SCHLUSSANTRÄGE DES GENERALANWALTS
MACIEJ SZPUNAR
vom 11. Mai 2023(1 )
Rechtssache C ‑33/22
Österreichische Datenschutzbehörde,
Beteiligte:
WK,
Präsident des Nationalrates
(Vorabentscheidungsersuchen des Verwaltungsgerichtshofs [Österreich])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Art. 16 Abs. 2 AEUV – Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen – Datenschutz-Grundverordnung – Die nationale Sicherheit betreffende Tätigkeiten – Untersuchungsausschuss des Parlaments eines Mitgliedstaats – Kontrolle der Tätigkeit einer Polizeibehörde – Zuständigkeiten der Aufsichtsbehörde für den Schutz personenbezogener Daten –Art. 55 Abs. 1 – Art. 77 Abs. 1 – Unmittelbare Wirkung“
Einleitung
1. Fallen die Tätigkeiten eines Untersuchungsausschusses des Parlaments eines Mitgliedstaats in den Anwendungsbereich der Verordnung (EU) 2016/679(2 ), auch wenn die Untersuchung Fragen der nationalen Sicherheit betrifft? Wenn ja, können die Bestimmungen der DSGVO über das Recht auf Beschwerde bei einer nationalen Aufsichtsbehörde trotz eines Verfassungsgrundsatzes, der einer externen Einmischung in die Tätigkeit des Parlaments entgegensteht, unmittelbar angewandt werden? Dies sind im Wesentlichen die Fragen, die im vorliegenden Fall vom Verwaltungsgerichtshof (Österreich) aufgeworfen werden.
2. Im Einklang mit der Rechtsprechung des Gerichtshofs werde ich vorschlagen, diese Fragen zu bejahen. Meines Erachtens entspräche eine solche Lösung nicht nur den Absichten des Unionsgesetzgebers – der die DSGVO zu einer echten lex generalis im Bereich des Schutzes personenbezogener Daten gemacht hat –, sondern auch den Gründen, die den Bestimmungen von Art. 16 AEUV zugrunde liegen, dessen Anwendungsbereich sich auf die Kontrolltätigkeiten der Mitgliedstaaten, wie sie im Ausgangsverfahren in Rede stehen, erstreckt.
3. Im vorliegenden Fall wurde ein Beamter der Kriminalpolizei, WK (im Folgenden: Betroffener), von einem Untersuchungsausschuss des österreichischen Parlaments zu Durchsuchungen befragt, die u. a. in den Räumlichkeiten des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (Österreich, im Folgenden: BVT) durchgeführt worden waren. Das Protokoll der Befragung wurde anschließend auf der Website des österreichischen Parlaments veröffentlicht, und zwar unter vollständiger Angabe des Vor- und Nachnamens des Betroffenen, was damit begründet wurde, dass die Presse seine Identität bereits offengelegt habe.
4. Da der Betroffene der Ansicht war, dass sein Recht auf Vertraulichkeit seiner personenbezogenen Daten verletzt worden sei, legte er bei der Österreichischen Datenschutzbehörde (im Folgenden: Datenschutzbehörde) eine Beschwerde nach Art. 77 Abs. 1 DSGVO ein, die jedoch in der Sache nicht geprüft wurde. Wegen des im österreichischen Recht verankerten Grundsatzes der Gewaltenteilung verneinte die Datenschutzbehörde ihre Zuständigkeit mit der Begründung, im vorliegenden Fall stehe ihrer Kontrollbefugnis die verfassungsmäßige Unabhängigkeit der Parlamentsorgane entgegen.
5. Unter diesen Umständen erhob der Betroffene die Beschwerde, deren Ausgang von den Antworten auf die dem Gerichtshof zur Vorabentscheidung vorgelegten Fragen abhängt. Diese Fragen betreffen im Wesentlichen den sachlichen Anwendungsbereich und die unmittelbare Wirkung der einschlägigen Bestimmungen der DSGVO, die nachstehend wiedergegeben werden.
Rechtlicher Rahmen
Unionsrecht
6. In den Erwägungsgründen 16, 20 und 117 der DSGVO heißt es:
„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.
…
(20) Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. …
…
(117) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.“
7. Art. 2 („Sachlicher Anwendungsbereich“) DSGVO bestimmt:
„(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
…“
8. Art. 23 („Beschränkungen“) Abs. 1 DSGVO bestimmt:
„Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) die nationale Sicherheit;
…
h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;
…“
9. Art. 51 („Aufsichtsbehörde“) Abs. 1 DSGVO lautet:
„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“
10. In Art. 55 („Zuständigkeit“) DSGVO heißt es:
„(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
…
(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.“
11. Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO bestimmt:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
Österreichisches Recht
12. Art. 53 des Bundes-Verfassungsgesetzes vom 2. Januar 1930 (BGBl. 1/1930) in der Fassung vom 30. Dezember 2021 (BGBl. I 235/2021) sieht vor:
„(1) Der Nationalrat kann durch Beschluss Untersuchungsausschüsse einsetzen. Darüber hinaus ist auf Verlangen eines Viertels seiner Mitglieder ein Untersuchungsausschuss einzusetzen.
(2) Gegenstand der Untersuchung ist ein bestimmter abgeschlossener Vorgang im Bereich der Vollziehung des Bundes. Das schließt alle Tätigkeiten von Organen des Bundes, durch die der Bund, unabhängig von der Höhe der Beteiligung, wirtschaftliche Beteiligungs- und Aufsichtsrechte wahrnimmt, ein. Eine Überprüfung der Rechtsprechung ist ausgeschlossen.
(3) Alle Organe des Bundes, der Länder, der Gemeinden und der Gemeindeverbände sowie der sonstigen Selbstverwaltungskörper haben einem Untersuchungsausschuss auf Verlangen im Umfang des Gegenstandes der Untersuchung ihre Akten und Unterlagen vorzulegen und dem Ersuchen eines Untersuchungsausschusses um Beweiserhebungen im Zusammenhang mit dem Gegenstand der Untersuchung Folge zu leisten. …
…“
13. § 18 („Einrichtung“) Abs. 1 des Datenschutzgesetzes vom 17. August 1999 (BGBl. I 165/1999) in der Fassung vom 26. Juli 2021 (BGBl. I 148/2021, im Folgenden: DSG) bestimmt:
„Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.“
14. In § 24 („Beschwerde an die Datenschutzbehörde“) DSG heißt es:
„(1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO … verstößt.“
15. § 35 („Besondere Befugnisse der Datenschutzbehörde“) Abs. 1 DSG sieht vor:
„Die Datenschutzbehörde ist nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen.“
Sachverhalt, Ausgangsverfahren und Vorlagefragen
Vorgeschichte des Rechtsstreits
16. Am 20. April 2018 setzte der Nationalrat (Abgeordnetenkammer des österreichischen Parlaments) einen Untersuchungsausschuss ein, dessen Aufgabe darin bestand, Einflussnahmen auf das BVT mit dem Ziel, dessen Tätigkeit zu instrumentalisieren, zu untersuchen. Die Behauptungen der Abgeordneten, die den Untersuchungsantrag eingebracht hatten, betrafen insbesondere Fälle von Amtsmissbrauch, die Beamten des BVT vorgeworfen wurden, Gerüchte über eine Abhöranlage in den Büros des Bundeskanzleramts, die angebliche Instrumentalisierung von Ermittlungen gegen bestimmte extremistische Bewegungen sowie politisch motivierte Ernennungen innerhalb des BVT und in Ministerbüros.
17. Am 19. September 2018 wurde der Betroffene vom Untersuchungsausschuss als Auskunftsperson befragt. Als Beamter einer Einsatzgruppe der österreichischen Bundespolizei zur Bekämpfung der Straßenkriminalität wurde er zu den Durchsuchungen und Beschlagnahmen von Daten befragt, die seine Einsatzgruppe in den Büros des BVT und in den Wohnungen seiner Angestellten durchgeführt hatte.
18. Trotz der bei einigen anderen Auskunftspersonen angewandten Praxis und ungeachtet des Antrags des Betroffenen auf Anonymisierung gab der Untersuchungsausschuss dessen Identität bekannt, indem er die vollständige Fassung des Protokolls der Befragung auf der Website des österreichischen Parlaments veröffentlichte.
Ausgangsverfahren
19. Die vom Betroffenen bei der Datenschutzbehörde nach Art. 77 Abs. 1 DSGVO erhobene Beschwerde wurde wegen Unzuständigkeit zurückgewiesen. In ihrem Bescheid vom 18. September 2019 machte diese Behörde geltend, dass der Grundsatz der Gewaltenteilung sie daran hindere, sich in die Tätigkeiten eines Organs des Parlaments einzumischen.
20. Das Bundesverwaltungsgericht (Österreich) gab der vom Betroffenen gegen den Bescheid vom 18. September 2019 erhobenen Beschwerde mit Erkenntnis vom 23. November 2020 statt. Dieses Gericht hob den Bescheid der Datenschutzbehörde mit der Begründung auf, dass die Bestimmungen der DSGVO keine Ausnahmen enthielten, die ihre Anwendbarkeit auf die Organe der Gesetzgebung einschränken könnten.
21. Gegen dieses Erkenntnis legte die Datenschutzbehörde Revision beim Verwaltungsgerichtshof ein, dem sich die Frage stellt, ob die Bestimmungen der DSGVO im Ausgangsfall angewandt werden können.
Vorlagefragen
22. Als Erstes – und unabhängig vom Gegenstand der Untersuchung im Ausgangsverfahren – fragt sich das vorlegende Gericht, ob die Tätigkeiten eines parlamentarischen Untersuchungsausschusses im Sinne von Art. 16 Abs. 2 AEUV „in den Anwendungsbereich des Unionsrechts fallen“. Diese Bestimmung legt die Zuständigkeit des Europäischen Parlaments und des Rates für den Erlass von Vorschriften über die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten fest.
23. Da die Kompetenzen der Union durch den Grundsatz der begrenzten Einzelermächtigung beschränkt sind, fragt sich das vorlegende Gericht insoweit, ob die DSGVO auf die Tätigkeiten eines mit einer politischen Kontrollaufgabe betrauten parlamentarischen Organs anwendbar sind, die seiner Ansicht nach durch keine spezifische Bestimmung des Unionsrechts geregelt werden.
24. In dem Bestreben, die nationale Identität und die grundlegenden Funktionen der Mitgliedstaaten gemäß Art. 4 Abs. 2 EUV zu wahren, weist das vorlegende Gericht ferner darauf hin, dass die Einmischung eines Verwaltungsorgans wie der Datenschutzbehörde in die Tätigkeiten des Parlaments gegen den in der österreichischen Verfassung verankerten Grundsatz der Gewaltenteilung verstoßen würde.
25. Im Licht des Urteils Land Hessen(3 ), in dem der Gerichtshof bestätigt habe, dass die Bestimmungen der DSGVO auf die Tätigkeiten des Petitionsausschusses des Hessischen Landtags anwendbar seien, fragt sich das vorlegende Gericht schließlich, ob die Aufgaben des letztgenannten Ausschusses, dessen Beitrag zu den parlamentarischen Tätigkeiten nur mittelbar sei, nicht von den Aufgaben der Untersuchungsausschüsse zu unterscheiden seien. Deren Aufgaben gehörten zum Kernbereich parlamentarischer Tätigkeit und könnten als solche dem Anwendungsbereich des Unionsrechts entzogen sein.
26. Als Zweites fragt sich das vorlegende Gericht für den Fall, dass der Gerichtshof entscheiden sollte, dass die Bestimmungen der DSGVO dazu bestimmt seien, auch die Tätigkeiten der Untersuchungsausschüsse zu regeln, ob der im Ausgangsverfahren in Rede stehende Ausschuss nicht von diesen Bestimmungen ausgenommen werden sollte, weil der Gegenstand seiner Tätigkeit mit Fragen der nationalen Sicherheit in Zusammenhang stehe.
27. Hierzu weist das vorlegende Gericht darauf hin, dass nach dem 16. Erwägungsgrund der DSGVO „die nationale Sicherheit betreffende Tätigkeiten“ nicht in den Anwendungsbereich dieser Verordnung fielen. Dies könne bei der Untersuchung des auf das BVT, eine für die Wahrung der wesentlichen Funktionen des Staates zuständige föderale Einrichtung, ausgeübten politischen Drucks der Fall sein.
28. Als Drittes fragt sich das vorlegende Gericht für den Fall, dass der Gerichtshof die Bestimmungen der DSGVO im vorliegenden Fall gleichwohl für anwendbar hält, ob diese Verordnung unmittelbar anzuwenden ist.
29. In Ermangelung einer entsprechenden Ausnahmeregelung mit Verfassungsrang bleibe die Zuständigkeit der Datenschutzbehörde nämlich durch den im österreichischen Recht geltenden Grundsatz der Gewaltenteilung beschränkt. Daher fragt sich das vorlegende Gericht, ob sich die Zuständigkeit dieser Behörde für die Organe des österreichischen Parlaments unmittelbar aus Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO ergeben kann, sofern der nationale Gesetzgeber nach Art. 51 Abs. 1 dieser Verordnung nur eine einzige Aufsichtsbehörde eingerichtet hat.
30. Vor diesem Hintergrund hat der Verwaltungsgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:
1. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 erster Satz AEUV, so dass die DSGVO auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaats anwendbar ist?
Falls Frage 1 bejaht wird:
2. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der DSGVO zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO?
Falls Frage 2 verneint wird:
3. Sofern – wie vorliegend – ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus dieser Verordnung?
31. Der Betroffene, der Präsident des Nationalrates (Österreich), die Datenschutzbehörde, die österreichische und die tschechische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Diese Beteiligten waren auch in der mündlichen Verhandlung am 6. März 2023 vertreten.
Würdigung
Erste Vorlagefrage
32. Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob die Tätigkeiten eines Untersuchungsausschusses, der vom Parlament eines Mitgliedstaats in Ausübung seines Rechts auf Kontrolle der Exekutive eingesetzt wurde, in den Anwendungsbereich des Unionsrechts im Sinne von Art. 16 Abs. 2 Satz 1 AEUV fallen.
33. Die Antwort auf diese Frage hängt zum einen davon ab, wie der Begriff „Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen“ in Art. 16 Abs. 2 Satz 1 AEUV auszulegen ist. Negativ formuliert ist dieser Begriff auch in Art. 2 Abs. 2 Buchst. a DSGVO enthalten, der eine „Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, von der Anwendung dieser Verordnung ausnimmt. Diese beiden Bestimmungen grenzen die Zuständigkeit der Unionsorgane für den Erlass von Vorschriften zum Schutz personenbezogener Daten bzw. den sachlichen Anwendungsbereich der DSGVO ein.
34. Zum anderen hängt die Antwort auf die erste Vorlagefrage davon ab, wie die Tätigkeiten parlamentarischer Untersuchungsausschüsse im Hinblick auf die oben genannten Bestimmungen des AEU-Vertrags und der DSGVO einzustufen sind.
Zum Begriff „Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen“
35. Wie ich in einer anderen Rechtssache(4 ) aufzuzeigen versucht habe, ist dieser Begriff nicht eindeutig, weil er zwei verschiedene Lesarten zulässt. Angesichts der Kontroversen, die seine Auslegung in der vorliegenden Rechtssache trotz einer gefestigten Rechtsprechung des Gerichtshofs(5 ) aufwirft, halte ich es für erforderlich, die Gründe für die Entwicklung der Rechtsprechung in diesem Bereich umfassend darzulegen.
– Konkretisierende Auslegung
36. Die erste der möglichen Auslegungen des „Anwendungsbereichs des Unionsrechts“ kann als konkretisierend bezeichnet werden, weil sie zu der Frage führt, ob eine bestimmte Tätigkeit von einer spezifischen Bestimmung des Unionsrechts erfasst wird.
37. Im Wesentlichen entspricht diese Auslegung dem Begriff der „Durchführung des Rechts der Union“, der den Anwendungsbereich der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) abgrenzt. In einem Kontext, der nichts mit dem des Schutzes personenbezogener Daten zu tun hat, wird dieser Begriff in der Rechtsprechung des Gerichtshofs dem „Anwendungsbereich des Unionsrechts“ gleichgestellt(6 ).
38. Auf diese Auslegung stützt sich das vorlegende Gericht in seinem Vorabentscheidungsersuchen, indem es darauf hinweist, dass die Tätigkeiten der parlamentarischen Untersuchungsausschüsse nach wie vor ausschließlich dem nationalen Recht unterlägen, was es dazu veranlasst, Zweifel an der Anwendbarkeit der DSGVO im Ausgangsverfahren zu hegen.
39. Auf diese Auslegung hatte sich auch Generalanwalt Tizzano in seinen Schlussanträgen in den verbundenen Rechtssachen Österreichischer Rundfunk u. a.(7 ) und in der Rechtssache Lindqvist(8 ) – unter der Geltung der Richtlinie 95/46/EG(9 ) – gestützt, denen der Gerichtshof aber nicht gefolgt ist.
40. Es ist darauf hinzuweisen, dass die Richtlinie 95/46 auf der Grundlage des früheren Art. 100a EG-Vertrag, später Art. 95 EG und jetzt Art. 114 AEUV, im Rahmen von Maßnahmen erlassen worden war, die die Errichtung und das Funktionieren des Binnenmarkts zum Gegenstand hatten. Diese Richtlinie, die den freien Datenverkehr und ein gleichwertiges Schutzniveau für personenbezogene Daten innerhalb der Union gewährleisten sollte, fand gemäß ihrem Art. 3 Abs. 2 keine Anwendung auf Tätigkeiten, „die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates … und die Tätigkeiten des Staates im strafrechtlichen Bereich“ sowie auf die Verarbeitung personenbezogener Daten, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“.
41. Anhand dieser Bestimmungen kam Generalanwalt Tizzano zu dem Schluss, dass die Richtlinie 95/46 in den verbundenen Rechtssachen Österreichischer Rundfunk u. a.(10 ) keine Anwendung finden könne. Im Zusammenhang mit der Verarbeitung von Daten über die von öffentlichen Körperschaften gezahlten Entgelte, die in einen Bericht des österreichischen Rechnungshofs an das Parlament aufgenommen werden sollten, stellte er nämlich fest, dass der Rechnungshof in diesem Fall eine „öffentliche Kontrolltätigkeit [ausübt], die von den österreichischen Stellen aufgrund einer selbständigen politisch-institutionellen Entscheidung vorgesehen und (mit Verfassungsrang) geregelt wurde, nicht aber … eine Tätigkeit, mit der eine gemeinschaftsrechtliche Verpflichtung erfüllt werden soll. Da diese Tätigkeit keiner spezifischen Gemeinschaftsregelung unterliegt, muss sie in die Zuständigkeit der Mitgliedstaaten fallen.“(11 )
42. Derselben Auslegung folgend vertrat Generalanwalt Tizzano in der Rechtssache Lindqvist die Auffassung, die von Frau Lindqvist im Rahmen ihrer ehrenamtlichen Tätigkeit als Religionslehrerin erstellte Website gehöre zu einer „Tätigkeit ohne wirtschaftlichen Charakter, die keinen (jedenfalls keinen direkten) Zusammenhang mit der Ausübung der vom Vertrag gewährleisteten Grundfreiheiten aufweist und auch nicht Gegenstand irgendeiner besonderen Vorschrift auf Gemeinschaftsebene ist“(12 ). Nach Ansicht des Generalanwalts fiel diese Tätigkeit daher nicht in den Anwendungsbereich des Gemeinschaftsrechts im Sinne von Art. 3 Abs. 2 der Richtlinie 95/46.
43. Diesen Schlussanträgen ist der Gerichtshof nicht gefolgt, und zwar aus Gründen, die mit dem Wunsch nach Wahrung der Rechtssicherheit und der Notwendigkeit, die praktische Wirksamkeit der Richtlinie 95/46 zu gewährleisten, in Verbindung gebracht werden können.
44. Angesichts der Besonderheit personenbezogener Daten, deren Verbreitung und wirtschaftliche Verwertung durch ihre Digitalisierung erleichtert werden, ist es nämlich in der Praxis sehr schwierig, im Einzelfall zu bestimmen, ob ihre Verarbeitung einen Bezug zu besonderen Bestimmungen des Unionsrechts oder zu den Freiheiten des Binnenmarkts aufweist, wie es die konkretisierende Auslegung erfordern würde.
45. Um beim Beispiel der Rechtssache zu bleiben, in der das Urteil Lindqvist(13 ) ergangen ist, wäre es in der Praxis schwierig, zu bestimmen, ob der Betrieb einer für einen begrenzten Kreis von Gemeindemitgliedern bestimmten Website einen konkreten Bezug zu den Bestimmungen der Richtlinie 95/46 über den freien Datenverkehr zwischen den Mitgliedstaaten im Rahmen des Gemeinsamen Marktes aufwies. Die Antwort auf diese Frage könnte u. a. vom physischen Standort der Server abhängen, auf denen die in Rede stehende Website gehostet wird(14 ).
46. Ich möchte hinzufügen, dass ähnliche Schwierigkeiten auftreten könnten, wenn im vorliegenden Fall unter der Geltung der DSGVO der konkretisierenden Auslegung zu folgen wäre.
47. Beispielsweise wäre es schwierig, genau zu bestimmen, inwieweit die Tätigkeiten bestimmter für die Verarbeitung Verantwortlicher – wie Kirchen oder religiöser Vereinigungen bzw. Gemeinschaften, die von dieser Verordnung ausdrücklich erfasst werden(15 ) – tatsächlich besonderen Bestimmungen des Unionsrechts unterliegen(16 ). Die gleiche Frage könnte sich bei gemeinnützigen Organisationen stellen, die keine wirtschaftlichen Tätigkeiten ausüben. Dies würde zu einer Rechtsunsicherheit hinsichtlich des Anwendungsbereichs der DSGVO führen.
48. Angesichts dieser Schwierigkeiten hat der Gerichtshof die konkretisierende Auslegung des „Geltungsbereichs des Gemeinschaftsrechts“ unter der Geltung der Richtlinie 95/46 abgelehnt. In den Urteilen Österreichischer Rundfunk u. a.(17 ) und Lindqvist(18 ) hat er entschieden: „Da somit alle personenbezogenen Daten zwischen den Mitgliedstaaten übermittelt werden können, verlangt die Richtlinie 95/46 grundsätzlich die Einhaltung von Regeln zum Schutz solcher Daten bei einer Verarbeitung im Sinne der Definition in Artikel 3. … Daher kann die Anwendbarkeit der Richtlinie 95/46 nicht davon abhängen, ob in den [in Rede stehenden] Sachverhalten … ein hinreichender Zusammenhang mit der Ausübung der durch den EG-Vertrag garantierten Grundfreiheiten … bestand. Eine gegenteilige Auslegung würde nämlich dazu führen, dass die Abgrenzung des Anwendungsbereichs der genannten Richtlinie ungewiss wäre und von Zufälligkeiten abhinge, was deren Hauptzweck zuwiderliefe, der darin besteht, die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen, um Hindernisse für das Funktionieren des Binnenmarktes zu beseitigen, die sich gerade aus den Unterschieden zwischen den nationalen Regelungen ergeben.“(19 )
49. Somit hat sich in der Rechtsprechung des Gerichtshofs die „generalisierende“ Auslegung der Richtlinie 95/46 durchgesetzt.
– Generalisierende Auslegung
50. Diese Auslegung führt dazu, dem Anwendungsbereich des Unionsrechts alle Tätigkeiten zuzuordnen, die ihm in dem Sinne unterliegen können , dass sie ihm nicht aufgrund der ausschließlichen Zuständigkeiten der Mitgliedstaaten entzogen sind.
51. Unter der Geltung der Richtlinie 95/46 hat diese Auslegung den Gerichtshof veranlasst, die Ausnahme für nicht in den Anwendungsbereich des Gemeinschaftsrechts fallende Tätigkeiten restriktiv auszulegen. So hat der Gerichtshof im Urteil Lindqvist entschieden, dass „die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 als Beispiele aufgeführten Tätigkeiten dazu dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie (ejusdem generis ) zugeordnet werden können“(20 ).
52. Vor dem Inkrafttreten des Vertrags von Lissabon gehörten die unter diese Ausnahme fallenden Tätigkeiten – betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates, den strafrechtlichen Bereich sowie die in den Titeln V und VI des Vertrags über die Europäische Union genannten Tätigkeiten – zum zweiten und zum dritten Pfeiler der Union und fielen als solche unter die zwischenstaatliche Zusammenarbeit. Diese Tätigkeiten konnten daher aufgrund der damals in den Verträgen vorgesehenen Aufteilung der Zuständigkeiten zwischen der Union und den Mitgliedstaaten nicht Gegenstand einer Gemeinschaftsregelung sein.
53. Dies ist der Kontext, in dem der in Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 enthaltene Ausschluss der „Tätigkeiten …, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen“, zu verstehen ist. Der Anwendungsbereich der DSGVO wurde jedoch mit ähnlichen Worten definiert.
54. Gemäß ihrem Art. 2 Abs. 2 Buchst. a findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten „a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. Die letztgenannte Art der Verarbeitung wurde den Bestimmungen der Richtlinie (EU) 2016/680(21 ) unterworfen.
55. Im Licht des 16. Erwägungsgrundes der DSGVO gehören zu den Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, insbesondere solche, die die nationale Sicherheit betreffen.
56. Auf der Grundlage all dieser Bestimmungen hat der Gerichtshof im Urteil Land Hessen entschieden, dass die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme für eine „Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, eng auszulegen ist, so dass „der Umstand, dass eine Tätigkeit eine spezifische des Staates oder einer Behörde ist, nicht [dafür] aus[reicht], [dass] diese Ausnahme automatisch für diese Tätigkeit gilt. Es ist nämlich erforderlich, dass die Tätigkeit zu denjenigen gehört, die ausdrücklich in dieser Vorschrift genannt sind, oder dass sie derselben Kategorie wie diese zugeordnet werden kann.“(22 )
57. Keines der in der vorliegenden Rechtssache vorgebrachten Argumente scheint mir geeignet, diese Auslegung in Frage zu stellen.
58. Insbesondere schließe ich mich nicht den auf den Grundsatz der begrenzten Einzelermächtigung gestützten Argumenten an, die u. a. vom vorlegenden Gericht und vom Präsidenten des Nationalrates vorgebracht wurden.
59. Gemäß dem in Art. 5 Abs. 2 EUV(23 ) verankerten Grundsatz der begrenzten Einzelermächtigung verfügt die Union nur über die Zuständigkeiten, die ihr die Mitgliedstaaten in den Verträgen übertragen haben.
60. Auf rein lexikalischer Ebene erweist sich der Begriff „Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen“ in dieser Hinsicht als mehrdeutig. Auf den ersten Blick könnte die in der Rechtsprechung des Gerichtshofs vorgenommene generalisierende Auslegung dieses Begriffs fragwürdig erscheinen, weil sie dazu führt, dass alle Tätigkeiten, die dem Anwendungsbereich der DSGVO nicht entzogen wurden, den Bestimmungen dieser Verordnung unterworfen werden, was dem oben genannten Grundsatz zu widersprechen scheint.
61. Nach ständiger Rechtsprechung sind jedoch bei der Auslegung einer Vorschrift des Unionsrechts nicht nur ihr Wortlaut und die mit ihr verfolgten Ziele zu berücksichtigen, sondern auch ihr Zusammenhang und das gesamte Unionsrecht. Auch die Entstehungsgeschichte einer Vorschrift des Unionsrechts kann relevante Anhaltspunkte für deren Auslegung liefern(24 ).
62. Sieht man von der wörtlichen Auslegung ab, die mir angesichts der Mehrdeutigkeit des Ausdrucks „Anwendungsbereichs des Unionsrechts“ wenig aufschlussreich erscheint, sprechen die systematische(25 ) und die teleologische Analyse eindeutig für die generalisierende Auslegung von Art. 16 Abs. 2 AEUV, so dass die Tragweite dieser Bestimmung über die der „Durchführung des Rechts der Union“ im Sinne von Art. 51 Abs. 1 der Charta hinausgeht.
63. Erstens drängt sich dieses Ergebnis in Anbetracht der Systematik des AEU-Vertrags und der besonderen Stellung von Art. 16 Abs. 2 im Aufbau dieses Vertrags auf.
64. Dieser Artikel steht im Ersten Teil, Titel II des AEU-Vertrags, der „allgemein geltende Bestimmungen“ enthält. Daraus folgt, dass dem in dieser Bestimmung verankerten Recht natürlicher Personen auf den Schutz personenbezogener Daten im Verhältnis zu den anderen Grundrechten, die ihren Platz in der dem Vertrag beigefügten Charta gefunden haben, eine besondere Bedeutung zukommt.
65. Konkret legt die privilegierte Stellung von Art. 16 AEUV in der Systematik des Vertrags nahe, dass sich der in dieser Bestimmung genannte „Anwendungsbereich“ nicht auf die Fälle beschränkt, in denen die Mitgliedstaaten im Sinne von Art. 51 Abs. 1 der Charta „das Recht der Union durchführen“, was der oben dargelegten konkretisierenden Auslegung entspräche.
66. Insoweit möchte ich darauf hinweisen, dass zwischen den Bestimmungen von Art. 16 Abs. 2 AEUV und denen der Charta ein Wesensunterschied besteht.
67. Gemäß ihrem Art. 51 Abs. 2 „begründet [die Charta] weder neue Zuständigkeiten noch neue Aufgaben für die Union, noch ändert sie die in den Verträgen festgelegten Zuständigkeiten und Aufgaben“. Ihre Bestimmungen gelten für die Mitgliedstaaten, soweit diese das Unionsrecht in Bereichen durchführen, die bereits in den Anwendungsbereich dieses Rechts fallen.
68. Anders verhält es sich mit Art. 16 Abs. 2 AEUV, dessen Bestimmungen eine Gesetzgebungsbefugnis für den Schutz und den freien Verkehr personenbezogener Daten begründen und der Union übertragen und zu diesem Zweck einen spezifischen Anwendungsbereich festlegen, der auf den Bestimmungen der Richtlinie 95/46 basiert, wie die Entstehungsgeschichte dieser Bestimmung belegt.
69. Zweitens geht nämlich aus den Vorarbeiten zum Vertrag von Lissabon klar hervor, dass die Verfasser des AEU-Vertrags den Anwendungsbereich der Vorschriften zum Schutz personenbezogener Daten, wie er unter der Geltung der Richtlinie 95/46 festgelegt worden war, bekräftigen wollten.
70. Hierzu ist darauf hinzuweisen, dass sich der Wortlaut von Art. 16 AEUV unmittelbar an den Entwurfvertrag über eine Verfassung für Europa anlehnt, dessen Art. 36a Abs. 2 (jetzt Art. 50 Abs. 2 in der endgültigen Fassung des Entwurfs vom 18. Juli 2003(26 )) die Zuständigkeit des Parlaments und des Rates für den Erlass von „Regeln über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen [und sonstigen Stellen] der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen , und über den freien Datenverkehr“ vorsah(27 ).
71. Gemäß den Erläuterungen seiner Verfasser soll jedoch „der Entwurf des Artikels 36a eine einzige Rechtsgrundlage für den Schutz personenbezogener Daten schaffen, und zwar sowohl für den Schutz dieser Daten durch die Organe als auch durch die Mitgliedstaaten, wenn sie in einem Bereich tätig werden, der in den Anwendungsbereich des Unionsrechts fällt. Der Text basiert auf der derzeitigen Gemeinschaftsregelung, die sich aus der Richtlinie 95/46 … (gestützt auf Artikel 95 EGV) in Bezug auf das Handeln der Mitgliedstaaten ergibt “(28 ).
72. Daraus folgt eindeutig, dass es dem im AEU-Vertrag zum Ausdruck gebrachten Willen der Mitgliedstaaten zuwiderliefe, wenn der Begriff „Anwendungsbereich des Unionsrechts“ in Art. 2 Abs. 2 Buchst. a DSGVO dahin auszulegen wäre, dass die Anwendung dieser Verordnung im Vergleich zur Anwendung der Richtlinie 95/46 eingeschränkt sei.
73. Drittens müssen teleologische Erwägungen berücksichtigt werden, die mit der Dynamik und den spezifischen Zielen des Schutzes personenbezogener Daten zusammenhängen, in die sich der Erlass der DSGVO einfügt.
74. Unter diesem Blickwinkel besteht kein Zweifel daran, dass der Unionsgesetzgeber bestrebt war, diesen Schutz zu stärken und den Anwendungsbereich der einschlägigen Vorschriften zu konsolidieren. Dies wird durch die bewusste Ersetzung der Richtlinie 95/46 durch ein strengeres Regelwerk und – ausdrücklich – durch die Erwägungsgründe 9, 11 und 13 der DSGVO belegt.
75. Die insoweit angestrebten Ziele ergeben sich aus der Besonderheit des Phänomens der Verarbeitung personenbezogener Daten, das über den Rahmen der Tätigkeiten, bei denen diese Daten erhoben werden können, hinausgeht.
76. Außerdem handelt es sich bei diesen Tätigkeiten nicht zwangsläufig um wirtschaftliche Tätigkeiten, die bereits den unionsrechtlichen Vorschriften über den Binnenmarkt unterliegen, was den Marktwert der erhobenen Daten aber keineswegs mindert und die mit ihrer Verarbeitung verbundenen Gefahren nicht beseitigt.
77. In dieser Hinsicht erweist sich die Problematik der personenbezogenen Daten als bereichsübergreifend, so dass die Vorschriften über ihren Schutz nicht auf den Anwendungsbereich der bereits bestehenden Kategorien des Unionsrechts beschränkt werden können.
78. Mit anderen Worten: Wenn der „Anwendungsbereich des Unionsrechts“ im Sinne von Art. 16 Abs. 2 AEUV über die Fälle der „Durchführung des Rechts der Union“ im Sinne von Art. 51 Abs. 1 der Charta hinausgeht, so ist dies auf die eigenständige Natur der mit der Verarbeitung personenbezogener Daten verbundenen Problematik zurückzuführen, die einen eigenen gesetzgeberischen Eingriff erforderte, dessen Tragweite über die Summe der bereits bestehenden Bestimmungen des Unionsrechts hinausgeht. Aus dieser Sicht bringt der weite Anwendungsbereich der DSGVO den Willen zum Ausdruck, den Herausforderungen des Schutzes personenbezogener Daten durch den Erlass einer „maßgeschneiderten“ Regelung gerecht zu werden.
79. In Anbetracht der übereinstimmenden Schlussfolgerungen, die sich aus der systematischen und der teleologischen Analyse von Art. 16 Abs. 2 AEUV ergeben, schlage ich dem Gerichtshof vor, seine bisherige Rechtsprechung(29 ) zu bestätigen, indem er die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme für eine „Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, eng auslegt.
80. Ich schlage dem Gerichtshof daher vor, die Anwendbarkeit dieser Verordnung auf die im Ausgangsverfahren in Rede stehenden Arbeiten des parlamentarischen Untersuchungsausschusses im Licht dieser Auslegung zu prüfen.
Zur Anwendung der DSGVO auf die Tätigkeiten des parlamentarischen Untersuchungsausschusses
81. Ich halte eine Vorbemerkung zu der Art und Weise, wie die einschlägigen Bestimmungen der DSGVO den Anwendungsbereich dieser Verordnung festlegen, für geboten.
– Die untergeordnete Bedeutung institutioneller Kriterien für die Festlegung des Anwendungsbereichs der DSGVO
82. Es ist darauf hinzuweisen, dass organisatorische oder institutionelle Erwägungen, die auf die Art der für die Verarbeitung personenbezogener Daten verantwortlichen Einrichtungen oder Personen abstellen, für die Festlegung des Anwendungsbereichs der DSGVO von untergeordneter Bedeutung sind.
83. Zum einen beruht der Anwendungsbereich der DSGVO nämlich nach Art. 2 Abs. 1 dieser Verordnung auf dem materiellen Begriff der „Verarbeitung“ personenbezogener Daten. Der organisatorische Begriff „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO hat aus dieser Sicht nur akzessorischen Charakter, weil er im Wesentlichen auf dem materiellen Begriff der Verarbeitung beruht. Obwohl in der Definition des für die Verarbeitung Verantwortlichen von der „natürliche[n] oder juristische[n] Person, Behörde, Einrichtung oder andere[n] Stelle“ die Rede ist, läuft diese Erwähnung nämlich darauf hinaus, die organisatorischen Kriterien für die Zwecke ihrer Anwendung zu neutralisieren.
84. Zum anderen beziehen sich die in Art. 2 Abs. 2 dieser Verordnung enthaltenen Bestimmungen, die den sachlichen Anwendungsbereich der DSGVO beschränken, zwar auf bestimmte Kategorien von Personen oder Einrichtungen, nämlich auf die Mitgliedstaaten, auf natürliche Personen und auf die in Strafsachen zuständigen Behörden, dies jedoch stets im Zusammenhang mit den Tätigkeiten , die nicht unter diese Verordnung fallen. Somit sind der Anwendung der DSGVO nicht Personen als solche, sondern nur einige ihrer Tätigkeiten entzogen.
85. Die untergeordnete Bedeutung institutioneller Kriterien wird auch durch die Art und Weise bestätigt, wie partielle Ausnahmen definiert werden, die den Anwendungsbereich spezifischer Bestimmungen der DSGVO einschränken. Zur Veranschaulichung(30 ): Wenn Gerichte gemäß Art. 55 Abs. 3 DSGVO von der Zuständigkeit der nationalen Aufsichtsbehörden ausgenommen sind, dann nur insoweit, als sie justizielle Tätigkeiten ausüben . Die Tragweite dieser Ausnahme wird daher nicht durch den Status der Rechtsprechungsorgane, sondern durch die besondere Art ihrer Tätigkeiten bestimmt.
86. Da die DSGVO keine Bestimmungen enthält, die sich speziell auf parlamentarische Organe beziehen, folgt daraus meines Erachtens, dass für die Möglichkeit der Anwendung dieser Verordnung nicht der Status der Organe des Parlaments nach österreichischem Recht den Ausschlag gibt, sondern die Art ihrer Tätigkeiten .
– Zur Art der Tätigkeiten des Untersuchungsausschusses im Ausgangsverfahren
87. Im Licht sämtlicher dem Gerichtshof zur Kenntnis gebrachten Umstände bin ich der Ansicht, dass die diesem Ausschuss übertragenen Aufgaben als mit der Ausübung öffentlicher Gewalt verbundene Tätigkeiten der öffentlichen Kontrolle eingestuft werden können.
88. Diese Einstufung ergibt sich bereits aus dem Wortlaut der ersten und der zweiten Vorlagefrage, die sich auf die im Rahmen der Kontrolle der Exekutive ausgeübten Tätigkeiten beziehen. Gemäß den Erläuterungen des vorlegenden Gerichts ist „Ziel der Untersuchungsausschüsse … die Aufklärung von Vorgängen zu politischen Zwecken … Den Untersuchungsausschüssen kommt dabei die Erfüllung des verfassungsgesetzlich übertragenen Kontrollauftrages zu“(31 ).
89. Diese Einstufung wird durch die beim Gerichtshof eingereichten schriftlichen Erklärungen bestätigt(32 ).
90. Aufgrund der Erläuterungen des Präsidenten des Nationalrates in der mündlichen Verhandlung steht außerdem fest, dass der in Rede stehende Untersuchungsausschuss über bestimmte hoheitliche Befugnisse verfügt – wie etwa das Recht, Auskunftspersonen vorzuladen oder Zugang zu Dokumenten zu erhalten, die sich auf den Gegenstand seiner Tätigkeit beziehen –, die mit der Befugnis einhergehen, finanzielle Sanktionen zu verhängen, um den ordnungsgemäßen Ablauf der Untersuchung zu gewährleisten.
91. Dagegen scheint mir hinsichtlich der legislativen Natur der Tätigkeiten dieses Ausschusses und ihrer möglichen Folgen für die Anwendbarkeit der DSGVO eine gewisse Verwirrung zu bestehen.
92. Der Präsident des Nationalrates führt in diesem Zusammenhang aus, dass „Untersuchungsausschüsse … sowohl organisatorisch als auch funktionell der gesetzgebenden Gewalt zuzuordnen [sind]. Akte, die von parlamentarischen Untersuchungsausschüssen bzw. in deren Auftrag gesetzt werden, gehören daher zur Staatsfunktion Gesetzgebung“(33 ). Daraus folgt seiner Ansicht nach, dass „[die] Tätigkeit eines Untersuchungsausschusses … daher zum Kernbereich der nationalen Gesetzgebung [zählt] und … als ausschließlich parlamentarisch-politische (Kontroll‑)Tätigkeit unter den Ausnahmetatbestand des Art. 2 Abs. 2 lit. a DSGVO [fällt]“(34 ).
93. Diese Ausführungen veranlassen mich zu drei Bemerkungen.
94. Als Erstes möchte ich unabhängig von der möglichen Beteiligung von Untersuchungsausschüssen an der gesetzgeberischen Tätigkeit darauf hinweisen, dass legislative oder parlamentarische Tätigkeiten nicht von der Anwendung der DSGVO ausgenommen wurden(35 ), im Gegensatz zu Tätigkeiten im Rahmen der Ausübung gerichtlicher Funktionen, die unter die in Art. 55 Abs. 3 dieser Verordnung vorgesehene teilweise Ausnahme fallen.
95. In diesem Punkt bezweifle ich im Gegensatz zu einigen Beteiligten, dass die für gerichtliche Funktionen geltende Ausnahme im Wege der Analogie dahin ausgelegt werden kann, dass sie sich auch auf legislative Funktionen erstreckt. Ganz im Gegenteil: Sollten sich die Erwägungen des Gerichtshofs in der vorliegenden Rechtssache von der in Art. 55 Abs. 3 DSGVO vorgesehenen Ausnahme leiten lassen, könnte dies allenfalls zu einem Umkehrschluss führen. In Anbetracht des weiten Anwendungsbereichs der DSGVO darf die Ausnahme für gerichtliche Funktionen nicht weit ausgelegt werden.
96. Als Zweites lässt meiner Ansicht nach keiner der dem Gerichtshof zur Kenntnis gebrachten Umstände darauf schließen, dass die Tätigkeit des Untersuchungsausschusses im Ausgangsverfahren eine legislative Funktion hat.
97. Insbesondere ist der in Rede stehende Untersuchungsausschuss nicht befugt, gesetzgeberische Initiativen zu ergreifen, und nimmt auch in keiner anderen Weise an den Gesetzgebungstätigkeiten des österreichischen Parlaments teil. Abgesehen davon mag der Abschlussbericht der Untersuchung für den Gesetzgeber zwar eine Inspirationsquelle darstellen, doch scheint mir dieser Umstand nicht geeignet zu sein, den Tätigkeiten dieses Ausschusses einen legislativen Charakter zu verleihen. Die Tätigkeiten bestimmter außerparlamentarischer Organe – wie des österreichischen Rechnungshofs, dessen Berichte dem Parlament übermittelt werden – können den Gesetzgeber ebenfalls inspirieren, ohne dass sie deshalb der Ausübung der gesetzgebenden Gewalt zugerechnet werden könnten.
98. Als Drittes bleiben institutionelle Erwägungen – unabhängig von ihrer möglichen Bedeutung nach österreichischem Recht – für die Anwendbarkeit der DSGVO ohne Belang, so dass die organisatorische Zuordnung des parlamentarischen Untersuchungsausschusses für die Beantwortung der ersten Vorlagefrage nicht ausschlaggebend sein kann.
– Zur Anwendbarkeit der DSGVO auf Tätigkeiten der öffentlichen Kontrolle
99. Im Licht der vorstehenden Erwägungen stellt sich die Frage, ob die von einem parlamentarischen Untersuchungsausschuss ausgeübten Tätigkeiten der öffentlichen Kontrolle in den Anwendungsbereich der DSGVO fallen.
100. Diese Frage ist meines Erachtens zu bejahen, und zwar vor allem aus drei Gründen.
101. Erstens fällt die vom betreffenden Ausschuss vorgenommene Verarbeitung personenbezogener Daten unter den in Art. 2 Abs. 1 der DSGVO definierten materiellen Begriff der „Verarbeitung“. Diese Einstufung wird von keinem der Beteiligten in der vorliegenden Rechtssache bestritten.
102. Zweitens fallen die Tätigkeiten der öffentlichen Kontrolle namentlich deshalb in den Anwendungsbereich des Unionsrechts im Sinne von Art. 16 Abs. 2 AEUV und Art. 2 Abs. 2 Buchst. a DSGVO in der Auslegung durch die Rechtsprechung des Gerichtshofs, weil keine Bestimmung dieser Verordnung sie von deren Anwendung ausnimmt.
103. Kontrolltätigkeiten werden im Gegenteil ausdrücklich in Art. 23 Abs. 1 Buchst. h DSGVO genannt, der die Möglichkeit vorsieht, den Umfang bestimmter Rechte und Pflichten nach dieser Verordnung zu beschränken , sofern eine solche Beschränkung erforderlich ist, um die Wahrnehmung von „Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt … verbunden sind“, in bestimmten in dieser Bestimmung vorgesehenen Fällen zu gewährleisten.
104. Daraus folgt, dass die Bestimmungen der DSGVO die Tätigkeiten der öffentlichen Kontrolle regeln sollen, auch wenn zu diesem Zweck besondere Vorkehrungen in Betracht gezogen werden können. Die mögliche Beschränkung des durch die DSGVO gewährten Schutzes führt jedoch nicht zum Ausschluss der Anwendung dieser Verordnung.
105. Drittens schließlich ist der allgemeinen Verteilung der Zuständigkeiten zwischen der Union und den Mitgliedstaaten keineswegs zu entnehmen, dass die Tätigkeiten der öffentlichen Kontrolle ausschließlich den Mitgliedstaaten vorbehalten wären.
106. Um ein konkretes Beispiel parlamentarischer Kontrolle aufzugreifen: Die beiden Untersuchungen im „Dieselgate-Fall“, die gleichzeitig vom Europäischen Parlament(36 ) und vom Deutschen Bundestag eingeleitet wurden, veranschaulichen die konkurrierenden Zuständigkeiten in diesem Bereich.
107. Zwar könnte man argumentieren, dass sich der Anwendungsbereich des Unionsrechts nur auf diejenigen Kontrolltätigkeiten erstrecke, die einen Bezug zur Anwendung der Bestimmungen des Unionsrechts aufwiesen.
108. Ein solcher Ansatz liefe jedoch darauf hinaus, die konkretisierende Auslegung des „Anwendungsbereichs des Unionsrechts“ wieder einzuführen, und würde daher die gleichen Risiken der Rechtsunsicherheit mit sich bringen. Schon in Anbetracht des Wesens der parlamentarischen Untersuchung, die darauf abzielt, die in Rede stehenden Umstände aufzuklären, erscheint es mir schwierig, im Voraus zu bestimmen, ob die Tätigkeit eines Untersuchungsausschusses einen konkreten Bezug zur Anwendung der Bestimmungen des Unionsrechts aufweist(37 ).
109. In diesem Zusammenhang ist das Ziel der Rechtssicherheit zu berücksichtigen, das die Bestimmungen der DSGVO verfolgen, die verhindern sollen, dass der Datenschutz in der Union unterschiedlich gehandhabt wird(38 ).
110. In Anbetracht dieses Ziels und im Einklang mit der vom Gerichtshof gewählten Lösung im Urteil Österreichischer Rundfunk u. a.(39 ), das unter der Geltung der Richtlinie 95/46 ergangen ist, sollte der Anwendungsbereich der DSGVO dahin ausgelegt werden, dass er die Tätigkeiten der öffentlichen Kontrolle unabhängig von ihrem Zusammenhang mit der Anwendung besonderer Bestimmungen des Unionsrechts umfasst.
111. Nach alledem schlage ich vor, auf die erste Vorlagefrage zu antworten, dass die Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Rechts zur Kontrolle der Exekutive eingesetzten Untersuchungsausschusses in den Anwendungsbereich des Unionsrechts im Sinne von Art. 16 Abs. 2 Satz 1 AEUV fallen.
Zweite Vorlagefrage
112. Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob die Tätigkeiten des Untersuchungsausschusses im Ausgangsverfahren in Anbetracht ihres besonderen Gegenstands, der mit den Belangen der nationalen Sicherheit zusammenhängt, im Licht des 16. Erwägungsgrundes der DSGVO unter die Ausnahme von Art. 2 Abs. 2 Buchst. a dieser Verordnung fallen.
113. Meines Erachtens ist dies aus mehreren Gründen nicht der Fall.
114. Erstens sollte die für Tätigkeiten im Zusammenhang mit der nationalen Sicherheit geltende Ausnahme in Anbetracht des weiten Anwendungsbereichs der DSGVO eng ausgelegt werden. Daraus leite ich ab, dass nur Tätigkeiten, die unmittelbar die nationale Sicherheit zum Gegenstand haben, unter diese Ausnahme fallen.
115. Dies ist bei den Tätigkeiten des Untersuchungsausschusses im Ausgangsverfahren, der mit einer Kontrollaufgabe gegenüber den Organen der Bundesregierung betraut wurde, offenkundig nicht der Fall.
116. Soweit sich die in Rede stehende Kontrolle auf die Arbeitsweise des BVT bezieht, dessen Aufgabe darin besteht, die Integrität und Kontinuität der staatlichen Institutionen zu gewährleisten, könnte die Tätigkeit dieses Ausschusses zwar mittelbar zum Schutz der nationalen Sicherheit beigetragen haben.
117. Ein solcher Beitrag ändert jedoch nichts an der Art der einem Untersuchungsausschuss übertragenen Tätigkeiten und kann nicht dazu führen, dass diese den Bestimmungen der DSGVO entzogen werden. Wäre der gegenteiligen Lösung zu folgen, könnte man sich fragen, ob eine Werbeagentur, die vom Verteidigungsministerium beauftragt wurde, für den Soldatenberuf zu werben, nicht aus den gleichen Gründen von diesen Bestimmungen ausgenommen werden sollte.
118. Zweitens liefe es dem vom Unionsgesetzgeber verfolgten Ziel der Rechtssicherheit zuwider, wenn die Anwendung der DSGVO vom Gegenstand einer parlamentarischen Untersuchung abhängig gemacht würde.
119. Aufgrund seiner flexiblen Natur stellt der Gegenstand einer parlamentarischen Untersuchung keine hinreichend konsistente Grundlage für die Bestimmung des Anwendungsbereichs der DSGVO dar. Situative Faktoren, wie etwa eine im Lauf der Untersuchung aufgedeckte (oder widerlegte) persönliche Verwicklung des Verteidigungsministers in einen Korruptionsfall, können zu diesem Zweck nicht als Anhaltspunkte dienen.
120. Drittens sollte bei der Auslegung der in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehenen Ausnahme die ratio legis dieser Bestimmung berücksichtigt werden. Diese hängt meines Erachtens mit der Unmöglichkeit zusammen, bestimmte grundlegende Aspekte des Rechts auf Achtung personenbezogener Daten mit der Geheimhaltung in Einklang zu bringen, ohne die bestimmte Tätigkeiten im Zusammenhang mit der nationalen Sicherheit nicht denkbar wären.
121. Beispielsweise kann ich mir nur schwer vorstellen, wie der Inlandsgeheimdienst die Einhaltung der in den Art. 14 und 15 DSGVO verankerten Informations- und Auskunftsrechte gewährleisten könnte, ohne gleichzeitig die Überwachungstätigkeiten zu gefährden, die sich gegen Personen richten, die der Zugehörigkeit zu einer terroristischen Bewegung verdächtigt werden. In einem solchen Fall scheinen die Anforderungen, die sich aus der DSGVO ergeben, grundsätzlich mit den Erfordernissen der nationalen Sicherheit unvereinbar zu sein.
122. Im Gegensatz dazu stehen der Tätigkeit eines parlamentarischen Untersuchungsausschusses meines Erachtens keine derartigen unüberwindbaren Hindernisse entgegen, und ich vermag nicht zu erkennen, inwiefern die Einhaltung der sich aus der DSGVO ergebenden Verpflichtungen ihren etwaigen Beitrag zum Schutz der nationalen Sicherheit gefährden könnte.
123. Zwar gehört die Öffentlichkeit, die üblicherweise mit den Tätigkeiten von Untersuchungsausschüssen einhergeht, zur öffentlichen Dimension der parlamentarischen Kontrolle. Das Ziel der Transparenz steht jedoch im Gegensatz zur ratio legis von Art. 2 Abs. 2 Buchst. a DSGVO, die auf die Wahrung der Geheimnisse der nationalen Sicherheit abzielt.
124. Viertens: Auch wenn die Einhaltung der sich aus der DSGVO ergebenden Pflichten in bestimmten Fällen der ordnungsgemäßen Durchführung einer parlamentarischen Untersuchung zuwiderlaufen könnte – beispielsweise wenn der Ausschuss Zugang zu vertraulichen Dokumenten erhält, die personenbezogene Daten enthalten –, möchte ich darauf hinweisen, dass Art. 23 Abs. 1 Buchst. a und h DSGVO die Möglichkeit vorsieht, die in den Art. 5, 12 bis 22 und 34 DSGVO verankerten Rechte und Pflichten zu beschränken, sofern dies notwendig ist, um eine Kontrollaufgabe im Hinblick auf die Erfordernisse der nationalen Sicherheit zu gewährleisten.
125. Daraus folgt meines Erachtens, dass der Zusammenhang mit den Belangen der nationalen Sicherheit, den der Gegenstand einer parlamentarischen Untersuchung aufweisen kann, nicht dazu führen sollte, den Untersuchungsausschuss von der Anwendung der DSGVO auszunehmen. In Anbetracht des institutionellen Kontexts, in den sich die Tätigkeit solcher Ausschüsse einfügt, deren Mitglieder an den Tätigkeiten der gesetzgebenden Organe des Parlaments teilnehmen, erscheint es mir zudem relativ einfach, notwendige gesetzgeberische Vorkehrungen zu treffen, die es ermöglichen würden, dem besonderen Gegenstand bestimmter parlamentarischer Untersuchungen Rechnung zu tragen, wie dies in den Bestimmungen von Art. 23 Abs. 1 DSGVO vorgesehen ist.
126. Aus all diesen Gründen schlage ich dem Gerichtshof vor, auf die zweite Vorlagefrage zu antworten, dass die Tätigkeiten eines parlamentarischen Untersuchungsausschusses, dessen Untersuchungsgegenstand Tätigkeiten einer polizeilichen Staatsschutzbehörde und somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der DSGVO sind, nicht unter die in Art. 2 Abs. 2 Buchst. a dieser Verordnung vorgesehene Ausnahme fallen.
Dritte Vorlagefrage
127. Mit seiner dritten Frage möchte das vorlegende Gericht wissen, ob sich die Zuständigkeit einer nach Art. 51 Abs. 1 DSGVO errichteten einzigen Aufsichtsbehörde für Beschwerden im Sinne von Art. 77 Abs. 1 dieser Verordnung unmittelbar aus der letztgenannten Bestimmung in Verbindung mit Art. 55 Abs. 1 DSGVO ergeben kann.
128. Diese Frage, die für den Fall gestellt wird, dass die DSGVO auf die Tätigkeiten des Untersuchungsausschusses im Ausgangsverfahren Anwendung findet, lässt sich mit verfassungsrechtlichen Hindernissen erklären. Nach Auffassung des Verwaltungsgerichtshofs und einiger Beteiligter hindert der dem österreichischen Recht eigene Grundsatz der Gewaltenteilung ein Verwaltungsorgan – im vorliegenden Fall die Datenschutzbehörde – daran, sich in die Tätigkeiten des Parlaments einzumischen, indem es diesbezügliche Beschwerden prüft.
129. Die dritte Vorlagefrage zielt somit darauf ab, den Umfang der unmittelbaren Wirkung von Art. 55 Abs. 1 in Verbindung mit Art. 77 Abs. 1 DSGVO zu klären, wenn die Zuständigkeit der von einem Mitgliedstaat eingerichteten einzigen Aufsichtsbehörde durch einen Grundsatz mit Verfassungsrang eingeschränkt zu werden droht.
130. Da es sich um eine Verordnung der Union handelt, ist darauf hinzuweisen, dass sie nach Art. 288 Abs. 2 AEUV grundsätzlich in allen ihren Teilen unmittelbar gilt, was auch durch Art. 99 Abs. 2 Unterabs. 2 DSGVO bestätigt wird(40 ).
131. Nach der Rechtsprechung des Gerichtshofs gilt etwas anderes nur dann, wenn eine Rechtsvorschrift den Erlass von Durchführungsmaßnahmen erfordert, wobei der weite Ermessensspielraum zu berücksichtigen ist, den die Mitgliedstaaten bei der Durchführung dieser Vorschrift haben(41 ).
132. Insoweit bin ich der Ansicht, dass Art. 77 Abs. 1 DSGVO, der die Zuständigkeit der Aufsichtsbehörden für die Prüfung der dort genannten Beschwerden vorsieht, in Verbindung mit Art. 55 Abs. 1 dieser Verordnung hinreichend klar und unbedingt ist, um unmittelbar angewandt zu werden.
133. Ich füge hinzu, dass der Gerichtshof bereits die unmittelbare Wirkung von Art. 58 Abs. 5 DSGVO bestätigt hat, indem er entschieden hat, dass sich eine nationale Aufsichtsbehörde auf die ihr in dieser Bestimmung zuerkannte Klagebefugnis berufen kann, um gegen eine Privatperson eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn diese Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist(42 ).
134. Darüber hinaus halte ich unter den Umständen des Ausgangsverfahrens keine zusätzliche Durchführungsmaßnahme für erforderlich, um die Verfahrensmodalitäten der Beschwerde nach Art. 77 DSGVO zu regeln. Die Datenschutzbehörde prüft regelmäßig derartige Beschwerden, wobei sich lediglich die Frage stellt, ob sie für die Organe des Parlaments zuständig ist.
135. Diese Frage ist jedoch nicht in das freie Ermessen der Mitgliedstaaten gestellt worden.
136. Zwar setzt die wirksame Ausübung des Beschwerderechts die vorherige Errichtung einer oder mehrerer Aufsichtsbehörden gemäß Art. 51 Abs. 1 DSGVO voraus, was ein Tätigwerden der Mitgliedstaaten erfordert. Dabei handelt es sich jedoch um eine Frage der unmittelbaren Wirkung der letztgenannten Bestimmung, die sich im Ausgangsverfahren nicht stellt.
137. Was die Anzahl der nach Art. 51 Abs. 1 DSGVO einzurichtenden Aufsichtsbehörden betrifft, kann die den Mitgliedstaaten in diesem Bereich überlassene institutionelle Entscheidung nicht dazu führen, die Befugnisse der vom österreichischen Gesetzgeber errichteten einzigen Behörde einzuschränken. Die gegenteilige Auslegung würde Art. 55 Abs. 1 und Art. 77 Abs. 1 DSGVO ihrer unmittelbaren Wirkung berauben und könnte die praktische Wirksamkeit aller anderen Bestimmungen dieser Verordnung, die für eine Beschwerde von Bedeutung sein könnten, schwächen.
138. Schließlich dürfen die im österreichischen Recht bestehenden verfassungsrechtlichen Hindernisse nicht dazu führen, die Bestimmungen der DSGVO unangewendet zu lassen. Nach ständiger Rechtsprechung des Gerichtshofs kann es die Wirkung eines Rechtsakts der Union nicht berühren, wenn geltend gemacht wird, dieser verletze die Strukturprinzipien der nationalen Verfassung(43 ).
139. Ich schlage dem Gerichtshof daher vor, zur Beantwortung der dritten Vorlagefrage zu entscheiden, dass, sofern ein Mitgliedstaat nur eine einzige Aufsichtsbehörde im Sinne von Art. 51 Abs. 1 DSGVO errichtet hat, sich deren Zuständigkeit für Beschwerden im Sinne von Art. 77 Abs. 1 dieser Verordnung unmittelbar aus der letztgenannten Bestimmung in Verbindung mit Art. 55 Abs. 1 dieser Verordnung ergibt.
Ergebnis
140. Nach alledem schlage ich dem Gerichtshof vor, die vom Verwaltungsgerichtshof (Österreich) vorgelegten Fragen wie folgt zu beantworten:
1. Die Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Rechts zur Kontrolle der Exekutive eingesetzten Untersuchungsausschusses fallen in den Anwendungsbereich des Unionsrechts im Sinne von Art. 16 Abs. 2 Satz 1 AEUV, so dass die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) auf die Verarbeitung personenbezogener Daten durch einen solchen Ausschuss anwendbar ist.
2. Die Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Rechts zur Kontrolle der Exekutive eingesetzten Untersuchungsausschusses, dessen Untersuchungsgegenstand Tätigkeiten einer polizeilichen Staatsschutzbehörde und somit der Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der Verordnung 2016/679 sind, fallen nicht unter die in Art. 2 Abs. 2 Buchst. a dieser Verordnung vorgesehene Ausnahme.
3. Sofern ein Mitgliedstaat nur eine einzige Aufsichtsbehörde im Sinne von Art. 51 Abs. 1 der Verordnung 2016/679 errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden nach Art. 77 Abs. 1 dieser Verordnung unmittelbar aus der letztgenannten Bestimmung in Verbindung mit Art. 55 Abs. 1 dieser Verordnung.