VfGH G287/2022 ua

Spruch:

I. §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, idF BGBl I Nr 24/2018 wird als verfassungswidrig aufgehoben.

II. Die Aufhebung tritt mit Ablauf des 30. Juni 2024 in Kraft.

III. Frühere gesetzliche Bestimmungen treten nicht wieder in Kraft.

IV. Der Bundeskanzler ist zur unverzüglichen Kundmachung dieser Aussprüche im Bundesgesetzblatt I verpflichtet.

Begründung

Entscheidungsgründe

I. Antrag

Mit den vorliegenden, auf Art140 Abs1 Z1 lita B‑VG gestützten Anträgen begehrt das antragstellende Gericht, der Verfassungsgerichtshof wolle

"Art2 §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, in der Fassung der Novelle BGBl I Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018) als verfassungswidrig aufheben".

II. Rechtslage

1. Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 24/2018 lauten (die angefochtene Bestimmung ist hervorgehoben):

"Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art8 Abs2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs3 sind nur unter den in Abs2 genannten Voraussetzungen zulässig.

[...]

Freiheit der Meinungsäußerung und Informationsfreiheit

§9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.

(2) Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen §6 (Datengeheimnis) anzuwenden.

[…]

2. Abschnitt

Datenschutzbehörde

Einrichtung

§18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art51 DSGVO eingerichtet.

(2) Der Datenschutzbehörde steht ein Leiter vor. In seiner Abwesenheit leitet sein Stellvertreter die Datenschutzbehörde. Auf ihn finden die Regelungen hinsichtlich des Leiters der Datenschutzbehörde Anwendung.

Unabhängigkeit

§19. (1) Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle.

(2) Der Leiter darf für die Dauer seines Amtes keine Tätigkeit ausüben, die

1. Zweifel an der unabhängigen Ausübung seines Amtes oder seiner Unbefangenheit hervorrufen könnte,

2. ihn bei der Erfüllung seiner dienstlichen Aufgaben behindert oder

3. wesentliche dienstliche Interessen gefährdet.

Er ist verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter der Datenschutzbehörde ausübt, unverzüglich dem Bundesminister für Verfassung, Reformen, Deregulierung und Justiz zur Kenntnis zu bringen.

(3) Der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Art52 DSGVO widerspricht.

[...]

Aufgaben

§21. (1) Die Datenschutzbehörde berät die Ausschüsse des Nationalrates und des Bundesrates, die Bundesregierung und die Landesregierungen auf deren Ersuchen über legislative und administrative Maßnahmen. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen sowie von Verordnungen im Vollzugsbereich des Bundes, die Fragen des Datenschutzes unmittelbar betreffen, anzuhören.

(2) Die Datenschutzbehörde hat die Listen nach Art35 Abs4 und 5 DSGVO im Wege einer Verordnung im Bundesgesetzblatt kundzumachen.

(3) Die Datenschutzbehörde hat die nach Art57 Abs1 litp DSGVO festzulegenden Kriterien im Wege einer Verordnung kundzumachen. Sie fungiert zugleich als einzige nationale Akkreditierungsstelle gemäß Art43 Abs1 lita DSGVO.

Befugnisse

§22. (1) Die Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren. Der Verantwortliche oder Auftragsverarbeiter hat die notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben.

(2) Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.

(3) Informationen, die der Datenschutzbehörde oder den von ihr Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach §63 dieses Bundesgesetzes oder nach §§118a, 119, 119a, 126a bis 126c, 148a oder §278a des Strafgesetzbuches – StGB, BGBl Nr 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach §76 der Strafprozeßordnung – StPO, BGBl Nr 631/1975, zu entsprechen ist.

(4) Liegt durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) vor, so kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid gemäß §57 Abs1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl Nr 51/1991, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung nach Art18 DSGVO mit Bescheid gemäß §57 Abs1 AVG anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt. Wird einer Untersagung nicht unverzüglich Folge geleistet, hat die Datenschutzbehörde nach Art83 Abs5 DSGVO vorzugehen.

(5) Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen.

(6) Bestehen im Zuge einer auf §29 gestützten Klage einer betroffenen Person, die sich von einer Einrichtung, Organisation oder Vereinigung im Sinne des Art80 Abs1 DSGVO vertreten lässt, Zweifel am Vorliegen der diesbezüglichen Kriterien, trifft die Datenschutzbehörde auf Antrag des Einbringungsgerichtes entsprechende Feststellungen mit Bescheid. Diese Einrichtung, Organisation oder Vereinigung hat im Verfahren Parteistellung. Gegen einen negativen Feststellungsbescheid steht ihr die Beschwerde an das Bundesverwaltungsgericht offen.

[…]

3. Abschnitt

Rechtsbehelfe, Haftung und Sanktionen

Beschwerde an die Datenschutzbehörde

§24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen §1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§13 Abs8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.

(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.

(10) In die Entscheidungsfrist gemäß §73 AVG werden nicht eingerechnet:

1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;

2. die Zeit während eines Verfahrens nach Art56, 60 und 63 DSGVO.

Begleitende Maßnahmen im Beschwerdeverfahren

§25. (1) Macht der Beschwerdeführer im Rahmen einer Beschwerde eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten glaubhaft, kann die Datenschutzbehörde nach §22 Abs4 vorgehen.

(2) Ist in einem Verfahren die Richtigkeit von personenbezogenen Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit Bescheid gemäß §57 Abs1 AVG anzuordnen.

(3) Beruft sich ein Verantwortlicher gegenüber der Datenschutzbehörde auf eine Beschränkung im Sinne des Art23 DSGVO, so hat diese die Rechtmäßigkeit der Anwendung der Beschränkungen zu überprüfen. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten personenbezogenen Daten gegenüber der betroffenen Person nicht gerechtfertigt war, ist die Offenlegung der personenbezogenen Daten mit Bescheid aufzutragen. Wird dem Bescheid der Datenschutzbehörde binnen acht Wochen nicht entsprochen, so hat die Datenschutzbehörde die Offenlegung der personenbezogenen Daten gegenüber der betroffenen Person selbst vorzunehmen und ihr die verlangte Auskunft zu erteilen oder ihr mitzuteilen, welche personenbezogenen Daten bereits berichtigt oder gelöscht wurden.

(4) Bescheide, mit denen Übermittlungen von personenbezogenen Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der Genehmigung nicht mehr bestehen."

2. Die maßgeblichen Bestimmungen der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge: DSGVO), ABl. 2016 L 119, 1, lauten:

"KAPITEL VI

Unabhängige Aufsichtsbehörden

Abschnitt 1

Unabhängigkeit

Artikel 51

Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden 'Aufsichtsbehörde').

(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.

(3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten.

(4) Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.

[…]

Abschnitt 2

Zuständigkeit, Aufgaben und Befugnisse

Artikel 55

Zuständigkeit

(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

[…]

KAPITEL VIII

Rechtsbehelfe, Haftung und Sanktionen

Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.

Artikel 78

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.

Artikel 79

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

[…]

KAPITEL IX

Vorschriften für besondere Verarbeitungssituationen

Artikel 85

Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit."

III. Sachverhalt, Antragsvorbringen und Vorverfahren

1. Dem beim Verfassungsgerichtshof zur Zahl G287/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:

1.1. In seiner an die Datenschutzbehörde gerichteten Beschwerde vom 29. November 2019 machte der Beschwerdeführer eine Verletzung seines Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Er brachte zusammengefasst vor, die Beschwerdegegnerin, ein Medienunternehmen, habe auf ihrer Homepage einen Beitrag sowie Bildaufnahmen einer Hausdurchsuchung veröffentlicht. Auf einem der veröffentlichten Bilder sei die Visitenkarte des Beschwerdeführers (ungeschwärzt) abgebildet gewesen. Sein Name sowie sein Arbeitgeber seien erkennbar gewesen. Das Medienprivileg des §9 DSG sei auf den vorliegenden Fall nicht anwendbar. Selbst wenn man von der Anwendbarkeit des §9 DSG ausgehe, komme man bei einer unionsrechtskonformen Interpretation zu dem Ergebnis, dass die vorliegende Datenverarbeitung nicht erforderlich gewesen sei.

1.2. Die Beschwerdegegnerin im Verfahren vor der Datenschutzbehörde erstattete eine Stellungnahme, in der sie vorbrachte, ein Medienunternehmen gemäß §1 Abs1 Z6 MedienG zu sein. Die Veröffentlichung der Bilder sei zu journalistischen Zwecken erfolgt; die Bilder seien später geschwärzt worden. Da die in Beschwerde gezogene Veröffentlichung unter das Medienprivileg gemäß §9 Abs1 DSG falle, sei die Datenschutzbehörde im vorliegenden Fall unzuständig.

1.3. Mit Bescheid vom 23. Juli 2020 wies die Datenschutzbehörde die Beschwerde zurück und begründete dies zusammengefasst damit, dass es sich bei der Beschwerdegegnerin um ein Medienunternehmen handle, das als Medieninhaberin für den Inhalt der Berichterstattung verantwortlich sei. Die Daten des Beschwerdeführers seien im Rahmen journalistischer Artikel bzw journalistischer Berichterstattung verarbeitet und in weiterer Folge veröffentlicht worden. Auf Grund der Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei die belangte Behörde zur Behandlung der Beschwerde unzuständig.

1.4. Gegen diesen Bescheid erhob der Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht. Er führte darin insbesondere aus, §9 DSG sei verfassungs- und unionsrechtswidrig.

2. Dem beim Verfassungsgerichtshof zur Zahl G288/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:

2.1. In ihrer an die Datenschutzbehörde gerichteten Beschwerde vom 26. November 2021 machten die beschwerdeführenden Parteien (ua) eine Verletzung ihres Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Sie brachten zusammengefasst vor, eine Verlagsgesellschaft und ein Rundfunkunternehmen hätten über ein "Datenleck" bei einem der zweitbeschwerdeführenden Partei zuzurechnenden E‑Mail-Postfach, das in der Verfügungsmacht der erstbeschwerdeführenden Partei stehe, berichtet. Die genannten Medienunternehmen hätten näher bezeichnete Umstände rechtswidrig offengelegt. Die Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei verfassungswidrig.

2.2. Mit Bescheid vom 10. Dezember 2021 wies die Datenschutzbehörde die Beschwerde der beschwerdeführenden Parteien unter Verweis auf das Medienprivileg des §9 Abs1 DSG zurück.

2.3. Gegen diesen Bescheid erhoben die beschwerdeführenden Parteien fristgerecht Beschwerde an das Bundesverwaltungsgericht und regten einen Antrag gemäß Art140 Abs1 Z1 lita B‑VG an den Verfassungsgerichtshof sowie die Einholung einer Vorabentscheidung des Gerichtshofes der Europäischen Union gemäß Art267 AEUV an.

3. Aus Anlass der Behandlung dieser Beschwerden sind beim Bundesverwaltungsgericht Bedenken ob der Verfassungskonformität des §9 Abs1 DSG entstanden, die es zur Antragstellung an den Verfassungsgerichtshof veranlasst haben. Das antragstellende Gericht legt seine diesbezüglichen Bedenken in dem beim Verfassungsgerichtshof zur Zahl G287/2022 protokollierten Verfahren wie folgt dar (ohne die Hervorhebungen im Original):

"III. Verfassungsrechtliche Bedenken:

1. Im vorliegenden Fall wies die Datenschutzbehörde mit dem angefochtenen Bescheid die Datenschutzbeschwerde des Beschwerdeführers wegen einer behaupteten Verletzung gemäß §1 DSG zurück, weil sie auf Grund des Medienprivilegs des §9 Abs1 DSG für die Behandlung einer Beschwerde gegen ein Medienunternehmen nicht zuständig sei.

2. Das Bundesverwaltungsgericht hat gravierende Bedenken ob der Verfassungsmäßigkeit des §9 Abs1 DSG.

Dazu im Einzelnen:

2.1. Das Bundesverwaltungsgericht hegt primär das Bedenken , dass eine Geltendmachung des Grundrechts auf Datenschutz des §1 DSG im Anwendungsbereich des §9 Abs1 DSG faktisch ausgehebelt wird, da aufgrund des in §9 Abs1 DSG normierten Ausschlusses der Bestimmungen des DSG – und damit auch der Unanwendbarkeit des §24 Abs1 DSG – (sowie des gesamten Kapitels VI der DSGVO) einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung steht, um eine Verletzung des Grundrechts geltend zu machen. Das Bundesverwaltungsgericht vertritt die Meinung, dass einer nationalen Aufsichtsbehörde auch im Rahmen des §9 Abs1 DSG eine Zuständigkeit zur Behandlung von Beschwerden zukommen muss.

Zu §9 Abs1 DSG wird in der wissenschaftlichen Literatur Folgendes ausgeführt:

Gemäß der Formulierung des §9 Abs1 DSG gilt insofern eine 'Totalausnahme von den Bestimmungen des DSG' (Zöchbauer, MR 2018, 102 [103]; vgl auch Kunnert in Bresich et al (Hrsg), DSG Kommentar (2018) §9 DSG Rz 10). '§9 Abs1 DSG sieht im ersten Satz vor, dass unter den dort näher definierten Voraussetzungen 'die Bestimmungen dieses Bundesgesetzes' keine Anwendung finden. Damit wird – im Unterschied zur Vorgängerbestimmung des §48 DSG 2000 – auch die Anwendbarkeit des im Rang eines Verfassungsgesetzes stehenden Grundrechts auf Datenschutz gemäß §1 DSG ausgeschlossen. […]' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 42).

Nach Jahnel kommt eine verfassungskonforme Interpretation von §9 Abs1 DSG 'angesichts des klaren Wortlautes ('finden die Bestimmungen dieses Bundesgesetzes […] keine Anwendung') […] nicht in Betracht.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 44).

'Wie alle Grundrechte gilt auch das Grundrecht auf Datenschutz nicht uneingeschränkt. Eine Beschränkung dieses Grundrechts ist aber nur bei Vorliegen einer der in §1 Abs2 DSG vorgesehenen Gründe zulässig. Da die Zustimmung und lebenswichtige Interessen im Zusammenhang mit dem Medienprivileg nicht in Betracht kommen, ist für die Verfassungskonformität eines Eingriffs in das Grundrecht auf Datenschutz durch eine gesetzliche Bestimmung jedenfalls eine Interessenabwägung erforderlich. Sowohl in §9 Abs1 […] erfolgt hingegen ein genereller Ausschluss des Grundrechts auf Datenschutz, sofern die sonstigen Voraussetzungen einer Privilegierung vorliegen.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 43).

'§9 Abs1 nimmt als Eingriffsnorm Verarbeitungen zu journalistischen Zwecken von Medienunternehmen oder Mediendiensten iS einer Pauschalausnahme nahezu gänzlich vom datenschutzrechtlichen Regelungsregime aus. Insbesondere werden den durch die genannten Verarbeitungssituationen betroffenen Personen die in Kapitel III DSGVO verankerten Betroffenenrechte gem. §9 Abs1 DSG vollumfänglich entzogen. Dieser pauschale Entzug der Betroffenenrechte ist vor dem Hintergrund des materiellen Gesetzesvorbehaltes gem. §1 Abs2 DSG als unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu qualifizieren. Der Entzug der Betroffenenrechte dürfte iS des Verhältnismäßigkeitsprinzips vielmehr lediglich aufgrund einer wertenden Abwägung zwischen den (öffentlichen) Interessen der journalistischen Tätigkeit und dem Grundrecht auf Datenschutz des Betroffenen erfolgen. Die Pauschalausnahme des §9 Abs1 DSG privilegiert journalistische Tätigkeiten von Medienunternehmen oder Mediendiensten jedoch a priori in Negation jeglicher Betroffenenrechte und greift damit in unverhältnismäßiger und folglich verfassungswidriger Weise in §1 DSG ein.' (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum - Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [312 f]).

In diesem Zusammenhang wird festgehalten, dass nach Ansicht des Bundesverwaltungsgerichts die einfachgesetzliche Bestimmung des §9 Abs1 DSG jedenfalls nicht das in Verfassungsrang stehende Grundrecht auf Datenschutz im Rahmen des Medienprivilegs aushebeln kann. Selbst wenn man eine Interpretation dahingehend vornehmen könnte, dass die in §9 Abs1 genannte Ausnahme des DSG nur dessen einfachgesetzliche Regelungen betrifft, müsste das Grundrecht in der Folge auch geltend gemacht werden können. Gerade dies ist aber nicht der Fall, da auch §24 DSG, der die Grundlage für die Feststellung von (auch in der Vergangenheit liegenden) Rechtsverletzungen, insbesondere des Grundrechts auf Geheimhaltung, darstellt, nicht anwendbar wäre.

Aus den genannten Gründen scheint die Ausnahme des gesamten DSG in Widerspruch mit dem in §1 DSG normierten Grundrecht auf Datenschutz zu stehen.

Zunächst verkennt das Bundesverwaltungsgericht nicht, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art77 DSGVO in Kapitel VIII nicht ausgeschlossen wird. Während der OGH unter Verweis auf die Gesetzesmaterialien (ErläutAB 1761 BlgNR 25. GP 15) davon ausgeht, dass Art77 [DSGVO] kein eigenständiges Recht auf Beschwerde normiert (OGH 23.05.2019, 6 Ob 91/19d), wird von der Lehre und vom Bundesverwaltungsgericht in den unten zitierten Fällen die Meinung vertreten, dass Art77 DSGVO keiner Umsetzung in das nationale Recht bedarf (vgl Schweiger in Knyrim, DatKomm Art77 DSGVO, Rz 8 (Stand 1.12.2018, rdb.at), siehe dazu auch BVwG 23.11.2020, W211 2227144‑1; BVwG 13. 8. 2021, W211 2222613‑1.

Doch auch bei einer unmittelbaren Anwendbarkeit des Art77 DSGVO ergibt sich folgendes Problem:

Art77 D[S]GVO scheint von seinem Wortlaut her (lediglich) auf gegenwärtig noch andauernde Rechtsverletzungen abzustellen. Dementsprechend sieht Art58 DSGVO keine 'Feststellungsbefugnisse', sondern Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse vor.

Auch nach der Rechtsprechung des Verwaltungsgerichtshofes (VwGH 14.12.2021, Ro 2020/04/0032) räumt ausschließlich §24 DSG der in seinem persönlichen Grundrecht verletzten Person die Möglichkeit ein, die ihr gegenüber geschehene Rechtsverletzung feststellen zu lassen, eine solche Feststellungskompetenz ist nämlich in der DSGVO nicht vorgesehen. In den Fällen des §9 Abs1 DSG bestünde sohin (mangels Anwendbarkeit des §24 DSG) keine Möglichkeit, eine Rechtsverletzung (die in der Vergangenheit stattgefunden hat) festzustellen (doch gerade um eine Feststellung eines derartigen Grundrechtsverstoßes geht es im gegenständlichen Beschwerdefall), weshalb der Ausschluss der Bestimmungen des DSG insbesondere aufgrund des Gleichheitsgrundsatzes als nicht im Einklang mit verfassungsgesetzlichen Grundlagen zu stehen scheint (siehe dazu näher unten). Auch wären die Bestimmungen der §§18 bis 22 DSG (Einrichtung der Datenschutzbehörde, Unabhängigkeit, Leiter der Datenschutzbehörde und Befugnisse der Datenschutzbehörde) nach dem Wortlaut des DSG ebenfalls nicht anwendbar. Überdies schließt §9 Abs1 DSG in seiner Diktion streng genommen sogar sich selbst aus, was aber offenbar vom Gesetzgeber nicht intendiert war. Hinzuweisen ist auch darauf, dass – im Widerspruch zu den weitgehenden Ausnahmen – der letzte Satz des §9 Abs1 DSG davon auszugehen scheint, dass der Datenschutzbehörde sehr wohl auch bei Beschwerden gegen Medienunternehmen und -inhaber Befugnisse zukommen.

Das Bundesverwaltungsgericht übersieht nicht, dass trotz des Ausschlusses der Anwendbarkeit aller DSG-Bestimmungen wegen der unmittelbaren Anwendbarkeit von Art79 DSGVO unter ergänzender Heranziehung von §1 JN bei einer Verletzung der DSGVO eine Zuständigkeit der Zivilgerichte angenommen werden kann. Allerdings lässt sich im gegenständlichen Fall, in dem die Feststellung einer Verletzung des Grundrecht[s] auf Geheimhaltung geltend gemacht wurde, unter Heranziehung des Art79 DSGVO gar keine gerichtliche Zuständigkeit begründen, da Art79 DSGVO (wie Art77 DSGVO) lediglich auf Verletzungen der DSGVO Bezug nimmt, nicht aber auf nationale Gesetze wie das DSG (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [320]; siehe auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 51). Somit wäre der Rechtsschutz im gegenständlichen Fall gänzlich ausgeschlossen. Dieses Ergebnis scheint dem Bundesverwaltungsgericht sachlich nicht rechtfertigbar und daher im Konflikt mit dem Gleichheitsgrundsatz und dem Recht auf den gesetzlichen Richter (siehe unten) zu stehen.

Aber auch eine alleinige Zuständigkeit des Landesgerichtes (vgl §50 JN iVm §49 JN sowie OGH 23.05.2019, 6 Ob 91/19d) würde nicht der Bestimmung des Art79 Abs1 DSGVO entsprechen, wonach jede betroffene Person unbeschadet des Beschwerderechts bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden und hat der europäische Gesetzgeber damit explizit einen zweigleisigen Rechtsschutz vorgesehen. Dieser zweigleisige Rechtsschutz wurde vom OGH auch bereits wiederholt bejaht (zB 6 Ob 35/21x vom 15.04.2021 unter Verweis auf 6 Ob 131/18k und 6 Ob 91/19k) und zuletzt in den Schlussanträgen des Generalanwaltes de la Tour vom 08.09.2022 in der Rs C-132/21 , BE, bekräftigt. Auch diverse Erwägungsgründe, insb. ErwG 122 DSGVO, gehen von einer umfassenden Zuständigkeit der Aufsichtsbehörden aus.

Selbst wenn man von einer Gerichtszuständigkeit ausginge, wäre die Regelung des §9 Abs1 DSG schon deshalb unsachlich, weil das Beschwerderecht bei der Datenschutzbehörde von Betroffenen niederschwelliger wahrgenommen werden kann, zumal die Beschwerdeeinbringung bei der Behörde – im Gegensatz zur Erhebung einer Klage beim Landesgericht – unentgeltlich ist und vor der Behörde auch keine Anwaltspflicht herrscht. Hierbei wird nicht verkannt, dass in Verwaltungsverfahren das Prinzip der Kostenselbsttragung herrscht und daher im Falle einer erfolgreichen Beschwerde auch keine Vertretungskosten erstattet werden. Im Falle einer Klage vor einem Zivilgericht ist die Pauschalgebühr durch den Kläger zu entrichten, dazu kommen die Kosten für die notwendige Vertretung durch einen Rechtsanwalt, wenngleich es im Fall des vollständigen Obsiegens auch zu einem vollständigen Ersatz der Verfahrens- und Vertretungskosten kommt (vgl Jahnel, Zum Zusammenspiel zwischen dem verwaltungsrechtlichen Weg und dem Zivilrechtsweg und die Schnittstellen zum Verfassungsrecht und zum Europarecht in: Nunner-Krautgasser/Garber/Klauser (Hrsg), Rechtsdurchsetzung im Datenschutz nach der DSGVO und dem DSG 2018 [2019]). Im zivilgerichtlichen Verfahren kann zwar Verfahrenshilfe beantragt werden (vgl §63 ff ZPO). Die Partei hat jedoch die gänzliche oder teilweise Nachzahlung der Beträge zu bewerkstelligen, soweit und sobald sie ohne Beeinträchtigung des notwendigen Unterhalts dazu imstande ist (vgl näher §71 Abs1 ZPO). Verfahrenshilfe wird auch nur für die eigenen Kosten gewährt, im Falle des Unterliegens sind jedoch die gegnerischen Kosten trotz bewilligter Verfahrenshilfe zu begleichen (vgl M. Bydlinski in Fasching/Konecny 3 II/1 Vor §§63 ff ZPO Rz 3 (Stand 1.9.2014, rdb.at). Gesamtbetrachtet sind somit die Anforderungen an den Betroffenen bei der Ausübung des Beschwerderechts bei der DSB als geringer zu betrachten.

Es entspricht auch nicht dem Willen des Gesetzgebers, medienrechtliche Sachverhalte ausschließlich dem Mediengesetz und der gerichtlichen Zuständigkeit zu unterwerfen. Vielmehr geht der (unionsrechtliche) Gesetzgeber in Art85 DSGVO davon aus, dass von nationalen Gesetzgebern (nur) die in Abwägung der Grundrechte auf Datenschutz und auf freie Meinungsäußerung erforderlichen Ausnahmen von der DSGVO vorzusehen sind. Eine Erforderlichkeit der Unzuständigkeit der nationalen Datenschutzbehörde ist nicht ersichtlich, schon gar nicht die Erforderlichkeit einer (gleichheitswidrigen) 'Teilunzuständigkeit' für Beschwerden gegen besondere Akteure wie Medienunternehmen oder Mediendienste.

Überdies wäre durch den Ausschluss des Kapitels II DSGVO 'Grundsätze' den Gerichten bei einer materiell-rechtlichen Entscheidung der Prüfmaßstab der Art5 ff DSGVO entzogen, sofern man diesen Ausschluss nicht bereits aufgrund der Unionrechtswidrigkeit als unanwendbar betrachtete.

Hinzuzufügen ist, dass Art85 Abs2 DSGVO den Mitgliedstaaten den Auftrag erteilt, 'Abweichungen und Ausnahmen' von bestimmten Kapiteln der DSGVO vorzusehen, wenn dies als Ergebnis einer Interessenabwägung erforderlich ist ('um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen', siehe auch ErwG 153 DSGVO), wobei diese Interessenabwägung in §9 Abs1 DSG nicht abgebildet ist (vgl Zöchbauer, Das 'Medienprivileg' des §9 Abs1 DSG idF Datenschutz-Deregulierungsgesetz 2018 , MR 2018, 102). Vielmehr ist nach der (Neu-)Fassung des §9 DSG eine Abwägung nicht (mehr) erforderlich, die wesentlichen Teile der DSGVO sowie des DSG finden demnach jedenfalls keine Anwendung auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes zu journalistischen Zwecken (Lehofer, Anpassung der Datenschutz-Anpassung - Last Minute-Begleitgesetzgebung zur DSGVO, ÖJZ 2018/55). Zur Generalausnahme von allen datenschutzrechtlichen Vorschriften, wie sie §9 Abs1 DSG enthält, siehe auch kritisch Krempelmeier, Sind die datenschutzrechtlichen Privilegien des §9 DSG unionsrechtswidrig?, jusIT 2018/68.

Zu den weiteren – die meisten Kapitel der DSGVO betreffenden Ausnahmen – ist Folgendes festzuhalten:

Kapitel VIII DSGVO kann nicht losgelöst von Kapitel VI betrachtet werden. Da die Bestimmung über die Zuständigkeit einer Aufsichtsbehörde in Art55 DSGVO ex lege gemäß §9 Abs1 DSG ausgeschlossen wäre, könnte die belangte Behörde nicht meritorisch über die Beschwerde entscheiden. Zudem können auch die Abhilfebefugnisse des Art58 Abs2 litc [DSGVO] (den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen) von der Datenschutzbehörde nicht ausgeübt werden (vgl Schmidl, Das Medienprivileg in der Rechtsprechung der Datenschutzbehörde, jusIT 2020/20, 54 Heft 2 v. 27.4.2020). Schließlich ist zu bemerken, dass §9 Abs1 DSG auch das gesamte Kapitel IX der DSGVO ausschließt, womit auch die Bestimmung des Art85 Abs2 DSGVO ausgeschlossen wird, demgemäß für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Der Ausschluss der Anwendbarkeit des Art85 Abs2 DSGVO, also der unionsrechtlichen Grundlage für das 'Medienprivileg', hätte jedoch zur Folge, dass der Norm des §9 Abs1 DSG die (unionsrechtliche) Grundlage entzogen würde. Wie der Verfassungsgerichtshof in seinem Beschluss vom 26.09.2022 festhielt, besteht auch ein untrennbarer Zusammenhang mit den sonstigen Bestimmungen des §9 Abs1 DSG, sohin mit den anderen in §9 Abs1 DSG genannten Ausnahmen von der DSGVO.

Das Bundesverwaltungsgericht hegt zu diesen Ausnahmen von der DSGVO die Bedenken, dass sie in dieser Pauschalität nicht mit Unionsrecht in Einklang stehen, zumal Art85 DSGVO die Ausnahmen auf deren 'Erforderlichkeit' stützt und ein Ausschließen der Beschwerdemöglichkeit an die Aufsichtsbehörde gerade nicht erforderlich ist. Ebenso scheint ein Ausschluss des (gesamten) IX. Kapitels DSGVO nicht nur nicht erforderlich, sondern schlichtweg sinnentleert, da damit den Ausnahmen in §9 DSG die Rechtsgrundlage des Art85 DSGVO entzogen wäre.

2.2. Der Gleichheitsgrundsatz ist im österreichischen Verfassungsrecht mehrfach, nämlich in Art2 StGG und vor allem Art7 B‑VG, verankert. Der Gleichheitsgrundsatz bindet auch den Gesetzgeber. Er setzt ihm insofern inhaltliche Schranken, als er verbietet, sachlich nicht begründbare Regelungen zu treffen (zB VfSlg 14.039/1995; 16.407/2001). Der VfGH hat betont, dass der Gleichheitssatz einen wesentlichen Bestandteil des demokratischen Prinzips bildet und daher auch dem Verfassungsgesetzgeber nicht zur beliebigen Disposition steht (VfSlg 15.373). Nach der vom VfGH entwickelten Prüfungsformel gestattet der Gleichheitssatz nur eine sachlich gerechtfertigte Differenzierung; eine solche setzt relevante Unterschiede im Tatsachenbereich (objektive Unterscheidungsmerkmale) voraus. Nach ständiger Judikatur muss der Gesetzgeber an gleiche Tatbestände gleiche Rechtsfolgen knüpfen; wesentlich ungleiche Tatbestände müssen zu entsprechend unterschiedlichen Regelungen führen (zB VfSlg 2956, 11.190, 11.641, 13.477, 14.521, 19.590; VwGH 2. 7. 1992, 90/16/0167 – verst Sen; VwGH 23. 3. 2000, 99/15/0202; vgl auch VfSlg 8806, 11.190, 15.510 – zu gesetzlichen Ausnahmebestimmungen). Die Sachlichkeitsprüfung von Gesetzen zielt auf eine Bewertung der Relation des von einer Regelung erfassten Sachverhaltes zu der vorgesehenen Rechtsfolge. Liegen differenzierende Regelungen vor, so ist ein Normenvergleich durchzuführen; es ist zu fragen, ob die jeweils erfassten Sachverhalte so unterschiedlich sind, dass sie die unterschiedlichen Rechtsfolgen zu 'tragen' vermögen (VfSlg 16.635, 17.309). Jede Sachlichkeitsprüfung von Gesetzen hat zunächst eine derartige Prüfung der Relation von Sachverhalt und Rechtsfolge vorzunehmen. Sie kann zum Ergebnis führen, dass diese Relation schon an sich auf keinem 'vernünftigen' Grund beruht; in diesem Fall ist das Gesetz als gleichheitswidrig anzusehen (zB VfSlg 13.975) [Muzak, B‑VG⁶ Art2 StGG (Stand 1.10.2020, rdb.at]. Im vorliegenden Fall sind keine sachlichen Gründe ersichtlich, in Anwendungsfällen des §9 Abs1 DSG im Vergleich zu Fällen, in denen dieser nicht zum Tragen kommt, das Grundrecht auf Geheimhaltung gar nicht geltend machen zu können. Wenn man von der Nichtanwendung der Ausnahme des Kapitels VI DSGVO ausgeht, wäre aber ohne die Bestimmung des §24 DSG der DSB eine Feststellung eines in der Vergangenheit liegenden Grundrechtseingriffs verwehrt. Selbst wenn man von einer (alleinigen) Zuständigkeit der Zivilgerichte ausginge, würde es für die betroffenen Personen eine Ungleichbehandlung darstellen, nicht (auch) eine behördliche Zuständigkeit vorzusehen, die – wie oben ausgeführt – ihnen niederschwelliger zur Verfügung steht. Der Gleichheitsgrundsatz scheint im vorliegenden Fall verletzt zu werden, da er Gleiches ungleich behandelt (vgl VfSlg 5737 ua).

2.3. Art83 Abs2 B‑VG normiert das Recht auf ein Verfahren vor dem gesetzlichen Richter. Unter dem 'gesetzlichen Richter' ist jede staatliche Behörde zu verstehen (VfSlg 1443, 2048); daraus folgt ein verfassungsgesetzlich gewährleistetes Recht auf den Schutz und die Wahrung der gesetzlich begründeten Behördenzuständigkeit schlechthin (VfSlg 2536, 12.111). Im Bereich der Verwaltung bezieht sich das Recht auf ein Verfahren vor dem gesetzlichen Richter auf die zuständige Behörde als solche. Es ist ständige Judikatur, dass Art83 Abs2 B‑VG auch den Gesetzgeber bindet (VfSlg 6675; anders noch VfSlg 2470); der Gesetzgeber muss die Behördenzuständigkeit nach objektiven Kriterien (VfSlg 3156, 8349), exakt (VfSlg 9937, 10.311; VwGH 5. 9. 2008, 2007/12/0078), klar und eindeutig (VfSlg 11.288) festlegen (VfSlg 10.311, 12.788; VwGH 7. 7. 2011, 2009/15/0223) [Muzak, B‑VG⁶ Art83 (Stand 1.10.2020, rdb.at].

Wären die in §9 Abs1 DSG genannten Ausnahmen von der DSGVO nicht als unanwendbar anzusehen, wäre der DSB generell jegliche meritorische Entscheidung über eine Beschwerde, die eine Verarbeitung im Rahmen des 'Medienprivilegs' betrifft, verwehrt.

Außerdem ist zu berücksichtigen, dass im Anwendungsbereich des §9 DSG für eine Verletzung des §1 DSG gar keine Zuständigkeit einer Behörde oder eines Gerichts besteht, da Art77 DSGVO (nur) das Recht auf Beschwerde bei einer Aufsichtsbehörde normiert, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten 'gegen diese Verordnung' – eben die DSGVO – verstößt. Eine vermeintliche Verletzung des innerstaatlichen §1 DSG kann aber auch nicht über Art77 oder Art79 DSGVO geltend gemacht werden […].

Wie oben aufgezeigt, kommt im Anwendungsfall des §9 Abs1 DSG der Datenschutzbehörde (zumindest für den Fall einer Beschwerde wegen Verletzung des Grundrechts auf Datenschutz) keine meritorische Entscheidungsbefugnis zu und ist diese Regelung – aus den genannten Gründen – unsachlich. Demnach wäre auch keine Behördenzuständigkeit nach objektiven Kriterien vorgesehen, weshalb im vorliegenden Fall auch ein Konflikt mit dem Recht auf den gesetzlichen Richter gemäß Art83 Abs2 B‑VG und überdies mit Art6 EMRK besteht.

2.4. Auch Art8 GRC garantiert der betroffenen Person den Schutz der sie betreffenden personenbezogenen Daten und sieht vor, dass die Einhaltung dieser Vorschriften von einer unabhängigen Stelle überwacht wird. Die Einhaltung der in Art8 Abs1 und 2 normierten Garantien – in Übereinstimmung mit Art16 Abs2 Satz 2 AEUV und Art39 letzter Satz EUV – ist durch eine unabhängige Stelle zu überwachen. Der damit zugleich bewirkte verfahrensrechtliche Schutz präzisiert die Rechtswegegarantien des Art47 GRC für den Bereich des Datenschutzes. Die Art51 f DSGVO regeln (in rechtsvereinheitlichender Weise) die Unabhängigkeit der Aufsichtsbehörden auf Ebene der Mitgliedstaaten in umfassender Weise und in Entsprechung der dieses Postulat konkretisierenden Judikatur des EuGH, welche insb. in expliziter Kongruenz zu Art8 Abs3 GRC ergangenen ist. 'Unabhängige Stelle' sind sowohl der Europäische Datenschutzbeauftragte (gem. Art41 ff VO [EU] 2001/45), die behördlichen (gemeinschaftlichen) Datenschutzbeauftragten (Art24 leg cit) sowie (v.a.) auch die Aufsichtsbehörden in den Mitgliedstaaten (Art51 f DSGVO; vormals Kontrollstellen gem. Art28 DSRL). Nach Ansicht des EuGH gilt die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten (wie selbstredend auch in der Union selbst) als ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten (EuGH 9.3.2010, C‑518/07 , Kommission/Deutschland Rz 23; EuGH 16.10.2012, C-14/10 , Kommission/Österreich Rz 37; EuGH 8.4.2014, C-88/12 , Kommission/Ungarn Rz 48; ua (vgl ebenso ErwGr 62 DRSL sowie ErwGr 117 DSGVO).

Die Tatsache, dass dies nicht nur sekundärrechtlich (Art51 Abs1 und Art52 DSGVO), sondern auch durch Art8 Abs1 GRC (sowie Art16 Abs1 AEUV) explizit geschützt wird, spricht dafür, in Art8 Abs3 GRC eine Art Institutionsgarantie zu sehen. Bekräftigt wird dieser Schluss auch durch die genannten Regelungen des Sekundärrechts, welche einen gesetzlichen Auftrag zur Einrichtung statuieren. Ein Recht des Betroffenen, sich mit einer Eingabe an die nationalen Kontrollstellen zu richten, hat mit dieser Begründung zuletzt auch der EuGH ausgesprochen (EuGH 21. 12. 2016, verb Rs C-203/15 und C-698/15 , Tele2 Sverige AB ua Rz 123; zuvor bereits EuGH 6. 10. 2015, C-362/14 , Schrems Rz 58 unter Hinweis auf die Entscheidung Digital Rights Ireland und Seitlinger ua).

Ebenso steht dem Betroffenen gemäß Art47 GRC das Recht offen, gegen eine abweisende Entscheidung der Kontrollstelle betreffend den Schutz seiner personenbezogenen Daten Rechtsmittel bei den nationalen Gerichten einzulegen. Der Kontrollstelle selbst steht in diesem Zusammenhang ua auch durch Art8 Abs3 GRC – wenn sie eine Beschwerde einer Person, die sich mit einer Eingabe an sie gewendet hat, für zutreffend hält – ein Rechtsbehelf vor den (nationalen) Stellen/Gerichten zu. Daneben kommen der Kontrollstelle/Aufsichtsbehörde weitere Untersuchungs- und Eingriffsbefugnisse iSd in Art58 DSGVO vorgenommenen umfassenden Auflistung zu, damit sie ihre Aufgabe als 'Hüterin der Grundrechte' wirksam ausüben kann (Riesz in Holoubek/Lienbacher, GRC‑Kommentar² Art8 (Stand 1.4.2019, rdb.at).

Schon dies zeigt, dass die bloße Möglichkeit der direkten Geltendmachung einer Datenschutzverletzung bei den Gerichten (die aber im gegenständlichen Fall auch nicht gegeben ist) die Institution einer Aufsichtsbehörde und einen Rechtsschutz durch diese Behörde nicht ersetzen kann, sondern nur als Alternative zu sehen ist, wobei, wie oben ausgeführt wurde, im gegenständlichen Fall das Grundrecht auf Geheimhaltung nicht über Art79 DSGVO geltend gemacht werden kann.

In der Entscheidung des VfGH VfSlg 19.632/2012 wurde bereits festgestellt, dass aufgrund des Äquivalenzgrundsatzes auch die von der GRC garantierten Rechte vor dem VfGH als verfassungsgesetzlich gewährleistete Rechte gemäß Art144 B‑VG geltend gemacht werden können und sie im Anwendungsbereich der GRC einen Prüfungsmaßstab in Verfahren der generellen Normenkontrolle, vor allem gemäß Art139 und Art140 B‑VG, bilden. Dies gelte dann, wenn die betreffende Garantie der GRC in ihrer Formulierung und Bestimmtheit verfassungsgesetzlich gewährleisteten Rechten gleiche. Die Eingriffsziele des Art52 Abs1 GRC, in concreto 'von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen', erlauben weitergehende Eingriffe in Art8 GRC als jene, die in Art8 Abs2 EMRK taxativ genannt sind (auf welche §1 Abs2 DSG hinsichtlich staatlicher Eingriffe explizit rekurriert), wobei auch diese Divergenz in Anbetracht der gleichen Schrankenprüfung (Verhältnismäßigkeit) praktisch zu keinen wesentlichen Unterschieden bei der Zulässigkeit von Eingriffen führen wird. In Anbetracht dieser Überlegungen wird davon ausgegangen, dass Art8 GRC 'keinen über die Verfassungsbestimmung des §1 DSG hinausgehenden Schutzgehalt hat', wobei die Anwendungsbereiche der beiden Grundrechtsbestimmungen aber dennoch nicht (ganz) deckungsgleich sind. In Anbetracht der trotz vorhandenen Unterschiede, im Gesamtzusammenhang aber dennoch vorliegenden Vergleichbarkeit zwischen §1 DSG und Art8 GRC kann diese Bestimmung jedenfalls als Grundrecht vor dem VfGH geltend gemacht werden (Riesz in Holoubek/Lienbacher, GRC-Kommentar² Art8 (Stand 1.4.2019, rdb.at)).

Ebenso hat der EGMR die Schutzbedürftigkeit personenbezogener Daten anerkannt, indem er die Verarbeitung, Übermittlung und Aufbewahrung entsprechender Daten regelmäßig als Eingriff in die durch Art8 Abs1 EMRK geschützte Privatsphäre (insb. in das allgemeine Persönlichkeitsrecht) qualifiziert hat. Art8 GRC knüpft an die bestehenden umfassenden Schutzgarantien des Art8 Abs1 EMRK an und schreibt den Aspekt des Schutzes personenbezogener Daten in einem eigenständigen Grundrecht fest. Mittelbar vollzieht sich eine Inkorporierung im Bereich des Datenschutzes allerdings durch die explizite Bezugnahme auf Art8 EMRK in den Erläuterungen von Art8 GRC, welche gemäß Art52 Abs7 GRC iVm Art6 Abs1 Unterabsatz 3 EUV bei der Auslegung zu beachten sind, woraus die enge – auch primärrechtlich unterstrichene – Verknüpfung beider Systeme ersichtlich ist. Diese wird auch durch die Anlehnung der Rsp des EuGH an die Rsp des EGMR bestätigt (siehe abermals Riesz in Holoubek/Lienbacher, GRC‑Kommentar² Art8 (Stand 1.4.2019, rdb.at).

Sohin stellt Art8 EMRK ebenfalls einen Prüfungsmaßstab dar und die angefochtenen Teile des §9 Abs1 DSG stehen – aus den oben angeführten Gründen – in Konflikt mit der Bestimmung des Art8 EMRK.

3. Eine verfassungskonforme Interpretation der angefochtenen Bestimmung kam im vorliegenden Fall jedenfalls hinsichtlich der Ausnahme der einfachgesetzlichen Regelungen des DSG nicht in Betracht, da diese – wie auch jede andere Auslegungsmethode – ihre Grenze im eindeutigen Wortlaut des Gesetzes findet (VwGH 13. März 2009, 2005/12/0240, mwN; 29.06.2011, 2009/12/0141).

Auch wenn man davon ausgeht, dass eine Wortinterpretation ergibt, dass §9 Abs1 DSG eine Zuständigkeit der Datenschutzbehörde für die Behandlung von Beschwerden gegen Akteure, die nicht in §9 Abs1 DSG genannt sind, nicht ausschließt, wäre eine Zuständigkeit einer nationalen Aufsichtsbehörde für Beschwerden gegen nicht in §9 Abs1 DSG genannte journalistisch tätige Personen einerseits (Stichwort: Bürgerjournalismus) und eine Unzuständigkeit der DSB bezüglich Beschwerden gegen die in §9 Abs1 DSG genannten journalistisch tätigen Akteure andererseits, sachlich nicht begründbar und daher gleichheitswidrig. §9 Abs1 DSG ist daher einer verfassungskonformen Interpretation nicht zugänglich.

Eine rechtswidrige Norm ist nicht unbeachtlich, sondern vielmehr so lange anzuwenden, bis sie im hiefür vorgesehenen Verfahren vom VfGH geprüft und aufgehoben wird (vgl VfGH 11.10.1955, V15/55).

IV. Schlussfolgerung

Daher hat das Bundesverwaltungsgericht beschlossen, den im Spruch angeführten Antrag an den Verfassungsgerichtshof zu stellen."

4. Der Antrag des Bundesverwaltungsgerichtes in dem beim Verfassungsgerichtshof zur Zahl G288/2022 protokollierten Verfahren entspricht – mit Anpassungen an den dortigen Sachverhalt und Verfahrensgang – dem soeben wiedergegebenen Gesetzesprüfungsantrag.

5. Die Bundesregierung teilte dem Verfassungsgerichtshof mit Schriftsätzen vom 16. November 2022 mit, in den zu den Zahlen G287/2022 und G288/2022 protokollierten Verfahren von einer Äußerung abzusehen.

6. Die Datenschutzbehörde erstattete in dem beim Verfassungsgerichtshof zur Zahl G287/2022 protokollierten Verfahren eine Äußerung, in der sie den Bedenken des antragstellenden Gerichtes wie folgt entgegentritt (ohne die im Original enthaltenen Hervorhebungen):

"I. Äußerung zum Gegenstand

1. Allgemeines zur Zulässigkeit:

Vorangestellt wird, dass die Frage, ob und allenfalls in welchem Umfang §9 Abs1 DSG in Einklang mit unionsrechtlichen Vorgaben steht, Sache des EuGH nach Art267 AEUV ist. Demnach ist nach Ansicht der Datenschutzbehörde auf die Ausführungen hinsichtlich einer potentiellen Unionsrechtswidrigkeit nicht weiter einzugehen.

Das BVwG begehrt im Zuge seines Antrages die Aufhebung nachstehender Bestimmung:

'§9 (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl NR. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.'

in der Fassung der Novelle BGBl I Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018).

Begründend wird im Wesentlichen ausgeführt, dass eine Geltendmachung des Grundrechts auf Datenschutz nach §1 DSG im Anwendungsbereich des §9 Abs1 DSG faktisch ausgehebelt werde, da aufgrund des in §9 Abs1 DSG normierten Ausschlusses der einfachgesetzlichen Bestimmung des DSG – und damit auch der Unanwendbarkeit des §24 Abs1 DSG sowie des gesamten Kapitels VI der DSGVO – einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung stehe, um eine Verletzung des Grundrechts geltend zu machen. Das BVwG vertritt die Meinung, dass einer nationalen Aufsichtsbehörde auch im Rahmen des §9 Abs1 DSG eine Zuständigkeit zur Behandlung von Beschwerden zukommen müsse.

Die Datenschutzbehörde vertritt die – noch weiter zu begründende – Ansicht, dass §9 Abs1 DSG in der derzeitigen Fassung nicht zwingend verfassungsgesetzlichen Vorgaben widerspricht.

2. Zu den konkreten verfassungsrechtlichen Bedenken des antragstellenden Gerichtes:

Der angerufene Gerichtshof entscheidet über die Verfassungswidrigkeit der angefochtenen Rechtsvorschrift (Art140 Abs1 B‑VG). Der Antrag hat die gegen die Verfassungsmäßigkeit des Gesetzes sprechenden Bedenken im Einzelnen darzulegen (§62 Abs1 zweiter Satz VfGG). Der Verfassungsgerichtshof hat zu beurteilen, ob die angefochtene Bestimmung aus den in der Begründung des Antrages dargelegten Gründen verfassungswidrig ist (VfSlg 15.193/1998, 16.374/2001, 16.538/2002, 16.929/2003).

Dieses Erfordernis ist nach der ständigen Rechtsprechung des Verfassungsgerichtshofes nur dann erfüllt, wenn die Gründe der behaupteten Verfassungswidrigkeit – in überprüfbarer Art– präzise ausgebreitet werden, mithin dem Antrag mit hinreichender Deutlichkeit zu entnehmen ist, mit welcher Rechtsvorschrift die zur Aufhebung beantragte Norm in Widerspruch stehen soll und welche Gründe für diese Annahme sprechen (vgl zB VfSlg 14.802/1997, 17.752/2006; spezifisch zum Parteiantrag VfGH 2.7.2015, G16/2015; 2.7.2015, G145/2015; 18.2.2016, G642/2015).

Auf das Wesentlichste zusammengefasst erblickt das BVwG eine Verfassungswidrigkeit des §9 Abs1 DSG deshalb, weil

a) eine Verletzung des Grundrechts auf Datenschutz gemäß §1 DSG nicht vor der Datenschutzbehörde geltend gemacht werden könne (siehe Punkt 3.1.);

b) der Ausschluss des Rechtswegs an die Datenschutzbehörde gleichheitswidrig im Sinne des Art7 B‑VG und Art2 StGG sei (siehe Punkt 3.2.);

c) das Recht auf den gesetzlichen Richter nach Art83 B‑VG verletzt werde sowie (siehe Punkt 3.3.);

d) eine Verletzung der in Art8 EU-GRC vorgesehenen Garantie des Schutzes der personenbezogenen Daten vorliege (siehe Punkt 3.4.).

Gegenstand des vorliegenden Verfahrens ist somit ausschließlich die Frage der (Un‑)Zuständigkeit der Datenschutzbehörde. Ob §9 Abs1 DSG aus sonstigen Gründen verfassungswidrig ist, ist hingegen nicht Verfahrensgegenstand.

Die Datenschutzbehörde nimmt hierzu im Einzelnen wie folgt Stellung:

3.1. Zu den Bedenken im Hinblick auf das Grundrecht auf Datenschutz im Zusammenhang mit dem 'Medienprivileg'

Das so genannte 'Medienprivileg' ist dadurch gekennzeichnet, dass, um das Grundrecht auf Schutz personenbezogener Daten nach Art8 EU-GRC und jenes auf Freiheit der Meinungsäußerung und Informationsfreiheit nach Art11 EU-GRC in Einklang zu bringen, partielle Abweichungen von Vorgaben der DSGVO notwendig sind, ua betreffend die Zuständigkeit der Aufsichtsbehörde (hier: Datenschutzbehörde) nach Kapitel VI DSGVO. Es ist nach Art85 Abs2 DSGVO Aufgabe der Mitgliedstaaten[,] durch innerstaatliche Regelungen diese beiden Grundrechte miteinander in Einklang zu bringen. Ein genereller Vorrang eines dieser beiden Grundrechte ist insofern nicht möglich, da im Kollisionsfall Grundrechte immer gegeneinander abzuwägen sind, wobei der EuGH in seiner bisherigen Rechtsprechung angedeutet hat, dem Grundrecht auf Schutz personenbezogener Daten gegenüber dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit den Vorrang einzuräumen (vgl zuletzt das Urteil vom 24. September 2019, C‑136/17 , Rn 66).

Die Datenschutzbehörde vertritt die Ansicht, dass die einfachgesetzliche Bestimmung des §9 Abs1 DSG jedenfalls nicht das im Verfassungsrang stehende Grundrecht auf Datenschutz nach §1 DSG im Rahmen des Medienprivilegs auszuhebeln vermag und auch im Anwendungsbereich des 'Medienprivilegs' vom Bestand des §1 DSG sowie auch von einer eingeschränkten Zuständigkeit der Datenschutzbehörde nach §24 DSG auszugehen ist.

Festzuhalten ist bereits an dieser Stelle, dass sich weder aus §1 DSG, noch aus Art7 B‑VG iVm Art2 StGG und aus Art83 B‑VG eine Zuständigkeit der Datenschutzbehörde ableiten lässt. Auch aus Art8 EU-GRC lässt sich, wie noch näher dazulegen ist, keine uneingeschränkte Zuständigkeit der Datenschutzbehörde ableiten.

Unabhängig davon kann nach der Rechtsprechung des OGH, worauf noch näher einzugehen sein wird, das Grundrecht auf Datenschutz nach §1 DSG unmittelbar vor den Zivilgerichten geltend gemacht werden, sodass jedenfalls ein Rechtsschutzweg eröffnet ist.

Die hier wesentliche verfassungsrechtliche Frage ist nach Ansicht der Datenschutzbehörde daher, ob der (partielle) Ausschluss der Zuständigkeit der Datenschutzbehörde im Anwendungsbereich des §9 Abs1 DSG gleichheitswidrig ist, weil diesfalls nur der (kostenpflichtige) Rechtsschutzweg an die Zivilgerichte eröffnet wird.

a) Zum Wortlaut von §9 Abs1 DSG

§9 Abs1 DSG 'Freiheit der Meinungsäußerung und Informationsfreiheit' lautet wie folgt (Hervorhebung durch Datenschutzbehörde):

Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.

In §9 Abs1 DSG wird das bisherige datenschutzrechtliche 'Medienprivileg' nach §48 DSG 2000, BGBl I Nr 165/1999 idF bis BGBl I Nr 132/2015, mit erweitertem Anwendungsbereich in das System der DSGVO transponiert. Die nationale Regelung in §9 DSG knüpft dabei an Art85 DSGVO, einer Grundsatzbestimmung samt Öffnungsklausel, an (vgl Suda/Veigl in Gantschacher/Jelinek/Schmidl/Spanberger, Datenschutzgesetz1, §9 Rz 1, noch mit Bezug auf §9 DSG idF BGBl I Nr 120/2017 [Datenschutz-Anpassungsgesetz 2018]).

ErwGr. 153 der DSGVO, welcher sich auf Art85 bezieht, lautet wie folgt […]:

'Im Recht der Mitgliedstaaten sollten die Vorschriften über die freie Meinungsäußerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser Verordnung in Einklang gebracht werden. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten daher Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden, die Zusammenarbeit und Kohärenz und besondere Datenverarbeitungssituationen erlassen. Sollten diese Abweichungen oder Ausnahmen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein, sollte das Recht des Mitgliedstaats angewendet werden, dem der Verantwortliche unterliegt. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden.'

Zunächst fällt auf, dass §9 Abs1 DSG eine Beschränkung auf eine bestimmte Berufsgruppe enthält ('klassische Medienunternehmen'), obwohl Art85 Abs2 DSGVO eine derartige Beschränkung fremd ist und nur an eine 'Verarbeitung zu journalistischen Zwecken' anknüpft.

Die in §9 Abs1 DSG normierte Beschränkung auf eine bestimmte Berufsgruppe war in der ursprünglich geplanten Umsetzung von Art85 Abs2 DSGVO durch §9 idF BGBl I Nr 120/2017 auch nicht vorgesehen (vgl RV 1664 dB XXV. GP, damals noch §27).

Der EuGH geht nach ständiger Rechtsprechung in Bezug auf ehemals Art9 der Richtlinie 95/46/EG - der Pendantbestimmung von nunmehr Art85 DSGVO - davon aus, dass die in Art9 der Richtlinie 95/46/EG vorgesehenen Befreiungen und Ausnahmen nicht nur für Medienunternehmen, sondern für jeden gelten, der journalistisch tätig ist (vgl das Urteil des EuGH vom 14. Februar 2019, C‑345/17 , Rn 52 und die dort angeführte Rsp).

Eine unmittelbare Anwendung von Art85 Abs2 DSGVO unter Nichtanwendung von §9 Abs1 DSG scheidet allerdings aus, da erstere Bestimmung keine materielle Bestimmung ist, sondern lediglich den an die Mitgliedstaaten gerichteten Auftrag enthält, entsprechende Rechtsvorschriften für bestimmte Verarbeitungssituationen zu erlassen (vgl Schiedermair in Ehmann/Selmayr, Datenschutz-Grundverordnung Kommentar [2018] Art85 Rz 1 und 9). Abgesehen davon ist Art85 Abs2 DSGVO – anders als Art58 Abs5, dem der EuGH eine unmittelbare Anwendbarkeit zuerkennt – nicht ausreichend determiniert, um eine unmittelbare Anwendbarkeit zu gewährleisten (siehe dazu das Urteil des EuGH vom 15. Juni 2021, C-645/19 , ab Rn 106, insbesondere Rn 112).

Eine Interpretation des §9 Abs1 DSG im Lichte der erwähnten Rechtsprechung des EuGH würde aber – im Umkehrschluss – dazu führen, jedwede Datenverarbeitung zu 'journalistischen Zwecken' der nachprüfenden Kontrolle durch die Datenschutzbehörde zu entziehen. Nach der stRsp des EuGH haben sich Ausnahmen und Einschränkungen in Bezug auf den Datenschutz auf das absolut Notwendigste zu beschränken (vgl nochmals das Urteil des EuGH vom 14. Februar 2019, C-345/17 , Rn 64 und die dort angeführte Rsp).

Aus diesem Grund ist die Datenschutzbehörde – nach einer anfänglich sehr weiten Interpretation des §9 Abs1 DSG (siehe dazu kritisch Blocher/Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum, in Jahnel (Hrsg.), Datenschutzrecht. Jahrbuch 19 (2019), S. 314 und die dort zitierte Rechtsprechung) – in ihrer Rechtsprechung dazu übergegangen, §9 Abs1 DSG 'enger' auszulegen und somit eine eingeschränkte Zuständigkeit zur Behandlung von Beschwerden zu bejahen.

Eine 'Privilegierung' im Sinne der Unzuständigkeit der Datenschutzbehörde können demnach nur bestimmte Akteure, nämlich 'Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des MedienG', und auch nur dann für sich beanspruchen, wenn sie personenbezogene Daten 'zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes' verarbeiten.

Mit anderen Worten: Erst diese strikte Doppelbindung – nämlich bestimmte Akteure und bestimmter Zweck –, die in §9 Abs1 DSG ausdrücklich vorgesehen ist, bewirkt, dass 'die Bestimmungen dieses Bundesgesetzes sowie' bestimmte Kapitel der DSGVO keine Anwendung finden.

Eine Wortinterpretation ergibt somit, dass §9 Abs1 DSG eine Zuständigkeit der Datenschutzbehörde für die Behandlung von Beschwerden nicht gänzlich ausschließt.

b) Zur Datenverarbeitung zu journalistischen Zwecken

Abgesehen davon, haben sowohl der EuGH als auch der EGMR bestimmte Kriterien entwickelt, um journalistische Tätigkeiten zu definieren, was dazu führt, dass nicht jedwede Datenverarbeitung im journalistischen Kontext auch eine Datenverarbeitung zu journalistischen Zwecken darstellt.

Eine Verarbeitung personenbezogener Daten für 'journalistische Zwecke' liegt nach dem Verständnis des EuGH nur dann vor, wenn die Verarbeitung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten (vgl Urteile des EuGH 16. Dezember 2008, C-73/07 , Rn 61, und vom 14. Februar 2019, C-345/17 , Rn 53). Zwar bezieht sich diese Rsp. noch auf Art9 der Richtlinie 95/46/EG , welcher jedoch – wie bereits erwähnt – als Pendantbestimmung zu Art85 DSGVO zu verstehen ist.

Somit kann nicht davon ausgegangen werden, dass jegliche (im Internet) veröffentlichte Information, die sich auf personenbezogene Daten bezieht, unter den Begriff der 'journalistischen Tätigkeiten' fiele und daher für sie die in Art9 der Richtlinie 95/46/EG (nunmehr Art85 Abs2 DSGVO) vorgesehenen Abweichungen und Ausnahmen gelten (siehe dazu nochmals das Urteil des EuGH vom 14. Februar 2019, C-345/17 , Rn 58).

Publikationen müssen vielmehr ein Mindestmaß an journalistischer Bearbeitung aufweisen. Von Bedeutung ist die Hürde des Mindestmaßes an Bearbeitung vor allem für Online-Informationsangebote. In seiner Rechtsprechung zu Bewertungsportalen hat der deutsche BGH ein hinreichend journalistisch-redaktionelles Niveau, welches eine datenschutzrechtliche Privilegierung rechtfertigen könnte, erst dann angenommen, 'wenn die meinungsbildende Wirkung für die Allgemeinheit prägender Bestandteil des Angebots und nicht nur schmückendes Beiwerk ist'. Bei der konkreten Abgrenzung, ab wann Informationen auf einer Webseite die Schwelle des Journalismus überschreiten, handelt es sich um eine Entscheidung, die anhand der vom EuGH entwickelten Kriterien im Einzelfall zu treffen ist.

Es handelt sich hierbei um kumulative Kriterien und ist im Falle des 'Verneinens' eines der genannten Kriterien von der Unanwendbarkeit des 'Medienprivilegs' und damit von einer Zuständigkeit der Datenschutzbehörde auszugehen, was die Datenschutzbehörde in ihrer Rechtsprechung berücksichtigt (vgl Bescheid der DSB vom 19. August 2019, GZ DSB-D123.957/0003-DSB/2019).

c) Zur (eingeschränkten) Zuständigkeit der Datenschutzbehörde

Der Wortlaut des §9 Abs1 DSG schließt eine Zuständigkeit der Datenschutzbehörde nur bei Vorliegen der bereits erwähnten 'Doppelbindung' aus.

Die Datenschutzbehörde erachtet sich folglich – bei Nichtvorliegen dieser Voraussetzungen – zur inhaltlichen Behandlung als zuständig, hat jedoch im Rahmen der Abwägung das Recht auf freie Meinungsäußerung und Informationsfreiheit nach Art11 EU-GRC bzw Art10 EMRK zu berücksichtigen.

Dazu hat der EGMR relevante Kriterien entwickelt, die für diese Güterwägung heranzuziehen sind (siehe abermals das Urteil des EuGH vom 14. Februar 2019, C‑345/17 , Rn 66 mwN):

- Beitrag einer Debatte von allgemeinem Interesse,

- Bekanntheitsgrad der betroffenen Person,

- Gegenstand der Berichterstattung,

- vorangegangenes Verhalten der betroffenen Person,

- Inhalt,

- Form und Auswirkungen der Veröffentlichung,

- Art und Weise sowie

- Umstände, unter denen die Informationen erlangt worden sind,

- Richtigkeit

Dies soll anhand nachstehender Beispiele verdeutlicht werden:

- So hat die Datenschutzbehörde in ihrem Bescheid vom 9. September 2019, DSB‑D124.274/0007-DSB/2019, ausgesprochen, dass ein Facebook-Posting eines Mitarbeiters eines Medienunternehmens nicht unter §9 Abs1 DSG fällt, wenn das Facebook-Posting auf dem privaten Facebook-Profil des Mitarbeiters verfasst wird und dieses Facebook-Posting zudem keinen erkennbaren Bezug zum Medienunternehmen aufweist. Im Erkenntnis des BVwG vom 20. November 2020, W274 2224363-1/18E, hat dieses die Ausführungen der Datenschutzbehörde zum Medienprivileg bestätigt und festgehalten, dass Postings einer Privatperson (selbst wenn diese ein Journalist ist), die auf ihrem privaten Facebook-Profil veröffentlicht werden, nicht in den Anwendungsbereich des Medienprivilegs fallen.

- In diesem Sinne erklärte sich die Datenschutzbehörde auch in ihrem Bescheid vom 2. Dezember 2019, DSB-D124.352/0003-DSB/2019 (RIS), zur Entscheidung über die Anfertigung von Fotoaufnahmen einer polizeilichen Amtshandlung und der anschließenden Veröffentlichung dieser Aufnahmen auf einem privaten Facebook-Konto für zuständig, weil keine 'Doppelbindung' im o.a. Sinne vorlag.

- Des Weiteren hielt die Datenschutzbehörde in ihrem Bescheid vom 19. Februar 2021, D124.3022, 2021-0.067.945, fest, dass für die Zurechnung eines Postings zum Medienunternehmen ein notwendiger Zusammenhang mit der journalistischen Tätigkeit vorauszusetzen ist und dieser sohin nicht vorliegt, wenn Postings völlig ohne journalistische Kontrolle und Bearbeitung und allein aus dem eigenen Antrieb des Nutzers veröffentlicht werden.

- Im Bescheid vom 18. Dezember 2019, DSB-D123.768/0004-DSB/2019 (RIS), hat die Datenschutzbehörde ausgeführt, dass auch die Tatsache, dass eine Facebook-Seite durch einen Medienmitarbeiter einer politischen Partei betreut wird, nicht zwangsläufig zu einer Verarbeitung zu journalistischen Zwecken führt. Denn das Ziel ist hierbei nicht die inhaltliche Gestaltung des Mediums, sondern vielmehr durch politische Tätigkeit die staatliche Willensbildung umfassend zu beeinflussen. Die Medientätigkeit kann daher in diesem Zusammenhang nur als eine 'Nebenerscheinung' im Zuge der angestrebten Erreichung dieser Ziele verstanden werden.

- Auch der Hinweis darüber, dass ein Redakteur nicht mehr bei einem Medienunternehmen angestellt ist, mag zwar von 'Interesse' für einzelne Leser sein und in der natürliche[n] 'Neugierde' eines Menschen liegen, darf aber keinesfalls mit einem gewissen 'Interesse zu einer bestimmten Thematik' verwechselt werden und fällt somit nicht unter 'Verarbeitung zu journalistischen Zwecken' (vgl den Bescheid der Datenschutzbehörde vom 19. Februar 2021, D124.3022, 2021-0.067.945).

- In diesem Zusammenhang hat das BVwG in seinem Erkenntnis vom 15. Dezember 2021, W176 2245370-1, bereits ausgesprochen, dass Bewertungsplattformen nicht unter den Begriff 'journalistische Zwecke' fallen.

Auch aus den obigen Ausführungen folgt, dass §9 Abs1 DSG somit keinen Totalausschluss bestimmter Rechte und der Zuständigkeit der Datenschutzbehörde bewirkt.

Letztlich scheint der Gesetzgeber selbst von einer 'Restzuständigkeit' der Datenschutzbehörde auszugehen, als im letzten Satz des §9 Abs1 DSG angeführt ist, dass 'die Datenschutzbehörde bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten [hat]'. Ginge der Gesetzgeber hingegen ohnehin davon aus, dass keine Zuständigkeit der Datenschutzbehörde im Anwendungsbereich des §9 Abs1 DSG bestünde, wäre der letzte Satz des Abs1 völlig sinnentleert, was dem Gesetzgeber jedoch nicht unterstellt werden kann.

Bestätigen lässt sich dies insbesondere aus der Gesamtkonstellation des §9 Abs1 DSG. Im ersten Satz werden sowohl die Zuständigkeit als auch die Befugnisse der Datenschutzbehörde unter den zuvor erläuterten Anwendungsvoraussetzungen ausgeschlossen und kann sich daher der zweite Satz denklogisch nur auf jenen Bereich beziehen, bei welchem das 'Medienprivileg' gerade nicht zur Anwendung kommt.

Dieser Ansicht scheint auch das BVwG gefolgt zu sein, indem dieses in dessen Antrag darauf hinweist, dass 'der letzte Satz des §9 Abs1 DSG davon auszugehen scheint, dass der Datenschutzbehörde sehr wohl auch bei Beschwerden gegen Medienunternehmen und -inhaber Befugnisse zukommen.'

d) Zur bisherigen Rechtsprechung des Verfassungsgerichtshofes

Der Verfassungsgerichtshof hat sich bereits in seiner Entscheidung vom 8. Oktober 2015, G264/2015, mit dem – mit §9 Abs1 DSG vergleichbaren – §48 DSG 2000 (BGBl I Nr 165/1999 idF bis BGBl I Nr 132/2015) auseinandergesetzt.

Hierzu hat der Verfassungsgerichtshof ausgesprochen, dass 'selbst bei einem […] weitgehenden Anwendungsbereich des §48 DSG 2000 […] das darin normierte Medienprivileg […] nicht alle Fälle der von Art10 EMRK geschützten Kommunikations- und Informationsfreiheit [erfasst]. […] Es [gibt] Fallkonstellationen, in denen – mangels Anwendbarkeit des §48 DSG 2000' – sohin die einfachgesetzlichen Bestimmungen des DSG 2000 zur Anwendung gelangen.

Die Datenschutzbehörde übersieht dabei nicht, dass die genannte Entscheidung im Grund die Verfassungswidrigkeit von §28 Abs2 DSG 2000 zum Gegenstand hatte und §48 DSG 2000 nur peripher betroffen war.

Nichtsdestotrotz vertritt die Datenschutzbehörde die Auffassung, dass in dem genannten Erkenntnis mit hinreichender Klarheit zum Ausdruck kommt, dass §48 DSG 2000 durchaus Fallkonstellationen kannte, in welchen die einfachgesetzlichen Bestimmungen des DSG 2000 – und damit auch die Bestimmungen zur Zuständigkeit der Datenschutzkommission/Datenschutzbehörde – zur Anwendung gelangten.

Somit ging der Verfassungsgerichtshof von einer eingeschränkten Zuständigkeit der Datenschutzkommission/Datenschutzbehörde im Rahmen des Medienprivilegs aus.

Diese Überlegungen sind nach Ansicht der Datenschutzbehörde auf §9 Abs1 DSG übertragbar.

e) Zusammenfassende Betrachtungen

In Zusammenschau des Gesagten vertritt die Datenschutzbehörde daher die Ansicht, dass §9 Abs1 DSG nicht a limine als verfassungswidrig zur qualifizieren ist:

Eine Unzuständigkeit der Datenschutzbehörde zur Behandlung von Beschwerden gemäß §24 DSG iVm Art77 DSGVO wegen einer behaupteten Verletzung im Recht auf Geheimhaltung nach §1 Abs1 DSG besteht demnach nur dann, wenn personenbezogene Daten durch bestimmte Akteure zu bestimmten Zwecken verarbeitet werden. §9 DSG ist somit doppelt enger gefasst als die Vorgabe der DSGVO (vgl Forgó, Datenschutzrechtliche Einschätzung öffentlich zugänglicher Bewertungsplattformen von Lehrerinnen und Lehrern am Beispiel 'Lernsieg', 2020, S15). Die Privilegierung ist somit technologieneutral und kann dynamische Entwicklungen im Markt samt neu entstehender journalistischer Angebote berücksichtigen (vgl [Forgó], ebd., S 21).

Eine Zuständigkeit der Datenschutzbehörde ist zu bejahen, wenn diese Voraussetzungen nicht zutreffen (bspw. Verarbeitung personenbezogener Daten im Rahmen eines von einer Privatperson betriebenen Internetblogs etc.).

Eine Zuständigkeit der Datenschutzbehörde ist weiters zu bejahen, wenn die Verarbeitung personenbezogener Daten in einem Kontext erfolgt, der nicht als 'journalistische Tätigkeit' angesehen werden kann (bspw. Abonnementverwaltung).

Es kann somit nicht gesagt werden, dass §9 Abs1 DSG die Geltendmachung des Grundrechts auf Datenschutz nach §1 DSG vor der Datenschutzbehörde gänzlich '[aushebelt]'.

3.2. Zu den Bedenken im Hinblick auf den Gleichheitsgrundsatz gemäß Art2 StGG und Art7 B‑VG

Wie das BVwG ausführt, zielt die Sachlichkeitsprüfung von Gesetzen auf eine Bewertung der Relation des von einer Regelung erfassten Sachverhaltes zu der vorgesehenen Rechtsfolge ab. Liegen differenzierende Regelungen vor, so ist ein Normenvergleich durchzuführen, es ist zu fragen, ob die jeweils erfassten Sachverhalte so unterschiedlich sind, dass sie die unterschiedlichen Rechtsfolgen zu 'tragen' vermögen (VfSlg 16.635/2002, 17.309/2004).

Innerhalb dieser Schranken ist es dem Gesetzgeber jedoch von Verfassungswegen nicht verwehrt, seine politischen Zielvorstellungen auf die ihm geeignet erscheinende Art zu verfolgen (vgl VfSlg 13.576/1993, 13.743/1994, 15.737/2000, 16.504/2002).

Unter dem Blickwinkel des Gleichheitsgrundsatzes ist somit nicht zu beurteilen, ob eine Regelung zweckmäßig ist oder ob mit ihr der optimale Weg zur Zielerreichung beschritten wird (vgl VfSlg 11.288/1987), sondern es ist dem Gesetzgeber unter dem Aspekt des Gleichheitsgrundsatzes nur dann entgegenzutreten, wenn dieser bei der Bestimmung der einzusetzenden Mittel die verfassungsgesetzlichen Schranken überschreitet. Das ist insbesondere dann der Fall, wenn er das aus dem Gleichheitsgrundsatz sich ergebende Sachlichkeitsgebot verletzt, wenn er also zur Zielerreichung völlig ungeeignete Mittel vorsieht oder wenn die vorgesehenen, an sich geeigneten Mittel zu einer sachlich nicht begründbaren Differenzierung führen (vgl zB VfSlg 12.227/1989).

Im Lichte der Rechtsprechung des Verfassungsgerichtshofes ist es dem Gesetzgeber auch nicht verwehrt, einfache und leicht handhabbare Regelungen zu treffen, die der Verwaltungsökonomie dienen (vgl VfSlg 9645/1983 und 11.775/1988). Der Gesetzgeber darf von einer auf den Regelfall abstellenden Durchschnittsbetrachtung ausgehen und bei seinen Regelungen typisieren (vgl VfSlg 11.469/1987 und 13.726/1994).

Nach Auffassung der Datenschutzbehörde sind im vorliegenden Fall jedoch sehr wohl sachliche Gründe ersichtlich, die eine Differenzierung rechtfertigten:

§9 Abs1 DSG privilegiert 'klassische Medien' (im Sinne der 'institutionalisierten Form' der freien Meinungsäußerung') dahingehend, dass die einfachgesetzlichen Bestimmungen des DSG sowie bestimmte Kapitel der DSGVO – und damit die Zuständigkeit der Datenschutzbehörde – nicht zur Anwendung gelangen.

Unter dem Blickwinkel des Gleichheitssatzes ist daher zu beurteilen, ob diese Differenzierung zwischen 'klassischen Medien' und 'sonstigen Medien' gerechtfertigt ist.

a) Zur Rechtsprechung des Verfassungsgerichtshofes

Der Verfassungsgerichtshof selbst hat in seiner Entscheidung vom 4. März 2021, GZ E 4037/2020, auf die 'besondere Bedeutung' der 'klassischen Medien' hingewiesen, weil diesen in einer demokratischen Gesellschaft die Rolle eines 'Wachhundes' zukomme.

Daraus folgt nach Ansicht der Datenschutzbehörde, dass aufgrund der Rolle, die 'klassische Medien' einnehmen, eine Privilegierung in dem Sinne, dass die Verarbeitung personenbezogener Daten nicht der Kontrolle durch die Datenschutzbehörde – sondern nur der Gerichte – unterzogen ist, durchaus sachlich gerechtfertigt sein kann.

b) Zur historischen Entwicklung des 'Medienprivilegs'

Des Weiteren entspricht es dem historischen Willen des Gesetzgebers, medienrechtliche Sachverhalte ausschließlich dem MedienG – und damit der gerichtlichen Zuständigkeit – zu unterwerfen:

Das 'Medienprivileg' wurde in seiner Stammfassung in §54 des Datenschutzgesetzes, BGBl Nr 565/1978 geschaffen. Im Stenographischen Protokoll der 104. Sitzung des Nationalrates in der XIV. Gesetzgebungsperiode am 18. Oktober 1978 wird hierzu ausgeführt:

'Zunächst beschränken wir die Wirksamkeit des Datenschutzgesetzes auf die Verfassungsbestimmung dieses Gesetzes für Medien und wir sagen noch etwas: Aber dieses Medienprivileg, das nur bis zur Erlassung eines Mediengesetzes gilt, darf nur für Unternehmungen gelten, die sich ausschließlich dem Medienzweck widmen' (S. 36).

Dem Ausschussbericht 1978, 1024 dB XIV. GP, ist die Absicht zu entnehmen, dass bei den Beratungen über die Regierungsvorlage eines Mediengesetzes die Gedanken des Datenschutzes gebührende Beachtung finden würden.

Im Stenographischen Protokoll der 91. Sitzung des Nationalrates in der XVI. Gesetzgebungsperiode am 22. Mai 1985 findet sich zum Medienprivileg folgender Passus:

'Wir haben bei Beschlußfassung des Datenschutzgesetzes den Medien ein Privileg eingeräumt, ein sogenanntes Medienprivileg. Wir sagten: Ja, das Grundrecht des Datenschutzes, das Menschenrecht, das vom Europarat normiert wurde, soll für die Medien schon gelten, aber sonst wird der Mediengesetzgeber im Mediengesetz im einzelnen regeln, wie es im Medienbereich ausschauen soll. Und das haben wir dann übersehen. Daher sind die Medien vom Grundrecht ausgenommen, und im Mediengesetz gibt es keine speziellen Regelungen dafür. […] Ich glaube, das war ein Fehler des Gesetzgebers, und es wirft eigentlich ein charakteristisches Licht auf die Situation.' (S. 51).

Im Übrigen findet sich im Stenographischen Protokoll der 151. Sitzung des Nationalrates in der XVI. Gesetzgebungsperiode am 27. Juni 1986 zum Medienprivileg folgender Passus:

'Ich nenne nur das Beispiel des Mediengesetzes. Wir haben das Datenschutzgesetz beschlossen und gesagt, für den Medienbereich soll nur die Verfassungsbestimmung gelten, die einfach-gesetzlichen Bestimmungen überlassen wir dem Mediengesetzgeber, das Mediengesetz soll das regeln. Was ist dann geschehen? - Wir haben im Mediengesetz einvernehmlich auf die Regelung des Datenschutzes verzichtet! Daher gibt es jetzt in Österreich ein Medienprivileg, und dieses lautet, daß der Datenschutz für den Medienbereich nur mit seiner Verfassungsbestimmung gilt, sonst nichts' (S. 33).

Aus einer Zusammenschau der Materialen kann daher geschlossen werden, dass der historische Gesetzgeber die Materie der (klassischen) 'Medien' sowie die damit einhergehenden datenschutzrechtlichen Bestimmungen nur dem MedienG unterwerfen wollte.

c) Zur gerichtlichen Zuständigkeit

Die Datenschutzbehörde übersieht nicht, dass eine Klage wohl nicht auf Art79 DSGVO gestützt werden könnte, weil §9 Abs1 DSG ausdrücklich bestimmte Kapitel der DSGVO, insbesondere die Kapitel II und III, ausnimmt und somit dem angerufenen Gericht der Beurteilungsmaßstab für eine behauptete Verletzung der DSGVO entzogen wäre.

Dies ändert allerdings nichts daran, dass eine Rechtsschutzmöglichkeit nach dem MedienG iVm §1 DSG oder lediglich gestützt auf §1 DSG besteht und eine betroffene Person somit nicht völlig schutzlos dasteht.

Insbesondere wird darauf hingewiesen, dass ein zivilrechtlicher Unterlassungsanspruch nach der Judikatur des OGH immer direkt auf die unmittelbar anwendbare Verfassungsbestimmung des §1 Abs1 DSG gestützt werden kann (vgl 6 Ob 148/00h; 9 ObA 73/03f; Ennöckel, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung[,] 211).

Des weiteren hat der OGH – im Hinblick auf §48 DSG 2000 – ausdrücklich ausgesprochen, dass trotz des weiten Wortlautes dieser Bestimmung dennoch eine gerichtliche Zuständigkeit zur Geltendmachung von Ansprüchen bestehe und §48 DSG 200[0] daher 'teleologisch reduziert' werden müsse (Beschluss vom 17. Jänner 2018, 6 Ob 144/17w).

Diese Überlegungen lassen sich auf §9 Abs1 DSG übertragen:

Demnach besteht in den Fällen, in welchen keine Zuständigkeit der Datenschutzbehörde vorliegt, jedenfalls eine Zuständigkeit der Zivilgerichte.

Gerade im MedienG finden sich im dritten Abschnitt Bestimmungen zum Persönlichkeitsschutz. Diese Bestimmungen, die unter anderem in §7 Regelungen zur 'Verletzung des höchstpersönlichen Lebensbereiches' enthalten sowie in §7a den 'Schutz vor Bekanntgabe der Identität in besonderen Fällen' vorsehen, können daher jedenfalls als eine Art 'Sonderdatenschutzrecht' und als (weiterer) Ausfluss des §1 Abs1 DSG angesehen werden.

Somit können die Bestimmungen des MedienG zur Interpretation des §1 DSG herangezogen werden.

Dies ergibt sich insbesondere aus den mehrfach erwähnten 'schutzwürdigen Interessen' des Betroffenen und lässt hier auch keinen anderen Schluss zu, als dass es sich um eine explizit angeordnete Interessensabwägung handelt, die die Basis für einen Ausgleich zwischen Art8 und Art10 EMRK bietet (näheres hierzu in Rami in Höpfel/Ratz, WK2 MedienG §7).

Aber auch die Geltendmachung sonstiger zivilrechtlicher Bestimmungen – insbesondere nach dem ABGB – iVm §1 DSG kommt in Betracht.

Ebenso erscheint die ausschließliche Anrufungsmöglichkeit eines Gerichtes im Falle einer Datenverarbeitung durch 'Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des MedienG zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes' keinesfalls als unsachlich.

Zum einen gestatten zivilrechtliche Vorschriften, insbesondere das MedienG, eine umfassende Interessensabwägung, die das Grundrecht auf Datenschutz miteinbezieht.

Zum anderen kann gegen eine gerichtliche Zuständigkeit in Medienangelegenheiten schwerlich der Vorwurf staatlicher Zensur erhoben werden, was hingegen bei einer Zuständigkeit einer – wenngleich unabhängigen und weisungsfreien – Verwaltungsbehörde wie der Datenschutzbehörde durchaus denkbar wäre.

Eine behauptete 'fehlende Rechtsschutzmöglichkeit' für jene enge Bereiche, die Voraussetzungen für die Anwendbarkeit des 'Medienprivilegs' sind, ist demnach nach Ansicht der Datenschutzbehörde bei Beibehaltung der gegenwärtigen Bestimmung jedenfalls nicht ersichtlich.

Zudem wird darauf hingewiesen, dass die (rudimentären) Betroffenenrechte auf Auskunft, Richtigstellung und Löschung, wie sie in §1 Abs3 DSG vorgesehen sind, jedenfalls nicht durch §9 DSG ausgeschlossen sind (vgl Ehrnberger, Das Medienprivileg: Medienunternehmen zwischen Datenschutz und Informationsfreiheit, jusIT 2018, 148 (149)) und folglich gerichtlich geltend gemacht werden können.

Daher ist die Geltendmachung des Grundrechts auf Datenschutz auch im Rahmen des Medienprivilegs gesichert.

Darüber hinaus, darf nicht übersehen werden, dass das Verfahren vor einem Zivilgericht – im Vergleich zum behördlichen Verfahren – durchaus für die betroffene Person vorteilhaft sein kann:

- Während die Datenschutzbehörde nur auf Basis der DSGVO und des DSG entscheiden kann, gibt es diese Einschränkung vor Gerichten nicht. §227 ZPO gestattet – unter Voraussetzungen –, dass mehrere Ansprüche in einer Klage geltend gemacht werden können (vgl Schmidl, Der doppelgleisige Rechtsschutz in Datenschutzsachen, VbR 2020/104). Diesbezüglich kommen zB bei Bildaufnahmen oder Bewertungsplattformen das allgemeine Persönlichkeitsrecht nach §16 ABGB, Ehrenbeleidigung und Rufschädigung nach §1330 ABGB sowie das Recht am eigenen Bild nach §78 UrhG in Betracht. Zudem kann ein allfälliger Anspruch auf Schadenersatz (siehe dazu Art82 DSGVO) nur beim Zivilgericht gleichzeitig mit einem Unterlassungsbegehren geltend gemacht werden […](vgl Jahnel, Kommentar zur Datenschutz-Grundverordnung, Art79 DSGVO). Insbesondere sieht dies entgegen der bloßen Feststellungskompetenz entsprechend §24 DSG einen erweiterten Rechtschutzbereich vor.

- Ein zivilgerichtliches Verfahren ist zwar immer mit einem Kostenrisiko verbunden. Die obsiegende Partei hat aber gemäß §41 ZPO einen umfassenden Anspruch auf Kostenersatz durch den Prozessgegner (vgl Schmidl, Der doppelgleisige Rechtsschutz in Datenschutzsachen, VbR 2020/104).

- Anders als das DSG kennt die ZPO das Rechtsinstitut des Vergleichs in §§204 f ZPO, welcher eine umfassende Bereinigung des Rechtsstreits, einschließlich der Kostentragung, ermöglicht und gemäß §1 Z5 EO auch einen Exekutionstitel darstellt (Schmidl, Der doppelgleisige Rechtsschutz in Datenschutzsachen, VbR 2020/104).

- Zwar gilt ab einem Streitwert von mehr als Euro 5.000,‑ und vor den Gerichtshöfen 1. Instanz absoluter Anwaltszwang (§27 Abs1 ZPO), welcher mit Kosten verbunden ist, jedoch kann sich eine anwaltliche Vertretung auch als vorteilhaft erweisen. Anders als in Verfahren nach dem AVG gilt in Verfahren nach der ZPO nämlich die Parteienmaxime, sodass gerichtlich nur verwertet wird, was von den Parteien vorgebracht und als Beweismittel angeboten wird. Auch besteht seitens des Gerichts in diesen Verfahren keine (erweiterte) Verpflichtung zur Manuduktion (§182a vs §432 ZPO). Anwälte können daher aufgrund ihrer Ausbildung und ihrer standesrechtlichen Pflichten (§9 Abs1 RAO) diesen Vorgaben eher nachkommen als unvertretene und rechtsunkundige Parteien. Eine Vertretung durch einen Anwalt kann auch einen wesentlichen Beitrag zu einer effizienten Verfahrensführung leisten. Nicht zu vernachlässigen ist weiters die Tatsache, dass Anwälte im Regelfall für das zivilgerichtliche Verfahren besser 'geschult' sind als für das Verfahren vor einer Verwaltungsbehörde (vgl Schmidl, Der doppelgleisige Rechtsschutz in Datenschutzsachen, VbR 2020/104).

Zusammenfassend ist daher festzuhalten, dass, auch wenn das zivilgerichtliche Verfahren mit Kosten und Risiko verbunden ist, es aufgrund der obigen Überlegungen dennoch nicht als unsachlich gewertet werden kann, diese Bürde betroffenen Personen zu überantworten.

d) Die Zuständigkeit der Datenschutzbehörde ist generell nicht absolut

Die Zuständigkeit der Datenschutzbehörde – auch und gerade unter Außerachtlassung des 'Medienprivilegs' – ist keineswegs uneingeschränkt.

So sieht Art55 Abs3 DSGVO etwa vor, dass die 'Aufsichtsbehörden […] nicht zuständig [sind] für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen' und ermöglicht gerade Art85 Abs2 eine Ausnahme des Kapitels VI (Unabhängige Aufsichtsbehörden).

In Anbetracht der jüngsten Entwicklungen wird in diesem Zusammenhang auf das aktuelle Vorabentscheidungsersuchen des Verwaltungsgerichtshofes vom 14. Jänner 2022 in der Rechtssache C-33/22 hingewiesen. In dieser Rechtssache wurde mit folgender Vorlagefrage an den EuGH herangetreten:

1. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts im Sinne des Art16 Abs2 erster Satz AEUV, sodass die Verordnung (EU) 2016/679 (1) auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaats anwendbar ist?

Falls Frage 1 bejaht wird:

2. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der Datenschutz-Grundverordnung zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art2 Abs2 Buchst. a dieser Verordnung?

Falls Frage 2 verneint wird:

3. Sofern – wie vorliegend – ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art51 Abs1 der Datenschutz-Grundverordnung errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art77 Abs1 in Verbindung mit Art55 Abs1 der Datenschutz-Grundverordnung bereits unmittelbar aus dieser Verordnung?

Somit ist im Grund auch strittig, ob die Datenschutzbehörde bei behaupteten Verletzungen, die der Staatsgewalt 'Legislative' zuzurechnen sind, angerufen werden kann.

In Bezug auf das DSG 2000 hat der Verfassungsgerichtshof bereits in seinem Erkenntnis VfSlg 15.130/1998 klargestellt, dass eine Zuständigkeit der Datenschutzkommission keinesfalls gegenüber dem Gesetzgeber und dessen Hilfsorganen bestünde (vgl auch Erkenntnis des VfGH vom 3. Oktober 2013; B683/2013) und sohin ein Rechtsweg an die Datenschutzkommission (oder eine sonstige Behörde) ausgeschlossen ist (vgl VfSlg 19.112/2010).

Abgesehen davon sah bereits §32 DSG 2000 keinen grenzenlosen Zuständigkeitsbereich der Datenschutzkommission/Datenschutzbehörde vor: So musste eine betroffene Person ganz generell behauptete Verletzungen des DSG 2000 – mit Ausnahme des Rechts auf Auskunft – gegenüber einem Auftraggeber des privaten Bereichs vor den ordentlichen Gerichten [durchsetzen], was im Ergebnis auf eine wesentlich stärkere Einschränkung des Rechtsschutzes hinauslief, als dies in §9 Abs1 DSG derzeit der Fall ist.

Zusammenfassend kann daher festgehalten werden, dass selbst das DSG 2000 keine umfassende Zuständigkeit der Datenschutzkommission/Datenschutzbehörde vorsah. Ebensowenig sieht dies die DSGVO vor.

Auch aus Art8 EU-GRC lässt sich keine allumfassende Zuständigkeit der Aufsichtsbehörde ableiten.

e) Zur Rechtslage in anderen Mitgliedstaaten

Darüber hinaus wird darauf hingewiesen, dass ein derartiger Ausschluss der Zuständigkeit der Aufsichtsbehörden gemäß Art85 DSGVO auch von anderen Mitgliedstaaten umgesetzt wurde.

Um einen Vergleich schaffen zu können, wird im gegenständlichen Zusammenhang zunächst auf den deutschen Rechtsbestand verwiesen. So enthalten die Datenschutzgesetze der deutschen Bundesländer – die kompetenzrechtlich hiefür zuständig sind – beispielhaft folgende Bestimmungen:

- Bayerisches [Datenschutzgesetz] (BayDSG):

Art38 Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken (zu Art85 DSGVO)

(1) Werden personenbezogene Daten zu journalistischen, künstlerischen oder literarischen Zwecken verarbeitet, stehen den betroffenen Personen nur die in Abs2 genannten Rechte zu. Im Übrigen gelten für Verarbeitungen im Sinne des Satzes 1 Kapitel I, Art5 Abs1 Buchst. f, Art24 und 32, Kapitel VIII, X und XI DSGVO. Art82 DSGVO gilt mit der Maßgabe, dass nur für unzureichende Maßnahmen nach Art5 Abs1 Buchst. f, Art24 und 32 DSGVO gehaftet wird.

(2) Führt die journalistische, künstlerische oder literarische Verarbeitung personenbezogener Daten zur Verbreitung von Gegendarstellungen, zu Verpflichtungserklärungen, gerichtlichen Entscheidungen oder Widerrufen, sind diese zu den gespeicherten Daten zu nehmen, dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst und bei einer Übermittlung der Daten gemeinsam mit diesen zu übermitteln.

- Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (Berliner Datenschutzgesetz - BlnDSG):

§19 Verarbeitung personenbezogener Daten zu Zwecken der freien Meinungsäußerung und der Informationsfreiheit

(1) Soweit personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen oder literarischen Zwecken, einschließlich der rechtmäßigen Verarbeitung auf Grund der §§22 und 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie in der im Bundesgesetzblatt Teil III, Gliederungsnummer 440‑3, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 3 §31 des Gesetzes vom 16. Februar 2001 (BGBl I S. 266) geändert worden ist, verarbeitet werden, gelten von Kapitel II bis VII sowie IX der Verordnung (EU) 2016/679 nur Artikel 5 Absatz 1 Buchstabe f sowie Artikel 24 und 32. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Maßgabe, dass die Haftung nur Schäden umfasst, die durch eine Verletzung des Datengeheimnisses oder durch unzureichende technische oder organisatorische Maßnahmen im Sinne des Artikels 5 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 eintreten.

(2) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 Satz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Beschlüssen oder Urteilen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, sind diese zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst, und bei einer Übermittlung der Daten gemeinsam zu übermitteln.

- Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG):

§1 Anwendungsbereich

(1) Die Vorschriften dieses Gesetzes, ausgenommen §28, finden keine Anwendung, soweit der Hessische Rundfunk personenbezogene Daten zu journalistischen Zwecken verarbeitet.

Ähnliche Bestimmungen finden sich im

- Datenschutzgesetz für das Land Mecklenburg-Vorpommern (Landesdatenschutzgesetz – DSG M-V) und im

- Gesetz zum Schutz personenbezogener Daten im Land Brandenburg (Brandenburgisches Datenschutzgesetz - BbgDSG)

Gleichzeitig normiert Art11 des Bayrischen Pressegesetzes Regelungen zum Schutz personenbezogener Daten sowie die Möglichkeit einer Beschwerde nach Art77 DSGVO an die Einrichtungen der freiwilligen Selbstkontrolle (und somit nicht an die Aufsichtsbehörde nach der DSGVO).

Ähnliches ist in §22a des Berliner Pressegesetzes sowie §10 des Hessischen Pressegesetzes vorgesehen, allerdings ohne ausdrückliche Anführung der Rechtsschutzmöglichkeiten.

Der Vergleich mit der deutschen Rechtslage zeigt somit, dass es keineswegs unüblich ist, in den jeweiligen Datenschutzgesetzen keine Zuständigkeit der Datenschutz-Aufsichtsbehörden vorzusehen und parallel dazu in den jeweiligen Pressegesetzen entsprechende Schutzbestimmungen zu normieren.

Das niederländische Datenschutzgesetz ('Gesetz vom 16. Mai 2018 mit Durchführungsbestimmungen zur Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU 2016, L 119) (Datenschutz-Grundverordnung)') enthält in dessen Art43 folgende Regelung [informelle Übersetzung der Datenschutzbehörde]:

Ausnahmen für journalistische Zwecke oder akademische, künstlerische oder literarische Ausdrucksformen

(1) Dieses Gesetz gilt mit Ausnahme der Artikel 1 bis 4 und 5 Absätze 1 und 2 nicht für die Verarbeitung personenbezogener Daten zu ausschließlich journalistischen Zwecken und zugunsten ausschließlich akademischer, künstlerischer oder literarischer Ausdrucksformen.

(2) Die folgenden Kapitel und Artikel der Verordnung gelten nicht für die Verarbeitung personenbezogener Daten zu rein journalistischen Zwecken und für akademische, künstlerische oder literarische Ausdrucksformen:

a. Artikel 7 Absatz 3 und Artikel 11 Absatz 2;

b. KAPITEL III;

c. Kapitel IV, mit Ausnahme der Artikel 24, 25, 28, 29 und 32;

d. KAPITEL V;

e. KAPITEL VI; und

f. KAPITEL VII.

(3) Die Artikel 9 und 10 der Verordnung finden keine Anwendung, soweit die Verarbeitung der in diesen Artikeln genannten Daten für journalistische Zwecke oder für die akademische, künstlerische oder literarische Ausdrucksform erforderlich ist.

Der irische 'Data Protection Act 2018' sieht in seinem §43 nachstehende Bestimmung vor [informelle Übersetzung der Datenschutzbehörde]:

Datenverarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

(1) Die Verarbeitung personenbezogener Daten zum Zwecke der Ausübung des Rechts auf freie Meinungsäußerung und Information, einschließlich der Verarbeitung zu journalistischen Zwecken oder zu Zwecken des wissenschaftlichen, künstlerischen oder literarischen Ausdrucks, ist von der Einhaltung einer in Absatz 2 genannten Bestimmung der Datenschutzverordnung ausgenommen, wenn die Einhaltung der Bestimmung angesichts der Bedeutung des Rechts auf freie Meinungsäußerung und Information in einer demokratischen Gesellschaft mit diesen Zwecken nicht vereinbar wäre.

(2) Die für die Zwecke von Absatz 1 genannten Bestimmungen der Datenschutzverordnung sind Kapitel II (Grundsätze), mit Ausnahme von Artikel 5 Absatz 1 Buchstabe f, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen), Kapitel VI (unabhängige Aufsichtsbehörden) und Kapitel VII (Zusammenarbeit und Kohärenz).

(3) […]

Demnach wird auch durch diesen internationalen Vergleich bekräftigt, dass der Ausschluss der Zuständigkeit der Aufsichtsbehörde durchaus geläufig ist und sohin einer sachlichen Rechtfertigung unterliegt […].

Ein Verstoß gegen den Gleichheitsgrundsatz ist daher nach Ansicht der Datenschutzbehörde nicht ersichtlich.

3.3. Zu den Bedenken im Hinblick auf das Recht auf einen gesetzlichen Richter (Art83 Abs2 B‑VG)

Das Recht auf ein Verfahren vor dem gesetzlichen Richter wird durch den Bescheid einer Verwaltungsbehörde verletzt, wenn die Behörde eine ihr gesetzlich nicht zukommende Zuständigkeit in Anspruch nimmt (zB VfSlg 15.372/1998, 15.738/2000, 16.066/2001, 16.298/2001 und 16.717/2002) oder wenn sie in gesetzwidriger Weise ihre Zuständigkeit ablehnt, etwa indem sie zu Unrecht eine Sachentscheidung verweigert (zB VfSlg[.] 15.482/1999, 15.858/2000, 16.079/2001 und 16.737/2002).

Diese Verfassungsnorm bindet nicht nur die Vollziehung, sondern auch die Gesetzgebung. Das bedeutet, dass die sachliche Zuständigkeit einer Behörde im Gesetz selbst festgelegt sein muss (vgl Erkenntnis des VfGH vom 25. September 2020, G222/2020). Der Gesetzgeber hat dafür zu sorgen, dass eine Sache nicht sowohl vom Gericht als auch von einer Verwaltungsbehörde behandelt werden kann (vgl Erkenntnis des VfGH vom 19. Juni 1989, B1874/88).

Die Zuständigkeit darf nicht von Umständen abhängen, die vom Rechtsunterworfenen nicht vorhersehbar sind und eine willkürliche Änderung der Zuständigkeit ermöglichen (VfSlg 14.192/1995; VwGH 4. 10. 2018, Ro 2018/22/0001). Die Abgrenzung muss für diesen klar und eindeutig erkennbar sein (VfSlg 19.991/2015 betr. Rechtsschutz im Bereich der Kriminalpolizei; Muzak, B‑VG6 Art83, Rz 3).

Unproblematisch sind grds. 'geteilte' Zuständigkeiten in dem Sinn, dass der Gesetzgeber in einer bestimmten Angelegenheit einen Teil eines Verfahrens von der einen und den folgenden Teil des Verfahrens von einer anderen Verwaltungsbehörde (bzw einem Gericht) durchführen lässt (VfSlg 4693/1964). Es gibt also mit anderen Worten wegen Art83 Abs2 B‑VG selbst dann kein Recht darauf, dass der Gesetzgeber eine einzige Behörde zur Entscheidung über einen bestimmten Lebenssachverhalt beruft, wenn ihm das unter kompetenzrechtlichen Gesichtspunkten möglich wäre (vgl Zußner in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B‑VG und Grundrechte Art83 B‑VG, Rz 13).

Wie das BVwG ausführt, ist bei Vorliegen der 'Doppelbindung' in §9 Abs1 DSG keine Zuständigkeit der Datenschutzbehörde gegeben.

Eine zivilgerichtliche Zuständigkeit zur Geltendmachung des Grundrechts auf Datenschutz ist, wie oben dargelegt, jedoch gegeben.

Nach Ansicht der Datenschutzbehörde ist die Regelung der (Un‑)Zuständigkeit der Datenschutzbehörde in §9 Abs1 DSG auch vorhersehbar und sachlich konkret gegenüber der Zuständigkeit der Zivilgerichte abgegrenzt. Dies erhellt auch ein internationaler Vergleich, wie oben angeführt.

3.4. Zu den Bedenken im Hinblick auf 'Art8 EU-GRC'

Art8 EU-GRC garantiert der betroffenen Person den Schutz der sie betreffenden personenbezogenen Daten und sieht vor, dass die Einhaltung dieser Vorschriften von einer 'unabhängigen Stelle' überwacht wird.

Damit ist jedoch nicht gesagt, dass aus Art8 EU-GRC eine umfassende Zuständigkeit der Aufsichtsbehörden abgeleitet werden kann: Ob nämlich aus der Anordnung des Art8 Abs3 EU-GRC eine objektivrechtliche Komponente des Datenschutzes oder (über den organisationsrechtlichen Charakter der Vorschrift hinaus) eine Institutsgarantie resultiert, ist angesichts der abstrakten Formulierung des Abs3 unklar (vgl Riesz in Holoubek/Lienbacher, GRC‑Kommentar2 Art8, Rz. 80).

Auch eine Zusammenschau mit Art52 Abs1 EU-GRC macht deutlich, dass von Art8 Abs3 EU-GRC abgewichen werden kann.

Es wird darauf hingewiesen, dass Art8 EU-GRC keinen über die Verfassungsbestimmung des §1 DSG hinausgehenden Schutzgehalt hat (vgl das dg. Erkenntnis vom 29. September 2012, B54/12 ua) und dem Wortlaut des Art8 Abs3 [EU‑GRC] auch nicht zu entnehmen ist, dass ein Recht auf Behandlung von Beschwerden durch eine unabhängige Stelle besteht (vgl Riesz in Holoubek/Lienbacher, GRC-Kommentar2 Art8, Rz. 81).

Nunmehr regeln die Art51 f DSGVO (in rechtsvereinheitlichender Weise) die Unabhängigkeit der Aufsichtsbehörden auf Ebene der Mitgliedstaaten und in Entsprechung der dieses Postulat konkretisierenden Judikatur des EuGH, welche insbesondere in expliziter Kongruenz zu Art8 Abs3 EU-GRC ergangenen ist (vgl Riesz in Holoubek/Lienbacher, GRC-Kommentar2 Art8, Rz. 78).

In diesem Zusammenhang wird abermals auf das zuvor Gesagte (Punkt 3.2.) verwiesen.

4. Zusammenfassung

Nach Ansicht der Datenschutzbehörde ist §9 Abs1 DSG in der derzeit geltenden Fassung einer verfassungskonformen Interpretation zugänglich. Insbesondere ist kein gänzlicher Ausschluss der Zuständigkeit der Datenschutzbehörde gegeben.

Eine ausschließliche Zuständigkeit der ordentlichen Gerichte nach §1 DSG im Anwendungsbereich des §9 Abs1 DSG in jenen Fällen, in denen keine Zuständigkeit der Datenschutzbehörde gegeben ist, ist nicht als unsachlich zu werten und kann überdies keine Verletzung im Recht auf den gesetzlichen Richter und im Hinblick auf Art8 EU‑GRC erblickt werden."

7. In dem beim Verfassungsgerichtshof zur Zahl G288/2022 protokollierten Verfahren erstattete die Datenschutzbehörde eine Äußerung, in der sie zunächst auf die soeben wiedergegebene Äußerung im Verfahren G287/2022 verweist. Darüber hinaus führt die Datenschutzbehörde das Folgende aus (ohne die im Original enthaltenen Hervorhebungen):

"Da es sich bei einer der beteiligten Parteien um eine juristische Person […] handelt, wird in Ergänzung Folgendes ausführt:

Die unionsrechtlichen Bestimmungen zum Schutz personenbezogener Daten (Art8 EU-GRC, Art16 AEUV sowie die DSGVO) gelten zwar nur für die Verarbeitung personenbezogener Daten von natürlichen Personen. Juristische Personen sind nur insofern geschützt, als in deren Bezeichnung der Namen einer natürlichen Person aufscheint (siehe dazu das Urteil des EuGH vom 9. November 2010, C‑92/09 und C-93/09 , Rz 52 und 53).

Dies ist vorliegend bei der juristischen Person mit der Firma […] nicht der Fall.

Folglich kann sie sich auf den Schutz von Art8 EU‑GRC sowie auf die DSGVO nicht berufen und haben unionsrechtliche Erwägung[en] diesbezüglich außer Betracht zu bleiben.

Es handelt sich daher um einen Sachverhalt, der ausschließlich dem österreichischen Recht unterliegt.

3. Da §1 DSG jedoch nicht zwischen natürlichen und juristischen Personen unterscheidet, ist eine juristische Person im Umfang des §1 DSG dennoch geschützt.

Wie im Ausgangsbescheid dargelegt, vertritt die Datenschutzbehörde die Ansicht, dass im Anwendungsbereich des §9 Abs1 DSG, betrachtet im Lichte des §1 DSG, auch wenn es sich um einen Sachverhandelt handelt, der vom Unionsrecht nicht erfasst ist, trotzdem keine Zuständigkeit für die Behandlung von Beschwerden juristischer Personen besteht (Hervorhebungen im Original):

D.1. Zur Antragslegitimation von juristischen Personen

[…]

Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach §24 DSG, daher auf den Schutz natürlicher Personen beschränkt.

Die Datenschutzbehörde hat jedoch bereits mehrfach ausgesprochen, dass §1 DSG auch juristische Personen schützt. Eine Auslegung der einfachgesetzlichen Bestimmungen – insbesondere der §§4 und 24 DSG – dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen Personen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des §1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, dass dieser ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln wollte als natürliche Personen (siehe den Bescheid vom 25. Mai 2020, GZ 2020-0.191.240, mwN).

Dass es dem nationalen Gesetzgeber möglich ist, ein rein nationales Konzept des Schutzes personenbezogener Daten juristischer Personen vorzusehen, wurde vom EuGH bejaht (Urteil vom 10. Dezember 2020, C-620/19 , Rz 47), sodass die o.a. Rechtsprechung der Datenschutzbehörde damit nicht im Widerspruch steht.

Im Ergebnis bedeutet dies, dass juristische Personen – im Umfang der ihnen durch §1 DSG eingeräumten Rechte – beschwerdelegitimiert sind.

Um aber §1 DSG keinen gleichheits- und damit verfassungswidrigen Inhalt zu unterstellen, kann die Datenschutzbehörde ihre Zuständigkeit gegenüber juristischen Personen nur in jenem Umfang wahrnehmen, wie ihr dies auch bei natürlichen Personen bei gleichen Sachverhalten zukommt. §1 DSG kann nämlich nicht dahingehend ausgelegt werden, dass die Datenschutzbehörde Beschwerden juristischer Personen inhaltlich zu behandeln hat, jene natürlicher Personen bei gleichem Sachverhalt hingegen nicht. Dies würde auf eine nicht objektiv begründbare Besserstellung juristischer Personen hinauslaufen und somit §1 DSG einen gleichheitswidrigen Inhalt unterstellen.

Im Ergebnis ist daher festzuhalten, dass die Zweitbeschwerdeführerin als juristische Person zwar grundsätzlich aktiv legitimiert ist, eine Beschwerde nach §24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch §1 DSG gewährleisteten Rechte behauptet, jedoch nur in jenem Umfang, in welchem dies auch einer natürlichen Person möglich wäre.

D.2. Zur Zuständigkeit der Datenschutzbehörde und zum 'Medienprivileg'

Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des MedienG zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden gemäß §9 Abs1 DSG die Bestimmungen des DSG sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung.

Aufgrund des expliziten Ausschlusses der Anwendung der Bestimmungen von Kapitel III DSGVO ('Betroffenenrechte') kommt auch die Ausübung des Rechts auf Löschung gemäß Art17 DSGVO sowie die Ausübung des Rechts auf Auskunft gemäß Art15 DSGVO nicht in Betracht. Ein Rechtsschutz ist aufgrund dieser Rechtslage nur nach den Bestimmungen des Zivilrechts (insbesondere nach dem MedienG) möglich.

Da es sich bei §9 DSG um eine einfachgesetzliche Bestimmung des DSG handelt, die zwar nach dem eindeutigen Wortlaut des §4 DSG nicht auf juristische Personen anzuwenden ist, scheint es zunächst so, dass das Medienprivileg im Zusammenhang mit juristischen Personen – sohin für die Zweitbeschwerdeführerin – nicht zur Anwendung gelangen würde. Diesbezüglich verweist die Datenschutzbehörde jedoch auf die Ausführungen unter Punkt D.1. Wie sich aus den in diesem Punkt getroffenen Erläuterungen ergibt, eröffnet sich die Möglichkeit der Beschwerdeerhebung von juristischen Personen erst aus einem Gleichheitsschluss mit natürlichen Personen. Wenn aber die Datenverarbeitung des Beschwerdegegners unter das 'Medienprivileg' fällt und die Datenschutzbehörde somit nicht zur Entscheidung zuständig ist, dann kann es keinen Unterscheid machen, ob ein Beschwerdeführer eine natürliche Person oder [eine juristische] Person ist. Vielmehr ist die Datenschutzbehörde deshalb unzuständig, weil die Datenverarbeitung des Beschwerdegegners unter das Medienprivileg fällt."

8. Die – als Beschwerdegegnerin im Verfahren vor dem Bundesverwaltungsgericht – beteiligte Partei in dem beim Verfassungsgerichtshof zur Zahl G287/2022 protokollierten Verfahren erstattete die folgende Äußerung (ohne die im Original enthaltenen Hervorhebungen):

"A. Zum Sachverhalt

[…]

B. Zum Antrag des Bundesverwaltungsgerichts

1.

Das Bundesverwaltungsgericht ist der Auffassung, §9 Abs1 DSG sei zur Gänze verfassungswidrig. Daher wird an den Verfassungsgerichtshof der Antrag gestellt, diese Bestimmung als verfassungswidrig aufzuheben.

2.

Entgegen der Auffassung des Bundesverwaltungsgerichts ist §9 Abs1 DSG einer verfassungskonformen Interpretation zugänglich:

[…]

Nach der Auffassung der Datenschutzbehörde (s dazu die im gegenständlichen Verfahren zum ersten Antrag des Bundesverwaltungsgerichts erstattete Äußerung der Datenschutzbehörde vom 26. Juli 2022, Seite 4 ff) – hebelt §9 Abs1 DSG nicht das (im Verfassungsrang) stehende Grundrecht auf Datenschutz im Rahmen des Medienprivilegs zur Gänze aus. Dieser Auffassung schließen wir uns an. Somit ist auch im Anwendungsbereich des Medienprivilegs von einer eingeschränkten Zuständigkeit der Datenschutzbehörde nach §24 DSG auszugehen.

3.

Eine Unzuständigkeit der Datenschutzbehörde zur Behandlung von Beschwerden gemäß §24 DSG iVm Art77 DSGVO wegen einer behaupteten Verletzung im Recht auf Geheimhaltung nach §1 Abs1 DSG besteht nur dann, wenn personenbezogene Daten durch bestimmte Akteure zu bestimmten Zwecken verarbeitet werden:

zu den privilegierten Akteuren:

Eine Unzuständigkeit der Datenschutzbehörde können nur 'Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes' beanspruchen (s dazu auch Antrag des Bundesverwaltungsgerichts W214 2235037-1/21Zvom 03. November 2022, Seite 24).

zu den privilegierten Zwecken:

Die oben genannten Akteure sind nur dann privilegiert, wenn sie die personenbezogenen Daten 'zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes' verarbeiten.

5.

Daher trifft es nicht zu, dass §9 Abs1 DSG das Grundrecht auf Datenschutz nach §1 DSG faktisch aushebelt (so aber Antrag des Bundesverwaltungsgerichts W214 2235037-1/21Zvom 03. November 2022, Seite 15).

6.

Art83 Abs2 B‑VG normiert das Recht auf ein Verfahren vor dem gesetzlichen Richter (darauf weist auch das Bundesverwaltungsgericht in seinem Antrag W214 2235037-1/21Zvom 03. November 2022 auf Seite 20 ausdrücklich hin). Das Bundesverwaltungsgericht verkennt aber, dass der Rechtsschutz bei der Verarbeitung von personenbezogenen Daten durch 'Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des MedienG (…) zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes' auch ohne Zuständigkeit der Datenschutzbehörde nicht gänzlich ausgeschlossen ist. Vielmehr gibt es dann eine Rechtsschutzmöglichkeit nach dem MedienG iVm §1 DSG und somit eine gerichtliche Zuständigkeit (s dazu erneut die im gegenständlichen Verfahren zum ersten Antrag des Bundesverwaltungsgerichts erstattete Äußerung der Datenschutzbehörde vom 26. Juli 2022, Seite 14 ff).

Fazit:

 Eine Unzuständigkeit der Datenschutzbehörde zur Behandlung von Beschwerden gemäß §24 DSG iVm Art77 DSGVO wegen einer behaupteten Verletzung im Recht auf Geheimhaltung nach §1 Abs1 DSG besteht richtigerweise nur dann, wenn personenbezogene Daten durch bestimmte Akteure ('Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des MedienG') zu bestimmten Zwecken ('zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes') verarbeitet werden.

 Die ausschließliche Zuständigkeit der ordentlichen Gerichte nach dem MedienG iVm §1 DSG im Anwendungsbereich des §9 Abs1 DSG in jenen Fällen, in denen keine Zuständigkeit der Datenschutzbehörde gegeben ist, ist nicht als unsachlich zu werten."

9. Die – als Beschwerdeführer im Verfahren vor dem Bundesverwaltungsgericht – beteiligten Parteien in dem beim Verfassungsgerichtshof zur Zahl G288/2022 protokollierten Verfahren erstatteten die folgende Äußerung (ohne die im Original enthaltenen Hervorhebungen):

"1. Sachverhalt

[…]

2. Antrag des Bundesverwaltungsgerichts

Das BVwG folgte der Anregung der Beschwerdeführer und brachte seinerseits folgende gravierende Bedenken gegen die Verfassungsmäßigkeit des §9 Abs1 DSG vor:

− Das Grundrecht auf Datenschutz nach §1 Abs1 DSG werde durch das Medienprivileg faktisch ausgehebelt, weil einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung steht, um eine Verletzung des Grundrechts geltend zu machen. Richtigerweise müsse eine nationale Aufsichtsbehörde für die Behandlung von Beschwerden gegen Medienunternehmen zuständig sein. Jede abweichende Rechtslage stünde im Widerspruch zu Art8 EMRK, Art8 Abs1 GRC und Art16 Abs1 AEUV.

− Durch das Medienprivileg könne die Datenschutzbehörde über Beschwerden gegen Medienunternehmen nicht meritorisch entscheiden, was das Recht auf ein Verfahren vor dem gesetzlichen Richter verletze. Dies verletze auch die in Art8 Abs3 GRC verbriefte Institutions- und die in Art47 GRC festgeschriebene Rechtsschutzgarantie.

− Die Institutionsgarantie des Art8 Abs3 GRC werde auch dadurch verletzt, dass die Datenschutzbehörde von ihren Abhilfebefugnissen keinen Gebrauch machen kann.

− Das Medienprivileg verletze den Gleichheitssatz, weil keine sachlichen Gründe ersichtlich seien, den Zugang zur Datenschutzbehörde und den Zivilgerichten bei Datenverarbeitungen durch Medienunternehmen pauschal zu verwehren.

Das BVwG erkennt somit mehrere Gründe für eine Unvereinbarkeit des §9 Abs1 DSG mit der Bundesverfassung. Die Beschwerdeführer treten dieser Rechtsansicht bei und führen in der Folge ergänzend zu den Argumenten des BVwG folgendes aus:

3. Zur Präjudizialität von §9 Abs1 DSG im gegenständlichen Fall

Dringen die Beschwerdeführer mit ihrer Rechtsansicht durch, dass das Medienprivileg als verfassungswidrig aufzuheben ist, ist dieses nicht anzuwenden, sodass die Behördenzuständigkeit bei der Datenschutzbehörde liegen würde und das BVwG den zurückweisenden Bescheid im Rahmen der Bescheidbeschwerde aufzuheben hätte.

Sieht der Verfassungsgerichtshof in der Bestimmung des §9 Abs1 DSG hingegen keine verfassungsrechtliche Unvereinbarkeit, wäre die Rechtsansicht der Datenschutzbehörde betreffend die Unzuständigkeit durch den Gerichtshof bestätigt und müsste das BVwG die Bescheidbeschwerde abweisen.

Die zitierte Bestimmung ist daher präjudiziell im Sinne des Art89 Abs2 iVm Art135 Abs4 iVm Art140 Abs1 Z1 lita B‑VG.

4. Das Grundrecht auf Datenschutz wird faktisch ausgehebelt

4.1 Die Verfassungsbestimmung des §1 Abs2 DSG normiert einen materiellen Gesetzesvorbehalt dergestalt, dass Beschränkungen des Anspruchs auf Geheimhaltung nur auf Grund von Gesetzen, die aus den in Art8 Abs2 EMRK genannten Gründen notwendig sind, erfolgen dürfen.

Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle einer zulässigen Beschränkung darf der Eingriff in das Grundrecht des §1 DSG daher jeweils nur in der gelindesten, noch zum Ziel führenden Art vorgenommen werden.

§9 Abs1 sieht jedoch einen pauschalen Ausschluss aller Betroffenenrechte vor, indem nicht nur die entsprechenden Bestimmungen der DSGVO, sondern sogar §1 DSG selbst für unanwendbar erklärt wird. Damit wird dem Erfordernis, Grundrechtseinschränkungen nur unter Festlegung angemessener Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festzulegen, nicht entsprochen. Es werden nicht nur keine angemessenen, sondern überhaupt keine Garantien festgelegt. Der Entzug der Betroffenenrechte darf jedoch in Hinblick auf das Verhältnismäßigkeitsprinzip lediglich aufgrund einer Abwägungsentscheidung zwischen einem gerechtfertigten öffentlichen Interesse (hier: Medienbericht-erstattung) und dem Grundrecht auf Datenschutz erfolgen.

Der Eingriff in das Grundrecht auf Datenschutz muss somit geeignet, erforderlich und adäquat sein. Dies kann im Einzelfall zwar der Fall sein; §9 Abs1 DSG erlaubt eine Einzelfallentscheidung jedoch durch den Pauschalausschluss der Betroffenenrechte gerade nicht. Dementsprechend greift die Norm in unverhältnismäßiger Weise in das Grundrecht auf Datenschutz ein, weil es das Grundrecht in seiner Gesamtheit schlichtweg aushebelt.

4.2 Wie das BVwG ausführt, schließt das Medienprivileg den Zugang Betroffener zur Datenschutzbehörde gemäß §24 Abs1 DSG aus. Dies mit dem Ergebnis, dass für datenschutzbezogene Feststellungsbegehren und im Anwendungsbereich des §1 DSG gar keine nationale Aufsichtsbehörde für den Rechtsschutz gegen Medienunternehmen zur Verfügung steht.

Auch der Zugang zu den Zivilgerichten nach §29 DSG ist aufgrund des Medienprivilegs ausgeschlossen. Während dies der 2. Beschwerdeführerin aufgrund des persönlichen Anwendungsbereichs der DSGVO von vornherein verwehrt ist, wäre dem 1. Beschwerdeführer die Befassung der Zivilgerichte mit den Feststellungs- und Leistungsbegehren über den 'Umweg' des Art79 Abs1 DSGVO jedoch nicht zumutbar, weil ihm nach dieser Bestimmung auch ein verwaltungsrechtlicher Rechtsbehelf offenstehen muss. Ferner wäre es dem 1. Beschwerdeführer aufgrund des Ausschlusses des Grundrechts iSd §1 DSG und der Betroffenenrechte iSd Art12 ff DSGVO durch das Medienprivileg auch vor Zivilgerichten faktisch nicht möglich, diese Ansprüche durchzusetzen.

Den Beschwerdeführern ist im Anwendungsbereich des Medienprivilegs daher jegliche Feststellung einer Rechtsverletzung verwehrt.

4.3 Es muss den Beschwerdeführern aber möglich sein, jede Art der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle iSd Art8 Abs3 GRC prüfen zu lassen. Der Gesetzgeber ignoriert diesen Anspruch auf Zugang zu einer unabhängigen Aufsichtsbehörde jedoch im Wege des Medienprivilegs, und räumt dabei in unzulässiger Weise dem öffentlichen Interesse an der Wahrung der Meinungs-, Informations- und Pressefreiheit einen völlig undifferenzierten Vorrang vor dem Grundrecht auf Datenschutz ein.

Anders als von Art52 Abs1 GRC und Art8 Abs2 EMRK vorgesehen und von Art85 Abs1 DSGVO als Auftrag an den österreichischen Gesetzgeber vorgesehen, wurde im Medienprivileg gerade keine Rechtsvorschrift geschaffen, die das Recht auf Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringt. Die nunmehr in §9 Abs1 DSG verankerte Pauschalausnahme bringt die genannten Rechte nicht in Einklang, sondern räumt Medienunternehmen das unsachliche Privileg ein, sich über das Grundrecht auf Datenschutz und die Prüf- und Abwehrrechte betroffener Personen schlicht hinwegsetzen zu können.

Durch die Ausgestaltung des Medienprivilegs als völlig undifferenzierten Vorrang des öffentlichen Interesses an der Wahrung der Meinungs-, Informations- und Pressefreiheit beraubt der Gesetzgeber auch die Beschwerdeführer ihres unabdingbaren Rechts, eine Verarbeitung personenbezogener Daten durch eine unabhängige Stelle prüfen zu lassen.

4.4 Es mag sein, dass der Gesetzgeber für die Verarbeitung personenbezogener Daten zu journalistischen Zwecken einen weiten Handlungsspielraum mit dem Ziel setzen wollte, die Arbeit der freien Presse und sonstiger journalistisch tätiger Personen durch das Datenschutzrecht nicht ungehörig zu erschweren oder gar zu verunmöglichen.

Die Frage, ob das Interesse an der Verarbeitung personenbezogener Daten zu journalistischen Zwecken schwerer wiegt als das Interesse betroffener Personen an der Prüfung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten, muss jedoch durch eine Aufsichtsbehörde im Einzelfall geprüft und entschieden, und kann nicht pauschal durch den Gesetzgeber in Gestalt des Medienprivilegs normiert werden. In diesem Sinne ist wohl auch der letzte Satz des §9 Abs1 DSG zu lesen, der die Datenschutzbehörde bei der Ausübung ihrer Befugnisse zur Achtung des Redaktionsgeheimnisses nach §3 MedienG verpflichtet.

Die Möglichkeit, eine verfassungsrechtlich gebotene Abwägung – zwischen dem Interesse von Medienunternehmen an der Berichterstattung einerseits und dem Interesse von betroffenen Personen an der Geheimhaltung und der Prüfung der Rechtmäßigkeit der Verarbeitung von personenbezogener Daten anderseits – behördlich bzw gerichtlich überprüfen zu lassen, besteht für die Beschwerdeführer durch das Medienprivileg jedoch gerade nicht.

5. Kein Verfahren vor dem gesetzlichen Richter

5.1 Der Gesetzgeber hat die Behördenzuständigkeit nach objektiven Kriterien und darüber hinaus exakt, klar und eindeutig festzulegen. Das ist vorliegend durch Zuweisung an die Datenschutzbehörde in Art77 iVm 4 Z21 DSGVO (für den 1. Beschwerdeführer) und §24 Abs1 DSG (für beide Beschwerdeführer) grundsätzlich erfolgt.

5.2 Durch das Medienprivileg wird der Datenschutzbehörde allerdings die meritorische Entscheidungsbefugnis über die Verletzung des Grundrechts nach §1 Abs1 DSG und jede andere Feststellungs- und Abhilfemöglichkeit gerade entzogen. Eine andere Behördenzuständigkeit hat der Gesetzgeber nicht vorgesehen (zur Unzumutbarkeit bzw Unmöglichkeit der Anrufung der Zivilgerichte siehe Punkt 4.1).

Die Beschwerdeführer haben durch das Medienprivileg deshalb schon ganz grundsätzlich keinen Zugang zu einem Verfahren vor (irgend)einem gesetzlichen Richter. Dieser Zugangsausschluss ist unsachlich.

5.3 Infolge des Medienprivilegs haben die Beschwerdeführer dementsprechend in Österreich weder die Möglichkeit, die Einhaltung des Rechts auf Schutz der sie betreffenden personenbezogenen Daten iSd Art8 Abs3 GRC durch eine unabhängige Stelle prüfen zu lassen, noch können die Beschwerdeführer von ihrem Recht auf Beschwerde an die Aufsichtsbehörde (im Falle des 1. Beschwerdeführers von seinem nach Art77 DSGVO bzw der 2. Beschwerdeführerin nach §24 Abs1 DSG) Gebrauch machen.

Jegliche Prüfung der Verarbeitung personenbezogener Daten durch Medienunternehmen ist von vornherein einer Prüfung durch eine unabhängige Stelle entzogen, was selbstredend in der Praxis auch die Frage ausschließt, ob denn im Einzelfall überhaupt eine journalistische Tätigkeit mit der Verarbeitung verfolgt wird.

Wie der zurückweisende Bescheid der Datenschutzbehörde zeigt, führt das Medienprivileg zu einer datenschutzrechtlichen Immunität von Medienunternehmen, sofern auch nur ansatzweise eine journalistische Tätigkeit zu vermuten ist oder diese zumindest nicht ausgeschlossen werden kann. Diese Rechtsfolge ist unsachlich und beraubt die Beschwerdeführer ihres gesetzlichen Richters.

6. Verletzung der Institutionsgarantie

6.1 Art8 iVm 47 GRC garantiert Rechtsunterworfenen eine unabhängige Stelle, die zur Überwachung und Prüfung der Einhaltung von Vorschriften zum Schutz personenbezogener Daten bestellt ist und deren abweisende Entscheidung durch die nationalen Gerichte geprüft werden kann.

Dementsprechend hat der Gesetzgeber zwingend – ggf neben einem zivilgerichtlichen Rechtsschutz – die Institution einer Aufsichtsbehörde vorzusehen.

6.2 Wie bereits in Punkt 4.1 dargestellt, ist die Verfahrensführung vor den Zivilgerichten für die Beschwerdeführer unzumutbar bzw unmöglich. Art8 Abs3 GRC verlangt, dass die Einhaltung des Rechts auf Schutz von personenbezogenen Daten durch eine unabhängige Stelle überwacht wird. Die Zuständigkeit der Datenschutzbehörde als unabhängige Aufsichtsbehörde wird durch das Medienprivileg jedoch ausgeschlossen.

Dementsprechend verletzt der österreichische Gesetzgeber mit dem Medienprivileg die in dieser Bestimmung festgelegte Institutionsgarantie und verwehrt den Beschwerdeführern bei Rechtschutzinteressen gegen Medienunternehmen den Zugang zu einer solchen unabhängigen Stelle.

6.3 Dies verfestigt sich betreffend den 1. Beschwerdeführer auch durch Art77 Abs1 DSGVO, der ihm unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde garantiert.

Dieser Anspruch auf Beschwerde bei der österreichischen Datenschutzbehörde bedarf keiner nationalen Umsetzung und ist der Regelungsbefugnis der Mitgliedstaaten entzogen. Art77 DSGVO ist jedoch nur auf gegenwärtige, also noch andauernde Rechtsverletzungen gerichtet. Die in Punkt 1.3 genannten Feststellungsbegehren sind für den 1. Beschwerdeführer somit über die unmittelbare Anwendung des Art77 DSGVO gar nicht durchsetzbar. Zwar hätte die Datenschutzbehörde grundsätzlich von ihren Abhilfebefugnissen nach Art58 DSGVO Gebrauch machen und beispielsweise auftragen können, den Auskunfts- und Löschungsverlangen der Beschwerdeführer nachzukommen, doch werden jegliche dahingehenden Befugnisse nach Ansicht der Datenschutzbehörde durch das Medienprivileg ausgeschlossen.

Im Ergebnis kann der 1. Beschwerdeführer auch nicht auf sein unionsrechtlich verankertes Beschwerderecht nach Art77 DSGVO und die Abhilfebefugnisse der Datenschutzbehörde nach Art58 DSGVO verwiesen werden, weil das Medienprivileg den Zugang zu jener Institution verwehrt, die insbesondere nach Art8 Abs3 GRC garantiert ist.

7. Verletzung des Gleichheitssatzes

7.1 §1 Abs1 DSG normiert, dass jedermann das Recht auf Geheimhaltung ihn betreffender personenbezogener Daten hat, sofern daran ein schutzwürdiges Geheimhaltungsinteresse besteht. Dieses Recht auf Geheimhaltung kommt damit nicht nur natürlichen, sondern auch juristischen Personen zugute. Die 2. Beschwerdeführerin ist eine nach österreichischem Recht errichtete Gesellschaft mit beschränkter Haftung und somit vom persönlichen Anwendungs- und Schutzbereich des §1 DSG umfasst.

7.2 Nach ständiger Judikatur muss der Gesetzgeber an gleiche Tatbestände gleiche Rechtsfolgen knüpfen. Wesentlich ungleiche Tatbestände müssen hingegen zu entsprechend unterschiedlichen Regelungen führen. Liegen unterschiedliche Regelungen vor, so ist zu fragen, ob die jeweils erfassten Sachverhalte so unterschiedlich sind, dass sie die unterschiedlichen Rechtsfolgen rechtfertigen. Unterschiedliche Regelungen, die aus keinem vernünftigen Grund ersichtlich sind, sind gleichheitswidrig.

Das Medienprivileg führt nun dazu, dass Beschwerden gegen Medienunternehmen anders behandelt werden, als solche, die sich gegen andere datenschutzrechtliche Verantwortliche richten. Während letztere sowohl einem Administrativverfahren im Zuge einer Beschwerde gemäß Art77 DSGVO bzw §24 DSG als auch einem Zivilverfahren infolge einer Klage nach Art79 DSGVO bzw §29 DSG ausgesetzt sind, genießen Medienunternehmen im Anwendungsbereich des Medienprivilegs völlige datenschutzrechtliche Immunität vor der Datenschutzbehörde und den Zivilgerichten.

7.3 Es ist nicht nachvollziehbar, warum §24 Abs1 DSG, der jeder betroffenen Person – und damit auch der 2. Beschwerdeführerin als juristische Person – ein Recht auf Beschwerde einräumt, und §29 Abs1 DSG, der jeder betroffenen Person den Zugang zu den Zivilgerichten eröffnet, zwar grundsätzlich für Beschwerden bzw Klagen gegen jeden Verantwortlichen gelten sollen, nicht aber dann, wenn es sich bei dem Verantwortlichen um ein Medienunternehmen handelt.

Durch das Medienprivileg werden gegen Medienunternehmen gerichtete Rechtsschutzbegehren ohne erkennbaren vernünftigen Grund anders behandelt, als dies bei übrigen Verantwortlichen der Fall wäre. Die Regelung ist dementsprechend unsachlich und deshalb als gleichheitswidrig aufzuheben.

7.4 Betroffenen Personen steht keine nationale Aufsichtsbehörde zur Verfügung, um eine Verletzung des Grundrechts, ein sonstiges Feststellungsbegehren oder Abhilfemaßnahmen geltend zu machen. Diese Einschränkung wäre jedoch nur auf Grundlage des Verhältnismäßigkeitsprinzips und nur auf Grundlage einer wertenden Abwägung verfassungsrechtlich zulässig.

Die Pauschalausnahme des §9 Abs1 DSG privilegiert journalistische Tätigkeiten von Medienunternehmen oder Mediendiensten jedoch a priori in Negation jeglicher Betroffenenrechte und greift damit in unverhältnismäßiger und folglich verfassungswidriger Weise in das Datenschutzrecht ein.

Das ist unsachlich und deshalb gleichheitswidrig. Das Datenschutzrecht kennt diverse Sondervorschriften für Branchen, um deren berechtigte (wirtschaftliche) Interessen zu wahren bzw zu schützen. Dies regelmäßig zu Einzelaspekten im Zusammenhang mit der Verarbeitung personenbezogener Daten und als Ergebnis einer vom Gesetzgeber vorweggenommenen Interessensabwägung im Einzelnen. Das Medienprivileg negiert das Recht auf Schutz personenbezogener Daten und jegliche Prüf- und Abhilfebefugnisse betroffener Personen hingegen gänzlich.

[…]"

10. Das Bundesverwaltungsgericht erstattete in den beim Verfassungsgerichtshof zu den Zahlen G287/2022 und G288/2022 protokollierten Verfahren jeweils eine Replik, in denen es dem Vorbringen der Datenschutzbehörde mit näherer Begründung entgegentritt.

IV. Erwägungen

Der Verfassungsgerichtshof hat über die in sinngemäßer Anwendung des §187 und §404 ZPO iVm §35 Abs1 VfGG zur gemeinsamen Beratung und Entscheidung verbundenen Anträge erwogen:

1. Zur Zulässigkeit

1.1. Der Verfassungsgerichtshof ist nicht berechtigt, durch seine Präjudizialitätsentscheidung das antragstellende Gericht an eine bestimmte Rechtsauslegung zu binden, weil er damit indirekt der Entscheidung dieses Gerichtes in der Hauptsache vorgreifen würde. Gemäß der ständigen Rechtsprechung des Verfassungsgerichtshofes darf daher ein Antrag iSd Art140 Abs1 Z1 lita B‑VG nur dann wegen Fehlens der Präjudizialität zurückgewiesen werden, wenn es offenkundig unrichtig (denkunmöglich) ist, dass die – angefochtene – generelle Norm eine Voraussetzung der Entscheidung des antragstellenden Gerichtes im Anlassfall bildet (vgl etwa VfSlg 10.640/1985, 12.189/1989, 15.237/1998, 16.245/2001 und 16.927/2003).

1.2. Steht die Vorschrift in offenkundigem Widerspruch mit unmittelbar anwendbarem Unionsrecht, ist der Vorrang des Unionsrechts auch im Normenprüfungsverfahren gemäß Art140 Abs1 Z1 lita B‑VG zu beachten (VfSlg 15.215/1998, 15.368/1998, 16.293/2001; VfGH 12.12.2018, G104/2018 ua) und ein Antrag gemäß dieser Verfassungsbestimmung wegen mangelnder Präjudizialität zurückzuweisen.

Ein Verstoß gegen Unionsrecht ist dann als offenkundig anzusehen, wenn er derart offen zutage liegt, dass für vernünftige Zweifel keinerlei Raum bleibt ("acte-clair-Doktrin"; vgl EuGH 6.10.1982, Rs 283/81 , CILFIT, Slg. 1982, I-3415, Rz 16; VfGH 12.12.2018, G104/2018 ua).

1.3. Im Schrifttum werden erhebliche Zweifel an der Unionsrechtskonformität des §9 Abs1 DSG geäußert (zB Krempelmeier, Sind die datenschutzrechtlichen Privilegien des §9 DSG unionsrechtswidrig?, jusIT 2018, 188 [189 ff.]; Blocher/Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, in: Jahnel [Hrsg.], Jahrbuch Datenschutzrecht 2019, 2019, 303 [305 ff.]; Jahnel, Bildberichterstattung und Datenschutz, in: Berka/Holoubek/Leitl-Staudinger [Hrsg.], Privatheit und Medien, 2019, 73 [84 ff.]; Jahnel/Krempelmeier, Medien und Datenschutz in Österreich, in: Lachmayer/von Lewinski [Hrsg.], Datenschutz im Rechtsvergleich, 2019, 179 [186 ff.]). Der Widerspruch des §9 Abs1 DSG mit Unionsrecht wird dabei im Hinblick auf Art85 Abs2 DSGVO begründet.

Das Bundesverwaltungsgericht geht nach Auffassung des Verfassungsgerichshofes denkmöglich davon aus, dass Art85 Abs2 DSGVO jedenfalls nicht der Anwendung des §9 Abs1 DSG entgegensteht. Das Bundesverwaltungsgericht hat zudem – auf Grund des untrennbaren Zusammenhanges aller Bestimmungen in §9 Abs1 DSG (vgl VfGH 26.9.2022, G200/2022 ua) – die angefochtene Regelung in den Anlassverfahren zur Gänze denkmöglich anzuwenden.

1.4. Da auch sonst keine Prozesshindernisse hervorgekommen sind, erweisen sich die Anträge des Bundesverwaltungsgerichtes als zulässig.

2. In der Sache

Der Verfassungsgerichtshof hat sich in einem auf Antrag eingeleiteten Verfahren zur Prüfung der Verfassungsmäßigkeit eines Gesetzes gemäß Art140 B‑VG auf die Erörterung der geltend gemachten Bedenken zu beschränken (vgl VfSlg 12.691/1991, 13.471/1993, 14.895/1997, 16.824/2003). Er hat sohin ausschließlich zu beurteilen, ob die angefochtene Bestimmung aus den im Antrag dargelegten Gründen verfassungswidrig ist (VfSlg 15.193/1998, 16.374/2001, 16.538/2002, 16.929/2003).

Die Anträge sind begründet.

2.1. Das antragstellende Gericht legt die Gründe, die es zur Antragstellung an den Verfassungsgerichtshof bewogen haben, zusammengefasst wie folgt dar:

Die Geltendmachung des Grundrechtes auf Datenschutz gemäß §1 DSG werde im Anwendungsbereich des §9 Abs1 DSG faktisch "ausgehebelt". Der in dieser Bestimmung vorgesehene Ausschluss der Anwendbarkeit der Bestimmungen des Datenschutzgesetzes – und damit insbesondere des §24 DSG – sowie bestimmter Kapitel der DSGVO bewirke, dass einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung stehe, um eine Verletzung des Grundrechtes auf Datenschutz geltend zu machen. Es handle sich um eine "Pauschal-" bzw "Totalausnahme" von der Anwendbarkeit datenschutzrechtlicher Bestimmungen. Eine verfassungskonforme Interpretation komme auf Grund des eindeutigen Wortlautes des §9 Abs1 DSG nicht in Betracht. Den durch die genannten Verarbeitungssituationen betroffenen Personen würden die Rechte zur Geltendmachung eines datenschutzrechtlichen Verstoßes zur Gänze entzogen.

Nach der Rechtsprechung des Verwaltungsgerichtshofes räume ausschließlich §24 DSG einer in ihrem Grundrecht auf Datenschutz verletzten Person die Möglichkeit ein, eine ihr gegenüber geschehene Rechtsverletzung feststellen zu lassen. In den in §9 Abs1 DSG genannten Fällen bestehe sohin keine Möglichkeit, eine datenschutzrechtliche Rechtsverletzung festzustellen, weshalb die Bestimmung verfassungswidrig sei. Auch eine gerichtliche Geltendmachung komme nicht in Betracht, weil Art79 DSGVO nur auf Verletzungen der DSGVO Bezug nehme, nicht aber auf Verstöße gegen nationale Rechtsvorschriften. Aus diesem Grund sei der Rechtsschutz in den vorliegenden Konstellationen zur Gänze ausgeschlossen.

Selbst wenn man von einer Zuständigkeit der ordentlichen Gerichte ausgehe, sei §9 Abs1 DSG unsachlich, weil das Beschwerderecht bei der Datenschutzbehörde niederschwelliger wahrgenommen werden könne als bei Erhebung einer Klage vor den ordentlichen Gerichten. In einer Gesamtbetrachtung seien die Anforderungen an die Ausübung des Beschwerderechtes bei der Datenschutzbehörde geringer als bei einer gerichtlichen Geltendmachung. Darüber hinaus sei (auch) den ordentlichen Gerichten durch den Ausschluss der Anwendbarkeit des Kapitels II der DSGVO der materiell-rechtliche Prüfungsmaßstab der Art5 ff DSGVO entzogen, sofern man diesen Ausschluss nicht bereits als unionsrechtswidrig beurteile.

Der pauschale Ausschluss der Anwendbarkeit von Kapiteln der DSGVO stehe zudem nicht im Einklang mit Art85 DSGVO, der solche Ausnahmen nur zulasse, soweit dies erforderlich sei. Ein Ausschluss jeglicher Beschwerdemöglichkeit bei der Aufsichtsbehörde sei aber keinesfalls erforderlich. Die in §9 Abs1 DSG vorgesehenen Ausnahmen von der Anwendbarkeit datenschutzrechtlicher Bestimmungen verstießen daher gegen das Grundrecht auf Datenschutz gemäß §1 DSG, den Gleichheitsgrundsatz gemäß Art7 B‑VG und Art2 StGG, das Recht auf ein Verfahren vor dem gesetzlichen Richter gemäß Art83 Abs2 B‑VG, das Recht auf Schutz personenbezogener Daten gemäß Art8 GRC sowie das Recht auf Privatheit gemäß Art8 EMRK.

2.2. Die Datenschutzbehörde, deren Bescheide Beschwerdegegenstand vor dem antragstellenden Bundesverwaltungsgericht sind, hält diesen verfassungsrechtlichen Bedenken des Bundesverwaltungsgerichtes zusammengefasst Folgendes entgegen:

Die einfachgesetzliche Bestimmung des §9 Abs1 DSG verdränge das im Verfassungsrang stehende Grundrecht auf Datenschutz gemäß §1 DSG nicht. Auch im Anwendungsbereich des Medienprivilegs sei von einer eingeschränkten Zuständigkeit der Datenschutzbehörde gemäß §24 DSG auszugehen. §9 Abs1 DSG enthalte eine Beschränkung des Medienprivilegs auf "klassische Medienunternehmen", obwohl Art85 DSGVO eine derartige Einschränkung eigentlich fremd sei, weil in dieser Bestimmung an die "Verarbeitung zu journalistischen Zwecken" geknüpft werde. Die Datenschutzbehörde sei daher in ihrer Spruchpraxis dazu übergegangen, §9 Abs1 DSG eng auszulegen und eine eingeschränkte Zuständigkeit zur Behandlung von Beschwerden anzunehmen. Privilegiert seien lediglich die in §9 Abs1 DSG genannten Akteure.

Darüber hinaus seien nur Datenverarbeitungen privilegiert, die zu journalistischen Zwecken erfolgten. Dies sei nach der Rechtsprechung des Gerichtshofes der Europäischen Union nur dann der Fall, wenn die Verarbeitung ausschließlich das Ziel verfolge, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Aus diesem Grund falle nicht jede im Internet veröffentlichte Information, die sich auf personenbezogene Daten beziehe, unter den Begriff der journalistischen Tätigkeit. Entsprechende Publikationen müssten ein Mindestmaß an journalistischer Bearbeitung sowie ein hinreichend journalistisch-redaktionelles Niveau aufweisen. Aus der Spruchpraxis der Datenschutzbehörde ergebe sich, dass §9 Abs1 DSG nicht zu einem "Totalausschluss" der Zuständigkeit der Datenschutzbehörde führe.

Aus den genannten Gründen sei §9 Abs1 DSG nicht verfassungswidrig; die Bestimmung sei zudem einer verfassungskonformen Auslegung zugänglich. Es bestehe nur dann keine Zuständigkeit der Datenschutzbehörde gemäß §24 DSG, wenn personenbezogene Daten durch die in §9 Abs1 DSG genannten Akteure zu journalistischen Zwecken verarbeitet würden. Ansonsten sei eine Zuständigkeit der Datenschutzbehörde gegeben, etwa bei Verarbeitung personenbezogener Daten im Rahmen eines privaten Internetblogs. Es könne daher nicht gesagt werden, dass §9 Abs1 DSG das Grundrecht auf Datenschutz nach §1 DSG gänzlich "ausheble".

2.3. Die hier maßgebliche Rechtsentwicklung und die geltende Rechtslage stellen sich wie folgt dar:

2.3.1. Bereits §48 DSG 2000, BGBl I 165/1999, welcher Art9 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995 L 281, 31, idF ABl. 2003 L 284, 1 ("Datenschutz-Richtlinie"), umsetzen sollte, sah eine datenschutzrechtliche Sonderregelung für Datenverarbeitungen zu journalistischen Zwecken vor: Soweit Medienunternehmen, Mediendienste oder ihre Mitarbeiter Daten unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes verwendeten, waren gemäß §48 Abs1 DSG 2000 von den einfachgesetzlichen Bestimmungen des Datenschutzgesetzes 2000 nur die §§4 bis 6, 10, 11, 14 und 15 anzuwenden. Daran knüpfend sah §48 Abs2 DSG 2000 vor, dass die Verwendung von Daten für Tätigkeiten nach Abs1 leg cit nur insoweit zulässig war, als dies zur Erfüllung der Informationsaufgabe der Medienunternehmer, Mediendienste und ihrer Mitarbeiter in Ausübung des Grundrechtes auf freie Meinungsäußerung gemäß Art10 Abs1 EMRK erforderlich war.

2.3.2. Eine Neuregelung wurde zunächst in §9 Datenschutz-Anpassungsgesetz 2018, BGBl I 120/2017, getroffen. Diese Regelung hatte folgenden Wortlaut: "Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, insbesondere im Hinblick auf die Verarbeitung von personenbezogenen Daten durch Medienunternehmen, Mediendienste oder ihre Mitarbeiter unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes […], finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen §6 (Datengeheimnis) anzuwenden." Diese gesetzliche Regelung trat allerdings niemals in Kraft. An deren Stelle trat der nun (teilweise) angefochtene §9 DSG, welcher mit dem Datenschutz-Deregulierungs-Gesetz 2018, BGBl I 24/2018, erlassen wurde.

2.3.3. §9 Abs1 DSG, der auf einen Abänderungsantrag im Nationalrat zurückgeht, sieht – in Umsetzung der unionsrechtlichen Verpflichtung gemäß Art85 Abs1 DSGVO – vor, dass auf die Verarbeitung personenbezogener Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes die Bestimmungen des Datenschutzgesetzes sowie die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) der DSGVO keine Anwendung finden.

2.3.4. §9 Abs1 erster Satz DSG statuiert sohin eine gänzliche Ausnahme in dem Sinne, dass Datenverarbeitungen durch bestimmte, in der Bestimmung genannte Akteure (Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes) zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes zur Gänze von den Bestimmungen des Datenschutzgesetzes sowie von den in §9 Abs1 DSG bezeichneten Kapiteln der DSGVO ausgenommen sind.

2.3.5. Die geltende und nun angefochtene Fassung des §9 Abs1 DSG weicht von (dem beschlossenen, aber nicht in Kraft getretenen) §9 Datenschutz- Anpassungsgesetz, BGBl I 120/2017, insoweit ab, als dieser keinen kategorischen, ausnahmslosen Vorrang für die Freiheit der Meinungsäußerung und der Informationsfreiheit, insbesondere im Hinblick auf die Verarbeitung von personenbezogenen Daten durch Medienunternehmen, Mediendienste oder ihre Mitarbeiter unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes vorsah, sondern den Vorrang der Meinungsfreiheit und des Informationsrechtes nur festlegte, "soweit dies erforderlich ist", um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Dieser so genannte Erforderlichkeitsvorbehalt findet sich nun nur mehr in §9 Abs2 DSG.

2.4. Angesichts des Umstandes, dass der Gesetzgeber mit §9 Abs1 DSG seine Verpflichtung gemäß Art85 Abs2 DSGVO erfüllen will, liegt es zunächst nahe, zur Auslegung des Begriffes "zu journalistischen Zwecken" jene Kriterien heranzuziehen, welche der Gerichtshof der Europäischen Union in seiner Rechtsprechung zu Art9 Datenschutz-Richtlinie, der Vorgängerbestimmung des Art85 DSGVO, im Zusammenhang mit dem Begriff der "journalistischen Tätigkeit" entwickelt hat. Demnach ist der Begriff weit auszulegen, wobei nach dem Urteil des Gerichtshofes der Europäischen Union vom 16. Dezember 2008, Rs C‑73/07 , Satakunnan Markkinapörssi und Satamedia, folgende Kriterien zu berücksichtigen sind: Der Begriff der Datenverarbeitung (allein) zu journalistischen Zwecken bezieht sich in persönlicher Hinsicht nicht nur auf institutionalisierte Massenmedien, sondern auf alle Bürger, die journalistisch tätig sind; es ist unerheblich, ob mit dem in Rede stehenden Journalismus ein Gewinn erzielt wird; es ist nicht ausschlaggebend, ob die Daten auf konventionelle Weise verarbeitet und übermittelt werden oder ob die Verarbeitung durch eine moderne Methode (zB durch Hochladen von Daten im Internet) erfolgt; schließlich können Handlungen im Lichte dieser Kriterien als journalistische Tätigkeiten angesehen werden, wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Bei der Frage, ob die Tätigkeit zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten, sind nach dem Urteil des Gerichtshofes der Europäischen Union vom 14. Februar 2019, Rs C-345/17 , Buivids, als Kriterien der Beitrag zu einer Debatte von allgemeinem Interesse, der Bekanntheitsgrad der betroffenen Person, der Gegenstand der Berichterstattung, das vorangegangene Verhalten der betroffenen Person, Inhalt, Form und Auswirkungen der Veröffentlichung, die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind, und deren Richtigkeit zu berücksichtigen (vgl zB Jahnel, Bildberichterstattung und Datenschutz, in: Berka/Holoubek/Leitl-Staudinger [Hrsg.], Privatheit und Medien, 2019, 73 [80]).

§9 Abs1 DSG erfasst aber nicht jegliche journalistische Tätigkeit im vorstehend angeführten Sinne durch wen auch immer, sondern nimmt eine nähere Eingrenzung auf einen bestimmten Personenkreis vor. Derart geht es (nur) um die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes. Gemäß §1 Abs1 Z8 MedienG, BGBl 314/1981, idF BGBl I 125/2022, ist Medieninhaber, "wer a) ein Medienunternehmen oder einen Mediendienst betreibt oder b) sonst die inhaltliche Gestaltung eines Medienwerks besorgt und dessen Herstellung und Verbreitung entweder besorgt oder veranlasst oder c) sonst im Fall eines elektronischen Mediums dessen inhaltliche Gestaltung besorgt und dessen Ausstrahlung, Abrufbarkeit oder Verbreitung entweder besorgt oder veranlasst oder d) sonst die inhaltliche Gestaltung eines Mediums zum Zweck der nachfolgenden Ausstrahlung, Abrufbarkeit oder Verbreitung besorgt". Herausgeber ist gemäß §1 Abs1 Z9 MedienG, "wer die grundlegende Richtung des periodischen Mediums bestimmt". Als Medienunternehmen bezeichnet §1 Abs1 Z6 MedienG "ein Unternehmen, in dem die inhaltliche Gestaltung des Mediums besorgt wird sowie a) seine Herstellung und Verbreitung oder b) seine Ausstrahlung oder Abrufbarkeit entweder besorgt oder veranlasst werden". Als Mediendienst wird in §1 Abs1 Z7 MedienG ein Unternehmen angesehen, "das Medienunternehmen wiederkehrend mit Beiträgen in Wort, Schrift, Ton oder Bild versorgt". §9 Abs1 DSG nimmt also Datenverarbeitungen durch die in der Bestimmung genannten Akteure nur dann von den in der Folge genannten datenschutzrechtlichen Regelungen aus, wenn diese zu journalistischen Zwecken für ein Medienunternehmen oder einen Mediendienst erfolgen.

2.5. Die DSGVO regelt das Verhältnis von Datenschutz und Medienfreiheit nicht selbst, sondern delegiert diese Rechtssetzungsaufgabe an die Mitgliedstaaten. Gemäß Art85 Abs1 DSGVO haben die Mitgliedstaaten durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken, in Einklang zu bringen.

Für die Verarbeitung zu journalistischen (und anderen) Zwecken können die Mitgliedstaaten gemäß Art85 Abs2 DSGVO "Abweichungen oder Ausnahmen" von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) der DSGVO vorsehen, "soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen". Nach Art85 Abs2 DSGVO dürfen die Mitgliedstaaten somit die Anwendbarkeit von Kapitel I (Allgemeine Bestimmungen), Kapitel VIII (Rechtsbehelfe, Haftung und Sanktionen), Kapitel X (Delegierte Rechtsakte und Durchführungsrechtsakte) und Kapitel XI (Schlussbestimmungen) weder ausschließen noch beschränken. Der Gesetzgeber hat in §9 Abs1 DSG – für den darin geregelten, eingeschränkten persönlichen und sachlichen Geltungsbereich (siehe Punkt IV.2.4.) – nicht nur einzelne, sondern sämtliche in Art85 Abs2 DSGVO genannte Kapitel der DSGVO ohne jede Einschränkung oder Differenzierung ausgeschlossen (und nicht bloß Abweichungen vorgesehen). Demgegenüber hat er in §9 Abs2 DSG – in Kontrast zur Bestimmung in §9 Abs1 DSG – für den dort erfassten persönlichen und sachlichen Anwendungsbereich keinen absoluten Ausschluss der genannten Kapitel der DSGVO vorgesehen, sondern den Ausschluss der einzelnen Kapitel der DSGVO unter einen Erforderlichkeitsvorbehalt (im Einzelfall) gestellt. Damit wollte der Gesetzgeber offenkundig Unterschieden in der journalistischen Tätigkeit von Medienunternehmen zu derjenigen zu wissenschaftlichen, künstlerischen und literarischen Zwecken Rechnung tragen. Diese Zielsetzung ist grundsätzlich nicht zu beanstanden und durch Art85 DSGVO auch vorgezeichnet.

2.6. Nach der ständigen Judikatur des Verfassungsgerichtshofes (VfSlg 15.106/1998, 15.204/1998, 15.683/1999, 20.209/2016 u.v.a.) ist ein österreichisches Gesetz, mit dem eine unionsrechtliche Vorschrift ausgeführt und in österreichisches Recht umgesetzt wird, rechtlich doppelt bedingt: Der Gesetzgeber bleibt bei der Ausführung von Unionsrecht insoweit (auch) an bundesverfassungsgesetzliche Vorgaben gebunden, als eine Umsetzung unionsrechtlicher Vorgaben durch diese nicht inhibiert wird. Der Gesetzgeber unterliegt in diesen Fällen sohin einer doppelten Bindung, nämlich einer Bindung an das Unionsrecht und einer Bindung an den verfassungsgesetzlich gezogenen Rahmen.

Das Unionsrecht verlangt vom österreichischen Gesetzgeber nicht die Erlassung einer Bestimmung, wonach jedwede Datenverarbeitung von Medieninhabern, Herausgebern, Medienmitarbeitern und Arbeitnehmern eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes zu journalistischen Zwecken gänzlich von der Anwendung der Bestimmungen des Datenschutzgesetzes sowie bestimmter Kapitel der DSGVO ausgenommen wird. Ganz im Gegenteil verpflichtet Art85 Abs1 DSGVO die Mitgliedstaaten, das Verhältnis von Datenschutz und Meinungsäußerungsfreiheit (Medienfreiheit) durch Rechtsvorschriften näher auszugestalten und auf diesem Weg für einen sachgerechten Ausgleich der einander gegenüberstehenden grundrechtlichen Positionen zu sorgen (vgl zum Meinungsstand bereits Punkt IV.1.3.).

Da somit der Regelungsgehalt des §9 Abs1 DSG unionsrechtlich nicht zwingend vorgegeben ist, unterliegt die Bestimmung der Kontrolle durch den Verfassungsgerichtshof im Hinblick auf ihre Übereinstimmung mit innerstaatlichem Verfassungsrecht. Ob §9 Abs1 DSG den Vorgaben des Unionsrechtes (vollständig) entspricht, hat der Verfassungsgerichtshof nicht zu beurteilen und ist für die Entscheidung des Verfassungsgerichtshofes nicht von Belang (vgl zB VfSlg 20.088/2016, 20.291/2018).

2.7. §9 Abs1 DSG verstößt nach Auffassung des Verfassungsgerichtshofes gegen das Grundrecht auf Datenschutz gemäß §1 Abs1 DSG.

2.7.1. §9 Abs1 DSG ordnet zunächst undifferenziert an, dass "die Bestimmungen dieses Bundesgesetzes" nicht anwendbar sind. Dies wird in Teilen der Literatur so verstanden, dass dadurch auch die Verfassungsbestimmung des §1 DSG (durch den einfachen Gesetzgeber) als nicht anwendbar erklärt wird (so Jahnel, aaO, 86; derselbe, Art85 DSGVO, Kommentar zur Datenschutz-Grundverordnung, rdb.at, Stand 1.12.2020, Rz 42; Jahnel/Krempelmeier, aaO, 193 f.). Eine solche Auslegung verbietet sich, weil der einfache Gesetzgeber die Verfassungsbestimmung als Maßstab für die Verfassungskonformität des angefochtenen §9 Abs1 DSG nicht auszuschließen vermag; der Verfassungsgerichtshof hat vielmehr zu prüfen, ob die angefochtene Bestimmung im Einklang mit der Verfassung, so auch mit §1 Abs1 DSG, steht.

2.7.2. Das Grundrecht auf Datenschutz gemäß §1 Abs1 DSG gewährleistet jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf die Achtung des Privatlebens, hat.

§1 Abs2 DSG enthält hiezu einen materiellen Gesetzesvorbehalt. Abgesehen von der Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung sind Beschränkungen des Anspruchs auf Geheimhaltung demnach nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig.

2.7.3. Aus §1 Abs1 iVm Abs2 DSG (und der dazu ergangenen Rechtsprechung des Verfassungsgerichtshofes) ergibt sich somit, dass grundsätzlich – sofern nicht die Zustimmung oder lebenswichtige Interessen des Betroffenen vorliegen – ein Eingriff in das Grundrecht auf Datenschutz gemäß §1 Abs1 DSG durch den Gesetzgeber nur dann zulässig ist, wenn ein solcher Eingriff zur Wahrung überwiegender berechtigter Interessen eines anderen notwendig ist. Der Gesetzgeber ist sohin auf Grund des Grundrechtes auf Datenschutz gemäß §1 Abs1 iVm Abs2 DSG stets gehalten, eine Abwägung zwischen dem Interesse des Betroffenen am Schutz seiner personenbezogenen Daten und den gegenläufigen (berechtigten) Interessen eines anderen vorzusehen. Nur wenn die Wahrung der gegenläufigen, berechtigten Interessen eines anderen das Recht auf Datenschutz des Betroffenen überwiegt, ist ein gesetzlicher Eingriff in das Grundrecht auf Datenschutz erlaubt.

2.8. Der in §9 Abs1 DSG normierte, absolute und gänzliche – und damit undifferenzierte – Ausschluss der Anwendung aller (einfachgesetzlichen) Regelungen des Datenschutzgesetzes sowie der Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) der DSGVO auf näher definierte Datenverarbeitungen zu journalistischen Zwecken eines Medienunternehmens oder Mediendienstes widerspricht dem in §1 Abs2 DSG normierten Erfordernis, dass der Gesetzgeber das Interesse am Schutz personenbezogener Daten mit dem Interesse der Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes (im Sinne des Mediengesetzes) im Rahmen ihrer journalistischen Tätigkeit sachgerecht abzuwägen hat.

2.8.1. Medien nehmen in einer demokratischen Gesellschaft als "public watchdog" eine zentrale Rolle im öffentlichen Interesse wahr (vgl zB EGMR 8.11.2016 [GK], Fall Magyar Helsinki Bizottság, Appl 18.030/11; VfGH 4.3.2021, E4037/2020). Eben diesem Umstand trägt auch die (Sonder-)Regelung des Art85 Abs1 DSGVO Rechnung, wonach der nationale Gesetzgeber Rechtsvorschriften zu erlassen hat, durch welche "das Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken […] in Einklang" gebracht werden soll. Für die Verarbeitung personenbezogener Daten, die im Zuge journalistischer Tätigkeit erfolgt, hat der nationale Gesetzgeber dementsprechend Abweichungen oder Ausnahmen von den in Art85 Abs2 DSGVO bezeichneten Kapiteln der DSGVO insoweit vorzusehen, als dies für die Wahrnehmung der Aufgaben der Medien und deren entsprechende journalistische Tätigkeit als erforderlich erscheint.

2.8.2. Nach Auffassung des Verfassungsgerichtshofes gebietet daher das Recht auf freie Meinungsäußerung und Informationsfreiheit, dass der Gesetzgeber von der Ermächtigung des bzw dem Auftrag im Sinne des Art85 DSGVO Gebrauch macht und die Anwendbarkeit bestimmter datenschutzrechtlicher Bestimmungen, die mit den Besonderheiten der Ausübung journalistischer Tätigkeit nicht vereinbar sind, auf Datenverarbeitungen zu journalistischen Zwecken ausschließt. Die uneingeschränkte Anwendbarkeit sämtlicher datenschutzrechtlicher Bestimmungen auf Datenverarbeitungen zu journalistischen Zwecken durch Medienunternehmen und Mediendienste wäre nämlich geeignet, journalistische Tätigkeit in unverhältnismäßiger Weise zu behindern oder sogar zu verunmöglichen. Der Gesetzgeber ist aber gehalten, einen angemessenen, differenzierten Ausgleich zwischen den Interessen einzelner Personen auf Datenschutz auch gegenüber Medien und den durch Art10 EMRK geschützten Anforderungen journalistischer Tätigkeit vorzusehen.

Zu denken ist in diesem Zusammenhang etwa an Einschränkungen in personeller (wie derzeit in §9 Abs1 DSG vorgesehen, zB hinsichtlich Medienunternehmen und Mediendiensten), zeitlicher (unter Umständen nur bis zur Veröffentlichung eines Berichtes) oder sachlicher (zB hinsichtlich bestimmter Datenverarbeitungen oder Betroffenenrechte) Hinsicht. Ebenso könnte der Gesetzgeber – als Ausgleich für den Ausschluss (bestimmter) datenschutzrechtlicher Bestimmungen – erhöhte Anforderungen an die interne Organisation, Dokumentation und technische Sicherung der verarbeiteten Daten vorsehen.

2.8.3. Das Grundrecht auf Datenschutz gemäß Art1 Abs1 DSG erlaubt es aber nicht, dass der Gesetzgeber im Anwendungsbereich des Medienprivileges kategorisch, dh für die erfasste Tätigkeit zu journalistischen Zwecken schlechthin der Meinungsäußerungs- und Informationsfreiheit den Vorrang vor dem Schutz personenbezogener Daten einräumt, indem er die Anwendbarkeit sämtlicher datenschutzrechtlicher Regelungen inhaltlicher und verfahrensrechtlicher Natur nach der DSGVO und dem Datenschutzgesetz im gesamten Umfang ausschließt. Die in §9 Abs1 DSG angeordnete, kategorische Privilegierung eines Grundrechtes, nämlich des Rechtes auf freie Meinungsäußerung und Informationsfreiheit gegenüber dem Grundrecht auf Datenschutz entspricht nicht den verfassungsrechtlichen Vorgaben des §1 DSG und der dazu ergangenen Rechtsprechung des Verfassungsgerichtshofes (vgl zB VfSlg 16.986/2003, 18.643/2008, 19.892/2014, 20.012/2015, 20.356/2019, 20.359/2019).

2.9. Für die Verfassungskonformität des §9 Abs1 DSG kann im Übrigen nach Auffassung des Verfassungsgerichtshofes auch nicht ins Treffen geführt werden, dass eine Geltendmachung von Datenschutzverletzungen durch Verarbeitungen zu journalistischen Zwecken zwar nicht vor der Datenschutzbehörde, aber vor den ordentlichen Gerichten möglich ist.

In diese Richtung könnte die Rechtsprechung des Obersten Gerichtshofes zum früheren Medienprivileg des §48 Abs1 DSG 2000 deuten. Diese Bestimmung sah vor (vgl bereits Punkt IV.2.3.1.), dass bei Verwendung von Daten durch Medienunternehmen, Mediendienste oder ihre Mitarbeiter unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes von den einfachgesetzlichen Bestimmungen des Datenschutzgesetzes 2000 nur die §§4 bis 6, 10, 11, 14 und 15 anzuwenden waren. Der Oberste Gerichtshof sprach aus, dass diese Bestimmung teleologisch zu reduzieren sei und die Geltendmachung von Unterlassungsansprüchen unmittelbar auf Grundlage des §1 Abs1 DSG 2000 nicht ausschließe (vgl OGH 17.1.2018, 6 Ob 144/17w).

Es ist allerdings offen, ob diese Rechtsprechung auf das nun in §9 Abs1 DSG geregelte Medienprivileg übertragen werden kann: Zum Ersten nimmt die zuletzt genannte Bestimmung – im Gegensatz zu §48 Abs1 DSG 2000 – nicht bloß einzelne einfachgesetzliche Bestimmungen von der Anwendbarkeit auf Datenverarbeitungen zu journalistischen Zwecken aus, sondern sämtliche Bestimmungen des Datenschutzgesetzes sowie die in der Bestimmung genannten Kapitel der DSGVO. Zum Zweiten würde die Gegenansicht den Willen des Gesetzgebers, die genannten Bestimmungen bei Datenverarbeitungen zu journalistischen Zwecken nicht zur Anwendung zu bringen, offenkundig unterlaufen (vgl in diesem Zusammenhang auch jüngst OGH 2.2.2022, 6 Ob 129/21w).

2.10. Die Datenschutzbehörde weist in ihrer Äußerung grundsätzlich zutreffend darauf hin, dass Betroffenen – neben den Bestimmungen des Datenschutzgesetzes und der DSGVO – in bestimmten Konstellationen anderweitig Rechtsschutz gewährleistet wird. Zu denken ist in diesem Zusammenhang insbesondere an die §§7 ff MedienG oder Bestimmungen des ABGB (etwa §16 iVm §1330 ABGB). Im vorliegenden Zusammenhang geht es aber darum, welche speziellen datenschutzrechtlichen Regelungen der Gesetzgeber im Hinblick auf Art10 EMRK für journalistische Tätigkeit für nicht oder nur modifiziert anwendbar erklären kann, mit der Folge, dass diese Tätigkeit (bloß) den genannten medien- und zivilrechtlichen Regelungen, soweit sie im jeweiligen Einzelfall zur Anwendung kommen, unterfällt.

2.11. §9 Abs1 DSG erweist sich daher aus den dargestellten Gründen als verfassungswidrig.

2.12. Bei diesem Ergebnis erübrigt es sich, auf die sonstigen Bedenken des antragstellenden Bundesverwaltungsgerichtes unter dem Aspekt weiterer Grundrechte einzugehen.

V. Ergebnis

1. §9 Abs1 DSG ist daher wegen Verstoßes gegen das verfassungsgesetzlich gewährleistete Recht auf Datenschutz gemäß §1 Abs1 DSG als verfassungswidrig aufzuheben. Bei diesem Ergebnis erübrigt sich ein Eingehen auf die weiteren in den Anträgen dargelegten Bedenken.

2. Die Bestimmung einer Frist für das Außerkrafttreten der aufgehobenen Gesetzesstelle gründet sich auf Art140 Abs5 dritter und vierter Satz B‑VG.

3. Der Ausspruch, dass frühere gesetzliche Bestimmungen nicht wieder in Kraft treten, beruht auf Art140 Abs6 erster Satz B‑VG.

4. Die Verpflichtung des Bundeskanzlers zur unverzüglichen Kundmachung der Aufhebung und der damit im Zusammenhang stehenden sonstigen Aussprüche erfließt aus Art140 Abs5 erster Satz B‑VG und §64 Abs2 VfGG iVm §3 Z3 BGBlG.

5. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.

6. Den beteiligten Parteien sind für die abgegebene Äußerung Kosten nicht zuzusprechen, weil es im Falle eines auf Antrag eines Gerichtes eingeleiteten Normenprüfungsverfahrens Sache des antragstellenden Gerichtes ist, über allfällige Kostenersatzansprüche nach den für sein Verfahren geltenden Vorschriften zu erkennen (zB VfSlg 19.019/2010 mwN).