11515 der Beilagen zu den Stenographischen Protokollen des Bundesrates
Bericht
des Geschäftsordnungsausschusses
über den Beschluss des Nationalrates vom 13. Juni 2024 betreffend ein Bundesgesetz, mit dem das Rechnungshofgesetz 1948 und das Volksanwaltschaftsgesetz 1982 geändert werden
Im Zuge seiner Beratungen über den Initiativantrag
(3848/A) der Abgeordneten Mag. Ernst Gödl,
Mag. Jörg Leichtfried, Werner Herbert, Mag. Agnes Sirkka Prammer,
Kolleginnen und Kollegen betreffend ein Bundesverfassungsgesetz, mit dem das
Bundes-Verfassungsgesetz geändert wird, hat der
Geschäftsordnungsausschuss des Nationalrates am 12. Juni 2024 auf Antrag
der Abgeordneten Mag. Ernst Gödl, Mag. Jörg Leichtfried, Werner
Herbert, Mag. Agnes Sirkka Prammer, Dr. Nikolaus Scherak, MA, Kolleginnen und
Kollegen beschlossen, dem Nationalrat gemäß § 27
Abs. 1 Geschäftsordnungsgesetz einen Selbständigen Antrag
vorzulegen, der eine Novelle zum Rechnungshofgesetz 1948 sowie zum
Volksanwaltschaftsgesetz 1982 zum Gegenstand hat.
Dieser dem gegenständlichen Beschluss des Nationalrates zugrundeliegende Antrag war wie folgt begründet:
„Inhaltlicher Zusammenhang:
Der Rechnungshof und die Volksanwaltschaft sind bisher davon ausgegangen, dass Datenverarbeitungen im Bereich der Gebarungskontrolle bzw. der Kontroll- und Prüftätigkeit der Volksanwaltschaft vom Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz [DSG]) erfasst sind, dass aber weder die Datenschutz-Grundverordnung (DSGVO) noch die übrigen Bestimmungen des DSG auf diese Datenverarbeitungen Anwendung finden. Diese Ausgangslage hat sich durch das Urteil des EuGH vom 16.1.2024 im Vorabentscheidungsverfahren C‑33/22, Österreichische Datenschutzbehörde, geändert.
Der vorliegende Sammelantrag umfasst – ergänzend zu und damit im inhaltlichen Zusammenhang mit den bereits eingebrachten Anträgen betreffend das Bundes-Verfassungsgesetz (B-VG; Antrag 3848/A) und das Geschäftsordnungsgesetz 1975 (GOG; Antrag 3847/A) – weitere notwendige Anpassungen, die im Rechnungshofgesetz 1948 (RHG) und im Volksanwaltschaftsgesetz 1982 (VolksanwG) getroffen werden sollen.
Zu Artikel 1 (Änderung des Rechnungshofgesetzes 1948)
Allgemeines:
Ziel der Änderungen des RHG ist es, in weitestmöglicher Übereinstimmung mit den für den Bereich des Nationalrats, des Bundesrats und der Volksanwaltschaft vorgeschlagenen Neuregelungen Regelungen für die Verarbeitung personenbezogener Daten im Bereich des Rechnungshofes zu treffen, um das Recht auf den Schutz personenbezogener Daten mit den Erfordernissen und Funktionsweisen des Rechnungshofes in Erfüllung sämtlicher Aufgaben, und dabei insbesondere mit dem Erfordernis einer unbeeinflussten Durchführung von und Berichterstattung über Gebarungsüberprüfungen, in Einklang zu bringen.
Personenbezogene Daten können insbesondere bei den Aufgaben der Rechnungs- und Gebarungskontrolle des Bundes, der Länder, der Gemeindeverbände, der Gemeinden und anderer durch Gesetz bestimmter Rechtsträger (Artikel 121 Abs. 1 B-VG), der Verfassung des Bundesrechnungsabschlusses (Artikel 121 Abs. 2 B-VG), der Gegenzeichnung aller Urkunden über Finanzschulden des Bundes (Artikel 121 Abs. 3 B-VG), der Erhebung und Berichterstattung der durchschnittlichen Einkommen bei Unternehmen die seiner Kontrolle unterliegen, und für die eine Berichterstattungspflicht an den Nationalrat besteht (Artikel 121 Abs. 4 B-VG), der Berichterstattung über die durchschnittlichen Einkommen nach Branchen, Berufsgruppen und Funktionen (Artikel I § 8 Abs. 4 BezBegrBVG) sowie der in § 1 Abs. 6 Z 1 bis 6 Parteiengesetz 2012 – PartG dem Rechnungshof übertragenen Aufgaben (Kontrolle und Veröffentlichung der Rechenschaftsberichte, Veröffentlichung von Rechtsgeschäften, Entgegennahme, Verwahrung, Berichterstattung und Weiterleitung unzulässiger Spenden, Auskunftsverlangen an und Einschaurechte bei politischen Parteien, Erstattung von Mitteilungen an den UPTS bei vermuteten Verstößen, Führung eines Verzeichnisses von registrierten Personenkomitees sowie Entgegennahme von Widersprüchen und Veröffentlichung auf seiner Website), der Aufgaben gemäß § 24a Abs. 9 bis 15 BPräsWG, der in § 1 Abs. 3 BVG MedKF-T vorgesehenen Verpflichtung zur Führung einer halbjährlich zu aktualisierenden Liste der ihm bekannten seiner Kontrolle unterliegenden Rechtsträger) verarbeitet werden.
Zur Gebarungskontrolle ist festzuhalten, dass die Aufgabe des Rechnungshofes die Kontrolle der rechnerisch richtigen, gesetzeskonformen, sparsamen, wirtschaftlichen und zweckmäßigen Gebarung der seiner Kontrolle unterliegenden Rechtsträger ist. Die von der DSGVO erfassten natürlichen Personen unterliegen nicht seiner Kontrolle; es erfolgt daher keine systematische Erhebung personenbezogener Daten natürlicher Personen. Solche können jedoch in Unterlagen von geprüften Stellen enthalten sein, in die der Rechnungshof Einblick nehmen kann. Vor diesem Hintergrund ist primärer Adressat für entsprechende datenschutzrechtliche Thematiken die jeweilige geprüfte Stelle.
Zu Z 1 (§ 3a):
Zu § 3a Abs. 1:
Im Hinblick auf Art. 6 Abs. 1 lit. e i.V.m. Abs. 3, Art. DSGVO soll klargestellt werden, dass Datenverarbeitungen im Bereich des Rechnungshofes zur Erfüllung seiner Aufgaben zulässig sind. Dies bedeutet nicht, dass es dafür bisher keine Rechtsgrundlage gegeben hätte: Es handelt sich um Datenverarbeitungen, die schon bislang im Sinne des Art. 6 DSGVO iVm den (verfassungs-)gesetzlichen Bestimmungen über die Tätigkeit des Rechnungshofes für die Erfüllung von dessen Aufgaben erforderlich und daher zulässig waren und sind.
Darüber hinaus ist es erforderlich, für die Erfüllung der Aufgaben des Rechnungshofes eine explizite Grundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. g DSGVO) und von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) zu schaffen. Eine Verarbeitung i.S.d. DSGVO hinsichtlich solcher Kategorien von personenbezogenen Daten kann insbesondere in Zusammenhang mit seiner Prüftätigkeit vorliegen. Der Rechnungshof ist zur Überprüfung der gesamten Gebarung der Gebietskörperschaften, der Gemeindeverbände sowie sonstiger gesetzlich bestimmter Rechtsträger berufen. Je nach Prüfungsgegenstand können die für die Durchführung seiner Gebarungsüberprüfungen erforderlichen Informationen unterschiedlichste Kategorien von personenbezogenen Daten enthalten. Eine Einschränkung auf bestimmte Datenkategorien ist schon aufgrund des umfassenden verfassungsgesetzlichen Prüf- und Kontrollauftrags vorab nicht möglich.
Die Berechtigung zur Datenverarbeitung besteht für den Rechnungshof und schließt auch dessen Mitarbeiterinnen bzw. Mitarbeiter ein.
Zu § 3a Abs. 2:
Der Rechnungshof, der monokratisch organisiert ist, ist Verantwortlicher gemäß Art. 4 Z 7 DSGVO für Datenverarbeitungen zur Erfüllung seiner gesetzlichen Aufgaben. Das Handeln seiner Mitarbeiterinnen bzw. Mitarbeiter ist hinsichtlich der datenschutzrechtlichen Verantwortlichkeit dem Rechnungshof zuzurechnen.
Zu § 3a Abs. 3 bis 10:
Art. 23 Abs. 1 lit. e und h DSGVO erlaubt eine gesetzliche Beschränkung der Pflichten und Rechte gemäß den Art. 12 bis 22 und Art. 34, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses eines Mitgliedstaats sicherstellt. Gemäß Art. 23 Abs. 1 lit. h DSGVO können solche Beschränkungen auch zur Sicherstellung von Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die genannten Zwecke verbunden sind, vorgenommen werden. § 1 Abs. 4 DSG regelt, dass gesetzliche Beschränkungen der Rechte auf Auskunft, Löschung und Berichtigung zulässig sind, sofern sie in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig sind (Verweis auf § 1 Abs. 2 DSG bzw. Art. 8 Abs. 2 EMRK) und jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Öffentliche Interessen
Mit seinen Aufgaben nimmt der Rechnungshof einen Teil der Kontrollaufgaben des Nationalrates wahr. Das Funktionieren der Gebarungskontrolle ist ein wichtiges Ziel des allgemeinen öffentlichen Interesses eines Mitgliedstaats iSd Art. 23 Abs. 1 lit. e und h DSGVO, das eine Beschränkung der Betroffenenrechte erforderlich macht. Die uneingeschränkte Anwendung der DSGVO würde mit den verfassungsrechtlichen Aufgaben des Rechnungshofes in Konflikt geraten.
Aus der Zusammenschau der Regelungen des B-VG mit den einfachgesetzlichen Bestimmungen über die Aufgaben des Rechnungshofes ergibt sich gesamtsystematisch ein Vertraulichkeitsgebot für den Rechnungshof in seinen Prüf- und Kontrollverfahren. Das gesamte Prüfverfahren des Rechnungshofes ist kontradiktorisch (unmittelbarer Austausch mit der geprüften Stelle im Rahmen der Einschau gemäß §§ 3 und 4 RHG bis zur Einholung von Stellungnahmen der geprüften Stellen zum vorläufigen Prüfungsergebnis (‚Rohbericht‘)) und vom Erfordernis der Vertraulichkeit geprägt. Auch eine uneingeschränkte Weitergabe von personenbezogenen Daten im Rahmen der Prüf- und Kontrolltätigkeit an Betroffene würde dieses sich aus der Gesamtsystematik des Prüf- und Kontrollverfahrens ergebende Vertraulichkeitsgebot verletzen.
Eine Durchbrechung dieser Gesamtsystematik auch nach Veröffentlichung des Berichts ist lediglich für den Fall parlamentarischer Untersuchungsausschüsse gemäß Art. 53 B-VG vorgesehen. Ausschließlich in diesem Fall darf der Rechnungshof über den veröffentlichten Bericht hinausgehende Informationen (‚Akten und Unterlagen‘) über seine Kontrolltätigkeit dem Nationalrat übermitteln (siehe hiezu ausführlich Hengstschläger, Die Geheimhaltungspflichten des Rechnungshofes, (1990).
Erforderlichkeit
Zur Erforderlichkeit der vorgeschlagenen Regelungen kann weitgehend auf die Begründung zu den Beschränkungen der Betroffenenrechte im Bereich des Nationalrates und des Bundesrates verwiesen werden. Dies insbesondere hinsichtlich der Ausführungen in Bezug auf Datenverarbeitungen bei nicht-öffentlichen oder klassifizierten Informationen, oder Gegenständen und Inhalten nicht-öffentlicher, vertraulicher oder geheimer Beratungen, Verhandlungen, Sitzungen und Beschlüsse. Auch in Bezug auf den Rechnungshof ist festzuhalten, dass die DSGVO im Bereich der Verwaltungsangelegenheiten des Rechnungshofes seit jeher uneingeschränkt zur Anwendung kommt und der Kontrolle durch die Aufsichtsbehörde unterliegt (vgl. § 35 Abs. 2 DSG). Der weitaus größte Teil der Datenverarbeitungen im Rechnungshof findet im Bereich der Gebarungskontrolle statt.
Die in den Absätzen 3 bis 11 vorgesehenen Beschränkungen der Betroffenenrechte sind im Hinblick auf eine unbeeinträchtigte Ausübung der Prüf- und Kontrollaufgaben auf das unbedingt erforderliche Ausmaß des Kernbereichs der Kontrolle reduziert und können daher nicht zur Umgehung der datenschutzrechtlichen Vorschriften in Verwaltungsangelegenheiten genutzt werden.
Die von der DSGVO erfassten natürlichen Personen unterliegen nicht der Kontrolle des Rechnungshofes, es erfolgt daher keine systematische Erhebung personenbezogener Daten natürlicher Personen. Solche können jedoch in Unterlagen von geprüften Stellen enthalten sein, in die der Rechnungshof entsprechend der stRsp des VfGH uneingeschränkt Einblick nehmen kann (VfSlg. 17.065/2003) und seinem Einsichtsbegehren z.B. Argumente des Datenschutzes, gesellschaftsrechtliche Geheimhaltungspflichten, das Bankgeheiminis oder andere Grundrechte nicht entgegengehalten werden können. In diesem Erkenntnis hat der VfGH auch klargestellt, dass der Rechnungshof bei Veröffentlichung seiner Berichte diese Interessen zu berücksichtigen hat. Der VfGH hat dazu ausgeführt, dass aus der umfassenden Einsichtsbefugnis des Rechnungshofes keineswegs eine umfassende Informationspflicht des Rechnungshofes gegenüber der Allgemeinheit abgeleitet werden kann; der Rechnungshof hat vielmehr bei seiner Berichterstattung regelmäßig eine Interessenabwägung zwischen privaten Geheimhaltungsinteressen (vgl. in diesem Zusammenhang insbesondere §1 DSG) und öffentlichen Interessen, zu denen unter anderem auch die Bekanntgabe der Kontrollergebnisse zählt, vorzunehmen (VfSlg. 19.835/2013). Schon vor diesem Hintergrund enthalten die vom Rechnungshof veröffentlichten Berichte in der Regel keine personenbezogenen Daten natürlicher Personen.
Durch die Aufzählung in § 3a Abs. 3 soll gesetzlich klar geregelt werden, dass die Beschränkungen der Betroffenenrechte gemäß Abs. 4 bis 10 nur in Bezug auf die dort genannten Verarbeitungen personenbezogener Daten des Rechnungshofes anwendbar sind, die von ihm als Organ der Gesetzgebung vorgenommen werden. Der Rechnungshof kann seine Prüf- und Kontrollaufgaben ohne Kenntnis der relevanten personenbezogenen Daten nicht wahrnehmen. Die in den Abs. 4 bis 10 vorgesehenen Beschränkungen der Betroffenenrechte sind im Hinblick auf eine unbeeinträchtigte Ausübung der Prüf- und Kontrolltätigkeiten, die Fülle an Prüfungen und die aufgabenbedingt außerordentlich hohe Zahl an Datenverarbeitungen unbedingt erforderlich und stellen sicher, dass der Rechnungshof seinen Prüf- und Kontrollaufgaben vollumfänglich nachkommen kann. Dies auch im Hinblick darauf, dass gemäß § 4 Abs. 5 DSG das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht besteht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.
Für den Rechnungshof soll zur Sicherstellung seiner Prüf- und Kontrolltätigkeit im Dienste der parlamentarischen Kontrolle Folgendes gelten:
Bei Stellungnahmen, Unterlagen, Schriftsätzen und Dokumenten, die der Rechnungshof im Rahmen seiner Prüf- und Kontrolltätigkeit erhält, hat er in der Regel keinen Einfluss auf die darin enthaltenen personenbezogenen Daten. Er hat diese entsprechend der gesetzlichen Vorgaben zu behandeln. In Anlehnung an die Regelung für den Nationalrat und den Bundesrat sind gemäß § 3a Abs. 4 in Bezug auf die dem Rechnungshof zugeleiteten personenbezogenen Daten die Rechte der betroffenen Personen gemäß den Art. 12 bis 22 DSGVO und § 1 DSG bei der jeweiligen zuleitenden Stelle geltend zu machen. Dies betrifft insbesondere Unterlagen der geprüften Stellen gemäß § 3 Abs. 2 RHG. Nur die betreffende Stelle kann beurteilen, aus welchen Gründen die Verwendung der jeweiligen Daten erforderlich ist/war bzw. inwieweit Anträgen von Betroffenen zu entsprechen ist. Der Rechnungshof ist von der zuleitenden Stelle unverzüglich schriftlich über allfällige Veranlassungen zu informieren. Sie hat gegebenenfalls eine datenschutzrechtlich angepasste Version zu übermitteln, damit die adaptierte Version gegebenenfalls der weiteren Behandlung zugrunde gelegt werden kann, sofern dem nicht überwiegende Gründe entgegenstehen.
Ein vorzeitiges Bekanntgeben, woher Informationen stammen, würde die Wirksamkeit der parlamentarischen Gebarungskontrolle gefährden. Es ist daher notwendig, in § 3a Abs. 5 die Informationspflichten gemäß Art. 13 und 14 DSGVO entsprechend einzuschränken. Die gebotenen Informationen sind in Form einer Erklärung in elektronischer Form (etwa auf der Website) zur Verfügung zu stellen. Eine Erteilung individueller, auf die konkreten Umstände bezogener Informationen wäre faktisch häufig nicht möglich. Es soll durch § 3a Abs. 6 iVm Abs. 3 ausdrücklich klargestellt werden, dass im Rahmen der Prüf- und Kontrolltätigkeit des Rechnungshofes das Auskunftsrecht gemäß Art. 15 DSGVO und § 1 Abs. 3 DSG auf die von einer betroffenen, natürlichen Person übermittelten personenbezogenen Daten Anwendung findet. Keine Anwendung findet das Auskunftsrecht auf die in Abs. 3 beispielhaft genannten Aufgabenbereichen des Artikel 121 Abs. 1 (Rechnungs- und Gebarungskontrolle des Bundes, der Länder, der Gemeindeverbände, der Gemeinden und anderer durch Gesetz bestimmter Rechtsträger), Abs. 2 (Verfassung des Bundesrechnungsabschlusses), Abs. 3 (Gegenzeichnung aller Urkunden über Finanzschulden des Bundes), Abs. 4 (Erhebung und Berichterstattung der durchschnittlichen Einkommen bei Unternehmen die seiner Kontrolle unterliegen, und für die eine Berichterstattungspflicht an den Nationalrat besteht) B‑VG, Artikel I § 8 Abs. 4 BezBegrBVG (Berichterstattung über die durchschnittlichen Einkommen nach Branchen, Berufsgruppen und Funktionen), § 1 Abs. 6 Z 1 bis 6 Parteiengesetz 2012 – PartG (Kontrolle und Veröffentlichung der Rechenschaftsberichte, Veröffentlichung von Rechtsgeschäften, Entgegennahme, Verwahrung, Berichterstattung und Weiterleitung unzulässiger Spenden, Auskunftsverlangen an und Einschaurechte bei politischen Parteien, Erstattung von Mitteilungen an den UPTS bei vermuteten Verstößen, Führung eines Verzeichnisses von registrierten Personenkomitees sowie Entgegennahme von Widersprüchen und Veröffentlichung auf seiner Website), § 24a Abs. 9 bis 15 BPräsWG sowie § 1 Abs. 3 BVG MedKF-T (Führung einer halbjährlich zu aktualisierenden Liste der ihm bekannten seiner Kontrolle unterliegenden Rechtsträger).
Die Erteilung von Auskünften in den genannten sensiblen Bereichen würde mitunter Interessen anderer Betroffener zuwider laufen, einen unverhältnismäßigen Aufwand verursachen, die Prüf- bzw. Kontrolltätigkeit des Rechnungshofes behindern und den Geheimhaltungspflichten des Rechnungshofes (siehe dazu die obenstehenden Erläuterungen) widersprechen.
Denn der RH unterliegt im Rahmen seiner Prüf- und Kontrolltätigkeit einem strengen Vertraulichkeitsgebot. In Anlehnung an die für den Nationalrat vorgeschlagenen Regelung in § 3b Abs. 3 Informationsordnungsgesetz – Ausschluss des Auskunftsrechts, soweit nicht öffentliche oder klassifizierte Informationen oder Gegenstände und Inhalte nicht-öffentlicher, vertraulicher und geheimer Beratungen, Verhandlungen, Sitzungen und Beschlüsse betroffen sind – ist die Absicherung der Vertraulichkeit sämtlicher einem Prüfungsbericht des Rechnungshofes zugrundeliegenden Daten ein zentrales Element des Kontrollrechts, das unverändert beizubehalten ist.
Das Recht auf Berichtigung gemäß Art. 16 DSGVO und § 1 Abs. 3 DSG wird in § 3a Abs. 7 in ähnlicher Weise wie für den Nationalrat und den Bundesrat beschränkt. Der Rechnungshof veröffentlicht im Rahmen der Aufgabenerfüllung als Organ der Gesetzgebung nur punktuell personenbezogene Daten auf seiner Website. Daher sollen betroffene Personen die Möglichkeit haben, hinsichtlich unrichtiger oder unvollständiger personenbezogener Daten eine (ergänzende) Erklärung abzugeben, die gemeinsam mit den als unrichtig oder unvollständig gerügten personenbezogenen Daten im jeweiligen Akt aufzunehmen ist.
Das Recht auf Löschung gemäß Art. 17 DSGVO und § 1 Abs. 3 DSG ist im Bereich des Rechnungshofes mit Blick auf bestehende, im öffentlichen Interesse liegende Archivzwecke im Sinne des Art. 17 Abs. 3 lit. d DSGVO zu beschränken. Gemäß § 2 Z 2 Bundesarchivgesetz iVm § 2 Abs. 1 Bundesarchivgutverordnung und Z 3 der Anlage zu § 2 Abs. 1 Bundesarchivgutverordnung gilt Schriftgut, das im Zuge der Prüfungstätigkeit des Rechnungshofes anfällt, mit der Entstehung als Archivgut. Gleiches gilt für Schriftgut, das unmittelbar bei der Präsidentin bzw. dem Präsidenten des Rechnungshofes in Ausübung ihrer bzw. seiner Funktion oder in deren bzw. dessen Büro anfällt (Z 5 der Anlage zu § 2 Abs. 1 Bundesarchivgutverordnung).
Verhältnismäßigkeit der vorgeschlagenen Regelungen
Zu § 3a Abs. 11:
Die gesetzlich vorgesehenen Beschränkungen der Betroffenenrechte sind den wichtigen öffentlichen Interessen, die oben dargestellt wurden und aus denen sie erfolgen, angemessen. Für das Funktionieren der parlamentarischen Demokratie ist eine effektive Prüf- und Kontrolltätigkeit durch der Rechnungshof essentiell. Die Funktionsweisen der Gebarungskontrolle beruhen unter anderem ganz wesentlich auf der Kooperationsbereitschaft der geprüften Stellen. Diesem wichtigen öffentlichen Interesse an der unbeeinträchtigten Erfüllung der dem Rechnungshof (verfassungs-)gesetzlich zugeordneten Aufgaben kommt in der erforderlichen Interessenabwägung ein erhebliches Gewicht zu. Die vorgesehenen Beschränkungen sind mit Blick auf die Anforderungen an die Erfüllung der unterschiedlichen Aufgaben entsprechend ausdifferenziert ausgestaltet und maßhaltend. § 3a Abs. 11 sieht zudem explizit vor, dass die Beschränkungen gemäß den Abs. 7 bis 10 nur insoweit zur Anwendung kommen, als sie zur Erfüllung der gesetzlichen Aufgaben des Rechnungshofes geeignet und erforderlich sind.
Zu Z 2 (§ 24a):
Neben der Durchführung von Gebarungsüberprüfungen und dem Rechnungshof verfassungs- bzw. einfachgesetzlich übertragenen weiteren Aufgaben (siehe hiezu § 3a Abs. 3 RHG sowie den Allgemeinen Teil der Begründungen) können dem Rechnungshof weitere Aufgaben durch Verfassungsgesetz übertragen werden sowie für einzelne Rechtsträger durch Bundesgesetz eine Kontrollbefugnis des Rechnungshofes vorgesehen werden.
Diese Aufgaben wurden (und werden immer wieder) dem Rechnungshof im Hinblick auf seine besondere Stellung als der Gesetzgebung beigegebenes Organ zur Wahrnehmung der externen öffentlichen Finanzkontrolle auf allen Ebenen der Gebietskörperschaften übertragen. Da somit eine abschließende Aufzählung sämtlicher Prüf- und Kontrollaufgaben des Rechnungshofes nicht möglich ist, ist eine Regelung im Sinne des §24a RHG erforderlich.
Zu Artikel 2 (Änderung des Volksanwaltschaftsgesetzes 1982)
Allgemeines:
Ziel der Änderungen des VolksanwG ist es, in weitest möglicher Übereinstimmung mit den für den Bereich des Nationalrates und des Bundesrates vorgeschlagenen Neuregelungen die notwendigen datenschutzrechtlichen Vorkehrungen für die Volksanwaltschaft als Organ der Gesetzgebung zu treffen. Es ist erforderlich, die Verarbeitung personenbezogener Daten im Bereich der Volksanwaltschaft näher zu regeln, um das Recht auf den Schutz personenbezogener Daten mit der Erfüllung sämtlicher Aufgaben der Volksanwaltschaft in Einklang zu bringen. Personenbezogene Daten werden insbesondere in Verfahren wegen behaupteter Missstände in der Verwaltung auf Grund von Beschwerden (Art. 148a Abs. 1 B-VG und diverse Landesverfassungsgesetze), in amtswegigen Prüfverfahren (Art. 148a Abs. 2 B-VG), in Verfahren der präventiven Menschenrechtskontrolle (Art. 148a Abs. 3 B-VG), in Verfahren wegen behaupteter Säumnis eines Gerichtes auf Grund von Beschwerden (Art. 148a Abs. 4 B-VG), in Verfahren betreffend die Rentenleistung für Opfer von Gewalt in Heimen (§ 15 Heimopferrentengesetz [HOG]) sowie in Verfahren, in denen die Mitglieder der Volksanwaltschaft als parlamentarische Schiedsstelle tätig werden (Art. 53 Abs. 5 B-VG iVm § 57 der Anlage 1 zum Geschäftsordnungsgesetz 1975 [Verfahrensordnung für parlamentarische Untersuchungsausschüsse (VO-UA)]), verarbeitet.
Zu Z 1 (§ 1 Abs. 2):
Es handelt sich um die Berichtigung eines früheren Redaktionsversehens.
Zu Z 2 (§ 5 Abs. 2 bis 12):
Zu § 5 Abs. 2:
Im Hinblick auf Art. 6 Abs. 1 lit. e iVm Abs. 3 DSGVO soll klargestellt werden, dass Datenverarbeitungen im Bereich der Volksanwaltschaft zur Erfüllung von deren Aufgaben zulässig sind. Dies bedeutet nicht, dass es dafür bisher keine Rechtsgrundlage gegeben hätte: Es handelt sich um Datenverarbeitungen, die schon bislang im Sinne des Art. 6 DSGVO iVm den (verfassungs-)gesetzlichen Bestimmungen über die Tätigkeit der Volksanwaltschaft für die Erfüllung von deren Aufgaben erforderlich und daher zulässig waren und sind.
Darüber hinaus ist es erforderlich, für die Erfüllung der Aufgaben der Volksanwaltschaft eine explizite Grundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. g DSGVO) und von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) zu schaffen. Eine Verarbeitung iSd DSGVO hinsichtlich solcher Kategorien von personenbezogenen Daten kann insbesondere in Zusammenhang mit der Kontrolltätigkeit der Volksanwaltschaft vorliegen. Die Volksanwaltschaft ist insbesondere zur Missstandskontrolle und zur präventiven Menschenrechtskontrolle berufen. Hier erlangt und verarbeitet die Volksanwaltschaft auch besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten wie ‚Krankengeschichten und sonstige Vormerkungen‘ gemäß der Grundsatzbestimmung des § 10 des Krankenanstalten- und Kuranstaltengesetzes [KAKuG], BGBl. Nr. 1/1957, bzw. den dazu ergangenen landesgesetzlichen Ausführungsbestimmungen, Pflegedokumentationen [ärztliche Dokumente gemäß § 5 Abs. 2 des Heimaufenthaltsgesetzes (HeimAufG), BGBl. I Nr. 11/2004, sowie Dokumentationen gemäß § 6 HeimAufG] sowie sonstige personenbezogene Befunde und Aufzeichnungen) sowie Unterlagen über strafrechtliche Verurteilungen und Straftaten. Eine Einschränkung auf bestimmte Datenkategorien ist schon aufgrund des umfassenden verfassungsgesetzlichen Kontroll- bzw. Prüfauftrags – etwa im Hinblick auf Kontrollen von Orten der Freiheitsbeschränkung, Kontrollen von Einrichtungen und Programmen für Menschen mit Behinderungen und der Überprüfung von Zwangsakten, die bei der Missstandskontrolle gemäß Art. 148b B-VG bestehenden umfassenden Einsichts- und Auskunftspflichten gegenüber der Volksanwaltschaft und der Prüfung von Anträgen nach dem HOG – nicht möglich. Geeignete Maßnahmen bzw. Garantien zum Schutz dieser personenbezogenen Daten ergeben sich aus der umfassenden Verschwiegenheitsverpflichtung für die Volksanwaltschaft sowie die Mitglieder der Kommissionen (Art. 148b Abs. 2 B-VG) und der Geschäftsordnung der Volksanwaltschaft, ihrer Kommissionen, des Menschenrechtsbeirates und der Rentenkommission. Im Übrigen haben die Volksanwaltschaft und die von ihr eingesetzten Kommissionen – schon derzeit und auch künftig – den Personenbezug der von ihnen verarbeiteten Daten, sofern nicht andere gesetzliche Regelungen eine Pflicht zur weiteren Verwendung der Daten vorsehen, ab dem Zeitpunkt zu löschen, zu dem die Daten zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben des Schutzes und der Förderung der Menschenrechte nicht mehr benötigt werden (§ 11 Abs. 6 VolksanwG). Zudem achtet die Volksanwaltschaft als Verantwortliche des öffentlichen Bereichs bei der Auswahl und dem Betrieb von Datenverarbeitungssystemen besonders auf die Einhaltung von Datensicherheit und setzt in allen Bereichen entsprechende Maßnahmen.
Die Berechtigung zur Datenverarbeitung besteht für die Volksanwaltschaft (einschließlich deren Mitglieder und der für die Volksanwaltschaft tätigen Kommissionen) und schließt auch die Mitarbeiterinnen bzw. Mitarbeiter der Volksanwaltschaft ein.
Im Übrigen ist auch darauf hinzuweisen, dass die Volksanwaltschaft gemäß § 15 Abs. 2 iVm §§ 11 und 12 HOG ermächtigt ist, personenbezogene Daten insoweit zu verarbeiten, als dies zur Erfüllung der ihr gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist.
Zu § 5 Abs. 3:
Die Volksanwaltschaft ist Verantwortliche gemäß Art. 4 Z 7 DSGVO für Datenverarbeitungen zur Erfüllung ihrer gesetzlichen Aufgaben. Dies gilt auch für die Erfüllung der Aufgaben gemäß Art. 148a Abs. 3 B-VG, die von den Kommissionen für die Volksanwaltschaft vorgenommen werden. Die Kommissionen oder einzelne von ihr bestimmte Mitglieder führen Besuche oder Überprüfungen für die Volksanwaltschaft durch, berichten an die Volksanwaltschaft und erstatten ihr Vorschläge für Missstandsfeststellungen und Empfehlungen und Anregungen von Maßnahmen der Dienstaufsicht. Ihr Handeln ist hinsichtlich der datenschutzrechtlichen Verantwortlichkeit der Volksanwaltschaft zuzurechnen.
Der Menschenrechtsbeirat ist ein Beratungsorgan der Volksanwaltschaft, der ausschließlich personenbezogene Daten aus Bewerbungsunterlagen gemäß § 12 VolksanwG erlangt. Er ist als Auftragsverarbeiter der Volksanwaltschaft im Sinne des Art. 4 Z 8 DSGVO anzusehen, weil er die personenbezogenen Daten im Auftrag der Volksanwaltschaft verarbeitet; die Bewerbungsunterlagen werden nach Prüfung durch den Menschenrechtsbeirat wieder an die Volksanwaltschaft zurückgestellt.
Die weisungsfreie Rentenkommission gemäß § 15 HOG und der Unterausschuss zur Verhütung von Folter gemäß § 3 Abs. 3 und § 17 VolksanwG arbeiten auf Basis anonymisierter Daten, weshalb kein Regelungsbedarf hinsichtlich der datenschutzrechtlichen Verantwortlichkeit besteht.
Zu § 5 Abs. 4 bis 11:
Art. 23 Abs. 1 lit. a bis e DSGVO erlaubt eine gesetzliche Beschränkung der Pflichten und Rechte gemäß den Art. 12 bis 22 und Art. 34, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses eines Mitgliedstaats sicherstellt. Gemäß Art. 23 Abs. 1 lit. h DSGVO können solche Beschränkungen auch zur Sicherstellung von Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die genannten Zwecke verbunden sind, vorgenommen werden. § 1 Abs. 4 DSG regelt, dass gesetzliche Beschränkungen der Rechte auf Auskunft, Löschung und Berichtigung zulässig sind, sofern sie in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig sind (Verweis auf § 1 Abs. 2 DSG bzw. Art. 8 Abs. 2 EMRK) und jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Öffentliche Interessen
Das Funktionieren der Kontrolle der öffentlichen Verwaltung und der Kontrolle der Einhaltung von Menschenrechten durch die Volksanwaltschaft ist ein wichtiges Ziel des allgemeinen öffentlichen Interesses eines Mitgliedstaats iSd Art. 23 Abs. 1 lit. e und h DSGVO, das eine Beschränkung der Betroffenenrechte erforderlich macht. Die uneingeschränkte Anwendung der DSGVO würde nämlich mit der Erfüllung der (verfassungs-)gesetzlichen Aufgaben der Volksanwaltschaft in Konflikt geraten. Dieser sind zur Erfüllung ihrer Aufgaben umfassende Prüf- bzw. Kontroll-, Einschau- und Auskunftsrechte mitunter in besonders sensiblen Bereichen (z.B. in Bezug auf Alten- und Pflegeheime, Krankenanstalten, psychiatrische Einrichtungen, Einrichtungen der Kinder- und Jugendhilfe sowie Einrichtungen für Menschen mit Behinderungen) eingeräumt. Die Volksanwaltschaft ist verfassungsgesetzlich jedoch zur Amtsverschwiegenheit verpflichtet (Art. 148b Abs. 2 B-VG). Nach § 11 Abs. 6 VolksanwG haben die Volksanwaltschaft und die von ihr eingesetzten Kommissionen den Personenbezug der von ihnen verarbeitenden Daten, sofern nicht andere gesetzliche Regelungen eine Pflicht zur weiteren Verwendung der Daten vorsehen (etwa nach archivrechtlichen Regelungen), ab dem Zeitpunkt, zu dem die Daten zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben des Schutzes und der Förderung der Menschenrechte nicht mehr benötigt werden, zu löschen.
Erforderlichkeit
Es kann hier weitgehend auf die Begründung zu den Beschränkungen der Betroffenenrechte im Bereich des Nationalrates und des Bundesrates verwiesen werden (vgl. insb. die Begründung zum künftigen § 3b des Informationsordnungsgesetzes [InfOG]). Auch in Bezug auf die Volksanwaltschaft ist festzuhalten, dass die DSGVO im Verwaltungsbereich der Volksanwaltschaft (Art. 148h Abs. 1 und 2 B‑VG) seit jeher uneingeschränkt zur Anwendung kommt und der Kontrolle durch die Aufsichtsbehörde unterliegt (vgl. § 35 Abs. 2 DSG in der bisherigen Fassung).
Durch die Aufzählung in § 5 Abs. 4 soll gesetzlich klar geregelt werden, dass die Beschränkungen der Betroffenenrechte gemäß Abs. 5 bis 12 nur in Bezug auf die dort genannten Verarbeitungen personenbezogener Daten der Volksanwaltschaft anwendbar sind, die von dieser als Organ der Gesetzgebung vorgenommen werden. Die Volksanwaltschaft kann ihre Prüf- und Kontrollaufgaben ohne Kenntnis der relevanten personenbezogenen Daten nicht wahrnehmen. Die in den Abs. 4 bis 11 vorgesehenen Beschränkungen der Betroffenenrechte sind so ausgestaltet, dass sie im Hinblick auf eine unbeeinträchtigte Ausübung der Prüf- und Kontrolltätigkeiten sowie mit Blick auf die Fülle an Verfahren und die aufgabenbedingt außerordentlich hohe Zahl an Datenverarbeitungen auf das unbedingt erforderliche Ausmaß gewählt sind. Sie sind in diesem Ausmaß notwendig, weil nur dadurch sichergestellt ist, dass die Volksanwaltschaft ihren Prüf- und Kontrollaufgaben vollumfänglich nachkommen kann. Die Volksanwaltschaft, die Mitglieder der Kommissionen und die Mitglieder und Ersatzmitglieder des Menschenrechtsbeirats sind gemäß § 20 VolksanwG nicht verpflichtet, die Identität einer Auskunftsperson bekannt zu geben oder ein gerichtlich strafbares Verhalten anzuzeigen.
Abweichend von den Regelungen für den Nationalrat und den Bundesrat soll für die Volksanwaltschaft Folgendes gelten:
Es soll ausdrücklich klargestellt werden, dass in Verfahren über Beschwerden an die Volksanwaltschaft gemäß Art. 148a Abs. 1 und 4 B-VG das Auskunftsrecht gemäß Art. 15 DSGVO und § 1 Abs. 3 DSG auf die von einer Beschwerdeführerin bzw. einem Beschwerdeführer übermittelten, sie bzw. ihn selbst betreffenden personenbezogenen Daten Anwendung findet. Keine Anwendung findet das Auskunftsrecht hingegen in Bezug auf Datenverarbeitungen durch die Volksanwaltschaft in Bezug auf Verfahren gemäß Art. 148a Abs. 2 B-VG (amtswegige Prüfverfahren), in Angelegenheiten gemäß Art. 148a Abs. 3 B-VG (Kontrolle von Orten einer Freiheitsentziehung und Kontrolle von Einrichtungen und Programmen für Menschen mit Behinderung sowie Überprüfung von Zwangsakten), in Angelegenheiten gemäß § 15 HOG (Aufgaben in Bezug auf Rentenanträge von Gewalt- und Missbrauchsopfern), in Bezug auf Angelegenheiten, in denen die Mitglieder der Volksanwaltschaft als parlamentarische Schiedsstelle gemäß § 57 VO-UA tätig werden, und hinsichtlich der Rechte gemäß Art. 15 Abs. 1 lit. c und Abs. 3 DSGVO. Die Erteilung von Auskünften in den genannten sensiblen Bereichen würde mitunter Interessen anderer Betroffener zuwider laufen, vielfach einen unverhältnismäßigen Aufwand verursachen und die Prüf- bzw. Kontrolltätigkeit behindern. Für eine Beschränkung spricht auch, dass die Verfahren nicht-öffentlich abgeführt werden und eine Beschränkung des Rechts auf Akteneinsicht in Bezug auf das Verfahren vor der Volksanwaltschaft besteht (§ 17 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 gilt zufolge § 5 nicht einmal sinngemäß), die durch die Geltendmachung des Auskunftsrechts nicht umgangen werden können soll.
Das Recht auf Berichtigung gemäß Art. 16 DSGVO und § 1 Abs. 3 DSG wird in ähnlicher Weise wie für den Nationalrat und den Bundesrat beschränkt. Anders als im Nationalrat und Bundesrat veröffentlicht die Volksanwaltschaft jedoch im Rahmen der Aufgabenerfüllung als Organ der Gesetzgebung keine personenbezogenen Daten auf ihrer Website. Daher sollen betroffene Personen die Möglichkeit haben, hinsichtlich unrichtiger oder unvollständiger personenbezogener Daten eine (ergänzende) Erklärung abzugeben, die gemeinsam mit den als unrichtig oder unvollständig gerügten personenbezogenen Daten in den jeweiligen Akt aufzunehmen ist.
Das Recht auf Löschung gemäß Art. 17 DSGVO und § 1 Abs. 3 DSG ist im Bereich der Volksanwaltschaft mit Blick auf bestehende, im öffentlichen Interesse liegende Archivzwecke im Sinne des Art. 17 Abs. 3 lit. d DSGVO zu beschränken. Gemäß § 2 Z 2 Bundesarchivgesetz iVm § 2 Abs. 1 Bundesarchivgutverordnung und Z 3 der Anlage zu § 2 Abs. 1 Bundesarchivgutverordnung gilt Schriftgut, das im Zuge der Prüfungstätigkeit der Volksanwaltschaft anfällt, mit der Entstehung als Archivgut. Gleiches gilt für Schriftgut, das unmittelbar bei einer Volksanwältin bzw. einem Volksanwalt in Ausübung ihrer bzw. seiner Funktion oder in deren bzw. dessen Büro anfällt (Z 5 der Anlage zu § 2 Abs. 1 Bundesarchivgutverordnung). Klargestellt wird zudem, dass § 11 Abs. 6 VolksanwG von der Beschränkung des Rechts auf Löschung unberührt bleibt.
Verhältnismäßigkeit der vorgeschlagenen Regelungen
Die gesetzlich vorgesehenen Beschränkungen der Betroffenenrechte sind dem wichtigen öffentlichen Interesse, das oben dargestellt wurde und aus dem sie erfolgen, angemessen. Für das Funktionieren der parlamentarischen Demokratie ist auch eine effektive Kontroll- und Prüftätigkeit durch die Volksanwaltschaft essentiell. Diesem wichtigen öffentlichen Interesse an der unbeeinträchtigten Erfüllung der der Volksanwaltschaft verfassungsgesetzlich zugeordneten Aufgaben kommt in der erforderlichen Interessenabwägung ein erhebliches Gewicht zu. Die vorgesehenen Beschränkungen sind mit Blick auf die Anforderungen an die Erfüllung der unterschiedlichen Aufgaben entsprechend ausdifferenziert ausgestaltet und maßhaltend. § 5 Abs. 11 sieht zudem explizit vor, dass die Beschränkungen gemäß den Abs. 7 bis 10 nur insoweit zur Anwendung kommen, als sie zur Erfüllung der gesetzlichen Aufgaben der Volksanwaltschaft geeignet und erforderlich sind.
Zu § 5 Abs. 12:
Bei Auskünften, Stellungnahmen, Unterlagen, Schriftsätzen und Dokumenten, die die Volksanwaltschaft im Rahmen ihrer Prüf- und Kontrolltätigkeit erhält, hat sie in der Regel keinen Einfluss auf die darin enthaltenen personenbezogenen Daten. Sie hat diese entsprechend den gesetzlichen Vorgaben zu behandeln. In Anlehnung an die Regelung für den Nationalrat und den Bundesrat sind in Bezug auf die der Volksanwaltschaft zugeleiteten personenbezogenen Daten die Rechte der betroffenen Personen gemäß den Art. 12 bis 22 DSGVO und § 1 DSG bei der jeweiligen zuleitenden Stelle oder Person geltend zu machen. Dies betrifft insbesondere Auskünfte oder Stellungnahmen von Organen, Selbstverwaltungskörpern oder Einrichtungen, Auskünfte oder Unterlagen von Bewohnervertreterinnen bzw. Bewohnervertretern und Patientenanwältinnen bzw. Patientenanwälten, in den von der bzw. dem Vorsitzenden eines Untersuchungsausschusses des Nationalrates übermittelten Befragungsprotokollen sowie in sonstigen Schriftsätzen Dritter. Nur die zuleitende Stelle oder Person kann beurteilen, aus welchen Gründen die Verwendung der jeweiligen Daten erforderlich ist/war bzw. inwieweit Anträgen von Betroffenen zu entsprechen ist. Die Volksanwaltschaft ist von der zuleitenden Stelle oder Person unverzüglich schriftlich über allfällige Veranlassungen zu informieren. Sie hat gegebenenfalls der Volksanwaltschaft eine datenschutzrechtlich angepasste Version zu übermitteln, damit die adaptierte Version gegebenenfalls der weiteren Behandlung zugrunde gelegt werden kann, sofern dem nicht überwiegende Gründe entgegenstehen.“
Der Geschäftsordnungsausschuss hat den gegenständlichen Beschluss des Nationalrates in seiner Sitzung am 25. Juni 2024 in Verhandlung genommen.
Berichterstatter im Ausschuss war Bundesrat Markus Stotter, BA.
Bei der Abstimmung wurde einstimmig beschlossen, gegen den Beschluss des Nationalrates keinen Einspruch zu erheben.
Zum Berichterstatter für das Plenum wurde Bundesrat Markus Stotter, BA gewählt.
Der Geschäftsordnungsausschuss stellt nach Beratung der Vorlage einstimmig den Antrag, gegen den vorliegenden Beschluss des Nationalrates keinen Einspruch zu erheben.
Wien, 2024 05 26
Markus Stotter, BA Elisabeth Grimling
Berichterstatter Vorsitzende