Opinion of Advocate General Szpunar delivered on 11 May 2023.

• Jurisdiction: European Union
• Celex Number: 62022CC0033
• ECLI: ECLI:EU:C:2023:397
• Date: 11 May 2023
• Court: Court of Justice (European Union)

SCHLUSSANTRÄGE DES GENERALANWALTS

MACIEJ SZPUNAR

vom 11. Mai 2023(1)

Rechtssache C‑33/22

Österreichische Datenschutzbehörde,

Beteiligte:

WK,

Präsident des Nationalrates

(Vorabentscheidungsersuchen des Verwaltungsgerichtshofs [Österreich])

„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Art. 16 Abs. 2 AEUV – Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen – Datenschutz-Grundverordnung – Die nationale Sicherheit betreffende Tätigkeiten – Untersuchungsausschuss des Parlaments eines Mitgliedstaats – Kontrolle der Tätigkeit einer Polizeibehörde – Zuständigkeiten der Aufsichtsbehörde für den Schutz personenbezogener Daten –Art. 55 Abs. 1 – Art. 77 Abs. 1 – Unmittelbare Wirkung“

Einleitung

1. Fallen die Tätigkeiten eines Untersuchungsausschusses des Parlaments eines Mitgliedstaats in den Anwendungsbereich der Verordnung (EU) 2016/679(2), auch wenn die Untersuchung Fragen der nationalen Sicherheit betrifft? Wenn ja, können die Bestimmungen der DSGVO über das Recht auf Beschwerde bei einer nationalen Aufsichtsbehörde trotz eines Verfassungsgrundsatzes, der einer externen Einmischung in die Tätigkeit des Parlaments entgegensteht, unmittelbar angewandt werden? Dies sind im Wesentlichen die Fragen, die im vorliegenden Fall vom Verwaltungsgerichtshof (Österreich) aufgeworfen werden.

2. Im Einklang mit der Rechtsprechung des Gerichtshofs werde ich vorschlagen, diese Fragen zu bejahen. Meines Erachtens entspräche eine solche Lösung nicht nur den Absichten des Unionsgesetzgebers – der die DSGVO zu einer echten lex generalis im Bereich des Schutzes personenbezogener Daten gemacht hat –, sondern auch den Gründen, die den Bestimmungen von Art. 16 AEUV zugrunde liegen, dessen Anwendungsbereich sich auf die Kontrolltätigkeiten der Mitgliedstaaten, wie sie im Ausgangsverfahren in Rede stehen, erstreckt.

3. Im vorliegenden Fall wurde ein Beamter der Kriminalpolizei, WK (im Folgenden: Betroffener), von einem Untersuchungsausschuss des österreichischen Parlaments zu Durchsuchungen befragt, die u. a. in den Räumlichkeiten des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (Österreich, im Folgenden: BVT) durchgeführt worden waren. Das Protokoll der Befragung wurde anschließend auf der Website des österreichischen Parlaments veröffentlicht, und zwar unter vollständiger Angabe des Vor- und Nachnamens des Betroffenen, was damit begründet wurde, dass die Presse seine Identität bereits offengelegt habe.

4. Da der Betroffene der Ansicht war, dass sein Recht auf Vertraulichkeit seiner personenbezogenen Daten verletzt worden sei, legte er bei der Österreichischen Datenschutzbehörde (im Folgenden: Datenschutzbehörde) eine Beschwerde nach Art. 77 Abs. 1 DSGVO ein, die jedoch in der Sache nicht geprüft wurde. Wegen des im österreichischen Recht verankerten Grundsatzes der Gewaltenteilung verneinte die Datenschutzbehörde ihre Zuständigkeit mit der Begründung, im vorliegenden Fall stehe ihrer Kontrollbefugnis die verfassungsmäßige Unabhängigkeit der Parlamentsorgane entgegen.

5. Unter diesen Umständen erhob der Betroffene die Beschwerde, deren Ausgang von den Antworten auf die dem Gerichtshof zur Vorabentscheidung vorgelegten Fragen abhängt. Diese Fragen betreffen im Wesentlichen den sachlichen Anwendungsbereich und die unmittelbare Wirkung der einschlägigen Bestimmungen der DSGVO, die nachstehend wiedergegeben werden.

Rechtlicher Rahmen

Unionsrecht

6. In den Erwägungsgründen 16, 20 und 117 der DSGVO heißt es:

„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

…

(20) Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. …

…

(117) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.“

7. Art. 2 („Sachlicher Anwendungsbereich“) DSGVO bestimmt:

„(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

…“

8. Art. 23 („Beschränkungen“) Abs. 1 DSGVO bestimmt:

„Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a) die nationale Sicherheit;

…

h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

…“

9. Art. 51 („Aufsichtsbehörde“) Abs. 1 DSGVO lautet:

„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“

10. In Art. 55 („Zuständigkeit“) DSGVO heißt es:

„(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

…

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.“

11. Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO bestimmt:

„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“

Österreichisches Recht

12. Art. 53 des Bundes-Verfassungsgesetzes vom 2. Januar 1930 (BGBl. 1/1930) in der Fassung vom 30. Dezember 2021 (BGBl. I 235/2021) sieht vor:

„(1) Der Nationalrat kann durch Beschluss Untersuchungsausschüsse einsetzen. Darüber hinaus ist auf Verlangen eines Viertels seiner Mitglieder ein Untersuchungsausschuss einzusetzen.

(2) Gegenstand der Untersuchung ist ein bestimmter abgeschlossener Vorgang im Bereich der Vollziehung des Bundes. Das schließt alle Tätigkeiten von Organen des Bundes, durch die der Bund, unabhängig von der Höhe der Beteiligung, wirtschaftliche Beteiligungs- und Aufsichtsrechte wahrnimmt, ein. Eine Überprüfung der Rechtsprechung ist ausgeschlossen.

(3) Alle Organe des Bundes, der Länder, der Gemeinden und der Gemeindeverbände sowie der sonstigen Selbstverwaltungskörper haben einem Untersuchungsausschuss auf Verlangen im Umfang des Gegenstandes der Untersuchung ihre Akten und Unterlagen vorzulegen und dem Ersuchen eines Untersuchungsausschusses um Beweiserhebungen im Zusammenhang mit dem Gegenstand der Untersuchung Folge zu leisten. …

…“

13. § 18 („Einrichtung“) Abs. 1 des Datenschutzgesetzes vom 17. August 1999 (BGBl. I 165/1999) in der Fassung vom 26. Juli 2021 (BGBl. I 148/2021, im Folgenden: DSG) bestimmt:

„Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.“

14. In § 24 („Beschwerde an die Datenschutzbehörde“) DSG heißt es:

„(1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO … verstößt.“

15. § 35 („Besondere Befugnisse der Datenschutzbehörde“) Abs. 1 DSG sieht vor:

„Die...