11513 der Beilagen zu den Stenographischen Protokollen des Bundesrates
Bericht
des Geschäftsordnungsausschusses
über den Beschluss des Nationalrates vom 13. Juni 2024 betreffend ein Bundesverfassungsgesetz, mit dem das Bundes-Verfassungsgesetz geändert wird
Die Abgeordneten Mag. Ernst Gödl, Mag. Jörg Leichtfried, Werner Herbert, Mag. Agnes Sirkka Prammer, Kolleginnen und Kollegen haben den dem gegenständlichen Beschluss des Nationalrates zugrundeliegenden Initiativantrag am 31. Jänner 2024 im Nationalrat eingebracht und wie folgt begründet:
„Der Nationalrat und der Bundesrat sind bisher davon ausgegangen, dass Datenverarbeitungen im Bereich der Gesetzgebung vom Grundrecht auf Datenschutz (§ 1 DSG) erfasst sind, dass aber weder die DSGVO noch die übrigen Bestimmungen des DSG auf Datenverarbeitungen im Bereich der (nationalen) Gesetzgebung Anwendung finden (vgl. z.B. 188/A XXVI. GP, AB 98 BlgNR XXVI. GP, AB 463 BlgNR XXVI. GP; AB 9957 BlgBR). Diese Ausgangslage hat sich durch das Urteil des EuGH vom 16.1.2024 im Vorabentscheidungsverfahren C-33/22, Österreichische Datenschutzbehörde, geändert.
Der vorliegende Antrag stellt einen ersten Entwurf für notwendige Anpassungen dar; die Verhandlungen dazu sind jedoch noch offen. Die Einbringung erfolgt aus zeitlichen Erwägungen, um im Fall einer Einigung eine möglichst rasche Beschlussfassung zu ermöglichen.
Im Hinblick auf Art. 6 Abs. 1 lit. e iVm Abs. 3 DSGVO soll klargestellt werden, dass Datenverarbeitungen im Bereich der Organe der Gesetzgebung des Bundes zur Erfüllung von deren Aufgaben zulässig sind. Dies bedeutet nicht, dass es dafür bisher keine Rechtsgrundlage gegeben hätte: Es handelt sich um Datenverarbeitungen, die im Sinne des Art. 6 Abs. 3 DSGVO für die Erfüllung der (verfassungs-)gesetzlichen Aufgaben des Nationalrates und des Bundesrates und deren Mitglieder erforderlich und daher zulässig sind. Zu diesen verfassungsmäßigen Aufgaben zählen neben der Gesetzgebung des Bundes auch die Mitwirkung des Nationalrates und des Bundesrates an der Vollziehung des Bundes – darunter insbesondere auch die parlamentarische Kontrolle (Interpellationsrecht, Einsetzung von Untersuchungsausschüssen etc.) – sowie die Mitwirkung in EU- und ESM-Angelegenheiten.
Darüber hinaus ist es erforderlich, für die Erfüllung der Aufgaben der Organe der Gesetzgebung des Bundes eine explizite Grundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. g DSGVO) und von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) zu schaffen. Die Verarbeitung solcher Kategorien von personenbezogenen Daten kann insbesondere in Zusammenhang mit der Tätigkeit von Untersuchungsausschüssen notwendig sein: Je nach Untersuchungsgegenstand können die vorgelegten Akten und Unterlagen unterschiedlichste Kategorien von personenbezogenen Daten enthalten, die im Nationalrat zur Ausübung der parlamentarischen Kontrolle verarbeitet werden müssen. Dasselbe kann auf andere Arten von zugeleiteten Informationen, Berichten etc. zutreffen; eine Einschränkung auf bestimmte Datenkategorien ist daher vorab nicht möglich. Strafrechtsbezogene Daten sind beispielsweise – neben der Tätigkeit von Untersuchungsausschüssen – auch bei Auslieferungsersuchen in Immunitätsangelegenheiten betroffen.
Geeignete Maßnahmen bzw. Garantien zum Schutz dieser Daten ergeben sich aus dem aufgrund von Art. 30a (künftig: Abs. 1) B-VG erlassenen Informationsordnungsgesetz (InfOG). Dieses sieht eine Klassifizierung von schutzbedürftigen Informationen vor, wobei neben bestimmten öffentlichen Interessen auch Datenschutzinteressen (überwiegende berechtigte Interessen der Parteien) eine Klassifizierung gemäß § 4 InfOG rechtfertigen bzw. erforderlich machen können. Mit einer Klassifizierung geht ein detailliertes Schutzregime einher: Das InfOG und die auf seiner Grundlage erlassene Informationsverordnung (InfoV) enthalten neben einer Geheimhaltungsverpflichtung vor allem auch Regelungen über die Zugangsberechtigung zu klassifizierten Informationen (die nach Personenkreisen differenziert und von der Klassifizierungsstufe abhängig ist) sowie genaue Vorgaben zum Umgang mit diesen Informationen (Kennzeichnung, Aufbewahrung und Bearbeitung, Verteilung und Beförderung, elektronische Verarbeitung, Registrierung sämtlicher Informationen ab Klassifizierungsstufe 2 etc.). Eine Offenbarung oder Verwertung von klassifizierten Informationen der Stufen 3 und 4 ist zudem gerichtlich strafbar (§ 18 InfOG), dieser Bereich ist auch von der beruflichen Immunität ausgenommen (Art. 57 Abs. 1 B-VG).
Die Berechtigung zur Datenverarbeitung besteht je nach konkretem Aufgabenbereich für alle parlamentarischen Akteure, also Nationalrat und Bundesrat, deren Präsidenten bzw. Präsidentinnen, Mitglieder, Ausschüsse und Unterausschüsse, Enqueten und Enquete-Kommissionen sowie die Funktionäre bzw. Funktionärinnen im Sinne des Art. 138b Abs. 1 Z 7 lit. c B-VG iVm § 56i Abs. 1 VfGG (Vorsitzender bzw. Vorsitzende, Verfahrensrichter bzw. Verfahrensrichterin und Verfahrensanwalt bzw. Verfahrensanwältin sowie deren Stellvertreter bzw. Stellvertreterinnen, Ermittlungsbeauftragter bzw. Ermittlungsbeauftragte). Sie schließt auch die Mitarbeiter bzw. Mitarbeiterinnen der parlamentarischen Klubs, die parlamentarischen Mitarbeiter bzw. Mitarbeiterinnen sowie die Bediensteten und Mitarbeiter bzw. Mitarbeiterinnen der Parlamentsdirektion ein, die für die jeweiligen parlamentarischen Akteure tätig werden. Die Datenverarbeitung durch Mitarbeiter bzw. Mitarbeiterinnen ist den jeweiligen Organen bzw. Mitgliedern zuzurechnen, für die sie tätig werden.
Nähere Regelungen können im Bundesgesetz über die Geschäftsordnung des Nationalrates und in der Geschäftsordnung des Bundesrates sowie im Informationsordnungsgesetz, das für den Nationalrat und den Bundesrat gleichermaßen gilt, getroffen werden.
Darüber hinaus soll in einem neuen Art. 96 Abs. 4 B-VG klargestellt werden, dass dasselbe auch für die Landtage gilt. Näheres kann in diesem Fall durch Landesgesetz geregelt werden. Dabei wären – sofern nicht bereits vorhanden – ebenfalls geeignete Maßnahmen bzw. Garantien für die Verarbeitung besonderer Kategorien personenbezogener Daten und von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten festzulegen.
Auch der Rechnungshof und die Volksanwaltschaft sind (Hilfs-)Organe der Gesetzgebung, für sie ist Art. 30a B-VG jedoch (auch künftig) nicht einschlägig. Nähere Bestimmungen über ihre Tätigkeit sind wie bisher auf Grundlage von Art. 128 bzw. Art. 148j B-VG durch (einfaches) Bundesgesetz zu treffen.“
Ein im Zuge der Debatte im Ausschuss des Nationalrates eingebrachter und beschlossener Abänderungsantrag wurde wie folgt begründet:
„Zu Z 1 (Art. 30a):
Der Nationalrat und der Bundesrat sind bisher davon ausgegangen, dass Datenverarbeitungen im Bereich der Gesetzgebung vom Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz [DSG]) erfasst sind, dass aber weder die Datenschutz-Grundverordnung (DSGVO) noch die übrigen Bestimmungen des DSG auf Datenverarbeitungen im Bereich der (nationalen) Gesetzgebung Anwendung finden (vgl. z.B. 188/A XXVI. GP, AB 98 d.B. XXVI. GP, AB 463 d.B. XXVI. GP; AB 9957/BR d.B.). Diese Ausgangslage hat sich durch das Urteil des EuGH vom 16.1.2024 im Vorabentscheidungsverfahren C-33/22, Österreichische Datenschutzbehörde, geändert.
Es ist daher erforderlich, die Verarbeitung personenbezogener Daten im Bereich der Gesetzgebung näher zu regeln, um das Recht auf den Schutz personenbezogener Daten mit den Erfordernissen und Funktionsweisen der parlamentarischen Arbeit und Verfahren in Einklang zu bringen.
Der Schutz personenbezogener Daten im Bereich des Nationalrates und des Bundesrates soll im Informationsordnungsgesetz (InfOG) geregelt werden, das für den Nationalrat und den Bundesrat gleichermaßen gilt. Art. 30a ist daher entsprechend zu ergänzen. Die Formulierung „Schutz personenbezogener Daten im Bereich des Nationalrates und des Bundesrates“ ist so zu verstehen, dass es um spezifische Datenschutzangelegenheiten des Nationalrates und des Bundesrates geht, für die das InfOG das einschlägige Materiengesetz darstellen soll. Zu diesen Angelegenheiten sollen neben einer generellen Rechtsgrundlage für Datenverarbeitungen im Nationalrat und im Bundesrat auch notwendige Beschränkungen der Rechte betroffener Personen in diesem Zusammenhang sowie allgemeine Fragen der Verantwortlichkeit im Bereich des Nationalrates und des Bundesrates zählen.
Spezifische bzw. punktuelle Regelungen im Kontext der jeweiligen Geschäftsbehandlung sollen weiterhin – auf Grundlage von Art. 30 Abs. 2 und Art. 37 Abs. 2 – im Geschäftsordnungsgesetz 1975 und in der Geschäftsordnung des Bundesrates getroffen bzw. beibehalten werden (vgl. insb. § 20 Abs. 4 und § 51 Abs. 2 der Anlage 1 zum Geschäftsordnungsgesetz 1975 [Verfahrensordnung für parlamentarische Untersuchungsausschüsse – VO-UA]). Bei derartigen Regelungen handelt es sich zum einen nicht primär um datenschutzrechtliche Bestimmungen, sondern um Fragen der Geschäftsbehandlung im Nationalrat oder Bundesrat, und zum anderen betreffen sie nicht den Nationalrat und den Bundesrat gleichermaßen, weshalb sie – wie bisher – in der jeweiligen Geschäftsordnung zu regeln sind. Die Einrichtung und das Verfahren des Parlamentarischen Datenschutzkomitees als neue Aufsichtsbehörde für den Bereich der Gesetzgebung ist als allgemeine Angelegenheit des Schutzes personenbezogener Daten im Sinne des Art. 10 Abs. 1 Z 13 hingegen im DSG zu regeln.
Der Titel des InfOG soll unverändert bleiben.
Zu Z 2 (Art. 30b Abs. 1):
Für den Bereich der Gesetzgebung soll aus verfassungsrechtlichen Gründen (insbesondere mit Blick auf das Prinzip der Gewaltenteilung) eine eigene datenschutzrechtliche Aufsichtsbehörde geschaffen werden, das Parlamentarische Datenschutzkomitee. Für Beamtinnen und Beamte der Geschäftsstelle des Parlamentarischen Datenschutzkomitees soll daher – wie für die Beamtinnen und Beamten der Parlamentsdirektion, des Rechnungshofes und der Volksanwaltschaft – die gemäß Art. 30b eingerichtete Disziplinarkommission zuständig sein. Festzuhalten ist, dass diese Zuständigkeit nur in Bezug auf Bedienstete des Parlamentarischen Datenschutzkomitees gelten soll, nicht auch in Bezug auf deren Mitglieder (die in dieser Funktion keine Beamtinnen oder Beamten sein werden, da sie diese Funktion neben ihren sonstigen beruflichen Tätigkeiten ausüben sollen).
Zu Z 3 (Art. 128):
Der Rechnungshof ist bisher davon ausgegangen, dass Datenverarbeitungen im Bereich der Gebarungskontrolle vom Grundrecht auf Datenschutz (§ 1 DSG) erfasst sind, dass aber weder die DSGVO noch die übrigen Bestimmungen des DSG auf Datenverarbeitungen Anwendung finden. Diese Ausgangslage hat sich durch das Urteil des EuGH vom 16.1.2024 im Vorabentscheidungsverfahren C 33/22, Österreichische Datenschutzbehörde, geändert.
Es ist daher erforderlich, die Verarbeitung personenbezogener Daten im Bereich des Rechnungshofes näher zu regeln, um das Recht auf den Schutz personenbezogener Daten mit den Erfordernissen und Funktionsweisen der Prüf- und Kontrollaufgaben des Rechnungshofes in Einklang zu bringen.
Der Schutz personenbezogener Daten im Bereich der Prüf- und Kontrolltätigkeit des Rechnungshofes soll im Rechnungshofgesetz (RHG) durch eine Einfügung eines neuen § 3a RHG geregelt werden. Dies ist dahingehend zu verstehen, dass es sich um spezifische Datenschutzangelegenheiten des Rechnungshofes in Ausübung der ihm übertragenen Prüf- und Kontrollaufgaben handelt. Zu diesen Angelegenheiten sollen neben einer Klarstellung der Zulässigkeit von Datenverarbeitungen des Rechnungshofes anlässlich seiner Aufgabenwahrnehmung auch die daraus folgenden notwendigen und geeigneten Beschränkungen von Betroffenenrechten in diesem Zusammenhang, nur insoweit diese auch erforderlich sind, sowie die Frage der Verantwortlichkeit im Bereich des Rechnungshofes zählen.
Es ist erforderlich, in weitestmöglicher Übereinstimmung mit den für den Bereich des Nationalrates, des Bundesrates und der Volksanwaltschaft vorgeschlagenen Neuregelungen, Regelungen für die Verarbeitung personenbezogener Daten im Bereich des Rechnungshofes zu treffen, um das Recht auf den Schutz personenbezogener Daten mit den Erfordernissen und Funktionsweisen des Rechnungshofes in Erfüllung sämtlicher Aufgaben, und dabei insbesondere mit dem Erfordernis einer unbeeinflussten Durchführung von und Berichterstattung über Gebarungsüberprüfungen, in Einklang zu bringen.
Neben der Durchführung von Gebarungsüberprüfungen sind dem Rechnungshof verfassungs- bzw. einfachgesetzlich weitere Aufgaben übertragen. So kommen dem Rechnungshof Aufgaben etwa im Bereich des Parteiengesetzes 2012, des Unvereinbarkeits- und Transparenzgesetzes, des BVG Medienkooperation und Medienförderung oder des Bezügebegrenzungsgesetzes zu. Daneben hat der Rechnungshof etwa auch den Bundesrechnungsabschluss und den Bericht zu Einkommen in staatsnahen Unternehmen zu erstellen.
Zur Gebarungskontrolle ist festzuhalten, dass die Aufgabe des Rechnungshofes die Kontrolle der rechnerisch richtigen, gesetzeskonformen, sparsamen, wirtschaftlichen und zweckmäßigen Gebarung der seiner Kontrolle unterliegenden Rechtsträger ist. Die von der DSGVO erfassten natürlichen Personen unterliegen nicht seiner Kontrolle; es erfolgt daher keine systematische Erhebung personenbezogener Daten natürlicher Personen. Solche können jedoch in Unterlagen von geprüften Stellen enthalten sein, in die der Rechnungshof Einblick nehmen kann. Vor diesem Hintergrund ist primärer Adressat für entsprechende datenschutzrechtliche Thematiken die jeweilige geprüfte Stelle.
Zu Z 4 (Art. 148j):
Die Volksanwaltschaft ist bisher davon ausgegangen, dass Datenverarbeitungen im Bereich ihrer Kontroll- und Prüftätigkeit vom Grundrecht auf Datenschutz (§ 1 DSG) erfasst sind, dass aber weder die DSGVO noch die übrigen Bestimmungen des DSG auf solche Datenverarbeitungen Anwendung finden. Diese Ausgangslage hat sich durch das Urteil des EuGH vom 16.1.2024 im Vorabentscheidungsverfahren C 33/22, Österreichische Datenschutzbehörde, geändert.
Es ist daher erforderlich, die Verarbeitung personenbezogener Daten im Bereich der Kontroll- und Prüftätigkeit der Volksanwaltschaft näher zu regeln, um das Recht auf den Schutz personenbezogener Daten mit der Sicherstellung einer unbeeinflussten Kontroll- und Prüftätigkeit in Einklang zu bringen. Diese Regelungen sollen im Volksanwaltschaftsgesetz 1982 getroffen werden.“
Der Geschäftsordnungsausschuss hat den gegenständlichen Beschluss des Nationalrates in seiner Sitzung am 25. Juni 2024 in Verhandlung genommen.
Berichterstatter im Ausschuss war Bundesrat Markus Stotter, BA
Bei der Abstimmung wurde einstimmig beschlossen, gegen den Beschluss des Nationalrates keinen Einspruch zu erheben.
Zum Berichterstatter für das Plenum wurde Bundesrat Markus Stotter, BA gewählt.
Der Geschäftsordnungsausschuss stellt nach Beratung der Vorlage einstimmig den Antrag, gegen den vorliegenden Beschluss des Nationalrates keinen Einspruch zu erheben.
Wien, 2024 06 25
Markus Stotter, BA Elisabeth Grimling
Berichterstatter Vorsitzende