Datenschutz in der österreichischen Gesetzgebung: Ausgangslage, offene Fragen und Lösungsansätze

Wien (PK) — Das zweite und dritte Panel der internationalen Fachtagung im österreichischen Parlament zu Fragen des Datenschutzes in der österreichischen Gesetzgebung widmete sich der Ausgangssituation aufgrund der derzeitigen österreichischen Rechtsprechung. In weiterer Folge diskutierten die ExpertInnen über mögliche Lösungsansätze. Im Mittelpunkt stand dabei die Frage, inwieweit weitere parlamentsspezifische datenschutzrechtliche Regelungen Lösungen bieten könnten. Diskutiert wurde auch über die Einrichtung einer innerparlamentarischen Aufsichtsbehörde und darüber, wie diese ausgestaltet werden könnte.

Datenschutz in österreichischen Parlamenten: Die Ausgangssituation der aktuellen Rechtsprechung und Praxis

Bundeskanzlerin a.D. und Präsidentin des Verfassungsgerichtshofes a.D. Brigitte Bierlein führte in ihrem Redebeitrag aus, welches Spannungsverhältnis zwischen parlamentarischer Kontrolle und dem Datenschutz unter dem Aspekt des Verfassungsrechts besteht. Sie stellte fest, dass die bisherige Rechtslage und die Rechtsprechung dazu einige Fragen des Rechtsschutzes persönlicher Daten offenlässt. Was die bisherigen Entscheidungen der Datenschutzbehörde hier bedeuten, legte Andrea Jelinek als Leiterin der Datenschutzbehörde (DSB) dar. Sie sah offene Rechtsschutzfragen im Umfeld von Untersuchungsausschüssen. Über den praktischen Umgang mit Datenschutzfragen im österreichischen Parlament referierte Sarah König, die Datenschutzbeauftragte der Parlamentsdirektion. Sie verwies unter anderem auf die Problematik personenbezogener Daten auf der Parlamentswebsite, die immer wieder zu Löschanträgen von Betroffenen führe. Damit sei aber auch ein hoher Verwaltungsaufwand verbunden.

Bierlein zum Spannungsverhältnis von parlamentarischem Kontrollrecht und dem Grundrecht auf Datenschutz

Der Fokus des Statements von Verfassungsrechtlerin Brigitte Bierlein zur aktuellen Rechtslage und Rechtsprechung lag auf den besonders sensiblen datenschutzrechtlichen Aspekten im Bereich der parlamentarischen Kontrolle. Besondere Relevanz haben laut ihr die Ausübung des parlamentarischen Fragerechts (Interpellationsrechts) sowie Untersuchungsausschüsse.

Bei parlamentarischen Anfragen von Abgeordneten gelte es, das Interesse des Datenschutzes sowie das Geheimhaltungsinteresse betroffener Personen gegenüber dem hohen Gut der parlamentarischen Kontrolle und dem berechtigten Interesse der Öffentlichkeit an Transparenz abzuwägen, betonte Bierlein. Probleme sah sie dabei aufgrund der Tatsache, dass es keine verfahrensrechtlichen Regelungen in den Geschäftsordnungen des Nationalrats und des Bundesrats gebe, wie klassifizierte Dokumente im Plenum zu behandeln seien. In der heutigen Informationsgesellschaft mit ihrer erleichterten Zugänglichkeit und Auffindbarkeit parlamentarischer Materialien habe auch die Veröffentlichung personenbezogener Daten auf der Website des Parlaments für Betroffene eine andere Dimension als noch vor wenigen Jahren, stellte Bierlein fest. Für Betroffene könnte auch erheblicher Schaden in privater und beruflicher Hinsicht entstehen, etwa wenn ein Name mit rufschädigenden oder strafrechtsrelevanten Inhalten in Verbindung gebracht werde. Eine Beschwerde an die Datenschutzkommission sei hier nicht möglich. Aufgrund der Immunitätsbestimmungen könne auch gegen einzelne Abgeordnete nicht vorgegangen werden. Für den Umgang mit Lösch- oder Anonymisierungsersuchen von betroffenen Personen in Bezug auf parlamentarische Anfragen und Anfragebeantwortungen, die auf der Parlamentswebsite veröffentlicht werden, gebe es keine eigene gesetzliche Regelung, sondern nur eine geübte Praxis. Bierlein zog das Fazit, dass es deutliche Rechtsschutzlücken bei der Veröffentlichung personenbezogener Daten auf der Parlamentswebsite gebe. Die Schaffung einer eigenen Kontrollbehörde könne überlegt werden, würde aber einen hohen Verwaltungsaufwand bedeuten.

Bei den Untersuchungsausschüssen ortete Bierlein datenschutzrechtliche Fragen bei der Aktenvorlage. So komme es vor, dass personenbezogene Daten, die mit Akten und Unterlagen dem Untersuchungsausschuss vorgelegt wurden, in medienöffentlichen Sitzungen des Untersuchungsausschusses verwendet oder an Medien weitergegeben werden. Der Verfassungsgerichtshof (VfGH) habe unterdessen geklärt, dass vorlagepflichtige Organe, bis auf Ausnahmegründe wie Quellenschutz und die rechtmäßige Willensbildung der Bundesregierung, den Datenschutz nicht als Grund für eine Nicht-Vorlage von Akten und Unterlagen an einen Untersuchungsausschuss anführen können. Der VfGH habe sich aber bisher allerdings nicht dazu geäußert, wie diese Vorlageverpflichtung im Lichte der DSGVO zu bewerten sei. Ein Vorabentscheidungsverfahren des Europäischen Gerichtshofs (EuGH) werde das vielleicht klären, meinte Bierlein.

Zum Datenschutz in Veröffentlichungen des Untersuchungsausschusses verwies Bierlein auf die Verfahrensordnung, die festlege, dass der U-Ausschuss in seiner gesamten Tätigkeit darauf zu achten habe, ob bei der Verwendung personenbezogener Daten schutzwürdige Geheimhaltungsinteressen gegenüber dem öffentlichen Informationsinteresse überwiegen. Die Rechtsschutzinstrumente gegen mögliche Verstöße, wie Einwendungen zu Befragungsprotokollen oder Stellungnahmen zum Entwurf eines Ausschuss- bzw. Fraktionsberichts seien allerdings eher eng, zudem sei eine Persönlichkeitsrechtsbeschwerde beim VfGH nur unter bestimmten Voraussetzungen möglich.

In Bezug auf klassifizierte Informationen im Untersuchungsausschuss komme es immer wieder vor, dass Abgeordnete bei PolitikerInnen bzw. Personen des öffentlichen Lebens Klassifizierungen von Informationen ignorieren. Hier gebe es kaum Sanktionsmöglichkeiten. Die persönliche wie sachliche Immunität von Abgeordneten sei für deren Tätigkeit grundsätzlich sehr wichtig und sollte daher keinesfalls eingeschränkt werden, betonte Bierlein.

Für die Verfassungsexpertin stellt sich die Frage, ob Lösungen in der Überarbeitung der Verfahrensordnung oder in höheren Geheimhaltungsstufen gefunden werden können. Allerdings zeige sich, dass es kaum längere Pausen zwischen Untersuchungsausschüssen gebe, in denen solche Ansätze diskutiert werden könnten. Ein Problem sei auch die Breite der Untersuchungsgegenstände von Untersuchungsausschüssen, zumal die Judikatur des VfGH die "abstrakte Relevanz" von Unterlagen zum Untersuchungsgegenstand sehr weit auslege. Das habe eine Flut von Akten zur Folge. Sie hoffe, dass der aktuelle Untersuchungsausschuss letztlich zur Verbesserung der politischen Kultur beitragen werde.

Jelinek: Die Spruchpraxis der Datenschutzbehörde für mögliche Regelungen im parlamentarischen Bereich

Andrea Jelinek betonte als Leiterin der österreichischen Datenschutzbehörde (DSB), dass die Behörde in Österreich gemäß der Datenschutzgrundverordnung (DSGVO) eingerichtet worden sei, und zwar als völlig unabhängige Aufsichtsbehörde. Was die Aufsicht gegenüber der Gesetzgebung bzw. den Organen der Gesetzgebung betreffe, schweige die DSGVO dazu. Die österreichische DSB halte sich jedenfalls aufgrund der Gewaltenteilung hier für unzuständig. Das Bundesverwaltungsgericht (BVwG) halte die DSB hingegen für zuständig. Vor diesem Hintergrund habe der VwGH ein Vorabentscheidungsersuchen an den EuGH gestellt.

Zur einschlägigen Rechtssprechung hielt Jelinek fest, dass die DSB in Beschwerdeverfahren ihre Zuständigkeit gegenüber der Volksanwaltschaft und einem Untersuchungsausschuss verneint und diesbezügliche Beschwerden zurückgewiesen habe. Sie sehe sich allerdings dann als zuständig, wenn in Zusammenhang mit einem Untersuchungsausschuss gegen ein vorlagepflichtiges Verwaltungsorgan Beschwerde eingebracht werde, sofern diese die Aktenübermittlung an den Untersuchungsausschuss betreffe. Hier könne es sein, dass die vorlagepflichtige Stelle Rechtsverletzungen begeht, wenn sie Unterlagen liefert, die dem Datenschutz unterliegen.

Zusammenfassend stellte auch Jelinek fest, dass es im Zusammenhang mit Untersuchungsausschüssen gewisse Defizite im Rechtsschutz gebe. Jelinek zeigte sich erfreut darüber, dass die Frage der Zuständigkeit der DSB nun bis zum EuGH gelangt sei. Allerdings wäre es sinnvoll, bereits vor der EuGH-Entscheidung über mögliche Szenarien und Lösungen nachzudenken. So könnte das Parlament befinden, dass es eine eigene Aufsichtsbehörde brauche, meinte Jelinek. In diesem Falle werde aber die Frage der Vertretung in der Europäischen Datenschutzbehörde zu lösen sein.

König: Datenschutz im österreichischen Parlament und in den Landtagen

Die Fragen der Datenverarbeitung und Verantwortlichkeiten im Bereich der Gesetzgebung, also im österreichischen Parlament und den Landtagen, ergeben sich laut Sarah König aus den Aufgaben der Gesetzgebung im eigentlichen Sinne, aber auch aus ihren Kontroll- und Mitwirkungsbefugnissen. In dieser Arbeit falle eine große Menge datenschutzrelevanter Daten an. Dabei gebe es eine Vielzahl von AkteurInnen und Rollen. Hierbei müsse stets auch das Interesse der Öffentlichkeit und des Datenschutzes gegeneinander abgewogen werden. Insbesondere die Datenverarbeitung Dritter bereite oft Schwierigkeiten.

König wies auf die besonderen Herausforderungen hin, die sich für die Parlamentsdirektion stellen. Sie griff dabei die Frage von Wortmeldungen in öffentlichen Sitzungen auf. Im Detail ging König auf die Protokollierung eines Untersuchungsausschusses, von den Befragungen bis zur Veröffentlichung bzw. Herausgabe des Protokolls ein. Insgesamt gebe es eine hohe Komplexität der Verarbeitung von Daten und Schwierigkeiten bei der Definition von Verantwortlichkeiten. In der Praxis seien Löschungsansuchen für die Parlamentsdirektion ein hoher Verwaltungsaufwand. In einem Ausblick meinte sie, dass detailliertere gesetzliche Regelungen der Verwaltung klarere Vorgaben geben könnte. Die Anwendung der DSGVO auf die Gesetzgebung könnte auch Einschränkungen der Datenverarbeitung ergeben. Auch wären Einschränkungen der Betroffenenrechte möglich, etwa wenn es um Löschansuchen zum Stenographischen Protokoll gehe. Nicht selten sei es, dass Personen ersuchen, ihre gesamte Stellungnahme im Rahmen von Gesetzesbegutachtungen wieder zu löschen. Für viele dieser Fälle wären allerdings technische Lösungen durchaus ausreichend, etwa wenn das Problem das Auftauchen von Namen bei Suchanfragen im Internet sei.

Präsentation von konkreten Lösungsansätzen und Umgang mit Betroffenenrechten

Im Mittelpunkt des dritten Panels der Fachtagung standen mögliche Lösungsansätze. Aus Sicht von Gerhard Baumgartner, Universitätsprofessor für Öffentliches Recht, wäre es am sinnvollsten, Datenschutzaufgaben einem/einer vom Parlament gewählten unabhängigen Datenschutzbeauftragten oder einem Gremium zu übertragen.

Landtagsdirektor Wolfgang Steiner, Leiter der Direktion Verfassungsdienst im Amt der oberösterreichischen Landesregierung, befasste sich primär mit dem Umgang mit Betroffenenrechten im parlamentarischen Verfahren aus Sicht der Praxis. Für die Abwicklung aller diesbezüglichen Vorgänge schlug Steiner die Einrichtung eines Kompetenz- bzw. Servicezentrums Datenschutz vor, das unabhängig vom Bereich (Gesetzgebung oder Parlamentsverwaltung) einen One-Stop-Zugang ermöglichen würde.

Baumgartner: Verschiedene Lösungsansätze im Bereich des Rechtsschutzes

Man dürfe gespannt sein, wie die an den EuGH herangetragene Frage, ob die Tätigkeit eines Untersuchungsausschusses in den Anwendungsbereich des Unionsrechts falle, letztlich beantwortet werde, konstatierte Gerhard Baumgartner, Universitätsprofessor für Öffentliches Recht in Klagenfurt. Aufgrund der Vorjudikatur des Gerichtshofs wäre es aber aus seiner Sicht mehr als überraschend, wenn die Gesetzgebung vom Anwendungsbereich der DSVGO ausgenommen werden würde. Es wäre daher wichtig, sich schon jetzt zu überlegen, wie ein entsprechender Rechtsschutz aussehen könnte, zumal in der Datenschutz-Grundverordnung ein Recht auf Beschwerde bei einer Aufsichtsbehörde, auf einen gerichtlichen Rechtsbehelf gegen deren Entscheidung sowie auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder AuftragsverarbeiterInnen festgelegt seien.

Die von ihm präsentierten Lösungsansätze sollen laut Baumgartner vor allem dazu dienen, die Diskussion in diesem Bereich anzuregen. Eine Möglichkeit wäre es, die Überwachung der Einhaltung der Datenschutzvorschriften im Bereich der Gesetzgebung durch einen besonderen Parlamentsausschuss bzw. ein parlamentarisches "Datenschutzgremium", in dem wie in Deutschland alle Fraktionen vertreten sind, zu gewährleisten. Alternativ dazu könnte die Überwachung durch den Präsidenten oder die Präsidentin bzw. das Präsidium stattfinden. Da in beiden genannten Fällen angezweifelt werden könnte, ob eine wirkliche Unabhängigkeit gegeben sei, präferiere er das Modell, wonach ein vom Parlament selbst bestelltes Organ diese Aufgaben übernehmen solle. Dies könnte in Form der Schaffung eines Datenschutzbeauftragten des Parlaments umgesetzt werden. Weiters wäre es denkbar, eine Zuständigkeit des VfGH bei Rechtsverletzungen infolge DSGVO-widriger Datenverarbeitung im Bereich der Gesetzgebung zu etablieren. Dafür wäre jedoch eine Verfassungsänderung notwendig, erläuterte Baumgartner. Ein Nachteil würde auch darin liegen, dass der VfGH schon jetzt eine hohe Arbeitsbelastung aufweise.

Steiner schlägt Kompetenz- und Servicezentrum für Umgang mit Betroffenenrechten im parlamentarischen Verfahren vor

Er wolle sich in seinem Referat auf den Umgang mit Betroffenenrechten konzentrieren, betonte Landtagsdirektor Wolfgang Steiner. Neben direkt Betroffenen gebe es auch indirekt Betroffene, wie etwa im Fall von EinbringerInnen von Petitionen, UnterstützerInnen auf privaten Online-Plattformen, im Stellungnahme- oder Beteiligungsverfahren, BesucherInnen, TeilnehmerInnen in der Demokratiewerkstatt oder anderen Veranstaltungen, Namensnennungen bei Anfragebeantwortungen auf der Parlaments-Website oder in Debatten. Die Daten können dabei entweder vom Parlament stammen (Abgeordnete, Auskunftspersonen, AbsenderInnen), den Klubs oder von sogenannten "Zulieferern" (Regierung, Initiativanträge, Rechnungshof etc.), wobei die rechtlichen Beziehungen unterschiedlich gestaltet sein können. Die zahlreichen Rechte der betroffenen Person können der Datenschutz-Grundverordnung entnommen werden und reichen vom Recht auf Berichtigung, dem Recht auf Löschung bis hin zum Widerspruchsrecht. Durch die "Öffnungsklauseln" könne es zu einer Beschränkung dieser Rechte auf Basis von innerstaatlichen Regelungen kommen. Der Spielraum dürfte jedoch eng sein, urteilte Steiner.

Potentiell Betroffene dürfen sich jedenfalls größtmögliche Transparenz und Fairness erwarten, betonte der Rechtsexperte. Dabei gehe es um Fragen wie "was passiert mit meinen Daten im Fall von Schreiben an Präsident, Klubs oder einzelne Abgeordnete? Mein Name wurde in der Plenardebatte genannt. Was kann ich machen? Eine Anfragebeantwortung enthält Daten, die Rückschlüsse auf meine Person zulassen. Wo kann ich mich beschweren?" Für die Abwicklung aller Vorgänge im Zusammenhang mit Betroffenenrechten schlägt Steiner ein Kompetenz- bzw. Servicezentrum Datenschutz vor, das unabhängig vom Bereich (Gesetzgebung oder Parlamentsverwaltung) einen One-Stop-Zugang ermöglichen würde. Generell plädierte er für eine Weiterentwicklung des Gesamtsystems und entsprechende Regelungen auf Ebene der parlamentarischen Geschäftsordnungen. Dabei sollte auch nicht auf die Landtage vergessen werden. (Fortsetzung Fachtagung) sox/sue

HINWEIS: Die Fachtagung kann auch via Livestream mitverfolgt werden und ist als Video-on-Demand in der Mediathek des Parlaments verfügbar.