Beginn der Veranstaltung: 9.04 Uhr
Harald Dossi (Parlamentsdirektor): Meine sehr geehrten Damen und Herren! Schönen guten Morgen! Ich danke, dass Sie sich trotz der ganz aktuellen Aufregungen und Herausforderungen rund um die Ukraine die Zeit nehmen konnten, an der Fachtagung zum Thema Datenschutz im Bereich der Gesetzgebung teilzunehmen. Ich muss Ihnen einleitend sagen, dass wir aufgrund der aktuellen Ereignisse nicht nur einige kleinere Umstellungen haben. Ich muss den Herrn Präsidenten des Nationalrates Sobotka jetzt in der Früh entschuldigen, der wegen aktueller Angelegenheiten leider verhindert ist. Er wird aber im Laufe der Tagung zu uns stoßen und auch zu uns sprechen – nicht wie geplant am Ende sondern, ich glaube, zwischen dem dritten und vierten Panel.
Ich möchte eingangs ganz besonders begrüßen: Frau Bundeskanzlerin außer Dienst Dr.in Brigitte Bierlein. – Herzlich willkommen.
Ich freue mich, dass wir in der Vorbereitung für diese Tagung auch Abgeordnete, Mandatare und Mandatarinnen, motivieren konnten, sich aktiv zu beteiligen, weil es uns in der Parlamentsdirektion bei dieser Thematik, die die Politik und die Gesetzgebung sicherlich in der nächsten Zeit noch beschäftigen wird, besonders wichtig ist, die parlamentarischen Klubs von Beginn an mitzunehmen, zu sensibilisieren und auch politische Ersteinschätzungen so früh wie möglich mitzunehmen und miteinzubeziehen.
Ich möchte jetzt persönlich begrüßen: Frau Abgeordnete zum Nationalrat Mag.a Agnes Sirkka Prammer. – Schönen guten Morgen und danke fürs Kommen!
Mitglied des Bundesrates Herrn Mag. Sascha Obrecht. – Danke für Ihr Kommen!
Es werden dann im Lauf der Tagung und vor allem zum letzten Panel, das an die parlamentarischen Klubs gerichtet ist, noch die Abgeordneten zum Nationalrat Mag. Gerstl, Frau Dr.in Fürst und Herr Dr. Scherak zu uns stoßen. Das wird etwas später passieren.
Ich möchte auch die Kolleginnen und Kollegen aus dem Inland, aber auch aus dem Ausland begrüßen, die bereit waren, uns heute in diesen Panels aktiv zu begleiten. Ich möchte aufgrund der großen Anzahl für Verständnis bitten, dass ich das jetzt in Blöcken vortrage und wir nicht bei jedem Namen applaudieren – was selbstverständlich jeder und jede verdient hätte, aber ich würde bitte, dass wir es so machen.
Ich begrüße sehr herzlich Herrn Dr. Steiner, Landtagsdirektor aus Oberösterreich, Herrn Dr. Riedl, Leiter der Datenschutzabteilung im Justizministerium, Frau van Leeuwen aus dem niederländischen Parlament, Frau Dr.in Giesecke, Datenschutzbeauftragte des Deutschen Bundestages, Frau Dr.in Jelinek, Leiterin der Österreichischen Datenschutzbehörde, Frau Mag.a König, Datenschutzbeauftragte der Parlamentsdirektion und – last, but not least – Herrn Prof. Dr. Baumgartner, Professor für Öffentliches Recht an der Universität Klagenfurt. – Herzlich willkommen und danke für Ihre Beteiligung!
Ich möchte auch die Moderatorinnen und Moderatoren des heutigen Tages begrüßen, die uns durch die verschiedenen Panels führen werden, an der Spitze Frau Mag.a Gerlinde Wagner, die Leiterin des Rechts-, Legislativ- und Wissenschaftlichen Dienstes der Parlamentsdirektion, der ich auch für die vielfältigen Vorbereitungsarbeiten für diese Tagung sehr danke – ihr und ihrem Team –, daneben noch Herrn Grundböck, den Sprecher der Parlamentsdirektion, Frau Dr.in Neugebauer, Abteilungsleiterin im RLW-Dienst, und Herrn Dr. Konrath, der mit dem ersten Panel beginnen wird. Herzlich willkommen und vielen Dank!
Ich darf auch all diejenigen begrüßen, die uns über Livestream zuhören, und ganz zuletzt alle sonstigen hier Anwesenden. Wie gesagt, es ist ein Thema, das uns wichtig ist, ein Thema, das die Parlamentsdirektion tagtäglich, kann ich sagen, begleitet. Wir nehmen das Thema Datenschutz sehr ernst.
Wir haben mit diesem Thema nicht nur etwa im Bereich der parlamentarischen Interpellation zu tun, wenn es in vielfältigen Zusammenhängen auch die Nennung von Personen gibt, mit sich daran anknüpfenden datenschutzrechtlichen Fragestellungen, sondern sehr viel sichtbarer – Sie lesen oder sehen das auch immer wieder in den Medien – im Bereich Untersuchungsausschuss. Es ist ein Thema, das sehr analog zu Persönlichkeitsrechten von Betroffenen zu sehen ist – was uns auch beschäftigt. Wir haben zum Thema Persönlichkeitsrechte in der letzten Woche, am 25. Februar, schon eine ähnliche Fachtagung gehabt, die uns sehr gute Anhaltspunkte und Ansatzpunkte für eine Fortsetzung der Debatte geliefert haben, und wir erhoffen uns das natürlich auch von der heutigen Veranstaltung.
Das wird relativ schnell klar werden: Wir werden heute nicht über den Bereich der Parlamentsverwaltung sprechen, denn dafür gelten ja sämtliche datenschutzrechtlichen Vorschriften und Standards sowieso, da gibt es also rechtspolitisch relativ wenig nachzudenken. Wir werden über den Bereich der Gesetzgebung reden, und da stellen sich einfach viele Fragen, beginnend bei der Frage des Geltungsbereichs des Unionsrechts – sozusagen auch ein bisschen ein Spezialkapitel zur Subsidiaritätsdebatte in der Europäischen Union –, sowie natürlich Fragen der Gewaltentrennung beziehungsweise der Fragenkomplex des Spannungsverhältnisses: Anspruch der Öffentlichkeit, der Transparenz politischen Geschehens auf der einen Seite, und Datenschutz auf der anderen Seite. Sie können sich vorstellen, dass gerade für den Bereich der Gesetzgebung, gerade für den parlamentarischen Bereich dieses Spannungsverhältnis ein besonders wichtiges und auf der anderen Seite aber auch heikles Thema ist.
Das wird sich im Aufbau, im Ablauf des heutigen Tages spiegeln. Wir werden uns diesen Fragen in vier Panels nähern: Wir werden uns in Panel 1 mit der europäischen Perspektive befassen; wir werden in Panel 2 dann gewissermaßen die innerstaatlichen Grundlagen, die Ausgangssituation der Problematik beleuchten, in Panel 3 gewissermaßen darauf aufbauend in die Zukunft sehen; und in Panel 4 werden wir – ich habe das eingangs schon gesagt – die parlamentarischen Klubs einladen, mit uns ihre Einschätzung, ihre Perspektive zu diskutieren.
Ich habe es einleitend auch schon gesagt: Zwischen Panel 3 und 4 wird auch Präsident Sobotka uns seine Sicht der Dinge darbringen. Und ich kann Ihnen abschließend nur sagen: Wir werden Sie natürlich nicht dazu anhalten, bis zum Schluss der Veranstaltung nur hier zu sitzen, sondern wir werden am mittleren Vormittag eine kurze Kaffeepause anbieten und wir werden zu Mittag eine Mittagspause machen, wo wir hier im hinteren Bereich des Saales ein warmes Buffet anbieten werden.
Ganz zum Schluss darf ich noch Ihnen sagen, dass wir uns bemühen werden, die heute vorgetragenen Beiträge, die Diskussionsbeiträge, schriftlich zusammenzufassen, und wir planen dazu auch eine Publikation, die zu gegebener Zeit vorliegen wird – auch das ist nur eine Unterstreichung, wie wichtig uns dieses Thema ist.
In dem Sinne würde ich jetzt gerne an Frau Mag.a Wagner übergeben, die einleitende Worte inhaltlicher Natur an uns richten wird, wie sich der heutige Tag entwickeln wird.
An Sie noch einmal: Danke fürs Kommen! Ich wünsche uns allen einen interessanten Tag. – Vielen Dank.
Gerlinde Wagner (Leiterin des Rechts-, Legislativ- und Wissenschaftlichen Dienstes der Parlamentsdirektion): Sehr geehrte Damen und Herren, schönen guten Morgen! Zuallererst freue ich mich wirklich sehr über das große Interesse an diesem Thema und auch über Ihr zahlreiches Kommen.
Das Thema Datenschutz im Bereich der Gesetzgebung – es wurde bereits erwähnt – beschäftigt die Politik und die Parlamentsdirektion wirklich schon seit sehr vielen Jahren. Dass das Grundrecht auf Datenschutz auch im Bereich der Gesetzgebung gilt, war dabei stets unbestritten. Ohne Ergebnis blieb aber, wie ein adäquater Rechtsschutz ausschauen könnte. Im Vorfeld des Inkrafttretens der DSGVO, also der Datenschutz-Grundverordnung, Ende Mai 2018 erfolgte im Parlament eine neuerliche Auseinandersetzung mit dem Thema, und der Bereich der Parlamentsverwaltung war wirklich immer unstrittig, es war nie strittig, dass da die DSGVO von Anbeginn an vollumfänglich umgesetzt wird.
Unklar erschien aber die Geltung der DSGVO im sogenannten Kernbereich der Gesetzgebung, dies vor allem mit Blick auf die Reichweite der Kompetenzen der EU und der Ausnahmebestimmung, die in Art. 2 Abs. 2 lit. a DSGVO festgehalten ist, wonach „Verarbeitung personenbezogener Daten“ „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, von der DSGVO ausgenommen ist. Zudem erwähnt oder berücksichtigt der Verordnungstext selber – anders, als das im Bereich der Gerichtsbarkeit ist – weder den Bereich der Gesetzgebung, noch ist die Gesetzgebung in den Erwägungsgründen erwähnt.
Genau vor diesem Hintergrund hat der österreichische Gesetzgeber in Gesetzesmaterialien daher zum Ausdruck gebracht, dass er die DSGVO im Bereich der nationalen Gesetzgebung für nicht anwendbar erachtet und somit auch keine Zuständigkeit der Datenschutzbehörde besteht. In einer Ausschussfeststellung des Verfassungsausschusses aus 2018 wurde festgehalten – ich zitiere –, „dass Datenverarbeitungen im Bereich der Gesetzgebung weiterhin vom Grundrecht auf Datenschutz erfasst sind, dass aber weder die DSGVO, noch die übrigen Bestimmungen des DSG“ – des Datenschutzgesetzes – „auf Datenverarbeitungen im Bereich der (nationalen) Gesetzgebung Anwendung finden. Dies gilt auch für die Tätigkeit der parlamentarischen Mitarbeiter/innen und parlamentarischen Klubs und deren Mitarbeiter/innen, wenn diese die Mitglieder des Nationalrates oder des Bundesrates bei ihren Aufgaben unterstützen.“ – Zitatende.
Im Normtext des DSG wurde diese in der Ausschussfeststellung festgelegte Rechtsauffassung aber nirgendwo festgehalten, sie wurde nicht aufgenommen. Das DSG enthält keine explizite Ausnahme für den Bereich der Gesetzgebung. Vielmehr ist es so, dass der dortige § 4 Abs. 1 anordnet, dass es eine generelle Anwendbarkeit der DSGVO gibt, somit also auch für Bereiche, in denen sie nicht unmittelbar gilt.
Die Frage der Anwendbarkeit der DSGVO im Bereich der Gesetzgebung betrifft im Übrigen nicht nur das Parlament, sie stellt ebenso beim Rechnungshof und bei der Volksanwaltschaft sowie bei den Landtagen und den Landesrechnungshöfen ein Faktum dar. All diese Organe waren bisher einheitlich der Auffassung, dass die DSGVO zwar in ihrem jeweiligen Verwaltungsbereich gilt, nicht aber in jenem Bereich, der zur Staatsgewalt der Gesetzgebung zu zählen ist.
Konsequenterweise wurde daher der Datenschutzbehörde im Jahr 2018 auf Basis eines Initiativantrages aller drei Präsidenten des Nationalrates nur ausnahmsweise und nur, soweit es die Verfassungsbestimmung in § 35 Abs. 2 DSG vorsieht, eine Zuständigkeit eingeräumt, ausschließlich für die Verwaltungsangelegenheiten des Parlaments, des Rechnungshofes und der Volksanwaltschaft. Eine Kontrolle der Legislative durch ein Organ der Exekutive ist nicht vorgesehen.
Es ist vom Herrn Parlamentsdirektor schon erwähnt worden, dass es im Zusammenhang mit dem Untersuchungsausschuss dazu selbstverständlich aktuelle Fragen gibt. Gerade in der jüngeren Vergangenheit hat Datenschutz vor allem im Bereich der Untersuchungsausschüsse ganz vehement an Brisanz dazugewonnen.
Es stellen sich datenschutzrechtliche Fragen, wenn Akten und Unterlagen an einen Untersuchungsausschuss vorgelegt werden und wenn Befragungsprotokolle von Auskunftspersonen oder der Bericht eines Untersuchungsausschusses veröffentlicht werden. Art. 138 b Abs. 1 Z 7 B-VG, also der Bundesverfassung, eröffnet nur punktuell Rechtschutzmöglichkeiten, die aus Sicht der Betroffenen aber nicht immer als für ausreichend erachtet werden. Nach dieser Bestimmung kann nämlich jede Person, die sich durch ein Verhalten eines Untersuchungsausschusses beziehungsweise seiner Mitglieder oder Funktionäre als in ihren Persönlichkeitsrechten verletzt erachtet, Beschwerde beim Verfassungsgerichtshof erheben. Ich erwähne der Vollständigkeit halber: Funktionäre sind der Verfahrensrichter, der Verfahrensanwalt und der Vorsitzende.
Wegen einer Aktenvorlage in einem Untersuchungsausschuss, wenn also zum Beispiel der Akt aus Sicht der Betroffenen nicht hinreichend klassifiziert ist, wegen einer überschießenden Aktenvorlage oder wegen des Verhaltens eines Mitglieds eines Untersuchungsausschusses außerhalb einer Sitzung wie zum Beispiel der Weitergabe einer klassifizierten Information können betroffene Personen sich aber nicht an den Verfassungsgerichtshof wenden.
Eine große Rechtsunsicherheit ist seit der EuGH-Entscheidung Land Hessen entstanden. Im Juli 2020 sprach der Europäische Gerichtshof nämlich in einem Vorabentscheidungsverfahren aus, dass die DSGVO auch auf Datenverarbeitungen des Petitionsausschusses des Hessischen Landtages anwendbar ist. Er führte unter anderem aus, dass dieser Ausschuss mittelbar zur parlamentarischen Tätigkeit beiträgt und seine Tätigkeiten politischer und administrativer Natur sind. Unklar ist, was aus dieser Entscheidung für den Kernbereich der Gesetzgebung nun ableitbar ist: Ist jener Bereich, der nicht nur mittelbar zur parlamentarischen Tätigkeit beiträgt und der auch nicht administrativer Natur ist, daher auch anwendbar oder nicht?
In Österreich gilt, ich habe es bereits erwähnt, im Bereich der Gesetzgebung jedenfalls das verfassungsgesetzlich gewährleistete Grundrecht auf Datenschutz, also § 1 DSG, der ein Recht auf Geheimhaltung, Auskunft, Richtigstellung und Löschung personenbezogener Daten vorsieht. Der Ausgangsstreit, der der EuGH-Entscheidung Land Hessen zugrunde lag, hätte sich also so dem Grunde nach in Österreich gar nicht gestellt.
Das Bundesverwaltungsgericht kam unter Bezugnahme auf diese EuGH-Entscheidung zum Schluss, dass die DSGVO im Bereich der Gesetzgebung anwendbar und die Datenschutzbehörde auch in diesem Bereich zuständig ist. Der gegen diese Entscheidung des Bundesverwaltungsgerichts angerufene Verwaltungsgerichtshof hat nun jüngst ein Vorabentscheidungsverfahren beim EuGH initiiert. Dem EuGH wurden Fragen zur Entscheidung vorgelegt, nämlich, ob Tätigkeiten eines Untersuchungsausschusses in den Anwendungsbereich des Unionsrechts fallen und somit auch die DSGVO dafür anwendbar ist, und zweitens, ob sich eine Zuständigkeit der Datenschutzbehörde bereits unmittelbar aus der DSGVO ergibt. Dies ist deshalb so relevant, weil in Österreich die Datenschutzbehörde die einzige Behörde ist, die nach der DSGVO eingerichtet ist. Die Klärung dieser Fragen ist sehr zu begrüßen. Dies ist nicht nur für die betroffenen Personen von großer Relevanz, sondern auch für die Organe der Gesetzgebung selber.
Welcher Handlungsbedarf ergibt sich nun im Fall der Anwendbarkeit der DSGVO? – Sollte die Anwendbarkeit der DSGVO im Bereich der Gesetzgebung bejaht werden, so hätte dies wirklich weitreichende Auswirkungen.
Es wären datenschutzrechtliche Verantwortlichkeiten zu klären und festzulegen, also: Wer soll, wer muss das sein? Ist das jeder einzelne Abgeordnete, ist es der Präsident des Nationalrates, der Präsident des Bundesrates, der Ausschussvorsitzende? Auch das Plenum oder der Ausschuss als beschlussfassendes Organ kämen grundsätzlich dafür in Frage.
Weiters wären entsprechende Umsetzungsmaßnahmen zu treffen. Vor allem aber müssten – soweit die Öffnungsklauseln es zulassen und dafür bestehen – legistische Sonderregelungen für den Bereich der Gesetzgebung diskutiert und ausgearbeitet werden, um wirklich diesen spezifischen Anforderungen, die es im Bereich des Parlaments gibt, gerecht zu werden.
Dabei ist nicht unwesentlich – und ich möchte das wirklich explizit erwähnen –, dass die bestehenden Immunitätsregelungen dabei in den Blick zu nehmen sind, weil der Schutz durch die berufliche und wohl auch durch die sachliche Immunität aufgeweicht werden müsste, damit datenschutzrechtliche Ansprüche auch wirklich verfolgt werden können.
Von einer Anwendbarkeit der DSGVO besonders berührt werden vor allem die folgenden Themenbereiche: die Veröffentlichung von parlamentarischen Materialien, also von Stellungnahmen, parlamentarischen Anfragen, Communiqués, Stenographische Protokolle; der Umgang mit den Betroffenenrechten in Bezug auf Akten und Unterlagen, die an den Untersuchungsausschuss übermittelt werden; die Frage eines unabhängigen Rechtsschutzes, also eine für das Parlament passgenaue Aufsichtsbehörde.
Sehr geehrte Damen und Herren, ich komme nun zu den Zielsetzungen unserer heutigen Veranstaltung. Diese Fachtagung soll Erkenntnisse zu folgenden Fragestellungen hervorbringen:
Besteht, aus datenschutzrechtlicher Sicht ein Handlungsbedarf, und wenn ja, inwieweit? – Das wird aus europäischer wie auch aus innerstaatlicher Perspektive zu beurteilen sein.
Zweitens: Wie können diese Lösungsmöglichkeiten im parlamentarischen Bereich aussehen, nämlich unter der besonderen Berücksichtigung der Spezifika, die es im parlamentarischen Verfahren gibt, aber auch unter Berücksichtigung der gebotenen hohen Transparenz, die wir im parlamentarischen Verfahren und bei allen parlamentarischen Tätigkeiten haben?
Im Lichte all dieser datenschutzrechtlichen Fragestellungen ist die Idee zu dieser Fachtagung entstanden, und die erwähnte VwGH-Vorlage an den EuGH macht sie aktueller denn je.
Sehr geehrte Damen und Herren, ich freue mich jetzt wirklich auf die Vorträge und Diskussionsbeiträge aus den hochkarätig zusammengesetzten Panels und dem ebenso zusammengesetzten Fachpublikum und danke Ihnen sehr für Ihre Aufmerksamkeit! – Vielen Dank.
Ich darf gleich überleiten und Herrn Dr. Konrath das Wort erteilen.
Panel 1: Anwendungsbereich der DSGVO ─ europäische Perspektiven
Christoph Konrath (Leiter der Abteilung Parlamentswissenschaftliche Grundsatzarbeit der Parlamentsdirektion): Ich darf Sie damit zu Panel 1, Anwendungsbereich der DSGVO – Europäische Perspektiven, begrüßen.
Für die Auseinandersetzung mit den Fragestellungen dieses Tages ist es, wie wir jetzt schon im einleitenden Referat von Gerlinde Wagner gehört haben, von großer Bedeutung, sich zunächst mit der Datenschutz-Grundverordnung selbst zu befassen.
Hier stellt sich vor allem die Frage, ob sie im Hinblick auf die Kompetenzen der EU und der Bestimmung über den sachlichen Anwendungsbereich in der DSGVO für den Bereich nationaler Gesetzgebung anwendbar ist. Der weitaus überwiegende Teil von Parlamenten in der EU bejaht diese Frage auch im Hinblick auf Rechtsschutz – wenngleich in unterschiedlichen Ausprägungen.
Manche Parlamente haben auch Mechanismen, um Datenschutzverletzungen von Vornherein möglichst zu verhindern. Wir wollen uns daher besonders mit diesen Erfahrungen vertraut machen und freuen uns, dass Kolleginnen aus den Niederlanden und aus Deutschland da sind. Leider musste der Vertreter der EU-Kommission, Herr Prof. Selmayr, wie wir schon gehört haben, absagen, sein Statement wird aber dann in den Tagungsband aufgenommen, und wir werden versuchen, manche seiner Punkte in die Diskussion einzubringen.
Ich darf nun die Vortragenden dieses ersten Panels kurz vorstellen:
Herr Ministerialrat Dr. Eckhard Riedl leitet die Stabsstelle für Datenschutz im Bundesministerium für Justiz. Er ist Mitglied des Datenschutzrates und anerkannter Experte und Autor auf diesem Gebiet. Er wird aus europarechtlicher Perspektive über den Anwendungsbereich der DSGVO sprechen.
An ihn schließt Bernardien van Leeuwen an. Sie ist Datenschutzbeauftragte der Tweede Kamer des niederländischen Parlaments und in dieser Rolle eine wichtige Ansprechpartnerin für ParlamentspraktikerInnen in ganz Europa. Die Tweede Kamer bejaht die Anwendbarkeit der DSGVO im parlamentarischen Bereich. Bernardien wird uns einen Einblick geben, wie in ihrem Parlament die Regelungen zum Datenschutz angewendet werden und welche Fragen sich in der Praxis laufend stellen.
Schließlich darf ich Bettina Giesecke vorstellen. Sie leitet das Kompetenzzentrum Datenschutz im Deutschen Bundestag und ist auch behördliche Datenschutzbeauftragte, nicht nur für den Bereich der Verwaltung. Sie wird uns in ihrem Statement skizzieren, weshalb und unter welchen Bedingungen die DSGVO im Bundestag für anwendbar erachtet wird und welche datenschutzrechtlichen Vorkehrungen und Erfahrungen es bislang im Bundestag gegeben hat.
Ich darf nun Herrn Riedl um seine Präsentation bitten.
Eckhard Riedl (Leiter der Datenschutzabteilung im BMJ, Mitglied des Datenschutzrates): Sehr geehrte Damen und Herren! Auch von meiner Seite einen schönen Vormittag. Ich darf Ihnen heute als Einstieg den unionsrechtlichen Teil im Zusammenhang mit dem Datenschutzregime auf europäischer Ebene etwas näherbringen.
Bei der Vorbereitung dieses Kurzstatements ist mir der Verwaltungsgerichtshof mit seiner rezenten Vorlageentscheidung an den Europäischen Gerichtshof unerwartet zu Hilfe gekommen. Ich kann daher mehr oder weniger meine Gliederung des heutigen Tages ganz an die Fragestellungen des Verwaltungsgerichtshofes anlehnen. Die erste Frage: Fallen Tätigkeiten in Ausübung der funktionalen Gesetzgebung in den Anwendungsbereich des Unionsrechts, in weiterer Folge der Datenschutz-Grundverordnung? Sofern diese Frage entweder zur Gänze oder teilweise bejaht wird, stellt sich die Folgefrage: Wie schaut eine Kontrolle dieser Tätigkeit im Rahmen der Gesetzgebung auf der Ebene einer Kontrollbehörde, einer Aufsichtsbehörde aus?
Zur Bestandsaufnahme – und da werde ich versuchen, die Problemstellungen, die keine Problemstellungen mehr sind, bereits abzuschichten; das haben meine VorrednerInnen teilweise schon angesprochen: Unbestritten ist, dass das Datenschutzgrundrecht gemäß § 1 DSG auch für die Gesetzgebung gilt. Ebenso sollte das der Fall sein in Bezug auf Artikel 8 EMRK, das Recht auf Achtung des Privat- und Familienlebens. Wenn die Gesetzgebung funktional als Verwaltungsbehörde tätig wird, ist es ebenfalls unbestritten, dass der Anwendungsbereich der DSGVO und des DSG eröffnet ist, inklusive der Zuständigkeit der Datenschutzbehörde.
Durch die ergänzende Verfassungsbestimmung des § 35 Abs. 2 DSG ist ferner klargestellt, dass sich die datenschutzbehördlichen Befugnisse auch auf Verwaltungstätigkeiten des Nationalratspräsidenten erstrecken.
Schließlich ist die Zuständigkeit des Verfassungsgerichtshofes auch heute im Zusammenhang mit der Verletzung von Persönlichkeitsrechten, im Speziellen im Kontext der Untersuchungsausschüsse, bereits angesprochen worden.
Jetzt könnte man fragen: Na ja, worin besteht denn nun das Problem, wenn wir hier lauter Aspekte auflisten können, wo es ohnedies kein Problem beziehungsweise eine einhellige Rechtsmeinung gibt? Das Problem besteht, wie schon erwähnt, in der Frage der Anwendbarkeit des unionsrechtlichen Datenschutzregimes, Artikel 8 Grundrechtecharta, Artikel 16 AEUV und der DSGVO, im Bereich der Gesetzgebung.
Zum sachlichen Anwendungsbereich der Datenschutz-Grundverordnung: Der Schutz personenbezogener Daten ist in Artikel 8 Grundrechtecharta als Grundrecht ausgestaltet, mit Artikel 16 Abs. 2 AEUV gibt es erstmals seit dem Vertrag von Lissabon eine ausdrückliche Ermächtigungsgrundlage und Kompetenzgrundlage für die Europäische Union. Die Verarbeitung personenbezogener Daten durch die Gesetzgebung fällt somit in den Anwendungsbereich des Unionsrechts im Sinne des Artikels 16 Abs. 2 AEUV, soweit der betreffende Tätigkeitsbereich in den Anwendungsbereich des Unionsrechts fällt.
Diese primärrechtliche Abgrenzung sowohl in der Grundrechtecharta als auch in Artikel 16 AEUV wurde nachvollzogen im Rahmen der sachlichen Zuständigkeitsregelungen in der Datenschutz-Grundverordnung, auch dort erfolgt die Anknüpfung an den Geltungsbereich des Unionsrechts. Ausnahmen von diesem Geltungsbereich des Unionsrechts habe ich zum einen im Bereich der Gemeinsamen Außen- und Sicherheitspolitik, im Rahmen der Haushaltsausnahme und im Strafverfolgungsbereich.
Im Bereich der Richtlinie, der Vorgängerbestimmung der Datenschutz-Grundverordnung, gab es eine ähnliche Formulierung zum Anwendungsbereich, zum sachlichen Anwendungsbereich; dieser wurde auch in die Datenschutz-Grundverordnung übernommen. In der Judikatur des EuGH – ich erwähne hier nur beispielhaft Lindqvist, Ryneš oder Puškár – gibt es immer wieder Aussagen zum Anwendungsbereich der Richtlinie, die auf den Anwendungsbereich der Verordnung übertragbar sind. Die Ausnahme des Art. 2 Abs. 2 lit. a, heute schon mehrfach erwähnt, der Anwendungsbereich des Unionsrechts, ist eng auszulegen – eine Schlussfolgerung aus dieser Judikatur.
Die genannten Tätigkeiten dienen dazu, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, sodass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie zugehörig sind. Die Gesetzgebung ist weder ausdrücklich genannt noch einer solchen Kategorie zuzuordnen. Weder der Kompetenztatbestand des Art. 16 Abs. 2 AEUV noch der Artikel 2 der DSGVO zum sachlichen Anwendungsbereich differenzieren daher, nach welcher Staatsfunktion eine staatliche Stelle personenbezogene Daten verarbeitet, es wird lediglich auf eine technische Form der Datenverarbeitung abgestellt.
Es besteht somit kein Anhaltspunkt dafür, dass Tätigkeiten der Organe im Rahmen der Gesetzgebung gemäß § 16 Abs. 2 AEUV und Artikel 2 DSGVO vom Anwendungsbereich hätten ausgenommen werden sollen. Die Europäische Kommission vertritt durchgehend, auch in den Expertensitzungen, ebenfalls diese Position. Die neue Rechtsprechung des EuGH im schon erwähnten Verfahren Land Hessen bestätigt diese Rechtsansicht.
Würde man nun zur Ansicht kommen, all das würde nicht zutreffen, glaube ich, dass es innerstaatlich eine Reihe von Argumentationslinien gibt, die dennoch zu einer Anwendung der DSGVO kommen würden. Hier wurde schon die Regelung in § 4 Abs. 1 DSG erwähnt. Der Gesetzgeber hat hier ganz eindeutig das Ziel verfolgt, keine Unterscheidung zwischen Anwendungsbereichen, Datenanwendung im Anwendungsbereich und außerhalb des Anwendungsbereichs des Unionsrechts, zu schaffen, um da eben keine Parallelregelungen und möglicherweise schwierige Abgrenzungsfragen zu schaffen. Das heißt, es erfolgt auch über den Wortlaut des § 4 Abs. 1 DSG eine eindeutige Bezugnahme auf den Anwendungsbereich der DSGVO im innerstaatlichen Bereich, hier wird dieser Bereich, der allenfalls nicht in den Anwendungsbereich fällt, definitiv nicht ausgeschlossen.
Die DSGVO und das DSG können auch als Konkretisierung der Ausgestaltung des Grundrechts nach § 1 DSG gesehen werden, und auf diesem Weg käme man zu einer Anwendung des DSG und der DSGVO.
Im Lichte der weiten Formulierung des Anwendungsbereichs des § 4 sind die einfachgesetzlichen Normen des DSG beziehungsweise die darin verwiesenen DSGVO-Bestimmungen als notwendige Konkretisierungen des grundrechtlich gewährleisteten Datenschutzes zu verstehen und daher auch in gebotener Form dementsprechend einfachgesetzlich auszuführen – was eben nunmehr genau in Form des DSG und der DSGVO passiert.
Zum zweiten Komplex nur kurz: Soweit man dieser Argumentation folgt und in irgendeiner Art und Weise, ob nun unionsrechtlich oder innerstaatlich oder über Vollzugsnormen des Grundrechts, zum Anwendungsbereich kommt, ist die zweite Frage, die man sich stellen muss: Wie schaut denn nunmehr eine entsprechende Konzeption einer Aufsichtsbehörde in diesem Zusammenhang aus?
Gemäß Artikel 51 DSGVO muss eine Aufsichtsbehörde eingerichtet werden, sofern der Anwendungsbereich eröffnet ist. Die österreichische Datenschutzbehörde wird nach § 18 Abs. 1 DSG als solche nationale Aufsichtsbehörde gemäß der DSGVO eingerichtet. Sie ist sowohl für den von der DSGVO festgelegten Anwendungsbereich als auch für den ihr aufgrund des DSG zugeordneten Anwendungsbereich zuständig. Die Datenschutzbehörde ist nicht für die Aufsicht von Gerichten im Rahmen der justiziellen Tätigkeit verantwortlich und zuständig. Das ist allerdings auch die einzige Ausnahme, die hier sowohl im Rahmen des unionsrechtlichen Regimes als auch im Rahmen des innerstaatlichen Regimes im DSG vorliegt.
Das innerstaatliche Recht – mit Blick auf das verfassungsrechtliche Gewaltentrennungsprinzip – könnte nun einer Zuständigkeit der DSB im hier vorliegenden Fragebereich entgegenstehen. Die Datenschutzbehörde hat daher auch konsequenterweise sämtliche Beschwerden in diese Richtung zurückgewiesen. Dem könnte natürlich der Anwendungsvorrang in der Form, dass ich ein unionsrechtlich determiniertes, unmittelbar anwendbares Gebot der Einrichtung einer Aufsichtsbehörde im Zusammenhang mit Datenverarbeitungen habe, entgegengehalten werden. Die sachnächste Behörde könnte in dieser Überlegung dann in der Tat die innerstaatlich als einzige Aufsichtsbehörde eingerichtete Datenschutzbehörde sein – so auch das heute ja schon erwähnte Erkenntnis des Bundesverwaltungsgerichtes.
Das vermag nun auf den ersten Blick total verwegen klingen. Wenn man aber bedenkt, dass der OGH auch den Artikel 79 DSGVO, also die Möglichkeit der Öffnung eines parallelen Rechtszuges bei den Gerichten, unmittelbar anwendet und es dabei als kein Problem erachtet, das Gewaltentrennungsprinzip und den Trennungsgrundsatz in unserer Bundesverwaltung unangewendet zu lassen, klingt das vielleicht schon ein bisschen weniger abenteuerlich. Wenn man dabei bedenkt, dass der EuGH bei der Findung einer sachnächsten innerstaatlichen Behörde in seiner Judikatur, wie wir aus diversen Erkenntnissen wissen, äußerst kreativ ist, ist es ebenfalls nicht völlig absurd, eine solche Annahme zumindest einmal zu tätigen.
Vor diesem Hintergrund und diesen anhängigen Verfahren vor dem Europäischen Gerichtshof mag es daher vielleicht durchaus erstrebenswert erscheinen, besser selbst schnell eine eigene Aufsichtsbehörde einzurichten, als möglicherweise dem EuGH diese Entscheidung mit einem allenfalls unliebsamen Ergebnis zu überlassen.
Rückblickend: Ich verfolge diese Diskussion zur Anwendbarkeit des Datenschutzregimes in der Gesetzgebung nunmehr seit vielen Jahren. In meiner persönlichen rückblickenden Wahrnehmung des Diskussionsprozesses hatte ich stets ein bisschen den Eindruck einer reflexartigen Denkunmöglichkeit einer potenziellen Anwendung der DSGVO in der Gesetzgebung. Viel Energie wurde darauf aufgewandt, Argumente zu finden, warum die DSGVO im Zusammenhang mit der Gesetzgebung nicht gelten kann – rechtspolitisch verständlich war mir persönlich dieser Ansatz eher weniger bis kaum. Es war schwer nachvollziehbar, aus welchen Gründen sich die Gesetzgebung, das Parlament so vehement gegen die Anwendung eines unions- und weltweit beachteten und anerkannten Grundrechtsstandards in Form der Ausgestaltung der Datenschutz-Grundverordnung zur Wehr setzt, wenn man ja ohnedies das Datenschutzgrundrecht gemäß § 1 Abs. 1 DSG anwendet.
Einige Anzeichen deuten nunmehr auf ein Umdenken hin. Das ist die Judikatur des EuGH, das sind die derzeitigen öffentlich-medial stattfindenden Diskussionen, Beispiele aus anderen Mitgliedstaaten und, glaube ich, nicht zuletzt auch die heutige Veranstaltung. Ich denke, das könnte der Beginn einer grund- und datenschutzrechtlich fruchtbaren Diskussion für Änderungen auch im innerstaatlichen Bereich sein. – Vielen Dank.
Christoph Konrath: Sehr geehrter Herr Riedl, vielen Dank für Ihre Ausführungen und Ihre Anregungen. Wir greifen das auch gleich auf und leiten zu Bernardien van Leeuwen über, die jetzt das, was Sie skizziert haben, anhand eines praktischen Beispiels vorstellen kann.
Wir möchten darauf hinweisen, dass Frau van Leeuwen auf Englisch vortragen wird. Sie versteht Deutsch, Sie können die Fragen danach gerne auf Deutsch stellen, es gibt auch eine Übersetzung für sie. Wir gehen davon aus – ich kenne sie sehr gut –, dass ihr Vortrag sehr gut zu verstehen sein wird. Wenn Sie aber Fragen dazu haben, dann können wir das gerne auch im Rahmen der Diskussion vom Verständnis her noch erörtern. – Bitte, Bernardien.
Bernardien van Leeuwen (Datenschutzbeauftragte, Tweede Kamer, NL): Danke, Christoph, für die Einleitung. Ich beginne auf Deutsch, aber ich kenne nicht alle Fachbegriffe der Datenschutz-Grundverordnung auf Deutsch. Für mich ist es einfacher, es auf Englisch zu machen – bitte um Entschuldigung dafür.
(Die Rednerin unterstützt in der Folge ihre Ausführungen mittels einer Powerpoint-Präsentation.)
First I give you some facts and figures about our parliament: We have the House of Representatives. I also give some information on the Senate. The House of Representatives has 150 Members, the Senate has 75. The House is directly elected and the Senate indirectly. The Members of the House of Representatives have the right of amendment and the right of initiative, the Senate does not have these rights. The House also plays a crucial role in the budget process, the Senate a more passive one.
Today we have 20 parliamentary groups in the Netherlands. Since the last elections, the last four have split from their original parliamentary groups they were elected to, but our regulations and procedures say these Members can still be Members of Parliament on their own title, they are entitled to do so. Since last weekend, we have the twentieth parliamentary group, so that gives us a lot of challenges for the coming years.
We have a variety of data subjects: of course the Members themselves, we have some 600 civil staff members, and the parliamentary groups have staff members as well. Then we have more and more parliamentary press and journalists inside the house, which of course also causes us to process data. We also have more and more visitors coming to the parliament – in the last two years of course not so many, but before Covid-19, there were some 250 000 a year. This also leads us to process of a lot of data. Citizens and organisations can send letters, e-mails to parliamentary committees on the subject of legislative themes et cetera.
In the Netherlands, the GDPR is generally applicable to all parliamentary processes: the processing of personal data by the Senate and the House of Representatives as institutions in the exercise of their legislative and scrutiny tasks; it is also applicable to the special instruments the House of Representatives has, such as the right of inquiry and the opportunity to submit petitions, applications and citizens’ initiatives, which also contain lots of personal data.
There are some exceptions to the responsibility of the House of Representatives as an organisation – because I am the Datenschutzbeamte, as you would say, of the organisation of the House of Representatives –:
The Members of Parliament are of course themselves data processors, because they are not hierarchically underneath the organisation of the House of Representatives, they are of course fully independent. There is also a responsibility for newsletters that are sent by Members of Parliament, for instance, and all other activities that they start and that contain personal data are the responsibility of the Members themselves. Just like the organisation of the House, they, too, must apply the GDPR.
So, Members of Parliament are data controllers themselves and the staff of the parliamentary groups are data controllers themselves, too – so the GDPR is also applicable to those processes.
There are some challenges for the GDPR: Every day we deal with questions that give us new ideas about how to apply the GDPR. One of the challenges is that Members of Parliament are fully independent, so we cannot prescribe what they can and cannot say. It could be that Members of Parliament want to use personal data in the plenary debates et cetera. This was a question already in 2004, when more and more personal data were used in plenary debates as examples of problems and things that were in these debates. However, there is the GDPR, which says, if it is not necessary to use personal data, you cannot use it. This is a challenge for parliaments.
Only a month ago, for instance, we had a debate in the House of Parliament about a political advisor of the liberal party. This became an issue in the media because she used to have terrorist activities and she was punished for this. She was punished, but now she is a free person, and the liberal party asked her to be an advisor on terrorism. So, some political groups made this a political issue, and they asked for a debate with the Prime Minister – who himself is in the liberal party – to explain how this is possible. Her name was used frequently in this debate, but in such a case the President of the House asks the Members not to use personal data – although, of course, everybody knows who it is – because this person does not take part in the debate at that moment and cannot defend herself. So this was the issue in that case, not primarily the GDPR itself. However, also other Members asked not to use the name. In general, the culture in the Dutch Parliament is that Members of Parliament do not to use personal data in any debate or any written or oral question.
Of course, there is also use of personal data in social media, which is a more and more interesting medium for the Members of Parliament, too. This also is a challenge when it is a Member of Parliament, because data subjects do not look at these issues and tweets as being the responsibility of the Members of Parliament themselves. They will always ask the organisation of the House of Parliaments: How can this happen?, if they do not want such things to occur.
It is a specific challenge when the question of respective responsibility is raised. For instance, as an organisation we are responsible for the IT-systems we use, but the Members of Parliament and the parliamentary groups store their data in our systems. How are these responsibilities related? This is an interesting challenge for us at this moment.
Well, this was it. I thank you for your attention. I give the floor to you.
Christoph Konrath: Vielen Dank für diesen interessanten Einblick. Ich bin mir sicher, dass sich hier in der weiteren Diskussion noch einige Fragen ergeben werden.
Wir gehen jetzt weiter zum Deutschen Bundestag. Mehrfach wurde heute schon die EuGH-Entscheidung Land Hessen angesprochen. Sie betrifft einen deutschen Landtag, aber sie hat selbstverständlich auch zu großen Diskussionen im Deutschen Bundestag geführt. Bettina Giesecke wird uns zunächst aber die Praxis vorstellen und auch die verschiedenen Rechtsschutzmöglichkeiten, die es jetzt schon gibt, ohne dass man in das Verfahrensregime einsteigt, das Herr Riedl am Beginn beschrieben hat. – Bitte, Bettina.
Bettina Giesecke (Datenschutzbeauftragte des Deutschen Bundestages): Guten Tag, meine Damen und Herren! Herzlichen Dank für die Einladung. Ich möchte genau zu diesen Fragestellungen einen kurzen Überblick geben.
(Die Rednerin unterstützt in der Folge ihre Ausführungen mittels einer Powerpoint-Präsentation.)
Die erste Frage war: Wie werden die Regelungen der DSGVO derzeit im Bundestag beachtet? – Wie überall ist es fraglos so, dass die DSGVO unmittelbar auf alle administrativen Bereiche anwendbar ist. Das muss ich nicht vertiefen, das ist ja unstreitig.
Die zweite Frage ist: Wie machen wir es denn mit jenen Bereichen, die nicht administrativ, sondern parlamentarisch-politisch sind? – Da war es bereits vor irgendeiner Entscheidung des EuGH so, dass § 1 des Bundesdatenschutzgesetzes auf nationaler Ebene erklärt hat, dass auch außerhalb des Anwendungsbereiches der EU-DSGVO diese halt mittelbar anwendbar sei, sodass wir sie faktisch bereits anwenden und sich dann eigentlich nur die Frage stellt, ob jeweils unmittelbar oder mittelbar.
Hat sich durch das Urteil zum Hessischen Petitionsausschuss etwas für den Bundestag geändert? – Sie kennen das Urteil des Gerichtshofes, dass die DSGVO auch auf den Petitionsausschuss Anwendung findet. Allerdings ist seither unklar, ob dies nur jenen Teil betrifft, in dem er oder das Sekretariat mittelbar zur parlamentarischen Tätigkeit beiträgt, oder ob dies auch den Bereich der parlamentarischen Tätigkeit umfasst, das heißt, wirklich die Diskussion der Berichterstatter im Petitionsausschuss, die Obleute et cetera. Bei einer unmittelbaren Anwendung der DSGVO ist, wie Sie wissen, eine verfassungskonforme Auslegung nicht mehr möglich, während wir derzeit teilweise die DSGVO bei der mittelbaren Anwendung verfassungskonform auslegen und damit halt auch parlamentsinterne Organisationsfragen, Freiheit des Mandats dann auch leichter berücksichtigen können.
Derzeit wendet der Bundestag die DSGVO an, und wir sammeln Erfahrungen, ob möglicherweise ergänzende bereichsspezifische Regelungen zum Datenschutzrecht für den Bundestag erlassen werden müssen. Wir haben bereits ein Untersuchungsausschussgesetz, es stellt sich aber die Frage, ob beispielsweise insbesondere in Bezug auf Auskunftsrechte da einiges spezifiziert werden müsste – das untersuchen wir gerade –, und wir schauen auch im Petitionsausschuss, ob sich das Verfahren des Petitionsausschusses ändern soll – das ist im Moment aber wirklich noch offen. Wie Sie wissen, sind wir ja am Beginn einer neuen Wahlperiode, sodass sich die Fraktionen mit diesen Themen zunächst noch einmal neu befassen müssen.
Wir haben ja den Vorteil – das ist in Österreich natürlich ähnlich –, dass der Bundestag schon lange vor Geltung der DSGVO an das verfassungsrechtliche Recht auf informationelle Selbstbestimmung, also das Recht auf Datenschutz, im Prinzip gebunden war und wir das daher auch in den Verfahren seit Ende der Achtzigerjahre jeweils berücksichtigt haben.
Eine weitere Frage, die neben dem Untersuchungsausschuss wichtig ist, ist überhaupt die Frage der Reichweite des Auskunftsanspruches. Das ist im Petitionsausschuss, das ist aber auch im gesamten Ausschussverfahren wichtig. Das bedeutet, dass ich, wenn ich als Betroffene Gegenstand einer Verhandlung in einem Ausschuss wurde, beispielsweise jederzeit Einblick in das Protokoll oder einen Auszug aus dem Protokoll des Ausschusses haben kann, der bei uns nicht regelmäßig in öffentlicher Sitzung tagt.
In welchem Verhältnis steht das eigentlich zu den parlamentsinternen Vorschriften, wer Einsichtsrechte in Protokolle hat? – Bei uns ist es derzeit so, dass diese grundsätzlich erst nach dem Abschluss des Gesetzgebungsverfahrens oder halt am Ende der Wahlperiode bei berechtigtem Interesse einsehbar sind. Wenn jetzt aber einmal im Einzelfall eine Person – es ist ja zumindest im Bundestag nicht häufig der Fall, dass man über eine konkrete Person spricht – eins zu eins einen Auskunftsanspruch hätte, dann stellt sich genau die Frage: Ist das auch im laufenden Gesetzgebungsverfahren vor Abschluss der Wahlperiode so? – Da kann ich auch nur eher Probleme aufzeigen, als dass ich jetzt schon Lösungen geben kann.
Nichtsdestotrotz zur nächsten Frage: Welche Mechanismen gibt es, um Verletzungen des Datenschutzes zu vermeiden? – Nur ganz kurz: Im administrativen Bereich gibt es natürlich bereits lange eingespielte Verfahren zur Einhaltung des Datenschutzes; darauf gehe ich nicht ein.
Im politisch-parlamentarischen Bereich gibt es ein wichtiges Vorprüfungsverfahren, das insbesondere diese Frage der Veröffentlichung von Drucksachen, also im Prinzip parlamentarische Anfragen, betrifft. So hat der Geschäftsordnungsausschuss des Bundestages bereits 1989 festgestellt, dass „Formulierungen in Vorlagen“, also sämtliche Bundestagsdrucksachen, „unzulässig“ sind, „falls sie als Ordnungsverletzung anzusehen wären“, und darunter fallen eben auch Formulierungen, die beispielsweise gegen die Strafgesetze oder den Persönlichkeitsschutz verstoßen.
Das heißt, die Abgeordneten reichen ihre Fragen ein, und es wird bei uns vom Sekretariat geprüft, ob sie diesen Anforderungen genügen. Wenn nicht, gibt es eine Diskussion mit dem Antragsteller, ob man nicht ein grundrechtsschonendes Verfahren bringt, indem man die Namen möglichst ganz streicht oder Ähnliches. In den allerallermeisten Fällen gibt es auch bereits auf dieser Ebene die Möglichkeit, zu einer gütlichen Einigung zu kommen. Im Zweifel muss dann die Präsidentin entscheiden, und falls auch diese Entscheidung angefochten wird, müsste dann der Ältestenrat – das ist bei uns das Gremium, in dem sämtliche Parlamentsfraktionen, also quasi ihre Klubs, versammelt sind – oder gar das Plenum abschließend entscheiden.
Beim Untersuchungsausschuss gibt es bei uns nach dem einfachen Gesetz das Verfahren des rechtlichen Gehörs vor der Veröffentlichung des Berichtes. Das heißt, jede Person, die genannt wurde und mit der nicht bereits als Zeuge die ganzen Daten besprochen wurden, wird die Möglichkeit gegeben, Stellung zu nehmen, damit es keine Überraschung gibt, wenn der Bericht veröffentlicht wird.
Das eigentliche Problem ist, glaube ich, dann auch mehr die namentliche Nennung von Zeugen, weil ja nicht immer zu Beginn eines Verfahrens bereits klar ist, welche Bedeutung die Person dann im Laufe des Verfahrens gewinnt. Da ist es mittlerweile so, dass wir darauf hinwirken, möglichst zu Beginn bei der Tagesordnung und bei der Veröffentlichung die Namen im Zweifel eher nicht auszuschreiben, sondern mit Initialen zu benennen – weil diese Tagesordnungen und so weiter ja auf ewig im Internet recherchierbar sind, und das führt dann dazu, dass man im Zweifel mit viel Aufwand versuchen muss, diese Tagesordnung wieder aus dem eigenen Netz herauszufischen.
Wir sagen, dass zumindest Personen quasi ab dem höheren Dienst bei uns, also ab einem bestimmten Beamtenbereich – Personen, die gewisse Entscheidungsmöglichkeiten haben –, damit leben müssen, dass sie gegebenenfalls mit Namen genannt werden, aber insbesondere Personen darunter grundsätzlich eher einmal nicht, also in einer allgemeinen Abwägung zwischen dem Persönlichkeitsrecht einerseits und dem Informationsinteresse der Öffentlichkeit und der Dokumentationspflicht des Bundestages andererseits. Wenn sich dann natürlich herausstellt, dass diese Person – und sei sie auch nur eine sogenannte kleine Leuchte – maßgeblich an diesen Zuständen, die untersucht werden, beteiligt war, dann kann sich diese Abwägung auch zugunsten der Veröffentlichung auswirken, weil sie dann auch erforderlich ist.
Welche Rechtsschutzmöglichkeiten vor Gerichten gibt es? – Im administrativen Bereich kann natürlich die Verwaltungsgerichtsbarkeit angerufen werden, im politisch-parlamentarischen Bereich gibt es die Verfassungsbeschwerde. Es gab auch einmal Verfassungsbeschwerden gegen Veröffentlichungen im Fragerecht, die, soweit ich das jetzt habe, allerdings nicht erfolgreich waren. Wir haben derzeit ein Problem, dass nach unserer Verfassung ein Rechtsschutz gegen den Untersuchungsausschuss quasi ausgeschlossen ist, denn die Beschlüsse der Untersuchungsausschüsse sind der richterlichen Erörterung entzogen. Wir hatten jetzt im verwaltungsgerichtlichen Eilschutz ein Beispiel, in dem ein im Rahmen dieses Wirecard-Untersuchungsausschusses – das sagt, glaube ich, auch den Österreichern etwas – ein betroffener Wirtschaftsprüfer dagegen angehen wollte, dass sein Name im Bericht genannt wird. Da hat das Verwaltungsgericht – das Oberverwaltungsgericht – gesagt, dass das nicht Gegenstand einer verwaltungsgerichtlichen Erörterung sei.
Dann stellt sich noch die Frage nach den Aufsichtsbehörden: Welche Datenschutzaufsichtsbehörden gibt es in Deutschland? – Sie wissen, Deutschland ist ein föderaler Staat und wir lieben auch die Länder, deshalb haben wir derzeit insgesamt 18 Aufsichtsbehörden: Das heißt, wir haben 17 Landesdatenschutzbehörden, weil die Bayern zwei Datenschutzbehörden haben – die haben sich das unterteilt –, und wir haben den Bundesbeauftragten für den Datenschutz, der für den Bundestag zuständig ist. Diese Aufsichtsbehörden sind in der sogenannten Datenschutzkonferenz vereinigt, in der sie Stellungnahmen abstimmen – allerdings sind diese Stellungnahmen als solche nicht verpflichtend, sondern nur eine Maßgabe; verpflichtend ist im Zweifel die Aussage der zuständigen Aufsichtsbehörde.
Darüber hinaus gibt es spezifische Aufsichtsbehörden zum einen im Bereich des Rundfunkrechts, zum anderen im Bereich der kirchlichen Stellen. Das resultiert zum einen direkt aus der DSGVO in Bezug auf die kirchlichen Stellen – Artikel 91 erlaubt es den Kirchen, soweit sie vorher bereits Datenschutzbestimmungen hatten, diese beizubehalten –, und beim Rundfunkrecht ergibt sich das bei uns aus der Staatsferne des Rundfunks nach dem Grundgesetz und Artikel 85 DSGVO.
Gibt es die Möglichkeit, eine besondere Aufsichtsbehörde für ein Parlament einzurichten? – Aus unserer Sicht ist das möglich, weil die DSGVO ja auch vorsieht, dass es verschiedene Aufsichtsbehörden gibt, sie müsste allerdings den Anforderungen der Artikel 51 und folgende DSGVO insbesondere im Hinblick auf die völlige Unabhängigkeit der Aufsicht genügen.
Ich komme zum Schluss: Das stellt gewisse Herausforderungen in Bezug auf die Wahl und die Abberufung der Mitglieder, auf die Qualifikation der Mitglieder – sie müssen Datenschutzrechtsexperten sein –, auf die Unabhängigkeit und Inkompatibilitäten und auch eine institutionelle und finanzielle Unabhängigkeit des Gremiums dar. Weiters müsste die Zuständigkeit geklärt werden – ob es nur für den politisch-parlamentarischen Bereich oder für das gesamte Parlament, für die Abgeordneten, für die Fraktionen, die Klubs zuständig ist –, der Aufgabenbereich und die Möglichkeiten der Aufsichtsbehörde bleiben allerdings von der DSGVO vorgegeben. Und es müsste eine Abstimmung mit weiteren nationalen Aufsichtsbehörden geben, damit dann einfach auch eine einheitliche Durchführung der DSGVO geregelt ist.
Ich danke Ihnen für Ihre Aufmerksamkeit.
Christoph Konrath: Ich darf mich bei Ihnen allen dreien sehr herzlich für Ihre Vorträge, die schon ein weites Feld auch für die nachfolgende Diskussion eröffnet haben, bedanken.
Wir haben jetzt ungefähr 20 Minuten Zeit für eine Diskussion hier im Saal, für Ihre Fragen. Ich möchte Sie bitten, dass Sie sich bei Fragen kurz halten. Wir haben dann auch noch in den Pausen Möglichkeiten zur Vertiefung. Zwei Kollegen der Parlamentsdirektion werden mit einer Tonangel zu jenen kommen, die sich melden, das heißt, Sie müssen das Mikrofon auch nicht selbst in die Hand nehmen. Sie können selbstverständlich bei der Wortmeldung die Maske abnehmen.
Gibt es jetzt schon eine Frage von Ihnen? Möchte sich schon jemand zu Wort melden? – Bitte, Sarah König, in der zweiten Reihe.
Sarah König (Datenschutzbeauftragte der Parlamentsdirektion): Ich hätte eine Frage an Bernardien. – Thank you for your presentation, Bernardien. I have one question concerning the data processing by Members of Parliament that you mentioned: Would you as House organisation, if data subjects approached you, give information on the Members’ initiatives or everything they have brought into parliament and also – you have mentioned them – their plenary debates that may be published? Would you give information on that to the data subjects, or would you refer them to individual Members? And how do you deal with that when they are no longer Members of Parliament?
Bernardien van Leeuwen: Thank you for your question. I will try to give you an answer: When Members of Parliament have initiative legislation – that is the question, I guess? – yes –, well, this happens more and more, and in these cases we would refer the data subjects to the Member of Parliament to give the answer. And during the process of the initiative legislation, there is no information given at all to nobody beside the data subjects also, because this is a process which is all for the Member him- or herself. And until it is published and sent to parliament, there is no information given at all, not even from the legislative department of the House. – Does this give you an answer?
Sarah König: And after publication? I am not quite sure if you publish all initiatives or questions. We often have these problems in connection with interpellations – written questions to members of the executive branches by Members of Parliament –, which are published in Austria and where there is the discussion about who is then responsible for giving either information but also the right to access et cetera.
Bernardien van Leeuwen: I rephrase the question: You want to know how we deal with all the information that is given to the Member of Parliament during the process of initiative if there are questions about it and the House is asked what information led to this initiative?
Sarah König: Well, maybe you simply do not have the problem that we sometimes have, because we have personal data from external data subjects – not the Members of Parliament themselves –, which for instance are formal requirements. But we have also written questions that very often tend to very individually tackle also personal data and include personal data of subjects. So when these come forward and ask the House, would you give them the right to access? So, is the House then responsible to provide the information as requested by the GDPR?
Bernardien van Leeuwen: Well, my answer would be that we do not have such information during the process as in Austria. I think the processes are different from how we have the process of an initiative legislation.
Christoph Konrath: Ich würde vielleicht noch kurz mit einer Frage anschließen:
In den Referaten von Herrn Riedl und von Bettina Giesecke war viel von Aufsichtsbehörden – supervisory bodies – die Rede.
Du hast sie für die Niederlande nicht erwähnt. Wie ist das Verhältnis zwischen dem Parlament und den Aufsichtsbehörden?
Bernardien van Leeuwen: My answer would be that the data subjects can always make a complaint to the supervisory authority or to the court of justice if they have complaints on how the House or Members of Parliaments – who are also seen as the House by the data subjects – process their information.
For instance, we had a civilian who exercised his rights to access his data, and we gave him all the information about the data we process, but he kept insisting: There must be more, there must be more! – That was because the Members of Parliament, whom he also approached during an initiative legislation, processed information themselves. And we cannot access the data that Members of Parliament have.
So this resulted in a lawsuit, and eventually the judge said that the position of the House was the right position: that we cannot deliver the personal data processed by Members of Parliament, even if it is part of a whole process of initiative legislation. And the House or the President of the House does not have the position to demand all that information from these individual Members of Parliament. So we referred this person to the Members themselves.
Does this give you a better answer?
Gottfried Michalitsch (Leiter des Nationalratsdienstes der Parlamentsdirektion): Ich bin Leiter des Nationalratsdienstes, und bei mir kommen Anfragen, sämtliche Gesetzentwürfe et cetera in die Nationalratskanzlei und werden dort gesichtet, bearbeitet. Dazu hätte ich ein paar Fragen insbesondere an Frau Giesecke:
Sie haben erzählt, für parlamentarische Anfragen gibt es ein Vorprüfungsverfahren, dann würde der Präsident entscheiden, dann der Ältestenrat, dann das Plenum. Gibt es diesbezüglich eine spezielle gesetzliche Regelung, oder ist diese abgeleitet von den grundsätzlichen datenschutzrechtlichen Regelungen?
Und die zweite Frage: Wir haben seit dem letzten Jahr ein gesetzlich festgelegtes parlamentarisches Begutachtungsverfahren. Jeder Bürger, jede Bürgerin kann zu Gesetzentwürfen, die hier im Haus liegen, Stellung nehmen. Wir haben das so eingerichtet, dass es automatisiert ist – aufgrund der Anzahl der Stellungnahmen: Wir hatten im Bereich der Impfpflicht 200 000 Stellungnahmen; da können wir das, um es rasch ins Netz zu stellen, nicht prüfen. Das heißt, wir haben dort ein elektronisches Vorprüfungsverfahren mit einer Sperrwortliste – das schauen wir uns an. Meine Frage aber: Haben Sie diesbezüglich Erfahrungen datenschutzrechtlicher Natur? – Danke.
Bettina Giesecke: Vielen Dank. – Also quasi zu der Regelungsgrundlage:
Ich hatte ja gesagt, der Geschäftsordnungsausschuss des Bundestages hat beschlossen, dass grundsätzlich parlamentarische Dokumente keine unparlamentarischen Äußerungen und keine Gesetzesverstöße enthalten dürfen. Das ist im Prinzip die Regelungsgrundlage. Es ist die Entscheidung des Geschäftsordnungsausschusses aufgrund der Geschäftsordnung, an die sich auch alle bisher gebunden fühlten.
Die Regelungsgrundlage ist auf der einen Seite das verfassungsrechtliche Recht des Einzelnen – auf informationelle Selbstbestimmung in dem Fall, Persönlichkeitsrechte – und auf der anderen Seite halt die Freiheit des Abgeordneten, die Freiheit des Mandats des Abgeordneten, die aber eine Grenze findet, weil bei der Veröffentlichung von Drucksachen letztlich Verantwortlicher der oder die Präsident/in ist und nicht der einzelne Abgeordnete und man ja quasi diese Freiheit des Mandats auch nicht auf Kosten des Parlaments ausüben darf.
Ich hoffe, das reicht Ihnen so als Rechtsgrundlage.
Wir haben diese Form des parlamentarischen Begutachtungsverfahrens nicht. Ich kann mir höchstens vorstellen: Wir haben so E‑Petitionen – das heißt, dass Personen sich elektronisch an den Bundestag wenden können –, und die werden dann veröffentlicht. Soweit ich weiß, werden die allerdings vor einer Freischaltung begutachtet und teilweise dann auch nicht freigeschaltet. Das müsste ich allerdings noch einmal im Einzelnen nachgucken.
Christoph Konrath: Eine Frage, die, glaube ich, Gottfried Michalitsch noch angesprochen hat, ist: Welche Ressourcen stehen dafür zur Verfügung? In Österreich ist es so, dass ein großer Teil der Anfragen in Sitzungen eingebracht wird und am Ende der Sitzung muss der Präsident sagen, so und so viele Anfragen sind eingebracht worden. Das lässt sehr wenig Zeit für Prüfung, für die genaue Durchsicht. Wie viele Personen sind im Bundestag mit so einer Vorprüfung befasst, auch angesichts der großen Zahl an Abgeordneten, die ihr derzeit habt?
Bettina Giesecke: Ja – und angesichts der großen Anzahl von Mitarbeitern von Abgeordneten, die ja auch sehr häufig Anfragen stellen. Diese Zahl hat sich enorm erhöht, schon in der letzten Wahlperiode. Die Fragen hinsichtlich der Anfragen werden in einem schriftlichen Verfahren gemacht. Die kommen von Montag bis Freitag, gerne vielleicht auch noch am Samstag und Sonntag schriftlich an das Parlamentssekretariat, werden dort eingereicht, und dort gibt es derzeit drei Juristinnen und Juristen, die sich damit auseinandersetzen. Es gibt dann sehr häufig auch Fragen wie: Ist das überhaupt eine Frage der Kompetenz des Bundes oder nicht die der Länder? So etwas wird natürlich auch mitgeprüft. Es gibt nicht dieses Verfahren, dass man quasi am Ende des Tages sagen muss, wie viele an diesem Tag eingegangen sind. Dafür haben wir mittlerweile ein elektronisches Verwaltungssystem eingerichtet, sodass sich da die Abgeordneten und die Fraktionen mit dem Parlamentssekretariat auch immer gegenseitig austauschen können, wie weit jetzt die Bearbeitung der Anfrage ist, bevor sie dann als Drucksache veröffentlicht wird.
Christoph Konrath: Vielen Dank. – Ich habe eine Frage von Herrn Pointner, in der dritten Reihe.
Peter Pointner (SPÖ-Klub, stellvertretender Klubdirektor): Eine kurze Frage zu diesem Thema, weil es wirklich interessant ist: Der Abgeordnete konzipiert die schriftliche Anfrage, trägt in dem Fall natürlich die datenschutzrechtliche Verantwortung – aber daran stößt sich der Einschreiter meistens nicht, sondern der Einschreiter stößt sich ja an der Publikation dieser Anfrage, also daran, dass diese Anfrage im Internet aufzufinden ist, dass sie verteilt in schriftlichen Formen aufzufinden ist. Die Frage, die sich jetzt stellt, ist: Wenn man die Parlamentsdirektion, die in dem Moment, in dem sie diese Frage bekommt, zur Verantwortlichen macht, könnte sie dann in die Autorenschaft des Abgeordneten eingreifen, um einen datenschutzrechtlich einwandfreien Zustand herzustellen? Das ist natürlich eine sehr schwierige Frage, ob die Parlamentsdirektion eigentlich diese Verpflichtung, diese gesetzliche Aufgabe hat, einen Abgeordneten zu zensurieren.
Christoph Konrath: Das ist eine Frage, die uns weiter beschäftigen und die sicher in den nächsten Panels noch auftauchen wird. – Bettina, ich würde dich bitten, dass du nur sagst, wie man den Abgeordneten auf diese Problematik anspricht.
Bettina Giesecke: Na ja, es bleibt dem Abgeordneten natürlich frei, seine Frage direkt an ein Ministerium zu stellen, nur wird sie dann halt im Rahmen des Bundestages nicht veröffentlicht und auch die Antwort nicht veröffentlicht. Wenn der Abgeordnete sich ans Ministerium wendet und das Ministerium antwortet, dann ist ja in dem Moment auch das Ministerium in der Pflicht, keine personenbezogenen Daten – soweit nicht notwendig – zu veröffentlichen. Er bekommt dann die Antwort, und wenn der Abgeordnete sie dann auf seiner Homepage veröffentlicht, dann ist er auch dafür verantwortlich. Dieses Fragerecht ist aber im Prinzip ein abgeleitetes Fragerecht des Abgeordneten aus dem Bundestag gegenüber der Bundesregierung. Wenn sie dann öffentlich gemacht wird – also gerade kleine Anfragen –, dann ist das eigentlich ein Recht der Fraktion als Teil des Bundestages. Es steht dann halt Deutscher Bundestag darüber, und somit ist eigentlich ziemlich offensichtlich, dass der Bundestag als solcher für diese Veröffentlichung verantwortlich ist. Ich denke mir, so kann man das auch ganz gut aufteilen und damit halt auch dem Abgeordneten eine Möglichkeit geben, seine sehr personenbezogenen Fragestellungen dann auch in einem nicht öffentlichen Raum zu stellen.
Christoph Konrath: Ich habe noch eine Frage in der erste Reihe, und zwar von Wolfgang Steiner.
Wolfgang Steiner (Landtagsdirektor, Leiter der Direktion Verfassungsdienst im Amt der oberösterreichischen Landesregierung): Ich darf die Kollegin aus Deutschland fragen, ob sie uns vielleicht kurz skizzieren kann oder ob sie einen Überblick hat, wie die deutschen Landtage, die ja durchaus eine andere Position beziehen, zu dieser Thematik stehen. – Danke.
Bettina Giesecke: Ja, kann ich gerne. Also ich möchte jetzt nicht für die Landtage sprechen, aber der Großteil der Landtage ist bislang der Auffassung, dass die DSGVO nicht unmittelbar anwendbar ist. Die kommen quasi auch von einer anderen Ausgangsposition, weil sie halt in ihren Landesdatenschutzgesetzen auch immer eigenständige Regelungen für ihre Landtage gehabt haben, sowohl für den administrativen als auch für den parlamentarischen Bereich. Das war auf Bundesebene anders. Die Landtage haben auch eine Initiative ergriffen, nämlich sich an die Kommission zu wenden, um auch eine explizite Ausnahmeregelung für den parlamentarischen Bereich in die DSGVO einzubringen. Ihre Argumente sind, glaube ich, zum Teil bekannt. Sie sagen halt, dass das schlichtweg nicht in den Anwendungsbereich der EU, in das Unionsrecht fällt, weil es letztlich keine Kompetenzgrundlage gibt, ein parlamentarisches Verfahren zu regeln. – Ich glaube, das ist die Argumentation.
Christoph Konrath: Vielen Dank. – Gibt es noch eine Frage aus dem Publikum?
Dann würde ich gerne eine letzte kurze Frage an Herrn Riedl und an Frau van Leeuwen richten. Wir sehen hier in der Diskussion, und das kommt jetzt ja schon mehrfach vor, diese Frage des Verhältnisses zu einer Aufsichtsbehörde. Sie, Herr Riedl, haben kurz skizziert, wie das aussehen könnte. Meine Frage an Sie: Diese Option mit mehreren unterschiedlichen Aufsichtsbehörden, wie sie hier für Deutschland dargestellt wurde, könnte das auch eine Option für Österreich sein?
Meine Frage an Sie, Bernardien: Wurde dieses Problem, dieses Verhältnis Parlament – Aufsichtsbehörde, in den Niederlanden überhaupt so diskutiert, oder hat man das dort als problemlos angesehen?
Eckhard Riedl (Stabsstelle Datenschutz, Bundesministerium für Justiz): Danke schön. Ja, also in der Tat würde ich meinen, dass, wenn man bei unseren innerstaatlichen, verfassungsrechtlichen Grundsätzen mit dem Gebot der Trennung, des Trennungsgrundsatzes bleibt, wohl nichts anderes übrig bleiben wird, als im parlamentarischen Prozess und der dortigen Anwendung der Datenschutz-Grundverordnung eine eigene Aufsichtsbehörde wird einrichten müssen. Das würde ich für den vernünftigsten Weg halten. Wie gesagt, auch im Anblick und angesichts der beim EuGH liegenden Vorlagefrage dazu, die ja mehr oder weniger vom Verwaltungsgerichtshof kommend schon ein bisschen unterschwellig anspricht: Na ja, könnte das dann nicht trotzdem die Datenschutzbehörde sein, angesichts der Sachnähe und auch angesichts dessen, dass die ja außerhalb oder ausgenommen den verfassungsrechtlichen Prinzipien nicht wirklich ausgeschlossen ist?, vor diesem Hintergrund würde ich meinen, dass es zielgerichteter wäre, sich diesen Überlegungen konkret anzunähern. Es müssen dann vielleicht ja nicht gleich 18 Aufsichtsbehörden sein wie in Deutschland, es würde für das Parlament ja vielleicht eine reichen. Insofern glaube ich schon, dass dieser Weg der wäre, der einzuschlagen ist. Natürlich ist mir auch klar, dass man sich da derzeit, wenn man die Anwendbarkeit der DSGVO anerkennt, bis zu einem gewissen Grad in einer gewissen Phase des Implementierungsmangels befindet – in Bezug auf die verpflichtende Einrichtung einer Aufsichtsbehörde auch für diesen Bereich, wenn man der DSB diese Aufgabe nicht zumisst. Da aber heute der Vertreter der Europäischen Kommission nicht anwesend ist und er wahrscheinlich eh eine Verschwiegenheitsklausel hätte unterzeichnen müssen, glaube ich, ist dieses – möglicherweise – Problem der Implementierung oder der mangelnden Implementierung eines, glaube ich, das wir unter uns behalten sollten und vielleicht den Weg und die Zeit nutzen, dahin gehend die Intensität zu erhöhen, das einzurichten und dass man vielleicht ein bisschen die Diskussion weg von der dogmatischen Frage der Anwendbarkeit und der Rechtsgrundlagen und des Anwendungsbereichs mehr hin in Richtung einer praktischen, konkreten, auf den Fall heruntergebrachten, auf den Boden gebrachten Diskussion zur Frage der konkreten Implementierung wendet.
Christoph Konrath: Vielen Dank. – Bitte.
Bernardien van Leeuwen: Danke für die Frage. Ich versuche es auf Deutsch. Die Frage, die du mir gestellt hast, ist keine Frage, die sich für unser Parlament stellt. The supervising authority is the supervising authority. Until now we did not have problems with that. The only thing that the members of parliament take care of is the budget of the supervisory authority, which is always too small. They want more money to exercise their tasks. That could be a problem in the near future. It can always change with the GDPR. That’s my experience. Today you think you know everything, you can answer all the questions and tomorrow there is a new problem, which you need to think about. What answer can we give? That is the same for our parliaments.
Christoph Konrath: Vielen Dank.
Mit diesen vielen Fragen werden wir dann auch nach der Pause fortsetzen. Ich darf Sie jetzt zu einer circa 20-minütigen Pause einladen. Es gibt Kaffee und Erfrischungen. Wir werden dann dezent darauf aufmerksam machen, wenn es weitergeht. Vielen Dank für die Aufmerksamkeit. – Vielen Dank für Ihre Fragen und Beiträge und nochmals vielen Dank an das Podium.
*****
(Pause: 10.30 Uhr bis 10.52 Uhr.)
*****
Panel 2: Datenschutz in österreichischen Parlamenten ─ die Ausgangssituation
Carina Neugebauer (Leiterin der Abteilung Öffentliches Recht & Legistik der Parlamentsdirektion): Sehr geehrte Damen und Herren! Ich darf Sie sehr herzlich im zweiten Panel begrüßen. Ich darf mich kurz vorstellen: Mein Name ist Carina Neugebauer, ich leite die Abteilung Öffentliches Recht & Legistik in der Parlamentsdirektion und darf ich Sie jetzt durch diesen zweiten Teil der Fachtagung führen.
Wir wechseln jetzt von einer europäischen Perspektive auf die nationale Ebene. Wir wollen uns mit dem Thema Datenschutz in den österreichischen Parlamenten auseinandersetzen und somit einen Blick auf die derzeitige Ausgangssituation werfen. Wir beginnen mit einem Blick auf die Verfassungsrechtslage. Konkret wollen wir uns mit der Frage beschäftigen, wie der spezielle Bereich der parlamentarischen Kontrolle zum Datenschutz steht, wie da das Spannungsverhältnis ist und wie dieses vielleicht aufgelöst werden kann.
Danach setzen wir uns mit der Spruchpraxis der Datenschutzbehörde auseinander. Die Datenschutzbehörde hat ja schon in einigen Entscheidungen Aussagen oder wesentliche Entscheidungen zum Thema Parlamentsrecht getroffen – wir sind sehr gespannt darauf. Auch in dem Anlassverfahren zum EuGH-Vorabentscheidungsverfahren hat die Datenschutzbehörde eine Beschwerde mit der Begründung, dass sie nicht zuständig ist, zurückgewiesen. Es ging um eine Veröffentlichung im Untersuchungsausschuss. Wir sind sehr gespannt auf Ihre Ausführungen, Frau Dr. Jelinek.
In weiterer Folge wollen wir uns mit konkreten Datenverarbeitungen und -verantwortlichkeiten im Parlament beschäftigen, nämlich zeigen: Was ist die Praxis? Wo gibt es Problemfelder? Welche Akteure gibt es im Haus? – Das wird ein spannender Bogen im zweiten Panel.
Ich darf kurz die Vortragenden am Podium vorstellen: Es ist uns eine besondere Freude, die Frau Bundeskanzlerin außer Dienst und frühere Präsidentin des Verfassungsgerichtshofes für diese Fachtagung gewinnen zu können. Sie ist dem Publikum bestens bekannt, sie bedarf, glaube ich, keiner weiteren Vorstellung. Frau Dr. Bierlein kennt aus ihrer langjährigen Tätigkeit am Verfassungsgerichtshof natürlich die Judikatur des Verfassungsgerichtshofes zum Datenschutz und auch verfassungsrechtliche Fragestellungen im Kontext mit dem Parlamentsrecht. Sie wird auf die Frage Spannungsverhältnis zwischen parlamentarischer Kontrolle einerseits und Datenschutz andererseits eingehen.
Als Nächste darf ich Frau Dr. Andrea Jelinek vorstellen, die oberste Datenschützerin in Österreich und auf europäischer Ebene. Sie leitet seit 2014, also von Beginn an, die Datenschutzbehörde und ist auch seit 2018 Vorsitzende des Europäischen Datenschutzausschusses. Niemand könnte uns besser Einblick in die Spruchpraxis der Datenschutzbehörde geben, nämlich jene, die mit der Gesetzgebung im Zusammenhang steht.
Als dritte Vortragende darf ich Frau Mag. Sarah König begrüßen. Sie ist Datenschutzbeauftragte der Parlamentsdirektion. Neben dieser doch sehr fordernden Tätigkeit wirkt sie aber auch im Sitzungsbetrieb des Nationalrates mit. Sie ist im Ausschuss- und Plenarbetrieb tätig, kennt das Haus, kennt die parlamentarischen Abläufe im Detail und kann so von den aktuellen Problemstellungen berichten.
Ich darf sogleich fortsetzen und das Wort an Frau Dr. Bierlein übergeben und Sie um ihr Statement bitten.
Brigitte Bierlein (Bundeskanzlerin a.D., Präsidentin des VfGH a.D.): Sehr geehrter Herr Parlamentsdirektor! Sehr geehrte Damen und Herren! Vielen Dank für die Einladung und die freundliche Einbegleitung. Ich versuche, mich sehr kurz zu fassen und einige Schlaglichter auf dieses Spannungsverhältnis zwischen parlamentarischer Kontrolle und Datenschutz zu werfen.
Ich möchte voranstellen, dass aus verfassungsrechtlicher Sicht die politische Kontrolle der Vollziehung durch das Parlament im Sinne unserer Gewaltenteilung im Staatensystem von zentraler Bedeutung ist – auch im Sinne von Checks and Balances.
Ich möchte mich im Folgenden auf zwei wesentliche politische Kontrollrechte konzentrieren, nämlich auf das Interpellationsrecht und auf die Untersuchungsausschüsse. Beide Rechte sind – wir haben es vorhin schon gehört – eindeutig der Staatsfunktion Gesetzgebung zuzuordnen. In datenschutzrechtlicher Hinsicht gibt es je ein Spannungsverhältnis zur Verfassungsbestimmung des § 1 des Datenschutzgesetzes, insbesondere was das Recht auf Geheimhaltung betrifft, und zwar in Bezug auf beide Rechte, Artikel 52, das Fragerecht, und Artikel 53, Recht des Untersuchungsausschusses. Es gibt auch noch andere relevante Bereiche in diesem Zusammenhang, auf die ich nicht näher eingehen werde, etwa die Veröffentlichung von Stellungnahmen in Begutachtungsverfahren, Petitionen, Stenographische Protokolle.
Dass das Grundrecht auf Datenschutz, § 1 des Datenschutzgesetzes, auch im Bereich der Gesetzgebung gilt, wurde schon zuvor betont. Was die Datenschutz-Grundverordnung beziehungsweise deren Anwendbarkeit anlangt, wurde auch schon darauf hingewiesen. Wir warten alle mit Spannung auf das Ergebnis der Vorabentscheidung, die der Verwaltungsgerichtshof initiiert hat. Das kann und wird vermutlich Auswirkungen auf unsere Judikatur, auf die österreichische Judikatur haben, weil man bisher davon ausging, dass das Parlament, also die Gesetzgebung, von der Anwendbarkeit der Datenschutz-Grundverordnung ausgenommen ist.
Ich komme zum ersten Themenkomplex – parlamentarische Anfragen und Datenschutz –: Grundsätzlich ist wie immer bei divergierenden verfassungsrechtlichen Normen eine Interessensabwägung zwischen Kontrollinteresse und Interesse der Öffentlichkeit an Transparenz einerseits und Geheimhaltungsinteressen der betroffenen Personen andererseits vorzunehmen. Wenn parlamentarische Anfragen oder Anfragebeantwortungen datenschutzrechtlich relevante Inhalte enthalten, gibt es die Möglichkeit, diese Inhalte zum Schutz von personenbezogenen Daten nach dem Informationsordnungsgesetz zu klassifizieren, konkret also in diesem Zusammenhang zum Schutz überwiegender berechtigter Interessen der Parteien. Allerdings kann das nicht die Partei erwirken, sondern nur der Urheber der Anfrage beziehungsweise der Beantwortende. Keine verfahrensrechtlichen Regelungen gibt es insoweit, nämlich in den Geschäftsordnungen des Nationalrates oder des Bundesrates, wie dann im Plenum derartig klassifizierte Dokumente zu behandeln sind. Das ist sozusagen ungelöst.
Ein weiteres Thema, auch das wurde schon kurz angesprochen, sind regelmäßige Löschungsersuchen betroffener Personen in Bezug auf parlamentarische Anfragen und Beantwortungen, jene Anfragen und Beantwortungen, die vor allem auf der Parlamentswebsite veröffentlicht sind. Das wird ohne ein vorher eingeschaltetes Gremium, wie wir es von Deutschland gehört haben, veröffentlicht, es stehen dann unter Umständen auch ein Name oder sonstige persönliche Daten auf der Website.
Diese Veröffentlichung von personenbezogenen Daten und/oder durch Streams hat durch die fortschreitende Informationsgesellschaft und durch die leichte Zugänglichkeit und Auffindbarkeit derartiger Materialien durch Suchmaschinen eine andere Dimension erlangt als es früher der Fall war. Es ist auch da immer zwischen den Geheimhaltungsinteressen des Einzelnen beziehungsweise dem parlamentarischen Interesse oder dem Interesse des Fragenden und der Öffentlichkeit an der Transparenz abzuwägen. Durch diese Veröffentlichung von persönlichen Daten kann der Einzelne aber großen Schaden in privater und beruflicher Hinsicht erleiden, etwa könnte rufschädigendes Verhalten oder strafrechtlich Relevantes in einer solchen Anfragebeantwortung enthalten sein. Und es gibt dafür keine gesetzliche Regelung.
In der Praxis wird seitens der Parlamentsdirektion oder des Präsidenten des Nationalrates schon seit einiger Zeit, gestützt allein auf den § 1 des Datenschutzgesetzes, eine rechtliche Vorprüfung vorgenommen und allenfalls eine Anonymisierung auf der Parlamentswebsite durchgeführt. Das kann aber immer nur nachträglich sein und ist letztlich ein Goodwill und kommt zu spät, weil da die Veröffentlichung schon geschehen ist und eine weite Verbreitung schon erfolgt sein kann. Ich kann mich an einen Fall im Verfassungsgerichtshof erinnern, bei dem dann zwar der Name rausgenommen worden ist, aber es stand: der Leiter der Abteilung so und so in einem bestimmten Ressort. Somit war für viele auch nachvollziehbar, wer damit gemeint war, trotzdem der Name weggefallen war.
Es gibt insofern keine Beschwerdeinstanz, weil es ein Akt der Gesetzgebung ist, daher keine Beschwerde an die Datenschutzkommission. Prüfstellen im Parlament, selbst wenn man die einrichten wollte, wie vorher kurz angedeutet oder gedanklich angedeutet wurde, stellen wohl für die gesamte parlamentarische Arbeit eine große Ressourcenfrage dar.
Gegen einzelne Abgeordnete, die die Anfrage gestellt haben, kann im Hinblick auf ihre berufliche Immunität auch nicht vorgegangen werden, und sachliche Immunität betrifft die Berichterstattung über die Inhalte, die wahrheitsgetreu sind, daher kann von Betroffenen gegen die Berichterstattung auch nicht vorgegangen werden. Insofern fehlt also, wenn man es genau nimmt, der Rechtsschutz.
Ich komme zum zweiten Komplex – Untersuchungsausschüsse und Datenschutz –: Da sind auch zwei Problemfelder zu verorten. Das eine ist die Aktenvorlage – personenbezogene Daten, die in Akten und Unterlagen enthalten sind, die dem Untersuchungsausschuss vorgelegt werden, und deren Weiterverwendung in medienöffentlichen Sitzungen beziehungsweise die Weitergabe an die Medien.
Der zweite Themenbereich betrifft die Veröffentlichung von personenbezogenen Daten von Untersuchungsausschüssen auf der Parlamentswebsite, wie etwa Ausschussbericht, Fraktionsberichte oder Protokolle über die Befragung von Auskunftspersonen. Die Veröffentlichung eines Befragungsprotokolls einer Auskunftsperson, so ein Fall liegt ja dem anhängigen Vorabentscheidungsverfahren des Verwaltungsgerichtshofes zugrunde.
Ich komme wieder zur Aktenvorlage: Da ist im Verhältnis Artikel 53 B-VG und § 1 Datenschutzgesetz die Aktenvorlage vom Verfassungsgerichtshof geklärt. Der Verfassungsgerichtshof hat im Jahr 2015 zum Hypo-Untersuchungsausschuss in Bezug auf Aktenschwärzungen, damals durch das Bundesministerium für Finanzen, ausgesprochen, dass der Datenschutz nicht ein Grund für eine Nichtvorlage von Akten oder Unterlagen an den Untersuchungsausschuss ist. Das vorlegende Organ hat nicht zu prüfen, ob datenschutzrechtlich relevante Dinge in diesen Unterlagen vorhanden sind. Es ist Art. 53 Abs. 3 letzter Satz, der abschließend klärt, wann eine Vorlage unterbleiben kann; das sind Quellenschutz, Gefährdung nationaler Sicherheit oder Beeinträchtigung der Willensbildung der Bundesregierung. Das sind die einzigen Gründe, die abschließend als Gründe für eine Nichtvorlage festgelegt werden, sonstige Gründe können nicht eingewendet werden.
Der Schutz personenbezogener Daten kann, so der Verfassungsgerichtshof weiter, im Wege der Klassifizierung erfolgen. Außerdem hat der gesamte Untersuchungsausschuss stets eine Interessensabwägung zwischen den Geheimhaltungsinteressen und den öffentlichen Interessen vorzunehmen.
Der Verfassungsgerichtshof hat sich noch nicht dazu geäußert – auch das ist vorhin schon im ersten Panel angesprochen worden –, wie die Vorlageverpflichtung im Lichte der Datenschutz-Grundverordnung zu sehen ist, denn es könnte mit Blick auf die Anwendungsvorlagen von Unionsrecht die Grundverordnung auch dem Artikel 53 B-VG vorgehen. Das wird vielleicht im Vorabentscheidungsverfahren geklärt werden.
Im einem anderen Zusammenhang hat der Verfassungsgerichtshof ausgesprochen, und zwar im Ibiza- und im Hypo-Untersuchungsausschuss, dass ein von der Aktenvorlage Betroffener nicht mit Bezug auf den Datenschutz eine Persönlichkeitsbeschwerde nach Art. 138b Abs. 1 Z 7 B-VG erheben kann mit der Begründung, dass ein vorlagepflichtiges Organ zu Unrecht Akten vorgelegt hat. Der Betroffene könnte solche Behauptungen allenfalls nach dem Datenschutzgesetz bei den zuständigen Verwaltungsbehörden geltend machen, oder bei den ordentlichen Gerichten gegen jenes Organ vorgehen, das dem Untersuchungsausschuss solche Akten zu Unrecht vorgelegt hat, nicht aber mit Persönlichkeitsrechtsbeschwerde.
Weiters hat der Verfassungsgerichtshof im letzten Ibiza-Untersuchungsausschuss ausgesprochen, dass die Weitergabe selbst von klassifizierten Informationen an Personen außerhalb des Ausschusses oder außerhalb der Sitzung ebenfalls nicht von Betroffenen vor dem Verfassungsgerichtshof angefochten werden kann. Es gibt allerdings die Persönlichkeitsbeschwerde wegen behaupteter Rechtswidrigkeit der Klassifizierung, aber nur eben seitens der Urheber der Information, nicht seitens des Betroffenen.
Die Datenschutzbehörde – ich denke, Frau Dr. Jelinek wird über diesen Fall allenfalls wahrscheinlich in ihrem kommenden Vortrag berichten – hat einmal im Zusammenhang mit der vorlagepflichtigen Österreichischen Gesundheitskasse die Vorlage von Akten an den Ibiza-Untersuchungsausschuss aus Datenschutzgründen untersagt, nachdem eine Ausschussminderheit die Vorlage verlangt hat. Es ging um Gesundheitsdaten von, ich glaube, ungefähr 3 000 betroffenen Mitarbeitern eines Großunternehmens. Die Datenschutzbehörde hat gemeint, dass nicht begründet wurde, warum diese Daten erforderlich sind.
Ich komme jetzt zu Veröffentlichungen im Untersuchungsausschuss: Der Untersuchungsausschuss hat auch immer darauf zu achten, und zwar nicht nur er, sondern auch der Verfahrensanwalt, der Vorsitzende, der Verfahrensrichter, dass bei der Verwendung personenbezogener Daten die öffentlichen Informationsinteressen überwiegen. Allerdings gibt es für den Einzelnen relativ wenige effiziente Rechtsschutzinstrumente. Es können zwar Einwendungen zu Befragungsprotokollen erhoben werden, es kann eine Stellungnahme in Bezug auf den Entwurf des Ausschussberichtes verlangt werden, es kann allerdings wegen behaupteter Verletzung des Datenschutzes nur unter bestimmten Voraussetzungen Persönlichkeitsbeschwerde erhoben werden. Es ist also nicht so, dass kein Rechtsschutz vorhanden ist, aber diese Voraussetzungen sind doch eher eng. Während der nicht-öffentlichen Sitzung – dagegen hat man keine Möglichkeit, mit einer Persönlichkeitsbeschwerde vorzugehen.
Ich komme zum Schluss und möchte nur darauf hinweisen, dass Rechtsschutzlücken vorhanden sind, etwa dass bei der Veröffentlichung auf der Parlamentswebsite, wie schon gesagt, die Anonymisierung nicht geregelt ist. Wenn man hier ein unabhängiges Organ schaffen will, wenn die Datenschutz-Grundverordnung gelten sollte, dann ist das sicher ein relativ langfristiger Prozess oder muss das einer entsprechenden Erörterung zugeführt werden. Es ist eine gewisse Schwierigkeit, wir haben es kurz in der Pause erörtert, dass leider – also leider, es ist einfach so – in der letzten Zeit Untersuchungsausschüsse fast ununterbrochen laufen, sodass für das Parlament wenig Zeit bleibt, sich einlässlich mit solchen Fragen zu befassen und hier allenfalls legistische Maßnahmen auf den Weg zu bringen.
Auch die Klassifikation der Informationen ist nur bedingt durchsetzbar oder hat bedingte Folgen. Es gibt, wie Sie wissen, vier Stufen – ich will das jetzt nicht im Detail ausführen –, nämlich eingeschränkt, vertraulich, geheim und streng geheim. Bei den ersten beiden Einstufungen gibt es überhaupt nur Ordnungsmaßnahmen. Wenn diese verletzt werden, also diese Offenbarung geeignet wäre, Staatsinteressen oder berechtigen privaten Interessen zuwiderzulaufen, gibt es nur den Ordnungsruf, allenfalls ein Ordnungsgeld zwischen 500 Euro und 1 000 Euro, wenn qualifizierte Verbreitung war. Ich kenne keinen Fall, dass das jemals verhängt worden wäre – das wissen andere, im Parlament Betroffene besser. Es gibt aber einen Einspruch gegen eine solche Maßnahme an den Geschäftsordnungsausschuss. Geheim und streng geheim ist strafbewehrt. Da gibt es die Strafsanktion im Informationsordnungsgesetz mit einer Strafdrohung bis zu drei Jahren, wobei Medien ausgenommen sind – das ist dem Redaktionsgeheimnis geschuldet, die können keine Beihilfe zu solchen Taten begehen.
Es ist zu fragen, ob eine Erweiterung des Sanktionensystems auch auf die Stufen 1 und 2 Sinn macht. Was ich weiß, hat der derzeit laufende Untersuchungsausschuss, der seit gestern ja im Laufen ist, überwiegend Stufe 1, weil das am leichtesten medienöffentlich zu machen ist. Allerdings gibt es auch höhere Einstufungen mit Stufe 4 – da sind auch einige Unterlagen vorhanden –, und da bedarf es besonderer Sicherheitsmaßnahmen. Der Abgeordnete darf überhaupt nur mit einer weiteren Person diese Akten einsehen und nicht daraus kopieren. Natürlich sind alle zur Verschwiegenheit verpflichtet, das ist allerdings eher schön am Papier, wenn ich das so sagen darf.
Gerade der derzeitige Untersuchungsausschuss – das ist ein gewisses Problemfeld – hat ja ein derartig breites Thema, unter das sehr, sehr viel fallen kann, und die Judikatur des Verfassungsgerichtshofes legt die Formulierung betreffend Umfang des Gegenstandes der Untersuchung im Art. 53 Abs. 3 sehr weit aus, nämlich dass eine potenziell abstrakte Relevanz für den Untersuchungsgegenstand genügt. Dieser Judikatur folgend haben jetzt alle vorlagepflichtigen Organe in den Ministerien alles vorgelegt, was nur im Entferntesten mit dem Untersuchungsgegenstand, auch nur vage oder abstrakt, in Bezug gesetzt werden könnte. Das Parlament hat deswegen jetzt eine Flut von Akten und Unterlagen, was auch wieder auf Kritik gestoßen ist. Anders wird es aber nicht gehen, solange diese Judikatur vorhanden ist – und die ist wohl zur Kenntnis zu nehmen.
Dieser Untersuchungsausschuss, der ja seit gestern läuft, hat ja – wie soll ich sagen? – in der Gesamtheit nicht gerade vielversprechend begonnen. Diese Untersuchungsausschüsse – die Kontrolle der Verantwortung – halte ich wie gesagt für sehr, sehr wesentlich. Nur: Es kommt auf die Handhabung an. Die Glaubwürdigkeit und das Vertrauen in die parlamentarische Arbeit erfordern einen sorgsamen Umgang mit Persönlichkeitsrechten und dem Schutz der Grundrechte der Betroffenen ungeachtet verschiedener Perspektiven, unterschiedlicher parteipolitischer Agenden, die man natürlich im Parlament hat.
Es wäre aber doch eine gelebte politische Kultur, ein respektvoller Umgang, wie es unserer Verfassungstradition entspricht, notwendig, und das erwarten sich auch die Menschen von ihren gewählten Volksvertretern. Daher hoffe ich, dass dieser Untersuchungsausschuss vielleicht doch eine gute Wendung nimmt. Damit will ich schließen. – Vielen Dank.
Carina Neugebauer: Sehr geehrte Frau Dr. Bierlein, vielen herzlichen Dank für die interessanten Ausführungen.
Es zeigt sich, wie viele Facetten und Problemfelder es schon aus verfassungsrechtlicher Perspektive im Zusammenhang mit dem Datenschutz im Bereich der Gesetzgebung gibt. Sie haben in Ihrem Fazit auch sehr pointiert auf den Handlungsbedarf aus Ihrer Sicht hingewiesen, das ist zum einen der mangelnde Rechtsschutz, zum anderen auch das Problem mit dem Umgang mit klassifizierten Informationen.
Ich darf gleich beim Punkt Rechtsschutz ansetzen, das Wort nun Frau Dr. Jelinek erteilen und sie um ihr Statement bitten.
Andrea Jelinek (Leiterin der Datenschutzbehörde): Danke für die Einladung, danke für die Möglichkeit, hier zu sein. Es ist eine große Ehre, im österreichischen Parlament sprechen zu dürfen.
Ich habe für mich jetzt in der Vorbereitung festgestellt, dass all jene, die bereits gesprochen haben – beginnend mit dem Herrn Direktor über Gerlinde Wagner, Eckhard Riedl und der Frau Präsidentin –, im Prinzip schon all das vorweggenommen haben, was ich vorbereitet habe, und zwar aus gutem Grund. Die Dinge, die ich vorbereitet habe, sind in den Mühen der Ebene entstanden und haben natürlich dadurch, dass die Bescheide der Datenschutzbehörde in diesen Bereichen nicht rechtskräftig sind, weiteres Interesse gefunden, einerseits durch das Bundesverwaltungsgericht, und haben dann den Weg zum VwGH gefunden, und im einem Fall gibt es eine Vorlage durch den VwGH an den Europäischen Gerichtshof.
Ich möchte einiges zur Datenschutzbehörde sagen, weil ja so ein bisschen die Angst im Raum liegt: Um Gottes willen, jetzt könnte der EuGH die Jelinek auch noch dafür zuständig machen! – Ich glaube, die Angst gibt es, wenn, dann zu Unrecht, denn wenn die Datenschutzbehörde durch den EuGH, sage ich jetzt einmal, aufgrund der Vorlagefrage des VwGH als mögliche Aufsichtsbehörde als zuständig erachtet werden sollte, dann geht das ja nur, wenn man entweder eine Verfassungsbestimmung macht oder – wenn man sagt: um Gottes willen nicht die Jelinek! – das Parlament dann eine eigene Aufsichtsbehörde macht. (Die Rednerin unterstützt in der Folge ihre Ausführungen mittels einer Powerpoint-Präsentation.)
Damit man einmal weiß, was die Datenschutzbehörde macht und wie unabhängig wir sind: Wir sind eine völlig unabhängige Verwaltungsbehörde. Das war auch schon vor der Datenschutz-Grundverordnung so, denn in einem Erkenntnis des EuGH wurde festgestellt, dass die völlige Unabhängigkeit der damaligen Datenschutzkommission nicht gegeben ist, und Österreich hat sich dann dazu entschlossen, schon vor Inkrafttreten oder in Geltung treten der Datenschutz-Grundverordnung die Datenschutzbehörde einzurichten.
Die Ausgestaltung der jeweiligen Aufsichtsbehörden obliegt den Mitgliedstaaten. Sie haben gehört, in Deutschland sind das 18. Es gibt einmal den Bundesbeauftragten und dann gibt es 17 Länderdatenschutzbehörden, wobei Bayern gleich zwei hat, eine für den öffentlichen Bereich und eine für den privaten Bereich. Die Kollegin aus Deutschland hat aber auch gesagt, dass macht es nicht unbedingt einfacher, weil es einer Abstimmung innerhalb der deutschen Datenschutzkonferenz bedarf.
Diese Dinge sind aber nicht bindend. Lediglich für den Europäischen Datenschutzausschuss ist das ein wesentliches Element, denn da gibt es einen Vertreter und einen Stellvertreter – in dem Fall kann ich wirklich Vertreter sagen, da beide Herren sind –, und die müssen sich im Vorfeld abstimmen. Es sollte nicht so sein, dass es dann heißt: Deutschland ist da dafür!, und dann sagt der andere: Na ja, aber nicht wirklich!
Sollte es also eine weitere Behörde in Österreich geben, wird diese Vertretung im Europäischen Datenschutzausschuss – wie das aussieht – natürlich ein wesentliches Thema sein. Die Datenschutz-Grundverordnung gibt vor, dass es einen Vertreter im Ausschuss gibt. Wie man das dann innerstaatlich regelt, ist wieder etwas anderes. Sie sehen, das steht da natürlich nicht drauf (auf die PowerPoint-Präsentation deutend), weil das aufgrund der Diskussion der letzten eineinhalb Stunden entstanden ist. Ich habe mir gedacht, ich möchte Ihnen das schon auch mitgeben, dass dann, wenn wir von Österreich sprechen, auf europäischer Ebene Voraussetzungen gegeben sind, die jedenfalls einzuhalten sein werden.
Sie sehen auf der Folie, dass unsere Handlungen natürlich der parlamentarischen Kontrolle im Wege der politischen Verantwortlichkeit des zuständigen obersten Organs – der Bundesministerin für Justiz, früher war das der Bundeskanzler – unterliegen. Es gibt ein eingeschränktes Unterrichtungsrecht des zuständigen Bundesministers. Anders als in Deutschland wird in Österreich der Vorsitzende, die Vorsitzende der Datenschutzbehörde vom Bundespräsident auf Vorschlag der Bundesregierung ernannt.
Wir sind für den gesamten privaten und öffentlichen Bereich zuständig, mit der ausdrücklichen Ausnahme der Gerichte im Rahmen der justiziellen Tätigkeit. Da gibt es auch ein Verfahren vor dem EuGH, und zwar bezüglich der Begriffsklärung.
Was haben wir für Aufgaben: Aufsicht gegenüber der Gesetzgebung beziehungsweise den Organen der Gesetzgebung? – Nein, die DSGVO schweigt dazu. Niederlande und Deutschland haben sich dazu entschieden, zu sagen, ja, die Aufsichtsbehörden sind dafür zuständig. In Deutschland sind das eben jeweils die Länderbehörden und für den Bund der Bundesdatenschutzbeauftragte und in den Niederlanden ist das die niederländische Datenschutzbehörde.
Wir halten uns für die Aufsicht über die Gesetzgebung für unzuständig, aus Gründen, die heute schon mehrfach genannt wurden, nämlich dem gewaltenteilenden Prinzip. Das Bundesverwaltungsgericht hält uns für zuständig. Das wollten wir natürlich nicht so im Raum stehen lassen und haben eine Amtsrevision gemacht. Diese Amtsrevision hat Gott sei Dank zu einer Vorlage des VwGH geführt.
Ich bin sehr froh, dass diese Frage durch den EuGH geklärt wird. Es sind heute schon zweimal die Vorlagefragen angesprochen worden. Ich möchte sie noch einmal ansprechen und sagen, die ersten zwei Fragen waren ja im Prinzip ganz klar: Sind wir zuständig oder nicht?, und wenn ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden im Sinne des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus der Datenschutz-Grundverordnung.
Ich fahre da fort, was Eckhard Riedl gesagt hat: Der EuGH braucht in der Regel eineinhalb Jahre für seine Entscheidungen. Wenn man nicht möchte, dass der EUGH sagt, die Jelinek ist zuständig – das kann passieren, Sie wissen, vor Gericht und auf hoher See weiß man nie, was passiert –, wäre es vielleicht tunlich, Überlegungen anzustellen, wie man sich das in Österreich vorstellen kann. Ich weiß es auch nicht, wie der EuGH entscheiden wird und auch nicht, wann. Ich glaube, sich das zu überlegen, ist es schon wert.
Einschlägige Rechtsprechung: Der erste Fall war, dass wir die Zuständigkeit verneint und die Beschwerden zurückgewiesen haben. Es gibt allerdings eine Bejahung unserer Zuständigkeit, nämlich wenn Beschwerden im Zusammenhang mit einem Untersuchungsausschuss gegen ein vorlagepflichtiges Verwaltungsorgan eingebracht werden und die Aktenübermittlung an den Untersuchungsausschuss Verfahrensgegenstand ist. Das sind zwei rezente Entscheidungen. Es ist ganz wichtig, dass wir gesagt haben: Wenn sich der Beschwerdeführer an das vorliegende Verwaltungsorgan gewandt hat, dann sind wir zuständig, weil es das Verwaltungshandeln betrifft. Wenn sich dieser an den Untersuchungsausschuss wendet, ist die Sache eine andere. Ich glaube, das ist eine nicht nur wesentliche, sondern auch sehr zielführende Unterscheidung. Was wir in einem rezenten Bescheid ausgesprochen haben: Dazu komme ich nachher.
Wir sind zurzeit mit Anträgen auf Erlassung von Mandatsbescheiden befasst, und zwar gegen mehrere vorlagepflichtige Organe – es sind mehrere Beschwerden. Der Hintergrund ist, die Beschwerdeführer befürchten Veröffentlichung durch Mitglieder des Untersuchungsausschusses. Wir haben diese Anträge abgewiesen, weil die behauptete Rechtsverletzung dem vorlagepflichtigen Organ nicht zugerechnet werden kann. Das vorlagepflichtige Organ hat seine Geheimhaltungsverpflichtung nicht verletzt und mit der Übermittlung an den Untersuchungsausschuss ist das vorlageverpflichtete Organ seiner Verpflichtung nachgekommen – und damit hat es sich. Deswegen haben wir diese Anträge abgewiesen, also nicht nur den Mandatsbescheid, weil der Mandatsbescheid noch ein zusätzliches Element war. Wir entscheiden ja ex post und nicht ex ante, und die Anträge waren darauf gerichtet, dass verschiedene Unterlagen nicht übermittelt werden dürfen. Das war in diesem Kontext nicht so gegeben, deswegen haben wir das auch abgewiesen.
Es ist natürlich unbefriedigend. Wir sitzen hier im Dachgeschoß und zwei Stockwerke darunter, glaube ich, tagt der Untersuchungsausschuss, der sich natürlich auch mit diesen Fragen befasst, aber nicht primär, sondern sekundär.
Bezüglich Schwierigkeiten der Ausübung der Betroffenenrechte und auch des Rechtsschutzes hat die Frau Präsidentin schon sehr einleuchtend und sehr klar die Defizite gezeigt. Auch der Deutsche Bundestag hat da Defizite. Trotz Feststellung, dass sie für die Datenschutz-Grundverordnung zuständig sind – auch im niederländischen Parlament, so habe ich zumindest den Ausführungen entnommen –, ist es ein Problemaufriss und die Lösungen sind komplex und sehr, sehr volatil, würde ich sagen. Es wirkt mir sehr volatil, vor allem auch, was den Deutschen Bundestag anlangt, weil ich eine Lösung – wenn es wirklich zu einem wesentlichen oder schwierigen Crash kommt, sage ich jetzt einmal – auch nicht so gesehen habe. Ich bin aber davon überzeugt, der Deutsche Bundestag beschäftigt sich intensiv mit der Lösung dieser Fragen, genauso wie sich das österreichische Parlament, zumindest heute auf dieser Tagung, sehr intensiv diesen Fragen stellt. Wir werden dann vielleicht auch nicht unbedingt einer Lösung harren, die uns der EuGH vorgibt, sondern selbst Überlegungen anstellen.
Ich glaube, da wäre man gut beraten, sich dem zu nähern, nämlich Überlegungen anzustellen, ganz gleich, wie das Ergebnis ist – was Eckhard Riedl gesagt hat –, man sollte einmal in die Tiefe gehen. Die Frau Präsidentin hat richtig gesagt, es ist sehr schade, dass alle Untersuchungsausschüsse im Prinzip in Permanenz tagen, weshalb man immer hinterherhinkt, aber es ist trotzdem wert, glaube ich, sich die Dinge parallel anzuschauen.
Ich bin schon am Ende meiner Ausführungen. Diese sind etwas von der Präsentation abgewichen. Ich glaube aber, es ist durchaus dem Anlass geschuldet, nicht immer das zu sagen, was in der Präsentation ist, denn das können Sie dann ohnehin nachlesen.
Carina Neugebauer: Vielen Dank, Frau Dr. Jelinek, für Ihr interessantes Statement.
Es kristallisiert sich heraus, dass der Fokus offenbar auf dem Thema Rechtsschutz liegt. Wir werden am Nachmittag im Panel 3 noch ein Referat zum Thema Rechtsschutz haben. Interessant aus der Perspektive des Parlaments, im Lichte der Gewaltenteilung, sind freilich die Entscheidungen der Datenschutzbehörde in Bezug auf das vorlagepflichtige Organ, weil diese Entscheidungen nicht nur mittelbare, sondern auch unmittelbare Auswirkungen für die Kontrolltätigkeit des Untersuchungsausschusses haben können. Ich bin mir sicher, dass in der Diskussion auch noch Fragen oder Anmerkungen dazu kommen könnten.
Ich darf aber vorher noch überleiten und Frau Mag.a König das Wort erteilen. Sie wird uns über Datenverarbeitungen und Verantwortlichkeiten im Parlament berichten. – Liebe Sarah, darf ich dich um dein Statement bitten?
Sarah König: Sehr geehrte Damen und Herren, ich darf im Folgenden Datenverarbeitungen und Verantwortlichkeiten im Bereich der Gesetzgebung anhand ausgewählter verfassungsgesetzlicher Aufgaben des Parlaments beleuchten und dabei auf die Herausforderungen aufgrund der Vielzahl der AkteurInnen in diesem Bereich sowie mögliche Abgrenzungen der Verantwortlichkeit im Sinne des Datenschutzrechts eingehen. (Die Rednerin unterstützt in der Folge ihre Ausführungen mittels einer Powerpoint-Präsentation.)
Die Staatsfunktion Gesetzgebung umfasst neben dem programmatischen Beschluss von Gesetzen auch eine Reihe weiterer Aufgaben, die ausgehend vom Prinzip der Gewaltentrennung insbesondere die Kontrolle der Exekutive betreffen. Zentrale Normen finden sich im Bundes-Verfassungsgesetz, im Geschäftsordnungsgesetz des Nationalrates mit seiner Anlage Verfahrensordnung für parlamentarische Untersuchungsausschüsse, der Geschäftsordnung des Bundesrates und dem Informationsordnungsgesetz.
Bei Ausübung all dieser Aufgaben kann naturgemäß die Verarbeitung personenbezogener Daten anfallen, nämlich insbesondere – aufgrund der Formalvoraussetzungen – solche von MandatarInnen sowie – in der öffentlichen Wahrnehmung am relevantesten – Daten von Dritten, insbesondere zum Beispiel von Auskunftspersonen in Untersuchungsausschüssen.
Die zugrunde liegenden Normen bilden gleichermaßen Grundlage wie Schranke für parlamentarisches Tätigwerden. Sie sind datenschutzrechtlich relevant als Eingriffsnormen in das Grundrecht auf Datenschutz gemäß § 1 Datenschutzgesetz beziehungsweise, ohne hier jetzt näher in die Diskussion über die Anwendung der DSGVO in diesem Bereich eintreten zu wollen, als gesetzliche Verpflichtungen beziehungsweise Aufgaben im Sinn des Art. 6 und, bei Verarbeitung von sensiblen Daten – das sind zum Beispiel bereits politische Meinungen –, des Art. 9 DSGVO.
Bereits bei kursorischer Betrachtung dieser Kompetenzen des Parlaments ist festzustellen, dass diese nicht wie zum Beispiel im Fall von Bundesministerien dem monokratischen Verantwortungsprinzip einer verantwortlichen Stelle übertragen sind, sondern oft ein Zusammenwirken mehrerer Beteiligter auslösen. Zentrale Befugnisse werden wählbaren MandatarInnen übertragen, die neben individuellen Rechten und Pflichten auch kraft Funktion zum Beispiel als Ausschussvorsitzende beziehungsweise als Kollegialorgane – also als Ausschuss, als Plenum oder in Klubs und Fraktionen – tätig werden können. Aufgrund des freien Mandats sowie der sachlichen beruflichen und außerberuflichen Immunität genießen ParlamentarierInnen grundsätzlich weitgehende Unabhängigkeit in der Gestaltung ihres Mandats.
Eine monokratische Organisation und somit Zurechenbarkeit von Handlungen findet sich hingegen bei der Parlamentsdirektion. Diese untersteht gemäß Art. 30 Abs. 3 B‑VG dem Präsidenten des Nationalrates und ist neben der Besorgung der Verwaltungsangelegenheiten im Bereich der Organe der Gesetzgebung auch zur Unterstützung parlamentarischer Tätigkeiten berufen. Als Herausforderung stellt sich die fehlende gesetzliche Abgrenzung dieser beiden Bereiche dar. Bisher wurde vertreten, dass sämtliche Rechtsschutzmöglichkeiten im Datenschutz, das heißt, insbesondere die Beschwerdemöglichkeit an die Datenschutzbehörde sowie gerichtliche Rechtsbehelfe, nur hinsichtlich der Vollziehung der Verwaltungsangelegenheiten offenstehen. Diese Haltung wird aktuell, wie bereits mehrfach erwähnt, gerichtlich überprüft.
Die Vielzahl von AkteurInnen, MandatarInnen, Ausschüssen, das Plenum, die Klubs, die Fraktionen, der Präsident des Nationalrates beziehungsweise Bundesrates und die Parlamentsdirektion deuten bereits auf jene Herausforderungen hin, mit der datenschutzrechtlich höchst relevanten Frage der Rollenverteilung und damit der Stellung als Verantwortlicher, zum Beispiel zur Durchführung von Interessenabwägungen, aber auch hinsichtlich der Erfüllung von Betroffenenrechten, die damit im Zusammenhang stehen.
Als datenschutzrechtlich Verantwortlicher gilt, wer über Zweck und Mittel einer Datenverarbeitung entscheidet beziehungsweise vereinfacht gesagt, in wessen Zuständigkeit die Aufgabe fällt. Vor allem weil parlamentarische AkteurInnen Aufgaben häufig öffentlich wahrnehmen, stehen diese im Spannungsverhältnis zu der dem Datenschutzrecht inhärenten Geheimhaltung von personenbezogenen Daten; das sind im Besonderen die Tätigkeit von Untersuchungsausschüssen des Nationalrates, Wortmeldungen von MandatarInnen in öffentlichen Sitzungen und sämtliche Verhandlungsgegenstände, allen voran schriftliche Anfragen im Rahmen des Interpellationsrechts. Datenschutzrechtliche Geheimhaltungsinteressen sind dabei von mehreren Stellen während der Aufgabenerfüllung und jeweils im Einzelfall zu beachten.
Die Herausforderungen anhand von drei verfasssungsgesetzlichen Aufgaben des Parlaments, die in der Praxis den häufigsten Konnex zu datenschutzrechtlichen Eingaben aufweisen: Mitglieder des Nationalrates und des Bundesrates haben das Recht, die Mitglieder der Bundesregierung über Tätigkeiten in ihrem Geschäftsführungsbereich zu befragen. Der Inhalt der Anfrage hängt dabei grundsätzlich von den fragestellenden ParlamentarierInnen ab.
Betreffend Verhandlungsgegenstände ist die weitere Behandlung laut Gesetz vorgezeichnet, sie umfasst die Vervielfältigung und Verteilung an die MandatarInnen und die elektronische Herausgabe, das heißt, die Veröffentlichung als Beilage zu den Stenographischen Protokollen.
Eine Zuordnung der Aufgabenverteilung mittels der aus der Projektorganisation vielleicht bekannten Methode des RACI-Diagramms, wobei R – responsible – für die inhaltliche Zuständigkeit und A – accountable – für die Verantwortlichkeit steht, führt im Fall der Anfragen vor Augen, dass die datenschutzrechtlichen Verpflichtungen hinsichtlich des Inhalts bei den fragestellenden MandatarInnen liegen, hinsichtlich der Vervielfältigung und Verteilung und folglich der Herausgabe wohl aber beim Präsidenten des Nationalrates beziehungsweise des Bundesrates, beraten und vertreten durch die Parlamentsdirektion.
Obwohl das Prozedere im Fall der schriftlichen Anfragen verhältnismäßig detailliert geregelt ist, ist die Datenverarbeitung Dritter nicht konkret bestimmt, was in der Praxis zumindest bei der Herausgabe immer wieder zu schwierigen Abwägungen zwischen öffentlichem Informationsinteresse sowie individuellem Geheimhaltungsinteresse führt.
Über öffentliche Verhandlungen in den Vertretungskörpern sind Stenographische Protokolle als wortgetreue Darstellungen zu verfassen und herauszugeben. Die Darstellungen unterliegen auch der sachlichen Immunität, welche die wahrheitsgetreue Berichterstattung über öffentliche Sitzungen verfassungsrechtlich schützt. Das gilt auch für die Herausgabe von Ton- und Bildaufnahmen, die ebenso in der Verantwortung des Präsidenten des Nationalrates beziehungsweise Bundesrates liegen. Die Verantwortlichkeit der MandatarInnen für ihre Rede gewinnt somit an Bedeutung für datenschutzrechtlich Betroffene. Solange die Wortmeldung keine verleumderische Aussage oder strafbare Handlung im Sinne des Informationsordnungsgesetzes darstellt, besteht eine unmittelbare Rechenschaftspflicht der ParlamentarierInnen nur gegenüber dem eigenen Vertretungskörper.
Im Hinblick auf die wahrheitsgetreue Berichterstattung aus öffentlichen Sitzungen wurde durch den Obersten Gerichtshof bereits festgehalten, dass ehr- und kreditschädigende Aussagen nicht unter Berufung auf Stenographische Protokolle verbreitet werden dürfen. Dies hatte aber keine Auswirkungen auf die Veröffentlichung der Protokolle an sich. Es findet aktuell keine standardisierte Ex-ante-Abwägung etwaiger Geheimhaltungsinteressen vor Veröffentlichung statt.
Im Fall der Veröffentlichung von Kommuniqués eines Untersuchungsausschusses, welche unter anderem, wie bereits erwähnt, Befragungsprotokolle von Auskunftspersonen enthalten, ist so eine Vorabprüfung hingegen grundsätzlich etabliert. Auskunftspersonen ist das Protokoll ihrer Befragung nachweislich zu übermitteln. Binnen dreier Tage können diese dann aufgrund von Geheimhaltungsinteressen Einwendungen, unter anderem gegen den Umfang der Veröffentlichung, erheben sowie geringfügige Änderungen anregen. Die Entscheidung darüber obliegt dem Untersuchungsausschuss. Weiters kann beziehungsweise muss der Vorsitz Fragen als unzulässig zurückweisen, die unter anderem Persönlichkeitsrechte verletzen, und es bestehen Aussageverweigerungsgründe für den Fall, dass die Beantwortung einer Frage die Privatsphäre einer Auskunftsperson beziehungsweise ihrer Angehörigen betrifft.
Über die Veröffentlichung eines Befragungsprotokolls entscheidet ebenfalls der Untersuchungsausschuss. Wird eine solche beschlossen, können sowohl der Verfahrensrichter als auch die Verfahrensanwältin Einspruch erheben, ausdrücklich ist dabei eine Interessenabwägung vorgesehen. Es ist auf die Wahrung überwiegender schutzwürdiger Geheimhaltungsinteressen bei Verwendung personenbezogener Daten zu achten. Das inkludiert auch schutzwürdige Geheimhaltungsinteressen Dritter, nicht nur der Auskunftspersonen.
Was zeigen diese Beispiele? – Die verfassungsgesetzlichen Aufgaben der Gesetzgebung können Datenverarbeitungen zur Folge haben, die insbesondere für betroffene Dritte undurchsichtig erscheinen. Zum einen enthalten die parlamentarischen Kompetenzen hinsichtlich der als erforderlich ansehbaren Datenkategorien Dritter oftmals keine Aussagen, zum anderen scheinen zentrale Bestimmungen nicht deutlich genug im Hinblick auf die Definition von Zuständigkeiten zu sein. Beides wird aufgrund der inhärent politischen Tragweite und des bestehenden Öffentlichkeitsprinzips parlamentarischen Handelns ungleich komplexer.
Keine oder unter Umständen nur eingeschränkte Veröffentlichung befreit Verantwortliche jedenfalls nicht von den sonstigen datenschutzrechtlichen Pflichten, vor allem jenen in Bezug auf die bereits aufgrund des § 1 Abs. 3 DSG bestehenden Betroffenenrechte, also insbesondere Auskunfts- oder Löschersuchen. Diese führen in der Praxis teilweise zu einer Belastung in der Parlamentsdirektion. Es ist weiters zu beachten, dass die funktionelle Tätigkeit der ParlamentarierInnen wie auch jener konkreter Ausschüsse zeitlich befristet ist oder sein kann und entsprechende datenschutzrechtliche Pflichten nach Ende des Mandats beziehungsweise der Gesetzgebungsperiode nicht mehr durchsetzbar sein könnten. Unklar ist dabei, ob beziehungsweise wann aufgrund der unterstützenden Kompetenzen der Parlamentsdirektion eine Verantwortlichkeit begründet wird und somit der Präsident des Nationalrates beziehungsweise Bundesrates vertreten durch die Parlamentsdirektion das gegenüber datenschutzrechtliche Anliegen ist oder wird.
Im Ausblick drängen sich daher detailliertere gesetzliche Vorgaben auf, sowohl hinsichtlich der datenschutzrechtlichen Verantwortlichkeiten, der durch Verantwortliche einzuhaltenden Beschränkungen und wahrzunehmenden Abwägungen, als auch in Bezug auf verhältnismäßige Einschränkungen von Betroffenenrechten, insbesondere im Bereich der Kontrollaufgaben des Parlaments. Es wird beidem bedürfen – Schranken für Datenverarbeitungen und gewisser Freiheiten –, um weiterhin sowohl den verfassungsmäßigen Aufgaben eines Parlaments als auch den datenschutzrechtlichen Verpflichtungen mit entsprechender Effizienz nachzukommen. – Vielen Dank für Ihre Aufmerksamkeit.
Carina Neugebauer: Vielen Dank, Frau Mag.a König, für Ihr Statement und Ihre Ausführungen zur Praxis. Es ist sehr anschaulich gezeigt worden, wie viele Akteure da tätig sind, die Tabellen haben gezeigt, wie viele unterschiedliche Personen und Gremien verantwortlich sein können – was im Fall der unmittelbaren Anwendbarkeit der DSGVO dazu führt, dass all diese Akteure natürlich den Anforderungen der DSGVO gerecht werden müssten, sofern es keine Sonderregelungen gibt.
Ich möchte mich jetzt noch einmal bei allen drei Vortragenden bedanken und gleich zur Diskussion überleiten. Ich darf Sie wieder um Ihre Fragen bitten und auch darum, sich kurz mit Ihrem Namen und der Institution, von der Sie kommen, vorzustellen. Wir haben für die Diskussion circa 20 Minuten, um die Mittagspause nicht unnötig zu verkürzen.
Wer möchte beginnen? – Bitte, Herr Professor.
Gerhard Baumgartner (Professor für Öffentliches Recht, Alpen-Adria-Universität Klagenfurt): Ich habe eine Frage an Frau Dr. Jelinek: Ich war ehrlich gesagt recht erstaunt über den Bericht über die rezenten Entscheidungen der Datenschutzbehörde, in der offensichtlich Anträge auf Erlassung von Mandatsbescheiden abschlägig beschieden wurden, weil der Untersuchungsausschuss noch gar nicht in die Ziehung gekommen sei und das daher erst in der Zukunft liege.
Das verwundert mich deswegen, weil im Fall, der von Frau Präsidentin Bierlein erwähnt wurde – der Fall der Österreichischen Gesundheitskasse, von der Daten angefordert wurden –, von der Datenschutzbehörde sehr wohl ein Mandatsbescheid erlassen wurde, mit dem das untersagt wurde. Der wird strukturell ganz ähnlich gelagert, auch dort geht es darum, dass das juristische Problem eigentlich beim Untersuchungsausschuss liegt, weil dort ein Verlangen gestellt wurde, das den Anforderungen der Datenschutzgrundverordnung – Zweckbindung, Datenminimierung und so weiter – nicht entspricht, wenn ich mich richtig erinnere und richtig informiert bin.
Da wie dort liegt das juristische Problem beim Untersuchungsausschuss; einmal agiert die Datenschutzbehörde, erlässt den Mandatsbescheid, das andere Mal ist sie der Meinung, dass sie nicht eingreifen kann. Auf den ersten Blick scheint mir das nicht kohärent. Jetzt würde ich gerne wissen, wo die Unterschiede zwischen diesen beiden Fallkonstellationen liegen sollen. – Danke.
Andrea Jelinek: Wie alle wissen, entscheiden wir in Einzelfällen. Die Fälle mögen vielleicht ähnlich ausschauen, waren aber anders gelagert. Der eine Fall ist rechtskräftig, der andere nicht.
Carina Neugebauer: Danke schön. Weitere Fragen? – Bitte, Herr Dr. Pointner.
Peter Pointner: Von Frau Mag. König wurde ins Spiel gebracht, sollte die DSGVO für den Bereich Gesetzgebung gelten, könnte man auch über Einschränkungen nachdenken. Meine Frage: Welchen europarechtlichen Rahmen sehen Sie für Einschränkungen, wenn die DSGVO als für den Bereich Gesetzgebung anwendbar erklärt wird?
Carina Neugebauer: Frau Mag. König, bitte.
Sarah König: Sie meinen konkret, welche Kompetenz ich da sehe? Die europarechtliche Grundlage wäre sonst die DSGVO.
Peter Pointner: Für Einschränkungen.
Sarah König: Die DSGVO sieht Grundsätze der Verarbeitung vor, die dann eingehalten werden müssten, unter anderem zum Beispiel die Datenminimierung. Wenn konkrete Verpflichtungen bestehen, müssten die so konkret sein, dass auch Datenkategorien daraus ableitbar sind, die für diese Datenverarbeitung erforderlich sein müssen. Diese Einschränkungen – wir sehen zum Beispiel öfter in Anfragen, inwieweit dort ein Dateneinsatz wirklich erforderlich ist, ob das eigentlich auch über eine anonymisierte Anfrage erfolgen kann –, um, wie das jetzt schon in Deutschland zum Beispiel ausgeführt worden ist, eine Kontrolle der Vollziehung zu erreichen, muss man sich im Einzelfall anschauen. Es wäre natürlich gut, wenn das dementsprechend gesetzlich geregelt ist und wenn sich die Verwaltung das nicht im Einzelfall überlegen muss.
Carina Neugebauer: Dr. Pointer wollte die Nutzung von Öffnungsklauseln ansprechen. Wo siehst du da punktuell Möglichkeiten?
Sarah König: Sollte die Frage auf eine Einschränkung in Hinblick auf Betroffenenrechte gemünzt sein, sieht die DSGVO als europarechtliche Grundlage konkret Art. 23 vor. Da ist es in ganz definierten Fällen – dazu zählt zum Beispiel alles, was mit Kontrollaufgaben in diesen aufgezählten Fällen zusammenhängt – möglich, insbesondere die Betroffenenrechte einzuschränken – also Anfragen, Löschersuchen, Berichtigungen. Das scheint natürlich auch im Bereich der Gesetzgebung sehr relevant, wenn man sich zum Beispiel die Stenographischen Protokolle anschaut, die ja eine wortgetreue Darstellung sein sollen. Datenschutzrechtliche Berichtigungsanträge sollen dann nicht dazu führen, plötzlich Stenographische Protokolle ändern zu müssen.
Carina Neugebauer: Vielen Dank. Ich will da unterbrechen, weil wir genau zu diesen Fragestellungen im dritten Panel ein Referat haben.
Darf ich um weitere Fragen bitten? – Bitte schön, Herr Hörmandiger.
Josef Hörmandinger (Salzburger Landtagsdirektion): Meine Frage richtet sich an Frau Dr. Jelinek. Wir haben vor Kurzem unser Landesverwaltungsgerichtsgesetz geändert und publizieren seither die Erkenntnisse dieses Gerichtes vollinhaltlich auf unserer Homepage; das RIS ist, soweit ich weiß, in Planung. Sie kennen das Verfahren vielleicht, es hat vor dem VwGH stattgefunden, die Datenschutzbehörde war involviert, weil es auch um die Frage ging, ob die Pseudonymisierung, die Anonymisierung durch einen Richter oder eine Richterin geprüft werden muss oder ob das eine Kanzlei machen kann.
Meine Frage ist, da wir alle ja sehr gespannt auf ihre Erkenntnisse sind: Warum sind die nicht alle komplett im RIS? Wir würden sie wahrscheinlich auch für unsere Praxis brauchen. – Danke.
Andrea Jelinek: Unsere Erkenntnisse sind, wie es das Datenschutzgesetz auch vorsieht, nicht in allen Fällen ins RIS zu stellen, sondern nur, wenn sie neu oder abweichend ist. Das BVwG hat die Verpflichtung, alle seine Entscheidungen ins RIS zu stellen, wir stellen in der Regel dann Entscheidungen ins RIS, wenn sie rechtskräftig sind und abweichend sind oder ein Novum darstellen. Das sind die wenigsten Entscheidungen.
Carina Neugebauer: Vielen Dank.
Andrea Jelinek: Allerdings machen wir eines: Wir haben ja einen Newsletter, in dem die wesentlichen rezenten Entscheidungen, die aber sozusagen unserer Meinung nach nicht RIS-würdig sind, dargestellt werden. Auch im Datenschutzbericht finden sie sich in großer Anzahl: Alle wesentlichen Entscheidungen der letzten Jahre finden sich im jeweiligen Datenschutzbericht des Jahres wieder.
Carina Neugebauer: Danke schön.
Gibt es weitere Fragen? – Herr Mag. Michalitsch, bitte.
Gottfried Michalitsch: Ich habe eine Frage an Frau Dr. Jelinek, und zwar: Kann ein vorlagepflichtiges Organ beim Untersuchungsausschuss nicht dadurch eine Rechtsverletzung begehen, dass es zu niedrig klassifiziert?
Andrea Jelinek: Das muss man sich im Einzelfall anschauen. Es wäre unlauter und unredlich, wenn ich sage: ja, ja, natürlich!, oder: nein, nein! Das geht so nicht. Das muss man sich im Einzelfall anschauen. Wenn es eine Beschwerde gibt, muss man sich das anschauen.
Carina Neugebauer: Danke schön. Ich darf um weitere Fragen bitten.
Wenn keine weiteren Fragen mehr vonseiten des Publikums gestellt werden, würde ich noch eine Frage an Frau Dr. Bierlein stellen. Das Thema Immunitätsregelungen ist im Kontext von datenschutzrechtlichen Ansprüchen immer wieder Thema. Dürfte ich Sie fragen, wie Sie die Immunitätsregelungen, vor allem berufliche und fachliche Immunität, im Lichte des Datenschutzes bewerten? Wo sehen Sie Problemstellungen?
Brigitte Bierlein: Danke für die Frage. Ich glaube, dass die Immunität sehr berechtigt ist. Sie erlaubt dem Abgeordneten frei – im Sinne des freien Mandates – zu agieren. Das erlaubt die Unabhängigkeit des Abgeordneten oder der Abgeordneten, allerdings setzt es auch einen verantwortungsvollen Umgang voraus. Ich halte die Immunität, auch wenn sie für manche als Relikt aus der Monarchie gesehen wird, für notwendig für die Arbeitenden im Parlament, und zwar sowohl die berufliche als auch die sachliche.
Carina Neugebauer: Danke schön.
Weil es die Zeit zulässt, auch noch eine Frage an die Frau Mag. König: Der Bereich wurde im ersten Panel zwar angesprochen, aber bislang noch nicht näher erörtert. Wie Sie wissen, gibt es zahlreiche Stellungnahmen im parlamentarischen Begutachtungsverfahren, die vor allem auch von Privatpersonen kommen. Was sind da die datenschutzrechtlichen Herausforderungen?
Sarah König: In dem Zusammenhang stellen sich vor allem datenschutzrechtliche Löschbegehren als Herausforderung dar, insofern, als die Stellungnahmen von Privatpersonen nur aufgrund ihrer ausdrücklichen Einwilligung veröffentlicht werden; das ist gesetzlich so vorgesehen. Das heißt, sie haben auch jederzeit die Möglichkeit, diese Einwilligung wieder zurückzunehmen. Das wird von manchen auch so interpretiert, dass sie dann gerne die gesamte Stellungnahme wieder zurückziehen wollen, also nicht nur die Veröffentlichung, sondern wirklich ihre gesamte Stellungnahme.
Das ist im Hinblick auf ein Gesetzgebungsverfahren, an dem man sich da beteiligt, wo es im weiteren Sinn grundsätzlich sogar auch eine Archivwürdigkeit von legislativem Schriftgut gibt, natürlich nicht so einfach zu bewerkstelligen. Es gibt dann im Einzelfall immer die Abwägungen und wirklich auch eine Begutachtung der Stellungnahmen der Einzelnen, ob es sich da sozusagen um archivwürdiges Material handelt oder ob man dem Löschersuchen nachkommen kann.
Es zeigt sich tatsächlich, dass in den meisten Fällen der Hintergrund dafür ist, dass diese Stellungnahmen sehr einfach und sehr hoch platziert von Suchmaschinen angezeigt werden, was dann zum Beispiel bei namensgleichen Personen einfach zu Problemen führt. Das ist in den meisten Fällen der Hintergrund, und da wäre es durchaus überlegenswert, technische Lösungen zu finden, also zum Beispiel die Stellungnahmen nicht mittels einzeln aufrufbarer URLs anzuzeigen. Ich glaube, das würde in vielen Bereichen den Personen schon helfen, wenn sie dann bei Suche ihres Namens nicht an erster Stelle eine Stellungnahme finden, mit der sie sich vielleicht nicht mehr identifizieren oder die sie eigentlich gar nie abgegeben haben.
Carina Neugebauer: Danke schön.
Letzte Gelegenheit, noch Fragen an die PanelistInnen zu stellen. Gibt es welche? – Nein. Dann nochmals herzlichen Dank für Ihre Statements, Ausführungen, auch für die Fragen aus dem Publikum.
Ich darf Sie jetzt zu einem warmen Mittagsbuffet einladen und Sie bitten, sich um 13 Uhr wieder auf Ihren Plätzen einzufinden, damit wir pünktlich mit den Nachmittagspanels beginnen können. Ich wünsche Ihnen jetzt eine angenehme Mittagspause mit hoffentlich interessanten Gesprächen. – Vielen Dank.
*****
(Pause: 11.52 Uhr bis 13.01 Uhr.)
*****
Panel 3: Datenschutz im Bereich der Gesetzgebung ─ weiter wie bisher?
Gerlinde Wagner: Sehr geehrte Damen und Herren! Ich hoffe, Sie hatten eine angenehme Mittagspause und einen guten fachlichen, aber auch persönlichen Austausch. Ich darf Sie jetzt gedanklich wieder zu unserem Thema der Fachtagung, nämlich „Datenschutz im Bereich der Gesetzgebung – weiter wie bisher?“ zurückbringen
Zuvor darf ich aber ganz besonders und herzlich den Herrn Nationalratspräsidenten bei uns begrüßen. Herzlich willkommen!
Dieses Panel fokussiert, wie Sie wissen, ganz stark auf die Frage: Sollten wir wirklich wie bisher weitertun, alles paletti, oder gibt es einen Handlungsbedarf, und wenn ja, welche Handlungsmöglichkeiten haben wir denn?
Nachdem wir uns am Vormittag stark mit der europäischen Perspektive beschäftigt haben und auch die innerstaatliche Ausgangssituation beleuchtet haben, wollen wir uns jetzt konkreter anschauen, was sich daraus ableiten lässt und welche innerparlamentarischen Handlungsmöglichkeiten wir haben.
Im Fokus steht, das möchte ich durchaus betonen, gleich das Spannungsverhältnis zwischen Öffentlichkeit und Datenschutz: einerseits heißt es – insbesondere im Hinblick auf das Öffentlichkeitsprinzip für Parlamentssitzungen – maximale Transparenz, maximale Öffentlichkeit bei den parlamentarischen Verfahren, und auf der anderen Seite soll der Datenschutz gewährt werden. Da gibt es kollidierende Interessen, und die müssen wir ausgleichen. Betroffene, die mit der Veröffentlichung von personenbezogenen Daten konfrontiert sind, fragen sich, was sie dagegen tun können.
Dies bringt uns zu einem weiteren Thema, einem ganz wesentlichem, nämlich zur Frage eines Rechtsschutzes und einer für das Parlament passgenauen Aufsichtsbehörde. Da wird interessant werden, welche Lösungsmöglichkeiten dafür skizziert werden können.
Ein weiterer großer Themenblock betrifft den Umgang mit Betroffenenrechten im Gesetzgebungsbereich: Da stellt sich, bestimmt nicht nur aus meiner Sicht, gleich die erste schwierige Frage, nämlich wer im Parlamentsbereich für eine Datenverarbeitung überhaupt der Verantwortliche und damit der richtige Adressat für Löschungsersuchen oder auch für Auskunftsersuchen ist.
Es ist schon mehrfach betont und erwähnt worden: Ist es der Abgeordnete selber, jeder einzelne Abgeordnete, ein Ausschussobmann? Ist es der Präsident des Nationalrates, der Präsident des Bundesrates, oder ist es eben als beschlussfassendes Organ ein Plenum oder ein Ausschuss?
Ich möchte nun die beiden Vortragenden des dritten Panels sehr herzlich am Podium begrüßen und sie kurz vorstellen:
Erwähnen möchte ich, dass sich Frau Prof.in Dr. Leitl-Staudinger kurzfristig entschuldigen musste. Das bedaure ich auch deshalb, weil ich sie erstens als einen wahnsinnig netten Menschen empfinde und darüber hinaus ist sie eine ausgewiesene Expertin im Bereich Telekommunikations- und Medienrecht et cetera. Sie hat zugesagt, dass sie ihren Beitrag für die Publikation auf jeden Fall zur Verfügung stellen wird, und ich darf schon jetzt darauf hinweisen, dass das bestimmt ein sehr interessanter Beitrag ist.
Lassen Sie mich bitte Herrn Univ.-Prof. Dr. Gerhard Baumgartner vorstellen. Er ist Professor am Institut für Rechtswissenschaften der Universität Klagenfurt und leitet dort den Bereich Öffentliches Recht. Prof. Baumgartner hat sich mit sehr einschlägigen Publikationen bereits mit dem Thema Datenschutz und Gesetzgebung auseinandergesetzt und wirklich schon seit Längerem auf das Fehlen eines adäquaten Rechtsschutzes in diesem Bereich aufmerksam gemacht.
Weiters darf ich als Podiumsgast Herrn Landtagsdirektor Dr. Wolfgang Steiner vorstellen und begrüßen. Aufgrund seiner Personalunion als Landtagsdirektor, als Leiter der Direktion Verfassungsdienst im Amt der Oberösterreichischen Landesregierung und auch aufgrund seiner wissenschaftlichen Tätigkeit als Honorarprofessor am Institut für Verwaltungsrecht und Verwaltungslehre auf der Johannes Kepler Universität in Linz ist er wirklich prädestiniert dafür, uns hier die Themenstellungen und alles mit den öffentlich-rechtlichen Fragestellungen näher zu erläutern und für uns vor allem auch die Sicht aus dem Landtag gut einzubringen.
Ich freue mich auf Ihre Beiträge.
Ich darf Herrn Prof. Baumgartner bitten, mit seinem Statement zu beginnen.
Gerhard Baumgartner (Professor für Öffentliches Recht, Alpen-Adria-Universität Klagenfurt): Sehr geehrter Herr Präsident! Meine sehr geehrten Damen und Herren! Einen schönen Nachmittag von meiner Seite. Ich möchte mich eingangs zunächst einmal für die Einladung und für die Möglichkeit, hier meine Gedanken mit Ihnen teilen zu können, bedanken, und ich freue mich schon jetzt auf eine spannende Diskussion zu diesem Thema.
(Der Redner unterstützt in der Folge seine Ausführungen mittels einer Powerpoint-Präsentation.)
Ich darf vielleicht noch einmal auf das zurückkommen, was wir heute Vormittag besprochen haben, Ihnen die Ausgangssituation skizzieren, die die Basis für alle weiteren Überlegungen bildet, wie wir hier einen Rechtsschutz gestalten können, und, so habe ich den Auftrag verstanden, Überlegungen anzustellen, wie man hier einen innerparlamentarischen Rechtsschutz, einen innerparlamentarischen Aufsichtsprozess gestalten könnte.
Wir haben heute schon gehört, dass vor Kurzem der Verwaltungsgerichtshof im Wege eines Vorabentscheidungsverfahrens an den EuGH die Frage herangetragen hat, ob die Tätigkeit eines parlamentarischen Untersuchungsausschusses in den Anwendungsbereich des Unionsrechts fällt, mit der Folge, dass dann die Datenschutz-Grundverordnung auf die Verarbeitung personenbezogener Daten durch den Untersuchungsausschuss anwendbar ist.
Wir dürfen gespannt sein, wie der EuGH entscheiden wird. Aufgrund der Vorjudikatur des Gerichtshofes, insbesondere in der heute schon mehrfach erwähnten Rechtssache Land Hessen, glaube ich allerdings, dass es mehr als überraschend wäre, wenn er zum Ergebnis käme, dass die Staatsfunktion Gesetzgebung weitgehend oder gar gänzlich vom Anwendungsbereich der Datenschutz-Grundverordnung ausgenommen ist.
Wenn man also von dieser Einschätzung ausgehend annimmt und damit eigentlich entgegen der vom Nationalrat bisher vertretenen Auffassung davon ausgeht, dass die DSGVO auch für die Staatsfunktion Gesetzgebung anwendbar ist, dann stellt sich natürlich – und das ist heute schon erwähnt worden – umgehend die Frage, wie man den Rechtsschutz gestalten soll. Warum? – Die Datenschutz-Grundverordnung sieht vor, dass der von einer Datenverarbeitung betroffenen Person bestimmte Rechtsschutzmöglichkeiten offenstehen, das sind die Artikel 77ff. DSGVO. Ich habe sie ganz knapp auf der Folie zusammengefasst und darf sie Ihnen ganz kurz in Erinnerung rufen, weil sie für das Verständnis aller weiteren Überlegungen zentral sind.
Artikel 77 der Datenschutz-Grundverordnung sagt, dass jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung personenbezogener Daten gegen diese Verordnung verstößt.
In Österreich wäre eine solche Beschwerde nach dem derzeitigen System, der derzeitigen Rechtslage an die Datenschutzbehörde zu richten.
Artikel 78 der Datenschutz-Grundverordnung knüpft dann dort an und gibt jeder natürlichen oder auch juristischen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden Beschluss der Aufsichtsbehörde, kurz gesagt, die Entscheidung der Aufsichtsbehörde muss gerichtlich bekämpfbar sein. Im derzeitigen Rechtsrahmen ist dieser gerichtliche Rechtsschutz gegen Entscheidungen der Aufsichtsbehörde so realisiert, dass ein Rechtsmittelzug gegen Bescheide der Datenschutzbehörde an das Bundesverwaltungsgericht vorgesehen ist.
Schließlich ist noch Artikel 79 DSGVO erwähnenswert. Dieser gibt jeder betroffenen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die aufgrund dieser Verordnung zustehenden Rechte infolge einer rechtswidrigen Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
Was erwähnenswert ist: Es war lange Zeit strittig, ob diese Rechtsschutzwege – Aufsichtsbehörde und Gericht – nebeneinander bestehen können. Es ist mittlerweile im Einklang mit der Lehre durch die Judikatur des OGH klargestellt, dass diese Klagemöglichkeit neben der Möglichkeit der Beschwerde bei der Aufsichtsbehörde, also in Österreich der Datenschutzbehörde, besteht, das heißt, wir haben einen dualen, zweigleisigen Rechtsschutz, den die Datenschutz-Grundverordnung verlangt. Das heißt, wenn wir jetzt darüber nachdenken, wie man eine innerparlamentarische Aufsichtsbehörde gestalten könnte, müssen wir diese Rechtsvorgaben, im Wesentlichen diese drei Artikel der Datenschutz-Grundverordnung, immer im Blick behalten.
Zugleich wird sofort evident: Wenn man annimmt, dass die Gesetzgebung an die Datenschutz-Grundverordnung gebunden ist, steht die derzeitige Rechtslage – lassen Sie es mich vorsichtig formulieren – in einem Spannungsverhältnis zu den beschriebenen unionsrechtlichen Anforderungen.
Warum? – Wir haben § 35 Abs. 2 DSG, also des Datenschutzgesetzes, eine Verfassungsbestimmung – sie ist heute schon erwähnt worden. Dort ist eine Zuständigkeit der Datenschutzbehörde vorgesehen, aber diese Zuständigkeit bezieht sich nur auf Verwaltungstätigkeiten: Verwaltungstätigkeiten des Nationalratspräsidenten, des Rechnungshofpräsidenten, des Präsidenten des Verwaltungsgerichtshofes und des Vorsitzenden der Volksanwaltschaft. Das heißt, die Datenschutzbehörde ist insbesondere auch zur nachprüfenden Kontrolle der Parlamentsverwaltung berufen. Akte der Staatsfunktion Gesetzgebung unterliegen aber nicht ihrer Kontrolle, womit wir das heute schon mehrfach erwähnte Rechtsschutzdefizit schon verortet haben.
Auch die Datenschutzbehörde selbst, das ist heute auch schon gefallen, betont, dass eine Kontrolle der Legislative durch die Datenschutzbehörde nicht vorgesehen sei, und es wird auch auf die europäische Rechtsordnung verwiesen, darauf, dass auch dieser die Trennung der Staatsgewalten inhärent sei – daher sei eine Kontrolle der Verwaltung über die Gesetzgebung ausgeschlossen.
Wir sehen also, da gibt es erhebliche Spannungsverhältnisse zwischen der derzeitigen Sicht der Dinge und dem, was sich ändern müsste, wenn der EuGH denn zum Ergebnis käme, dass die Staatsfunktion Gesetzgebung auch der Datenschutz-Grundverordnung unterliegt.
Auf der Basis dieses Ausgangsbefundes versuche ich jetzt, einige Lösungsansätze zu überlegen, und natürlich blickt man einmal in die Literatur und orientiert sich an dem, was es schon gibt. Wenn man nach Lösungsansätzen fragt, wie oder durch welches Organ eine Überwachung der Einhaltung der Datenschutzvorschriften im Bereich der Gesetzgebung erfolgen könnte und ob denn die Einrichtung einer innerparlamentarischen Aufsichtsbehörde überhaupt möglich wäre, dann stößt man bei der Suche nach Antworten auf ganz unterschiedliche Ideen.
Idee Nummer eins wäre die Überwachung durch einen besonderen Parlamentsausschuss beziehungsweise ein parlamentarisches Datenschutzgremium, in dem die Fraktionen vertreten sind, das also von Abgeordneten gebildet wird. Das ist keine Erfindung von mir, sondern das ist ein Modell, das wir in mehreren deutschen Bundesländern finden.
In der Diskussion wird auch ein weiteres Modell genannt, wie man die Überwachung des Datenschutzrechts im Bereich der Legislative des Parlaments gestalten könnte, nämlich durch den Präsidenten, die Präsidentin des Parlaments beziehungsweise das Präsidium.
Und ein drittes Element oder ein drittes Modell würde ich gerne ins Treffen führen, nämlich die Überwachung durch ein vom Parlament selbst bestelltes Organ. – Das sind einmal drei in der Diskussion zu findende Lösungsansätze.
Das dritte Modell ist, wie man gleich erkennen kann, offen für organisatorische Gestaltungen, und zwar für organisatorische Gestaltungen, bei denen man die Vorgaben der Datenschutz-Grundverordnung berücksichtigen kann.
Bei den ersten beiden Modellen sehe ich allerdings Probleme. Warum? – Wir müssen ja den beschriebenen Anforderungen der Datenschutz-Grundverordnung gerecht werden, und das heißt, dass ja das betreffende parlamentarische Organ, ob es nun ein Ausschuss oder ein Gremium ist oder wie immer das dann genannt wird, dann selbst die Voraussetzungen für eine unabhängige Aufsichtsbehörde erfüllen müsste, und wir haben heute schon von der strengen Judikatur des EuGH gehört, was die Unabhängigkeit dieser Aufsichtsbehörde anbelangt. Ich hätte erhebliche Zweifel, ob ein aus dem Kreis der Abgeordneten gebildetes Organ solchen Anforderungen so gerecht werden kann, dass das vor dem EuGH auch halten würde.
Wenn man jetzt aber sagt, man nimmt ein Modell, in dem man keine unabhängige Aufsichtsbehörde konzipiert, steht man wieder vor dem Dilemma, dass man danach eine unabhängige Aufsichtsbehörde befassen muss, also man würde bei diesem Gedankenspiel wieder bei der Datenschutzbehörde ankommen und damit eine Kontrolle der Legislative durch eine Verwaltungsbehörde vorsehen, was sich mit diesem Grundkonzept, das ich sozusagen mitgenommen habe, über eine innerparlamentarische Aufsichtsbehörde nachzudenken, irgendwie schwer vereinbaren lässt.
Kurz gesagt: Entweder entspricht das Organ selbst den Voraussetzungen für die unabhängige Aufsichtsbehörde oder man braucht, um der Datenschutz-Grundverordnung gerecht zu werden, den Zugang zur unabhängigen Aufsichtsbehörde, weil einfach diese Möglichkeit zwingend vorgesehen ist.
Weil daher die ersten beiden Modelle aus meiner Sicht ausscheiden, denke ich weiter nach, und zwar über das dritte Modell, über ein vom Parlament bestelltes Organ, und ich möchte Ihnen im Folgenden zwei Vorschläge präsentieren, wie man sich den Rechtsschutz in Angelegenheiten des Datenschutzes im Parlament vorstellen könnte. Das ist ein Diskussionsbeitrag, das sage ich gleich dazu und schicke voraus: Das ist kein in allen Details geprüftes und entwickeltes Modell, sondern ich möchte das als erste Überlegungen verstanden wissen, um die Diskussion zu initiieren und hoffentlich zu bereichern.
Damit komme ich zu meinem ersten Vorschlag, meiner ersten Überlegung: der Schaffung eines Datenschutzbeauftragten des Parlaments. Wie schaut der Vorschlag aus? – Er geht in die Richtung, dass ein besonderes Aufsichtsorgan geschaffen wird, dessen Aufgabe die Überwachung der Einhaltung der Datenschutzvorschriften im Bereich der Staatsfunktion Gesetzgebung ist.
Dieses Organ könnte ein vom Parlament gewählter unabhängiger Datenschutzbeauftragter sein, der – das ist jetzt unter Gesichtspunkten der Gewaltenteilung relevant – dann ein Hilfsorgan der Gesetzgebung wäre, also der Legislative zurechenbar wäre.
Jetzt kann man sich fragen, ob das überhaupt mit der Datenschutz-Grundverordnung vereinbar ist, spricht sie doch im Artikel 51 von einer Aufsichtsbehörde, und ein Organ, das der Legislative zurechenbar ist, würde man jedenfalls nach dem in Österreich vorherrschenden Begriffsverständnis nicht als Behörde bezeichnen. Wenn wir aber in die Datenschutz-Grundverordnung hineinschauen, finden wir dort eine Definition des Begriffs der Aufsichtsbehörde, und dieser Begriff ist doch deutlich weiter, als das dem österreichischen Sprachgebrauch entspricht. Da ist nämlich die Rede von einer von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichteten unabhängigen Stelle.
Stelle ist denkbar weit, insofern würde ich zumindest auf den ersten Blick meinen, dass das kein Hindernis ist und es daher bei entsprechender organisatorischer Ausgestaltung möglich sein sollte, eine solche Einrichtung so zu gestalten, dass sie den unionsrechtlichen Anforderungen an die Unabhängigkeit gerecht wird. Nachdem ich ein bisschen mehr Zeit habe, mache ich jetzt noch eine kleine Fußnote dazu: Ergänzend kann man sagen, dass die Datenschutz-Grundverordnung den Mitgliedstaaten aber die Wahl lässt, ob sie eine Aufsichtsbehörde als Kollegialorgan oder monokratisch einrichten.
Wir haben uns in Österreich mit der Datenschutzbehörde für ein monokratisches Organ entschieden. Es wäre aber denkbar, dieses Modell für die Kontrolle im Parlament auch als Kollegialorgan zu konzipieren. Ich schlage das monokratische Modell vor, aber das ist natürlich auch etwas, was man diskutieren kann. Das heißt, neben der hier vorgeschlagenen monokratischen Organisation wäre es ohne Weiteres denkbar, dass ein aus mehreren Mitgliedern zusammengesetztes parlamentarisches Datenschutzgremium – oder nennen wir es Datenschutzkommission, wie immer man möchte – eingerichtet wird. Auch das wäre, wenn das in der rechtspolitischen Diskussion so gewünscht ist, aus meiner Sicht mit der Datenschutz-Grundverordnung vereinbar.
Ich bleibe in der weiteren Vorstellung beim monokratischen Modell. Wenn man sich für ein solches Modell entscheidet, würde das bedeuten, dass für den Bereich der Gesetzgebung nicht die Datenschutzbehörde zuständig ist, sondern der eben beschriebene Datenschutzbeauftragte des Parlaments.
Da kann man sich wieder die Frage stellen: Ist denn das überhaupt zulässig, dass ein Mitgliedstaat mehrere Aufsichtsbehörden hat? – Diese Frage kann man bejahen: Ja, das ist zulässig. Man muss sich nur, wie heute schon gesagt wurde, darauf verständigen, dass man auf der unionsrechtlichen Ebene dann mit einer Stimme spricht, aber es ist ohne Weiteres möglich, dass mehrere unabhängige Behörden für die Überwachung der Anwendung der Datenschutz-Grundverordnung vorgesehen werden. Das zeigt uns ja auch das Beispiel Deutschlands ganz deutlich. Gut. Um den Anforderungen der Datenschutz-Grundverordnung hinsichtlich des Rechtsschutzes gegen Entscheidungen der Aufsichtsbehörde gerecht zu werden, müsste man sich aber auch noch überlegen, wie der Rechtszug gegen Entscheidungen dieses parlamentarischen Datenschutzbeauftragten gestaltet sein soll. Da kann man verschiedene Modelle andenken. Mein Vorschlag wäre, einen Rechtszug gleichlaufend wie bei der Datenschutzbehörde vorzusehen, nämlich einen Rechtszug zum Bundesverwaltungsgericht. In weiterer Folge wären dann die Gerichtshöfe öffentlichen Rechts, also der Verwaltungsgerichtshof und der Verfassungsgerichtshof anrufbar.
Ich füge hinzu: Es sind natürlich auch andere Konstellationen denkbar. Wir können in der Diskussion dann gerne über die Vor- und Nachteile verschiedener Modelle sprechen.
Wenn man also das Organisationsrecht für diesen parlamentarischen Datenschutzbeauftragten entsprechend ausgestaltet, dann ist es, glaube ich, möglich, sicherzustellen, dass den Anforderungen der Artikel 77 und 78 der Datenschutz-Grundverordnung entsprochen wird.
Damit bleibt mir von den Artikeln, die ich am Beginn erwähnt habe, noch einer übrig, nämlich Artikel 79, der vorsieht, dass es zusätzlich zum Beschwerderecht an die Aufsichtsbehörde ein „Recht auf einen wirksamen gerichtlichen Rechtsbehelf“ gibt.
Da gibt es einen wesentlichen Unterschied, auf den ich hinweisen möchte: Anders als bei der Beschwerdemöglichkeit bei der Aufsichtsbehörde, die eigentlich sehr niederschwellig konzipiert ist, ist dieser Rechtsschutz in der Datenschutz-Grundverordnung nur bei der behaupteten Verletzung subjektiver Rechte – Rechte aufgrund der Datenschutz-Grundverordnung – der betroffenen Person vorgesehen.
Die Überlegung ist also: Welches Gericht wäre das richtige, um, für den Fall, dass man eine Rechtsverletzung durch eine Datenverarbeitung im Parlament behauptet, direkt angerufen zu werden? Das könnte zum Beispiel auch mit einem Unterlassungsbegehren, Schadenersatz und solchen Dingen einhergehen.
Wenn man der unionsrechtlichen Vorgabe gerecht werden will, dann würde ich vorschlagen, im B-VG eine Zuständigkeit des Verfassungsgerichtshofes vorzusehen, der dann bei Rechtsverletzungen infolge einer DSGVO-widrigen Datenverarbeitung im Bereich der Gesetzgebung angerufen werden kann. Dieses Modell erscheint mir deswegen sachgerecht und auch systemkonform, weil eine Kontrolle der Legislative durch den Verfassungsgerichtshof dem österreichischen Verfassungsrecht seit Langem geläufig ist. Man denke nur an die Möglichkeit der Überprüfung der Verfassungskonformität von Gesetzen – Artikel 140 B-VG.
Darüber hinaus orientiert sich dieser Vorschlag an der Judikatur des Verfassungsgerichtshofes zur gerichtlichen Zuständigkeit für die Entscheidung über Staatshaftungsansprüche wegen Verletzung des Unionsrechts. Auch hier wird eine Zuständigkeit des Verfassungsgerichtshofes immer dann angenommen, wenn die behauptete Verletzung des Unionsrechts unmittelbar dem Gesetzgeber zuzurechnen ist.
Ich möchte aber – das ist ein Diskussionsbeitrag – auch gar nicht verschweigen, dass dieses Modell auch Nachteile hat. Man wird etwa sehen müssen, dass die Arbeitsbelastung des Verfassungsgerichtshofes schon jetzt sehr hoch ist und dass durch eine solche Zuständigkeit in Datenschutzangelegenheiten die Belastung des Gerichtshofes weiter steigen würde. Das könnte in weiterer Folge natürlich auch Auswirkungen auf die Verfahrensdauer vor dem Verfassungsgerichtshof haben. Außerdem sollte man nicht übersehen, dass eine solche Kompetenz auch die Gefahr mit sich bringt, dass der Gerichtshof mit tagespolitisch relevanten Fragen befasst wird, hier dann eben über einen Umweg: über das Datenschutzrecht.
Allerdings, diese Konsequenz hat der Verfassungsgesetzgeber schon in anderem Zusammenhang in Kauf genommen, nämlich mit der Schaffung der neuen Zuständigkeiten des Verfassungsgerichtshofes im Zusammenhang mit Untersuchungsausschüssen des Nationalrates, Artikel 138b B-VG.
Damit bin ich am Ende meiner Ausführungen angelangt. Es würde mich sehr freuen, wenn diese Ideen auf Ihr geschätztes Interesse stoßen. Ich glaube, für Diskussionsstoff ist jetzt gesorgt, und ich freue mich auf die weiteren Gespräche. – Danke.
Gerlinde Wagner: Vielen herzlichen Dank, Herr Professor. Ja, ich glaube, Sie haben tatsächlich für Diskussionsstoff gesorgt. Vielen herzlichen Dank für die interessanten Ausführungen.
Ich darf das Wort gleich an Herrn Dr. Steiner weitergeben. – Bitte.
Wolfgang Steiner (Landtagsdirektor, Leiter der Direktion Verfassungsdienst im Amt der oberösterreichischen Landesregierung): Sehr geehrter Herr Präsident! Frau Präsidentin! Liebe Vorsitzende! Danke zunächst einmal für die nette Einbegleitung. Ich darf Sie jetzt quasi abschließend auf einige Aspekte des Datenschutzes aus der Sicht der potenziell Betroffenen aller Verarbeitungen, wie ich es bezeichnen möchte, unter dem Dach des Parlaments oder unter dem Dach der Parlamente – es ist schon angesprochen worden, ich werde dort oder da auch auf die Landtage verweisen – hinweisen.
Das ist jetzt weniger wissenschaftlich als bei meinem Vorredner, es erfolgt eher aus der Sicht der Praxis der Betroffenen. Dabei lasse ich jetzt alle Abgrenzungen und sonstigen ja zum Teil schon dargelegten und diskutierten Rechtsfragen außer Betracht, ebenso wie eine Auseinandersetzung mit den bereits zum Teil geltenden Regelungen für Teilbereiche. Vielmehr möchte ich eine Skizze geben und ausgehend von einigen Eckpunkten Thesen aufstellen, im Sinne eines Ausblicks und Denkanstoßes für die weitere Diskussion sowie, wie ja heute schon mehr oder minder herausgekommen ist, für weitere Regelungsnotwendigkeiten.
Die Überlegungen, wer aller Betroffener, betroffene Person bei Verarbeitungen in den verschiedenen Bereichen der Parlamente sein kann, steht nun wiederum unter der Prämisse, dass wir ja fast alle davon ausgehen, dass letztlich die DSGVO Anwendung findet – mit einem Blick in diese Rechtsvorschrift, die den Kreis mit „identifizierte oder identifizierbare natürliche Person“ umschreibt.
Neben den Fällen der direkten Betroffenheit, also aus eigener Initiative, Mitwirkung oder Anwesenheit, sind hier vor allem auch die Fälle der indirekten Betroffenheit, also, wie es heute schon mehrmals genannt wurde, Benennung oder Verarbeitung durch Dritte, zu beachten, das heißt, Fälle von, wie es zum Beispiel der Verwaltungsgerichtshof in einer aktuellen Entscheidung bezeichnet, Informationen über die Person.
Da können nur wenige Beispiele genannt werden, vielleicht geht das eine oder andere ein bisschen über das hinaus, was wir heute schon gehört haben. Es geht eben auch um Auskunftspersonen, um Experten, Expertinnen, vielleicht auch nur in einem Klub, Einbringer oder UnterstützerInnen von Petitionen, möglicherweise auch solche, die über private Onlineplattformen kommen, um Teilnehmerinnen und Teilnehmer zum Beispiel der Demokratiewerkstatt, aber auch sonstige Anbringen an den Präsidenten, bis hin zu Namensnennungen in Anfragebeantwortungen und in den Debatten.
Von der Verantwortlichkeit beziehungsweise Verarbeitung oder der Datenart her gesehen sind aus meiner Sicht zunächst jene Daten zu nennen, die bei den Parlamenten direkt anfallen. Mit zu bedenken sind aber auch Verarbeitungen der Klubs – auch das ist heute schon angesprochen worden –, einzelner Parlamentarierinnen und Parlamentarier, insbesondere aber auch diverser Zulieferer wie kontrollierter Organe oder parlamentarischer Hilfsorgane, zu denen die einzelnen Rechtsbeziehungen dann womöglich unterschiedlich sind.
Auch die Liste der Rechte der betroffenen Personen kann der Datenschutz-Grundverordnung entnommen werden. Sie müssen auch unter diesem Dach der Parlamente gewährleistet sein und bestimmen somit den Handlungsrahmen und organisatorischen Rahmen.
Beginnend mit dem Recht auf Information, zum Beispiel über die Kontaktdaten der oder des Verantwortlichen, über Zwecke und Rechtsgrundlage für die Verarbeitung, gegebenenfalls über Datenempfängerinnen und Datenempfänger, über die Dauer der Speicherung sowie über die bestehenden Auskunfts- und Beschwerderechte, sind das Auskunftsrecht, die Rechte auf Berichtigung und Löschung und eine ganze Reihe von weiteren Rechten, auf die ich hier im Detail nicht eingehen kann, zu nennen und zu garantieren.
Freilich – das ist heute schon einmal angesprochen worden – kennt die Datenschutz-Grundverordnung mit dem Artikel 23 auch Beschränkungen dieser Rechte, die durch sogenannte Öffnungsklauseln auf Basis innerstaatlicher Gesetzgebungsmaßnahmen der Mitgliedstaaten jeweils dort für zulässig erklärt sind beziehungsweise für zulässig erklärt werden können.
Allerdings dürfte der Spielraum, der mögliche Spielraum, dafür eher eng sein, weil dabei jedenfalls der „Wesensgehalt der Grundrechte und Grundfreiheiten“ zu achten ist und nur in demokratischer Gesellschaft „notwendige und verhältnismäßige“ Maßnahmen zulässig sind, und auch das nur im Rahmen bestimmter mehr oder minder abschließend genannter Ziele: Aus meiner Sicht könnten im parlamentarischen Bereich allenfalls der Schutz „wichtiger Ziele des allgemeinen öffentlichen Interesses“ – ob die parlamentarische Öffentlichkeit ein solches Interesse wäre, müsste wohl jedenfalls noch näher geprüft werden, auch da wird es wohl Grenzen geben – und der „Schutz der betroffenen Person oder der Rechte und Freiheiten anderer“ in Betracht kommen.
Potenziell Betroffene dürften sich von den Datenschutzrahmenbedingungen und deren Umsetzung in Parlamenten jedenfalls größtmögliche Transparenz und Fairness erwarten. Das bedeutet, dass für sämtliche Vorgänge quasi geschäftsfallgruppenbezogene Informationen, so ähnlich wie das Sarah König hier heute schon dargestellt hat, je Verarbeitung über Grundlagen, Ablauf, Rechtsschutz und vordefinierte Prozesse, auszuarbeiten sind oder sein werden, im Sinn von: Welche Daten werden zu welchem Zweck erhoben, verarbeitet, wer bekommt diese Daten, wann werden sie gelöscht?, et cetera.
Die FAQs, die damit zu beantworten sein werden, könnten etwa sein: Was passiert mit meinen Daten im Fall von Schreiben an den Präsidenten, im Fall von Schreiben an einen Klub, an einen einzelnen Abgeordneten? Oder eben: Mein Name wurde in einer Parlamentsdebatte genannt; was kann ich machen? Oder: Eine Anfragebeantwortung enthält Daten, die Rückschlüsse auf meine Person zulassen; wo kann ich mich beschweren? Oder – auch das ist heute schon angesprochen worden –: Ich möchte klargestellt haben, dass der Träger des offenbar gleichen oder missbräuchlich verwendeten Namens beziehungsweise der Absender, der meinen Namen in der Stellungnahme im Begutachtungsverfahren so verwendet hat, nicht ich bin; was kann ich tun?
Sie können ja einmal schauen, wie viele Wolfgang Steiner es unter den 200 000 eingelangten Stellungnahmen zum Ministerialentwurf und zum anderen Entwurf zum Impfpflichtgesetz gegeben hat – ein ganz interessanter Zugang. Ich habe einige Reaktionen auf nicht von mir stammende Stellungnahmen bekommen, weil natürlich meine Mailadresse relativ klar ersichtlich war – auch das ist im Übrigen ein Aspekt, den man sich in Zukunft überlegen muss. Bei unseren Stellungnahmen im Begutachtungsverfahren zu den Ministerialentwürfen etwa steht jeweils nicht nur der sie unterzeichnende Landesamtsdirektor – das wäre so ein oberster oder oberer Beamter, der sich das wohl gefallen lassen muss –, sondern auch unsere – wie hat es die Kollegin aus Deutschland genannt? – sozusagen kleinen Beamten und Beamtinnen sind dort mit Namen, Telefonnummer und Mailadresse, jedenfalls eruierbarer Mailadresse, abgebildet.
Das Ziel ist, auf Basis entsprechender Rechtsgrundlagen, zum Beispiel einer Geschäftsordnung Datenschutz, für die Abwicklung aller Vorgänge im Zusammenhang mit den Betroffenenrechten einen – dafür würde ich sehr plädieren – One-Stop-Zugang im Sinn eines Kompetenzservicezentrums Datenschutz einzurichten, das unabhängig vom Bereich – Gesetzgebung oder Verwaltung – alle damit im Zusammenhang stehenden Aufgaben und Leistungen wahrnimmt.
Standardmäßig anzubieten wären dabei wohl elektronische beziehungsweise Online-Kontaktformulare mit Nachverfolgungsmöglichkeit. Dieses – und auf einer Folie aus Deutschland ist das Wort ja auch schon gestanden – Kompetenzzentrum Datenschutzdienst sollte wiederum auf Basis ergänzender Regelungen in den Geschäftsordnungen auch alle Datenschutzprüfungen, Interessenabwägungen und Verhältnismäßigkeitsprüfungen allgemein und im Einzelfall vornehmen, aber auch als Servicestelle für die Zulieferer, so wie ich sie genannt habe, dienen. Über die in Zusammenhang damit entwickelten Standards und die Ergebnisse sollte darüber hinaus transparent allgemein informiert werden.
Auf das notwendige Rechtsschutzsystem hat ja mein Vorredner schon hingewiesen. Ich verweise dazu auch auf die §§ 85 und 85a des Gerichtsorganisationsgesetzes für die Gerichtsbarkeit sowie eben auf den schon mehrfach genannten § 35 Abs. 2 DSG.
Ausgehend von der schon genannten Tatsache, dass eine Beschwerde an die Datenschutzbehörde nicht denkbar ist, wäre unter Umständen nach einem vorangestellten interparlamentarischen Verfahren mit dem Ergebnis eines Bescheids eine Beschwerdemöglichkeit an ein Verwaltungsgericht vorzusehen, und in weiterer Folge ein Rechtszug an Verwaltungsgerichthof beziehungsweise Verfassungsgerichtshof.
Für die Landtage würde ich anmerken, auf sie in diesem Regelungssystem nicht zu vergessen, das heißt, die Landtage mit zu bedenken oder mit zu denken, und möglicherweise statt einem Zugang zum Bundesverwaltungsgericht auch aus Gründen der Vermeidung von Überlastung etwa die Landesverwaltungsgerichte vorzusehen.
Nötig wird also die Schaffung eines verfassungsrechtlichen Mechanismus in irgendeiner Weise parallel zu den Sonderregelungen für Untersuchungsausschüsse und dem bereits genannten Art. 130 Abs. 2a B-VG sein.
Insgesamt braucht es eine Weiterentwicklung des Gesamtsystems, auch für den Bereich der Akte der Gesetzgebung, und entsprechende Regelungen auf der Ebene der parlamentarischen Geschäftsordnungen, die auch und vor allem die Aspekte und Rechte potenziell Betroffener hinreichend berücksichtigen.
Darüber hinaus sollte die Gelegenheit zur Klärung bestehender Regelungs- und Wertungswidersprüche, zum Beispiel auch im Zusammenhang mit Verarbeitungen zu journalistischen Zwecken und sonstigen Medientätigkeiten, genützt werden.
Letztlich sind auf verfassungsgesetzlicher Ebene bestehende Rechtsschutzlücken zu schließen und effektive Kontroll- und Rechtsschutzeinrichtungen beziehungsweise ‑verfahren vorzusehen. – Herzlichen Dank.
Gerlinde Wagner: Herzlichen Dank für Ihre Ausführungen, auch danke dafür, dass Sie den Praxisbezug zu den Betroffenenrechten sehr gut hergestellt haben.
Sehr geehrte Damen und Herren, jetzt sind Sie am Wort! Ich eröffne hiermit die Diskussionsrunde. Ich ersuche Sie um ein Handzeichen. Bitte sagen Sie Ihren Namen und auch die Institution, von der Sie stammen! Ich frage gleich in die Runde: Wem darf ich zuerst das Wort erteilen? – Bitte schön.
Eckhard Riedl: Ich glaube, Gerhard hat meine Wortmeldung schon erwartet.
Ich finde es sehr, wie soll man sagen, erfreulich, dass wir jetzt über konkrete Vorstellungen und konkrete Ausgestaltungen einer Aufsichtsbehörde diskutieren, wo wir, glaube ich, vor noch nicht allzu langer Zeit überhaupt das Wort DSGVO und Gesetzgebung in einem Satz nennen durften. Insofern ist es sehr, sehr gut, wenn es da schon konkrete Überlegungen und Modelle gibt, und ich glaube, man braucht sozusagen auch einen Eisbrecher, mit einem Modell in die Diskussion hineinzugehen, anstatt weiter abstrakt über theoretische Optionen zu reden. Konkret zu deinem Modell, zu deinen Gedanken über eine Aufsichtsbehörde zwei Aspekte oder Fragestellungen: zum einen eine rechtspolitische, vielleicht eher rechtspsychologische Frage mit der Einrichtung des BVwG für rechtliche nachprüfende Entscheidungen der Aufsichtsbehörde, inwieweit das vielleicht jetzt eher rechtspsychologisch, rechtspolitisch schwierig werden kann, dass man nach der Gesetzgebung oder der außerhalb angesiedelten Aufsichtsbehörde einen Rechtszug – unter Anführungszeichen – „nur“ zum BVwG installiert.
Damit zusammenhängend eine eher rechtlichere Seite dieses Aspekts: Wir kennen ja derzeit das „Problem“ – unter Anführungszeichen –, dass wir innerstaatlich im Rahmen der Implementierung der DSGVO ja nur die Beschwerde an die Aufsichtsbehörde eingerichtet haben und den parallelen Rechtszug zu den Gerichten aus für uns nachvollziehbaren verfassungsrechtlichen Gründen aufgrund des Trennungsgrundsatzes innerstaatlich für nicht gangbar gehalten haben.
Jetzt gibt es ja diese Linie des OGH, dass er das in direkter Anwendung anwendet. Was wir als Folge daraus sehen, ist derzeit, dass es natürlich divergierende Judikaturlinien zwischen der Datenschutzbehörde, BVwG und Verwaltungsgerichtshof zum einen und im Rahmen der ordentlichen Gerichtsbarkeit zum anderen gibt.
Wenn ich jetzt dein Modell weiterdenke, würde auch dieses Modell dieses Problem beinhalten. Die Frage, die sich mir stellt, ist ja, wenn ich jetzt schon die Möglichkeit habe, sozusagen auf null zu stellen, mir das von Beginn an zu überlegen und genau diese Judikaturdivergenzen vielleicht von vornherein zu vermeiden, ob man hier nicht auch im Modell überlegen könnte, dass es eben nicht zu diesen unterschiedlichen Wegen kommt. Man könnte ja überlegen, ob man jetzt zum Beispiel den Verwaltungsgerichtshof sowohl für die Fälle des Artikels 78 als auch für Artikel 79 heranzieht. Dann hätte man natürlich diese Konstellation der Judikaturdivergenzen nicht, was in der Praxis schon etwas ist, was wir jetzt in unserem Bereich merken, das zu Problemen führt. – Danke.
Gerlinde Wagner: Danke schön.
Herr Professor, möchten Sie darauf antworten?
Gerhard Baumgartner: Vielen Dank für die Wortmeldung. Ich habe Sie, jedenfalls was das Bundesverwaltungsgericht anlangt, fast erwartet, wie ich gestehen muss. Bei dieser Passage und an diesem Punkt der Folie habe ich selbst lange nachgedacht, ob ich da das Bundesverwaltungsgericht oder ein anderes Gericht hinschreibe – das darf ich ganz offen sagen. Ich habe mich aus folgenden Überlegungen dann für diesen Vorschlag entschieden, wissend, dass es natürlich auch andere Argumente gibt.
Zum einen erschien es mir nicht recht nachvollziehbar, warum im Bereich der Gesetzgebung hier dann ein anderer und vor allem auch ein kürzerer Rechtszug bei Datenschutzverletzungen vorgesehen sein soll als in allen anderen Bereichen. Also wenn ein kleiner Einzelunternehmer eine Datenschutzverletzung begeht, kann ich zur Datenschutzbehörde, zum Bundesverwaltungsgericht und zu beiden Gerichtshöfen. Hätte ich hier ein Modell vorgesehen, wo ich dann gleich vom Datenschutzbeauftragten des Parlaments zu einem Höchstgericht gehe, hätte ich einen einfach verkürzten Rechtszug.
Man muss auch sehen, dass der Zugang zum Verwaltungsgericht niederschwelliger ausgestaltet ist als zu einem der beiden Gerichtshöfe. Auch das war eine Überlegung, die aus meiner Sicht für dieses Modell spricht.
Drittens: die Nachteile, die ich betreffend Verfassungsgerichtshof genannt habe: Meine Einschätzung wäre, dass gerade eher das Beschwerderecht jenes ist, das im Vergleich zum rein gerichtlichen Prozess zu mehr Fällen führt und deswegen sozusagen dieses Problem der Belastung des Verfassungsgerichtshofes mit solchen Verfahren dann noch weiter verschärft worden wäre, wenn ich den Verfassungsgerichtshof vorsehe, und nur den Verwaltungsgerichtshof – deshalb bin ich mir nicht sicher, ob ich richtig Verwaltungsgerichtshof oder Verfassungsgerichtshof verstanden habe – könnte ich mir jetzt schwer vorstellen. Also das wäre ja ein gravierender Systembruch, glaube ich, auch im Verfassungssystem.
Das Thema der Judikaturdivergenz sehe ich nicht in dieser Schärfe, denn in beiden Rechtszügen, die ich vorgestellt habe, komme ich am Ende des Tages zum Verfassungsgerichtshof, in einem Fall noch zusätzlich zum Verwaltungsgerichtshof, aber das Thema, dass es in Ausnahmefällen zwischen dem Verfassungsgerichtshof und dem Verwaltungsgerichtshof Judikaturdivergenzen geben kann, zieht sich ja durch die gesamte Verwaltungsrechtsordnung. Das wäre jetzt kein Spezifikum des Datenschutzrechtes.
Also insofern ist die Situation, glaube ich, schon eine andere, wenn ich auf der einen Seite Zivilgerichtsbarkeit habe und auf der anderen Seite den administrativen Rechtszug über die Datenschutzbehörde und die Verwaltungsgerichtsbarkeit.
Gerlinde Wagner: Danke schön.
Gibt es weitere Fragen? – Bitte, Herr Parlamentsdirektor.
Harald Dossi: Harald Dossi, Parlamentsdirektion. Ich hätte eine Frage an Prof. Baumgartner. Wir sind jetzt natürlich in der Situation, dass wir im Grunde gar nichts gesichert wissen. Wir wissen nicht, wie der Europäische Gerichtshof entscheiden wird, und sollte er entscheiden, dass die DSGVO auch für den Bereich der Gesetzgebung anwendbar ist, dann wissen wir nicht, ob in der rechtspolitischen Diskussion gewissermaßen akzeptiert würde, dass es hier einen Rechtsschutzmechanismus über die Datenschutzbehörde gibt oder ob man eigene Regelungen treffen soll oder will.
Sollte man Letzteres wollen, hat mich deine Bemerkung aufmerksam gemacht, dass deiner Ansicht nach auch kollegiale Rechtsschutzorgane nach der DSGVO zulässig wären. Das führt mich jetzt zur Frage: Wie würdest du ein Modell, das du nicht vorgestellt hast, sehen, nämlich als solche Rechtsschutzbehörde eine dem Parlament schon sehr bekannte Behörde, nämlich die Volksanwaltschaft, als kollegiale Behörde vorzusehen, der man ja in den vergangenen Jahren – ich erinnere, 2012 Zusatzprotokoll zur UN-Antifolterkonvention oder 2014 im Rahmen des Untersuchungsausschusses – auch Entscheidungsbefugnisse, wenn es um Persönlichkeitsrechte geht, gegeben hat? Das wäre immerhin eine Behörde, die gewissermaßen aus der Sicht vielleicht von Parlamentariern, wenn man die Krot schon schlucken muss, eine Behörde ist, die man kennt, die einem vertraut ist. Mich würde interessieren, ob du da rechtliche Hürden oder auch rein praktisch Vor- und Nachteile sehen würdest. – Danke.
Gerhard Baumgartner: Jetzt natürlich aus dem Stegreif, ohne mir das im Detail überlegen zu können: Auf den ersten Blick würde ich schon Probleme sehen. Wir haben heute im Vormittagspanel gehört, welche strikten Anforderungen jetzt nicht nur an die Unabhängigkeit, sondern zum Beispiel auch an die speziell datenschutzrechtliche Qualifikation der Behörde und solche Dinge gestellt werden. Ob man all das bei der Volksanwaltschaft so ohne Weiteres umsetzen kann und als gegeben erachtet, da hätte ich auf den ersten Blick Zweifel.
Gerlinde Wagner: Es wurde auch betont, wie ressourcenintensiv das ist. Wahrscheinlich kann man es schon machen, aber es würde schon einen ordentlichen Ausbau, um das so zu formulieren, in jeglicher Hinsicht bedeuten.
Gerhard Baumgartner: Auf alle Fälle, ja.
Gerlinde Wagner: Bitte, Herr Dr. Binder-Krieglstein.
Reinhard Binder-Krieglstein (Volksanwaltschaft, Leiter der Verwaltung): Ich habe eine Frage an Herrn Dr. Steiner. Nach meinem Wissensstand war es bisher so, dass es eine gemeinsame Stellungnahme der Landtage gab, dass man von keiner unmittelbaren Geltung der DSGVO ausging. Jetzt habe ich heute gehört, Oberösterreich. Trifft das die anderen Länder auch? Geht man jetzt eher von dieser Seite aus? Dankenswerterweise haben Sie dann auch erklärt, was das im Einzelnen bedeutet. Wie würden Sie das sehen, wie Sie es nannten, mit dem Kompetenzzentrum beziehungsweise dieser Behörde, die das sein soll, wenn sie also die Datenschutzrechte des Betroffenen gegenüber dem jeweiligen Mitglied, das es verarbeitet, des Nationalrates, des Bundesrates oder des Landtages dann durchsetzen will? Wie haben Sie sich das gedacht?
Wolfgang Steiner: Zum Ersten: Ich sage immer, ich bin die lebende Happy Hour, zwei Jobs zum Preis von einem, für das Land Oberösterreich nämlich. Das, was ich Ihnen hier vorgestellt habe, ist sozusagen nicht die Meinung der Landtagspräsidentenkonferenz. Es gibt eine gemeinsame Stellungnahme der Parlamente, in denen Deutsch gesprochen wird, von Deutschland, Österreich, Südtirol und Belgien, die unverändert ist. Es gibt ein Terminangebot der Europäischen Kommission zu diesem Thema. Da geht es aber in erster Linie auch darum, eine klarstellende Ausnahme zu bekommen. Also damit ist die Vorfrage noch nicht beantwortet. Mich da also bitte nicht misszuverstehen!
Natürlich vertrete ich als Landtagsdirektor den Inhalt dieser gemeinsamen Stellungnahme. Ich darf im Übrigen nur darauf verweisen, dass das Land Hessen eine sehr ausführliche Darstellung seiner Position geliefert hat. Diese kann ich auch gern zur Verfügung stellen, beziehungsweise ist sie auch im Internet abrufbar.
Was dieses Kompetenzzentrum anlagt: Na ja, ich glaube, man braucht nicht allzu weit zu schauen. Vielleicht kann man die deutsche Kollegin noch einmal fragen; einen Datenschutzbeauftragten plus, also sozusagen ergänzt, Sarah König ergänzt um weitere Ressourcen und ergänzt eben auch um diese aufsichtsbehördliche Funktion, die diese Qualifikation natürlich im Sinn von Unabhängigkeit haben muss. Der Bestellungsvorgang wird dann halt ein anderer sein als jetzt, aber solche Beauftragte im weiteren Sinn kennen wir ja jetzt auch.
Gerlinde Wagner: Vielen Dank.
Es gibt noch Gelegenheit für eine kurze Frage. Bitte auch da um eine relativ kurze Antwort, weil wir mit der Zeit schon einigermaßen knapp sind.
Sarah König: Sarah König, Datenschutzbeauftragte der Parlamentsdirektion. Weil sich jetzt die Antwort auf die Fragen der beiden Panelisten anbietet: Zum einen wurde die Aufsichtsbehörde sozusagen mit der Bezeichnung Datenschutzbeauftragte des Parlaments vorgestellt; die Rolle ist ja schon definiert. Zum anderen habe ich jetzt so mitbekommen, ergänzt sozusagen um die Aufgaben einer Aufsichtsbehörde, das Kompetenzzentrum. Ich habe es auch ein bisschen anders bezüglich Deutschland verstanden, dass also dieses Kompetenzzentrum tatsächlich auch die Aufgaben des Datenschutzbeauftragten ausübt. Die Aufsichtsbehörde wäre meines Wissens davon zu unterscheiden und tatsächlich ein anderes Organ. Vielleicht kann man dazu noch kurz Stellung nehmen.
Gerhard Baumgartner: Also die Bezeichnung ist natürlich auch austauschbar. Sie war jedenfalls nicht im Sinne des Datenschutzbeauftragten im Sinne der DSGVO gemeint, sondern einfach als Bezeichnung für die im Parlament angesiedelte Aufsichtsbehörde beziehungsweise als die als Hilfsorgan der Gesetzgebung eingerichtete Aufsichtsbehörde. Man kann sie natürlich auch anders nennen. Das ist einfach nur eine Bezeichnung.
Gerlinde Wagner: Brennt noch jemandem ganz dringend eine Frage unter den Nägeln? Das will ich auf gar keinen Fall abwürgen.
Wenn dem nicht so ist, dann komme ich jetzt zum Schluss dieses Panel 3. Ich bedanke mich ganz herzlich bei den beiden Vortragenden für Ihre Statements, auch für die Diskussionsbeiträge.
Ich darf jetzt ohne Pause gleich zu Panel 4 überleiten, zu dem wohl politisch spannendsten Teil, weil wir Einblick in die Positionen der Parlamentsfraktionen betreffend „Datenschutz im Bereich der Gesetzgebung“ bekommen werden.
Ich gebe das Wort an Karl-Heinz Grundböck weiter.
Karl-Heinz Grundböck (Sprecher der Parlamentsdirektion): Gerlinde Wagner hat es schon erwähnt: Wir gehen jetzt ohne Pause weiter zu Panel 4, während hier kurz umgebaut wird. Wir haben im Panel 1 heute Vormittag einen Blick in Richtung europäische Perspektiven gewagt, waren dann im Panel 2 sehr stark auf die Frage des Rechtsschutzes fokussiert und haben jetzt im Panel 3 Lösungsperspektiven erörtert. Im Panel 4 wird es, wie Gerlinde Wagner schon erwähnt hat, darum gehen, zum aktuellen Diskussionsstand, den wir bis hierher erarbeitet haben, eben auch die Positionen der Parlamentsfraktionen zu erörtern. Dafür haben wir Vertreterinnen und Vertreter aller Fraktionen in der Diskussion.
Es gibt nur eine kleine Änderung im Programmablauf. Aus terminlichen Gründen wird der Präsident des Nationalrates, Wolfgang Sobotka, die Abschlussworte nicht nach Ende des Panels 4 sprechen können. Der Herr Präsident ist aber hier, wir freuen uns schon jetzt, vor dem Einstieg in dieses Panel, auf sein Statement. – Herr Präsident, bitte.
Abschlussworte
Wolfgang Sobotka (Präsident des Nationalrates): Meine sehr geehrten Damen und Herren! Werte Abgeordnete! Vor allem werte Experten, die Sie uns heute mit Ihrer Expertise das Blickfeld wesentlich erweitert haben! Ich darf mich zuerst bei Ihnen, Frau Mag. Wagner, für die Organisation bedanken. Das war wirklich beeindruckend. Ich habe das, was in Panel 1 und Panel 2 war, in Kurzfassung telefonisch mitbekommen, und ich werde das, was dann in Panel 4 diskutiert wird, schlussendlich auch im Bericht lesen, den wir dann zusammenfassend der Öffentlichkeit übermitteln wollen.
Dass das Thema Datenschutz ein ganz wichtiges für die Gesetzgebung ist, das ist praktisch fast in jeder Diskussion spürbar und letzten Endes auch in seinen Auswirkungen erfahrbar. Wir haben uns hier letzten Freitag mit Experten über Grundrechte ausgetauscht. Ich halte es in der Folge für ganz entscheidend, dass wir uns in der Frage dieses Grundrechtsschutzes hier auch mit dem Datenschutz insgesamt auseinandersetzen müssen, insbesondere weil wir auch ein EuGH-Urteil dazu erwarten.
Ich will der Diskussion und den Stellungnahmen der einzelnen Parlamentsparteien natürlich nicht vorgreifen, aber eines ist meiner Meinung jetzt in den letzten zwei Referaten sehr klar geworden: Ich habe zuerst eigentlich erwartet, dass wir noch offen diskutieren, welche Möglichkeiten es gibt, ob wir zuständig sind oder nicht. In der Erklärung, wie Sie es dargestellt haben, ist die Frage nicht mehr, ob, sondern nur, welche Form wir wählen, uns damit auseinanderzusetzen.
Wir werden uns von der Administration her auch so weit vorbereiten, dass wir die Vorbereitungsarbeiten in alle Richtungen setzen können, denn es ist, glaube ich, notwendig, dass wir dann, wenn es eine gerichtliche Entscheidung gibt, auch sehr schnell mit der Umsetzung beginnen.
Zur Skizzierung, die Prof. Staudinger gebracht hat: Dass es ein Ausschuss sein könnte oder ein von Politikern gebildetes Organ wie die Präsidiale, das halte ich nicht für zielführend und wird wahrscheinlich auch nicht die Unterstützung in der Breite bekommen. Ich glaube, dann, wenn es diese Notwendigkeit gibt, wird man wohl eine Behördenfunktion in dieser Form andenken müssen und Instanzenzüge, wie sie auch immer gestaltet sind, sollten auch den anderen nachgebildet werden.
Ich freue mich jedenfalls, dass sich die Parlamentsparteien, die Klubs, ganz intensiv mit dieser Situation auseinandersetzen und damit auch zeigen, wie notwendig es ist, dass wir die nächsten Schritte gemeinsam setzen, denn Grundrechte zu gewährleisten und das, was aus dem europäischen Recht für uns auch ableitbar, umsetzbar und umsetzungsnotwendig ist, glaube ich, sollten wir hier letzten Endes in großer Gemeinsamkeit tun.
In diesem Sinne darf ich mich entschuldigen, wenn ich die Veranstaltung vorzeitig verlasse. Ich werde am Gedenkgottesdienst für die Opfer des Krieges in der Ukraine teilnehmen; daher bitte ich aufgrund dieses aktuellen Anlasses, meine Abwesenheit dann zu entschuldigen.
Panel 4: Positionen der Parlamentsklubs
Karl-Heinz Grundböck: Vielen Dank, Herr Präsident.
Ich darf jetzt den Bereichssprecher für Verfassung der ÖVP, Wolfgang Gerstl, den Vertreter der SPÖ, Sascha Obrecht, die Bereichssprecherin für Verfassungsrecht der Freiheitlichen Partei, Susanne Fürst, die Bereichssprecherin für Verfassung der Grünen, Agnes Sirkka Prammer, und den Bereichssprecher für Verfassungsrecht und Datenschutz der NEOS, Nikolaus Scherak, auf die Bühne bitten.
Herr Abgeordneter Gerstl, ich darf mit Ihnen beginnen. Wir sind jetzt schon sehr weit in der Frage von Lösungsperspektiven in dieser Diskussion. Ich würde aber gerne noch einmal auf die Grundsatzfrage zurückkommen, die auch im Beitrag von Prof. Baumgartner einleitend gestellt wurde, nämlich diese Frage der Anwendbarkeit der DSGVO an sich im Bereich der Gesetzgebung. Wie ist dazu die Position von Ihrer Seite?
Wolfgang Gerstl (Abgeordneter zum Nationalrat, Bereichssprecher für Verfassung, ÖVP): Vielen Dank für die Einladung. Danke auch für die Frage, auf die ich ein bisschen später eingehen werde. Herr Präsident! Frau Präsidentin! Herr Professor! Alle Ehrengäste hier und Interessierte! Ich glaube, dass es wichtig ist, bevor man da konkret einsteigt, sich einmal bewusst zu werden, wo wir stehen, und ich kann an Tagen wie diesen nicht einfach meine Schlüsse ziehen, ohne auf dieses Thema einzugehen.
Mir ist heute bewusst geworden, dass ich vor zweieinhalb Jahren im Rahmen der österreichisch-ukrainischen parlamentarischen Freundschaftsgruppe in Odessa war. Heute steht Odessa vor dem Fall. Ich habe dort Parlamentarier kennengelernt, die nur eines im Kopf gehabt haben, nämlich für Freiheit und Sicherheit da zu sein, und das hat Hoffnung gemacht, dass sich alles zum Guten wenden wird und dass die Ukraine eine gute Entwicklung nehmen wird.
Heute stehen wir vor der Situation, in der andere Kollegen von uns, nämlich die Kollegen in der russischen Duma, dem Präsidenten eine Ermächtigung gegeben haben, in ein fremdes Land zu gehen und Krieg zu führen. Daher möchte ich an dieser Stelle sagen, wir müssen auch einen Aufruf an unsere Kollegen in der Duma machen, denn sie tragen Mitverantwortung für das, was da geschieht, und sie haben es in der Hand, die Genehmigung und die Ermächtigung, die sie dem Präsidenten gegeben haben, diesem wieder zu entziehen. Das ist meine erste Vorbemerkung.
Meine zweite Vorbemerkung, weil heute Nachmittag die Verhaftung eines ehemaligen Regierungsmitglieds bekannt geworden ist: Ich kenne die Person seit einiger Zeit nur im Rahmen ihrer politischen Tätigkeit, aber es reiht sich in eine Reihe von Vorkommnissen ein, die wir in den letzten Jahren gehabt haben, die dazu führen, dass man nicht mehr weiß, in wen man Vertrauen als Person und in welche Institution man Vertrauen haben kann. Es gibt da eine gewisse Unsicherheit, man weiß nicht mehr, wem man wie vertrauen kann.
Und damit bin ich jetzt beim Thema, nämlich beim Vertrauen. 2018, als es darum gegangen ist, ob man die Datenschutz-Grundverordnung für das Parlament anwendbar machen soll, war es für uns eigentlich klar, dass wir uns in unserer Kontrolltätigkeit gegenüber der Exekutive und in unserer Kontrolltätigkeit im Rahmen des Interpellationsrechtes eigentlich nicht vorschreiben lassen wollen, wie wir hier vorgehen dürfen, und haben das eigentlich als Einschränkung der politischen Möglichkeiten im Sinne der Menschen gesehen.
Wir haben auch gedacht, dass wir uns von Brüssel nicht vorschreiben lassen wollen, was wir im österreichischen Parlament tun. Es sind aber seitdem dreieinhalb Jahre vergangen, und wir haben feststellen müssen, dass im parlamentarischen Betrieb und bei vielen Menschen sowohl innerhalb des Parlaments als auch außerhalb des Parlaments Rechtsschutzdefizite klar zutage getreten sind. Wegen dieses Anlassfalles, wo jemand versucht hat, seine Daten zu sichern und auch einen Rechtsschutz gegenüber dem Parlament zu haben, diskutieren wir hier heute auch. Wir haben Fälle gehabt, wo Parlamentarier Dinge, die nicht öffentlich gemacht werden dürfen, im Rahmen einer parlamentarischen Anfrage öffentlich gemacht haben. Wo bleibt da der Schutz des Einzelnen?
Daher möchte ich in meiner Stellungnahme anmerken, dass es mir wichtig ist, dass jede Person in Österreich eigentlich denselben Rechtsschutz genießt und, völlig unabhängig, wer diese Rechtsschutzverletzung macht, auch eine Möglichkeit haben muss, einen Instanzenzug zu gehen. Denn: Warum bin ich geschützt bei jeder Bezirksverwaltungsbehörde? Warum bin ich geschützt bei jedem Ministerium, bei der Polizei? Überall habe ich ein Recht auf Datenschutz und kann es auch durchsetzen – aber in der Politik nicht.
Daher glaube ich, dass wir hier einen Nachholbedarf haben. Der Weg dazu wird uns wahrscheinlich in einer gewissen Form vorgegeben, nachdem der Europäische Gerichtshof entschieden hat, und ich sage das mit sehr viel Herzblut: Schauen wir, ob wir eine eigene Datenschutzeinrichtung, Datenschutzbehörde auch im Rahmen des Parlaments einrichten können!
Ich halte es, so wie der Herr Präsident gesagt hat, nicht für zielführend, ein parlamentarisches Organ als erste Instanz damit zu beauftragen. Dafür habe ich viel zu oft Kolleginnen und Kollegen kennengelernt, die rein parteipolitisch in solchen Organen agieren, und halte es alleine schon aus diesem Grund nicht im Interesse des Rechtsschutzes, den der einzelne Betroffene haben kann.
Ich möchte vielleicht noch einen Gedanken einbringen zu dem, was Prof. Baumgartner schon eingebracht hat. Mir ist dazu auch das Rechtsschutzinstrument des Rechtsschutzbeauftragten eingefallen, den wir im Innenministerium, im Justizministerium, im Verteidigungsministerium haben, der teilweise als Senat agiert, teilweise monokratisch und unabhängig agiert, der verfassungsrechtlich weisungsfrei eingesetzt ist. Ich gebe das einfach als Überlegung mit, sich dieses Instrument vielleicht auch anzusehen, ob das nicht auch Teil einer Rechtsschutzbehörde innerhalb des Parlaments sein kann.
Ein Schlusswort dazu: Ich glaube, jeder Betroffene muss auch im Parlament das Recht darauf haben, dass seine Daten sicher sind, das Recht, dass hier mit seinen Daten sorgfältig umgegangen wird.
Karl-Heinz Grundböck: Vielen Dank! – Abgeordneter Gerstl hat hier ganz klar Handlungsbedarf formuliert und auch schon in Richtung einer möglichen weiteren Perspektive gedacht.
Herr Obrecht, wie sieht das die SPÖ?
Sascha Obrecht (Bundesrat, SPÖ): Zunächst einmal vielen Dank für die Abhaltung dieser Veranstaltung, werter Herr Präsident, sehr geehrte Damen und Herren, auch vor allem natürlich an Gerlinde Wagner und ihr Team für die Organisation und auch an die vielen Expertinnen und Experten, die heute gesprochen haben.
Mir geht es da ähnlich wie Andrea Jelinek am Anfang: Ich habe zwar eine Rede vorbereitet, aber vieles davon, was ich sagen wollte, wurde jetzt schon ausführlich und vermutlich auch wesentlich eloquenter und besser von Ihnen vorgebracht. Ich werde hier nicht den Fehler machen, hier ein Koreferat zu halten, sondern ich werde vor allem die Punkte aus Ihren Referaten herausgreifen, von denen ich finde, dass sie auch über diesen Tag hinausgehend noch eine starke Relevanz finden werden, auch in den Überlegungen, welche Maßnahmen in Zukunft notwendig sein werden.
Ich möchte vielleicht mit dem Referat von Brigitte Bierlein beginnen, die ganz klar aufgezeigt hat, wo überall momentan schon Rechtsschutzdefizite bestehen, und das gänzlich unabhängig davon, wie der EuGH in dieser Frage entscheiden wird. Das heißt, das ist irgendwo auch gleich eine Antwort an sie. Völlig unabhängig davon, wie das Vorabentscheidungsverfahren ausgeht, wir sehen jedenfalls Handlungsbedarf. Was meine ich ganz konkret damit?
Brigitte Bierlein hat ausgeführt, es gibt keine verfahrensrechtlichen Regelungen bei klassifizierten Akten, es fehlt der Rechtsschutz bei Anfragen, bei Untersuchungsausschussberichten gibt es einen mangelnden Rechtsschutz. Das sind Punkte, die aufgezeigt wurden und die von unserer Fraktion im Großen und Ganzen auch so gesehen werden.
Weiters zu den Vorträgen von Andrea Jelinek und Eckhard Riedl, zu denen ich einen zentralen Punkt anmerken will: Wir brauchen nicht unbedingt auf den EuGH zu warten, ob die Datenschutzbehörde die Behörde ist, die das überprüft, sondern man kann, wenn man will, als mutiger Gesetzgeber durchaus auch voranschreiten und selbst sagen, wie man das regeln will. Und da ist insbesondere auch das Referat von Gerhard Baumgartner eines, das ich sehr interessant fand, mit seinen zwei Vorschlägen betreffend Datenschutzbeauftragten und auch die Frage, ob man Artikel 138 B-VG erweitern und den VfGH stärker einbinden könnte.
Beim Datenschutzbeauftragten war mein erster Gedanke: Warum, in welcher Form ist die Unabhängigkeit dieser Person oder dieses Gremiums stärker gewahrt als die eines parlamentarischen Ausschusses, in dem alle Parteien vertreten sind? Das ist eine Frage, die man sich immer stellen kann, wenn Leute innerhalb eines parlamentarischen Prozesses gewählt werden, aber dennoch, da, finde ich, muss man einen Mechanismus finden, der gewährleistet, dass die Opposition bei der Bestellung einer bestimmten Person nicht praktisch überstimmt wird. Das ist eine Frage, die wir uns generell immer stellen müssen, vor allem auch, wenn es um Persönlichkeitsrechte und Datenschutz geht. Das heißt, den Vorschlag fand ich sehr interessant, den kann und muss man auch weiterdenken, allerdings bleibt bei mir die Frage der Unabhängigkeit, wie man das gewährleisten kann, bestehen.
Eine Sache, die ich noch aufgreifen wollte, war die Frage, die Sarah König in ihrem Referat aufgeworfen hat. Sie hat nämlich gemeint, bei der Gesetzgebung gebe es mehrere Verantwortliche für den Datenschutz und nicht nur eine Person. Das ist absolut korrekt, ja, das betrifft dann zum Beispiel auch den einzelnen Parlamentarier, die einzelne Parlamentarierin. Da ist in meinen Augen eines der größten Spannungsverhältnisse zu sehen, an die man mit extremem Fingerspitzengefühl herangehen muss. Sarah König hat zum Beispiel als Abschlussausblick gesagt, es brauche „Schranken für die Datenverarbeitung und [...] Freiheiten“, die bleiben müssen. Das fand ich sehr schön, deswegen habe ich es notiert.
Die Freiheiten, die bleiben müssen – insbesondere deswegen, weil eines der wichtigsten Werkzeuge der Opposition in einer Demokratie das Interpellationsrecht, die Kontrolle der Exekutive ist. Und wenn es hier eine Art von Vorzensur durch eine andere Behörde gibt, die sagt, das darf abgefragt werden, das darf nicht abgefragt werden, und wenn dieser Eingriff zu stark ausgeformt wird, sehe ich eine Überschreitung dessen, was man eigentlich erreichen will.
Also da, meine ich, muss man aufpassen, aber auch hier, glaube ich, kann beziehungsweise muss man wohl auch dann, wenn der EuGH entscheiden würde, dass die DSGVO gilt, aktiv werden und sich überlegen, welche Relevanz das für Parlamentarier in deren täglichem Arbeiten haben wird.
Und ein Letztes noch – das fand ich auch persönlich sehr schön von Bettina Giesecke –: Sie hat gemeint, dass bei Beamten im höheren Dienst praktisch die Interessenabwägung immer zu deren Lasten ausgehen wird, also in einem Untersuchungsausschussbericht deren Name einfach drinnen stehen wird.
Irgendeine Art von Grenzziehung bei solchen Abwägungen halte ich tatsächlich auch für sinnvoll, diese scheint mir ganz gut. Das kann man sich von Deutschland abschauen, denke ich. Was ich nicht so gern hätte – auch wo ich als Vertreter des Bundesrats hier bin –, ist, dass wir mit Landesdatenschutzbehörden beginnen würden. Ich glaube, das wäre kontraproduktiv. Das trifft jetzt nicht so meine Meinung, aber ich glaube, das würde es zusätzlich kompliziert machen.
Das war also mein Eingangsstatement, und ich freue mich schon auf eine angeregte Diskussion.
Karl-Heinz Grundböck: Vielen Dank. – Frau Abgeordnete Fürst, Sie sind heute ja auf unterschiedlichen Ebenen mit dieser Thematik befasst, nämlich einerseits auf dieser grundsätzlichen Ebene hier im Dachgeschoss, andererseits sind Sie heute auch im Erdgeschoss im Untersuchungsausschuss tätig. Sie haben deswegen schon signalisiert, dass Ihr Zeitrahmen ein wenig beschränkt ist und Sie vielleicht auch früher wegmüssen. Ich darf Sie, solange Sie noch hier sein können, um eine Reaktion auf das bisher Gesagte bitten.
Susanne Fürst (Abgeordnete zum Nationalrat, Bereichssprecherin für Verfassung, FPÖ): Danke schön! Sehr geehrte Damen und Herren! Ich muss nur gleich sagen, ich kann leider nicht konkret auf die Aussagen der Experten hier Bezug nehmen, weil ich sie eben versäumt habe, ich kann diese daher nicht so wie Sie, Herr Kollege, gleich aufgreifen.
Ich habe jetzt den Worten von Nationalpräsident Sobotka entnommen, dass Sie offensichtlich einhellig der Meinung waren, dass es betreffend Veränderungen, betreffend verstärkten Schutz, betreffend eine Behörde hier und verstärkten Rechtsschutz nicht mehr um ein Ob geht, sondern nur mehr um das Wie. Das heißt also, dem Bedarf, den Sie hier sehen, beuge ich mich mit einem Vertrauensvorschuss; ich sehe dann mit Spannung auch dem Bericht hier über diese Tagung entgegen.
Grundsätzlich kann ich dazu nur einmal sagen, dass ich glaube, dass uns allen dieses Grundrecht wichtig ist – das Grundrecht, das ja auch im Bereich der Legislative und im Parlamentsbetrieb natürlich Anwendung findet; nicht die Datenschutzgrundverordnung und der Rest des Datenschutzgesetzes, aber das Grundrecht –, und ich glaube, wir alle habe in den letzten Monaten hier Entwicklungen mit massiven Datenschutzverletzungen gesehen, die wir alle nicht haben wollen – das heißt: grundsätzlich auf jeden Fall umfassende Wahrung der datenschutzrechtlichen Betroffenenrechte auch in der Gesetzgebung. Es gibt offensichtlich Defizite, an denen wir arbeiten müssen und bezüglich derer wir kreativ sein müssen.
Sie haben, glaube ich, Bezug genommen auf die Gesetzesmaterialien zum Datenschutzgesetz, weil Sie eben von 2018 gesprochen haben. Da ist ja noch die Rede davon, dass die Datenschutzgrundverordnung in Österreich nicht unmittelbar anwendbar sein soll, dass das auch eine mitgliedschaftliche Materie ist, die wir hier in Österreich allein regeln sollen. Das heißt, bin ich einmal vorsichtig noch bei diesem Standpunkt, lasse mich aber auch eines Besseren belehren.
Und man muss dann sozusagen einen Weg finden, wie man es wirklich schafft, das Grundrecht besser abzusichern und Missstände, wie wir sie jetzt in letzter Zeit ja tatsächlich gesehen haben, abzuschaffen, und auch dass es andererseits – weil, Sie haben es angesprochen, wir da auch im freien Mandat, in der parlamentarischen Tätigkeit, die natürlich auch abgesichert werden muss, drinnen sind – da zu keiner Verschiebung in der fragilen Balance zwischen Exekutive und Legislative kommt.
Ich bin gespannt auf die Anregungen, die von dieser Tagung hier kommen, wenn ich sie dann nachlesen kann. Danke zunächst einmal.
Karl-Heinz Grundböck: Vielen Dank. – Frau Abgeordnete Prammer, die Grünen waren ja als einzige jener Fraktionen, die hier heute teilnehmen, damals, 2018, als dieser Gesetzesbeschluss getroffen wurde, nicht im Nationalrat vertreten. Wie sehen Sie diese Frage nach Handlungsbedarf und weiteren Perspektiven?
Agnes Sirkka Prammer (Abgeordnete zum Nationalrat, Bereichssprecherin für Verfassung, Grüne): Ja, genau! Herzlichen Dank auch von meiner Seite für die Einladung. Ich bin in dieser Runde tatsächlich die Einzige, die nicht schon präjudiziert ist durch diese Ausschussfeststellungen – und in dem Fall aus diesem Grund auch gar nicht beleidigt, weil es für mich deshalb nicht notwendig ist, hier irgendwie zu versuchen, eine Kehrtwendung hinzulegen.
Ich sehe es so, dass tatsächlich hier, wie es schon mehrmals gefallen ist, heute nicht das Ob die Frage ist, nämlich ob die DSGVO anwendbar ist, sondern wirklich, wie wir es unter den Gegebenheiten, die im Gesetzgebungsprozess, im Gesetzgebungsverfahren vorliegen, aber auch bei den Rechten, die Mandatarinnen und Mandatare aufgrund ihres Mandats haben, schaffen, in diesem Spannungsverhältnis die DSGVO-Bestimmungen rechtmäßig oder richtig umzusetzen.
Ich glaube tatsächlich auch, dass es notwendig sein wird, dass wir hier eigene Regelungen schaffen, und zwar wird es wirklich wichtig sein, denke ich, dass wir alle Gegebenheiten berücksichtigen, die sich aus dem parlamentarischen Prozess und den parlamentarischen Rechten ergeben. Es müssen insbesondere – es ist hier schon mehrmals gefallen, aus meiner Sicht ist der Bereich Untersuchungsausschuss immer der Extremfall, aber das ist grundsätzlich nicht das tägliche Brot oder die tägliche Arbeit – Regelungen sein, die zwar auch dafür das richtige Instrumentarium bieten – für diesen aus meiner Sicht Extremfall, bei dem sehr viel mit sehr sensiblen Daten gearbeitet wird –, aber es muss vor allem etwas sein, wir brauchen Regelungen, die für unsere täglichen Arbeit – und da sehe ich insbesondere auch das Interpellationsrecht quasi als einen Gradmesser – wirklich geeignet und handhabbar sind und einen guten Wegweiser bilden.
Also ich denke, man wird sich wirklich die Frage stellen müssen, wie man hier die Unterscheidung macht, denn man hätte ja auch die Möglichkeit – ich weiß nicht, wer von den Vortragenden es gesagt hat –, unter spezifischer Nennung von geschützten Daten die Behörde direkt zu fragen, direkt beim Ministerium anzufragen. Ja, natürlich hat man die Möglichkeit, aber das ist ja nicht das Interesse einer parlamentarischen Anfrage – der Informationsgewinn allein ist es ja nicht. Und das ist natürlich schon auch ein Bereich, dem man irgendwie entgegentreten muss, deshalb, denke ich, wird man hier eine Unterscheidung treffen müssen zwischen dem Inhalt einer Anfrage und der Veröffentlichung des Ergebnisses oder der Anfrage und der Beantwortung.
Ich glaube, hier wird man Regelungen finden müssen, wie man da zu einer Lösung kommt, die einerseits den Informationszweck erfüllt und das Interpellationsrecht nicht aushöhlt, andererseits aber auch die zu schützenden persönlichen Daten nicht an die Öffentlichkeit trägt. Wenn wir uns bemühen, hier eine Regelung zu schaffen, wird das aus meiner Sicht der Gradmesser sein, an dem man sieht, ob das eine kluge, durchdachte, anwendbare Regelung ist oder nicht.
Natürlich wird auch die Kontrollbehörde ein wesentlicher Punkt sein. Aus meiner Sicht spricht vor allem angesichts der Vorträge, die wir heute gehört haben, sehr viel dafür, zu versuchen, hier eine eigene, ich nenne es jetzt einmal nicht Behörde, sondern Instanz zu schaffen.
Es wird aber, wie gesagt, schon auch sehr viel Verhandlungsarbeit erfordern, damit man da zu einer Regelung kommt, die einerseits der DSGVO entspricht, nämlich im Hinblick auf die Expertise, die dort vorhanden sein muss, und andererseits auch den Gegebenheiten, die wir hier im parlamentarischen Prozess haben. Also ich glaube, das wird der zweite Knackpunkt werden.
Karl-Heinz Grundböck: Vielen Dank. – Herr Abgeordneter Scherak, Ihre Vorrednerin hat von einer Kehrtwendung gesprochen. Braucht es Ihrer Ansicht nach eine Kehrtwendung oder gibt es nächste logische Schritte?
Nikolaus Scherak (Abgeordneter zum Nationalrat, Bereichssprecher für Verfassung und Datenschutz, NEOS): Also zunächst einmal vielen Dank für die Einladung! Ich habe leider auch fast gar nichts der Referate gehört, weil ich anderweitig beschäftigt war, und freue mich umso mehr, das Gesagte nachher lesen zu können, weil ich glaube, es gibt in vielen Bereichen – und gerade in dem Bereich – weitaus wissendere Menschen als mich, die gute und praktische Lösungen vorschlagen.
Ich würde ehrlich gesagt nicht von einer Kehrtwende ausgehen. – Also ja, ich habe jetzt mitbekommen, dass die Frage nicht mehr das Ob ist, sondern das Wie. Ich könnte mich darauf zurückziehen und auf das referenzieren, was Kollege Gerstl gesagt hat, nämlich dass wir als Parlament eine sehr bewusste Entscheidung gefällt haben. Jetzt ist mir schon klar: Wenn das auf europäischer Ebene anders gesehen wird, dann müssten wir es auf europäischer Ebene entsprechend anpassen – und die Wahrscheinlichkeit, die DSGVO entsprechend zu ändern, wird zumindest eine Zeit lang dauern und wir müssen bis dahin eine Lösung finden –, aber ich glaube schon, dass wir als Parlament insofern in einer Sondersituation und dementsprechend nicht vergleichbar sind, weil – eh das, was alle Vorredner schon angesprochen haben – insbesondere die Kontrollfunktion der Opposition ja nicht in irgendeiner Art und Weise durch die Frage der Anwendbarkeit der DSGVO eingeschränkt werden darf. So wichtig Datenschutz ist – das ist ja total unbestritten! –, aber wir sind ja nicht irgendwer. Das sage ich auch sehr bewusst, weil das, glaube ich, in der Frage sehr essenziell ist. Insofern würde ich mich nicht zu rasch darauf festlegen lassen, dass, selbst wenn der EuGH so entscheidet, wir das einfach so hinnehmen – aber wie gesagt, das ist eine politische Frage, wie man es weiterentwickelt.
Wo es jedenfalls Problematiken und Notwendigkeiten gibt, und das ist ja die Anlassfrage, das ist im Bereich des Untersuchungsausschusses: ob dort die Regelungen, die wir jetzt gefällt haben, nämlich dass man sich an den Verfassungsgerichtshof wenden kann, ausreichend und schnell genug sind. – Also meine Fraktion war ja selbst mit so einer Frage befasst, und die Antwort des Verfassungsgerichtshofs war sehr eindeutig. Ob sie im Sinne des Rechtsschutzes der Betroffenen zufriedenstellend ist, würde ich jetzt auch nicht zu 100 Prozent unterschreiben, aber es ist einmal die Rechtslage, die so ist.
Wo zweifelsohne dann noch intensiver zu diskutieren ist, ist selbstverständlich bei der Frage, wenn man über die Öffentlichkeit von Untersuchungsausschüssen redet, weil es dort ja dann nur darum gehen kann, dass wenn, dann überhaupt nur Menschen, die sowieso schon Personen des öffentlichen Interesses sind, dieser Öffentlichkeit ausgesetzt werden. Aber dort ist es jedenfalls klar.
Vielleicht ein Schlussgedanke noch – weil die Frage aufgeworfen wurde, welche Stelle das dann machen sollte –: Also ich würde Kollegen Gerstl da insofern Recht geben, als dass ich es jetzt auch nicht innerparlamentarisch ansiedeln würde, insbesondere nicht im Sinne eines Ausschusses oder irgendetwas dergleichen. Grundsätzlich ist es gescheiter, sowohl rechtlich als auch politisch, das in dem Fall von den Politikern wegzuhalten, das jedenfalls. Ich finde, dass wir es teilweise nicht einmal – aus meiner Sicht zumindest – schaffen, selbstbewusst genug in Fragen der Immunität aufzutreten, und ob wir es dann schaffen, in dem Zusammenhang so aufzutreten, wie es vielleicht notwendig wäre, wage ich auch zu bezweifeln.
Und am Schluss vor allem – und das ist ja die große Schwierigkeit, die man immer diskutieren muss –: Selbst wenn es Ausnahmeregelungen für das Parlament gibt, dann sind die natürlich auch nach außen hin extrem schwierig darzustellen, weil bei der gemeinen Bevölkerung, und das sage ich gar nicht bösartig oder abwertend, natürlich oft das Verständnis fehlt, wieso denn das so ist. – Also ich habe sehr, sehr viele Diskussionen im Zusammenhang mit der Frage des Tragens von Masken im Parlament führen müssen. Jetzt bin ich auch der Meinung, dass wir uns hier an die Hausordnung halten sollten, aber wieso man nicht ahnden kann, wenn man es nicht macht, ist etwas, was schon mühsam zu erzählen und zu erklären ist, und im gleichen Zusammenhang würde ich jetzt dann auch die Situation sehen, wenn für uns als Parlament im Zusammenhang mit der DSGVO andere Regelungen gelten würden als sonst.
Also es ist einigermaßen komplex, und ich freue mich umso mehr, später die vielen intelligenten Vorschläge lesen zu können, um mir dann hoffentlich eine abschließende Meinung zu bilden, wiewohl uns höchstwahrscheinlich ohnehin zumindest vorgegeben wird, dass wir etwas tun müssen – was genau wir dann tun, ist die Frage.
Karl-Heinz Grundböck: Vielen Dank. – Sie haben den Untersuchungsausschuss erwähnt. Das ist leider auch – wie angekündigt – ein Stichwort für Frau Abgeordnete Fürst. Ich habe ein Signal bekommen, dass Sie schon wieder zurück in den Untersuchungsausschuss müssen. Trotzdem vielen Dank, dass Sie es einrichten konnten, wenn auch nur für diese kurze Zeit, hier bei dieser Diskussion dabei zu sein. – Vielen Dank.
Herr Abgeordneter Gerstl hat fleißig mitgeschrieben. – Ich habe den Eindruck, es brennt Ihnen unter den Nägeln, hier zu reagieren.
Wolfgang Gerstl: Sie haben das ganz richtig erkannt: Ich möchte gerne auf ein paar Sachen eingehen, vielleicht sogar versuchen, fast eine kleine Summary zu machen.
Also ich glaube, wir alle sind uns einig, dass es in den letzten drei Jahren, seitdem die DSGVO in Kraft ist, auch hier einige Missstände gab, die wir alle gemeinsam abstellen wollen – das ist, wie ich glaube, ein gemeinsames Wollen.
Das Zweite, das wir, glaube ich, auch gemeinsam feststellen können, ist: Wir alle wollen unserer Kontrolltätigkeit gegenüber der Regierung entsprechend nachkommen können, das darf nicht eingeschränkt werden.
In dem Sinn, so meine ich, ist das schon einmal ein sehr wichtiger Konsens, den wir da haben. Jetzt geht es nur mehr um die Ausgestaltung, in welcher Form das sein kann.
So gern ich mit Niki Scherak diskutiere, du auch immer sehr viel Richtiges sagst und ich mich dabei sehr wohl fühle, aber bei einem Satz hat es mich schon gerissen, nämlich als du gesagt hast, „wir sind ja nicht irgendwer“. Ich sage aber: Wir sind auch nichts Besonderes. Wir sind genauso wie alle anderen in Institutionen und haben auch genauso das Rechtsschutzinteresse des Betroffen zu wahren. Du hast ja dann auch genauso fortgesetzt, glaube ich, wo mein Herz schlägt: Nach außen ist es sehr, sehr schwer vertretbar, warum jemand im Rahmen der Gesetzgebung betreffend seinen Datenschutz eine schlechtere Stellung haben soll als außerhalb der Gesetzgebung. Da muss man wahrscheinlich immer wieder besonders aufpassen.
Ich glaube, dass es durchaus auch bei Parlamentarischen Anfragen Regelungen geben kann, dass man seiner Kontrolltätigkeit nachkommen kann, dass dabei aber nicht jeder Name oder jeder einzelne Steuerakt automatisch für die gesamte Öffentlichkeit einsehbar sein muss – es soll schon vorgekommen sein, dass Parlamentarier im Rahmen einer Parlamentarischen Anfrage vielleicht auch Fragen betreffend Teile eines Steuerakts gestellt und die dann veröffentlicht haben, und da hat der Betroffene nicht gewusst, wie er sich wehren kann; er muss sich aber aus meiner Sicht selbstverständlich wehren können! –, dass er das aber trotzdem abfragen kann, ja. Da muss es vielleicht eine zweite Möglichkeit geben: Vielleicht denkt man darüber nach, dass etwas nur den Mandataren und nicht der gesamten Öffentlichkeit bekannt ist, sodass die Kontrolltätigkeit möglich ist.
Niki grinst schon, weil wir im Untersuchungsausschuss auch so etwas haben, dass man es nicht bekannt geben darf, aber alle arbeiten daran, dass es nur ja in der Geheimhaltungsstufe 1 ist, denn dann hat man als Mitglied des Untersuchungsausschusses keine strafrechtlichen Konsequenzen zu tragen, wenn man es dann trotzdem an die Öffentlichkeit bringt.
Jetzt bin ich aber vielleicht beim Kern der Sache. Es geht ja um Folgendes – um auch noch auf die Fachtagung vom letzten Freitag zurückzukommen –: Da hat Frau Prof. Pabel gesagt, die Verfahrensordnung gebe ja schon ganz viel her und man brauche sie vielleicht gar nicht zu ändern, es hänge nur an der Kultur von uns selber ab, wie wir das auslegen, wie wir das handhaben. – Das ist vielleicht auch ein ganz entscheidender Punkt: wie wir damit umgehen und ob wir im Grunde den Datenschutz genauso ernst nehmen, wie wir das vom Bürger erwarten.
Gehen wir da in dieselbe Richtung – dort möchte ich gerne hin –: Wir sind nichts Besseres und wir dürfen uns auch nicht mehr erlauben dürfen als andere – außer und nur dann, in dem Falle, wenn es für die Kontrolle der Exekutive entsprechend notwendig ist.
Karl-Heinz Grundböck: Das Spannungsverhältnis zwischen: Wir sind nicht irgendwer, und: Wir sind nichts Besonderes. – Herr Obrecht, Sie haben schon das Mikrofon in die Hand genommen.
Sascha Obrecht: Ja, weil es mich jetzt ein bisschen gerissen hat. Also wir sind nichts Besonderes als Organwalter – meine Freundin sieht das vielleicht anders, aber insgesamt stimme ich natürlich zu –, als Organ selbst natürlich schon. Ich bin Mitglied des Bundesrates, Sie sind Abgeordneter des Nationalrates: Als Organ erfüllen Sie für das Staatsgesamte natürlich eine irrsinnig wertvolle Arbeit, also das ist ja unbestritten, und demnach ist die Aufgabe, die wir in der Demokratie insgesamt in Österreich haben, auch eine durchaus andere, als praktisch ein normaler Bürger jetzt hätte.
Wir als Opposition, aber auch als normales Mitglied des Nationalrates einer Regierungspartei, sind da, um die Regierung bei ihrer Arbeit zu kontrollieren, und das geht schon mit einer anderen Abwägung von Öffentlichkeitsinteresse und Geheimhaltungsinteresse einher, das glaube ich schon.
Dass man bei Anfragen aufpassen muss, wie man die Daten von Menschen achtet, ist völlig unbestritten, aber die Rolle von Parlamentariern selbst – jetzt als Organ; nicht personenbezogen, sondern als Organ im Ganzen – würde ich jetzt nicht ganz so kleinreden, weil wir uns damit dann auch selbst abschaffen – verglichen mit anderen Staaten gibt es ohnehin schon ein sehr starkes Machtungleichgewicht zugunsten der Exekutive zwischen Exekutive und Legislative in Österreich –, also da glaube ich muss man einfach in der Abwägung aufpassen.
Was ich noch ganz spannend fand, das habe ich vorhin nicht erwähnt, und was ich noch einbringen wollte: Ich habe mit Bernardien van Leeuwen dann noch nach ihrem Referat geredet, und wir haben über die Frage gesprochen, wie es mit der Immunität von Abgeordneten und Parlamentariern ausschaut, weil wir dann einerseits sagen, die DSGVO gilt für die Gesetzgebung und Parlamentarier müssen sich auch daran halten – ja, schon –, andererseits gäbe es dann das Argument der Immunität: aber gestraft werden sie nicht dafür. Da beißt sich die Katze dann wirklich in den Schwanz. – Also da bin ich dabei: Dass das nicht so sein kann, da gehe ich auch mit.
Insgesamt habe ich dann aber auch gefragt, ob es in den Niederlanden ein faktisches Beispiel dafür gibt, dass ein Parlamentarier wirklich gestraft wurde: Das wiederum gab es nicht. Es sind schon einmal Mails an Parlamentarier weitergeleitet worden, aber dass wirklich entlang der DSGVO gegenüber Parlamentariern eine Sanktion ausgesprochen wurde, war noch nicht da. Ich weiß auch nicht, ob das passieren wird.
Karl-Heinz Grundböck: Vielen Dank. – Frau Abgeordnete Prammer.
Agnes Sirkka Prammer: Ich möchte da auch gleich anschließen, weil ich glaube, dass man sich schon vor Augen halten muss, dass nicht alles, was unangenehm ist, ein Missstand ist – und Kontrollrechte sind per se unangenehm für die, die kontrolliert werden, und deshalb umso wichtiger für diejenigen, die sie ausüben.
Ich glaube, wir dürfen uns selbst da auch nicht kleiner machen, als wir sind. Wir sind in diesem Zusammenhang schon etwas Besonderes: Nicht aufgrund unserer Person, also nicht als Person sind wir etwas Besonderes, aber aufgrund der Stellung, die wir haben, haben wir nun einmal diese Kontrollrechte und haben aus meiner Sicht auch die Verpflichtung, sie auch wahrzunehmen. Deshalb müssen sie auch so ausgestaltet sein, dass wir sie wahrnehmen können.
Das bedeutet aber – das war das, was ich eingangs gemeint habe – umgekehrt natürlich auch, dass wir die Verantwortung dafür haben, dass wir sie so ausüben, dass wir dadurch nicht vor allem die Persönlichkeitsrechte anderer verletzten. Deshalb ist es aus meiner Sicht sehr, sehr wichtig, dass wir hier eine Ausgestaltung finden, die genau diesem Spannungsverhältnis Rechnung trägt. Ich glaube, das wird tatsächlich der Punkt sein: dass wir Kontrollrechte ausüben können, ohne Grundrechte anderer zu verletzen.
Wie gesagt, aus meiner Sicht wird der Ansatzpunkt da wahrscheinlich schon bei der Öffentlichmachung der Ergebnisse sein, was aber nicht bedeuten darf, dass ich alle Ergebnisse, die ich aus Anfragen habe, für mich behalten muss, weil dann das Anfragerecht wiederum keinen Inhalt hätte, denn wozu mache ich eine Anfrage, wenn ich dann die Missstände, die ich dadurch aufdecke, nicht öffentlich machen oder nicht verwerten kann.
Das heißt, wie gesagt, aus meiner Sicht: Wenn wir uns dazu entschließen, hier eine gesetzliche Regelung zu machen, dann wird der Gradmesser, ob wir das ordentlich gemacht haben, der sein, ob wir es schaffen, die Abbildung dieses Spannungsverhältnisses zwischen Kontrollrechten und vor allem Grundrechtsschutz richtig erwischen. Ich glaube, das wird es wirklich sein.
Karl-Heinz Grundböck: Nachdem die Kontrollrechte angesprochen sind – Untersuchungsausschuss, Interpellationsrecht –, die natürlich auch sehr starke Oppositionsrechte sind, Herr Abgeordneter Scherak, wie sehen Sie diese Frage?
Nikolaus Scherak: Ja, das Spannungsverhältnis ist enorm! Wie von Kollegen Gerstl oder wie vorhin auch schon von anderen angesprochen wurde: Die große Frage ist auch ein bisschen, wie man kulturell damit umgeht, weil wir das rechtlich wahrscheinlich nie abschließend werden klären können, selbst wenn man es probiert. – Also ja, wir haben die Geheimhaltungsstufen, aber ob man sich dann daran hält, ist wieder eine andere Frage, und ob es entsprechende Sanktionen gibt, ist wiederum eine andere Frage.
Wie ist es mit der Interpellation? Bekommen wir als Abgeordnete all die Informationen, die wir haben dürften? – Oft wohl auch nicht, und es gibt dann Auseinandersetzungen mit Ministerien, weil wir die – zumindest aus unserer Sicht – uns zustehenden Informationen nicht bekommen.
Eine große Frage ist, was ist dann das Spannungsverhältnis mit der Interpellation, wenn ein Informationsfreiheitsgesetz kommt?
Das ist im Ergebnis schwierig aufzulösen, und es ist nachvollziehbar, dass das Interesse da ist, dass die zu Recht bestehenden Datenschutzinteressen jedes Einzelnen natürlich auch von der Gesetzgebung gewahrt werden, die Frage ist, wie man das so lösen kann, dass am Schluss der einzelne Abgeordnete seiner Kontrollarbeit nachgehen kann.
Also ich habe kein Patentrezept dafür; wenn es jemand hat: Nur her damit! – Aber vielleicht ist es eh schon gesagt worden, bevor ich gekommen bin, dann freue ich mich, wie schon gesagt, darauf, es zu lesen.
Gerade im Zusammenhang mit dem Untersuchungsausschuss gibt es natürlich ganz massive Interessen der Öffentlichkeit, Dinge zu erfahren, die auch in die persönliche, fast in die Privatsphäre hineingehen, weil sie sich dort abspielen, und man kann am Schluss lang und breit darüber diskutieren, welches Interesse überwiegt – also ich habe meine Dissertation zur Frage Meinungsfreiheit versus Privatsphäre geschrieben. Wir könnten stundenlang darüber diskutieren, ob dann am Schluss das öffentliche Interesse überwiegt oder eben nicht.
Es gibt eine sehr ausführliche Judikatur, aber auch die hat sich über die Jahre immer wieder geändert oder zumindest angepasst, und was dann am Schluss im öffentlichen Interesse ist und was von der Privatsphäre zu schützen ist, ist insbesondere innereuropäisch dann auch wieder insofern ganz unterschiedlich, als es anders wahrgenommen wird. Selbst wenn wir die gleichen Höchstgerichte haben, aber davor werden die Fragen doch so unterschiedlich beantwortet.
Karl-Heinz Grundböck: Vielen Dank. – Bevor wir ins Publikum gehen, würde ich gerne noch eine ganz kurze Runde zu einer Frage, die im Panel 3 aufgeworfen worden ist, machen. Es ist nämlich, nachdem dieser Handlungsbedarf und die Frage der Anwendbarkeit glaube ich relativ durchgängig bejaht ist, die Frage zu beantworten, wie dieser Rechtsschutz organisiert sein kann.
Nachdem jetzt schon einige Perspektiven dazu erörtert worden sind – in Richtung parlamentarisches Gremium, in Richtung Präsident/Präsidentin, in Richtung parlamentarisches Organ – und auch andere Vorschläge gekommen sind, schlage ich eine ganz kurze Runde vor zur Frage: Welche Perspektiven kann es dazu geben? – Herr Abgeordneter Gerstl, bitte.
Wolfgang Gerstl: Bevor ich auf die Frage eingehe, möchte ich zu dieser Runde einmal Folgendes sagen: Am Ende des Tages müssen wir eine gemeinsame Linie finden, wo wir mehr hingehen – ich habe jetzt in den Stellungnahmen gespürt, da könnten die Unterschiede liegen –: Sind wir mehr bei unserer Kontrolltätigkeit oder sind wir mehr beim Rechtsschutz gegenüber dem Einzelnen? – Bei mir ist es glaube ich klar: Mein Herz schlägt für Zweiteres, mehr für den Rechtsschutz. Die Kontrolle, glaube ich, muss selbstverständlich gewährleistet sein, aber dass man da einen Weg findet. Also ich würde eher dort einen Kompromiss suchen, aber schauen wir einmal.
Zu dem, wie es da ausgestaltet sein soll – ich glaube, das habe ich schon in meinem Eingangsstatement gesagt –: Also ich glaube sehr, dass wir ein eigenes Organ schaffen sollten, aber natürlich möchte ich mir das Erkenntnis des EuGH anschauen. Davon hängt einmal ab, wie es dann weitergeht, aber ansonsten bin ich sehr für ein eigenes Organ, und ja, es muss unabhängig sein und wir brauchen eine Zweidrittelmehrheit dafür.
Ich kann dem, was Prof. Baumgartner gesagt hat, sehr viel abgewinnen, nämlich dass man denselben Instanzenzug hat wie außerhalb. Also daher, auch wenn es vielleicht gerade als Verfassungssprecher für mich sicherlich ein Spannungsverhältnis zwischen Exekutive und Legislative ist, wenn ich in zweiter Instanz das Bundesverwaltungsgericht dafür zuständig mache – ja, das gebe ich zu –, aber ich glaube auch, dass das wahrscheinlich das Geschicktere Vorgehen ist und auch im Grunde – zur Arbeitsbelastung des VfGH – nicht alles gleich an den VfGH bringt. Der stöhnt eh schon immer wieder.
Und der VfGH ist doch auch mehr ein – ich weiß nicht, ob ich das sagen darf; aber ja, das darf ich schon – politisches Gremium als ein Richter am Bundesverwaltungsgericht, also vielleicht ist das sozusagen auch noch einmal ein Punkt, der rechtfertigt, dass ich einen Einzelrichter dazwischenschalte.
Ja, das wäre so mein Zugang, aber ich schließe auch nicht aus, dass, je nach Erkenntnis des EuGH, die Datenschutzbehörde da vielleicht auch für uns in erster Instanz tätig sein kann. Das will ich jetzt nicht ausschließen, bevor ich das Urteil nicht kenne.
Karl-Heinz Grundböck: Vielen Dank. – Dann darf ich weitergeben.
Sascha Obrecht: Ich denke, ich habe es auch schon in meinem Eingangsstatement erwähnt, dass prinzipiell der Vorschlag mit einem eigenen Organ durchaus etwas ist, was man durchargumentieren und durchdenken kann, solange die Unabhängigkeit eines solchen Organs wirklich gewährleistet werden kann.
Das mit der Zweitdrittelmehrheit klingt schon einmal ganz gut, weil das natürlich in erhöhtem Maß Unabhängigkeit gewährleisten würde, und es würde auch dafür sorgen, dass in den meisten Konstellationen die Opposition ein Mitspracherecht hat – also, es ist ja nicht auszuschließen, dass eine Regierung irgendwann wieder einmal eine Zweidrittelmehrheit hat, aber momentan wäre es nicht so.
Interessant fand ich auch als Vorschlag, das kam ja aus dem Plenum, die Volksanwaltschaft – natürlich auch aus einer Rolle der Opposition heraus, weil die Volksanwaltschaft da ein bewährtes Instrument ist. Ob es sich in der Praxis dann wirklich als tauglich erweist, müsste man mit der Volksanwaltschaft selbst auch diskutieren – ich glaube, auch die haben oftmals Ressourcenengpässe.
Die Lösung über den Ausschuss selbst: Ja, das kann man ein bisschen kritischer sehen, da kann ich durchaus der Argumentation des Kollegen Scherak etwas abgewinnen, aber das eigenständige Organ ist halt nur wirklich dann besser, wenn es tatsächlich ein unabhängiges ist.
Karl-Heinz Grundböck: Vielen Dank. – Bitte.
Agnes Sirkka Prammer: Also grundsätzlich sehe ich das auch gar nicht so sehr als Notwendigkeit, sondern eher als Chance, wenn wir uns jetzt damit befassen, wie wir hier zu einer eigenen Art – ja, ich nenne es trotzdem – Behörde oder zu einer eigenen Stelle kommen könnten; quasi aus Notwendigkeit heraus, ja, aber einfach wirklich, um zu schauen, wie wir es am besten mit den Gegebenheiten, die wir hier als Gesetzgebung haben, schaffen, das zu vereinbaren. Deshalb glaube ich auch, dass sehr viel dafür spricht, dass wir da eine eigene Stelle schaffen, wie auch immer diese dann ausgestaltet werden soll.
Ich möchte nur noch einmal Folgendes richtigstellen: Ich sehe nicht den Rechtsschutz als das Problem. Rechtsschutz ist natürlich ein ganz wichtiger Punkt, aber Rechtsschutz ist nicht das Gegenstück zu den Kontrollrechten – Rechtsschutz ist notwendig bei den Kontrollrechten oder bei der Umsetzung –, sondern das Spannungsfeld ist ja Kontrollrecht gegen Beschränkung und Beschränkung ist nicht Rechtsschutz. Das möchte ich, bitte, ganz klar festhalten. Der Rechtsschutz ist natürlich ein sehr wichtiges Instrument, dient aber nicht der Beschränkung der Rechte.
Ein weiterer Punkt steht vor allem im Zusammenhang mit dem BVwG. Ich habe den Vorschlag heute zum ersten Mal gehört und habe mir das jetzt noch nicht durchüberlegt, was mir in diesem Zusammenhang noch wichtig ist. Ich bin auch noch aus der Generation, als es noch kein BVwG gab oder als es noch keine Verwaltungsgerichte gab, wir sollten uns aber, glaube ich, wirklich ganz deutlich im Kopf immer wieder sagen: Das sind Gerichte, das ist nicht die Exekutive! Also das mitzunehmen wäre, glaube ich, schon wichtig für uns. Wenn wir von einem Verwaltungsgericht reden, dann reden wir von der Gerichtsbarkeit, und natürlich sollte die Gerichtsbarkeit unser Vertrauen genießen, auch in einem nachprüfenden Rechtsschutz. Ob es jetzt tatsächlich das BVwG sein muss oder nicht, ob wir diese Instanz dazwischenschalten sollen oder nicht, wird wie gesagt dann auch Teil des Prozesses sein. Ich glaube aber, dass wir in diese Richtung gehen sollten, eine Stelle zu schaffen, und wenn wir die Stelle schaffen, dann brauchen wir dafür natürlich auch einen eigenen Rechtsschutzinstanzenzug. Das sollte der Arbeitsauftrag sein, den wir aus der heutigen Runde mitnehmen.
Karl-Heinz Grundböck: Vielen Dank. – Herr Dr. Scherak, eine direkte Reaktion?
Nikolaus Scherak: Ich könnte es mir jetzt einfach machen und sagen: Wir hängen das dem Herrn Präsidenten um, und er muss sich damit auseinandersetzen!, aber ich halte es weder für die Sache noch für ihn für wünschenswert, weil sich die politische Diskussion dann jedes Mal darum drehen würde, wie er entschieden hat.
Ich war damals bei den Verhandlungen im Zusammenhang mit den Untersuchungsausschussregelungen auch nicht sonderlich glücklich, dass man die Volksanwaltschaft in diese Fragen überhaupt miteinbezogen hat. Ich halte das bis zu einem gewissen Grad systemwidrig und vor allem für nicht sonderlich geschickt. Ich glaube – und auch, wenn ich weiß, dass alle, die am Verfassungsgerichtshof tätig sind, mit der immer größeren Arbeitsbelastung, die wir dem Verfassungsgerichtshof zumuten, nicht übertrieben glücklich sind –, dass es die beste Lösung wäre, dass all diese Dinge – wahrscheinlich sogar direkt – beim Verfassungsgerichtshof entschieden werden. Ich habe mehrmals Vorschläge dahin gehend gemacht, dass Organstreitverfahren innerhalb des Parlaments in der Frage der Anfragebeantwortungen direkt beim VfGH beantwortet werden sollten; in Deutschland ist das im Wesentlichen geübte Praxis. Ich glaube, dass der Verfassungsgerichtshof im Zusammenhang mit dem Untersuchungsausschuss seiner Rolle so großartig nachkommt wie sonst auch, und ich glaube, es ist das Gremium, das am überparteilichsten agieren kann und auch agiert und das sich am wenigsten einer Kritik aussetzen lassen muss. Dort wäre es wahrscheinlich am besten aufgehoben. Alles andere kann ich mir schwer vorstellen. – Die Volksanwaltschaft allein deshalb schon, weil die Volksanwaltschaft so nahe am Parlament ist, und das stelle ich mir in der Frage, wie sie entscheiden soll, dann schwierig vor. Und in der Frage, dass Verwaltungsgerichte darüber entscheiden sollen, wie Abgeordnete mit dem Datenschutz umgehen, wird mir zumindest ein bisschen unwohl. Am Verfassungsgerichtshof halte ich es aber für am besten angesiedelt.
Karl-Heinz Grundböck: Vielen Dank. Dann würde ich gerne die Perspektive ins Publikum richten. Gibt es Fragen, Anmerkungen, Reaktionen auf die bisherige Diskussion? Ich darf um ein Handzeichen bitten. – Bitte, Herr Steiner.
Wolfgang Steiner: Ja, nachdem ich mehr oder minder direkt angesprochen wurde, muss ich schon reagieren und sozusagen an die politische Runde einen politischen Appell richten, und zwar: tatsächlich nicht auf die Landtage zu vergessen! Ich halte es für ausgeschlossen, ein Organ, das man auf parlamentarischer – auf bundesparlamentarischer – Ebene ansiedelt, auch für die Landtage für zuständig zu erklären. Das halte ich für völlig ausgeschlossen, nicht nur organisatorisch, sondern auch arbeitstechnisch. Stellen Sie sich vor – und Sie können sich in Ihrem Landtag in Wien auch informieren –: Jetzt, um 17 Uhr ist die Deadline für die Anfragen, die bei uns im nächsten Plenum aufgerufen werden, und ich muss laufend checken, ob die sozusagen datenschutzkonform sind. – Von Oberösterreich aus ist das schon unmöglich, und jetzt stellen Sie sich vor, wenn das eine Stelle in Wien machen soll; also bitte!
Der zweite Aspekt, Volksanwaltschaft: Dazu darf ich jetzt auch politisch sozusagen anmerken: Ich halte das auch für die falsche Stelle. Auch hinsichtlich der Überlegungen, die jetzt im Zusammenhang mit der Whistleblowerrichtlinie angestellt werden, sollte man sich jedenfalls noch gut überlegen, ob da die Volksanwaltschaft wirklich die richtige Stelle ist.
Vielleicht kann man auch noch einmal überlegen, ob man diese beiden Stellen, also diese beiden Anforderungen, die diese beiden Richtlinien hier vorsehen, in irgendeiner Weise zusammenfasst. – Danke.
Karl-Heinz Grundböck: Vielen Dank. – Ich würde gerne weiter sammeln.
Sascha Obrecht: Darf ich noch ganz kurz replizieren – also wirklich nur zwei Sätze?
Karl-Heinz Grundböck: Eine ganz kurze Replik.
Sascha Obrecht: Mir ging es an und für sich um die Datenschutzbehörde. Wenn man einen Datenschutzbeauftragten als Organ im Parlament auf Bundesebene macht, dann würde es für die Landesparlamente auch Sinn machen. Mir ging es um Landesdatenschutzbehörden, und ich glaube – ich hoffe –, das habe ich auch gesagt. – Danke.
Karl-Heinz Grundböck: Weitere Wortmeldungen aus dem Publikum? – Sarah König.
Sarah König: Vielen Dank für die Stellungnahmen, sie sind, glaube ich, für die Parlamentsverwaltung tatsächlich von außerordentlicher Bedeutung. Ich wollte jetzt nur die Gelegenheit nutzen und Sie auch fragen, welchen Betreuungsbedarf, welchen Aufwand Sie sozusagen bei den Abgeordneten direkt, vielleicht auch bei den Klubs sehen, und ob Ihnen, denn es gibt, soweit ich weiß, in Ihren Klubs eigene Datenschutzbeauftragte, da aus den Verarbeitungen auch bekannt ist, inwieweit schon datenschutzrechtliche Anfragen kommen beziehungsweise inwieweit Sie da auch schon Vorschläge im Hinblick auf Verpflichtungen haben, die einzelnen Abgeordneten, die einzelnen Bundesräten dann obliegen würden. – Vielen Dank.
Karl-Heinz Grundböck: Danke schön. Gibt es weitere Wortmeldungen im Publikum? – Die sehe ich jetzt ad hoc nicht, also würde ich diese eine Frage gleich noch einmal direkt ans Podium zurückspielen und um Antwort bitten.
Agnes Sirkka Prammer: Vielleicht, um darauf direkt zu antworten: Ich verstehe das durchaus auch als Angebot, kann es aber selbst nicht beantworten. Ich denke, das wäre etwas, was ich an unsere Klubdirektion mitnehmen würde, mit dem Hinweis, sich bei Ihnen zu melden, um sich da abzustimmen. Ich kann mir nicht vorstellen, dass da gar kein Bedarf ist, aber bei mir ist noch nicht angekommen, dass dieser sehr groß wäre. Ich würde da einfach die direkte Verbindung herstellen.
Nikolaus Scherak: Also ich nehme das auch als Angebot wahr. Der Datenschutzbeauftragte bei uns im Parlamentsklub setzt sich, glaube ich, weniger mit der Frage auseinander, inwiefern Abgeordnete sich dahin gehend – insbesondere bei parlamentarischen Anfragen – an datenschutzrechtliche Aspekte halten und sich das überlegen, sondern eher damit, wie wir unsere Daten intern verarbeiten. Ich nehme es aber insofern gerne als Angebot wahr, weil es – ich glaube, fast alle unsere parlamentarischen Anfragen landen irgendwann einmal auf meinem Schreibtisch, und ich mache sehr oft auch darauf aufmerksam, dass gewisse datenschutzrechtliche Aspekte relevant sind – allein schon für mich persönlich weniger Belastung wäre. Ich werde das aber gerne auch im Klub noch einmal ansprechen. Ich glaube sicher, dass ein Bedürfnis und ein Bedarf da ist.
Karl-Heinz Grundböck: Gibt es dazu noch Antworten?
Sascha Obrecht: Ich nehme sie ebenso gerne in den Klub mit. Was es bei uns schon gibt, sind allgemeine Informationen an Mandatare, wie mit Daten – zum Beispiel mit E-Mail-Verteilern – umzugehen ist, auch im Sinne der DSGVO. Da gab es eine Sensibilisierung der eigenen Mandatare. Wenn es aber darüber hinaus gehend einen weiteren Austausch gibt, dann ist das natürlich eine sehr, sehr positive Sache. – Ich hoffe, das war eine ausreichende Antwort.
Wolfgang Gerstl: Ich kann auch nicht unmittelbar darauf antworten. Danke für das Angebot. Ich kann als betroffener Mandatar nur sagen, dass ich noch nie von einem Bürger eine Anfrage bekommen habe, hinsichtlich: Wie haben Sie meine Daten gespeichert, als ich sie angeschrieben habe? – Das ist vielleicht auch nicht unspannend, wenn ich das einmal sage – ich weiß nicht, wie es den anderen gegangen ist, aber wir haben damals, als die DSGVO überall in Kraft getreten ist, viel Aufwand betrieben, die Leitsätze dazu gegeben, die Sicherung, dass das alles nachvollziehbar ist –, aber das ist bei uns noch nie abgefragt worden. Vielleicht ist das in dem Sinne auch ein gutes Zeichen. Ansonsten kann ich nur fragen, was Sie vielleicht von uns brauchen. Wie ich höre, schaut die Parlamentsdirektion ja auch immer sehr genau, wenn wir parlamentarische Anfragen einbringen. Wenn diese vielleicht nicht dem Datenschutz entsprechen – wie gehen Sie damit um? – Vielleicht gibt es da auch Richtlinien, die sie uns noch einmal zur Erinnerung geben könnten, sodass wir, wenn wir Anfragen schreiben, auf dieses oder jenes gleich entsprechend aufpassen, damit sie nicht im Nachhinein tätig werden müssen.
Karl-Heinz Grundböck: Vielen Dank. – Damit komme ich zum Resümee. Es ist einiges zu tun, in jeder Hinsicht. Einerseits was eben Regelungen betrifft und andererseits aber auch hinsichtlich organisatorischer Fragen und auch in der Frage des Angebots für die entsprechende Unterstützung aus der Parlamentsdirektion.
Im Hinblick auf die Zeit darf ich jetzt das Panel 4 beschließen. Ich bedanke mich für die Diskussion und darf für den Abschluss wieder an Gerlinde Wagner übergeben. – Bitte.
Gerlinde Wagner: Sehr geehrte Damen und Herren! Ich freue mich, dass ich jetzt ein Resümee über die Fachtagung ziehen darf. Aus meiner Sicht ist es gut, den Bogen wieder zurück auf das eingangs festgehaltene Format der Zielsetzung zu spannen.
Wenn ich resümieren darf: Die Zielsetzung der Tagung war, die Ausgangssituation zu skizzieren, zu skizzieren, was innerstaatlich unsere Ausgangssituation ist, was europäisch unsere Ausgangssituation ist, auch im Rahmen der Vorträge und Diskussionsbeiträge festzustellen, was die Handlungsmöglichkeiten sind, ob es einen Bedarf dafür gibt und auch die Lösungsmöglichkeiten aufzuzeigen. Ich muss sagen, ich finde, alle Zielsetzungen dieser Fachtagung sind wirklich mehr als erfüllt. – Herzlichen Dank allen, die dazu beigetragen haben!
Ich habe von dieser Fachtagung auch mitgenommen – wenig überraschend und trotzdem so, dass man es von Vornherein nicht fest annehmen darf –, dass es wichtig ist, dass man, wenn es tatsächlich so sein sollte, dass die Datenschutz-Grundverordnung im Bereich der Gesetzgebung Anwendung findet, dann ganz genau schaut, wo Öffnungsklauseln Möglichkeiten dafür vorsehen, dass wir passgenau eine Aufsichtsbehörde schaffen, dass wir ganz passgenau auch Sonderregelungen vorschlagen oder Entscheidungsbereiche so aufarbeiten, dass die Politik entscheidungsreife Grundlagen bekommt, um wirklich informiert eine Entscheidung zu treffen, durch die auch klar ist, welche Konsequenzen sich daraus für wen ergeben.
Damit möchte ich offen gesagt schon schließen. Es hat sich gezeigt, dass es Handlungsbedarf gibt. Es hat sich auch gezeigt, dass überhaupt noch nicht klar ist, in welche Richtung es geht. Das ist aber immer so, wenn man nicht nur am Beginn steht, sondern es einfach so unterschiedliche Optionen gibt und man auch analysieren und aufbereiten muss, wo es denn Lösungsoptionen gibt. Daher möchte ich mich ganz herzlich bei allen, die zu einem erfolgreichen Gelingen dieser Fachtagung beigetragen haben, bedanken: natürlich zuallererst bei den Mandataren – vielen Dank für Ihre Beiträge –, vielen Dank auch für alle Fachbeiträge, für alle Diskussionsbeiträge, für alle inhaltlichen Aufbereitungen, aber auch ganz großes Danke für die organisatorische und die technische Aufbereitung und an die Übersetzerinnen, die sicher sehr oft mit uns gehadert haben, weil wir so rasch gesprochen haben, danke, und nicht zuletzt natürlich ein großes Danke an das großartige Team vom RLW. – Vielen Dank.
Schluss der Veranstaltung: 14.55 Uhr