Datenschutz in der Gesetzgebung: Internationale Fachtagung im Parlament

Wien (PK) – "Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten", lautet die erste Bestimmung der EU-Datenschutzgrundverordnung (DSGVO). Ebenso sieht die 2016 kundgemachte Verordnung Regelungen zur Sicherstellung der Datenweitergabe im Rahmen des Geltungsbereichs des Unionsrechts vor. Wie in der Gesetzgebung diesen Vorgaben Folge geleistet werden kann und welche Kontrollmechanismen es in der DSGVO-Anwendung bei der Gesetzgebung braucht, wird heute in einer Fachtagung des Parlaments in der Hofburg diskutiert.

Österreich nahm bei der Frage des Umgangs mit der DSGVO bei der parlamentarischen Arbeit auf EU-Ebene bislang eine Minderheitsposition ein, da alle Parlamentsklubs sie im Bereich der Staatsfunktion Gesetzgebung nicht für anwendbar hielten. Grundsätzliches Ziel der DSGVO ist, unionsweit die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen zu vereinheitlichen. Das österreichische Datenschutzgesetz (DSG) wurde an die DSGVO-Bestimmungen 2018 angepasst.

Parlament im Spannungsfeld zwischen Persönlichkeitsschutz und Transparenz

Anhand von Praxisbeispielen aus den Niederlanden und aus Deutschland erörterte eine internationale Expertenrunde den parlamentarischen Umgang mit diesen Regelungen, die sich zwischen persönlichen Schutzinteressen und dem Anspruch auf Transparenz der Gesetzgebung bewegen. Neben diesem Spannungsfeld behandelte Gerlinde Wagner, Leiterin des Rechts-, Legislativ- und Wissenschaftlichen Dienstes der Parlamentsdirektion, in ihrer Einführung zur Tagung den Anwendungsbereich des Unionsrechts, zumal die DSGVO keine Ausnahme für die Gesetzgebung vorsehe, und die zu klärende Frage der datenschutzrechtlichen Kontrollverantwortung bei der Gesetzgebung. Sie betonte dabei, das Grundrecht auf Datenschutz gelte unbestritten auch in der Gesetzgebung, allerdings fehle es an einer zuständigen Rechtsschutzbehörde.

Nach österreichischer Rechtsauffassung könne die im Justizministerium gemäß DSGVO eingerichtete Datenschutzbehörde nämlich nicht die Kontrolle der Staatsfunktion Gesetzgebung übernehmen: "Eine Kontrolle der Legislative durch ein Organ der Exekutive ist nicht vorgesehen", so Wagner. Besondere Brisanz hätten Datenschutzfragen bei Untersuchungsausschüssen erhalten, wenn personenbezogene Daten Betroffener in U-Ausschuss-Berichten veröffentlicht werden.

Parlamentsdirektor Harald Dossi hatte zuvor in seiner Begrüßung ebenfalls auf die Untersuchungsausschüsse hingewiesen, die dem Thema öffentliches Interesse versus Datenschutz im Zusammenhang mit Persönlichkeitsrechten höchste Aktualität verliehen. Die Parlamentsdirektion, die tagtäglich damit auch bezüglich Interpellationsrecht befasst sei, lege großen Wert darauf, die politischen Klubs in die Debatte zur Anwendung der DSGVO in der Gesetzgebung einzubinden, unterstrich Dossi. Deswegen würden die BereichssprecherInnen der Fraktionen ihre Sichtweisen der Thematik bei der Tagung vorstellen. Zudem verwies er auf eine diesbezügliche Expertenkonferenz, die am 26. Februar 2022 im Parlament stattfand (siehe Parlamentskorrespondenz Nr.179).

Die Geltung und Anwendung der DSGVO im niederländischen und im deutschen Parlament beleuchteten die dortigen Datenschutzbeauftragten, Bernardien van Leeuwen und Bettina Giesecke. Dabei zeigte sich, dass in der niederländischen Legislative die Abgeordneten für ihre Bereiche mit ihrer Unabhängigkeit als eigene Datenverarbeitende angesehen werden. In Deutschland unterliegt im Bereich der Gesetzgebung der Schutz personenbezogener Daten, etwa hinsichtlich Namensnennungen, im parlamentarischen Alltag häufig einer Interessenabwägung, etwa gegenüber dem Öffentlichkeitsinteresse. Eckhard Riedl, Leiter der Stabsstelle für Datenschutz im Justizministerium regte an, schon aus Gründen der Gewaltentrennung eine eigene Datenschutzbehörde im Parlament einzurichten, die bei derartigen Interessenskonflikten einzuschalten wäre.

Niederlande: Abgeordnete als eigenverantwortliche Datenverarbeitende

Zwar werte man die DSGVO-Bestimmungen als anwendbar auf sämtliche Prozesse im niederländischen Parlament, sowohl bei Gesetzgebung und Kontrolle als auch in Zusammenhang mit Bürgerbeteiligungen, hielt van Leeuwen fest. Die niederländischen ParlamentarierInnen müssten in ihrer Funktion als unabhängige VolksvertreterInnen jedoch selbstverantwortlich über die Nutzung personenbezogener Daten in ihrem Bereich entscheiden, wobei es Usus im parlamentarischen Geschäft sei, Personendaten Dritter in Debatten und offiziellen Dokumenten nicht zu benutzen. Was Beschwerdemöglichkeiten betrifft, können sich betroffene Personen an die Aufsichtsbehörde oder an das Gericht wenden, wenn sie ein Problem bei der Datenverarbeitung ihrer Daten im Parlament oder auch direkt bei den Abgeordneten sehen, so die niederländische Datenschutzbeauftragte.

U-Ausschüsse im Bundestag: Kein Rechtsschutz gegen Namensnennung in Berichten

Im politisch-parlamentarischen Bereich greift man laut Giesecke im Deutschen Bundestag auf Vorprüfungen durch die Verwaltung zurück, insbesondere vor der Veröffentlichung von Drucksorten. Streitfälle würden der Präsidentin zur Entscheidung vorgelegt beziehungsweise befassten sich Ältestenrat und Plenum damit.

Im U-Ausschuss-Verfahren werde möglichst zu Beginn darauf hingewirkt, etwaige Namen im Zweifel auf der Tagesordnung nur mit Initialen zu benennen, weil im Vorfeld oft nicht klar sei, welche Bedeutung eine Person haben werde. Im politisch-parlamentarischen Bereich gebe es zwar die Möglichkeit einer Verfassungsbeschwerde, ausgeschlossen sei jedoch ein Rechtsschutz gegen Namensnennungen in U-Ausschüssen. Hinsichtlich einer Aufsichtsbehörde für den politisch-parlamentarischen Bereich führte Giesecke aus, es gebe zwar über die allgemeinen Landes- und Bundesbeauftragten hinaus, beispielsweise für Rundfunk und kirchliche Stellen, spezifische Aufsichtsbehörden. Bei einer besonderen Aufsichtsbehörde für das Parlament ergäben sich allerdings etwa Fragen zur Unabhängigkeit der Aufsicht. Zudem wären die genaue Zuständigkeit sowie die Abstimmung mit den anderen Behörden zu klären.

Justizministerium regt Datenschutzbehörde für Parlament an

In den Augen des Leiters der Datenschutzstabstelle im Justizministerium Eckhard Riedl braucht es eine eigene Datenschutz-Aufsichtsbehörde für die DSGVO-gemäße Datenverarbeitung durch die Gesetzgebung. Die EU-Verordnung biete hier Gestaltungsspielraum für die Mitgliedstaaten, da sie in ihrem Anwendungsbereich durch staatliche Stellen nicht nach Staatsfunktionen unterscheide. Wohl sehe das heimische Datenschutzgesetz bei der Einsetzung der bestehenden Datenschutzbehörde als Datenschutz-Aufsichtsbehörde gemäß DSGVO keine ausdrückliche Ausnahme für die Gesetzgebung vor, räumte Riedl ein. Doch wäre in Hinblick auf den verfassungsrechtlichen Grundsatz der Gewaltentrennung die Einrichtung einer eigenen Datenschutzbehörde für die Gesetzgebung die "praktikabelste Lösung" zur Umsetzung des Unionsrechts. Die jüngste Antwort des Europäischen Gerichtshofs auf eine diesbezügliche Anfrage des Verwaltungsgerichtshofs weise ebenso in diese Richtung. (Fortsetzung Fachtagung) rei/mbu

HINWEIS: Die Fachtagung kann auch via Livestream mitverfolgt werden und ist als Video-on-Demand in der Mediathek des Parlaments verfügbar. Fotos von dieser Veranstaltung finden Sie auf der Website des Parlaments.