TE Vwgh Beschluss 2021/12/14 Ro 2021/04/0006

Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Handstanger, Hofrat Dr. Mayr, Hofrätin Mag. Hainz-Sator und die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Schara, über die Revision der Datenschutzbehörde gegen das Erkenntnis des Bundesverwaltungsgerichts vom 23. November 2020, Zl. W211 2227144-1/3E, betreffend Zurückweisung einer Datenschutzbeschwerde (mitbeteiligte Parteien: 1. W K in W vertreten durch MMag. Michael Sommer, Rechtsanwalt in 9020 Klagenfurt, Völkermarkter Ring 1; 2. Präsident des Nationalrates, 1017 Wien, Dr. Karl Renner-Ring 3), den Beschluss gefasst:

Dem Gerichtshof der Europäischen Union (EuGH) werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 erster Satz AEUV, sodass die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaates anwendbar ist?

Falls Frage 1 bejaht wird:

2. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten im Sinne des 16. Erwägungsgrundes der Datenschutz-Grundverordnung zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO?

Falls Frage 2 verneint wird:

3. Sofern - wie vorliegend - ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus der Datenschutz-Grundverordnung?

Sachverhalt und Ausgangsverfahren

1        Mit Beschluss vom 20. April 2018 setzte der Nationalrat gemäß Art. 53 Abs. 1 Bundes-Verfassungsgesetz (B-VG) den Untersuchungsausschuss über die politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT-Untersuchungsausschuss) ein.

2        Unstrittig ist, dass der Erstmitbeteiligte am 19. September 2018 als Auskunftsperson vom BVT-Untersuchungsausschuss medienöffentlich befragt wurde und das wörtliche Protokoll dieser Befragung auf der Website des österreichischen Parlaments unter vollständiger Nennung des Vor- und Familiennamens des Erstmitbeteiligten veröffentlicht wurde.

3        Der Erstmitbeteiligte erhob am 2. April 2019 bei der Datenschutzbehörde eine Datenschutzbeschwerde gemäß § 24 Abs. 1 Datenschutzgesetz (DSG). Darin beantragte er die Feststellung, dass die Veröffentlichung des Protokolls seiner Vernehmung unter vollständiger Nennung seines Namens gegen die Datenschutz-Grundverordnung (DSGVO) wie auch gegen § 1 DSG verstoße.

4        Der Erstmitbeteiligte brachte im Wesentlichen vor, er sei bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität als verdeckter Ermittler tätig. Durch die entgegen seinem Verlangen gegenüber dem BVT-Untersuchungsausschuss vollständige Nennung seines Vor- und Familiennamens im veröffentlichten Protokoll seiner Einvernahme sei er in seinem Grundrecht auf Datenschutz nach § 1 Abs. 1 DSG sowie im Recht auf Löschung unzulässig verarbeiteter Daten nach § 1 Abs. 3 Z 2 DSG verletzt worden.

5        Mit Bescheid vom 18. September 2019 wies die Datenschutzbehörde die Datenschutzbeschwerde des Erstmitbeteiligten „gegen das Österreichische Parlament, Untersuchungsausschuss des Nationalrates (Beschwerdegegner)“ zurück.

6        Begründend führte die Datenschutzbehörde aus, dass die Datenschutz-Grundverordnung grundsätzlich die Aufsicht der Datenschutz-Aufsichtsbehörden über Organe der Gesetzgebung - anders als über Gerichte im Rahmen der justiziellen Tätigkeit (Art. 55 Abs. 3 DSGVO) - nicht verneine. Der europäischen Rechtsordnung sei jedoch die Trennung der Staatsgewalten inhärent. Eine Kontrolle der Verwaltung über die Gesetzgebung sei ausgeschlossen. Der BVT-Untersuchungsausschuss sei ein Organ, das der Gesetzgebung zuzurechnen sei. Da die vom Erstmitbeteiligten angeführten Protokolle einem Organ der Gesetzgebung im (verfassungs-)gesetzlich übertragenen Wirkungsbereich zuzurechnen seien, sei die Datenschutzbeschwerde wegen Unzuständigkeit zurückzuweisen.

7        Gegen diesen Bescheid erhob der Erstmitbeteiligte Beschwerde an das Bundesverwaltungsgericht (Verwaltungsgericht).

8        Mit dem beim Verwaltungsgerichtshof angefochtenen Erkenntnis gab das Verwaltungsgericht der Beschwerde statt, hob den Bescheid der Datenschutzbehörde vom 18. September 2019 auf und sprach aus, dass die Revision an den Verwaltungsgerichtshof gemäß Art. 133 Abs. 4 B-VG zulässig sei.

9        Begründend führte das Verwaltungsgericht im Wesentlichen aus, weder die Bestimmung des Art. 2 Abs. 1 DSGVO über den sachlichen Anwendungsbereich der Verordnung noch die in Art. 2 Abs. 2 DSGVO normierten Ausnahmen von deren Anwendbarkeit stellten darauf ab, welcher Staatsfunktion ein verarbeitendes Organ zuzuordnen sei. Eine Ausnahme von der Anwendbarkeit der Bestimmungen der Datenschutz-Grundverordnung in Bezug auf eine bestimmte Staatsfunktion sei der Verordnung nicht zu entnehmen. Dies lasse auf eine vollumfängliche Anwendbarkeit der materiellen Bestimmungen der Datenschutz-Grundverordnung auf die Gesetzgebung schließen. Neben dem Unionsrecht enthalte auch die nationale Rechtsordnung keine Vorschriften, die die Tätigkeit von Untersuchungsausschüssen, die der gesetzgeberischen Gewalt zuzuordnen seien, vom Anwendungsbereich der Datenschutz-Grundverordnung ausdrücklich ausnehmen würden. Im Ergebnis sei davon auszugehen, dass die materiellen Vorschriften der Datenschutz-Grundverordnung und des Datenschutzgesetzes auch für Akte maßgeblich seien, die der Staatsfunktion Gesetzgebung zuzurechnen seien.

Die Kontrollbefugnis der Datenschutzbehörde als Datenschutz-Aufsichtsbehörde sei in der Datenschutz-Grundverordnung grundsätzlich umfassend angelegt. Weder Art. 55 noch Art. 77 DSGVO schlössen eine Zuständigkeit der Datenschutzbehörde für datenschutzrechtliche Vorgänge im Rahmen der Gesetzgebung aus.

Die Ausnahmeregelung des Art. 55 Abs. 3 DSGVO für den Bereich justizieller Tätigkeiten der Gerichte sei einer Verallgemeinerung nicht zugänglich. Es sei deshalb von einer uneingeschränkten Zuständigkeit der Datenschutz-Aufsichtsbehörden für alle anderen Einrichtungen, die mit Unabhängigkeit ausgestattet seien, auszugehen. Es sei daher auch deren Zuständigkeit für parlamentarische Untersuchungsausschüsse zu bejahen. Zusammengefasst stehe dem Argument der Trennung der Staatsgewalten entgegen, dass weder die Datenschutz-Grundverordnung noch das Datenschutzgesetz eine Ausnahme von der Zuständigkeit der Datenschutzbehörde für die Kontrolle der datenschutzrechtlichen Konformität der Verarbeitung von personenbezogenen Daten im Bereich der Gesetzgebung kenne. Vielmehr sehe die Datenschutz-Grundverordnung in Art. 77 einen effektiven Rechtsschutz im Anwendungsbereich der Verordnung vor, womit jedem Betroffenen ermöglicht werden solle, sich gegen Verletzungen von ihm in der Verordnung zugestandener Rechte zur Wehr zu setzen.

Da die Datenschutzbehörde entgegen der angefochtenen Entscheidung für die vorliegende Datenschutzbeschwerde zuständig sei, sei der angefochtene Bescheid zu beheben.

10       Gegen dieses Erkenntnis richtet sich die vorliegende Revision der Datenschutzbehörde. Der Erstmitbeteiligte beantragte in seiner Revisionsbeantwortung, der Revision keine Folge zu geben. Der Zweitmitbeteiligte hingegen beantragte in seiner Revisionsbeantwortung, der Revision Folge zu geben und das angefochtene Erkenntnis aufzuheben.

Die maßgeblichen Bestimmungen des Unionsrechts

11       Der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) lautet auszugsweise:

„TITEL I

ARTEN UND BEREICHE DER ZUSTÄNDIGKEIT DER UNION

...

Artikel 16

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht.

...“

12       Art. 3 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31), die durch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) aufgehoben wurde, lautete auszugsweise:

„Artikel 3

Anwendungsbereich

(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

-    die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

...“

13       Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) samt Erwägungsgründen lautet auszugsweise:

„...

(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

...

(20) Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten.

...

Artikel 2

Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a)   im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b)   durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c)   durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d)   durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

...

Artikel 23

Beschränkungen

(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a)   die nationale Sicherheit;

b)   die Landesverteidigung;

c)   die öffentliche Sicherheit;

d)   die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e)   den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f)   den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

g)   die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;

h)   Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

i)   den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

j)   die Durchsetzung zivilrechtlicher Ansprüche.

...

Artikel 51

Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).

...

Artikel 55

Zuständigkeit

(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

...

Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

...“

Die maßgeblichen Bestimmungen des nationalen Rechts

14       Art. 24 und Art. 56 Abs. 1 Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930 in der Fassung BGBl. I Nr. 100/2003, sowie Art. 53 Abs. 1 und Art. 138b Abs. 1 Z 7 B-VG, BGBl. Nr. 1/1930 in der Fassung BGBl. I Nr. 101/2014, lauten:

„Artikel 24. Die Gesetzgebung des Bundes übt der Nationalrat gemeinsam mit dem Bundesrat aus.

...

Artikel 53. (1) Der Nationalrat kann durch Beschluss Untersuchungsausschüsse einsetzen. Darüber hinaus ist auf Verlangen eines Viertels seiner Mitglieder einen Untersuchungsausschuss einzusetzen.

...

Artikel 56. (1) Die Mitglieder des Nationalrates und die Mitglieder des Bundesrates sind bei der Ausübung dieses Berufes an keinen Auftrag gebunden.

...

Artikel 138b. (1) Der Verfassungsgerichtshof erkennt über

...

7.   Beschwerden einer Person, die durch ein Verhalten

a)   eines Untersuchungsausschusses des Nationalrates,

b)   eines Mitgliedes eines solchen Ausschusses in Ausübung seines Berufes als Mitglied des Nationalrates oder

c)   gesetzlich zu bestimmender Personen in Ausübung ihrer Funktion im Verfahren vor dem Untersuchungsausschuss

in ihren Persönlichkeitsrechten verletzt zu sein behauptet.“

15       § 1 Abs. 1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 51/2012, § 4 Abs. 1 DSG in der Fassung BGBl. I Nr. 14/2019, § 18 Abs. 1 und § 24 Abs. 1 DSG jeweils in der Fassung BGBl. I Nr. 120/2017 lauten:

„Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

...

Artikel 2

1. Hauptstück

Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen

Anwendungsbereich und Durchführungsbestimmung

§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.

...

Datenschutzbehörde

Einrichtung

§ 18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.

...

Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.“

16       Zur Vorlageberechtigung

17       Der Verwaltungsgerichtshof ist ein Gericht im Sinne des Art. 267 AEUV, dessen Entscheidungen selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können.

18       Der Verwaltungsgerichtshof vertritt die Auffassung, dass sich bei der Entscheidung der von ihm zu beurteilenden Revisionssache die im gegenständlichen Ersuchen um Vorabentscheidung angeführten und im Folgenden näher erläuterten Fragen der Auslegung des Unionsrechts stellen.

Erläuterungen zu den Vorlagefragen

Zur ersten Frage

19       Vorliegend erachtet sich der Erstmitbeteiligte durch die Veröffentlichung des Protokolls seiner Einvernahme vor dem BVT-Untersuchungsausschuss als Auskunftsperson auf der Website des österreichischen Parlaments unter Nennung seines vollständigen Namens in seinem Recht auf Geheimhaltung bzw. seinem Grundrecht auf Schutz personenbezogener Daten im Sinne des Art. 8 GRC verletzt. Eine solche Veröffentlichung stellt an sich eine „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Z 2 DSGVO dar. Fraglich ist, ob die vorliegende Verarbeitung personenbezogener Daten nach Art. 2 Abs. 2 Buchst. a DSGVO vom Anwendungsbereich des Art. 2 Abs. 1 DSGVO ausgenommen ist.

20       Das Verwaltungsgericht geht von der Anwendbarkeit der Datenschutz-Grundverordnung auf Akte der Gesetzgebung, wie solche von parlamentarischen Untersuchungsausschüssen, aus. Es begründet dies im Wesentlichen damit, dass der materielle Anwendungsbereich in Art. 2 Abs. 1 DSGVO umfassend konzipiert sei und sich auf alle Datenverarbeitungen beziehe, unabhängig davon, wer die Verarbeitung vornehme und welcher Staatsfunktion ein verarbeitendes Organ zugeordnet sei. Eine Ausnahme bestimmter Staatsfunktionen, insbesondere der Gesetzgebung, von der Anwendbarkeit der Datenschutz-Grundverordnung sei Art. 2 Abs. 2 DSGVO nicht zu entnehmen. Der Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO sei sehr restriktiv auszulegen und erfasse nur die nationale Sicherheit.

21       Die Datenschutzbehörde verweist auf das Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, bestreitet jedoch ihre Zuständigkeit unter Verweis auf den Gewaltenteilungsgrundsatz, der einer Kontrolle der Gesetzgebung durch Organe der Vollziehung entgegenstehe.

22       Der Erstmitbeteiligte geht - wie das Verwaltungsgericht - von der Anwendbarkeit der Datenschutz-Grundverordnung auf die Gesetzgebung aus. Der Zweitmitbeteiligte hingegen verneint nicht nur die Anwendbarkeit der Datenschutz-Grundverordnung auf die Gesetzgebung, sondern auch die Festlegung einer konkreten innerstaatlichen Behördenzuständigkeit - wie vorliegend der Datenschutzbehörde - durch die Datenschutz-Grundverordnung.

23       Gegenstand des Urteils des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, war die Vorlagefrage des Verwaltungsgerichts Wiesbaden:

„Findet die Verordnung 2016/679 - hier Art. 15 (‚Auskunftsrecht der betroffenen Person‘) - auf den für die Bearbeitung von Eingaben von Bürgern zuständigen Ausschuss eines Parlaments eines Gliedstaats eines Mitgliedstaats - hier den Petitionsausschuss des Hessischen Landtags - Anwendung, und ist dieser insoweit wie eine Behörde im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 zu behandeln?“

24       Zu diesem Vorabentscheidungsersuchen hat der EuGH ausgeführt:

„63 Mit seinem Vorabentscheidungsersuchen möchte das vorlegende Gericht wissen, ob Art. 4 Nr. 7 der Verordnung 2016/679 dahin auszulegen ist, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats als ‚Verantwortlicher‘ im Sinne dieser Bestimmung einzustufen ist, so dass die Verarbeitung personenbezogener Daten durch diesen Ausschuss in den Anwendungsbereich der Verordnung, u. a. unter deren Art. 15, fällt.

64 Zur Beantwortung dieser Frage ist erstens daran zu erinnern, dass besagter Art. 4 Nr. 7 den ‚Verantwortlichen‘ definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.

65 Daher ist die Definition des in der Verordnung 2016/679 enthaltenen Begriffs ‚Verantwortlicher‘ nicht auf Behörden beschränkt, sondern, wie die tschechische Regierung hervorhebt, hinreichend weit, um jede Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, einzuschließen.

66 Zu, zweitens, den Erklärungen des Landes Hessen, wonach die Tätigkeiten eines parlamentarischen Ausschusses nicht in den Anwendungsbereich des Unionsrechts im Sinne von Art. 2 Abs. 2 der Verordnung 2016/679 fallen, ist darauf hinzuweisen, dass der Gerichtshof bereits Gelegenheit hatte, in Bezug auf Art. 3 Abs.2 der Richtlinie 95/46 klarzustellen, dass diese Richtlinie zwar auf Art. 100a EG-Vertrag (nach Änderung Art. 95 EG) gestützt ist, die Heranziehung dieser Rechtsgrundlage aber nicht voraussetzt, dass in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten besteht und dass es unangebracht wäre, den Ausdruck ‚Tätigkeiten ..., die nicht in den Anwendungsbereich des [Unions]rechts fallen‘ dahin auszulegen, dass in jedem Einzelfall geprüft werden müsste, ob die betreffende konkrete Tätigkeit den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtigt (Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 40 und 42).

67 Dies gilt erst recht in Bezug auf die Verordnung 2016/679, die auf Art. 16 AEUV - wonach das Europäische Parlament und der Rat der Europäischen Union Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch u. a. die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr erlassen - gestützt ist und deren Art. 2 Abs. 2 im Wesentlichen Art. 3 Abs. 2 der Richtlinie 95/46 entspricht.

68 Drittens ist Art. 2 Abs. 2 Buchst. a dieser Verordnung, da er eine Ausnahme von der in Art. 2 Abs. 1 der Verordnung enthaltenen sehr weiten Definition ihres Anwendungsbereichs darstellt, eng auszulegen.

69 Zwar hat der Gerichtshof grundsätzlich betont, dass die in Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 beispielhaft aufgeführten Tätigkeiten (nämlich solche nach den Titeln V und VI des Vertrags über die Europäische Union sowie Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich) jedenfalls spezifische Tätigkeiten der Staaten oder der staatlichen Stellen sind und mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun haben und dass diese Tätigkeiten dazu dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie zugeordnet werden können (ejusdem generis) (Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 43 und 44).

70 Jedoch reicht der Umstand, dass eine Tätigkeit eine spezifische des Staates oder einer Behörde ist, nicht aus, damit diese Ausnahme automatisch für diese Tätigkeit gilt. Es ist nämlich erforderlich, dass die Tätigkeit zu denjenigen gehört, die ausdrücklich in dieser Vorschrift genannt sind, oder dass sie derselben Kategorie wie diese zugeordnet werden kann.

71 Zwar sind die Tätigkeiten des Petitionsausschusses des Hessischen Landtags zweifellos behördlicher Art und spezifische dieses Landes, da dieser Ausschuss mittelbar zur parlamentarischen Tätigkeit beiträgt, dennoch sind diese Tätigkeiten nicht nur politischer und administrativer Natur, sondern aus den dem Gerichtshof vorliegenden Akten geht auch in keiner Weise hervor, dass diese Tätigkeiten im vorliegenden Fall den in Art. 2 Abs. 2 Buchst. b und d der Verordnung 2016/679 genannten Tätigkeiten entsprechen oder derselben Kategorie wie diese zugeordnet werden können.

72 Viertens und letztens ist in der Verordnung 2016/679, insbesondere in deren 20. Erwägungsgrund und deren Art. 23, keine Ausnahme in Bezug auf parlamentarische Tätigkeiten vorgesehen.

73 Folglich ist der Petitionsausschuss des Hessischen Landtags insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als ‚Verantwortlicher‘ im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 einzustufen, so dass im vorliegenden Fall Art. 15 der Verordnung anwendbar ist.

74 Nach alledem ist Art. 4 Nr. 7 der Verordnung 2016/679 dahin auszulegen, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als ‚Verantwortlicher‘ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt.“

25       Nach Art. 53 Abs. 1 B-VG kann der Nationalrat - gemäß Art. 24 B-VG ein Organ der Gesetzgebung des Bundes - durch Beschluss Untersuchungsausschüsse - hier den BVT-Untersuchungsausschuss - einsetzen. Vom Nationalrat eingesetzte Untersuchungsausschüsse dienen der Wahrnehmung der der gesetzgebenden Körperschaft von der österreichischen Verfassung übertragenen Kontroll- und Gesetzgebungsfunktion (vgl. VfGH 15.6.2015, UA 2/2015-14, UA 4/2015-4, Rn. 61). Sie sind ein Instrument der politischen Kontrolle (vgl. VfGH 18.1.2021, UA 4/2020, Rn. 38). Parlamentarische Untersuchungsausschüsse werden als Kontrollorgane der gesetzgebenden Körperschaft tätig und sind sowohl organisatorisch als auch funktionell der gesetzgebenden Gewalt zuzuordnen. Akte, die von parlamentarischen Untersuchungsausschüssen bzw. in deren Auftrag gesetzt werden, gehören daher zur Staatsfunktion Gesetzgebung (vgl. VfGH 6.3.2008, B 1535/07). Gegenstand der Untersuchung ist gemäß Art. 53 Abs. 2 erster Satz B-VG ein bestimmter abgeschlossener Vorgang im Bereich der Vollziehung des Bundes. Ziel der Untersuchungsausschüsse ist die Aufklärung von Vorgängen zu politischen Zwecken (vgl. VfGH 15.6.2015, UA 2/2015-14, UA 4/2015-4, Rn. 61). Die Befugnisse, die Untersuchungsausschüssen durch Art. 53 B-VG und die dazu ergangenen Ausführungsbestimmungen in der Verfahrensordnung für parlamentarische Untersuchungsausschüsse (VO-UA) übertragen werden, sollen eine wirksame parlamentarische Kontrolle durch den Nationalrat ermöglichen (vgl. VfGH 18.1.2021, UA 4/2020, Rn. 38). Den Untersuchungsausschüssen kommt dabei die Erfüllung des verfassungsgesetzlich übertragenen Kontrollauftrages zu (vgl. VfGH 11.12.2018, UA 3/2018, Rn. 163 mit Verweis auf VfGH 15.6.2015, UA 2/2015-14, UA 4/2015-4, Rn. 62).

26       Gestützt auf Art. 138b Abs. 1 Z 7 B-VG besteht für eine Auskunftsperson gegen den Beschluss eines Untersuchungsausschusses über die Veröffentlichung eines Protokolls seiner Befragung gemäß § 20 VO-UA wegen behaupteter Verletzung von § 1 DSG die Möglichkeit der Beschwerde an den Verfassungsgerichtshof (vgl. Zußner, Verfassungsgerichtlicher Persönlichkeitsschutz im Untersuchungsausschuss, ÖJZ 2016, 589). Dabei sieht sich der Verfassungsgerichtshof in seiner Entscheidungsbefugnis auf die Frage beschränkt, ob das konkret angefochtene Verhalten den Beschwerdeführer in den von diesem konkret geltend gemachten Persönlichkeitsrechten verletzt hat (vgl. VfGH 8.10.2015, UA 3/2015, Rn. 28).

27       In Bezug auf den Kernbereich parlamentarischer Tätigkeiten - wie vorliegend jene der der gesetzgebenden Körperschaft übertragenen und durch parlamentarische Untersuchungsausschüsse wahrgenommenen Kontrollfunktion - ist das Vorliegen des Ausnahmetatbestands des Art. 2 Abs. 2 Buchst. a DSGVO zu prüfen. Die Begrenzung der Reichweite der Datenschutz-Grundverordnung in Art. 2 Abs. 2 Buchst. a beruht darauf, dass die Kompetenzen der Union im Sinne des Grundsatzes der begrenzten Einzelermächtigung (Art. 5 Abs. 1 und 2 EUV) beschränkt sind. Der Wortlaut des Art. 2 Abs. 2 Buchst. a DSGVO („Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“) entspricht Art. 16 Abs. 2 UAbs. 1 Satz 1 AEUV, der Kompetenzgrundlage für den Erlass der Datenschutz-Grundverordnung. Insoweit hat dieser Ausnahmetatbestand nur deklaratorischen Charakter (vgl. Schwartmann/Grzeszick, Die Datenschutzrechtliche Stellung von Abgeordneten und Fraktionen, RDV 2020/2, 75, 76).

28       Ausgehend vom Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, und seiner darin zitierten Rechtsprechung zur Richtlinie 95/46 (EuGH 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, diese wiederum mit Hinweis auf EuGH 20.5.2003, Österreichischer Rundfunk u.a., C-465/00, C-138/01 und C-139/01, EU:C:2003:294) ist keine Voraussetzung für die Anwendbarkeit der Datenschutznormen, dass die Verarbeitung personenbezogener Daten konkret zu Zwecken erfolgt, die dem Unionsrecht unterliegen, grenzüberschreitend ist oder konkret den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtigt. Die Anwendbarkeit der Datenschutz-Grundverordnung ist vielmehr nur auszuschließen, wenn zumindest einer der Ausnahmetatbestände des Art. 2 Abs. 2 Buchst. a bis d DSGVO vorliegt (vgl. Stürmer/Wolff, Die parlamentarische Datenverarbeitung und die Datenschutzgrundverordnung, DÖV 2021, 167, 168).

29       Nach der Rechtsprechung des EuGH ist Art. 2 Abs. 2 Buchst. a DSGVO eng auszulegen und insoweit in Verbindung mit ihrem Art. 2 Abs. 2 Buchst. b und ihrem 16. Erwägungsgrund zu lesen, wonach diese Verordnung nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit „Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten“, sowie Tätigkeiten „im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union“ gilt. Daraus folgt, dass Art. 2 Abs. 2 Buchst. a und b DSGVO teilweise an Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 anknüpft. Folglich kann Art. 2 Abs. 2 Buchst. a und b DSGVO nicht dahin ausgelegt werden, dass er weiter gefasst ist als die Ausnahme nach Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46. Nach der Rechtsprechung des EuGH waren nur Verarbeitungen personenbezogener Daten im Rahmen einer in Art. 3 Abs. 2 ausdrücklich genannten spezifischen Tätigkeit des Staates oder staatlicher Stellen oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vom Anwendungsbereich der Richtlinie 95/46 ausgeschlossen. Demnach ist Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung so zu verstehen, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden. Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten, auf die Art. 2 Abs. 2 Buchst. a DSGVO abstellt, umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken (vgl. zu alldem EuGH 22.6.2021, Latvijas Republikas Saeima (Strafpunkte), C-439/19, EU:C:2021:504, Rn. 62 bis 67, mwN; zur systematischen Kritik in der Literatur an der Begrenzung des Ausnahmetatbestandes des Art. 2 Abs. 2 Buchst. a DSGVO auf Tätigkeiten, die ausdrücklich in Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 bzw. nunmehr in Art. 2 Abs. 2 Buchst. b und d DSGVO genannt sind, Stürmer/Wolff, Die parlamentarische Datenverarbeitung und die Datenschutzgrundverordnung, DÖV 2021, 167, 169f; Roßnagel/Rost, Ist die Datenschutz-Grundverordnung auch in den Landtagen anwendbar?, NVwZ 22/2021, 1641 (1643)).

30       Im Gegensatz zu dem im Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, behandelten Petitionsausschuss des Hessischen Landtags tragen vom Nationalrat eingesetzte Untersuchungsausschüsse allerdings nicht (bloß) mittelbar zur parlamentarischen Tätigkeit bei, sondern betreffen vielmehr als Kontrollorgane der gesetzgebenden Körperschaft den Kernbereich parlamentarischer Tätigkeit. Die Tätigkeiten von Untersuchungsausschüssen in Erfüllung des ihnen verfassungsgesetzlich übertragenen Kontrollauftrages dienen - wie sich der oben zitierten Rechtsprechung des Verfassungsgerichtshofes entnehmen lässt - (anders als beim Petitionsausschuss des Hessischen Landtags) der politischen Kontrolle bzw. der Aufklärung zu politischen Zwecken.

31       Die Ausführungen des EuGH im Urteil vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, zu Art. 2 Abs. 2 Buchst. a DSGVO vor allem in Rn. 71 schließen für sich betrachtet die Anwendbarkeit dieses Ausnahmetatbestandes auf eine Datenverarbeitung zu unmittelbar parlamentarischen Zwecken, somit für den Kernbereich parlamentarischer Tätigkeit nicht von vornherein aus (vgl. Stürmer/Wolff, Die parlamentarische Datenverarbeitung und die Datenschutzgrundverordnung, DÖV 2021, 167, 169; in Bezug auch auf die Tätigkeit der politischen Kontrolle etwa durch Untersuchungsausschüsse vgl. weiters Roßnagel/Rost, Ist die Datenschutz-Grundverordnung auch in den Landtagen anwendbar?, NVwZ 22/2021, 1641 (1645)). Vielmehr lässt sich argumentieren, dass Tätigkeiten der parlamentarischen Kontrolle grundsätzlich auch dem Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft dienen, auf den Art. 2 Abs. 2 Buchst. a DSGVO abstellt.

32       Überdies sind keine unionsrechtlichen Vorgaben ersichtlich, die die parlamentarische Tätigkeit in den Mitgliedstaaten, und zwar neben dem parlamentarischen Gesetzgebungsverfahren auch die den gesetzgebenden Körperschaften übertragenen Kontrollrechte, regelten. Die Grundlagen parlamentarischer Tätigkeiten, wie etwa die Organisation der nationalen Parlamente sowie auch die Ausgestaltung des Abgeordnetenmandats ergeben sich allein aus den jeweiligen nationalen Regelungen. Dies wird auch vom Unionsrecht respektiert, da nach Art. 4 Abs. 2 EUV die Union die nationale Identität achtet, die in ihren grundlegenden politischen und verfassungsgemäßen Strukturen zum Ausdruck kommt (vgl. Schwartmann/Grzeszick, Die datenschutzrechtliche Stellung von Abgeordneten und Fraktionen, RDV 2020/2, 75, 76; Grzeszick, Nationale Parlamente und EU-Datenschutzgrundverordnung, NVwZ 20/2018, 1505, 1508; Schröder, Anwendbarkeit der DS-GVO und des BDSG auf den deutschen Bundestag, ZRP 2018, 129, 130).

33       Die Aussage des EuGH im Urteil C-272/19, Rn. 72, wonach in der Datenschutz-Grundverordnung, insbesondere in deren 20. Erwägungsgrund und deren Art. 23, keine (im Sinne von keine generelle) Ausnahme in Bezug auf parlamentarische Tätigkeiten vorgesehen ist, steht nicht der Annahme entgegen, dass zumindest manche parlamentarische Tätigkeiten unter den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO fallen.

34       Schließlich ist sowohl dem Recht der einzelnen Mitgliedstaaten als auch dem Unionsrecht der Gewaltenteilungsgrundsatz in Bezug auf Legislative, Exekutive und Judikative inhärent (vgl. etwa EuGH 22.12.2010, DEB, C-279/09, EU:C:2010:810, Rn. 58; 18.4.2013, Germanwings GmbH, C-413/11, EU:C:2013:246, Rn. 16). Zwar nimmt Art. 55 Abs. 3 DSGVO unter Bedachtnahme auf den Gewaltenteilungsgrundsatz ausschließlich die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von der Zuständigkeit der von jedem Mitgliedstaat gemäß Art. 51 DSGVO einzurichtenden Aufsichtsbehörde aus, nicht jedoch auch die Aufsicht über die von Parlamenten im Rahmen ihrer unmittelbaren, dem Kernbereich zuordenbaren parlamentarischen Tätigkeit vorgenommenen Verarbeitungen. Die Einschränkung des Art. 55 Abs. 3 DSGVO auf den justiziellen Bereich könnte aber dahingehend verstanden werden, dass die parlamentarische Tätigkeit im Kernbereich bereits gemäß Art. 2 Abs. 2 Buchst. a DSGVO von der Anwendbarkeit der Datenschutz-Grundverordnung ausgenommen ist, ansonsten der Gewaltenteilungsgrundsatz in Art. 55 Abs. 3 DSGVO auch in Bezug auf die parlamentarische Tätigkeit berücksichtigt worden wäre (vgl. Siess-Scherz,Art. 30 B-VG, in Kneihs/Lienbacher (Hrsg.), Rill-Schäffer-Kommentar Bundesverfassungsrecht 22. Lfg (2019), Rz 124; Schröder, Anwendbarkeit der DS-GVO und des BDSG auf den deutschen Bundestag, ZRP 2018, 129, 130).

35       Zusammengefasst ist für den Verwaltungsgerichtshof daher fraglich, ob im Gegensatz zu dem, den Petitionsausschuss des Hessischen Landtags betreffenden Urteil des EuGH vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, der Kernbereich parlamentarischer Tätigkeiten, wie etwa Vorgänge der Gesetzgebung bzw. der parlamentarischen Kontrolle, unter Art. 16 Abs. 2 AEUV fällt und somit gemäß Art. 2 Abs. 2 Buchst. a DSGVO vom sachlichen Anwendungsbereich der Datenschutz-Grundverordnung gemäß Art. 2 Abs. 1 DSGVO umfasst ist.

Zur zweiten Frage

36       Untersuchungsgegenstand des vorliegend vom Nationalrat eingesetzten BVT-Untersuchungsausschusses war „der Verdacht der abgestimmten, politisch motivierten Einflussnahme durch OrganwalterInnen, sonstige (leitende) Bedienstete sowie MitarbeiterInnen politischer Büros des BMI [Bundesministerium für Inneres] auf die Aufgabenerfüllung des BVT [Bundesamt für Verfassungsschutz und Terrorismusbekämpfung] samt damit in Zusammenhang stehender angeblicher Verletzung rechtlicher Bestimmungen ... im Bereich der Vollziehung des Bundes hinsichtlich

a. des Verwendens von Daten und Informationen inkl. des Unterlassens der Löschung, des Sammelns und Auslagerns von Daten sowie deren Weitergabe an Dritte;

b. der Vollziehung des § 6 PStSG [Polizeiliches Staatsschutzgesetz] und von Vorgängerregelungen (erweiterte Gefahrenerforschung und Ermittlungstätigkeit im Zusammenhang mit Extremismus, Terrorismus, Proliferation, nachrichtendienstlicher Tätigkeit und Spionage) inkl. der Ermittlungen zu rechtsextremen Aktivitäten durch das Extremismusreferat des BVT;

c. der Ausübung der Dienstaufsicht und Ermittlungen gegen Bedienstete des BVT wie Suspendierungen des Direktors und weiterer ranghoher Bediensteter;

d. der Zusammenarbeit mit den für den Verfassungsschutz zuständigen Organisationseinheiten der Landespolizeidirektionen bzw. ihren Vorgängerorganisationen hinsichtlich der lit. a bis c;

e. der Zusammenarbeit mit anderen obersten Organen und Ermittlungsbehörden (wie der StA [Staatsanwaltschaft] und der WKStA [Wirtschafts- und Korruptionsstaatsanwaltschaft] sowie dem Bundeskriminalamt, BAK [Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung], LKAs [Landeskriminalämter], EGS [Einsatzgruppe zur Bekämpfung der Straßenkriminalität]) im Hinblick auf die von diesen aus Anlass der oben genannten Rechtsverletzung geführten Ermittlungen und Hausdurchsuchungen; sowie

f. der Besetzung leitender Funktionen und Personalauswahl (einschließlich Ernennung bzw. Betrauung von MitarbeiterInnen der jeweiligen Kabinette von BundesministerInnen auf in Verbindung zum BVT stehende Stellen bzw. Aufgaben).“

37       Das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT), seit der mit 1. Dezember 2021 in Kraft getretenen Novelle BGBl. I Nr. 148/2021 die Direktion Staatsschutz und Nachrichtendienst (DSN), fungiert als polizeiliche Staatsschutzbehörde und nimmt gemäß § 1 Abs. 2 und 3 Staatsschutz- und Nachrichtendienst-Gesetz (bis zur Novelle BGBl. I Nr. 148/2021 Polizeiliches Staatsschutzgesetz - PStSG) den Schutz der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit sowie von Vertretern ausländischer Staaten, internationaler Organisationen und anderer Völkerrechtssubjekte nach Maßgabe völkerrechtlicher Verpflichtungen, kritischer Infrastruktur und der Bevölkerung vor terroristisch, ideologisch oder religiös motivierter Kriminalität, vor Gefährdungen durch Spionage, durch nachrichtendienstliche Tätigkeit und durch Proliferation sowie der Wahrnehmung zentraler Funktionen der internationalen Zusammenarbeit in diesen Bereichen wahr. Der Aufgabenbereich des BVT, nunmehr DSN, umfasst insofern „die nationale Sicherheit betreffende Tätigkeiten“ im Sinne des 16. Erwägungsgrundes der Datenschutz-Grundverordnung. Der Untersuchungsgegenstand des hier maßgeblichen Untersuchungsausschusses betrifft daher Tätigkeiten der nationalen Sicherheit, die im Hinblick auf den 16. Erwägungsgrund der Datenschutz-Grundverordnung nicht unter den Anwendungsbereich des Unionsrechts fallen und daher gemäß Art. 2 Abs. 2 Buchst. a DSGVO vom sachlichen Anwendungsbereich dieser Verordnung ausgenommen sind.

38       Gemäß dem Urteil des EuGH vom 6. Oktober 2020, La Quadrature du Net u.a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 101, sind in Bezug auf Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 „‚Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung [und] die Sicherheit des Staates‘ generell vom Anwendungsbereich dieser Richtlinie“ ausgenommen, „ohne anhand des Urhebers der betreffenden Verarbeitung von Daten zu unterscheiden“. Demnach erfolgt die Bestimmung der ausgeschlossenen Tätigkeiten zweckbestimmt, ohne nach der Art der handelnden Personen zu unterscheiden (vgl. Schlussanträge des Generalanwalts Campos Sanchez-Bordona vom 15. Jänner 2020 in den verbundenen Rechtssachen C-511/18 und C-512/18 La Quadrature du Net u.a., Rn. 70).

39       Sofern die parlamentarische Kontrolltätigkeit eines Untersuchungsausschusses grundsätzlich in den Anwendungsbereich des Unionsrechts im Sinne des Art. 16 Abs. 2 AEUV fällt, stellt sich die Frage, ob Tätigkeiten eines parlamentarischen Untersuchungsausschusses zumindest dann unter denAusnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO fallen, wenn der Untersuchungsgegenstand Tätigkeiten der Vollziehung betrifft, die wie vorliegend nach dem 16. Erwägungsgrund nicht unter den Anwendungsbereich des Unionsrechts zu subsumieren sind.

Zur dritten Frage

40       Gemäß § 18 Abs. 1 DSG wurde in Österreich die Datenschutzbehörde als einzige nationale Aufsichtsbehörde nach Art. 51 DSGVO eingerichtet. Im Rahmen der Durchführung des Art. 77 DSGVO räumt § 24 Abs. 1 DSG jeder betroffenen Person das Recht auf Beschwerde bei der Datenschutzbehörde ein, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt.

41       Im Fall der Anwendbarkeit der Datenschutz-Grundverordnung auf die parlamentarische Kontrolltätigkeit setzt die Zuständigkeit der Datenschutzbehörde als einzige nationale Aufsichtsbehörde für Akte der Gesetzgebung auf Grund des verfassungsrechtlichen Gewaltentrennungsprinzips zwischen Exekutive und Legislative eine verfassungsrechtliche Verankerung voraus. Eine solche ist hingegen derzeit nicht vorhanden (vgl. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG, § 18 Rn. 5; Nikolay, Rechtsschutz bei Datenschutzverletzungen durch parlamentarische Kontrolltätigkeit, ZfV 1/2021, 78).

42       Jedes im Rahmen seiner Zuständigkeit angerufene nationale Gericht als Organ des Mitgliedstaates ist jedoch verpflichtet, in Anwendung des in Art. 4 Abs. 3 EUV n