Wikipedia

Parlamentarisches Datenschutzkomitee

Behörde in Österreich

Das Parlamentarische Datenschutzkomitee (PDK) ist eine Behörde in Österreich. Sie ist als datenschutzrechtliche Aufsichtsbehörde zur Überwachung von Datenverarbeitungen im Bereich der Gesetzgebung zuständig[1] und entscheidet über Datenschutzbeschwerden[2] gegen Organe der Gesetzgebung einschließlich deren Verwaltungsangelegenheiten.

Osterreich  Parlamentarisches Datenschutzkomitee
Österreichische Behörde
Staatliche Ebene Bund
Stellung der Behörde datenschutzrechtliche Aufsichtsbehörde (weisungsfrei)
Gründung 1. Jänner 2025 (Beginn der gesetzlichen Zuständigkeit)
Hauptsitz Dr.-Karl-Renner-Ring 3, 1017 Wien
Behörden­leitung Der Vorsitz wechselt jährlich unter den fünf Mitgliedern

Das Parlamentarische Datenschutzkomitee ist zuständig für die Arbeitsbereiche von Nationalrat, Bundesrat, Rechnungshof und Volksanwaltschaft. Durch Landesverfassungsgesetze kann es auch für die Aufsicht über die Datenverarbeitungen der Landtage, der Landesrechnungshöfe und die Landesvolksanwälte zuständig gemacht werden.[1] Das Parlamentarische Datenschutzkomitee ist eine der zwei datenschutzrechtlichen Aufsichtsbehörden in Österreich, die andere ist die Datenschutzbehörde.

Rechtsgrundlage des Parlamentarische Datenschutzkomitees ist die Novelle zum österreichischen Datenschutzgesetz im Bundesgesetzblatt vom 4. Juli 2024, BGBl. I Nr. 70/2024. Dieses Gesetz trat mit 15. Juli 2024 in Kraft.[3] Das Parlamentarische Datenschutzkomitee hat danach seine Zuständigkeiten ab 1. Jänner 2025 wahrzunehmen, bereits laufende Verfahren bei anderen Stellen sind dieser Behörde abzutreten.[4]

Entstehung

Bearbeiten

Ausgangslage

Bearbeiten

Eine gesetzgebende Körperschaft in Österreich (Nationalrat, Bundesrat, Landtage) ist nicht nur für die Schaffung von Gesetzen zuständig, sondern hat auch das Recht zu kontrollieren, ob die beschlossenen Gesetze rechtmäßig vollzogen werden. Dafür bestehen einerseits konkrete Einrichtungen (Rechnungshöfe, Volksanwaltschaften usw.), andererseits Rechte der Körperschaft bzw. ihrer Mitglieder (der Abgeordneten) selbst (parlamentarische Anfragen, Bearbeitung von Petitionen, Untersuchungsausschüsse). Dabei kann es auch dazu kommen, dass personenbezogene Daten von natürlichen und juristischen Personen verarbeitet werden müssen. Das Thema, ob und welcher Rechtsschutz gegen Datenschutzverletzungen in diesem Bereich bestehe, führte immer wieder zu Verfahren und Diskussionen.[5] Es war einerseits dem österreichischen Datenschutzrecht nicht zu entnehmen, dass die (bereits vorhandene) Datenschutzbehörde auch für solche Themen zuständig sei, andererseits enthielt das europäische Datenschutzrecht (die Datenschutz-Grundverordnung DSGVO) keine Ausnahmen für diesen Bereich.

Ob ein Vorrang des Europarechts auch im Bereich der Gewaltenteilung bestünde, war nicht entschieden. Für die staatliche Organisation in Österreich ist aber die Gewaltenteilung jedenfalls zu beachten. Die drei Staatsgewalten Gesetzgebung (Legislative), ausführende Gewalt (Verwaltung, Exekutive) und Rechtsprechung (Justiz, Judikative) sind getrennt voneinander[6] organisiert. Das dient der Machtbegrenzung und erleichtert die Kontrolle. Es ist damit aber auch nicht ohne Weiteres möglich, dass eine Behörde der Exekutive (wie es die Datenschutzbehörde ist) für Angelegenheiten zuständig ist, die der Gesetzgebung (wie es z. B. der Nationalrat ist) zugeordnet sind. Das kann (innerstaatlich) nur durch eine Änderung der österreichischen Bundesverfassung gestaltet werden. Aus diesem Grund enthalten die gesetzlichen Grundlagen des Parlamentarischen Datenschutzkomitees eine Reihe von Bestimmungen, die ausdrücklich als Verfassungsbestimmung bezeichnet sind. Durch diese Bestimmungen wird die vorher unklare Rechtslage klarer formuliert.

Anlassfall

Bearbeiten

Anlass für die Schaffung des Parlamentarischen Datenschutzkomitees war eine Beschwerde über die Veröffentlichung eines Protokolls eines Untersuchungsausschusses in folgendem Zusammenhang:

Der Nationalrat hatte am 20. April 2018[7] einen Untersuchungsausschuss eingesetzt, der sich mit möglicher politische Einflussnahme auf das (damalige) Bundesamt für Verfassungsschutz und Terrorismusbekämpfung befassen sollte.[8][9] Am 19. September 2018 wurde ein Mann, der für dieses Amt als verdeckter Ermittler arbeitete, vor diesem Untersuchungsausschuss als Auskunftsperson befragt. Obwohl er ausdrücklich eine Anonymisierung beantragt[10] hatte, wurde auf der Webseite des Österreichischen Parlaments das Protokoll seiner Befragung unter vollständiger Nennung seines Vor- und Familiennamens veröffentlicht.[11][12]

Der Betroffene brachte dagegen eine Beschwerde bei der Datenschutzbehörde ein. Diese erklärte sich am 18. September 2019 für unzuständig und wies die Beschwerde zurück. Ihre Begründung ging dahin, dass ein Untersuchungsausschuss eine Angelegenheit der Gesetzgebung sei und aufgrund des in Österreich geltenden Grundsatzes der Gewaltenteilung eine Kontrolle der Verwaltung über die Gesetzgebung ausgeschlossen sei. Das Rechtsmittel gegen diese Entscheidung war erfolgreich. Das Bundesverwaltungsgericht gab der Beschwerde statt und hob die Entscheidung der Datenschutzbehörde am 23. November 2020 auf.[10] Die Begründung lag darin, dass die europäische Datenschutz-Grundverordnung DSGVO (auch) für Akte der Gesetzgebung maßgeblich sei und die Datenschutzbehörde die Beschwerde somit hätte inhaltlich bearbeiten müssen. Dagegen wiederum erhob die Datenschutzbehörde Revision an den Verwaltungsgerichtshof. Dieser legte das Thema am 14. Dezember 2021 dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsersuchens vor.[13] Kern des Vorlageantrages war die Frage, ob die Datenschutzbehörde auch für das vorliegende Verfahren zuständig sei, obwohl dies in der österreichischen Rechtsordnung nicht geregelt sei. Das europäische Datenschutzrecht enthalte jedoch keine Unterscheidung nach Staatsfunktionen, eine solche Unterscheidung finde sich auch nicht in den nationalen Regelungen. Nur Gerichte seien von der Zuständigkeit der Datenschutzbehörde ausgenommen, ein Untersuchungsausschuss sei aber kein Gericht.

Der Europäische Gerichtshof entschied am 24. Jänner 2024, dass dann, wenn in einem Staat bloß eine einzige datenschutzrechtliche Aufsichtsbehörde eingerichtet sei, diese auch für Beschwerden über Verarbeitungen personenbezogener Daten durch einen Untersuchungsausschuss zuständig sei.[14] Er folgte damit den Schlussanträgen des Generalanwalts vom 11. Mai 2023, der den Standpunkt vertrat, verfassungsrechtliche Hindernisse im österreichischen Recht dürften nicht dazu führen, die Bestimmungen der DSGVO unangewendet zu lassen.[15] Dementsprechend bestätigte der Verwaltungsgerichtshof am 1. Februar 2024 die Entscheidung des Bundesverwaltungsgerichts.[16]

Damit wäre die Datenschutzbehörde (als damals noch einzige datenschutzrechtliche Aufsichtsbehörde in Österreich, nach Aufhebung ihrer am Anfang zurückweisenden Entscheidung) zur Entscheidung über die vorliegende Beschwerde zuständig gewesen. Eine neuerliche Entscheidung der Datenschutzbehörde erfolgte jedoch nicht. Da das Thema bereits auch aus anderen Zusammenhängen bewusst war,[5] war bereits eine Gesetzesänderung in Arbeit. Diese Arbeit führte am 12. Juni 2024 zu einem formellen Antrag auf Gesetzesänderung, der sich ausdrücklich auf die Entscheidung des Europäischen Gerichtshofs berief.[17] Am 13. Juni 2024[18] wurden daraufhin das Datenschutzgesetz und einige andere Gesetze geändert und das Parlamentarische Datenschutzkomitee geschaffen.[19]

Zusammensetzung

Bearbeiten

Das Parlamentarische Datenschutzkomitee besteht aus mindestens drei bis höchstens sechs Personen. Für die erste Funktionsperiode ab 2025 wurden fünf Personen bestellt:

Gerhard Baumgartner, Christian Bergauer, Philipp Grasser, Sandra Huber und Eva Souhrada-Kirchmayer.

Diese Mitglieder wurden vom Nationalrat mit Zustimmung des Bundesrates für fünf Jahre gewählt, die Beschlüsse erfolgten einstimmig.[20][21] Es bestehen für diese Personen keine Dienstverhältnisse, die Entschädigung wird nach Arbeitsstunden berechnet.[22]

Der Vorsitz des Parlamentarischen Datenschutzkomitees wechselt jährlich zwischen den Mitgliedern. Die Reihenfolge ist in der Geschäftsordnung festzulegen.[23]

Verfahren und Entscheidungen

Bearbeiten

Das Parlamentarische Datenschutzkomitee ist eine Aufsichtsbehörde, wie sie in der Datenschutz-Grundverordnung vorgesehen ist, und daher bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse gemäß dieser Verordnung völlig unabhängig.[24]

Beschwerden können von jeder Person eingebracht werden, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten bei einer Stelle, für die das Parlamentarische Datenschutzkomitee zuständig ist, gegen die DSGVO oder gegen das österreichische DSG verstößt.[2]

Gegen Entscheidungen des Parlamentarischen Datenschutzkomitees kann Beschwerde beim Bundesverwaltungsgericht erhoben werden.[25]

Das Parlamentarische Datenschutzkomitee hat mit der Datenschutzbehörde zusammenzuarbeiten, der Leiter der Datenschutzbehörde ist gemeinsamer Vertreter im Europäischen Datenschutzausschuss[26] und zentrale Anlaufstelle.[27]

Der Präsident des Nationalrates kann sich beim Vorsitzenden des Parlamentarischen Datenschutzkomitees über die Gegenstände der Geschäftsführung unterrichten. Dem ist nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde widerspricht.[28]

Literatur

Bearbeiten

Siehe auch

Bearbeiten

Einzelnachweise

Bearbeiten
  1. a b § 35a des österreichischen Datenschutzgesetzes 2000 in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  2. a b § 35f des österreichischen Datenschutzgesetzes 2000 in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  3. § 70 Absatz 15 Datenschutzgesetz.
  4. §§ 69 Absatz 10 und 11 Datenschutzgesetz.
  5. a b Z. B. aus einem Verfahren vor der Datenschutzbehörde, dessen Entscheidung aber nicht angefochten worden war. Es hatte zu diesem Thema am 3. März 2022 auch eine internationale Fachtagung „Datenschutz im Bereich der Gesetzgebung“, veranstaltet durch die Parlamentsdirektion, stattgefunden, bei der von der Leiterin der Datenschutzbehörde Andrea Jelinek u. a. die Schaffung einer eigenen datenschutzrechtlichen Aufsichtsbehörde für diesen Bereich zur Diskussion gestellt wurde: Andrea Jelinek: Bedeutung der Spruchpraxis der Datenschutzbehörde für mögliche Regelungen im parlamentarischen Bereich, S. 63–64. (Abgerufen am 26. Dezember 2024).
  6. Artikel 18 Absatz 1, Art. 20 Abs. 1, Artikel 94 Absatz 1, Art. 102 Abs. 1 des Bundes-Verfassungsgesetzes B-VG.
  7. Dokument 3/US in der XXVI. Gesetzgebungsperiode: Veröffentlichung gemäß § 33 Abs. 9 des Geschäftsordnungsgesetzes des Nationalrates. (Abgerufen am 26. Dezember 2024).
  8. Bericht des Geschäftsordnungsausschusses über das Verlangen auf Einsetzung eines Untersuchungsausschusses gemäß § 33 des Geschäftsordnungsgesetzes des Nationalrates: BVT-Untersuchungsausschuss (109 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVI. Gesetzgebungsperiode). (Abgerufen am 26. Dezember 2024).
  9. Protokoll der 21. Sitzung des Nationalrates am 20. April 2018, S. 198–203. (Abgerufen am 26. Dezember 2024).
  10. a b Abschnitt I.1. des Erkenntnisses des Bundesverwaltungsgerichts vom 23.November 2020, Geschäftszahl W211 2227144-1. (Abgerufen am 26. Dezember 2024).
  11. Dieser Text ist nicht mehr zugänglich, zu den Vernehmungsprotokollen allgemein siehe hier. (Abgerufen am 26. Dezember 2024).
  12. Urteil des Europäischen Gerichtshofes vom 24. Januar 2024, Rechtssache C-33/22, über ein Vorabentscheidungsersuchen nach Art. 267 [Vertrag über die Arbeitsweise der Europäischen Union|AEUV], eingereicht vom Verwaltungsgerichtshof mit Beschluss vom 14. Dezember 2021, beim Gerichtshof eingegangen am 14. Januar 2022. S. 7–8, speziell Randzahlen 17–22. (Abgerufen am 26. Dezember 2024).
  13. Darstellung des Vorlageantrages auf der Website des Verwaltungsgerichtshofes. (Abgerufen am 26. Dezember 2024).
  14. Urteil des Europäischen Gerichtshofes vom 24. Januar 2024, Rechtssache C-33/22 - „Österreichische Datenschutzbehörde“, über ein Vorabentscheidungsersuchen nach Art. 267 [Vertrag über die Arbeitsweise der Europäischen Union|AEUV], eingereicht vom Verwaltungsgerichtshof mit Beschluss vom 14. Dezember 2021, beim Gerichtshof eingegangen am 14. Januar 2022. S. 16–17, Randzahl 73. (Abgerufen am 26. Dezember 2024).
  15. Schlussanträge des Generalanwalts vom 11. Mai 2023 in der Rechtssache C-33/22. (Abgerufen am 26. Dezember 2024).
  16. Erkenntnis des Verwaltungsgerichtshofes vom 1. Februar 2024, Geschäftszahl Ro 2021/04/0006. (Abgerufen am 26. Dezember 2024).
  17. Selbständiger Antrag nach § 27 Absatz 1 Geschäftsordnungsgesetz des Nationalrates (keine Regierungsvorlage), 2594 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVII. Gesetzgebungsperiode: Bericht und Antrag des Geschäftsordnungsausschusses über den Entwurf eines Bundesgesetzes, mit dem das Informationsordnungsgesetz, das Datenschutzgesetz, das Beamten-Dienstrechtsgesetz und das Verwaltungsgerichtshofgesetz 1985 geändert werden. S. 7. (Abgerufen am 27. Dezember 2024).
  18. Nationalrat: Informationsordnungsgesetz, Datenschutzgesetz u.a., Änderung, 2594 der Beilagen, Beschluss im Nationalrat BNR 967; Bundesrat 27. Juni 2024. (Abgerufen am 27. Dezember 2024).
  19. Parlamentskorrespondenz Nr. 627 vom 13. Juni 2024 Nationalrat beschließt neue Datenschutzregeln für den Bereich der Gesetzgebung. Parlament erhält mit Parlamentarischem Datenschutzkomitee eigene Aufsichtsbehörde. (Abgerufen am 26. Dezember 2024).
  20. Parlamentskorrespondenz Nr. 934 vom 18.09.2024 Nationalrat wählt Mitglieder des Parlamentarischen Datenschutzkomitees. (Abgerufen am 26. Dezember 2024).
  21. Parlamentskorrespondenz Nr. 961 vom 03.10.2024. Parlamentarisches Datenschutzkomitee nimmt 2025 die Arbeit auf. (Abgerufen am 26. Dezember 2024).
  22. § 35b Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  23. § 35d Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  24. Artikel 52 Absatz 1 Datenschutz-Grundverordnung.
  25. § 35h Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  26. Artikel 68 Datenschutz-Grundverordnung.
  27. Artikel 51 Absatz 3 DSGVO. Für die grenzüberschreitende Zusammenarbeit der Datenschutzaufsichtsbehörden mit den anderen Mitgliedstaaten der Europäischen Union, dem Europäischen Datenschutzausschuss (EDSA) und der Europäischen Kommission.
  28. § 35c Absatz 3 Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
Abgerufen von „https://de.wiki.x.io/w/index.php?title=Parlamentarisches_Datenschutzkomitee&oldid=251819346