Language of document : ECLI:EU:C:2024:46

URTEIL DES GERICHTSHOFS (Große Kammer)

16. Januar 2024(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Art. 16 AEUV – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 Buchst. a – Anwendungsbereich – Ausnahmen – Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen – Art. 4 Abs. 2 EUV – Die nationale Sicherheit betreffende Tätigkeiten – Vom Parlament eines Mitgliedstaats eingesetzter Untersuchungsausschuss – Art. 23 Abs. 1 Buchst. a und h, Art. 51 und Art. 55 der Verordnung (EU) 2016/679 – Zuständigkeit der Datenschutz-Aufsichtsbehörde – Art. 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde – Unmittelbare Wirkung“

In der Rechtssache C‑33/22

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgerichtshof (Österreich) mit Beschluss vom 14. Dezember 2021, beim Gerichtshof eingegangen am 14. Januar 2022, in dem Verfahren

Österreichische Datenschutzbehörde

gegen

WK,

Beteiligter:

Präsident des Nationalrates,


erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten L. Bay Larsen, der Kammerpräsidentin K. Jürimäe, der Kammerpräsidenten C. Lycourgos, E. Regan und N. Piçarra, der Richter M. Ilešič und P. G. Xuereb, der Richterin L. S. Rossi (Berichterstatterin), der Richter I. Jarukaitis, A. Kumin, N. Jääskinen und N. Wahl, der Richterin I. Ziemele sowie des Richters J. Passer,

Generalanwalt: M. Szpunar,

Kanzler: D. Dittert, Referatsleiter,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 6. März 2023,

unter Berücksichtigung der Erklärungen

–        der Österreichischen Datenschutzbehörde, vertreten durch A. Jelinek und M. Schmidl als Bevollmächtigte,

–        von WK, vertreten durch Rechtsanwalt M. Sommer,

–        des Präsidenten des Nationalrates, vertreten durch C. Neugebauer und R. Posnik als Bevollmächtigte,

–        der österreichischen Regierung, vertreten durch A. Posch, J. Schmoll S. Dörnhöfer und C. Leeb als Bevollmächtigte,

–        der tschechischen Regierung, vertreten durch O. Serdula, M. Smolek und J. Vláčil als Bevollmächtigte,

–        der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 11. Mai 2023

folgendes

Urteil

1        Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 16 Abs. 2 Satz 1 AEUV sowie von Art. 2 Abs. 2 Buchst. a, Art. 51 Abs. 1, Art. 55 Abs. 1 und Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).

2        Es ergeht im Rahmen eines Rechtsstreits zwischen der Österreichischen Datenschutzbehörde (im Folgenden: Datenschutzbehörde) und WK über die Zurückweisung einer Beschwerde, mit der WK eine Verletzung seines Rechts auf Schutz seiner personenbezogenen Daten geltend gemacht hat.

 Rechtlicher Rahmen

 Unionsrecht

3        Die Erwägungsgründe 16, 20 und 117 der DSGVO lauten:

„(16)      Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

(20)      Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten.

(117)      Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.“

4        Art. 2 („Sachlicher Anwendungsbereich“) DSGVO bestimmt:

„(1)      Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2)      Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a)      im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b)      durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

d)      durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

(3)      Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001 [des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1)]. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.

…“

5        In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

7.      ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

…“

6        Art. 23 („Beschränkungen“) Abs. 1 DSGVO bestimmt:

„Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a)      die nationale Sicherheit;

b)      die Landesverteidigung;

c)      die öffentliche Sicherheit;

d)      die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e)      den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f)      den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

h)      Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

i)      den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

…“

7        Art. 51 („Aufsichtsbehörde“) Abs. 1 DSGVO bestimmt:

„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“

8        In Art. 54 („Errichtung der Aufsichtsbehörde“) Abs. 1 DSGVO heißt es:

„Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:

a)      die Errichtung jeder Aufsichtsbehörde;

…“

9        In Art. 55 („Zuständigkeit“) DSGVO heißt es:

„(1)      Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2)      Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3)      Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.“

10      Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) DSGVO bestimmt:

„(1)      Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2)      Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“

 Österreichisches Recht

11      Art. 53 des Bundes-Verfassungsgesetzes (BGBl. 1/1930) in der für den Sachverhalt des Ausgangsverfahrens maßgeblichen Fassung (im Folgenden: B-VG) sieht vor:

„(1)      Der Nationalrat [(Österreich)] kann durch Beschluss Untersuchungsausschüsse einsetzen. Darüber hinaus ist auf Verlangen eines Viertels seiner Mitglieder ein Untersuchungsausschuss einzusetzen.

(2)      Gegenstand der Untersuchung ist ein bestimmter abgeschlossener Vorgang im Bereich der Vollziehung des Bundes. Das schließt alle Tätigkeiten von Organen des Bundes, durch die der Bund, unabhängig von der Höhe der Beteiligung, wirtschaftliche Beteiligungs- und Aufsichtsrechte wahrnimmt, ein. Eine Überprüfung der Rechtsprechung ist ausgeschlossen.

(3)      Alle Organe des Bundes, der Länder, der Gemeinden und der Gemeindeverbände sowie der sonstigen Selbstverwaltungskörper haben einem Untersuchungsausschuss auf Verlangen im Umfang des Gegenstandes der Untersuchung ihre Akten und Unterlagen vorzulegen und dem Ersuchen eines Untersuchungsausschusses um Beweiserhebungen im Zusammenhang mit dem Gegenstand der Untersuchung Folge zu leisten. Dies gilt nicht für die Vorlage von Akten und Unterlagen, deren Bekanntwerden Quellen im Sinne des Art. 52a Abs. 2 gefährden würde.

(4)      Die Verpflichtung gemäß Abs. 3 besteht nicht, soweit die rechtmäßige Willensbildung der Bundesregierung oder von einzelnen ihrer Mitglieder oder ihre unmittelbare Vorbereitung beeinträchtigt wird.

…“

12      Das B-VG sieht die Trennung von Legislative, Exekutive und Judikative vor. Eine Durchbrechung dieses Gewaltenteilungsgrundsatzes bedarf einer verfassungsrechtlichen Grundlage.

13      § 1 Abs. 1 des Datenschutzgesetzes vom 17. August 1999 (BGBl. I 165/1999) in der für den Sachverhalt des Ausgangsverfahrens maßgeblichen Fassung (im Folgenden: DSG) bestimmt:

„Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.“

14      In § 18 Abs. 1 DSG heißt es:

„Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.“

15      § 24 Abs. 1 DSG lautet:

„Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.“

16      § 35 DSG sieht vor:

„(1)      Die Datenschutzbehörde ist nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen.

(2)      Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art. 30 Abs. 3 bis 6, 125, 134 Abs. 8 und 148h Abs. 1 und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten aus.“

 Ausgangsverfahren und Vorlagefragen

17      Durch Beschluss vom 20. April 2018 setzte der Nationalrat gemäß Art. 53 B‑VG einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Österreich) (im Folgenden: BVT) – seit 1. Dezember 2021 Direktion Staatsschutz und Nachrichtendienst (Österreich) – aufzuklären.

18      Am 19. September 2018 wurde WK von diesem Untersuchungsausschuss (im Folgenden: BVT‑Untersuchungsausschuss) medienöffentlich als Auskunftsperson befragt. Obwohl WK eine Anonymisierung beantragt hatte, wurde auf der Webseite des Österreichischen Parlaments das Protokoll seiner Befragung unter vollständiger Nennung seines Vor- und Familiennamens veröffentlicht.

19      Am 2. April 2019 erhob WK bei der Datenschutzbehörde eine Datenschutzbeschwerde, in der er geltend machte, dass die Veröffentlichung des Protokolls seiner Befragung unter Preisgabe seiner Identität gegen seinen Willen gegen die Bestimmungen der DSGVO sowie gegen § 1 DSG verstoße. Er stützte seine Beschwerde darauf, dass er als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig sei.

20      Mit Bescheid vom 18. September 2019 wies die Datenschutzbehörde diese Beschwerde zurück. Sie führte dazu aus, dass die DSGVO grundsätzlich einer Aufsicht der Aufsichtsbehörden über die Organe der Gesetzgebung zwar nicht entgegenstehe, dass aufgrund des Gewaltenteilungsgrundsatzes eine Kontrolle der Verwaltung über die Gesetzgebung aber ausgeschlossen sei. Vor diesem Hintergrund und aufgrund des Umstands, dass der BVT‑Untersuchungsausschuss der Gesetzgebung zuzurechnen sei, sei die Datenschutzbehörde als Organ der Verwaltung nicht befugt, die Tätigkeit dieses Ausschusses zu kontrollieren, und daher für eine Entscheidung über die Datenschutzbeschwerde von WK unzuständig.

21      Mit Erkenntnis vom 23. November 2020 gab das Bundesverwaltungsgericht (Österreich) der von WK erhobenen Beschwerde statt und hob den Bescheid der Datenschutzbehörde auf. Begründend führte es im Wesentlichen aus, dass die DSGVO für Akte der Gesetzgebung maßgeblich und damit auf die Tätigkeit des BVT‑Untersuchungsausschusses anwendbar sei. Der materielle Anwendungsbereich der DSGVO gemäß deren Art. 2 Abs. 1 sei nämlich umfassend konzipiert und beziehe sich auf alle Datenverarbeitungen, unabhängig davon, welches Organ die Verarbeitung vornehme und welcher Staatsfunktion das verarbeitende Organ zugeordnet sei. Im Übrigen könne Art. 2 Abs. 2 DSGVO auch keine Ausnahme bestimmter Staatsfunktionen, etwa der Gesetzgebung, von der Anwendbarkeit dieser Verordnung entnommen werden, da die in Buchst. a dieser Bestimmung vorgesehene Ausnahme restriktiv auszulegen sei. Folglich sei die Datenschutzbehörde gemäß Art. 77 DSGVO für die Entscheidung über die Beschwerde von WK zuständig.

22      Der von der Datenschutzbehörde im Wege einer Revision gegen das Erkenntnis des Bundesverwaltungsgerichts angerufene Verwaltungsgerichtshof (Österreich), das vorlegende Gericht in dieser Rechtssache, möchte als Erstes wissen, ob Akte eines Untersuchungsausschusses, der vom Parlament eines Mitgliedstaats eingesetzt wurde, unabhängig vom Untersuchungsgegenstand gemäß Art. 2 Abs. 2 Buchst. a DSGVO und Art. 16 Abs. 2 Satz 1 AEUV vom Anwendungsbereich der DSGVO ausgenommen sind, da es sich bei der Tätigkeit eines solchen Ausschusses naturgemäß um eine Tätigkeit handelt, die nicht in den Anwendungsbereich des Unionsrechts fällt.

23      In diesem Zusammenhang verweist das vorlegende Gericht zunächst darauf, dass es nach der hierzu ergangenen Rechtsprechung des Gerichtshofs, die insbesondere aus dem Urteil vom 9. Juli 2020, Land Hessen (C‑272/19, EU:C:2020:535), hervorgehe, für die Anwendbarkeit der DSGVO nicht erforderlich sei, dass die betroffene Verarbeitung personenbezogener Daten konkret zu Zwecken erfolge, die dem Unionsrecht unterlägen, grenzüberschreitend sei oder konkret den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtige. Die Anwendbarkeit der DSGVO sei vielmehr nur auszuschließen, wenn zumindest einer der Ausnahmetatbestände von Art. 2 Abs. 2 Buchst. a bis d DSGVO vorliege.

24      Es führt aus, dass Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung nach der Rechtsprechung des Gerichtshofs so zu verstehen sei, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollten, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit diene, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden könne, vorgenommen würden. Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten, auf die Art. 2 Abs. 2 Buchst. a DSGVO abstelle, umfassten insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezweckten (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 62 bis 67 und die dort angeführte Rechtsprechung).

25      In weiterer Folge nennt das vorlegende Gericht einige Unterschiede zwischen dem Petitionsausschuss des Hessischen Landtags (Land Hessen, Deutschland) – dem parlamentarischen Ausschuss, um den es in der dem Urteil vom 9. Juli 2020, Land Hessen (C‑272/19, EU:C:2020:535), zugrunde liegenden Rechtssache ging – und dem BVT‑Untersuchungsausschuss. Insbesondere trügen die Tätigkeiten des BVT‑Untersuchungsausschusses nicht bloß mittelbar zur parlamentarischen Tätigkeit bei, sondern gehörten aufgrund des Kontrollauftrags, den das B‑VG den vom Nationalrat eingesetzten Untersuchungsausschüssen übertrage, zum Kernbereich dieser Tätigkeit.

26      Schließlich verweist das vorlegende Gericht auf den Gewaltenteilungsgrundsatz in Bezug auf Legislative, Exekutive und Judikative, der sowohl dem Recht der einzelnen Mitgliedstaaten als auch dem Unionsrecht inhärent sei. Zwar nehme Art. 55 Abs. 3 DSGVO nur die Aufsicht über von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommene Verarbeitungen personenbezogener Daten von der Zuständigkeit der Aufsichtsbehörden aus und gehe nicht auf Datenverarbeitungen im Rahmen des Kernbereichs der parlamentarischen Tätigkeit ein. Dies könne aber auch darauf zurückzuführen sein, dass diese Tätigkeit in den Augen des Unionsgesetzgebers bereits nach Art. 2 Abs. 2 Buchst. a DSGVO von deren Anwendungsbereich ausgenommen sei.

27      Als Zweites weist das vorlegende Gericht darauf hin, dass der Untersuchungsgegenstand des BVT‑Untersuchungsausschusses die nationale Sicherheit betreffende Tätigkeiten umfasse, die im Hinblick auf den 16. Erwägungsgrund der DSGVO nicht in den Anwendungsbereich des Unionsrechts fielen und daher gemäß Art. 2 Abs. 2 Buchst. a DSGVO von ihrem sachlichen Anwendungsbereich ausgenommen seien.

28      Unter der Annahme, dass die parlamentarische Kontrolltätigkeit eines Untersuchungsausschusses im Sinne von Art. 16 Abs. 2 AEUV grundsätzlich in den Anwendungsbereich des Unionsrechts falle, sei somit zu prüfen, ob dessen Tätigkeiten zumindest vom Ausnahmetatbestand von Art. 2 Abs. 2 Buchst. a DSGVO umfasst seien, wenn berücksichtigt werde, dass der Untersuchungsgegenstand Tätigkeiten der Vollziehung betreffe, die wie im vorliegenden Fall nicht in den Anwendungsbereich des Unionsrechts fielen.

29      Als Drittes fragt sich das vorlegende Gericht, ob insbesondere in Anbetracht des verfassungsrechtlichen Gewaltenteilungsgrundsatzes in Österreich die Datenschutzbehörde – die einzige nationale Aufsichtsbehörde im Sinne von Art. 51 DSGVO – auf der Grundlage allein dieser Verordnung für die Entscheidung über eine Beschwerde wie die von WK erhobene zuständig sei, wenn es innerstaatlich keine verfassungsrechtliche Verankerung gebe, die die Begründung dieser Zuständigkeit ermögliche.

30      Vor diesem Hintergrund hat der Verwaltungsgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.      Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 Satz 1 AEUV, so dass die DSGVO auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaats anwendbar ist?

Falls Frage 1 bejaht wird:

2.      Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der DSGVO, zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO?

Falls Frage 2 verneint wird:

3.      Sofern – wie vorliegend – ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus der DSGVO?

 Zu den Vorlagefragen

 Zur ersten Frage

31      Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass eine Tätigkeit allein deshalb, weil es sich bei ihr um eine Tätigkeit eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses handelt, außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist.

32      Art. 16 AEUV, der die rechtliche Grundlage der DSGVO bildet, sieht in Abs. 2 vor, dass das Europäische Parlament und der Rat der Europäischen Union Vorschriften u. a. über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten erlassen, die in den Anwendungsbereich des Unionsrechts fallen.

33      Im Einklang mit dieser Bestimmung definiert Art. 2 Abs. 1 DSGVO den sachlichen Anwendungsbereich dieser Verordnung sehr weit (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 61). Er sieht nämlich vor, dass die Verordnung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, gilt.

34      Außerdem enthält Art. 2 Abs. 2 und 3 eine abschließende Aufzählung der Ausnahmen von der Regel in Abs. 1 dieser Bestimmung, in der der sachliche Anwendungsbereich der DSGVO definiert wird. Insbesondere stellt Art. 2 Abs. 2 Buchst. a DSGVO klar, dass diese Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten „im Rahmen einer Tätigkeit [findet], die nicht in den Anwendungsbereich des Unionsrechts fällt“.

35      Vor diesem Hintergrund möchte das vorlegende Gericht wissen, ob die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses jedenfalls und unabhängig vom Untersuchungsgegenstand unter den Ausnahmetatbestand dieser Bestimmung fällt.

36      Hierzu ist darauf hinzuweisen, dass die DSGVO vorbehaltlich der in ihrem Art. 2 Abs. 2 und 3 genannten Fälle sowohl für Verarbeitungen gilt, die von Privatpersonen vorgenommen werden, als auch für Verarbeitungen, die durch Behörden erfolgen (vgl. in diesem Sinne Urteil vom 24. März 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, Rn. 25).

37      Aus der Rechtsprechung des Gerichtshofs ergibt sich, dass die in Art. 2 Abs. 2 DSGVO vorgesehene Ausnahme eng auszulegen ist (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 62 und die dort angeführte Rechtsprechung). In diesem Zusammenhang hat der Gerichtshof bereits entschieden, dass mit Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung von deren Anwendungsbereich allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden, so dass der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nicht dafür ausreicht, dass diese Ausnahme automatisch für diese Tätigkeit gilt (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 66, und vom 20. Oktober 2022, Koalitsia „Demokratichna Bulgaria – Obedinenie“, C‑306/21, EU:C:2022:813, Rn. 39).

38      Diese Auslegung, die sich bereits daraus ergibt, dass Art. 2 Abs. 1 DSGVO nicht danach unterscheidet, wer Urheber der betreffenden Verarbeitung ist, wird durch ihren Art. 4 Nr. 7 bestätigt, der den Begriff „Verantwortlicher“ als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, definiert.

39      Bei der Auslegung ebendieser Bestimmung hat der Gerichtshof festgestellt, dass, soweit ein Petitionsausschuss eines Parlaments eines Gliedstaats eines Mitgliedstaats allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, er als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung fällt (Urteil vom 9. Juli 2020, Land Hessen, C‑272/19, EU:C:2020:535, Rn. 74).

40      Der Umstand, dass es sich, wie der Präsident des Nationalrates (Österreich) hervorhebt, im Unterschied zum Petitionsausschuss in der dem Urteil vom 9. Juli 2020, Land Hessen (C‑272/19, EU:C:2020:535), zugrunde liegenden Rechtssache, der nur mittelbar zur parlamentarischen Tätigkeit beitrug, beim BVT‑Untersuchungsausschuss um ein Organ handelt, das unmittelbar und ausschließlich parlamentarisch tätig ist, bedeutet nicht, dass die Tätigkeit dieses Untersuchungsausschusses vom Anwendungsbereich der DSGVO ausgenommen ist.

41      Wie im Wesentlichen vom Generalanwalt in Nr. 84 seiner Schlussanträge ausgeführt, bezieht sich die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme vom Anwendungsbereich dieser Verordnung ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) und – für den Fall, dass der Verantwortliche eine Behörde ist – auch nicht darauf, dass die Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen Befugnis zuzurechnen sind, wenn diese Befugnis nicht mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist.

42      Somit ermöglicht der Umstand, dass die Verarbeitung von personenbezogenen Daten durch einen vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss erfolgt, für sich genommen nicht den Schluss, dass diese Verarbeitung im Rahmen einer Tätigkeit stattfindet, die im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO nicht in den Anwendungsbereich des Unionsrechts fällt.

43      Nach alledem ist auf die erste Frage zu antworten, dass Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung der DSGVO entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.

 Zur zweiten Frage

44      Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung dahin auszulegen ist, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.

45      Wie in Rn. 37 des vorliegenden Urteils ausgeführt, ist Art. 2 Abs. 2 Buchst. a DSGVO eng auszulegen und soll allein Verarbeitungen personenbezogener Daten vom Anwendungsbereich dieser Verordnung ausnehmen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden.

46      Die im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 67, und vom 20. Oktober 2022, Koalitsia „Demokratichna Bulgaria – Obedinenie“, C‑306/21, EU:C:2022:813, Rn. 40).

47      Nach Art. 4 Abs. 2 EUV bleiben solche Tätigkeiten in der alleinigen Verantwortung der Mitgliedstaaten (vgl. in diesem Sinne Urteil vom 15. Juli 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, Rn. 36).

48      Im vorliegenden Fall ergibt sich aus der dem Gerichtshof vorliegenden Akte, dass der BVT‑Untersuchungsausschuss vom Nationalrat eingesetzt wurde, um eine mögliche politische Einflussnahme auf das BVT zu untersuchen, das während des im Ausgangsverfahren in Rede stehenden Zeitraums für Verfassungsschutz und Terrorismusbekämpfung zuständig war.

49      Der Präsident des Nationalrates und die tschechische Regierung vertreten im Wesentlichen die Ansicht, dass die Aufgaben des BVT, die „die nationale Sicherheit betreffende Tätigkeiten“ einschlossen, unter die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme fielen. Aber auch die Tätigkeiten eines Untersuchungsausschusses des Parlaments eines Mitgliedstaats, die in der Kontrolle staatlicher Organe bestünden, die wie das BVT für die Gewährleistung der nationalen Sicherheit zuständig seien, fielen unter den Begriff der die nationale Sicherheit betreffenden Tätigkeiten. Zweck der Kontrolltätigkeit eines solchen Untersuchungsausschusses sei es nämlich, zu prüfen, ob die kontrollierten Behörden die nationale Sicherheit ordnungsgemäß gewährleisteten.

50      Hierzu ist darauf hinzuweisen, dass es gemäß Art. 4 Abs. 2 EUV zwar Sache der Mitgliedstaaten ist, ihre wesentlichen Sicherheitsinteressen festzulegen und die geeigneten Maßnahmen zu ergreifen, um ihre innere und äußere Sicherheit zu gewährleisten, doch kann die bloße Tatsache, dass eine nationale Maßnahme zum Schutz der nationalen Sicherheit getroffen wurde, nicht dazu führen, dass das Unionsrecht unanwendbar ist und die Mitgliedstaaten von der erforderlichen Beachtung dieses Rechts entbunden werden (vgl. in diesem Sinne Urteil vom 15. Juli 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, Rn. 40 und die dort angeführte Rechtsprechung).

51      Wie bereits in Rn. 41 des vorliegenden Urteils ausgeführt, bezieht sich die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) und – für den Fall, dass der Verantwortliche eine Behörde ist – auch nicht darauf, dass Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen Befugnis zuzurechnen sind, wenn diese Befugnis nicht mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist. Insoweit reicht der Umstand, dass der Verantwortliche eine Behörde ist, deren Haupttätigkeit in der Gewährleistung der nationalen Sicherheit besteht, als solcher nicht aus, um Verarbeitungen personenbezogener Daten durch diese Behörde im Rahmen anderer von ihr durchgeführter Tätigkeiten vom Anwendungsbereich der DSGVO auszunehmen.

52      Im vorliegenden Fall ergibt sich aus der dem Gerichtshof vorliegenden Akte, dass der im Ausgangsverfahren in Rede stehende Untersuchungsausschuss eine politische Kontrolle der Tätigkeit des BVT zum Gegenstand hatte, da der Verdacht politischer Einflussnahme auf das BVT bestand; diese Kontrolle scheint im Sinne der oben in Rn. 45 wiedergegebenen Rechtsprechung jedoch als solche weder eine Tätigkeit darzustellen, die der Wahrung der nationalen Sicherheit dient, noch eine Tätigkeit, die derselben Kategorie zugeordnet werden kann. Daraus folgt, dass diese Tätigkeit vorbehaltlich einer Überprüfung durch das vorlegende Gericht nach Art. 2 Abs. 2 Buchst. a DSGVO nicht vom Anwendungsbereich dieser Verordnung ausgenommen ist.

53      Allerdings kann ein parlamentarischer Untersuchungsausschuss wie der im Ausgangsverfahren in Rede stehende im Rahmen seiner Tätigkeiten Zugang zu Informationen, insbesondere zu personenbezogenen Daten, haben, die aus Gründen der nationalen Sicherheit besonders zu schützen sind, indem z. B. die Informationen, die den betroffenen Personen zur Datenerfassung zur Verfügung gestellt werden, oder auch deren Zugang zu diesen Daten eingeschränkt werden.

54      In diesem Zusammenhang sieht Art. 23 DSGVO vor, dass die Pflichten und Rechte gemäß den Art. 5, 12 bis 22 und 34 DSGVO im Wege von Gesetzgebungsmaßnahmen beschränkt werden können, um u. a. die nationale Sicherheit oder eine Kontrollfunktion, die mit der Ausübung öffentlicher Gewalt – insbesondere im Rahmen der nationalen Sicherheit – verbunden ist, sicherzustellen.

55      So kann das Erfordernis der Gewährleistung der nationalen Sicherheit Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen rechtfertigen, insbesondere in Bezug auf die Erhebung personenbezogener Daten, die Unterrichtung der betroffenen Personen und ihren Zugang zu diesen Daten oder deren Offenlegung an andere Personen als den Verantwortlichen ohne Zustimmung der betroffenen Personen, soweit solche Beschränkungen den Wesensgehalt der Grundrechte und Grundfreiheiten der betroffenen Personen wahren und eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellen.

56      Im vorliegenden Fall ergibt sich aus der dem Gerichtshof vorliegenden Akte jedoch nicht, dass der BVT‑Untersuchungsausschuss dargetan hätte, dass die Offenlegung der personenbezogenen Daten von WK, die im Rahmen der Veröffentlichung des Protokolls seiner Befragung vor diesem Untersuchungsausschuss auf der Webseite des Österreichischen Parlaments und ohne Zustimmung von WK erfolgte, für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer dafür vorgesehenen nationalen Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des vorlegenden Gerichts, gegebenenfalls die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.

57      Nach alledem ist auf die zweite Frage zu antworten, dass Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung dahin auszulegen ist, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.

 Zur dritten Frage

58      Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 77 Abs. 1 und Art. 55 Abs. 1 DSGVO dahin auszulegen sind, dass diese Bestimmungen, wenn ein Mitgliedstaat, der im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung der DSGVO durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.

59      Für die Beantwortung dieser Frage ist darauf hinzuweisen, dass die Verordnung gemäß Art. 288 Abs. 2 AEUV in allen ihren Teilen verbindlich ist und in jedem Mitgliedstaat unmittelbar gilt.

60      Nach gefestigter Rechtsprechung haben Verordnungen nach dieser Bestimmung sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Urteil vom 15. Juni 2021, Facebook Ireland u. a., C‑645/19, EU:C:2021:483, Rn. 110 und die dort angeführte Rechtsprechung).

61      Zum einen hat nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Zum anderen ist nach Art. 55 Abs. 1 DSGVO jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

62      Aus dem Wortlaut dieser Bestimmungen ergibt sich, dass – wie im Wesentlichen vom Generalanwalt in Nr. 132 seiner Schlussanträge ausgeführt – für Art. 77 Abs. 1 und Art. 55 Abs. 1 DSGVO keine nationalen Durchführungsmaßnahmen erforderlich sind und sie hinreichend klar, genau und unbedingt sind, um unmittelbar anwendbar zu sein.

63      Daraus folgt, dass die DSGVO den Mitgliedstaaten gemäß ihrem Art. 51 Abs. 1 bei der Anzahl der einzurichtenden Aufsichtsbehörden einen Ermessensspielraum einräumt, im Gegenzug aber festlegt, welche Zuständigkeiten diesen Behörden unabhängig von ihrer Anzahl für die Überwachung der Anwendung der Verordnung einzuräumen sind.

64      Wie im Wesentlichen in Nr. 137 der Schlussanträge des Generalanwalts festgestellt, ist also in Fällen, in denen sich ein Mitgliedstaat für die Einrichtung einer einzigen Aufsichtsbehörde entscheidet, diese Behörde zwangsläufig mit allen Zuständigkeiten ausgestattet, die die DSGVO den Aufsichtsbehörden überträgt.

65      Jede andere Auslegung würde die praktische Wirksamkeit von Art. 55 Abs. 1 und Art. 77 Abs. 1 DSGVO in Frage stellen und könnte die praktische Wirksamkeit aller anderen Bestimmungen dieser Verordnung, die für eine Beschwerde von Bedeutung sein könnten, schwächen.

66      Im Übrigen hat der Unionsgesetzgeber in Fällen, in denen er die Zuständigkeit der Aufsichtsbehörden im Bereich der Aufsicht über die von Behörden vorgenommenen Verarbeitungen einschränken wollte, dies ausdrücklich getan. Dies zeigt sich am Beispiel von Art. 55 Abs. 3 DSGVO, nach dem diese Behörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig sind.

67      Die Datenschutzbehörde, der Präsident des Nationalrates und die österreichische Regierung weisen darauf hin, dass im Verfassungsrang stehende Bestimmungen des österreichischen Rechts jegliche Kontrolle der Legislative durch die Exekutive verböten. Aufgrund dieser Bestimmungen könne die Datenschutzbehörde, die der Exekutive zuzurechnen sei, nicht die Anwendung der DSGVO durch den BVT‑Untersuchungsausschuss überwachen, der ein Organ der Legislative sei.

68      Im vorliegenden Fall beschränkt sich Art. 51 Abs. 1 DSGVO jedoch gerade mit Blick auf die Achtung der verfassungsrechtlichen Struktur der Mitgliedstaaten darauf, ihnen die Einrichtung mindestens einer Aufsichtsbehörde aufzuerlegen, und stellt es ihnen frei, mehrere einzurichten. Der 117. Erwägungsgrund der DSGVO hält dazu im Übrigen fest, dass die Mitgliedstaaten mehr als eine Aufsichtsbehörde errichten können sollten, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.

69      Art. 51 Abs. 1 DSGVO räumt also jedem Mitgliedstaat einen Ermessensspielraum ein, der es ihm ermöglicht, so viele Aufsichtsbehörden einzurichten, wie insbesondere aufgrund seiner verfassungsmäßigen Struktur erforderlich sind.

70      Außerdem können die Einheit und die Wirksamkeit des Unionsrechts nicht dadurch beeinträchtigt werden, dass sich ein Mitgliedstaat auf Bestimmungen des nationalen Rechts beruft. Die Wirkungen des Grundsatzes des Vorrangs des Unionsrechts sind nämlich für alle Stellen eines Mitgliedstaats verbindlich, ohne dass dem insbesondere die innerstaatlichen Bestimmungen, auch wenn sie Verfassungsrang haben, entgegenstehen könnten (Urteil vom 22. Februar 2022, RS [Wirkung der Urteile eines Verfassungsgerichts], C‑430/21, EU:C:2022:99, Rn. 51 und die dort angeführte Rechtsprechung).

71      Sofern sich ein Mitgliedstaat im Rahmen seines Ermessensspielraums für die Einrichtung einer einzigen Aufsichtsbehörde entschieden hat, kann er sich nicht auf Bestimmungen des nationalen Rechts berufen – auch wenn sie Verfassungsrang haben –, um Verarbeitungen personenbezogener Daten, die in den Anwendungsbereich der DSGVO fallen, der Überwachung durch diese Behörde zu entziehen.

72      Nach alledem ist auf die dritte Frage zu antworten, dass Art. 77 Abs. 1 und Art. 55 Abs. 1 DSGVO dahin auszulegen sind, dass diese Bestimmungen, wenn ein Mitgliedstaat, der im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.

 Kosten

73      Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

1.      Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.

2.      Art. 2 Abs. 2 Buchst. a der Verordnung 2016/679 im Licht des 16. Erwägungsgrundes dieser Verordnung

ist dahin auszulegen, dass

die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.

3.      Art. 77 Abs. 1 und Art. 55 Abs. 1 der Verordnung 2016/679

sind dahin auszulegen, dass

diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.

Lenaerts

Bay Larsen

Jürimäe

Lycourgos

Regan

Piçarra

Ilešič

Xuereb

Rossi

Jarukaitis

Kumin

Jääskinen

Wahl

Ziemele

Passer

Verkündet in öffentlicher Sitzung in Luxemburg am 16. Januar 2024.

Der Kanzler

 

Der Präsident

A. Calot Escobar

 

K. Lenaerts

*      Verfahrenssprache: Deutsch.