Herr Bergauer, Sie und vier weitere Expert*innen im Bereich Datenschutz, nämlich Gerhard Baumgartner, Philipp Grasser, Sandra Huber und Eva Souhrada-Kirchmayer, wurden vor einigen Wochen einhellig von Nationalrat und Bundesrat für die nächsten fünf Jahre zu Mitgliedern des Parlamentarischen Datenschutzkomitees (PDK) gewählt. Am 12.11.2024 erfolgte noch die Angelobung in der Hofburg. Worum handelt es sich bei diesem Komitee?
Das PDK ist eine unabhängige nationale Aufsichtsbehörde gemäß Art 51 DSGVO, die als zweite datenschutzrechtliche Aufsichtsbehörde, d. h. neben der Datenschutzbehörde (DSB), in Österreich eingerichtet wurde und ausschließlich für die Verarbeitung personenbezogener Daten im Bereich der Staatsfunktion der Gesetzgebung zuständig ist. Die außergewöhnlich hohen Legitimationsanforderungen bezüglich der Wahl der Mitglieder des Komitees, die Sie ansprechen, beruhen auf Verfassungsbestimmungen und sind in der Tat bemerkenswert. Umso mehr freut es mich, dass ich die nächsten fünf Jahre Teil dieses Komitees sein darf. Meine langjährige Schwerpunktsetzung im IT- und Datenschutzrecht in Wissenschaft und Lehre an der REWI Uni Graz hat sich in diesem Zusammenhang besonders bewährt.
Warum wurde erst jetzt – gut 6 Jahre nach der Anwendbarkeit der DSGVO – das Parlamentarische Datenschutzkomitee eingerichtet?
Hintergrund der Einrichtung des PDK ist das EuGH-Urteil C-33/22 vom 16.1.2024 (Österreichische Datenschutzbehörde), in dem klargestellt wurde, dass die DSGVO grundsätzlich auch für den Bereich der Gesetzgebung gilt. Die Datenschutzbehörde, die der Staatsfunktion der Verwaltung zugeordnet ist, soll nun im Lichte des gewaltenteilenden Prinzips aber nicht (mehr) die Verarbeitungstätigkeiten der Organe der Gesetzgebung überwachen. Für diesen Bereich wird nunmehr ab 1. Jänner 2025 das PDK zuständig sein.
Welche Institutionen und Organe fallen unter die Aufsicht des Parlamentarischen Datenschutzkomitees?
Das PDK wird für die Datenschutzaufsicht über die Organe und Hilfsorgane der Gesetzgebung zuständig sein. Dazu gehören im Wesentlichen die Verarbeitungen personenbezogener Daten des Nationalrates und des Bundesrates sowie deren Mitglieder in Ausübung ihres Mandates. Des Weiteren fallen die Datenverarbeitungen des Rechnungshofes und der Volksanwaltschaft darunter. Es besteht darüber hinaus auch für die Landtage die Möglichkeit, durch Landesverfassungsgesetz die Aufsicht des Parlamentarischen Datenschutzkomitees auf Landesebene auszuweiten, was vor allem für die Verarbeitungen der Landtage und deren Mitglieder sowie der Landesrechnungshöfe und der Landesvolksanwälte relevant sein kann. Wird von den Landtagen allerdings nicht davon Gebrauch gemacht, bleibt für die Datenverarbeitungen im Bereich der Landesgesetzgebung die allgemeine Zuständigkeit der Datenschutzbehörde bestehen.
Gibt es in Hinblick auf die Verarbeitung personenbezogener Daten im Bereich der Gesetzgebung Besonderheiten?
Die DSGVO sieht für solche Verarbeitungen grundsätzlich keine besonderen Regelungen vor. Allerdings gibt es sehr wohl empfindliche Bereiche, die aus demokratiepolitischer Sicht einer besonderen Aufmerksamkeit bedürfen.
Denken Sie etwa an die parlamentarische Kontrolle der Geschäftsführung der Bundesregierung, einschließlich ihrer Mitglieder sowie der diesen unterstellten Organe. Eine solche Kontrolle kann durch wichtige Kontrollinstrumente, wie insbesondere das Interpellationsrecht, d. h. Informations- oder Fragerecht, oder das Enqueterecht, d. h. die Einsetzung von Untersuchungsausschüssen, erfolgen. Das Interpellationsrecht beispielsweise dient ganz konkret der Beschaffung von Informationen über Gegebenheiten im Tatsächlichen, deren Kenntnis für eine effektive Kontrolle oftmals maßgeblich ist und für die Frage der Verantwortlichkeit der obersten Verwaltungsorgane bedeutsam sein kann. Dabei spielt gerade auch Transparenz, d. h. die Behandlung der Antworten solcher Anfragen in der Öffentlichkeit, eine große Rolle.
Was bedeutet das nun für den Schutz betroffener Personen?
Das bedeutet zum einen, dass für eine effektive politische Kontrolle grundsätzlich auch personenbezogene Daten verwendet werden dürfen und die DSGVO solchen Datenverarbeitungen nicht generell entgegensteht. Die DSGVO, das Grundrecht auf Datenschutz und verwandte Grundrechte sind stets in ihrer gesellschaftlichen Funktion zu verstehen und nach dem Prinzip der Verhältnismäßigkeit mit anderen Grundrechten, Freiheiten oder Interessen abzuwägen, wie etwa mit wichtigen öffentlichen Interessen, wozu auch die parlamentarische Kontrolle zählt. Das Datenschutzrecht verhindert daher keinesfalls eine effektive politische Kontrolle, schützt aber die von derartigen Datenverarbeitungen betroffenen Personen schon durch die allgemeinen Verarbeitungsbedingungen der DSGVO vor einer überschießenden und gegebenenfalls missbräuchlichen Verarbeitung ihrer Daten; beispielsweise einer solchen, die für den Kontrollzweck nicht erforderlich ist.
Gibt es auch bei den Rechten der betroffenen Personen bei gesetzgeberischen Verarbeitungstätigkeiten Besonderheiten?
Ja, es gibt besondere gesetzlich geregelte Beschränkungen der Ausübung verschiedener Betroffenenrechte. So existieren Löschungsbeschränkungen einerseits schon unmittelbar in der DSGVO, wenn es nämlich beispielsweise um im öffentlichen Interesse liegende Archivzwecke geht. Parlamentarische Materialien unterliegen nämlich der sachlichen Immunität und gelten schon mit ihrer Entstehung als Archivgut. Aufgrund dieser besonderen Stellung dürfen selbst teilweise Löschungen aus solchen Dokumenten prinzipiell nicht erfolgen, was besonders bei nicht veröffentlichten Materialien gilt. Handelt es sich aber um veröffentlichte Materialien, kann dies wiederum anders aussehen. Darüber hinaus hat der nationale Gesetzgeber in diesem Kontext auch die Möglichkeit aufgegriffen, gewisse Betroffenenrechte und Pflichten des Verantwortlichen gemäß Art 23 Abs 1 DSGVO zusätzlich zu beschränken. Derartige nationalstaatliche Beschränkungen finden sich vor allem im Informationsordnungsgesetz.
Was interessiert Sie persönlich an der Tätigkeit im Parlamentarischen Datenschutzkomitee?
Die enge Verknüpfung von Theorie und Praxis ist mir besonders wichtig. Diese Tätigkeit bietet mir die Möglichkeit, die Fachkenntnisse, die ich durch meine Lehr- und Forschungstätigkeit an der Universität Graz sowie durch meine Forschung in den Bereichen Datenschutz-, IT- und Strafrecht erworben habe, in die aufsichtsbehördliche Praxis einzubringen. Gleichzeitig erweitert diese praktische Arbeit meinen Erfahrungshorizont, da sich neue, interessante Fragestellungen auftun werden, die mich nicht nur dogmatisch, sondern auch rechtspolitisch fordern werden. Diese Auseinandersetzungen tragen wiederum dazu bei, den fachwissenschaftlichen Diskurs zu bereichern und meine Beiträge dazu weiter zu vertiefen.
Erst kürzlich erschienen: Bergauer/Gosch: Lehr- und Handbuch Datenschutzrecht (2024). (LINK)
Passend dazu findet am 9.12.2024 die 18. Ausgabe der Grazer Datenschutz-Gespräche „Schlaglichter im Datenschutzrecht: Vom DSG (1978) bis zur DSGVO“ (LINK) in der Aula unserer Universität statt, die Sie live vor Ort oder per Live-Stream verfolgen können.