Normen
B-VG Art140 Abs1 Z1 lita
DSG §9 Abs1
DS-GVO Art85
AEUV Art267
VfGG §7 Abs1
European Case Law Identifier: ECLI:AT:VFGH:2022:G200.2022
Spruch:
Die Anträge werden zurückgewiesen.
Begründung
Begründung
I. Anträge
Mit den vorliegenden, auf Art140 Abs1 Z1 lita B‑VG gestützten Anträgen begehrt das antragstellende Gericht, der Verfassungsgerichtshof wolle
"folgende Teile des Art2 §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, in der Fassung der Novelle BGBl I Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018) als verfassungswidrig aufheben:
die Wortfolge 'die Bestimmungen dieses Bundesgesetzes sowie'
in eventu
die Wortfolgen 'die Bestimmungen dieses Bundesgesetzes sowie', 'VI (Unabhängige Aufsichtsbehörden),' und 'und IX (Vorschriften für besondere Verarbeitungssituationen)'
in eventu
die Wortfolgen 'die Bestimmungen dieses Bundesgesetzes sowie', 'II (Grundsätze),', 'VI (Unabhängige Aufsichtsbehörden),' und 'und IX (Vorschriften für besondere Verarbeitungssituationen)'".
II. Rechtslage
1. §9 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 24/2018 lautet:
"Freiheit der Meinungsäußerung und Informationsfreiheit
§9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.
(2) Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen §6 (Datengeheimnis) anzuwenden."
2. Art85 der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge: DSGVO), ABl 2016 L 119, 1, lautet:
"Artikel 85
Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit."
III. Sachverhalt, Antragsvorbringen und Vorverfahren
1. Dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:
1.1. In seiner an die Datenschutzbehörde gerichteten Beschwerde vom 29. November 2019 machte der Beschwerdeführer eine Verletzung seines Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Er brachte zusammengefasst vor, die Beschwerdegegnerin, ein Medienunternehmen, habe auf ihrer Homepage einen Beitrag sowie Bildaufnahmen einer Hausdurchsuchung veröffentlicht. Auf einem der veröffentlichten Bilder sei die Visitenkarte des Beschwerdeführers (ungeschwärzt) abgebildet gewesen. Sein Name sowie sein Arbeitgeber seien erkennbar gewesen. Das Medienprivileg des §9 DSG sei auf den vorliegenden Fall nicht anwendbar. Selbst wenn man von der Anwendbarkeit des §9 DSG ausgehe, komme man bei einer unionsrechtskonformen Interpretation zu dem Ergebnis, dass die vorliegende Datenverarbeitung nicht erforderlich gewesen sei.
1.2. Die Beschwerdegegnerin im Verfahren vor der Datenschutzbehörde erstattete eine Stellungnahme, in der sie vorbrachte, ein Medienunternehmen gemäß §1 Abs1 Z6 MedienG zu sein. Die Veröffentlichung der Bilder sei zu journalistischen Zwecken erfolgt; die Bilder seien später geschwärzt worden. Da die in Beschwerde gezogene Veröffentlichung unter das Medienprivileg gemäß §9 Abs1 DSG falle, sei die Datenschutzbehörde im vorliegenden Fall unzuständig.
1.3. Mit Bescheid vom 23. Juli 2020 wies die Datenschutzbehörde die Beschwerde zurück und begründete dies zusammengefasst damit, dass es sich bei der Beschwerdegegnerin um ein Medienunternehmen handle, das als Medieninhaberin für den Inhalt der Berichterstattung verantwortlich sei. Die Daten des Beschwerdeführers seien im Rahmen journalistischer Artikel bzw journalistischer Berichterstattung verarbeitet und in weiterer Folge veröffentlicht worden. Auf Grund der Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei die belangte Behörde zur Behandlung der Beschwerde unzuständig.
1.4. Gegen diesen Bescheid erhob der Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht. Er führte darin insbesondere aus, §9 DSG sei verfassungs- und unionsrechtswidrig.
2. Dem beim Verfassungsgerichtshof zur Zahl G229/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:
2.1. In ihrer an die Datenschutzbehörde gerichteten Beschwerde vom 26. November 2021 machten die beschwerdeführenden Parteien (ua) eine Verletzung ihres Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Sie brachten zusammengefasst vor, eine Verlagsgesellschaft und ein Rundfunkunternehmen hätten über ein "Datenleck" bei einem der zweitbeschwerdeführenden Partei zuzurechnenden E‑Mail-Postfach, das in der Verfügungsmacht der erstbeschwerdeführenden Partei stehe, berichtet. Die genannten Medienunternehmen hätten näher bezeichnete Umstände rechtswidrig offengelegt. Die Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei verfassungswidrig.
2.2. Mit Bescheid vom 10. Dezember 2021 wies die Datenschutzbehörde die Beschwerde der beschwerdeführenden Parteien unter Verweis auf das Medienprivileg des §9 Abs1 DSG zurück.
2.3. Gegen diesen Bescheid erhoben die beschwerdeführenden Parteien fristgerecht Beschwerde an das Bundesverwaltungsgericht und regten einen Antrag gemäß Art140 Abs1 Z1 lita B‑VG an den Verfassungsgerichtshof sowie die Einholung einer Vorabentscheidung des Gerichtshofes der Europäischen Union gemäß Art267 AEUV an.
3. Aus Anlass der Behandlung dieser Beschwerden sind beim Bundesverwaltungsgericht Bedenken ob der Verfassungskonformität der angefochtenen Wortfolgen in §9 Abs1 DSG entstanden, die es zur Antragstellung an den Verfassungsgerichtshof veranlasst haben. Das antragstellende Gericht legt seine diesbezüglichen Bedenken in dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren wie folgt dar (ohne die im Original enthaltenen Hervorhebungen):
"III. Verfassungsrechtliche Bedenken:
1. Im vorliegenden Fall wies die Datenschutzbehörde mit dem angefochtenen Bescheid die Datenschutzbeschwerde des Beschwerdeführers wegen einer behaupteten Verletzung gemäß §1 DSG zurück.
2. Das Bundesverwaltungsgericht hegt gravierende Bedenken ob der Verfassungsmäßigkeit des §9 Abs1 DSG (jedenfalls hinsichtlich des angefochtenen Teils). Dazu im Einzelnen:
2.1. Im vorliegenden Beschwerdefall wird primär das Bedenken gehegt, dass eine Geltendmachung des Grundrechts auf Datenschutz des §1 DSG im Anwendungsbereich des §9 Abs1 DSG faktisch ausgehebelt wird, da aufgrund des in §9 Abs1 DSG normierten Ausschlusses der Bestimmungen des DSG – und damit auch der Unanwendbarkeit des §24 Abs1 DSG – (sowie des gesamten Kapitel[s] VI der DSGVO) einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung steht, um eine Verletzung des Grundrechts geltend zu machen.
Zu §9 Abs1 DSG wird in der wissenschaftlichen Literatur Folgendes ausgeführt:
Gemäß der Formulierung des §9 Abs1 DSG gilt insofern eine 'Totalausnahme von den Bestimmungen des DSG' (Zöchbauer, MR 2018, 102 [103]; vgl auch Kunnert in Bresich et al (Hrsg), DSG Kommentar (2018) §9 DSG Rz 10). '§9 Abs1 DSG sieht im ersten Satz vor, dass unter den dort näher definierten Voraussetzungen 'die Bestimmungen dieses Bundesgesetzes' keine Anwendung finden. Damit wird – im Unterschied zur Vorgängerbestimmung des §48 DSG 2000 – auch die Anwendbarkeit des im Rang eines Verfassungsgesetzes stehenden Grundrechts auf Datenschutz gemäß §1 DSG ausgeschlossen. [...]' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 42).
Nach Jahnel kommt eine verfassungskonforme Interpretation von §9 Abs1 DSG 'angesichts des klaren Wortlautes ('finden die Bestimmungen dieses Bundesgesetzes [...] keine Anwendung') [...] nicht in Betracht.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 44).
'Wie alle Grundrechte gilt auch das Grundrecht auf Datenschutz nicht uneingeschränkt. Eine Beschränkung dieses Grundrechts ist aber nur bei Vorliegen einer der in §1 Abs2 DSG vorgesehenen Gründe zulässig. Da die Zustimmung und lebenswichtige Interessen im Zusammenhang mit dem Medienprivileg nicht in Betracht kommen, ist für die Verfassungskonformität eines Eingriffs in das Grundrecht auf Datenschutz durch eine gesetzliche Bestimmung jedenfalls eine Interessenabwägung erforderlich. Sowohl in §9 Abs1 [...] erfolgt hingegen ein genereller Ausschluss des Grundrechts auf Datenschutz, sofern die sonstigen Voraussetzungen einer Privilegierung vorliegen.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 43).
'§9 Abs1 nimmt als Eingriffsnorm Verarbeitungen zu journalistischen Zwecken von Medienunternehmen oder Mediendiensten iS einer Pauschalausnahme nahezu gänzlich vom datenschutzrechtlichen Regelungsregime aus. Insbesondere werden den durch die genannten Verarbeitungssituationen betroffenen Personen die in Kapitel III DSGVO verankerten Betroffenenrechte gem. §9 Abs1 DSG vollumfänglich entzogen. Dieser pauschale Entzug der Betroffenenrechte ist vor dem Hintergrund des materiellen Gesetzesvorbehaltes gem. §1 Abs2 DSG als unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu qualifizieren. Der Entzug der Betroffenenrechte dürfte iS des Verhältnismäßigkeitsprinzips vielmehr lediglich aufgrund einer wertenden Abwägung zwischen den (öffentlichen) Interessen der journalistischen Tätigkeit und dem Grundrecht auf Datenschutz des Betroffenen erfolgen. Die Pauschalausnahme des §9 Abs1 DSG privilegiert journalistische Tätigkeiten von Medienunternehmen oder Mediendiensten jedoch a priori in Negation jeglicher Betroffenenrechte und greift damit in unverhältnismäßiger und folglich verfassungswidriger Weise in §1 DSG ein.' (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [312 f]).
In diesem Zusammenhang wird festgehalten, dass nach Ansicht des Bundesverwaltungsgerichts die einfachgesetzliche Bestimmung des §9 DSG jedenfalls nicht das in Verfassungsrang stehende Grundrecht auf Datenschutz im Rahmen des Medienprivilegs aushebeln kann. Selbst wenn man eine Interpretation dahingehend vornehmen könnte, dass die in §9 genannte Ausnahme des DSG nur dessen einfachgesetzliche Regelungen betrifft, müsste das Grundrecht in der Folge auch geltend gemacht werden können. Gerade dies ist aber nicht der Fall, da auch §24 DSG, der die Grundlage für die Feststellung von (auch in der Vergangenheit liegenden) Rechtsverletzungen, insbesondere des Grundrechts auf Geheimhaltung, darstellt, nicht anwendbar wäre.
Aus den genannten Gründen scheint die Ausnahme des gesamten DSG in Widerspruch mit dem in §1 DSG normierten Grundrecht auf Datenschutz zu stehen.
Zunächst verkennt das Bundesverwaltungsgericht nicht, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art77 DSGVO in Kapitel VIII nicht ausgeschlossen wird. Während der OGH unter Verweis auf die Gesetzesmaterialien (ErläutAB 1761 BIgNR 25. GP 15) davon ausgeht, dass Art77 kein eigenständiges Recht auf Beschwerde normiert (OGH 23.05.2019, 6 Ob 91/19d), wird von der Lehre und vom Bundesverwaltungsgericht in den unten zitierten Fällen die Meinung vertreten, dass Art77 DSGVO keiner Umsetzung in das nationale Recht bedarf (vgl Schweiger in Knyrim, DatKomm Art77 DSGVO, Rz 8 (Stand 1.12.2018, rdb.at)., siehe dazu auch BVwG 23.11.2020, W211 2227144‑1. BVwG 13. 8. 2021, W211 2222613‑1.
Doch auch bei einer unmittelbaren Anwendbarkeit des Art77 DSGVO ergibt sich folgendes Problem:
Art77 DGVO scheint von seinem Wortlaut her (lediglich) auf gegenwärtig noch andauernde Rechtsverletzungen abzustellen. Dementsprechend sieht Art58 DSGVO keine 'Feststellungsbefugnisse', sondern Untersuchungs‑, Abhilfe- und Genehmigungsbefugnisse vor.
Auch nach der Rechtsprechung des Verwaltungsgerichtshofes (VwGH 14.12.2021, Ro 2020/04/0032) räumt ausschließlich §24 DSG der in seinem persönlichen Grundrecht verletzten Person die Möglichkeit ein, die ihr gegenüber geschehene Rechtsverletzung feststellen zu lassen, eine solche Feststellungskompetenz ist nämlich in der DSGVO nicht vorgesehen. In den Fällen des §9 Abs1 DSG bestünde sohin (mangels Anwendbarkeit des §24 DSG) keine Möglichkeit, eine Rechtsverletzung (die in der Vergangenheit stattgefunden hat) festzustellen (doch gerade um eine Feststellung eines derartigen Grundrechtsverstoßes geht es im gegenständlichen Beschwerdefall), weshalb der Ausschluss der Bestimmungen des DSG insbesondere aufgrund des Gleichheitsgrundsatzes als nicht im Einklang mit verfassungsgesetzlichen Grundlagen zu stehen scheint (siehe dazu näher unten). Auch wären die Bestimmungen der §§18 bis 22 DSG (Einrichtung der Datenschutzbehörde, Unabhängigkeit, Leiter der Datenschutzbehörde und Befugnisse der Datenschutzbehörde) nach dem Wortlaut des DSG ebenfalls nicht anwendbar. Überdies schließt §9 DSG in seiner Diktion streng genommen sogar sich selbst aus, was aber offenbar vom Gesetzgeber nicht intendiert war. Hinzuweisen ist auch darauf, dass – im Widerspruch zu den weitgehenden Ausnahmen – der letzte Satz des §9 Abs1 DSG davon auszugehen scheint, dass der Datenschutzbehörde sehr wohl auch bei Beschwerden gegen Medienunternehmen und ‑inhaber Befugnisse zukommen.
Das Bundesverwaltungsgericht übersieht nicht, dass trotz des Ausschlusses der Anwendbarkeit aller DSG‑Bestimmungen wegen der unmittelbaren Anwendbarkeit von Art79 DSGVO unter ergänzender Heranziehung von §1 JN bei einer Verletzung der DSGVO eine Zuständigkeit der Zivilgerichte angenommen werden kann. Allerdings lässt sich im gegenständlichen Fall, in dem die Feststellung einer Verletzung des Grundrecht[es] auf Geheimhaltung geltend gemacht wurde, unter Heranziehung des Art79 DSGVO gar keine gerichtliche Zuständigkeit begründen, da Art79 DSGVO (wie Art77 DSGVO) lediglich auf Verletzungen der DSGVO Bezug nimmt, nicht aber auf nationale Gesetze wie das DSG (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [320]; siehe auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 51). Somit wäre der Rechtsschutz im gegenständlichen Fall gänzlich ausgeschlossen. Dieses Ergebnis scheint dem Bundesverwaltungsgericht sachlich nicht rechtfertigbar und daher im Konflikt mit dem Gleichheitsgrundsatz und dem Recht auf den gesetzlichen Richter (siehe unten) zu stehen.
Aber auch eine alleinige Zuständigkeit des Landesgerichtes (vgl §50 JN iVm §49 JN sowie OGH 23.05.2019, 6 Ob 91/19d) würde nicht der Bestimmung des Art79 Abs1 DSGVO entsprechen, wonach jede betroffene Person unbeschadet des Beschwerderechts bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden und hat der europäische Gesetzgeber damit explizit einen zweigleisigen Rechtsschutz vorgesehen. Dieser zweigleisige Rechtsschutz wurde vom OGH auch bereits wiederholt bejaht (zB 6 Ob 35/21x vom 15.04.2021 unter Verweis auf 6 Ob 131/18k und 6 Ob 91/19k). Auch diverse Erwägungsgründe, insb. ErwG 122 DSGVO, gehen von einer umfassenden Zuständigkeit der Aufsichtsbehörden aus.
Selbst wenn man von einer Gerichtszuständigkeit ausginge, wäre die Regelung des §9 DSG schon deshalb unsachlich, weil das Beschwerderecht bei der Datenschutzbehörde von Betroffenen niederschwelliger wahrgenommen werden kann, zumal die Beschwerdeeinbringung bei der Behörde – im Gegensatz zur Erhebung einer Klage beim Landesgericht – unentgeltlich ist und vor der Behörde auch keine Anwaltspflicht herrscht. Hierbei wird nicht verkannt, dass in Verwaltungsverfahren das Prinzip der Kostenselbsttragung herrscht und daher im Falle einer erfolgreichen Beschwerde auch keine Vertretungskosten erstattet werden. Im Falle einer Klage vor einem Zivilgericht ist die Pauschalgebühr durch den Kläger zu entrichten, dazu kommen die Kosten für die notwendige Vertretung durch einen Rechtsanwalt, wenngleich es im Fall des vollständigen Obsiegens auch zu einem vollständigen Ersatz der Verfahrens- und Vertretungskosten kommt (vgl Jahnel, Zum Zusammenspiel zwischen dem verwaltungsrechtlichen Weg und dem Zivilrechtsweg und die Schnittstellen zum Verfassungsrecht und zum Europarecht in: Nunner-Krautgasser/Garber/Klauser (Hrsg), Rechtsdurchsetzung im Datenschutz nach der DSGVO und dem DSG 2018 [2019]). Im zivilgerichtlichen Verfahren kann zwar Verfahrenshilfe beantragt werden (vgl §63 ff ZPO). Die Partei hat jedoch die gänzliche oder teilweise Nachzahlung der Beträge zu bewerkstelligen, soweit und sobald sie ohne Beeinträchtigung des notwendigen Unterhalts dazu imstande ist (vgl näher §71 Abs1 ZPO). Verfahrenshilfe wird auch nur für die eigenen Kosten gewährt, im Falle des Unterliegens sind jedoch die gegnerischen Kosten trotz bewilligter Verfahrenshilfe zu begleichen (vgl M. Bydlinski in Fasching/Konecny 3 II/1 Vor §§63 ff ZPO Rz 3 (Stand 1.9.2014, rdb.at). Gesamtbetrachtet sind somit die Anforderungen an den Betroffenen bei der Ausübung des Beschwerderechts bei der DSB als geringer zu betrachten.
Überdies wäre durch den Ausschluss des Kapitels II DSGVO 'Grundsätze' den Gerichten bei einer materiell-rechtlichen Entscheidung der Prüfmaßstab der Art5 ff DSGVO entzogen, sofern man diesen Ausschluss nicht bereits aufgrund der Unionrechtswidrigkeit als unanwendbar betrachtete.
Hinzuzufügen ist, dass Art85 Abs2 DSGVO den Mitgliedstaaten den Auftrag erteilt, 'Abweichungen und Ausnahmen' von bestimmten Kapiteln der DSGVO vorzusehen, wenn dies als Ergebnis einer Interessenabwägung erforderlich ist ('um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen', siehe auch ErwG 153 DSGVO), wobei diese Interessenabwägung in §9 Abs1 DSG nicht abgebildet ist (vgl Zöchbauer, Das 'Medienprivileg' des §9 Abs1 DSG idF Datenschutz-Deregulierungsgesetz 2018, MR 2018, 102). Vielmehr ist nach der (Neu‑)Fassung des §9 DSG eine Abwägung nicht (mehr) erforderlich, die wesentlichen Teile der DSGVO sowie des DSG finden demnach jedenfalls keine Anwendung auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes zu journalistischen Zwecken (Lehofer, Anpassung der Datenschutz-Anpassung – Last Minute-Begleitgesetzgebung zur DSGVO, ÖJZ 2018/55). Zur Generalausnahme von allen datenschutzrechtlichen Vorschriften, wie sie §9 Abs1 DSG enthält, siehe auch kritisch Krempelmeier, Sind die datenschutzrechtlichen Privilegien des §9 DSG unionsrechtswidrig?, jusIT 2018/68.
Zu den weiteren – einige Kapitel der DSGVO betreffenden und hier präjudiziellen – Ausnahmen ist Folgendes festzuhalten:
Kapitel VIII DSGVO kann nicht losgelöst von Kapitel VI betrachtet werden. Da die Bestimmung über die Zuständigkeit einer Aufsichtsbehörde in Art55 DSGVO ex lege gemäß §9 Abs1 DSG ausgeschlossen wäre, könnte die belangte Behörde nicht meritorisch über die Beschwerde entscheiden. Zudem können auch die Abhilfebefugnisse des Art58 Abs2 litc (den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen) von der Datenschutzbehörde nicht ausgeübt werden (vgl Schmidl, Das Medienprivileg in der Rechtsprechung der Datenschutzbehörde, jusIT 2020/20, 54 Heft 2 v. 27.4.2020). Schließlich ist zu bemerken, dass §9 Abs1 DSG auch das gesamte Kapitel IX der DSGVO ausschließt, womit auch die Bestimmung des Art85 Abs2 DSGVO ausgeschlossen wird, demgemäß für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Der Ausschluss der Anwendbarkeit des Art85 Abs2 DSGVO, also der unionsrechtlichen Grundlage für das 'Medienprivileg', hätte jedoch zur Folge, dass der Norm des §9 Abs1 DSG die (unionsrechtliche) Grundlage entzogen würde.
Das Bundesverwaltungsgericht hegt zu diesen Ausnahmen von der DSGVO die Bedenken, dass sie in dieser Pauschalität nicht mit Unionsrecht in Einklang stehen, zumal Art85 DSGVO die Ausnahmen auf deren 'Erforderlichkeit' stützt und ein Ausschließen der Beschwerdemöglichkeit an die Aufsichtsbehörde gerade nicht erforderlich ist. Ebenso scheint ein Ausschluss des (gesamten) IX. Kapitels [der] DSGVO nicht nur nicht erforderlich, sondern schlichtweg sinnentleert, da damit den Ausnahmen in §9 DSG die Rechtsgrundlage des Art85 DSGVO entzogen wäre.
Somit stellt sich im gegebenen Fall die Frage des – vom EuGH regelmäßig judizierten Anwendungsvorrangs des Unionsrechts (vgl dazu erstmals EuGH Slg 1964, 1251 (1270) COSTA‑E.N.E.L.):
Wie Blocher und Wieser ausführen, ist der unionsrechtliche Anwendungsvorrang 'jedoch nicht abstrakt, sondern stets bezüglich eines in einem konkreten Verfahren auftretenden Normkonflikts zu beurteilen. [...] Damit stellen die materiellen Bestimmungen der DSGVO (etwa die Betroffenenrechte des Kapitel[s] III DSGVO) und nicht Art85 Abs2 DSGVO den relevanten Beurteilungsrahmen dar. Aufgrund des Anwendungsvorranges haben innerstaatliche Organe nationale Rechtsvorschriften unangewendet zu lassen, die Unionsrecht widersprechen, das auf den verfahrensgegenständlichen Sachverhalt unmittelbar anzuwenden ist. [...] Fragen des Anwendungsvorranges stellen sich folglich nur insoweit, als dass sich auf ein und denselben Sachverhalt zwei divergierende Regelungen – eine des nationalen Rechts und eine des Gemeinschaftsrechts – beziehen. [...] Die Frage des Anwendungsvorranges betrifft daher nur ein konkretes datenschutzrechtliches Verfahren bezüglich einer Verarbeitung zu journalistischen Zwecken, [...], in welchem aufgrund der Pauschalausnahme gem. §9 Abs1 DSG Bestimmungen der DSGVO nicht zur Anwendung kommen, deren Anwendbarkeit die DSGVO grundsätzlich vorsieht (etwa die Rechte der betroffenen Person gem. Kapitel III DSGVO [...]). Die Öffnungsklausel des Art85 Abs2 DSGVO ermächtigt die Mitgliedstaaten nicht dazu, Bestimmungen jeglicher Art betreffend die genannten privilegierten Zwecke zu erlassen. Vielmehr ist lediglich – iS eines DSGVO-spezifischen 'Legalitätsprinzips' – eine Grundrechtsabwägung auf gesetzlicher Ebene vorzunehmen, um für die Vollziehung die Frage der Anwendbarkeit der DSGVO für Fälle von Grundrechtskollisionen zu konkretisieren.' (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [321 f]).
Die genannten Ausnahmen von der DSGVO sind in dieser Pauschalität nach Ansicht des Bundesverwaltungsgerichts gegenständlich nicht anwendbar, zumal insbesondere die Kompetenzgrundlagen der Aufsichtsbehörden nach der DSGVO herangezogen werden müssen, um einen effektiven Rechtsschutz zu ermöglichen. Somit bedürften diese in §9 DSG normierten Ausnahmen von der DSGVO keiner Anfechtung vor dem Verfassungsgerichtshof. Sollte dies vom Verfassungsgerichtshof anders gesehen werden, wird auf den ersten Eventualantrag im Spruch dieses Beschlusses verwiesen.
Sollte der zurückweisende Bescheid der Datenschutzbehörde vom Bundesverwaltungsgericht behoben werden müssen, wären in einem fortgesetzten Verfahren überdies die im Kapitel II DSGVO genannten Grundsätze relevant. Auch die in §9 DSG normierte Ausnahme dieses gesamten Kapitels ist nicht erforderlich. Soweit der Verfassungsgerichtshof diese Ausnahme für präjudiziell erachtet, wird auf den zweiten Eventualantrag verwiesen.
2.2. Der Gleichheitsgrundsatz ist im österreichischen Verfassungsrecht mehrfach, nämlich in Art2 StGG und vor allem Art7 B‑VG, verankert. Der Gleichheitsgrundsatz bindet auch den Gesetzgeber. Er setzt ihm insofern inhaltliche Schranken, als er verbietet, sachlich nicht begründbare Regelungen zu treffen (zB VfSlg 14.039/1995; 16.407/2001). Der VfGH hat betont, dass der Gleichheitssatz einen wesentlichen Bestandteil des demokratischen Prinzips bildet und daher auch dem Verfassungsgesetzgeber nicht zur beliebigen Disposition steht (VfSlg 15.373). Nach der vom VfGH entwickelten Prüfungsformel gestattet der Gleichheitssatz nur eine sachlich gerechtfertigte Differenzierung; eine solche setzt relevante Unterschiede im Tatsachenbereich (objektive Unterscheidungsmerkmale) voraus. Nach ständiger Judikatur muss der Gesetzgeber an gleiche Tatbestände gleiche Rechtsfolgen knüpfen; wesentlich ungleiche Tatbestände müssen zu entsprechend unterschiedlichen Regelungen führen (zB VfSlg 2956, 11.190, 11.641, 13.477, 14.521, 19.590; VwGH 2. 7. 1992, 90/16/0167 – verst Sen; VwGH 23. 3. 2000, 99/15/0202; vgl auch VfSlg 8806, 11.190, 15.510 – zu gesetzlichen Ausnahmebestimmungen). Die Sachlichkeitsprüfung von Gesetzen zielt auf eine Bewertung der Relation des von einer Regelung erfassten Sachverhaltes zu der vorgesehenen Rechtsfolge. Liegen differenzierende Regelungen vor, so ist ein Normenvergleich durchzuführen; es ist zu fragen, ob die jeweils erfassten Sachverhalte so unterschiedlich sind, dass sie die unterschiedlichen Rechtsfolgen zu 'tragen' vermögen (VfSlg 16.635, 17.309). Jede Sachlichkeitsprüfung von Gesetzen hat zunächst eine derartige Prüfung der Relation von Sachverhalt und Rechtsfolge vorzunehmen. Sie kann zum Ergebnis führen, dass diese Relation schon an sich auf keinem 'vernünftigen' Grund beruht; in diesem Fall ist das Gesetz als gleichheitswidrig anzusehen (zB VfSlg 13.975) [Muzak, B‑VG[6] Art2 StGG (Stand 1.10.2020, rdb.at]. Im vorliegenden Fall sind keine sachlichen Gründe ersichtlich, in Anwendungsfällen des §9 Abs1 DSG im Vergleich zu Fällen, in denen dieser nicht zum Tragen kommt, das Grundrecht auf Geheimhaltung gar nicht geltend machen zu können. Wenn man von der Nichtanwendung der Ausnahme des Kapitels VI DSGVO ausgeht, wäre aber ohne die Bestimmung des §24 DSG der DSB eine Feststellung eines in der Vergangenheit liegenden Grundrechtseingriffs verwehrt. Selbst wenn man von einer (alleinigen) Zuständigkeit der Zivilgerichte ausginge, würde es für die betroffenen Personen eine Ungleichbehandlung darstellen, nicht (auch) eine behördliche Zuständigkeit vorzusehen, die – wie oben ausgeführt – ihnen niederschwelliger zur Verfügung steht. Der Gleichheitsgrundsatz scheint im vorliegenden Fall verletzt zu werden, da er Gleiches ungleich behandelt (vgl VfSlg 5737 ua).
2.3. Art83 Abs2 B‑VG normiert das Recht auf ein Verfahren vor dem gesetzlichen Richter. Unter dem 'gesetzlichen Richter' ist jede staatliche Behörde zu verstehen (VfSlg 1443, 2048); daraus folgt ein verfassungsgesetzlich gewährleistetes Recht auf den Schutz und die Wahrung der gesetzlich begründeten Behördenzuständigkeit schlechthin (VfSlg 2536, 12.111). Im Bereich der Verwaltung bezieht sich das Recht auf ein Verfahren vor dem gesetzlichen Richter auf die zuständige Behörde als solche. Es ist ständige Judikatur, dass Art83 Abs2 B‑VG auch den Gesetzgeber bindet (VfSlg 6675; anders noch VfSlg 2470); der Gesetzgeber muss die Behördenzuständigkeit nach objektiven Kriterien (VfSlg 3156, 8349), exakt (VfSlg 9937, 10.311; VwGH 5. 9. 2008, 2007/12/0078), klar und eindeutig (VfSlg 11.288) festlegen (VfSlg 10.311, 12.788; VwGH 7. 7. 2011, 2009/15/0223) [Muzak, B‑VG6 Art83 (Stand 1.10.2020, rdb.at)].
Wären die in §9 Abs1 DSG genannten Ausnahmen von der DSGVO nicht als unanwendbar anzusehen, wäre der DSB generell jegliche meritorische Entscheidung über eine Beschwerde, die eine Verarbeitung im Rahmen des 'Medienprivilegs' betrifft, verwehrt.
Außerdem ist zu berücksichtigen, dass im Anwendungsbereich des §9 DSG für eine Verletzung des §1 DSG gar keine Zuständigkeit einer Behörde oder eines Gerichts besteht, da Art77 DSGVO (nur) das Recht auf Beschwerde bei einer Aufsichtsbehörde normiert, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten 'gegen diese Verordnung' – eben die DSGVO – verstößt. Eine vermeintliche Verletzung des innerstaatlichen §1 DSG kann aber auch nicht über Art77 oder Art79 DSGVO geltend gemacht werden […].
Wie oben aufgezeigt, kommt im Anwendungsfall des §9 Abs1 DSG der Datenschutzbehörde (zumindest für den Fall einer Beschwerde wegen Verletzung des Grundrechts auf Datenschutz) keine meritorische Entscheidungsbefugnis zu und ist diese Regelung – aus den genannten Gründen – unsachlich. Demnach wäre auch keine Behördenzuständigkeit nach objektiven Kriterien vorgesehen, weshalb im vorliegenden Fall auch ein Konflikt mit dem Recht auf den gesetzlichen Richter gemäß Art83 Abs2 B‑VG und überdies mit Art6 EMRK besteht.
2.4. Auch Art8 GRC garantiert der betroffenen Person den Schutz der sie betreffenden personenbezogenen Daten und sieht vor, dass die Einhaltung dieser Vorschriften von einer unabhängigen Stelle überwacht wird. Die Einhaltung der in Art8 Abs1 und 2 normierten Garantien – in Übereinstimmung mit Art16 Abs2 Satz 2 AEUV und Art39 letzter Satz EUV – ist durch eine unabhängige Stelle zu überwachen. Der damit zugleich bewirkte verfahrensrechtliche Schutz präzisiert die Rechtswegegarantien des Art47 GRC für den Bereich des Datenschutzes. Die Art51 f DSGVO regeln (in rechtsvereinheitlichender Weise) die Unabhängigkeit der Aufsichtsbehörden auf Ebene der Mitgliedstaaten in umfassender Weise und in Entsprechung der dieses Postulat konkretisierenden Judikatur des EuGH, welche insb. in expliziter Kongruenz zu Art8 Abs3 GRC ergangenen ist. 'Unabhängige Stelle' sind sowohl der Europäische Datenschutzbeauftragte (gem. Art41 ff VO [EU] 2001/45), die behördlichen (gemeinschaftlichen) Datenschutzbeauftragten (Art24 leg. cit.) sowie (v.a.) auch die Aufsichtsbehörden in den Mitgliedstaaten (Art51 f DSGVO; vormals Kontrollstellen gem. Art28 DSRL). Nach Ansicht des EuGH gilt die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten (wie selbstredend auch in der Union selbst) als ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten (EuGH 9.3.2010, C‑518/07 , Kommission/Deutschland Rz 23; EuGH 16.10.2012, C‑14/10 , Kommission/Österreich Rz 37; EuGH 8.4.2014, C‑88/12 , Kommission/Ungarn Rz 48; ua (vgl ebenso ErwGr 62 DRSL sowie ErwGr 117 DSGVO).
Die Tatsache, dass dies nicht nur sekundärrechtlich (Art51 Abs1 und Art52 DSGVO), sondern auch durch Art8 Abs1 GRC (sowie Art16 Abs1 AEUV) explizit geschützt wird, spricht dafür, in Art8 Abs3 GRC eine Art Institutionsgarantie zu sehen. Bekräftigt wird dieser Schluss auch durch die genannten Regelungen des Sekundärrechts, welche einen gesetzlichen Auftrag zur Einrichtung statuieren. Ein Recht des Betroffenen, sich mit einer Eingabe an die nationalen Kontrollstellen zu richten, hat mit dieser Begründung zuletzt auch der EuGH ausgesprochen (EuGH 21. 12. 2016, verb Rs C‑203/15 und C‑698/15 , Tele2 Sverige AB ua Rz 123; zuvor bereits EuGH 6. 10. 2015, C‑362/14 , Schrems Rz 58 unter Hinweis auf die Entscheidung Digital Rights Ireland und Seitlinger ua).
Ebenso steht dem Betroffenen gemäß Art47 GRC das Recht offen, gegen eine abweisende Entscheidung der Kontrollstelle betreffend den Schutz seiner personenbezogenen Daten Rechtsmittel bei den nationalen Gerichten einzulegen. Der Kontrollstelle selbst steht in diesem Zusammenhang ua auch durch Art8 Abs3 GRC – wenn sie eine Beschwerde einer Person, die sich mit einer Eingabe an sie gewendet hat, für zutreffend hält – ein Rechtsbehelf vor den (nationalen) Stellen/Gerichten zu. Daneben kommen der Kontrollstelle/Aufsichtsbehörde weitere Untersuchungs- und Eingriffsbefugnisse iSd in Art58 DSGVO vorgenommenen umfassenden Auflistung zu, damit sie ihre Aufgabe als 'Hüterin der Grundrechte' wirksam ausüben kann (Riesz in Holoubek/Lienbacher, GRC‑Kommentar2 Art8 (Stand 1.4.2019, rdb.at).
Schon dies zeigt, dass die bloße Möglichkeit der direkten Geltendmachung einer Datenschutzverletzung bei den Gerichten (die aber im gegenständlichen Fall auch nicht gegeben ist) die Institution einer Aufsichtsbehörde und einen Rechtsschutz durch diese Behörde nicht ersetzen kann, sondern nur als Alternative zu sehen ist, wobei, wie oben ausgeführt wurde, im gegenständlichen Fall das Grundrecht auf Geheimhaltung nicht über Art79 DSGVO geltend gemacht werden kann.
In der Entscheidung des VfGH VfSlg 19.632/2012 wurde bereits festgestellt, dass aufgrund des Äquivalenzgrundsatzes auch die von der GRC garantierten Rechte vor dem VfGH als verfassungsgesetzlich gewährleistete Rechte gemäß Art144 B‑VG geltend gemacht werden können und sie im Anwendungsbereich der GRC einen Prüfungsmaßstab in Verfahren der generellen Normenkontrolle, vor allem gemäß Art139 und Art140 B‑VG, bilden. Dies gelte dann, wenn die betreffende Garantie der GRC in ihrer Formulierung und Bestimmtheit verfassungsgesetzlich gewährleisteten Rechten gleiche. Die Eingriffsziele des Art52 Abs1 GRC, in concreto 'von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen', erlauben weitergehende Eingriffe in Art8 GRC als jene, die in Art8 Abs2 EMRK taxativ genannt sind (auf welche §1 Abs2 DSG hinsichtlich staatlicher Eingriffe explizit rekurriert), wobei auch diese Divergenz in Anbetracht der gleichen Schrankenprüfung (Verhältnismäßigkeit) praktisch zu keinen wesentlichen Unterschieden bei der Zulässigkeit von Eingriffen führen wird. In Anbetracht dieser Überlegungen wird davon ausgegangen, dass Art8 GRC 'keinen über die Verfassungsbestimmung des §1 DSG hinausgehenden Schutzgehalt hat', wobei die Anwendungsbereiche der beiden Grundrechtsbestimmungen aber dennoch nicht (ganz) deckungsgleich sind. In Anbetracht der trotz vorhandene[r] Unterschiede, im Gesamtzusammenhang aber dennoch vorliegenden Vergleichbarkeit zwischen §1 DSG und Art8 GRC kann diese Bestimmung jedenfalls als Grundrecht vor dem VfGH geltend gemacht werden (Riesz in Holoubek/Lienbacher, GRC‑Kommentar2 Art8 (Stand 1.4.2019, rdb.at)).
Ebenso hat der EGMR die Schutzbedürftigkeit personenbezogener Daten anerkannt, indem er die Verarbeitung, Übermittlung und Aufbewahrung entsprechender Daten regelmäßig als Eingriff in die durch Art8 Abs1 EMRK geschützte Privatsphäre (insb. in das allgemeine Persönlichkeitsrecht) qualifiziert hat. Art8 GRC knüpft an die bestehenden umfassenden Schutzgarantien des Art8 Abs1 EMRK an und schreibt den Aspekt des Schutzes personenbezogener Daten in einem eigenständigen Grundrecht fest. Mittelbar vollzieht sich eine Inkorporierung im Bereich des Datenschutzes allerdings durch die explizite Bezugnahme auf Art8 EMRK in den Erläuterungen von Art8 GRC, welche gemäß Art52 Abs7 GRC iVm Art6 Abs1 Unterabsatz 3 EUV bei der Auslegung zu beachten sind, woraus die enge – auch primärrechtlich unterstrichene – Verknüpfung beider Systeme ersichtlich ist. Diese wird auch durch die Anlehnung der Rsp des EuGH an die Rsp des EGMR bestätigt (siehe abermals Riesz in Holoubek/Lienbacher, GRC-Kommentar2 Art8 (Stand 1.4.2019, rdb.at).
Sohin stellt Art8 EMRK ebenfalls einen Prüfungsmaßstab dar und die angefochtenen Teile des §9 Abs1 DSG stehen – aus den oben angeführten Gründen – in Konflikt mit der Bestimmung des Art8 EMRK.
3. Eine verfassungskonforme Interpretation der angefochtenen Bestimmung kam im vorliegenden Fall jedenfalls hinsichtlich der Ausnahme der einfachgesetzlichen Regelungen des DSG nicht in Betracht, da diese – wie auch jede andere Auslegungsmethode – ihre Grenze im eindeutigen Wortlaut des Gesetzes findet (VwGH 13. März 2009, 2005/12/0240, mwN; 29.06.2011, 2009/12/0141). Eine rechtswidrige Norm ist nicht unbeachtlich, sondern vielmehr so lange anzuwenden, bis sie im hiefür vorgesehenen Verfahren vom VfGH geprüft und aufgehoben wird (vgl VfGH 11.10.1955, V15/55).
IV. Zu den Eventualanträgen:
Sofern der Antrag, um den Verfassungsgerichtshof im Falle des Zutreffens der Bedenken in die Lage zu versetzen, darüber zu befinden, auf welche Weise die Verfassungswidrigkeit beseitigt werden könne, als zu eng angesehen werden sollte, wird in eventu beantragt, auch die Wortfolgen 'VI (Unabhängige Aufsichtsbehörden),' und 'und IX (Vorschriften für besondere Verarbeitungssituationen)' in Art2 §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, in der Fassung der Novelle BGBl 1 Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018) aufzuheben.
Soweit auch dieser Antrag nach Ansicht des Verfassungsgerichtshofes zu eng gefasst sein sollte, wird beantragt, darüber hinaus auch die Wortfolge 'II (Grundsätze),' in Art2 §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBI I Nr 165/1999, in der Fassung der Novelle BGBI I Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018) aufzuheben, zumal es im fortgesetzten Verfahren für die Beurteilung einer Grundrechtsverletzung des §1 DSG auch erforderlich sein kann, die in Kapitel II genannten Grundsätze der DSGVO, insbesondere Art5 und 6 DSGVO, heranzuziehen.
V. Schlussfolgerung
Daher hat das Bundesverwaltungsgericht beschlossen, den im Spruch angeführten Antrag an den Verfassungsgerichtshof zu stellen."
4. Die Bundesregierung teilte dem Verfassungsgerichtshof in dem zur Zahl G200/2022 protokollierten Verfahren mit Schriftsatz vom 27. Juli 2022 mit, von einer Äußerung abzusehen.
5. Die Datenschutzbehörde erstattete in dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren eine Stellungnahme, in der sie – neben einer Auseinandersetzung mit den inhaltlichen Bedenken – die Zulässigkeit des Antrages wie folgt bestreitet (ohne die im Original enthaltenen Hervorhebungen):
"I. Äußerung zum Gegenstand
1. Allgemeines zur Zulässigkeit
1.1. Vorangestellt wird, dass die Frage[,] ob und allenfalls in welchem Umfang §9 Abs1 DSG in Einklang mit den unionsrechtlichen Vorgaben steht, Sache des EuGH nach Art267 AEUV ist. Demnach ist nach Ansicht der Datenschutzbehörde auf die Ausführungen hinsichtlich einer potentiellen Unionsrechtswidrigkeit nicht weiter einzugehen.
[…]
1.4. Die Datenschutzbehörde vertritt die – noch weiter zu begründende – Ansicht, dass der Primärantrag des Bundesverwaltungsgerichts zu eng gefasst ist sowie die beiden Eventualanträge die vermeintliche Verfassungswidrigkeit nicht zu beseitigen vermögen.
1.5. Vorab soll jedoch dargelegt werden, dass §9 Abs1 DSG in der derzeitigen Fassung nach Auffassung der Datenschutzbehörde sehr wohl einer verfassungskonformen Interpretation zugänglich ist.
[…]
3. Zur Zulässigkeit der Anträge
3.1. Zur Zulässigkeit des Antrags[,] die Wortfolge 'die Bestimmungen dieses Bundesgesetzes sowie' als verfassungswidrig aufzuheben
3.1.1. Mit dem Primärantrag begehrt das Bundesverwaltungsgericht[,] die Wortfolge 'die Bestimmungen dieses Bundesgesetzes sowie' in §9 Abs1 DSG als verfassungswidrig aufzuheben.
Die genannte Bestimmung würde nach der antragsgemäßen Bereinigung wie folgt lauten:
'(1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.'
3.1.2. Dabei übersieht das Bundesverwaltungsgericht nach Ansicht der Datenschutzbehörde jedoch, dass sich die Zuständigkeit der Datenschutzbehörde – im Anwendungsbereich des 1. und 2. Hauptstücks des DSG – nicht aus den 'Bestimmungen dieses Bundesgesetzes' (also des DSG) ergibt, sondern ausschließlich aus der DSGVO (konkret: Kapitel VI), was durch §4 Abs1 DSG verdeutlicht wird.
Das 1. und 2. Hauptstück des DSG dienen – von hier nicht einschlägigen Ausnahmen abgesehen – ausschließlich der Durchführung der DSGVO.
Ist die DSGVO sachlich (Art2 DSGVO) und räumlich (Art3) anwendbar, ergibt sich die Zuständigkeit der Datenschutzbehörde als nationaler Aufsichtsbehörde gemäß Art51 ff DSGVO folglich nur aus der DSGVO.
§24 DSG begründet hingegen keine (gesonderte oder zusätzliche) Zuständigkeit der Datenschutzbehörde. Vielmehr enthält §24 DSG lediglich verfahrensrechtliche Regelungen zu Art77 DSGVO, zu deren Festlegung die Mitgliedstaaten aufgrund der ihnen unionsrechtlich eingeräumten Verfahrensautonomie befugt sind.
3.1.3. Auch §1 DSG normiert keine von der DSGVO abweichende oder darüber hinausgehende Zuständigkeit der Datenschutzbehörde.
§1 DSG normiert die verfassungsgesetzlich gewährleisteten Rechte auf Geheimhaltung (Abs1), Auskunft (Abs3 Z1), Richtigstellung und Löschung (Abs3 Z2).
Da das DSG seit der Novelle BGBl I Nr 120/2017 im 1. und 2. Hauptstück keine materiellrechtlichen Bestimmungen zum Schutz personenbezogener Daten enthält – diese finden sich ausschließlich in der DSGVO – kann auch das in §1 DSG normierte Grundrecht auf Datenschutz nicht isoliert von der DSGVO betrachtet werden, sondern ist vielmehr im Einklang mit dieser auszulegen.
Ohne Rückgriff auf die materiellen Bestimmungen der DSGVO, insbesondere die Kapitel II und III, wäre das Grundrecht auf Geheimhaltung nach §1 Abs1 DSG somit keiner objektiven Interpretation zugänglich, weil es seit der Novelle des Jahres 2017 an einfachgesetzlichen Ausführungsbestimmungen fehlt.
Anders, als Frage formuliert: Wie kann die Datenschutzbehörde objektiv, also nicht willkürlich, beurteilen, ob eine Person im Grundrecht auf Geheimhaltung verletzt wurde, wenn es außer in der DSGVO keine materiellrechtlichen Bestimmungen zum Schutz personenbezogener Daten gibt, welche die Datenschutzbehörde als Maßstab heranziehen könnte, um eine etwaige Rechtsverletzung festzustellen?
Die Datenschutzbehörde zieht in ihrer Spruchpraxis daher die Grundsätze der DSGVO (Kapitel II) zur Auslegung des Grundrechts auf Datenschutz heran (vgl dazu den Bescheid vom 8. April 2022, GZ 2021‑0.407.457, Rn 23, RIS). Eine Verletzung von Geheimhaltungspflichten liegt nach der Rechtsprechung der Datenschutzbehörde insbesondere dann vor, wenn gegen die als Durchführungsbestimmungen gemäß §4 Abs1 DSG anzusehenden Regeln der DSGVO und die darin verankerten Grundsätze verstoßen wurde (vgl den Bescheid der DSB vom 31. Oktober 2018, GZ: DSB‑D123.076/0003‑DSB/2018).
3.1.4. Daran ändert auch Art85 Abs2 DSGVO, welcher durch §9 Abs1 DSG näher durchgeführt wird, nichts: Art85 Abs2 DSGVO sieht lediglich Ausnahmen bestimmter Kapitel der DSGVO vor, nicht jedoch, dass die DSGVO sachlich und räumlich (also Kapitel I) keine Anwendung findet.
Folglich fußt die Zuständigkeit der Datenschutzbehörde im Anwendungsbereich der DSGVO nur auf Kapitel VI (Unabhängige Aufsichtsbehörden) und würde daher der Wegfall der Wortfolge 'die Bestimmungen dieses Bundesgesetzes sowie' die Zuständigkeit der Datenschutzbehörde nicht begründen, weil die Anwendung von Kapitel VI weiterhin ausgeschlossen bliebe.
Die Datenschutzbehörde übersieht dabei nicht, dass §9 Abs1 DSG lediglich Kapitel VI der DSGVO ausnimmt, nicht jedoch Kapitel VIII und damit das Recht auf Beschwerde nach Art77 DSGVO.
Allerdings kann dieses Kapitel nicht losgelöst von Kapitel VI betrachtet werden, welches insbesondere die Zuständigkeit (Art55 DSGVO) der Aufsichtsbehörde normiert (vgl Schmidl, Das 'Medienprivileg' in der Rechtsprechung der Datenschutzbehörde, JusIT 2/2020, 54 Heft 2 v. 27. April 2020).
Mit anderen Worten: Ohne Kapitel VI kein Art77 DSGVO.
Dass Art58 DSGVO, wie das Bundesverwaltungsgericht auch festhält, keine Abhilfebefugnis für in der Vergangenheit liegende Rechtsverletzungen normiert – eine solche 'Feststellungsbefugnis' ergibt sich ausschließlich aus §1 iVm §24 Abs5 DSG – vermag daran nichts zu ändern.
Wie bereits ausgeführt, normieren weder §1 noch §24 DSG eine eigene, über Kapitel VI der DSGVO hinausgehende Zuständigkeit der Datenschutzbehörde. Insbesondere §24 DSG ist (nur) als Verfahrensbestimmung zu qualifizieren.
Da §9 Abs1 DSG auch nach der antragsgemäßen Bereinigung weiterhin Kapitel VI ausnähme, wäre nach wie vor keine Zuständigkeit der Datenschutzbehörde gegeben.
Des Weiteren erübrigen sich im Zusammenhang mit dem Hauptantrag auch jegliche Ausführung[en] hinsichtlich der bestehenden Kostentragung, da Art57 Abs3 DSGVO vorsieht, dass die Erfüllung der Aufgaben jeder Aufsichtsbehörde für die betroffene Person unentgeltlich ist und dieser im Rahmen des Hauptantrages, aufgrund des weiterhin bestehenden Ausschlusses des Kapitels IV der DSGVO, im Rahmen des Privilegs nicht zur Anwendung gelangt.
3.1.5. Somit erweist sich der Primärantrag nach Auffassung der Datenschutzbehörde als zu eng.
3.2. Zum Eventualantrag die Wortfolge 'die Bestimmung[en] dieses Bundesgesetzes sowie', 'VI (Unabhängige Aufsichtsbehörden)', und 'und IX (Vorschriften für besondere Verarbeitungssituationen)' als verfassungswidrig aufzuheben
3.2.1. Die genannte Bestimmung würde entsprechend dem gestellten Antrag nach erfolgter Bereinigung wie folgt lauten:
'(1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VII (Zusammenarbeit und Kohärenz) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.'
Im Vergleich zum Hauptantrag, würde der erste Eventualantrag zwar die Zuständigkeit der Datenschutzbehörde begründen, weil Kapitel VI DSGVO anwendbar wäre, doch ist der Geltendmachung des Grundrechts auf Datenschutz iSd §1 DSG im Anwendungsbereich des §9 Abs1 DSG nach Ansicht der Datenschutzbehörde nicht allein durch Begründung der Zuständigkeit der Datenschutzbehörde genüge getan, sondern ist der Geltendmachung auch ein materiell rechtlicher Regelungsgehalt immanent, nach welchem die behauptete Verletzung der Bestimmung auch tatsächlich beurteilt werden kann.
3.2.2. Wie bereits unter Punkt 3.1.3. ausgeführt, kann §1 Abs1 DSG nicht losgelöst von insbesondere Kapitel II DSGVO betrachtet werden, weil gerade Kapitel II den notwendigen objektiven Beurteilungsmaßstab dafür liefert, ob eine Verletzung des §1 Abs1 DSG vorliegt.
Abgesehen davon kann §1 DSG nicht ohne die Begriffsdefinitionen gemäß Art4 DSGVO interpretiert werden, weil insbesondere der Begriff 'personenbezogene Daten' in dessen Z1 definiert wird.
Der Datenschutzbehörde würde folglich aufgrund des weiterhin bestehenden Ausschlusses des Kapitels II (Grundsätze) der Beurteilungsmaßstab fehlen und wäre diese angehalten[,] entgegen der Bestimmung des Art18 B‑VG (Legalitätsprinzip) gleichsam 'im rechtsfreien Raum' und nach 'Gutdünken' zu entscheiden, ob eine Verletzung des §1 DSG vorliegt oder nicht.
Dieses Handeln wäre insofern willkürlich, als dem behördlichen Handeln jedenfalls kein objektiver Beurteilungsmaßstab gesetzt wird (vgl zum Erfordernis einer nachvollziehbaren Bescheidbegründung etwa VfSlg 14.661/1996).
Folglich würde nach Ansicht der Datenschutzbehörde die begehrte Aufhebung dazu führen, dass dadurch die angenommene Verfassungswidrigkeit gar nicht beseitigt würde.
3.3. Zum Eventualantrag die Wortfolge 'die Bestimmungen dieses Bundesgesetzes sowie', 'II (Grundsätze),', 'VI (Unabhängige Aufsichtsbehörden)', und 'und IX (Vorschriften für besondere Verarbeitungssituationen)' als verfassungswidrig aufzuheben
3.3.1. Die genannte Bestimmung würde entsprechend dem gestellten Antrag nach erfolgter Bereinigung wie folgt lauten:
'(1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden von der DSGVO die Kapitel III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VII (Zusammenarbeit und Kohärenz) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.'
Entsprechend dem zweiten Eventualantrag, wären sowohl die Zuständigkeit der Datenschutzbehörde gegeben, als auch ein materiell rechtlicher Prüfungsumfang nach Kapitel II DSGVO.
3.3.2. Dennoch übersieht das Bundesverwaltungsgericht nach Ansicht der Datenschutzbehörde, dass durch den unveränderten Ausschluss des Kapitel[s] III (Rechte der [b]etroffenen Person) ein unsachliches Ergebnis erzielt werden würde:
Dies deshalb, weil bei diesem Ergebnis lediglich die in §1 Abs3 DSG genannten Rechte einem Verfahren vor der Datenschutzbehörde zugänglich wären, nicht jedoch die über §1 Abs3 DSG hinausreichenden, in Kapitel III DSGVO genannten Rechte.
Mit anderen Worten: Es könnten somit lediglich behauptete Verletzungen in den Rechten auf Auskunft, Richtigstellung und Löschung vor der Datenschutzbehörde geltend gemacht werden, nicht jedoch behauptete Verletzungen in den Rechten auf Information (Art13, 14 DSGVO), Einschränkung der Verarbeitung (Art18 [DSGVO]), Datenübertragbarkeit (Art20 DSGVO), Widerspruch (Art21 DSGVO) und automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art22 DSGVO).
3.3.3 Es wäre nach Ansicht der Datenschutzbehörde jedoch unsachlich, dass nur bestimmte Rechte in einem Beschwerdeverfahren vor der Datenschutzbehörde ausgeübt werden können, andere jedoch nicht, zumal es für diesen Ausschluss keine objektiv nachvollziehbare Begründung gäbe.
Die begehrte Aufhebung könnte die angenommene Verfassungswidrigkeit somit nicht beseitigen, sondern im Gegenteil, eine Verfassungswidrigkeit bewirken.
[…]"
6. Die – als Beschwerdegegnerin im Verfahren vor dem Bundesverwaltungsgericht – beteiligte Partei erstattete in dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren eine Äußerung, in der sie sich im Wesentlichen den Ausführungen der Datenschutzbehörde anschließt.
7. Das Bundesverwaltungsgericht erstattete in dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren eine Replik, in der es dem Vorbringen der Datenschutzbehörde sowohl hinsichtlich der Zulässigkeit des Antrages als auch in der Sache mit näherer Begründung entgegentritt.
8. In dem beim Verfassungsgerichtshof zu G229/2022 protokollierten Verfahren sah der Verfassungsgerichtshof in Anbetracht der gleichlautenden Bedenken des antragstellenden Gerichtes gegen die angefochtene Bestimmung im Hinblick auf §19 Abs3 Z4 VfGG von der Durchführung eines Vorverfahrens ab.
IV. Zur Zulässigkeit
Der Verfassungsgerichtshof hat über die in sinngemäßer Anwendung des §187 und §404 ZPO iVm §35 Abs1 VfGG zur gemeinsamen Beratung und Entscheidung verbundenen Anträge erwogen:
1. Die Anträge sind nicht zulässig.
2. Ein von Amts wegen oder auf Antrag eines Gerichtes eingeleitetes Gesetzesprüfungsverfahren dient der Herstellung einer verfassungsrechtlich einwandfreien Rechtsgrundlage für das Anlassverfahren (vgl VfSlg 11.506/1987, 13.701/1994).
Die Grenzen der Aufhebung einer auf ihre Verfassungsmäßigkeit zu prüfenden Gesetzesbestimmung sind, wie der Verfassungsgerichtshof sowohl für von Amts wegen als auch für auf Antrag eingeleitete Gesetzesprüfungsverfahren schon wiederholt dargelegt hat (VfSlg 13.965/1994 mwN, 16.542/2002, 16.911/2003), notwendig so zu ziehen, dass einerseits der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommt und dass andererseits die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen auch erfasst werden.
Dieser Grundposition folgend hat der Verfassungsgerichtshof die Rechtsauffassung entwickelt, dass im Gesetzesprüfungsverfahren der Anfechtungsumfang der in Prüfung gezogenen Norm bei sonstiger Unzulässigkeit des Prüfungsantrages nicht zu eng gewählt werden darf (vgl VfSlg 16.212/2001, 16.365/2001, 18.142/2007, 19.496/2011, 20.154/2017). Das antragstellende Gericht hat all jene Normen anzufechten, die für das anfechtende Gericht präjudiziell sind und vor dem Hintergrund der Bedenken für die Beurteilung der allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Es ist dann Sache des Verfassungsgerichtshofes, darüber zu befinden, auf welche Weise eine solche Verfassungswidrigkeit – sollte der Verfassungsgerichtshof die Auffassung des antragstellenden Gerichtes teilen – beseitigt werden kann (VfSlg 16.756/2002, 19.496/2011, 19.684/2012, 19.903/2014; VfGH 10.3.2015, G201/2014).
Unzulässig ist der Antrag etwa dann, wenn der im Falle der Aufhebung im begehrten Umfang verbleibende Rest einer Gesetzesstelle als sprachlich unverständlicher Torso inhaltsleer und unanwendbar wäre (VfSlg 16.279/2001, 19.413/2011; VfGH 19.6.2015, G211/2014; 7.10.2015, G444/2015; VfSlg 20.082/2016), der Umfang der zur Aufhebung beantragten Bestimmungen so abgesteckt ist, dass die angenommene Verfassungswidrigkeit durch die Aufhebung gar nicht beseitigt würde (vgl zB VfSlg 18.891/2009, 19.933/2014), oder durch die Aufhebung bloßer Teile einer Gesetzesvorschrift dieser ein völlig veränderter, dem Gesetzgeber überhaupt nicht mehr zusinnbarer Inhalt gegeben würde (VfSlg 18.839/2009, 19.841/2014, 19.972/2015, 20.102/2016).
Unter dem Aspekt einer nicht trennbaren Einheit in Prüfung zu ziehender Vorschriften ergibt sich ferner, dass ein Prozesshindernis auch dann vorliegt, wenn es auf Grund der Bindung an den gestellten Antrag zu einer in der Weise isolierten Aufhebung einer Bestimmung käme, dass Schwierigkeiten bezüglich der Anwendbarkeit der im Rechtsbestand verbleibenden Vorschriften entstünden, und zwar in der Weise, dass der Wegfall der angefochtenen (Teile einer) Gesetzesbestimmung den verbleibenden Rest unverständlich oder auch unanwendbar werden ließe. Letzteres liegt dann vor, wenn nicht mehr mit Bestimmtheit beurteilt werden könnte, ob ein der verbliebenen Vorschrift zu unterstellender Fall vorliegt (VfSlg 16.869/2003 mwN).
3. Die Datenschutzbehörde vertritt in ihrer Stellungnahme die Auffassung, die Anträge des Bundesverwaltungsgerichtes seien zur Gänze unzulässig.
3.1. Das antragstellende Gericht bringe vor, es sei verfassungswidrig, dass der Datenschutzbehörde im vorliegenden Fall keine Zuständigkeit zukomme. Soweit das antragstellende Gericht in seinem Hauptantrag (lediglich) die Aufhebung der Wortfolge "die Bestimmungen dieses Bundesgesetzes sowie" begehre, übersehe es, dass sich die Zuständigkeit der Datenschutzbehörde nicht aus dem Datenschutzgesetz, sondern ausschließlich aus der DSGVO, konkret aus deren Kapitel VI, ergebe. Die im Hauptantrag begehrte Aufhebung erweise sich somit als zu eng gefasst.
3.2. In gleicher Weise sei der erste Eventualantrag zu eng gefasst, weil sich die behauptete Verfassungswidrigkeit durch die Aufhebung der Wortfolgen "die Bestimmungen dieses Bundesgesetzes sowie", "VI (Unabhängige Aufsichtsbehörden)," sowie "und IX (Vorschriften für besondere Verarbeitungssituationen)" nicht beseitigen lasse. Weiterhin nicht anwendbar sei nämlich Kapitel II DSGVO, weswegen der Datenschutzbehörde der inhaltliche Beurteilungsmaßstab für ihre Entscheidung fehlte. Sie habe diesfalls "im rechtsfreien Raum" zu entscheiden, was insbesondere Art18 B‑VG widerspreche.
3.3. Schließlich sei auch der zweite Eventualantrag auf Aufhebung der Wortfolgen "die Bestimmungen dieses Bundesgesetzes sowie", "II (Grundsätze),", "VI (Unabhängige Aufsichtsbehörden)," sowie "und IX (Vorschriften für besondere Verarbeitungssituationen)" zu eng gewählt. Bei diesem Antrag übersehe das antragstellende Gericht, dass durch den unveränderten Ausschluss des Kapitels III DSGVO ein unsachliches Ergebnis erzielt würde: Es könnten diesfalls nämlich lediglich die in §1 Abs3 DSG genannten Rechte Gegenstand eines Verfahrens vor der Datenschutzbehörde sein, nicht hingegen die über §1 Abs3 DSG hinausreichenden, in Kapitel III DSGVO genannten Rechte. Es könnten somit lediglich behauptete Verletzungen in den Rechten auf Auskunft, Richtigstellung und Löschung vor der Datenschutzbehörde geltend gemacht werden, nicht jedoch behauptete Verletzungen in den Rechten auf Information (Art13 und 14 DSGVO), Einschränkung der Verarbeitung (Art18 DSGVO), Datenübertragbarkeit (Art20 DSGVO), Widerspruch (Art21 DSGVO) und automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art22 DSGVO).
4. Der Verfassungsgerichtshof teilt zunächst die Auffassung der Datenschutzbehörde, dass der Hauptantrag und der erste Eventualantrag jedenfalls zu eng gefasst sind. Darüber hinaus erweist sich auch der zweite Eventualantrag als unzulässig. Das Bundesverwaltungsgericht verkennt, dass die von ihm angefochtenen Wortfolgen mit den sonstigen Bestimmungen des §9 Abs1 DSG in einem untrennbaren Zusammenhang stehen. Das Bundesverwaltungsgericht hätte aus diesem Grund §9 Abs1 DSG zur Gänze anfechten müssen.
5. Der Anfechtungsumfang ist demzufolge zu eng gewählt, weshalb sich die Anträge als unzulässig erweisen.
V. Ergebnis
1. Die Anträge sind zurückzuweisen.
2. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)