Index
10/10 Grundrechte, Datenschutz, AuskunftspflichtNorm
B-VG Art140 Abs1 Z1 litaLeitsatz
Zurückweisung des Antrags auf Aufhebung einer Bestimmung des DSG betreffend die Zuständigkeit der Datenschutzbehörde sowie das Privileg der Medien bei der Verarbeitung personenbezogener Daten wegen zu engen AnfechtungsumfangsSpruch
Die Anträge werden zurückgewiesen.
Begründung
Begründung
I. Anträge
Mit den vorliegenden, auf Art140 Abs1 Z1 lita B-VG gestützten Anträgen begehrt das antragstellende Gericht, der Verfassungsgerichtshof wolle
"folgende Teile des Art2 §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, in der Fassung der Novelle BGBl I Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018) als verfassungswidrig aufheben:
die Wortfolge 'die Bestimmungen dieses Bundesgesetzes sowie'
in eventu
die Wortfolgen 'die Bestimmungen dieses Bundesgesetzes sowie', 'VI (Unabhängige Aufsichtsbehörden),' und 'und IX (Vorschriften für besondere Verarbeitungssituationen)'
in eventu
die Wortfolgen 'die Bestimmungen dieses Bundesgesetzes sowie', 'II (Grundsätze),', 'VI (Unabhängige Aufsichtsbehörden),' und 'und IX (Vorschriften für besondere Verarbeitungssituationen)'".
II. Rechtslage
1. §9 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 24/2018 lautet:
"Freiheit der Meinungsäußerung und Informationsfreiheit
§9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.
(2) Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen §6 (Datengeheimnis) anzuwenden."
2. Art85 der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge: DSGVO), ABl 2016 L 119, 1, lautet:
"Artikel 85
Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit."
III. Sachverhalt, Antragsvorbringen und Vorverfahren
1. Dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:
1.1. In seiner an die Datenschutzbehörde gerichteten Beschwerde vom 29. November 2019 machte der Beschwerdeführer eine Verletzung seines Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Er brachte zusammengefasst vor, die Beschwerdegegnerin, ein Medienunternehmen, habe auf ihrer Homepage einen Beitrag sowie Bildaufnahmen einer Hausdurchsuchung veröffentlicht. Auf einem der veröffentlichten Bilder sei die Visitenkarte des Beschwerdeführers (ungeschwärzt) abgebildet gewesen. Sein Name sowie sein Arbeitgeber seien erkennbar gewesen. Das Medienprivileg des §9 DSG sei auf den vorliegenden Fall nicht anwendbar. Selbst wenn man von der Anwendbarkeit des §9 DSG ausgehe, komme man bei einer unionsrechtskonformen Interpretation zu dem Ergebnis, dass die vorliegende Datenverarbeitung nicht erforderlich gewesen sei.
1.2. Die Beschwerdegegnerin im Verfahren vor der Datenschutzbehörde erstattete eine Stellungnahme, in der sie vorbrachte, ein Medienunternehmen gemäß §1 Abs1 Z6 MedienG zu sein. Die Veröffentlichung der Bilder sei zu journalistischen Zwecken erfolgt; die Bilder seien später geschwärzt worden. Da die in Beschwerde gezogene Veröffentlichung unter das Medienprivileg gemäß §9 Abs1 DSG falle, sei die Datenschutzbehörde im vorliegenden Fall unzuständig.
1.3. Mit Bescheid vom 23. Juli 2020 wies die Datenschutzbehörde die Beschwerde zurück und begründete dies zusammengefasst damit, dass es sich bei der Beschwerdegegnerin um ein Medienunternehmen handle, das als Medieninhaberin für den Inhalt der Berichterstattung verantwortlich sei. Die Daten des Beschwerdeführers seien im Rahmen journalistischer Artikel bzw journalistischer Berichterstattung verarbeitet und in weiterer Folge veröffentlicht worden. Auf Grund der Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei die belangte Behörde zur Behandlung der Beschwerde unzuständig.
1.4. Gegen diesen Bescheid erhob der Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht. Er führte darin insbesondere aus, §9 DSG sei verfassungs- und unionsrechtswidrig.
2. Dem beim Verfassungsgerichtshof zur Zahl G229/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:
2.1. In ihrer an die Datenschutzbehörde gerichteten Beschwerde vom 26. November 2021 machten die beschwerdeführenden Parteien (ua) eine Verletzung ihres Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Sie brachten zusammengefasst vor, eine Verlagsgesellschaft und ein Rundfunkunternehmen hätten über ein "Datenleck" bei einem der zweitbeschwerdeführenden Partei zuzurechnenden E-Mail-Postfach, das in der Verfügungsmacht der erstbeschwerdeführenden Partei stehe, berichtet. Die genannten Medienunternehmen hätten näher bezeichnete Umstände rechtswidrig offengelegt. Die Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei verfassungswidrig.
2.2. Mit Bescheid vom 10. Dezember 2021 wies die Datenschutzbehörde die Beschwerde der beschwerdeführenden Parteien unter Verweis auf das Medienprivileg des §9 Abs1 DSG zurück.
2.3. Gegen diesen Bescheid erhoben die beschwerdeführenden Parteien fristgerecht Beschwerde an das Bundesverwaltungsgericht und regten einen Antrag gemäß Art140 Abs1 Z1 lita B-VG an den Verfassungsgerichtshof sowie die Einholung einer Vorabentscheidung des Gerichtshofes der Europäischen Union gemäß Art267 AEUV an.
3. Aus Anlass der Behandlung dieser Beschwerden sind beim Bundesverwaltungsgericht Bedenken ob der Verfassungskonformität der angefochtenen Wortfolgen in §9 Abs1 DSG entstanden, die es zur Antragstellung an den Verfassungsgerichtshof veranlasst haben. Das antragstellende Gericht legt seine diesbezüglichen Bedenken in dem beim Verfassungsgerichtshof zur Zahl G200/2022 protokollierten Verfahren wie folgt dar (ohne die im Original enthaltenen Hervorhebungen):
"III. Verfassungsrechtliche Bedenken:
1. Im vorliegenden Fall wies die Datenschutzbehörde mit dem angefochtenen Bescheid die Datenschutzbeschwerde des Beschwerdeführers wegen einer behaupteten Verletzung gemäß §1 DSG zurück.
2. Das Bundesverwaltungsgericht hegt gravierende Bedenken ob der Verfassungsmäßigkeit des §9 Abs1 DSG (jedenfalls hinsichtlich des angefochtenen Teils). Dazu im Einzelnen:
2.1. Im vorliegenden Beschwerdefall wird primär das Bedenken gehegt, dass eine Geltendmachung des Grundrechts auf Datenschutz des §1 DSG im Anwendungsbereich des §9 Abs1 DSG faktisch ausgehebelt wird, da aufgrund des in §9 Abs1 DSG normierten Ausschlusses der Bestimmungen des DSG – und damit auch der Unanwendbarkeit des §24 Abs1 DSG – (sowie des gesamten Kapitel[s] VI der DSGVO) einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung steht, um eine Verletzung des Grundrechts geltend zu machen.
Zu §9 Abs1 DSG wird in der wissenschaftlichen Literatur Folgendes ausgeführt:
Gemäß der Formulierung des §9 Abs1 DSG gilt insofern eine 'Totalausnahme von den Bestimmungen des DSG' (Zöchbauer, MR 2018, 102 [103]; vgl auch Kunnert in Bresich et al (Hrsg), DSG Kommentar (2018) §9 DSG Rz 10). '§9 Abs1 DSG sieht im ersten Satz vor, dass unter den dort näher definierten Voraussetzungen 'die Bestimmungen dieses Bundesgesetzes' keine Anwendung finden. Damit wird – im Unterschied zur Vorgängerbestimmung des §48 DSG 2000 – auch die Anwendbarkeit des im Rang eines Verfassungsgesetzes stehenden Grundrechts auf Datenschutz gemäß §1 DSG ausgeschlossen. [...]' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 42).
Nach Jahnel kommt eine verfassungskonforme Interpretation von §9 Abs1 DSG 'angesichts des klaren Wortlautes ('finden die Bestimmungen dieses Bundesgesetzes [...] keine Anwendung') [...] nicht in Betracht.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 44).
'Wie alle Grundrechte gilt auch das Grundrecht auf Datenschutz nicht uneingeschränkt. Eine Beschränkung dieses Grundrechts ist aber nur bei Vorliegen einer der in §1 Abs2 DSG vorgesehenen Gründe zulässig. Da die Zustimmung und lebenswichtige Interessen im Zusammenhang mit dem Medienprivileg nicht in Betracht kommen, ist für die Verfassungskonformität eines Eingriffs in das Grundrecht auf Datenschutz durch eine gesetzliche Bestimmung jedenfalls eine Interessenabwägung erforderlich. Sowohl in §9 Abs1 [...] erfolgt hingegen ein genereller Ausschluss des Grundrechts auf Datenschutz, sofern die sonstigen Voraussetzungen einer Privilegierung vorliegen.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 43).
'§9 Abs1 nimmt als Eingriffsnorm Verarbeitungen zu journalistischen Zwecken von Medienunternehmen oder Mediendiensten iS einer Pauschalausnahme nahezu gänzlich vom datenschutzrechtlichen Regelungsregime aus. Insbesondere werden den durch die genannten Verarbeitungssituationen betroffenen Personen die in Kapitel III DSGVO verankerten Betroffenenrechte gem. §9 Abs1 DSG vollumfänglich entzogen. Dieser pauschale Entzug der Betroffenenrechte ist vor dem Hintergrund des materiellen Gesetzesvorbehaltes gem. §1 Abs2 DSG als unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu qualifizieren. Der Entzug der Betroffenenrechte dürfte iS des Verhältnismäßigkeitsprinzips vielmehr lediglich aufgrund einer wertenden Abwägung zwischen den (öffentlichen) Interessen der journalistischen Tätigkeit und dem Grundrecht auf Datenschutz des Betroffenen erfolgen. Die Pauschalausnahme des §9 Abs1 DSG privilegiert journalistische Tätigkeiten von Medienunternehmen oder Mediendiensten jedoch a priori in Negation jeglicher Betroffenenrechte und greift damit in unverhältnismäßiger und folglich verfassungswidriger Weise in §1 DSG ein.' (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [312 f]).
In diesem Zusammenhang wird festgehalten, dass nach Ansicht des Bundesverwaltungsgerichts die einfachgesetzliche Bestimmung des §9 DSG jedenfalls nicht das in Verfassungsrang stehende Grundrecht auf Datenschutz im Rahmen des Medienprivilegs aushebeln kann. Selbst wenn man eine Interpretation dahingehend vornehmen könnte, dass die in §9 genannte Ausnahme des DSG nur dessen einfachgesetzliche Regelungen betrifft, müsste das Grundrecht in der Folge auch geltend gemacht werden können. Gerade dies ist aber nicht der Fall, da auch §24 DSG, der die Grundlage für die Feststellung von (auch in der Vergangenheit liegenden) Rechtsverletzungen, insbesondere des Grundrechts auf Geheimhaltung, darstellt, nicht anwendbar wäre.
Aus den genannten Gründen scheint die Ausnahme des gesamten DSG in Widerspruch mit dem in §1 DSG normierten Grundrecht auf Datenschutz zu stehen.
Zunächst verkennt das Bundesverwaltungsgericht nicht, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art77 DSGVO in Kapitel VIII nicht ausgeschlossen wird. Während der OGH unter Verweis auf die Gesetzesmaterialien (ErläutAB 1761 BIgNR 25. GP 15) davon ausgeht, dass Art77 kein eigenständiges Recht auf Beschwerde normiert (OGH 23.05.2019, 6 Ob 91/19d), wird von der Lehre und vom Bundesverwaltungsgericht in den unten zitierten Fällen die Meinung vertreten, dass Art77 DSGVO keiner Umsetzung in das nationale Recht bedarf (vgl Schweiger in Knyrim, DatKomm Art77 DSGVO, Rz 8 (Stand 1.12.2018, rdb.at)., siehe dazu auch BVwG 23.11.2020, W211 2227144-1. BVwG 13. 8. 2021, W211 2222613-1.
Doch auch bei einer unmittelbaren Anwendbarkeit des Art77 DSGVO ergibt sich folgendes Problem:
Art77 DGVO scheint von seinem Wortlaut her (lediglich) auf gegenwärtig noch andauernde Rechtsverletzungen abzustellen. Dementsprechend sieht Art58 DSGVO keine 'Feststellungsbefugnisse', sondern Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse vor.
Auch nach der Rechtsprechung des Verwaltungsgerichtshofes (VwGH 14.12.2021, Ro 2020/04/0032) räumt ausschließlich §24 DSG der in seinem persönlichen Grundrecht verletzten Person die Möglichkeit ein, die ihr gegenüber geschehene Rechtsverletzung feststellen zu lassen, eine solche Feststellungskompetenz ist nämlich in der DSGVO nicht vorgesehen. In den Fällen des §9 Abs1 DSG bestünde sohin (mangels Anwendbarkeit des §24 DSG) keine Möglichkeit, eine Rechtsverletzung (die in der Vergangenheit stattgefunden hat) festzustellen (doch gerade um eine Feststellung eines derartigen Grundrechtsverstoßes geht es im gegenständlichen Beschwerdefall), weshalb der Ausschluss der Bestimmungen des DSG insbesondere aufgrund des Gleichheitsgrundsatzes als nicht im Einklang mit verfassungsgesetzlichen Grundlagen zu stehen scheint (siehe dazu näher unten). Auch wären die Bestimmungen der §§18 bis 22 DSG (Einrichtung der Datenschutzbehörde, Unabhängigkeit, Leiter der Datenschutzbehörde und Befugnisse der Datenschutzbehörde) nach dem Wortlaut des DSG ebenfalls nicht anwendbar. Überdies schließt §9 DSG in seiner Diktion streng genommen sogar sich selbst aus, was aber offenbar vom Gesetzgeber nicht intendiert war. Hinzuweisen ist auch darauf, dass – im Widerspruch zu den weitgehenden Ausnahmen – der letzte Satz des §9 Abs1 DSG davon auszugehen scheint, dass der Datenschutzbehörde sehr wohl auch bei Beschwerden gegen Medienunternehmen und -inhaber Befugnisse zukommen.
Das Bundesverwaltungsgericht übersieht nicht, dass trotz des Ausschlusses der Anwendbarkeit aller DSG-Bestimmungen wegen der unmittelbaren Anwendbarkeit von Art79 DSGVO unter ergänzender Heranziehung von §1 JN bei einer Verletzung der DSGVO eine Zuständigkeit der Zivilgerichte angenommen werden kann. Allerdings lässt sich im gegenständlichen Fall, in dem die Feststellung einer Verletzung des Grundrecht[es] auf Geheimhaltung geltend gemacht wurde, unter Heranziehung des Art79 DSGVO gar keine gerichtliche Zuständigkeit begründen, da Art79 DSGVO (wie Art77 DSGVO) lediglich auf Verletzungen der DSGVO Bezug nimmt, nicht aber auf nationale Gesetze wie das DSG (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [320]; siehe auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 51). Somit wäre der Rechtsschutz im gegenständlichen Fall gänzlich ausgeschlossen. Dieses Ergebnis scheint dem Bundesverwaltungsgericht sachlich nicht rechtfertigbar und daher im Konflikt mit dem Gleichheitsgrundsatz und dem Recht auf den gesetzlichen Richter (siehe unten) zu stehen.
Aber auch eine alleinige Zuständigkeit des Landesgerichtes (vgl §50 JN iVm §49 JN sowie OGH 23.05.2019, 6 Ob 91/19d) würde nicht der Bestimmung des Art79 Abs1 DSGVO entsprechen, wonach jede betroffene Person unbeschadet des Beschwerderechts bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden und hat der europäische Gesetzgeber damit explizit einen zweigleisigen Rechtsschutz vorgesehen. Dieser zweigleisige Rechtsschutz wurde vom OGH auch bereits wiederholt bejaht (zB 6 Ob 35/21x vom 15.04.2021 unter Verweis auf 6 Ob 131/18k und 6 Ob 91/19k). Auch diverse Erwägungsgründe, insb. ErwG 122 DSGVO, gehen von einer umfassenden Zuständigkeit der Aufsichtsbehörden aus.
Selbst wenn man von einer Gerichtszuständigkeit ausginge, wäre die Regelung des §9 DSG schon deshalb unsachlich, weil das Beschwerderecht bei der Datenschutzbehörde von Betroffenen niederschwelliger wahrgenommen werden kann, zumal die Beschwerdeeinbringung bei der Behörde – im Gegensatz zur Erhebung einer Klage beim Landesgericht – unentgeltlich ist und vor der Behörde auch keine Anwaltspflicht herrscht. Hierbei wird nicht verkannt, dass in Verwaltungsverfahren das Prinzip der Kostenselbsttragung herrscht und daher im Falle einer erfolgreichen Beschwerde auch keine Vertretungskosten erstattet werden. Im Falle einer Klage vor einem Zivilgericht ist die Pauschalgebühr durch den Kläger zu entrichten, dazu kommen die Kosten für die notwendige Vertretung durch einen Rechtsanwalt, wenngleich es im Fall des vollständigen Obsiegens auch zu einem vollständigen Ersatz der Verfahrens- und Vertretungskosten kommt (vgl Jahnel, Zum Zusammenspiel zwischen dem verwaltungsrechtlichen Weg und dem Zivilrechtsweg und die Schnittstellen zum Verfassungsrecht und zum Europarecht in: Nunner-Krautgasser/Garber/Klauser (Hrsg), Rechtsdurchsetzung im Datenschutz nach der DSGVO und dem DSG 2018 [2019]). Im zivilgerichtlichen Verfahren kann zwar Verfahrenshilfe beantragt werden (vgl §63 ff ZPO). Die Partei hat jedoch die gänzliche oder teilweise Nachzahlung der Beträge zu bewerkstelligen, soweit und sobald sie ohne Beeinträchtigung des notwendigen Unterhalts dazu imstande ist (vgl näher §71 Abs1 ZPO). Verfahrenshilfe wird auch nur für die eigenen Kosten gewährt, im Falle des Unterliegens sind jedoch die gegnerischen Kosten trotz bewilligter Verfahrenshilfe zu begleichen (vgl M. Bydlinski in Fasching/Konecny3 II/1 Vor §§63 ff ZPO Rz 3 (Stand 1.9.2014, rdb.at). Gesamtbetrachtet sind somit die Anforderungen an den Betroffenen bei der Ausübung des Beschwerderechts bei der DSB als geringer zu betrachten.
Überdies wäre durch den Ausschluss des Kapitels II DSGVO 'Grundsätze' den Gerichten bei einer materiell-rechtlichen Entscheidung der Prüfmaßstab der Art5 ff DSGVO entzogen, sofern man diesen Ausschluss nicht bereits aufgrund der Unionrechtswidrigkeit als unanwendbar betrachtete.
Hinzuzufügen ist, dass Art85 Abs2 DSGVO den Mitgliedstaaten den Auftrag erteilt, 'Abweichungen und Ausnahmen' von bestimmten Kapiteln der DSGVO vorzusehen, wenn dies als Ergebnis einer Interessenabwägung erforderlich ist ('um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen', siehe auch ErwG 153 DSGVO), wobei diese Interessenabwägung in §9 Abs1 DSG nicht abgebildet ist (vgl Zöchbauer, Das 'Medienprivileg' des §9 Abs1 DSG idF Datenschutz-Deregulierungsgesetz 2018, MR 2018, 102). Vielmehr ist nach der (Neu-)Fassung des §9 DSG eine Abwägung nicht (mehr) erforderlich, die wesentlichen Teile der DSGVO sowie des DSG finden demnach jedenfalls keine Anwendung auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes zu journalistischen Zwecken (Lehofer, Anpassung der Datenschutz-Anpassung – Last Minute-Begleitgesetzgebung zur DSGVO, ÖJZ 2018/55). Zur Generalausnahme von allen datenschutzrechtlichen Vorschriften, wie sie §9 Abs1 DSG enthält, siehe auch kritisch Krempelmeier, Sind die datenschutzrechtlichen Privilegien des §9 DSG unionsrechtswidrig?, jusIT 2018/68.
Zu den weiteren – einige Kapitel der DSGVO betreffenden und hier präjudiziellen – Ausnahmen ist Folgendes festzuhalten:
Kapitel VIII DSGVO kann nicht losgelöst von Kapitel VI betrachtet werden. Da die Bestimmung über die Zuständigkeit einer Aufsichtsbehörde in Art55 DSGVO ex lege gemäß §9 Abs1 DSG ausgeschlossen wäre, könnte die belangte Behörde nicht meritorisch über die Beschwerde entscheiden. Zudem können auch die Abhilfebefugnisse des Art58 Abs2 litc (den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen) von der Datenschutzbehörde nicht ausgeübt werden (vgl Schmidl, Das Medienprivileg in der Rechtsprechung der Datenschutzbehörde, jusIT 2020/20, 54 Heft 2 v. 27.4.2020). Schließlich ist zu bemerken, dass §9 Abs1 DSG auch das gesamte Kapitel IX der DSGVO ausschließt, womit auch die Bestimmung des Art85 Abs2 DSGVO ausgeschlossen wird, demgemäß für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Der Ausschluss der Anwendbarkeit des Art85 Abs2 DSGVO, also der unionsrechtlichen Grundlage für das 'Medienprivileg', hätte jedoch zur Folge, dass der Norm des §9 Abs1 DSG die (unionsrechtliche) Grundlage entzogen würde.
Das Bundesverwaltungsgericht hegt zu diesen Ausnahmen von der DSGVO die Bedenken, dass sie in dieser Pauschalität nicht mit Unionsrecht in Einklang stehen, zumal Art85 DSGVO die Ausnahmen auf deren 'Erforderlichkeit' stützt und ein Ausschließen der Beschwerdemöglichkeit an die Aufsichtsbehörde gerade nicht erforderlich ist. Ebenso scheint ein Ausschluss des (gesamten) IX. Kapitels [der] DSGVO nicht nur nicht erforderlich, sondern schlichtweg sinnentleert, da damit den Ausnahmen in §9 DSG die Rechtsgrundlage des Art85 DSGVO entzogen wäre.
Somit stellt sich im gegebenen Fall die Frage des – vom EuGH regelmäßig judizierten Anwendungsvorrangs des Unionsrechts (vgl dazu erstmals EuGH Slg 1964, 1251 (1270) COSTA-E.N.E.L.):
Wie Blocher und Wieser ausführen, ist der unionsrechtliche Anwendungsvorrang 'jedoch nicht abstrakt, sondern stets bezüglich eines in einem konkreten Verfahren auftretenden Normkonflikts zu beurteilen. [...] Damit stellen die materiellen Bestimmungen der DSGVO (etwa die Betroffenenrechte des Kapitel[s] III DSGVO) und nicht Art85 Abs2 DSGVO den relevanten Beurteilungsrahmen dar. Aufgrund des Anwendungsvorranges haben innerstaatliche Organe nationale Rechtsvorschriften unangewendet zu lassen, die Unionsrecht widersprechen, das auf den verfahrensgegenständlichen Sachverhalt unmittelbar anzuwenden ist. [...] Fragen des Anwendungsvorranges stellen sich folglich nur insoweit, als dass sich auf ein und denselben Sachverhalt zwei divergierende Regelungen – eine des nationalen Rechts und eine des Gemeinschaftsrechts – beziehen. [...] Die Frage des Anwendungsvorranges betrifft daher nur ein konkretes datenschutzrechtliches Verfahren bezüglich einer Verarbeitung zu journalistischen Zwecken, [...], in welchem aufgrund der Pauschalausnahme gem. §9 Abs1 DSG Bestimmungen der DSGVO nicht zur Anwendung kommen, deren Anwendbarkeit die DSGVO grundsätzlich vorsieht (etwa die Rechte der betroffenen Person gem. Kapitel III DSGVO [...]). Die Öffnungsklausel des Art85 Abs2 DSGVO ermächtigt die Mitgliedstaaten nicht dazu, Bestimmungen jeglicher Art betreffend die genannten privilegierten Zwecke zu erlassen. Vielmehr ist lediglich – iS eines DSGVO-spezifischen 'Legalitätsprinzips' – eine Grundrechtsabwägung auf gesetzlicher Ebene vorzunehmen, um für die Vollziehung die Frage der Anwendbarkeit der DSGVO für Fälle von Grundrechtskollisionen zu konkretisieren.' (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [321 f]).
Die genannten Ausnahmen von der DSGVO sind in dieser Pauschalität nach Ansicht des Bundesverwaltungsgerichts gegenständlich nicht anwendbar, zumal insbesondere die Kompetenzgrundlagen der Aufsichtsbehörden nach der DSGVO herangezogen werden müssen, um einen effektiven Rechtsschutz zu ermöglichen. Somit bedürften diese in §9 DSG normierten Ausnahmen von der DSGVO keiner Anfechtung vor dem Verfassungsgerichtshof. Sollte dies vom Verfassungsgerichtshof anders gesehen werden, wird auf den ersten Eventualantrag im Spruch dieses Beschlusses verwiesen.
Sollte der zurückweisende Bescheid der Datenschutzbehörde vom Bundesverwaltungsgericht behoben werden müssen, wären in einem fortgesetzten Verfahren überdies die im Kapitel II DSGVO genannten Grundsätze relevant. Auch die in §9 DSG normierte Ausnahme dieses gesamten Kapitels ist nicht erforderlich. Soweit der Verfassungsgerichtshof diese Ausnahme für präjudiziell erachtet, wird auf den zweiten Eventualantrag verwiesen.
2.2. Der Gleichheitsgrundsatz ist im österreichischen Verfassungsrecht mehrfach, nämlich in Art2 StGG und vor allem Art7 B-VG, verankert. Der Gleichheitsgrundsatz bindet auch den Gesetzgeber. Er setzt ihm insofern inhaltliche Schranken, als er verbietet, sachlich nicht begründbare Regelungen zu treffen (zB VfSlg 14.039/1995; 16.407/2001). Der VfGH hat betont, dass der Gleichheitssatz einen wesentlichen Bestandteil des demokratischen Prinzips bildet und daher auch dem Verfassungsgesetzgeber nicht zur beliebigen Disposition steht (VfSlg 15.373). Nach der vom VfGH entwickelten Prüfungsformel gestattet der Gleichheitssatz nur eine sachlich gerechtfertigte Differenzierung; eine solche setzt relevante Unterschiede im Tatsachenbereich (objektive Unterscheidungsmerkmale) voraus. Nach ständiger Judikatur muss der Gesetzgeber an gleiche Tatbestände gleiche Rechtsfolgen knüpfen; wesentlich ungleiche Tatbestände müssen zu entsprechend unterschiedlichen Regelungen führen (zB VfSlg 2956, 11.190, 11.641, 13.477, 14.521, 19.590; VwGH 2. 7. 1992, 90/16/0167 – verst Sen; VwGH 23. 3. 2000, 99/15/0202; vgl auch VfSlg 8806, 11.190, 15.510 – zu gesetzlichen Ausnahmebestimmungen). Die Sachlichkeitsprüfung von Gesetzen zielt auf eine Bewertung der Relation des von einer Regelung erfassten Sachverhaltes zu der vorgesehenen Rechtsfolge. Liegen differenzierende Regelungen vor, so ist ein Normenvergleich durchzuführen; es ist zu fragen, ob die jeweils erfassten Sachverhalte so unterschiedlich sind, dass sie die unterschiedlichen Rechtsfolgen zu 'tragen' vermögen (VfSlg 16.635, 17.309). Jede Sachlichkeitsprüfung von Gesetzen hat zunächst eine derartige Prüfung der Relation von Sachverhalt und Rechtsfolge vorzunehmen. Sie kann zum Ergebnis führen, dass diese Relation schon an sich auf keinem 'vernünftigen' Grund beruht; in diesem Fall ist das Gesetz als gleichheitswidrig anzusehen (zB VfSlg 13.975) [Muzak, B-VG[6] Art2 StGG (Stand 1.10.2020, rdb.at]. Im vorliegenden Fall sind keine sachlichen Gründe ersichtlich, in Anwendungsfällen des §9 Abs1 DSG im Vergleich zu Fällen, in denen dieser nicht zum Tragen kommt, das Grundrecht auf Geheimhaltung gar nicht geltend machen zu können. Wenn man von der Nichtanwendung der Ausnahme des Kapitels VI DSGVO ausgeht, wäre aber ohne die Bestimmung des §24 DSG der DSB eine Feststellung eines in der Vergangenheit liegenden Grundrechtseingriffs verwehrt. Selbst wenn man von einer (alleinigen) Zuständigkeit der Zivilgerichte ausginge, würde es für die betroffenen Personen eine Ungleichbehandlung darstellen, nicht (auch) eine behördliche Zuständigkeit vorzusehen, die – wie oben ausgeführt – ihnen niederschwelliger zur Verfügung steht. Der Gleichheitsgrundsatz scheint im vorliegenden Fall verletzt zu werden, da er Gleiches ungleich behandelt (vgl VfSlg 5737 ua).
2.3. Art83 Abs2 B-VG normiert das Recht auf ein Verfahren vor dem gesetzlichen Richter. Unter dem 'gesetzlichen Richter' ist jede staatliche Behörde zu verstehen (VfSlg 1443, 2048); daraus folgt ein verfassungsgesetzlich gewährleistetes Recht auf den Schutz und die Wahrung der gesetzlich begründeten Behördenzuständigkeit schlechthin (VfSlg 2536, 12.111). Im Bereich der Verwaltung bezieht sich das Recht auf ein Verfahren vor dem gesetzlichen Richter auf die zuständige Behörde als solche. Es ist ständige Judikatur, dass Art83 Abs2 B-VG auch den Gesetzgeber bindet (VfSlg 6675; anders noch VfSlg 2470); der Gesetzgeber muss die Behördenzuständigkeit nach objektiven Kriterien (VfSlg 3156, 8349), exakt (VfSlg 9937, 10.311; VwGH 5. 9. 2008, 2007/12/0078), klar und eindeutig (VfSlg 11.288) festlegen (VfSlg 10.311, 12.788; VwGH 7. 7. 2011, 2009/15/0223) [Muzak, B-VG6 Art83 (Stand 1.10.2020, rdb.at)].
Wären die in §9 Abs1 DSG genannten Ausnahmen von der DSGVO nicht als unanwendbar anzusehen, wäre der DSB generell jegliche meritorische Entscheidung über eine Beschwerde, die eine Verarbeitung im Rahmen des 'Medienprivilegs' betrifft, verwehrt.
Außerdem ist zu berücksichtigen, dass im Anwendungsbereich des §9 DSG für eine Verletzung des §1 DSG gar keine Zuständigkeit einer Behörde oder eines Gerichts besteht, da Art77 DSGVO (nur) das Recht auf Beschwerde bei einer Aufsichtsbehörde normiert, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten 'gegen diese Verordnung' – eben die DSGVO – verstößt. Eine vermeintliche Verletzung des innerstaatlichen §1 DSG kann aber auch nicht über Art77 oder Art79 DSGVO geltend gemacht werden […].
Wie oben aufgezeigt, kommt im Anwendungsfall des §9 Abs1 DSG der Datenschutzbehörde (zumindest für den Fall einer Beschwerde wegen Verletzung des Grundrechts auf Datenschutz) keine meritorische Entscheidungsbefugnis zu und ist diese Regelung – aus den genannten Gründen – unsachlich. Demnach wäre auch keine Behördenzuständigkeit nach objektiven Kriterien vorgesehen, weshalb im vorliegenden Fall auch ein Konflikt mit dem Recht auf den gesetzlichen Richter gemäß Art83 Abs2 B-VG und überdies mit Art6 EMRK besteht.
2.4. Auch Art8 GRC garantiert der betroffenen Person den Schutz der sie betreffenden personenbezogenen Daten und sieht vor, dass die Einhaltung dieser Vorschriften von einer unabhängigen Stelle überwacht wird. Die Einhaltung der in Art8 Abs1 und 2 normierten Garantien – in Übereinstimmung mit Art16 Abs2 Satz 2 AEUV und Art39 letzter Satz EUV – ist durch eine unabhängige Stelle zu überwachen. Der damit zugleich bewirkte verfahrensrechtliche Schutz präzisiert die Rechtswegegarantien des Art47 GRC für den Bereich des Datenschutzes. Die Art51 f DSGVO regeln (in rechtsvereinheitlichender Weise) die Unabhängigkeit der Aufsichtsbehörden auf Ebene der Mitgliedstaaten in umfassender Weise und in Entsprechung der dieses Postulat konkretisierenden Judikatur des EuGH, welche insb. in expliziter Kongruenz zu Art8 Abs3 GRC ergangenen ist. 'Unabhängige Stelle' sind sowohl der Europäische Datenschutzbeauftragte (gem. Art41 ff VO [EU] 2001/45), die behördlichen (gemeinschaftlichen) Datenschutzbeauftragten (Art24 leg. cit.) sowie (v.a.) auch die Aufsichtsbehörden in den Mitgliedstaaten (Art51 f DSGVO; vormals Kontrollstellen gem. Art28 DSRL). Nach Ansicht des EuGH gilt die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten (wie selbstredend auch in der Union selbst) als ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten (EuGH 9.3.2010, C-518/07, Kommission/Deutschland Rz 23; EuGH 16.10.2012, C-14/10, Kommission/Österreich Rz 37; EuGH 8.4.2014, C-88/12, Kommission/Ungarn Rz 48; ua (vgl ebenso ErwGr 62 DRSL sowie ErwGr 117 DSGVO).
Die Tatsache, dass dies nicht nur sekundärrechtlich (Art51 Abs1 und Art52 DSGVO), sondern auch durch Art8 Abs1 GRC (sowie Art16 Abs1 AEUV) explizit geschützt wird, spricht dafür, in Art8 Abs3 GRC eine Art Institutionsgarantie zu sehen. Bekräftigt wird dieser Schluss auch durch die genannten Regelungen des Sekundärrechts, welche einen gesetzlichen Auftrag zur Einrichtung statuieren. Ein Recht des Betroffenen, sich mit einer Eingabe an die nationalen Kontrollstellen zu richten, hat mit dieser Begründung zuletzt auch der EuGH ausgesprochen (EuGH 21. 12. 2016, verb Rs C-203/15 und C-698/15, Tele2 Sverige AB ua Rz 123; zuvor bereits EuGH 6. 10. 2015, C-362/14, Schrems Rz 58 unter Hinweis auf die Entscheidung Digital Rights Ireland und Seitlinger ua).
Ebenso steht dem Betroffenen gemäß Art47 GRC das Recht offen, gegen eine abweisende Entscheidung der Kontrollstelle betreffend den Schutz seiner personenbezogenen Daten Rechtsmittel bei den nationalen Gerichten einzulegen. Der Kontrollstelle selbst steht in diesem Zusammenhang ua auch durch Art8 Abs3 GRC – wenn sie eine Beschwerde einer Person, die sich mit einer Eingabe an sie gewendet hat, für zutreffend hält – ein Rechtsbehelf vor den (nationalen) Stellen/Gerichten zu. Daneben kommen der Kontrollstelle/Aufsichtsbehörde weitere Untersuchungs- und Eingriffsbefugnisse iSd in Art58 DSGVO vorgenommenen umfassenden Auflistung zu, damit sie ihre Aufgabe als 'Hüterin der Grundrechte' wirksam ausüben kann (Riesz in Holoubek/Lienbacher, GRC-Kommentar2 Art8 (Stand 1.4.2019, rdb.at).
Schon dies zeigt, dass die bloße Möglichkeit der direkten Geltendmachung einer Datenschutzverletzung bei den Gerichten (die aber im gegenständlichen Fall auch nicht gegeben ist) die Institution einer Aufsichtsbehörde und einen Rechtsschutz durch diese Behörde nicht ersetzen kann, sondern nur als Alternative zu sehen ist, wobei, wie oben ausgeführt wurde, im gegenständlichen Fall das Grundrecht auf Geheimhaltung nicht über Art79 DSGVO geltend gemacht werden kann.
In der Entscheidung des VfGH VfSlg 19.632/2012 wurde bereits festgestellt, dass aufgrund des Äquivalenzgrundsatzes auch die von der GRC garantierten Rechte vor dem VfGH als verfassungsgesetzlich gewährleistete Rechte gemäß Art144 B-VG geltend gemacht werden können und sie im Anwendungsbereich der GRC einen Prüfungsmaßstab in Verfahren der generellen Normenkontrolle, vor allem gemäß Art139 und Art140 B-VG, bilden. Dies gelte dann, wenn die betreffende Garantie der GRC in ihrer Formulierung und Bestimmtheit verfassungsgesetzlich gewährleisteten Rechten gleiche. Die Eingriffsziele des Art52 Abs1 GRC, in concreto 'von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen', erlauben weitergehende Eingriffe in Art8 GRC als jene, die in Art8 Abs2 EMRK taxativ genannt sind (auf welche §1 Abs2 DSG hinsichtlich staatlicher Eingriffe explizit rekurriert), wobei auch diese Divergenz in Anbetracht der gleichen Schrankenprüfung (Verhältnismäßigkeit) praktisch zu keinen wesentlichen Unterschieden bei der Zulässigkeit von Eingriffen führen wird. In Anbetracht dieser Überlegungen wird davon ausgegangen, dass Art8 GRC 'keinen über die Verfassungsbestimmung des §1 DSG hinausgehenden Schutzgehalt hat', wobei die Anwendungsbereiche der beiden Grundrechtsbestimmungen aber dennoch nicht (ganz) deckungsgleich sind. In Anbetracht der trotz vorhandene[r] Unterschiede, im Gesamtzusammenhang aber dennoch vorliegenden Vergleichbarkeit zwischen §1 DSG und Art8 GRC kann diese Bestimmung jedenfalls als Grundrecht vor dem VfGH geltend gemacht werden (Riesz in Holoubek/Lienbacher, GRC-Kommentar2 Art8 (Stand 1.4.2019, rdb.at)).
Ebenso hat der EGMR die Schutzbedürftigkeit personenbezogener Daten anerkannt, indem er die Verarbeitung, Übermittlung und Aufbewahrung entsprechender Daten regelmäßig als Eingriff in die durch Art8 Abs1 EMRK geschützte Privatsphäre (insb. in das allgemeine Persönlichkeitsrecht) qualifiziert hat. Art8 GRC knüpft an die bestehenden umfassenden Schutzgarantien des Art8 Abs1 EMRK an und schreibt den Aspekt des Schutzes personenbezogener Daten in einem eigenständigen Grundrecht fest. Mittelbar vollzieht sich eine Inkorporierung im Bereich des Datenschutzes allerdings durch die explizite Bezugnahme auf Art8 EMRK in den Erläuterungen von Art8 GRC, welche gemäß Art52 Abs7 GRC iVm Art6 Abs1 Unterabsatz 3 EUV bei der Aus
