurichten. Der 117. Erwägungsgrund der DSGVO hält dazu im Übrigen fest, dass die Mitgliedstaaten mehr als eine Aufsichtsbehörde errichten können sollten, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.

69 Art. 51 Abs. 1 DSGVO räumt also jedem Mitgliedstaat einen Ermessensspielraum ein, der es ihm ermöglicht, so viele Aufsichtsbehörden einzurichten, wie insbesondere aufgrund seiner verfassungsmäßigen Struktur erforderlich sind.

70 Außerdem können die Einheit und die Wirksamkeit des Unionsrechts nicht dadurch beeinträchtigt werden, dass sich ein Mitgliedstaat auf Bestimmungen des nationalen Rechts beruft. Die Wirkungen des Grundsatzes des Vorrangs des Unionsrechts sind nämlich für alle Stellen eines Mitgliedstaats verbindlich, ohne dass dem insbesondere die innerstaatlichen Bestimmungen, auch wenn sie Verfassungsrang haben, entgegenstehen könnten (Urteil vom 22. Februar 2022, RS [Wirkung der Urteile eines Verfassungsgerichts], C-430/21, EU:C:2022:99, Rn. 51 und die dort angeführte Rechtsprechung).

71 Sofern sich ein Mitgliedstaat im Rahmen seines Ermessensspielraums für die Einrichtung einer einzigen Aufsichtsbehörde entschieden hat, kann er sich nicht auf Bestimmungen des nationalen Rechts berufen - auch wenn sie Verfassungsrang haben -, um Verarbeitungen personenbezogener Daten, die in den Anwendungsbereich der DSGVO fallen, der Überwachung durch diese Behörde zu entziehen.“

32 Wie oben dargelegt, ist die Kontrolltätigkeit des BVT-Untersuchungsausschusses vom Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO umfasst.

33 Ausgehend von der Rechtsprechung des EuGH ergibt sich vorliegend die Zuständigkeit der Datenschutzbehörde als einzige nach Art. 51 Abs. 1 DSGVO eingerichtete Aufsichtsbehörde für die Behandlung und Entscheidung über die gegen die Veröffentlichung des Protokolls der Vernehmung des Mitbeteiligten vor dem BVT-Untersuchungsausschuss unter vollständiger Nennung seines Namens auf der Website des Parlaments gerichteten Beschwerde unmittelbar aus Art. 77 Abs. 1 und Art. 55 Abs. 1 DSGVO.

34 Die Datenschutzbehörde ist der Staatsfunktion der Verwaltung zuzuordnen. Da nach den Ausführungen des VfGH im Erkenntnis vom 13. Dezember 2023, G 212/2023-13, ua., für den einfachen Gesetzgeber kein Umsetzungsspielraum ersichtlich ist, eine mit dem verfassungsrechtlichen Gewaltentrennungsprinzip vereinbare, für die Überprüfung der Verarbeitung personenbezogener Daten durch das Parlament zuständige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO einzurichten, bestehen gegen die Zuständigkeit der Datenschutzbehörde für die Überprüfung der Verarbeitung personenbezogener Daten durch den BVT-Untersuchungsausschuss keine verfassungsrechtlichen Bedenken (vgl. zur Zuständigkeit der Datenschutzbehörde für den Bereich der Verarbeitung personenbezogener Daten durch Staatsanwaltschaften unter Hinweis auf VfGH G 212/2023-13, ua., VwGH vom heutigen Tag, Ro 2020/04/0016, Rn. 29).

35 Das Verwaltungsgericht hat somit die Zuständigkeit der Datenschutzbehörde zur Behandlung und Entscheidung über die Datenschutzbeschwerde des Mitbeteiligten zu Recht bejaht.

Ergebnis

36 Da die Revision somit keine Rechtswidrigkeit des angefochtenen Erkenntnisses aufzeigt, war sie gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.

Kostenentscheidung

37 Der Mitbeteiligte beantragte neben dem Ersatz der Kosten für die Revisionsbeantwortung im gesetzlichen Ausmaß, mit Schriftsatz vom 27. Juni 2023 auch den Ersatz der für das Vorabentscheidungsverfahren vor dem EuGH verbundenen Kosten und zwar der Kosten für die Schriftsätze an den EuGH vom 25. Jänner 2022, 31. März 2022, 22. September 2022 und 23. Februar 2023 sowie für die Teilnahme an der Verhandlung vor dem EuGH vom 6. März 2023 und den Ersatz der Barauslagen (mit der Verhandlung vor dem EuGH am 6. März 2023 verbundene Fahrt- und Aufenthaltskosten) und den Ersatz der für diesen Schriftsatz an den VwGH verzeichneten Kosten.

38 Im Urteil vom 16. Jänner 2024, C-33/22, Rn. 73, sprach der EuGH aus, dass das Verfahren für die Beteiligten des Ausgangsverfahrens Teil des bei dem vorlegenden Gericht anhängigen Verfahrens ist und die Kostenentscheidung daher Sache dieses Gerichts ist.

39 Nach § 47 Abs. 1 VwGG haben die Parteien im Verfahren vor dem Verwaltungsgerichtshof Anspruch auf Aufwandersatz nach Maßgabe der §§ 47 bis 59. Im Fall der Abweisung der Revision hat der Mitbeteiligte gemäß § 47 Abs. 3 VwGG Anspruch auf Aufwandersatz. Zu leisten ist der Aufwandersatz an sich vom Revisionswerber. Da Revisionswerber im vorliegenden Fall aber die Datenschutzbehörde als belangte Behörde des Verfahrens vor dem Verwaltungsgericht ist, ist der Aufwandersatz an den Mitbeteiligten im Sinn des § 47 Abs. 5 VwGG von dem Rechtsträger zu tragen, in dessen Namen die Behörde in dem - dem Verfahren vor dem Verwaltungsgericht vorangegangenen - Verwaltungsverfahren gehandelt hat (vgl. VwGH 26.9.2022, Ro 2020/04/0034, Rn. 37, mwN)

40 Der Kostenersatzanspruch des obsiegenden Mitbeteiligten ist in § 48 Abs. 3 VwGG geregelt. Diese Bestimmung begründet den Anspruch des Mitbeteiligten auf Ersatz der Kommissionsgebühren und der Eingabegebühren gemäß § 24a, die er im Verfahren vor dem Verwaltungsgerichtshof zu entrichten hat, sowie der Barauslagen des Verwaltungsgerichtshofes, für die er aufzukommen hat (Z 1), des Aufwandes, der ihn mit der Einbringung einer Revisionsbeantwortung durch einen Rechtsanwalt (Steuerberater oder Wirtschaftsprüfer) verbunden war (Schriftsatzaufwand) (Z 2), der Reisekosten (Fahrt- und Aufenthaltskosten), die für ihn mit der Wahrnehmung seiner Parteirechte in Verhandlungen vor dem Verwaltungsgerichtshof verbunden waren (Z 3) und des sonstigen Aufwandes, der für ihn mit der Vertretung durch einen Rechtsanwalt (Steuerberater oder Wirtschaftsprüfer) in Verhandlungen vor dem Verwaltungsgerichtshof verbunden war (Verhandlungsaufwand) (Z 4).

41 Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes besteht keine gesetzliche Grundlage für den Ersatz des Aufwandes, der einer Partei auf Grund ihrer Beteiligung an einem Zwischenverfahren (vor dem EuGH), das nicht vor dem Verwaltungsgerichtshof geführt wurde, entstanden ist. Der Ersatz des Aufwandes des Mitbeteiligten für einen an den EuGH gerichteten Schriftsatz, der Fahrt- und Aufenthaltskosten sowie des sonstigen Aufwandes, die dem Mitbeteiligten durch die Teilnahme der für ihn mit der Vertretung durch einen Rechtsanwalt an der vor dem EuGH durchgeführten Verhandlung erwachsen sind, kommt daher nach dem VwGG nicht in Betracht (vgl. zu alldem VwGH 28.3.2018, 2017/07/0001, Rn. 23 und 24, mwN).

42 Mangels gesetzlicher Grundlage besteht auch kein Anspruch des Mitbeteiligten auf Aufwandersatz für den Schriftsatz vom 27. Juni 2023.

43 Dem Mitbeteiligten gebührt somit gemäß §§ 47 ff VwGG in Verbindung mit der Aufwandersatzverordnung 2014 lediglich ein Anspruch auf Aufwandersatz für die Revisionsbeantwortung. Hingegen war das sich auf das Vorabentscheidungsverfahren und den Schriftsatz vom 27. Juni 2023 beziehende Mehrbegehren abzuweisen.

Zurückweisung der Revisionsbeantwortung

44 Die Revisionsbeantwortung des Präsidenten des Nationalrates war schon deshalb zurückzuweisen, weil eine Mitbeteiligung auf der Seite der revisionswerbenden Partei im Verfahren vor dem Verwaltungsgerichtshof nicht in Betracht kommt, zumal die Stellung als Mitbeteiligter rechtlich geschützte Interessen im Widerspruch zur Interessenslage der revisionswerbenden Partei voraussetzt (vgl. VwGH 25.6.2020, Ra 2018/07/0457, Rn. 39; 25.11.2020, Ra 2020/22/0082, Rn. 25, jeweils mwN). Auch der Umstand, dass der Präsident des Nationalrates vom Verwaltungsgericht als Mitbeteiligter dem Verfahren beigezogen wurde, vermag seine rechtliche Stellung als Mitbeteiligter iSd § 21 Abs. 1 Z 4 VwGG nicht zu begründen (vgl. VwGH 28.11.2019, Ro 2018/07/0049, Rn. 23, mwN).

Wien, am 1. Februar 2024

Zusatzinformationen