Parlamentarischer Datenschutz – eine Frage der Gewaltenteilung?
Die Frage, ob das Datenschutzrecht auch auf Parlamente, Abgeordnete und Fraktionen Anwendung findet, ist derzeit Gegenstand der Diskussion. Die DS-GVO tangiert durch ihre Regulierung grundlegende verfassungsrechtliche Gewährleistungen der Beteiligten im parlamentarischen Kernbereich, so dass sich die Frage stellt, wie weit der europäische Gesetzgeber diese Kernbereiche eigentlich regulieren darf. Es stellen sich hierbei wesentliche Fragen hinsichtlich der Integrationsfestigkeit des Grundgesetzes und der Reichweite des Anwendungsbereichs des Unionsrechts. Der EuGH stellte in der Rs. Land Hessen fest, dass die DS-GVO auch auf den Petitionsausschuss Anwendung findet. Jetzt legt der Verwaltungsgerichtshof in Österreich dem EuGH die Frage vor, ob im Rahmen der Aufsicht über den parlamentarischen Untersuchungsausschuss auf die Zuständigkeitsregelungen der DS-GVO zurückgegriffen werden kann, obwohl dies nach nationalem Verfassungsrecht gegen den Grundsatz der Gewaltenteilung verstößt. Der Beitrag beleuchtet anhand der Vorlagefragen aus Österreich die Gemengelage und wagt einen Ausblick auf mögliche Lösungsansätze.
I. DS-GVO und der parlamentarische Datenschutz
Die DS-GVO knüpft hinsichtlich ihres Anwendungsbereichs formal an die Verarbeitung personenbezogener Daten an. Sie schafft damit eine Regulierung, durch die Datenverarbeitungen im Zuge parlamentarischer Kerntätigkeiten unionsrechtlich determiniert werden. Es stellt sich die Frage, ob die DS-GVO auch im parlamentarischen Kernbereich Anwendung finden kann und inwieweit dies unionsrechtlich begründbar ist.
II. Rechtsprechung des EuGH und Vorlagefragen aus Österreich
Der EuGH hat in der Rs. Land Hessen entschieden, dass die DS-GVO auf einen Petitionsausschuss Anwendung findet. Die Entscheidung des EuGH wurde – insbesondere mit Blick auf die Anwendbarkeit der DS-GVO auf parlamentarische Kerntätigkeiten – kritisch aufgenommen. Die Diskussion und nun eingereichte Vorlagefragen aus Österreich zeigen, dass die Frage nach der Anwendbarkeit der DS-GVO auf Parlamente und Co. – trotz der Entscheidung des EuGH – weiterhin eine offene Rechtsfrage ist.
Der Verwaltungsgerichtshof in Österreich hat sich kürzlich mit grundlegenden Fragen der Anwendbarkeit der DS-GVO auf parlamentarische Tätigkeiten beschäftigt und dem EuGH folgende Fragen zur Entscheidung vorgelegt: Der Verwaltungsgerichtshof möchte vom EuGH wissen, ob im Gegensatz zum Petitionsausschuss auch der Kernbereich parlamentarischer Tätigkeiten, wie etwa Vorgänge der Gesetzgebung bzw. der parlamentarischen Kontrolle, vom sachlichen Anwendungsbereich der DS-GVO nach Art. 2 Abs. 1 DS-GVO umfasst sind. Zum anderen möchte der Verwaltungsgerichtshof durch den EuGH die Reichweite und das Verständnis von Erwägungsgrund 16 klären lassen, der anknüpfend an Art. 2 Abs. 2 lit. a) DS-GVO bei Fragen der nationalen Sicherheit Ausnahmen vom Anwendungsbereich der DS-GVO zulässt. Insbesondere legt der Verwaltungsgerichtshof dem EuGH die Frage vor, ob der Erwägungsgrund einschlägig sein kann, wenn Gegenstand eines parlamentarischen Untersuchungsausschusses der Verdacht der Einflussnahme des Innenministeriums auf die Tätigkeiten des Verfassungsschutzes ist.
Des Weiteren fragt der Verwaltungsgerichtshof, ob die Datenschutzaufsicht, die eine Beschwerde wegen einer vermeintlich unrechtmäßigen Verarbeitung personenbezogener Daten durch den parlamentarischen Untersuchungsausschuss unter Verweis auf die Gewaltenteilung wegen Unzuständigkeit zurückgewiesen hat, unter Rückgriff auf die Vorschriften der DS-GVO zuständig sein kann.
III. Reichweite des Anwendungsbereichs des Unionsrechts
Anknüpfend an die Vorlagefragen aus Österreich und die gegenwärtige Diskussion ist daher die Anwendbarkeit der DS-GVO auf parlamentarische Kerntätigkeiten zu klären.
1. Grundsatz nach Art. 2 Abs. 1 DS-GVO
Im Grundsatz gilt die DS-GVO nach Art. 2 Abs. 1 DS-GVO für die Verarbeitung personenbezogener Daten. Derartige Datenverarbeitungen sind im Rahmen parlamentarischer Kerntätigkeiten vielfältig denkbar und können etwa im Rahmen des Gesetzgebungsverfahrens, bei wissenschaftlichen Ausarbeitungen, aber auch bei mandatsbezogenen Kerntätigkeiten erfolgen. Grundsätzlich unterliegen diese Datenverarbeitungen nach Art. 2 Abs. 1 DS-GVO der DS-GVO, sofern keine der Ausnahmen nach Art. 2 Abs. 2 DS-GVO einschlägig ist.
2. Ausnahme vom Anwendungsbereich nach Art. 2 Abs. 2 lit. a) DS-GVO
Von besonderer Bedeutung ist die Bereichsausnahme nach Art. 2 Abs. 2 lit. a) DS-GVO. Danach findet die DS-GVO keine Anwendung auf die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Entscheidend ist, wie der Anwendungsbereich des Unionsrechts zu bestimmen ist.
Begriffe des Unionsrechts sind autonom und aus sich heraus, also unionsrechtlich aufgrund der Unionsvorschriften, auszulegen. Der Anwendungsbereich des Unionsrechts ist daher anhand des Unionsrechts selbst zu bestimmen. Hierbei ist zu beachten, dass die Kompetenzen der EU nach Art. 4 Abs. 1 EUV auf einer Übertragung mitgliedstaatlicher Hoheitsrechte fußen, so dass sie gleichsam den Anwendungsbereich nur im Rahmen dieser Kompetenzzuweisung bestimmen kann. Bei der Ausübung ihrer Kompetenzen hat die EU zudem nach Art. 4 Abs. 2 EUV die nationale Identität sowie die grundlegenden verfassungsmäßigen Strukturen der Mitgliedstaaten zu achten.
Art. 2 Abs. 2 lit. a) DS-GVO knüpft an Art. 16 Abs. 2 AEUV an, trifft allerdings selbst keine nähere Aussage zum Anwendungsbereich des Unionsrechts. Zwar ergänzt Erwägungsgrund 16 S. 1 der DS-GVO beispielhaft Art. 2 Abs. 2 lit. a) DS-GVO. Danach liegen Tätigkeiten im Rahmen der nationalen Sicherheit außerhalb des Anwendungsbereichs der DS-GVO. Datenverarbeitungen im parlamentarischen Kontext berühren allerdings i.d.R. keine Fragen der nationalen Sicherheit, so dass Erwägungsgrund 16 keine generelle Ausnahme von der DS-GVO für Parlamente und weitere Beteiligte begründen kann.
Der Verwaltungsgerichtshof zieht allerdings eine Subsumtion unter Erwägungsgrund 16 für Tätigkeiten des parlamentarischen Untersuchungsausschusses in Betracht, wenn Untersuchungsgegenstand der „Verdacht der abgestimmten Einflussnahme durch Bedienstete des BMI auf die Aufgabenerfüllung des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung“ ist und legt diese Frage dem EuGH zur Klärung vor.
a) Art. 3 Abs. 2 RL 95/46/EG (DS-RL)
Ein Blick auf Art. 3 Abs. 2 RL 95/46/EG (DS-RL) als Vorgängerregelung zu Art. 2 Abs. 2 lit. a) DS-GVO zeigt, dass die DS-RL keine Anwendung auf Tätigkeiten fand, die die öffentliche Sicherheit, die Landesverteidigung oder die Sicherheit des Staates betreffen oder im strafrechtlichen Bereich erfolgen. Der EuGH hat hierzu klargestellt, dass diese Aufzählung von Ausnahmen beispielhaft zu verstehen ist und dazu dient, den Anwendungsbereich des Ausnahmetatbestands festzulegen und diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder aber derselben Kategorie zugeordnet werden können. Diese Rechtsauffassung hat der EuGH später bekräftigt und betont, dass Art. 2 Abs. 2 lit. a) DS-GVO ebenso wie bereits Art. 3 Abs. 2 RL 95/46/EG eng auszulegen ist.
Im Umkehrschluss folgt daraus, dass der Anwendungsbereich der DS-GVO weit zu verstehen ist. Der EuGH stellt hinsichtlich der Frage einer Bereichsausnahme im Rahmen von Art. 2 Abs. 2 DS-GVO darauf ab, ob die Tätigkeit, für die die Ausnahme gilt bzw. gelten soll entweder ausdrücklich im Ausnahmetatbestand genannt ist oder derselben Kategorie zugeordnet werden kann wie den Fällen des Art. 2 Abs. 2 DS-GVO.
Mangels ausdrücklicher Nennung parlamentarischer Kerntätigkeiten in Art. 2 Abs. 2 DS-GVO kann Anknüpfungspunkt für eine Bereichsausnahme für Datenverarbeitungen im parlamentarischen Kontext daher sein, ob diese derselben Kategorie wie ein Regelbeispiel i.S.v. Art. 2 Abs. 2 lit. a) DS-GVO zugeordnet werden können. Der EuGH hat mit Blick auf den Petitionsausschuss in der Rs. Land Hessen lediglich entschieden, dass dessen Tätigkeiten im konkreten Fall behördlicher Art und insofern keine spezifischen seien, die eine Einschlägigkeit des Ausnahmetatbestands begründen. Insofern hat der EuGH letztlich offengelassen, ob bei unmittelbar parlamentarischen (Kern-)Tätigkeiten eine Ausnahme von der DS-GVO in Betracht kommt.
Zwar ist für Datenverarbeitungen im parlamentarischen Kernbereich keine der genannten Regelbeispiele als Ausnahmetatbestand dem Wortlaut nach eindeutig einschlägig, allerdings könnten sie derselben Kategorie wie einer der in Art. 2 Abs. 2 DS-GVO genannten Kategorien zugeordnet werden, zumindest dann, wenn die Datenverarbeitung Ausprägung besonderer Garantien der Beteiligten ist, die als solche einer Anwendbarkeit der DS-GVO bzw. des Unionsrechts entgegenstehen.
b) Art. 4 Abs. 1, 2 EUV und Art. 23 GG DS-GVO
Der Verwaltungsgerichtshof nimmt an, dass „die Grundlagen parlamentarischer Tätigkeiten sich allein aus den jeweiligen nationalen Regelungen ergeben“. Dies wird auch vom Unionsrecht respektiert, da nach Art. 4 Abs. 2 EUV die Union die nationale Identität achtet, die in ihren grundlegenden politischen und verfassungsgemäßen Strukturen zum Ausdruck kommt.
Führt man diesen gedanklichen Impuls fort, so könnte bereits im Ansatzpunkt eine Übertragung entsprechender Hoheitsrechte der Mitgliedstaaten an die EU im Rahmen von Art. 23 GG, Art. 4 Abs. 1 EUV an der Integrationsfestigkeit verfassungsrechtlicher Gewährleistungen scheitern, zumindest aber aus Art. 4 Abs. 2 EUV eine Achtungspflicht der Union mit Blick auf die Regulierung im parlamentarischen Kernbereich begründet werden. Die nationale Identität und verfassungsmäßigen Strukturen eines Mitgliedstaats sind unionsrechtliche Begriffe, so dass Art. 4 EUV sowie auch die Rechtsprechung des EuGH zur Auslegung herangezogen werden kann. Ihr Gehalt lässt sich aufgrund des Verweises des Unionsrechts aber auch aus dem jeweiligen Verfassungsrecht des Mitgliedstaates ableiten, soweit das daraus folgende Begriffsverständnis auch in Art. 4 Abs. 2 EUV bzw. im Unionsrecht abgebildet wird.
Fraglich ist daher, ob in diesem Sinne eine Bereichsausnahme für Datenverarbeitungen im parlamentarischen Kernbereich als Teil der verfassungsmäßigen Strukturen und der nationalen Identität der Mitgliedstaaten begründet werden kann. Infolge einer Anwendbarkeit der DS-GVO auf parlamentarische Kerntätigkeiten wäre die Legislative letztlich der Datenschutzaufsicht im Sinne einer Fremdkontrolle durch die Exekutive unterworfen. Dies wirft verfassungsrechtliche Fragen auf, insbesondere in Bezug auf die Gewaltenteilung sowie die verfassungsrechtliche Autonomie des Parlaments und seiner Mitglieder. Die Gewaltenteilung ist nicht nur in Art. 20 Abs. 2 GG verankert, sondern auch unionsrechtlich durch die Art. 13 ff. EUV gewährleistet. Diese Prinzipien müssten bei der Auslegung des Anwendungsbereichs des Unionsrechts berücksichtigt werden.
Mit der Frage der Vereinbarkeit der Anwendbarkeit der DS-GVO mit der Gewaltenteilung im parlamentarischen Kernbereich hat sich nun auch der Verwaltungsgerichtshof in Österreich auseinandergesetzt. Während die Datenschutzbehörde in Österreich davon ausgeht, dass die DS-GVO zwar die Aufsicht über Organe der Gesetzgebung nicht ausschließe, so sei jedoch nach der europäischen Rechtsordnung der Grundsatz der Gewaltenteilung zu beachten, was eine Zuständigkeit der Aufsicht über die Legislative und deren Organe, konkret den parlamentarischen Untersuchungsausschuss, ausschließe. Der Verwaltungsgerichtshof führt hierzu aus, dass im Falle einer Anwendbarkeit der DS-GVO die Zuständigkeit der Datenschutzaufsicht über parlamentarische Kerntätigkeiten eine verfassungsrechtliche Grundlage erfordert, an der es jedoch derzeit fehlt. Das Gericht geht gleichwohl davon aus, dass die Geltung des Unionsrechts nicht durch mitgliedstaatliches (Verfassungs-)Recht derogiert werden kann, und fragt daher den EuGH, ob die Zuständigkeit der Datenschutzaufsicht daher unmittelbar aus der DS-GVO (Art. 77 Abs. 1 i.V.m. Art. 55 Abs. 1 DS-GVO) abgeleitet werden kann. Zugespitzt formuliert fordert damit der Verwaltungsgerichtshof letztlich den EuGH zur Klärung der Grundsatzfrage auf, ob die Anwendbarkeit der DS-GVO auch dann noch begründbar ist, wenn dies einen nationalen Verfassungsverstoß bedeuten würde oder zumindest eine verfassungsrechtliche Grundlage für die Kontrolle der Legislative durch die Exekutive fehlt.
Der Verwaltungsgerichtshof stellt Überlegungen an, die Einschränkung nach Art. 55 Abs. 3 DS-GVO auf den justiziellen Bereich dahingehend zu verstehen, „dass die parlamentarische Tätigkeit im Kernbereich bereits gemäß Art. 2 Abs. 2 (…) [lit.] a) (…) [DS-GVO] von einer Anwendbarkeit der Datenschutz-Grundverordnung ausgenommen ist, ansonsten der Gewaltenteilungsgrundsatz in Art. 55 Abs. 3 (…) [DS-GVO] auch in Bezug auf die parlamentarische Tätigkeit berücksichtigt worden wäre“.
Eine Fremdkontrolle der Legislative durch die Datenschutzaufsicht wirft die Frage nach der Wahrung der Gewaltenteilung auf. Es sprechen gewichtige Gründe dafür, legislative und mandatsbezogene Kerntätigkeiten einschließlich ihrer besonderen verfassungsrechtlichen Garantien sowie die Gewaltenteilung in dieser Hinsicht als integrationsfesten Bestandteil der verfassungsmäßigen Strukturen anzusehen, die die EU nach Art. 4 Abs. 2 EUV zu achten hat oder aber deren europäische Regulierung bereits durch Art. 23 GG, Art. 4 Abs. 1 EUV begrenzt ist.
IV. Ausblick und Lösungsvorschläge
Es ist eine verfassungs- und europarechtliche Grenzfrage, die DS-GVO im parlamentarischen Kernbereich für anwendbar zu klären oder aber Bereichsausnahmen zu etablieren. Bisher hat der EuGH ein weites Begriffsverständnis der DS-GVO bekräftigt, behält er dies auch im Hinblick auf die Vorlagefragen aus Österreich bei, so stellen sich diffizile Fragen im Hinblick auf die Wahrung der Gewaltenteilung. Im Falle einer Ausnahme von der DS-GVO im parlamentarischen Kernbereich wären betroffene Personen und ihr Recht auf informationelle Selbstbestimmung bzw. Recht auf Schutz personenbezogener Daten nicht schutzlos gestellt. Es bestehen bereits Regelungsvorschläge zum Erlass spezifischer Datenschutzordnungen und der Einrichtung einer Datenschutzaufsichtskommission als spezifisches Kontrollgremium des Bundestages, um das Datenschutzniveau auch im Rahmen des parlamentarischen Kernbereichs im Sinne des unionsrechtlichen Schutzniveaus zu sichern, gleichsam aber die Grenzen mitgliedstaatlicher Verfassungen zu achten. Eine derartige Regulierung, die an die Selbstkontrolle der Legislative entsprechend den Art. 40 ff. GG anknüpft, wäre ein zielführender Weg, um das Datenschutzniveau der DS-GVO zu erhalten, aber die Regulierung unter Berücksichtigung verfassungs- und unionsrechtlicher Anforderungen differenziert auszugestalten.