EuGH (Große Kammer), Urt. 16.1.2024 - C-33/22
Datenschutzaufsicht über Parlament
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 04/2024
Aus: IT-Rechtsberater, Heft 04/2024
Wenn ein Mitgliedstaat gem. Art. 51 Abs. 1 DSGVO nur eine einzige Aufsichtsbehörde eingerichtet, diese jedoch nicht mit der Zuständigkeit für einen parlamentarischen Untersuchungsausschuss ausgestattet hat, übertragen die Artt. 77 Abs. 1, 55 Abs. 1 DSGVO dieser Behörde unmittelbar die Zuständigkeit für das Beschwerdeverfahren.
AEUV Art. 16; EUV Art. 4 Abs. 2; VO (EU) 2016/679 Artt. 2 Abs. 2 lit. a, 23 Abs. 1 lit. a und h, 51, 55, 77
Gesetzgebungskompetenz: Nach Art. 16 Abs. 2 AEUV könnten Vorschriften über den Datenschutz durch die Mitgliedstaaten i.R.d. Tätigkeitsausübung im Anwendungsbereich des Unionsrechts erlassen werden. Deshalb bestehe außerhalb dieser Tätigkeit der grundsätzlich sehr weite Anwendungsbereich der DSGVO nach Art. 2 Abs. 2 lit. a DSGVO nicht (Rz. 32 ff. m.w.N.).
Irrelevanz der Urheberschaft der Verarbeitung: Die Artt. 2 Abs. 1, 4 Nr. 7 DSGVO unterschieden nicht nach der Urheberschaft der Verarbeitung. Soweit daher ein Petitionsausschuss des Parlaments eines föderalen Gliedstaats über Zwecke und Mittel der Datenverarbeitung (mit-)entscheide, sei er als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO einzustufen (Rz. 38; EuGH v. 9.7.2020 – C-272/19 – Land Hessen Rz. 74, CR 2020, 541).
Tätigkeit im Anwendungsbereich des EU-Rechts: Die in Art. 2 Abs. 2 lit. a DSGVO vorgesehene Ausnahme von der Anwendung der DSGVO beziehe sich ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Geltungsbereich des Unionsrechts fielen, und nicht auf Kategorien von Verantwortlichen und auch nicht darauf, dass die Aufgaben einer Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen – auch parlamentarischen – Befugnis zuzurechnen seien, wenn diese nicht mit einer Tätigkeit außerhalb des Anwendungsbereichs des Unionsrechts einhergehe. Letzteres treffe nicht per se auf die Ausübung des Kontrollrechts der Vollziehung durch einen parlamentarischen Untersuchungsausschuss zu (Rz. 39–43; Ls. 1).
Ausnahme der nationalen Sicherheit: Art. 2 Abs. 2 lit. a DSGVO i.V.m. Erwgrd. 16 sei eng auszulegen und solle allein Datenverarbeitungen ausnehmen, die von staatlichen Stellen i.R.e. Tätigkeit für die nationale Sicherheit oder derselben Tätigkeitskategorie vorgenommen würden. Die Tätigkeiten für die nationale Sicherheit umfassten insb. solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezweckten (z.B. EuGH v. 22.6.2021 – C-439/19 – Strafpunkte Rz. 67, ITRB 2021, 228 [Dovas] = CR 2021, 602). Nach Art. 4 Abs. 2 EUV blieben solche Handlungen in der alleinigen Verantwortung der Mitgliedstaaten (Rz. 37, 45 ff. m.w.N.).
Irrelevanz der behördlichen Hauptaufgabe: Die Hauptaufgabe einer Behörde zu Gewährleistung der nationalen Sicherheit reiche als solche nicht aus, um Datenverarbeitungen i.R. anderer Tätigkeiten der Behörde vom Anwendungsbereich der DSGVO auszunehmen. Die politische Kontrolle der Betätigung des Bundesamts durch den Untersuchungsausschuss bzgl. des Verdachts politischer Einflussnahme auf das Amt scheine per se keine Tätigkeit für die nationale Sicherheit oder derselben Tätigkeitskategorie zu sein (Rz. 41, 45, 51 f., 57; Ls. 2).
Vertraulichkeitsschutz im Einzelfall: Allerdings könne ein parlamentarischer Untersuchungsausschuss i.R. seiner Betätigung Zugang insb. zu personenbezogenen Daten haben, die wegen nationaler Sicherheit besonders zu schützen seien. Art. 23 DSGVO sehe vor, dass unter Gesetzesvorbehalt die Pflichten und Rechte gem. den Artt. 5, 12–22, 34 DSGVO beschränkt werden könnten, um u.a. die nationale Sicherheit oder sie betreffende staatliche Kontrollfunktion sicherzustellen. So könne z.B. eine Datenoffenlegung zustimmungsfrei – vorbehaltlich Berücksichtigung von Grundrechtswesensgehalt und Verhältnismäßigkeit – gerechtfertigt werden. Diese Voraussetzungen schienen bzgl. der Veröffentlichung des Befragungsprotokolls auf der Parlamentswebsite nicht erfüllt zu sein (Rz. 53–56).
Allzuständigkeit der Aufsichtsbehörde: Nach Art. 77 Abs. 1 DSGVO habe jeder Betroffene das Beschwerderecht bei einer Aufsichtsbehörde und nach Art. 55 Abs. 1 DSGVO sei jede Aufsichtsbehörde zur Aufgabenerfüllung im eigenen Mitgliedstaat zuständig. Aus dem Wortlaut der Vorschriften ergebe sich, dass keine nationalen Durchführungsmaßnahmen erforderlich und sie hinreichend klar, genau und unbedingt seien, um unmittelbar anwendbar i.S.v. Art. 288 Abs. 2 AEUV zu sein. Somit seien die Behördenzuständigkeiten unabhängig von der Option einer Behördenmehrzahl gem. Art. 51 Abs. 1 DSGVO festgelegt, so dass im Fall einer einzigen Behörde diese mit allen Zuständigkeiten zwecks Wahrung der praktischen Wirksamkeit sämtlicher beschwerdeerheblichen Bestimmungen ausgestattet sei (Rz. 58–65 m.w.N.).
Aufsichtsbeschränkung bzgl. Rechtsprechung: Da durch Art. 55 Abs. 3 DSGVO ausdrücklich die Zuständigkeit der Aufsichtsbehörde für die justizielle Tätigkeit der Gerichte ausgeschlossen worden sei, sei im Umkehrschluss in allen Fällen nicht speziell geregelter Ausnahme nicht von einer Aufsichtsbeschränkung auszugehen (Rz. 66).
Ermessen für Behördenmehrzahl: Aus Art. 51 Abs. 1 DSGVO i.V.m. Erwgrd. 117 ergebe sich ein Ermessensspielraum der Mitgliedstaaten, eine Mehrzahl von Aufsichtsbehörden einzurichten, wenn dies insb. ihrer verfassungsmäßigen Struktur entspreche, so dass schon so die Gewaltenteilung befriedigt werden könne (Rz. 68 f.).
Kein Vorrang nationalen Verfassungsrechts: Unabhängig davon dürften Einheit und Wirksamkeit des Unionsrechts nicht dadurch beeinträchtigt werden, dass sich ein Mitgliedstaat trotz Vorrangs des Unionsrechts auf nationales Recht – hier verfassungsrechtliches absolutes Verbot behördlicher Kontrolle der Legislative – berufe. Sofern sich ein Mitgliedstaat auf eine einzige Aufsichtsbehörde beschränke, könne er sich zum Entzug ihrer DSGVO-Zuständigkeit etwa bzgl. eines Untersuchungsausschusses nicht auf nationales (Verfassungs-)Recht berufen (Rz. 67, 70 ff. m.w.N.; Ls. 3).
AEUV Art. 16; EUV Art. 4 Abs. 2; VO (EU) 2016/679 Artt. 2 Abs. 2 lit. a, 23 Abs. 1 lit. a und h, 51, 55, 77
Das Problem
Der österreichische Nationalrat setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das damalige Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufzuklären. Ein verdeckter Ermittler von Straßenkriminalität wurde vom Untersuchungsausschuss medienöffentlich befragt. Trotz beantragter Anonymisierung wurde das Befragungsprotokoll unter vollständiger Namensnennung auf der Parlamentswebseite veröffentlicht. Seine Beschwerde wurde von der Datenschutzbehörde zurückgewiesen, weil eine Kontrolle der Gesetzgebung durch die Verwaltung wegen des Gewaltenteilungsgrundsatzes ausgeschlossen sei.Die Entscheidung des Gerichts
Die DSGVO könne auch auf einen parlamentarischen Untersuchungsausschuss anwendbar und eine Behörde insoweit zur Aufsicht befugt sein.Gesetzgebungskompetenz: Nach Art. 16 Abs. 2 AEUV könnten Vorschriften über den Datenschutz durch die Mitgliedstaaten i.R.d. Tätigkeitsausübung im Anwendungsbereich des Unionsrechts erlassen werden. Deshalb bestehe außerhalb dieser Tätigkeit der grundsätzlich sehr weite Anwendungsbereich der DSGVO nach Art. 2 Abs. 2 lit. a DSGVO nicht (Rz. 32 ff. m.w.N.).
Irrelevanz der Urheberschaft der Verarbeitung: Die Artt. 2 Abs. 1, 4 Nr. 7 DSGVO unterschieden nicht nach der Urheberschaft der Verarbeitung. Soweit daher ein Petitionsausschuss des Parlaments eines föderalen Gliedstaats über Zwecke und Mittel der Datenverarbeitung (mit-)entscheide, sei er als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO einzustufen (Rz. 38; EuGH v. 9.7.2020 – C-272/19 – Land Hessen Rz. 74, CR 2020, 541).
Tätigkeit im Anwendungsbereich des EU-Rechts: Die in Art. 2 Abs. 2 lit. a DSGVO vorgesehene Ausnahme von der Anwendung der DSGVO beziehe sich ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Geltungsbereich des Unionsrechts fielen, und nicht auf Kategorien von Verantwortlichen und auch nicht darauf, dass die Aufgaben einer Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen – auch parlamentarischen – Befugnis zuzurechnen seien, wenn diese nicht mit einer Tätigkeit außerhalb des Anwendungsbereichs des Unionsrechts einhergehe. Letzteres treffe nicht per se auf die Ausübung des Kontrollrechts der Vollziehung durch einen parlamentarischen Untersuchungsausschuss zu (Rz. 39–43; Ls. 1).
Ausnahme der nationalen Sicherheit: Art. 2 Abs. 2 lit. a DSGVO i.V.m. Erwgrd. 16 sei eng auszulegen und solle allein Datenverarbeitungen ausnehmen, die von staatlichen Stellen i.R.e. Tätigkeit für die nationale Sicherheit oder derselben Tätigkeitskategorie vorgenommen würden. Die Tätigkeiten für die nationale Sicherheit umfassten insb. solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezweckten (z.B. EuGH v. 22.6.2021 – C-439/19 – Strafpunkte Rz. 67, ITRB 2021, 228 [Dovas] = CR 2021, 602). Nach Art. 4 Abs. 2 EUV blieben solche Handlungen in der alleinigen Verantwortung der Mitgliedstaaten (Rz. 37, 45 ff. m.w.N.).
Irrelevanz der behördlichen Hauptaufgabe: Die Hauptaufgabe einer Behörde zu Gewährleistung der nationalen Sicherheit reiche als solche nicht aus, um Datenverarbeitungen i.R. anderer Tätigkeiten der Behörde vom Anwendungsbereich der DSGVO auszunehmen. Die politische Kontrolle der Betätigung des Bundesamts durch den Untersuchungsausschuss bzgl. des Verdachts politischer Einflussnahme auf das Amt scheine per se keine Tätigkeit für die nationale Sicherheit oder derselben Tätigkeitskategorie zu sein (Rz. 41, 45, 51 f., 57; Ls. 2).
Vertraulichkeitsschutz im Einzelfall: Allerdings könne ein parlamentarischer Untersuchungsausschuss i.R. seiner Betätigung Zugang insb. zu personenbezogenen Daten haben, die wegen nationaler Sicherheit besonders zu schützen seien. Art. 23 DSGVO sehe vor, dass unter Gesetzesvorbehalt die Pflichten und Rechte gem. den Artt. 5, 12–22, 34 DSGVO beschränkt werden könnten, um u.a. die nationale Sicherheit oder sie betreffende staatliche Kontrollfunktion sicherzustellen. So könne z.B. eine Datenoffenlegung zustimmungsfrei – vorbehaltlich Berücksichtigung von Grundrechtswesensgehalt und Verhältnismäßigkeit – gerechtfertigt werden. Diese Voraussetzungen schienen bzgl. der Veröffentlichung des Befragungsprotokolls auf der Parlamentswebsite nicht erfüllt zu sein (Rz. 53–56).
Allzuständigkeit der Aufsichtsbehörde: Nach Art. 77 Abs. 1 DSGVO habe jeder Betroffene das Beschwerderecht bei einer Aufsichtsbehörde und nach Art. 55 Abs. 1 DSGVO sei jede Aufsichtsbehörde zur Aufgabenerfüllung im eigenen Mitgliedstaat zuständig. Aus dem Wortlaut der Vorschriften ergebe sich, dass keine nationalen Durchführungsmaßnahmen erforderlich und sie hinreichend klar, genau und unbedingt seien, um unmittelbar anwendbar i.S.v. Art. 288 Abs. 2 AEUV zu sein. Somit seien die Behördenzuständigkeiten unabhängig von der Option einer Behördenmehrzahl gem. Art. 51 Abs. 1 DSGVO festgelegt, so dass im Fall einer einzigen Behörde diese mit allen Zuständigkeiten zwecks Wahrung der praktischen Wirksamkeit sämtlicher beschwerdeerheblichen Bestimmungen ausgestattet sei (Rz. 58–65 m.w.N.).
Aufsichtsbeschränkung bzgl. Rechtsprechung: Da durch Art. 55 Abs. 3 DSGVO ausdrücklich die Zuständigkeit der Aufsichtsbehörde für die justizielle Tätigkeit der Gerichte ausgeschlossen worden sei, sei im Umkehrschluss in allen Fällen nicht speziell geregelter Ausnahme nicht von einer Aufsichtsbeschränkung auszugehen (Rz. 66).
Ermessen für Behördenmehrzahl: Aus Art. 51 Abs. 1 DSGVO i.V.m. Erwgrd. 117 ergebe sich ein Ermessensspielraum der Mitgliedstaaten, eine Mehrzahl von Aufsichtsbehörden einzurichten, wenn dies insb. ihrer verfassungsmäßigen Struktur entspreche, so dass schon so die Gewaltenteilung befriedigt werden könne (Rz. 68 f.).
Kein Vorrang nationalen Verfassungsrechts: Unabhängig davon dürften Einheit und Wirksamkeit des Unionsrechts nicht dadurch beeinträchtigt werden, dass sich ein Mitgliedstaat trotz Vorrangs des Unionsrechts auf nationales Recht – hier verfassungsrechtliches absolutes Verbot behördlicher Kontrolle der Legislative – berufe. Sofern sich ein Mitgliedstaat auf eine einzige Aufsichtsbehörde beschränke, könne er sich zum Entzug ihrer DSGVO-Zuständigkeit etwa bzgl. eines Untersuchungsausschusses nicht auf nationales (Verfassungs-)Recht berufen (Rz. 67, 70 ff. m.w.N.; Ls. 3).