Ein parlamentarischer Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung einhalten. Dies gilt nicht, wenn er eine die nationale Sicherheit betreffende Tätigkeit ausübt.
Ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung (DSGVO) einhalten.
Gibt es in diesem Mitgliedstaat nur eine Aufsichtsbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch den Untersuchungsausschuss zuständig. Übt der Untersuchungsausschuss jedoch eine Tätigkeit aus, die als solche der Wahrung der nationalen Sicherheit dient, unterliegt er nicht der DSGVO und folglich auch nicht der Kontrolle durch die Aufsichtsbehörde.
Der Nationalrat, die Abgeordnetenkammer des österreichischen Parlaments, setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung2 aufzuklären.
Dieser Untersuchungsausschuss befragte medienöffentlich eine Auskunftsperson. Das Protokoll dieser Befragung wurde auf der Webseite des österreichischen Parlaments veröffentlicht. Es enthielt den vollständigen Namen der Auskunftsperson, obwohl diese die Anonymisierung beantragt hatte.
Da die Nennung ihres Namens aus der Sicht der Auskunftsperson gegen die DSGVO verstieß, brachte sie bei der österreichischen Datenschutzbehörde eine Beschwerde ein. Sie legte dar, als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig zu sein.
Die Datenschutzbehörde wies die Beschwerde mit der Begründung zurück, dass sie aufgrund des Gewaltenteilungsgrundsatzes als Teil der Exekutive nicht kontrollieren könne, ob der Untersuchungsausschuss, der der Legislative zuzurechnen sei, die DSGVO einhalte. Die Auskunftsperson bekämpfte diese Entscheidung sodann vor den österreichischen Gerichten.
Der österreichische Verwaltungsgerichtshof möchte vom Gerichtshof wissen, ob der Untersuchungsausschuss, der der Legislative zuzurechnen ist und Tätigkeiten betreffend die nationale Sicherheit untersucht, der DSGVO und damit der Kontrolle der Datenschutzbehörde unterliegt.
Der Gerichtshof stellt fest, dass auch ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss grundsätzlich die DSGVO einzuhalten hat.
Zwar ist die DSGVO nicht auf Verarbeitungen personenbezogener Daten anwendbar, die von Behörden im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient. Vorbehaltlich einer Überprüfung durch den österreichischen Verwaltungsgerichtshof scheint die in Rede stehende Untersuchung jedoch nicht als solche der Wahrung der nationalen Sicherheit zu dienen. Der Untersuchungsausschuss sollte nämlich eine mögliche politische Einflussnahme auf eine der Exekutive zuzurechnende Behörde prüfen, die für Verfassungsschutz und Terrorismusbekämpfung zuständig war.
Allerdings können Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen aufgrund der nationalen Sicherheit gerechtfertigt sein.
Aus der Akte ergibt sich jedoch nicht, dass der in Rede stehende Untersuchungsausschuss dargetan hätte, dass die Offenlegung des Namens der Auskunftsperson für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des österreichischen Verwaltungsgerichtshofs, die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.
Da Österreich entschieden hat, nur eine Aufsichtsbehörde im Sinne der DSGVO einzurichten, nämlich die Datenschutzbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch einen Untersuchungsausschuss wie den in Rede stehenden zuständig, und zwar ungeachtet des Gewaltenteilungsgrundsatzes. Dies ergibt sich aus der unmittelbaren Wirkung der DSGVO und dem Anwendungsvorrang des Unionsrechts, einschließlich gegenüber nationalem Verfassungsrecht.
Urteil des Gerichtshofs in der Rechtssache C-33/22 | Österreichische Datenschutzbehörde
Quelle: Pressemitteilung des EuGH v. 16.01.2024