Rechtssache C‑33/22
Österreichische Datenschutzbehörde
gegen
WK
(Vorabentscheidungsersuchen des Verwaltungsgerichtshofs [Österreich])
Urteil des Gerichtshofs (Große Kammer) vom 16. Januar 2024
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Art. 16 AEUV – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 Buchst. a – Anwendungsbereich – Ausnahmen – Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen – Art. 4 Abs. 2 EUV – Die nationale Sicherheit betreffende Tätigkeiten – Vom Parlament eines Mitgliedstaats eingesetzter Untersuchungsausschuss – Art. 23 Abs. 1 Buchst. a und h, Art. 51 und 55 der Verordnung (EU) 2016/679 – Zuständigkeit der Datenschutz-Aufsichtsbehörde – Art. 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde – Unmittelbare Wirkung“
1. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Anwendungsbereich – Ausnahmen – Verarbeitung von Daten im Rahmen einer Tätigkeit, die nicht unter das Unionsrecht fällt – Tätigkeit eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses – Ausschluss – Anwendung der Verordnung
(Art. 16 Abs. 2 Satz 1 AEUV; Verordnung 2016/679 des Europäischen Parlaments und des Rates, 16. Erwägungsgrund und Art. 2 Abs. 2 Buchst. a)
(vgl. Rn. 37-43, Tenor 1)
2. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Anwendungsbereich – Ausnahmen – Verarbeitung von Daten im Rahmen einer Tätigkeit, die nicht unter das Unionsrecht fällt – Tätigkeit, die der Wahrung der nationalen Sicherheit dient oder derselben Kategorie zugeordnet werden kann – Begriff – Tätigkeit eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses – Untersuchung einer möglichen politischen Einflussnahme auf eine polizeiliche Staatsschutzbehörde – Ausschluss
(Art. 4 Abs. 2 EUV; Verordnung 2016/679 des Europäischen Parlaments und des Rates, 16. Erwägungsgrund, Art. 2 Abs. 1, Art. 2 Abs. 2 Buchst. a und Art. 23)
(vgl. Rn. 46, 50-57, Tenor 2)
3. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Nationale Aufsichtsbehörden – Recht eines Mitgliedstaats, eine einzige Aufsichtsbehörde einzurichten – Durch die Verordnung übertragene Zuständigkeit der Aufsichtsbehörde – Beschränkung der sich aus nationalen Bestimmungen im Verfassungsrang ergebenden Zuständigkeit – Unzulässigkeit – Vorrang und unmittelbare Wirkung des Unionsrechts
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, 117. Erwägungsgrund und Art. 51 Abs. 1, Art. 55 Abs. 1 und 3 sowie Art. 77 Abs. 1)
(vgl. Rn. 62-72, Tenor 3)
Zusammenfassung
Der Gerichtshof (Große Kammer), der im Wege der Vorabentscheidung vom Verwaltungsgerichtshof (Österreich) angerufen wurde, entscheidet, dass die Tätigkeit eines parlamentarischen Untersuchungsausschusses nicht von der Anwendung der DSGVO(1) ausgenommen ist.
Zur Untersuchung einer möglichen politischen Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Österreich)(2) setzte der Nationalrat (Österreich) einen Untersuchungsausschuss (im Folgenden: BVT‑Untersuchungsausschuss) ein. WK wurde von diesem Untersuchungsausschuss als Auskunftsperson befragt. Obwohl er eine Anonymisierung beantragt hatte, wurde auf der Webseite des Österreichischen Parlaments das Protokoll seiner Befragung unter vollständiger Nennung seines Vor- und Familiennamens veröffentlicht. WK machte geltend, dass die Preisgabe seiner Identität gegen die DSGVO und gegen österreichisches Recht(3) verstoße und erhob eine Beschwerde bei der Österreichischen Datenschutzbehörde (im Folgenden: Datenschutzbehörde). Mit Bescheid vom 18. September 2019 erklärte sich die Datenschutzbehörde für eine Entscheidung über die Beschwerde unzuständig und führte aus, dass der Grundsatz der Gewaltenteilung ausschließe, dass sie als Organ der Verwaltung die Tätigkeit des BVT‑Untersuchungsausschusses kontrolliere, der der Gesetzgebung zuzurechnen sei.
Im Anschluss an das Erkenntnis des Bundesverwaltungsgerichts (Österreich), mit dem der von WK erhobenen Beschwerde stattgegeben und der Bescheid der Datenschutzbehörde aufgehoben wurde, rief die Datenschutzbehörde im Wege einer Revision gegen das Erkenntnis des Bundesverwaltungsgerichts den Verwaltungsgerichtshof an.
In diesem Zusammenhang möchte das vorlegende Gericht vom Gerichtshof wissen, ob die Tätigkeiten eines vom Parlament eines Mitgliedstaats eingesetzten Untersuchungsausschusses in den Anwendungsbereich der DSGVO fallen und ob diese Verordnung anwendbar ist, wenn die fraglichen Tätigkeiten den Schutz der nationalen Sicherheit betreffen. Außerdem hat es den Gerichtshof ersucht, sich dazu zu äußern, ob die DSGVO einer nationalen Aufsichtsbehörde wie der Datenschutzbehörde die Zuständigkeit für die Entscheidung über Beschwerden betreffend Verarbeitungen personenbezogener Daten überträgt, die von einem Untersuchungsausschuss im Rahmen seiner Tätigkeiten vorgenommen werden.
Würdigung durch den Gerichtshof
Als Erstes weist der Gerichtshof darauf hin, dass mit Art. 2 Abs. 2 Buchst. a DSGVO, der vorsieht, dass die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit findet, die nicht in den Anwendungsbereich des Unionsrechts fällt, allein Verarbeitungen vom Anwendungsbereich der Verordnung ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient oder derselben Kategorie zugeordnet werden kann, vorgenommen werden. Der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, reicht also nicht aus, um eine solche Tätigkeit automatisch von der Anwendbarkeit der DSGVO auszunehmen(4).
Diese Auslegung, die sich bereits daraus ergibt, dass nicht danach unterschieden wird, wer Urheber der betreffenden Verarbeitung ist, wird durch Art. 4 Nr. 7 DSGVO(5) bestätigt.
Der Gerichtshof stellt klar, dass der Umstand, dass der BVT‑Untersuchungsausschuss parlamentarisch tätig ist, nicht bedeutet, dass seine Tätigkeiten vom Anwendungsbereich der DSGVO ausgenommen sind. Die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme bezieht sich nämlich ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen. Somit ermöglicht der Umstand, dass die Verarbeitung von personenbezogenen Daten durch einen vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss erfolgt, für sich genommen nicht den Schluss, dass diese Verarbeitung im Rahmen einer Tätigkeit stattfindet, die nicht in den Anwendungsbereich des Unionsrechts fällt.
Als Zweites stellt der Gerichtshof fest, dass es zwar Sache der Mitgliedstaaten ist, ihre wesentlichen Sicherheitsinteressen festzulegen und die geeigneten Maßnahmen zu ergreifen, um die Sicherheit zu gewährleisten(6), doch kann die bloße Tatsache, dass eine nationale Maßnahme zum Schutz der nationalen Sicherheit getroffen wurde, nicht dazu führen, dass das Unionsrecht unanwendbar ist und die Mitgliedstaaten von der erforderlichen Beachtung dieses Rechts entbunden werden. Die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme bezieht sich ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen. Insoweit reicht der Umstand, dass der Verantwortliche eine Behörde ist, deren Haupttätigkeit in der Gewährleistung der nationalen Sicherheit besteht, als solcher nicht aus, um Verarbeitungen personenbezogener Daten, die diese Behörde im Rahmen ihrer anderen Tätigkeiten vornimmt, vom Anwendungsbereich der DSGVO auszunehmen.
Im vorliegenden Fall scheint die vom BVT‑Untersuchungsausschuss ausgeübte politische Kontrolle als solche keine Tätigkeit darzustellen, die der Wahrung der nationalen Sicherheit dient oder derselben Kategorie zugeordnet werden kann. Vorbehaltlich einer Überprüfung durch das vorlegende Gericht ist diese Tätigkeit folglich nicht vom Anwendungsbereich der DSGVO ausgenommen.
Allerdings kann ein parlamentarischer Untersuchungsausschuss Zugang zu personenbezogenen Daten haben, die aus Gründen der nationalen Sicherheit besonders zu schützen sind. In diesem Zusammenhang können die sich aus der DSGVO ergebenden Rechte und Pflichten im Wege von Gesetzgebungsmaßnahmen beschränkt werden, um u. a. die nationale Sicherheit zu gewährleisten(7). Auf dieser Grundlage können also Beschränkungen in Bezug auf die Erhebung personenbezogener Daten, die Unterrichtung der betroffenen Personen und ihren Zugang zu diesen Daten oder deren Offenlegung an andere Personen als den Verantwortlichen ohne Zustimmung der betroffenen Personen gerechtfertigt werden, soweit solche Beschränkungen den Wesensgehalt der Grundrechte und Grundfreiheiten der betroffenen Personen wahren und eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellen.
Der Gerichtshof führt jedoch aus, dass sich aus den ihm vorliegenden Informationen nicht ergibt, dass der BVT‑Untersuchungsausschuss dargetan hätte, dass die Offenlegung der personenbezogenen Daten der betroffenen Person für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer dafür vorgesehenen nationalen Gesetzgebungsmaßnahme beruht habe. Dies wird gegebenenfalls vom vorlegenden Gericht zu überprüfen sein.
Als Drittes und Letztes stellt der Gerichtshof fest, dass für die Bestimmungen der DSGVO über die Zuständigkeit der nationalen Aufsichtsbehörden und das Beschwerderecht(8) keine nationalen Durchführungsmaßnahmen erforderlich sind und sie hinreichend klar, genau und unbedingt sind, um unmittelbar anwendbar zu sein. Daraus folgt, dass die DSGVO den Mitgliedstaaten bei der Anzahl der einzurichtenden Aufsichtsbehörden einen Ermessensspielraum einräumt(9), im Gegenzug aber den Umfang ihrer Zuständigkeiten für die Überwachung der Anwendung der DSGVO festlegt. In Fällen, in denen sich ein Mitgliedstaat für die Einrichtung einer einzigen nationalen Aufsichtsbehörde entscheidet, ist diese zwangsläufig mit allen in der DSGVO vorgesehenen Zuständigkeiten ausgestattet. Jede andere Auslegung würde die praktische Wirksamkeit dieser Bestimmungen in Frage stellen und könnte die praktische Wirksamkeit aller anderen Bestimmungen der DSGVO, die für eine Beschwerde von Bedeutung sein könnten, schwächen.
Was den Umstand betrifft, dass eine Aufsichtsbehörde, die der Exekutive zuzurechnen ist, aufgrund nationaler Bestimmungen im Verfassungsrang nicht die Anwendung der DSGVO durch ein Organ der Legislative überwachen kann, weist der Gerichtshof darauf hin, dass sich die DSGVO gerade mit Blick auf die Achtung der verfassungsrechtlichen Struktur der Mitgliedstaaten darauf beschränkt, ihnen die Einrichtung mindestens einer Aufsichtsbehörde aufzuerlegen, und es ihnen freistellt, mehrere einzurichten. Die DSGVO räumt also jedem Mitgliedstaat einen Ermessensspielraum ein, der es ihm ermöglicht, so viele Aufsichtsbehörden einzurichten, wie insbesondere aufgrund seiner verfassungsmäßigen Struktur erforderlich sind.
Außerdem können die Einheit und die Wirksamkeit des Unionsrechts nicht dadurch beeinträchtigt werden, dass sich ein Mitgliedstaat auf Bestimmungen des nationalen Rechts beruft. Die Wirkungen des Grundsatzes des Vorrangs des Unionsrechts sind nämlich für alle Stellen eines Mitgliedstaats verbindlich, ohne dass dem insbesondere die innerstaatlichen Bestimmungen, auch wenn sie Verfassungsrang haben, entgegenstehen könnten(10).
Sofern sich ein Mitgliedstaat also für die Einrichtung einer einzigen Aufsichtsbehörde entschieden hat, kann er sich nicht auf Bestimmungen des nationalen Rechts berufen – auch wenn sie Verfassungsrang haben –, um Verarbeitungen personenbezogener Daten, die in den Anwendungsbereich der DSGVO fallen, der Überwachung durch diese Behörde zu entziehen.