B-VG Art94
DSG §1
DSG §18
DSG §31
DSG §35 Abs1
DSG §35 Abs2
DSG §4
DSGVO Art2
DSGVO Art51
DSGVO Art55 Abs3
DSGVO Art77
European Case Law Identifier: ECLI:AT:BVWG:2020:W211.2227144.1.00
Spruch:
Im namen der republik!
Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin XXXX und den fachkundigen Laienrichter XXXX als Beisitzerin und Beisitzer über die Beschwerde des XXXX , vertreten durch Rechtsanwalt XXXX , gegen den Bescheid der Datenschutzbehörde vom XXXX in nichtöffentlicher Sitzung zu Recht:
A)
Der Beschwerde wird stattgegeben und der angefochtene Bescheid behoben.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Datenschutzbeschwerde vom XXXX .2019 behauptete der Beschwerdeführer eine Verletzung in seinem Recht auf Geheimhaltung gemäß § 1 Datenschutzgesetz (DSG) und brachte zusammengefasst vor, er sei Mitglied der Einsatzgruppe für die Bekämpfung der Straßenkriminalität (EGS) und sei dort als verdeckter Ermittler tätig. Er sei im „ XXXX -Untersuchungsausschuss“ als Auskunftsperson geladen gewesen und habe dort auch Angaben gemacht. Neben ihm seien auch andere Mitarbeiter als Auskunftsperson geladen gewesen. Bei diesen seien jedoch in den veröffentlichten Protokollen der Vor- und Zuname jeweils nur mit dem Anfangsbuchstaben angegeben worden. Der Beschwerdeführer scheine in den Protokollen jedoch mit seinem vollständigen Namen und nicht nur mit den Anfangsbuchstaben auf, obwohl er dies aufgrund seiner schutzwürdigen Interessen und eines nicht vorliegenden überwiegenden Informationsinteresses verlangt habe. Mit Eingabe vom XXXX .2018 habe der Beschwerdeführer beim XXXX -Untersuchungsausschuss fristgerecht Einwendungen gegen den Umfang der Veröffentlichung gemäß § 19 Abs. 3 der Verfahrensordnung für parlamentarische Untersuchungsausschüsse (VO-UA) erhoben. Begründet habe er seine Einwendungen damit, dass er verdeckt auf der Straße ermittle und nur dann Ermittlungserfolge verzeichnen könne, wenn seine Eigenschaft als verdeckter Ermittler der Öffentlichkeit nicht bekannt sei. Er habe auch darauf hingewiesen, dass seine Dienstbehörde gemäß § 35 VO-UA eine Befragung in vertraulicher oder geheimer Sitzung schriftlich beantragt habe. Diesem Antrag sei jedoch nicht entsprochen worden. In weiterer Folge habe er mit Eingabe vom XXXX .2018 den Untersuchungsausschuss aufgefordert, die veröffentlichen Protokolle offline zu nehmen und den Fehler, nämlich die Anführung seines vollständigen Namens, zu korrigieren und erst danach wieder online zu stellen. Dem sei ebenfalls nicht entsprochen worden.
2. Mit dem angefochtenen Bescheid vom XXXX .2019 wies die Datenschutzbehörde die Beschwerde zurück und führte soweit wesentlich aus, dass, auch wenn die Datenschutz-Grundverordnung (DSGVO) die Aufsicht der Datenschutz-Aufsichtsbehörden über Organe der Gesetzgebung anders als über Gerichte im Rahmen der justiziellen Tätigkeit (Art. 55 Abs. 3 DSGVO) nicht schlichtweg verneine, der europäischen Rechtsordnung die Trennung der Staatsgewalten doch inhärent sei. Eine Kontrolle der Verwaltung (Exekutive) über die Gesetzgebung (Legislative) sei ausgeschlossen. Der Nationalrat und seine Ausschüsse seien das Organ, durch welches die gesetzgebende Kompetenz (gemeinsam mit dem Bundesrat) auf Bundesebene ausgeübt werde. Der Untersuchungsausschuss, in welchem der Beschwerdeführer ausgesagt habe und in welchem die Aussage protokolliert worden sei, sei ein Organ, das der Staatsgewalt Gesetzgebung zuzurechnen sei. Der Datenschutzbehörde obliege jedoch die Aufsicht über die Einhaltung der Vorgaben der DSGVO und des DSG gemäß Art. 77 DSGVO iVm §§ 4 und § 35 Abs. 2 DSG. Ausnahmsweise obliege der Datenschutzbehörde auch die Aufsicht über Organe der Legislative, soweit in der Verfassungsbestimmung des § 35 Abs. 2 DSG vorgesehen für einzelne Verwaltungsangelegenheiten bestimmter Organe der Gesetzgebung. In einem darüber hinaus bestehenden Ausmaß sei eine Kontrolle der Legislative durch ein Organ der Exekutive, wie durch die Verwaltungsbehörde Datenschutzbehörde, nicht vorgesehen. Untersuchungsausschüsse und protokollarische Aufzeichnungen über Beweiserhebungen unterlägen als Aufgaben der legislativen Kontrolle über die Verwaltung folglich nicht der Jurisdiktionskompetenz der Datenschutzbehörde.
3. In seiner Beschwerde an das Bundesverwaltungsgericht vom XXXX .2019 führte der Beschwerdeführer aus, dass der Anwendungsbereich des DSG nicht auf bestimmte Personen bzw. Gremien beschränkt sei. § 26 DSG sehe ausdrücklich vor, dass Verantwortliche des öffentlichen Bereichs alle Verantwortlichen seien, die in Form des öffentlichen Rechts eingerichtet seien. Solches treffe auch auf einen Untersuchungsausschuss, wie auch dessen Vorsitzenden bzw. Stellvertreter zu. Der Vorsitzende bzw. Stellvertreter eines Untersuchungsausschusses habe gemäß § 6 Abs. 3 zweiter Satz VO-UA auf die Wahrung des Grundrechtsschutzes und Persönlichkeitsschutzes zu achten. Umso mehr müsse daher eine Zuständigkeit der Datenschutzbehörde auch im Hinblick auf Untersuchungsausschüsse bzw. den Vorsitzenden oder Stellvertreter von Untersuchungsausschüssen gegeben sein. Während hinsichtlich des Bereichs der Gerichte im Rahmen der justiziellen Tätigkeit ausdrücklich die Aufsicht der Datenschutzbehörden ausgeschlossen sei (Art. 55 Abs. 3 DSGVO), sei dies hinsichtlich Untersuchungsausschüssen nicht der Fall. Soweit die Datenschutzbehörde im angefochtenen Bescheid begründend auf den Grundsatz der Gewaltentrennung verweise, werde darauf hingewiesen, dass dieser der österreichischen Bundesverfassung in dieser Allgemeinheit unbekannt sei. Soweit die Datenschutzbehörde überdies auf Art. 35 Abs. 2 DSGVO Bezug nehme, sei anzumerken, dass dieser sich ausschließlich auf die Exekutive, nämlich die obersten Organe der Vollziehung, nicht jedoch auf die Legislative beziehe. Die Verfassungsbestimmung des § 35 Abs. 2 DSG sei vielmehr deshalb notwendig, weil Art. 94 Abs. 1 B-VG nur in Bezugnahme auf die Justiz und die Verwaltung eine ausdrückliche Gewaltentrennung vorsehe. Mit den gegenständlichen datenschutzrechtlichen Fragen hinsichtlich eines Untersuchungsausschusses bzw. des Vorsitzenden oder Stellvertreters eines Untersuchungsausschusses habe das jedoch nichts zu tun. Zudem verkenne die Datenschutzbehörde, dass die legislative Funktion verfassungsrechtlich eng auszulegen sei. Art. 24 B-VG verweise hinsichtlich der Gesetzgebung ausdrücklich auf den Nationalrat. Ein Untersuchungsausschuss habe materiell betrachtet nichts mit der Gesetzwerdung in Österreich zu tun. Auch deshalb sei daher die Zuständigkeit der Datenschutzbehörde zur Überprüfung von Datenschutzverletzungen, die durch den Untersuchungsausschuss begangen worden seien, gegeben.
4. Mit Schreiben vom XXXX .2019 legte die Datenschutzbehörde den Akt vor.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der Beschwerdeführer brachte am XXXX .2019 eine Beschwerde bei der Datenschutzbehörde wegen Verletzung seines Rechts auf Geheimhaltung ein. Er brachte dabei vor, verdeckter Ermittler und als Zeuge im „ XXXX -U-Ausschuss“ geladen gewesen zu sein. Allerdings sei sein Name in den veröffentlichten Protokollen aufgeschienen, obwohl er eine Nennung nur mit den Anfangsbuchtstaben verlangt habe.
Die Datenschutzbehörde wies die Beschwerde mit Bescheid vom XXXX .2019 wegen Unzuständigkeit zurück.
2. Beweiswürdigung:
Die Feststellungen zur Beschwerdeeinbringung und Entscheidung der Datenschutzbehörde ergeben sich aus dem Verwaltungsakt in Verbindung mit dem Vorbringen des Beschwerdeführers und sind nicht strittig.
3. Rechtliche Beurteilung:
Zu A)
1. Rechtsgrundlagen:
Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO), lauten:
Artikel 2
Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) | im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, |
b) | durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, |
c) | durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, |
d) | durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. |
(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
Artikel 55
Zuständigkeit
(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG) idF BGBl. I Nr. 14/2019, lauten (in Auszügen):
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) – (4) […]
Anwendungsbereich und Durchführungsbestimmung
§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.
(2) – (6) […]
Datenschutzbehörde
Einrichtung
§ 18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet. […]
Aufsichtsbehörde nach der Richtlinie (EU) 2016/680
Datenschutzbehörde
§ 31. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde für den in § 36 Abs. 1 genannten Anwendungsbereich eingerichtet. Die Datenschutzbehörde ist nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
(2) Hinsichtlich der Unabhängigkeit, der allgemeinen Bedingungen und der Errichtung der Aufsichtsbehörde finden die Art. 52, 53 und 54 DSGVO sowie der § 18 Abs. 2, §§ 19 und 20 sinngemäß Anwendung.
Besondere Befugnisse der Datenschutzbehörde
§ 35. (1) Die Datenschutzbehörde ist nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen.
(2) (Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art. 30 Abs. 3 bis 6, 125, 134 Abs. 8 und 148h Abs. 1 und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten aus.
Die maßgeblichen Bestimmungen des Bundes-Verfassungsgesetzes (B-VG) lauten (in Auszügen):
Artikel 24. Die Gesetzgebung des Bundes übt der Nationalrat gemeinsam mit dem Bundesrat aus.
Artikel 53. (1) Der Nationalrat kann durch Beschluss Untersuchungsausschüsse einsetzen. Darüber hinaus ist auf Verlangen eines Viertels seiner Mitglieder ein Untersuchungsausschuss einzusetzen.
(2) Gegenstand der Untersuchung ist ein bestimmter abgeschlossener Vorgang im Bereich der Vollziehung des Bundes. Das schließt alle Tätigkeiten von Organen des Bundes, durch die der Bund, unabhängig von der Höhe der Beteiligung, wirtschaftliche Beteiligungs- und Aufsichtsrechte wahrnimmt, ein. Eine Überprüfung der Rechtsprechung ist ausgeschlossen.
(3) – (5) […]
Artikel 94. (1) Die Justiz ist von der Verwaltung in allen Instanzen getrennt.
(2) […]
Artikel 130. (1) Die Verwaltungsgerichte erkennen über Beschwerden […]
(2a) Die Verwaltungsgerichte erkennen über Beschwerden von Personen, die durch das jeweilige Verwaltungsgericht in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) – DSGVO, ABl. Nr. L 119 vom 4. 5. 2016 S. 1, verletzt zu sein behaupten. […]
Artikel 133. (1) Der Verwaltungsgerichtshof erkennt über […]
(2a) Der Verwaltungsgerichtshof erkennt über die Beschwerde einer Person, die durch den Verwaltungsgerichtshof in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der DSGVO verletzt zu sein behauptet. […]
Anwendung der Rechtsgrundlagen auf die gegenständliche Beschwerde:
2. Der Verwaltungsgerichtshof hat bereits wiederholt ausgesprochen, dass, wenn die belangte Behörde einen Antrag zurückgewiesen hat, Sache des Beschwerdeverfahrens lediglich die Frage der Rechtmäßigkeit der Zurückweisung ist (vgl. VwGH 18.12.2014, Ra 2014/07/0002, 0003; 23.06.2015, Ra 2015/22/0040, sowie 16.09.2015, Ra 2015/22/0082 bis 0084, alle mwN). Eine inhaltliche Entscheidung über den verfahrensgegenständlichen Antrag ist dem Bundesverwaltungsgericht somit verwehrt. Auch eine Zurückverweisung gemäß § 28 Abs. 3 VwGVG kommt nicht in Betracht (s. dazu VwGH 16.12.2009, 2008/12/0219).
3.
3.1. Materieller Anwendungsbereich der DSGVO und des DSG
Der sachliche Anwendungsbereich der DSGVO ist nach ihrem Art. 2 Abs. 1 umfassend konzipiert und bezieht sich damit auf alle ganz oder teilweise automatisierten Verarbeitungen personenbezogener Daten bzw. für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, und das – grundsätzlich - unabhängig davon, wer diese Verarbeitungen vornimmt und welcher Staatsfunktion ein verarbeitendes Organ zugeordnet ist. Insoferne Abs. 2 des Art. 2 DSGVO Ausnahmen von der Anwendung der DSGVO für bestimmte Verarbeitungen vorsieht, stellen diese ebenfalls nicht auf die Staatsfunktion ab. Eine Ausnahme von der Anwendbarkeit der Bestimmungen der DSGVO in Bezug auf eine bestimmte Staatsfunktion ist der Verordnung selbst daher nicht zu entnehmen.
Die Europäische Kommission vertrat in der Expertengruppe zur DSGVO und Richtlinie (EU) 2016/680 im September 2017 eine sehr restriktive, im Prinzip nur die nationale Sicherheit erfassende Auslegung des Begriffs einer „Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“ des Art. 2 Abs. 2 lit a DSGVO, was auf eine vollumfängliche Anwendbarkeit der materiellen Bestimmungen der DSGVO auch auf die Gesetzgebung schließen lässt (vgl. Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 4, K8 (Stand 12.6.2018, rdb.at)).
Es enthalten weder das Unionsrecht noch die nationale Rechtsordnung Vorschriften, die die Tätigkeit von Untersuchungsausschüssen, die der gesetzgeberischen Gewalt zuzuordnen sind (vgl. VfGH, 06.03.2008, B1535/07), vom Anwendungsbereich der DSGVO ausdrücklich ausnehmen. § 4 Abs. 1 DSG, demzufolge die „Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen“, gelten, nimmt vielmehr die Maßgeblichkeit der DSGVO und des DSG für sämtliche Datenverarbeitungsvorgänge der genannten Art für sich in Anspruch, egal, durch wen diese vorgenommen werden.
Darüber hinaus erkennen gemäß Art. 130 Abs. 2a B-VG die Verwaltungsgerichte über Beschwerden von Personen, die durch das jeweilige Verwaltungsgericht in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der DSGVO verletzt zu sein behaupten, wie auch gemäß Art. 133 Abs. 2a B-VG der Verwaltungsgerichtshof über die Beschwerden einer Person erkennt, die durch diesen in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der DSGVO verletzt zu sein behauptet, woraus sich die Anwendbarkeit der DSGVO auch für justizielle Akte der (Verwaltungs-) Gerichte ergibt (in Bezug auf die Zivilgerichte vgl. §§ 84f GOG). Schließlich wird in der Literatur auch eine uneingeschränkte Bindung des Rechnungshofes und der Volksanwaltschaft an die materiellen Datenschutzvorgaben bejaht (vgl. Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 4, K8 (Stand 12.6.2018, rdb.at)).
Bei diesen Überlegungen wird nicht übersehen, dass die Erläuterungen zu § 4 Abs. 1 DSG des Datenschutz-Anpassungsgesetzes 2018 (1761 BlgNR 25. GP 4) ausführen, dass dieses „Bundesgesetz – wie bisher – auf Akte der Gesetzgebung und Akte der Gerichte im Rahmen ihrer justiziellen Tätigkeit“ keine Anwendung finden würde. Diese in den Erläuterungen angeführte Einschränkung hat aber hinsichtlich der Gesetzgebung keinen Eingang in den Text der Vorschrift gefunden und ist auch sonst dem DSG nicht zu entnehmen.
Im Ergebnis ist daher davon auszugehen, dass die materiellen Vorschriften der DSGVO und des DSG auch für Akte maßgeblich sind, die, wie solche von Untersuchungsausschüssen, der Staatsfunktion Gesetzgebung zuzurechnen sind.
3.2. Zur Prüfbefugnis der Datenschutzbehörde
Die Datenschutzbehörde geht nun in der Begründung des angefochtenen Bescheids zutreffend davon aus, dass „ die DSGVO die Aufsicht der Datenschutz-Aufsichtsbehörden über Organe der Gesetzgebung – anders als über Gerichte im Rahmen der justiziellen Tätigkeit (Art. 55 Abs. 3 DSGVO) – nicht schlichtweg verneint“, verkennt aber in weiterer Folge die Rechtslage, wenn sie ihre Unzuständigkeit mit einem pauschalen Verweis auf die Gewaltenteilung und eine ihrer Ansicht nach dadurch ausgeschlossene Kontrolle der Gesetzgebung durch die Verwaltung annimmt.
Die Kontrollbefugnis der Datenschutzbehörde ist in der DSGVO grundsätzlich umfassend angelegt:
Weder Art. 55 DSGVO (Zuständigkeit der Aufsichtsbehörde) noch Art. 77 DSGVO (Beschwerderecht bei einer Aufsichtsbehörde) schließen eine Zuständigkeit der Datenschutzbehörde für datenschutzrechtliche Vorgänge im Rahmen der Gesetzgebung aus. Art. 77 DSGVO kann zwar keine Zuständigkeit einer Aufsichtsbehörde begründen (vgl. mutatis mutandis betreffend die örtliche Zuständigkeit Nemitz in Ehmann/Selmayr, Datenschutz-Grundverordnung2, K5 zu Art 77 und Boehm in Simitis, Hornung, Spiecker (Hrsg.), Datenschutzrecht, K 10 zu Art 77), die darin enthaltenen Regeln dienen jedoch dem effektiven Schutz der Rechte betroffener Personen im Anwendungsbereich der DSGVO. Mit dem Beschwerdeverfahren soll jeder betroffenen Person die Möglichkeit gewährt werden, sich gegen Verletzungen ihrer Rechte aus der Verordnung zur Wehr zu setzen. Es handelt sich dabei um mehr als ein Petitionsrecht, nämlich um einen echten Rechtsbehelf (vgl. wieder Nemitz in Ehmann/Selmayr, Datenschutz-Grundverordnung2, K1f zu Art 77). Art. 77 bedarf keiner Umsetzung in das nationale Recht, und das darin normierte Beschwerderecht ist nicht an formelle oder inhaltliche Vorgaben, zB des § 24 Abs 2 - 6 DSG, geknüpft (vgl. Schweiger in Knyrim, DatKomm Art 77 DSGVO, K8 (Stand 1.12.2018, rdb.at)).
Auch das DSG kennt keine Bestimmung, nach der eine Kontrolle der Datenschutzbehörde über die datenschutzrechtlich relevanten Vorgänge bei Untersuchungsausschüssen ausgeschlossen sein könnte, so geht vergleichbares weder aus § 4 Abs. 1, noch aus § 18 Abs. 1 betreffend die Einrichtung der Datenschutzbehörde als Aufsichtsbehörde nach Art. 51 DSGVO hervor. Nur § 31 Abs. 1 DSG sieht eine ausdrückliche Ausnahme von der Zuständigkeit der Datenschutzbehörde für die Gerichte im Rahmen ihrer justiziellen Tätigkeit vor, wobei diese Bestimmung die Einrichtung der Aufsichtsbehörde nach der Richtlinie (EU) 2016/680 – „Polizei-RL“ – regelt. Der österreichische Verfassungsgesetzgeber entschied sich dafür, die Gerichte in solchen Fällen selbst zur Entscheidung zuständig zu machen (vgl. dazu wie bereits oben angesprochen Art. 130 Abs. 2a B-VG, aber auch §§ 84f GOG).
Fehlen einer ausdrücklichen Rechtsgrundlage
Ob eine Kontrollbefugnis ausgeschlossen ist oder nicht, kann sich in einem Rechtsstaat jedoch nur aus dem positiven Recht ergeben, wie etwa im Falle des früheren generellen Verbots wechselseitiger Instanzenzüge zwischen Gerichtsbarkeit und Verwaltung, das im Trennungsgebot des Art. 94 B-VG seinen Ausdruck fand, mittlerweile aber durch die Schaffung des heutigen Art. 94 Abs. 2 B-VG relativiert wurde (vgl. Art. 94 Abs. 2 B-VG in der aktuellen Fassung: „Durch Bundes- oder Landesgesetz kann in einzelnen Angelegenheiten anstelle der Erhebung einer Beschwerde beim Verwaltungsgericht ein Instanzenzug von der Verwaltungsbehörde an die ordentlichen Gerichte vorgesehen werden.“).
Eine explizite Vorschrift des positiven Rechts, aus der sich die Unzuständigkeit der Datenschutzbehörde ergeben würde, führt diese im angefochtenen Bescheid nicht ins Treffen. Bestimmungen, wie die früheren § 31 Abs. 2 und § 5 Abs. 4 DSG 2000 idF BGBl I 83/2013, die von der Zuständigkeit der Datenschutzbehörde nicht nur die Akte im Dienste der Gerichtsbarkeit, sondern ausdrücklich auch jene der Gesetzgebung ausgenommen haben, stehen nicht mehr in Geltung; eine vergleichbare Regelung wurde im aktuell anwendbaren DSG gerade nicht geschaffen.
Zur Bedeutung des (aktuellen) § 35 Abs. 2 DSG: Auch aus dem Erkenntnis VfSlg 15.130/1998 und den Verfassungsbestimmungen des früheren § 36 Abs. 1 DSG und des heutigen § 35 Abs. 2 DSG ist für den Standpunkt der Datenschutzbehörde nichts zu gewinnen. Der VfGH hat in der genannten Entscheidung ausgesprochen, dass die Gebarungsüberprüfung durch den Rechnungshof der Kontrollbefugnis der Datenschutzkommission gemäß § 36 Abs. 1 DSG nicht unterliege. Mit der Verfassungsvorschrift des [früheren] § 36 Abs. 1 DSG sollte allein eine verfassungsrechtlich einwandfreie Rechtsgrundlage für die Kontrollbefugnis der Datenschutzkommission auch gegenüber den obersten Organen der Verwaltung geschaffen werden. Es gebe aber keine Anhaltspunkte dafür, dass der Verfassungsgesetzgeber mit dieser Neuregelung auch die im Fünften Hauptstück des B-VG geregelte Gebarungsüberprüfung durch den Rechnungshof der Kontrollbefugnis der Datenschutzkommission unterwerfen wollte. Dass diese Abgrenzung anders als hinsichtlich der Gerichtsbarkeit im Wortlaut des § 36 Abs. 1 DSG nicht zum Ausdruck gekommen sei, führte der VfGH auf den „Antwortcharakter“ der Vorschrift zurück.
Wenn nun die Datenschutzbehörde auf die Verfassungsbestimmung des [aktuellen] § 35 Abs. 2 DSG, mit dem ihr die Zuständigkeit verliehen wird, ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art. 30 Abs. 3 - 6, 125, 134 Abs. 8 und 148h Abs. 1 und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten auszuüben, verweist, die gemäß den ErlRV (1613 BlgNR 20. GP 51) und den ErlAB (99 BlgNR 26.GP ) eine entsprechende „Antwort“ auf die Entscheidung des VfGH zu – soweit hier relevant – VfSlg. 13.626/1993 darstelle, so ist ihr entgegenzuhalten, dass dieser Umstand ebenso wie die Aussagen des VfGH in VfSlg 15.130/1998 im Lichte der heute neu anzuwendenden Rechtsgrundlagen der DSGVO und des aktuellen DSG die Ablehnung einer Kontrollbefugnis der Datenschutzbehörde für datenschutzrechtliche Vorgänge im Zuge der Gesetzgebung nicht zu tragen vermögen.
Der von der Datenschutzbehörde aus der Verfassungsbestimmung des § 35 Abs. 2 DSG gezogene Umkehrschluss, dass deshalb, weil Untersuchungsausschüsse in diesem nicht genannt werden, eine entsprechende Zuständigkeit der Behörde nicht gegeben sei, überzeugt schließlich angesichts des Anwendungsvorrangs des Unionsrechts nicht.
Zur Ausnahme des Art. 55 Abs. 3 DSGVO: Die Sonderregel des Art. 55 Abs. 3 DSGVO stellt offenkundig eine Ausnahme dar, die auf den Bereich der justiziellen Tätigkeit der Gerichte beschränkt und einer Verallgemeinerung nicht zugänglich ist, sodass von einer uneingeschränkten Zuständigkeit der Datenschutz-Aufsichtsbehörden für alle anderen Einrichtungen, die mit Unabhängigkeit ausgestattet sind, also zB auch nationale Zentralbanken oder nationale Rechnungshöfe, auszugehen ist (vgl. Selmayr in Ehmann/Selmayr, Datenschutz-Grundverordnung2, K15 zu Art 55). In weiterer Folge muss dann denkrichtig deren Zuständigkeit auch in Ansehung von parlamentarischen Untersuchungsausschüssen zu bejahen sein.
Darauf deutet schließlich auch ErwG 128 der DSGVO hin, wonach die Vorschriften über die federführende Behörde und das Kohärenzverfahren keine Anwendung finden sollen, wenn die Verarbeitung durch Behörden oder private Stellen im öffentlichen Interesse erfolgt. In diesen Fällen soll die Aufsichtsbehörde des Mitgliedstaates, in dem die Behörde oder private Stelle ihren Sitz hat, zuständig sein, die Befugnisse auszuüben, die ihr in der Verordnung übertragen werden.
Das Fehlen einer einfachgesetzlichen ausdrücklichen Kontrollbefugnis der Datenschutzbehörde
Dass es keine explizite Vorschrift gibt, wonach die Datenschutzbehörde für die Prüfung datenschutzrechtlicher Verarbeitungen im Kontext von Untersuchungsausschüssen zuständig gemacht wurde, mag auch daran liegen, dass nach der ErlAB (99 BlgNR 26.GP ) für den Bereich der Gesetzgebung die Einrichtung einer Aufsichtsbehörde im Sinne der DSGVO nicht erforderlich schien, da – nach den dort ausgeführten Überlegungen - weder die DSGVO noch das DSG auf diesen Bereich Anwendung finden würden (vgl. AB 98 BlgNR 26. GP 5) (vgl. Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 4, K 8 (Stand 12.6.2018, rdb.at)). Dass diesen Überlegungen nicht gefolgt werden kann, wurde oben unter 3.1. bereits dargestellt: so enthalten weder die DSGVO noch das DSG Hinweise darauf, dass eine Anwendbarkeit der materiellen Rechtsgrundlagen auf datenschutzrechtlich relevante Vorgänge im Rahmen der Gesetzgebung ausgeschlossen sein soll. Ergänzend dazu kann schließlich darauf hingewiesen werden, dass sich die europäische Rechtslage im Übrigen insofern auch nicht von derjenigen vor der Erlassung der DSGVO unterscheidet, auf deren Boden bereits in der Lehre aus unionsrechtlichen Gründen die Zuständigkeit der Datenschutzbehörde zur Kontrolle von Akten bejaht wurde, die der Staatsfunktion Gesetzgebung zuzurechnen sind (vgl. Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung, 2014, 557 mwN).
Zusammenfassung
Damit steht dem alleinigen Argument der Trennung der Staatsgewalten im österreichischen Verfassungsrecht gegenüber, dass weder die DSGVO noch das DSG eine Ausnahme der Zuständigkeit der Datenschutzbehörde für die Kontrolle der datenschutzrechtlichen Konformität der Verarbeitung von personenbezogenen Daten im Bereich der Gesetzgebung kennt, wie sie jedoch für die Gerichte im Rahmen ihrer justiziellen Tätigkeit im Normtext ausdrücklich vorgesehen ist. Auf eine vergleichbare Verbotsregelung weist weder die Datenschutzbehörde im angefochtenen Bescheid hin, noch konnte der erkennende Senat eine solche ausmachen. Insoferne in der Kommentierung begründend auf Rechtsprechung des Verfassungsgerichtshofs verwiesen wurde, so auf VfSlg. 15.130/1998, wurde darin der „Antwortcharakter“ des [früheren] § 36 Abs. 1 DSG herausgestellt, woraus nur eine eingeschränkte Übertragbarkeit der darin getätigten Aussagen auf einen Sachverhalt auf Basis einer neuen einfachgesetzlichen und unionsrechtlichen Rechtsgrundlage erkennbar ist. Schließlich darf nicht darauf vergessen werden, dass die DSGVO in ihrem Art. 77 einen effektiven Rechtsschutz im Anwendungsbereich der Verordnung vorsehen wollte, womit jeder betroffenen Person ermöglicht werden soll, sich gegen Verletzungen ihrer Rechte, die ihr in der Verordnung zugestanden werden, zur Wehr zu setzen.
Der gegenständlich in Beschwerde gezogene Sachverhalt, nämlich die Veröffentlichung des vollständigen Namens des Beschwerdeführers, der als verdeckter Ermittler in einem Untersuchungsausschuss als Zeuge geladen war, ist prima facie geeignet datenschutzrechtliche Problemstellungen aufzuwerfen (vgl. zum Begriff der personenbezogenen Daten und der Verarbeitung Art. 4 Z 1 und 2 DSGVO und § 4 Abs. 1 DSG, sowie zu den Verarbeitungsgrundsätzen Art. 5 Abs. 1 lit c und e DSGVO und zum Recht auf Geheimhaltung § 1 DSG), womit die Anwendungsbereiche der DSGVO und des DSG im Grundsatz eröffnet sind.
Im Ergebnis konnte der Datenschutzbehörde betreffend ihre Einschätzung einer fehlenden Zuständigkeit im anhängigen Beschwerdeverfahren nicht gefolgt werden, und ist daher der angefochtene Bescheid, mit dem die Beschwerde zurückgewiesen wurde, zu beheben. Zu den Rechtsfolgen der Behebung werden die Parteien auf § 28 Abs. 5 VwGVG verwiesen.
4. Da im Verfahren ausschließlich Rechtsfragen zu klären waren, konnte gemäß § 24 Abs. 4 VwGVG auf die Durchführung einer – nicht beantragten – mündlichen Verhandlung verzichtet werden (VwGH, 19.09.2017, Ra 2017/01/0276).
Zu B) Zulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil es an Rechtsprechung des Verwaltungsgerichtshofs zur Frage der Anwendbarkeit der DSGVO und des DSG auf Sachverhalte im Rahmen der Gesetzgebung und der Kontrollbefugnis der Datenschutzbehörde betreffend gesetzgeberisches Handeln ieS oder sonstiger funktionell der Gesetzgebung zuzurechnender Tätigkeiten fehlt.
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)