Parlamentarisches Datenschutzkomitee

Behörde in Österreich From Wikipedia, the free encyclopedia

Das Parlamentarische Datenschutzkomitee (PDK) ist eine Behörde in Österreich. Sie ist als datenschutzrechtliche Aufsichtsbehörde zur Überwachung von Datenverarbeitungen im Bereich der Gesetzgebung zuständig[1] und entscheidet über Datenschutzbeschwerden[2] gegen Organe der Gesetzgebung einschließlich deren Verwaltungsangelegenheiten.

StaatlicheEbeneBund
Stellung der Behördedatenschutzrechtliche Aufsichtsbehörde (weisungsfrei)
Gründung1. Jänner 2025 (Beginn der gesetzlichen Zuständigkeit)
HauptsitzDr.-Karl-Renner-Ring 3, 1017 Wien
Schnelle Fakten Osterreich Parlamentarisches DatenschutzkomiteeÖsterreichische Behörde, Staatliche Ebene ...
Osterreich  Parlamentarisches Datenschutzkomitee
Österreichische Behörde
Staatliche Ebene Bund
Stellung der Behörde datenschutzrechtliche Aufsichtsbehörde (weisungsfrei)
Gründung 1. Jänner 2025 (Beginn der gesetzlichen Zuständigkeit)
Hauptsitz Dr.-Karl-Renner-Ring 3, 1017 Wien
Behörden­leitung Der Vorsitz wechselt jährlich unter den fünf Mitgliedern
Website www.pdk.gv.at
Schließen

Das Parlamentarische Datenschutzkomitee ist zuständig für die Arbeitsbereiche von Nationalrat, Bundesrat, Rechnungshof und Volksanwaltschaft.

Durch Landesverfassungsgesetze kann es auch für die Aufsicht über die Datenverarbeitungen der Landtage, der Landesrechnungshöfe und die Landesvolksanwälte zuständig gemacht werden.[1] Von dieser Möglichkeit haben alle Länder Gebrauch gemacht (Reihenfolge chronologisch):

Das Parlamentarische Datenschutzkomitee ist eine der zwei datenschutzrechtlichen Aufsichtsbehörden in Österreich, die andere ist die Datenschutzbehörde.

Rechtsgrundlage des Parlamentarische Datenschutzkomitees ist die Novelle zum österreichischen Datenschutzgesetz im Bundesgesetzblatt vom 4. Juli 2024, BGBl. I Nr. 70/2024. Dieses Gesetz trat mit 15. Juli 2024 in Kraft.[12] Das Parlamentarische Datenschutzkomitee hat danach seine Zuständigkeiten ab 1. Jänner 2025 wahrzunehmen, bereits laufende Verfahren bei anderen Stellen sind dieser Behörde abzutreten.[13]

Entstehung

Ausgangslage

Eine gesetzgebende Körperschaft in Österreich (Nationalrat, Bundesrat, Landtage) ist nicht nur für die Schaffung von Gesetzen zuständig, sondern hat auch das Recht zu kontrollieren, ob die beschlossenen Gesetze rechtmäßig vollzogen werden. Dafür bestehen einerseits konkrete Einrichtungen (Rechnungshöfe, Volksanwaltschaften usw.), andererseits Rechte der Körperschaft bzw. ihrer Mitglieder (der Abgeordneten) selbst (parlamentarische Anfragen, Bearbeitung von Petitionen, Untersuchungsausschüsse). Dabei kann es auch dazu kommen, dass personenbezogene Daten von natürlichen und juristischen Personen verarbeitet werden müssen. Das Thema, ob und welcher Rechtsschutz gegen Datenschutzverletzungen in diesem Bereich bestehe, führte immer wieder zu Verfahren und Diskussionen.[14] Es war einerseits dem österreichischen Datenschutzrecht nicht zu entnehmen, dass die (bereits vorhandene) Datenschutzbehörde auch für solche Themen zuständig sei, andererseits enthielt das europäische Datenschutzrecht (die Datenschutz-Grundverordnung DSGVO) keine Ausnahmen für diesen Bereich.

Ob ein Vorrang des Europarechts auch im Bereich der Gewaltenteilung bestünde, war nicht entschieden. Für die staatliche Organisation in Österreich ist aber die Gewaltenteilung jedenfalls zu beachten. Die drei Staatsgewalten Gesetzgebung (Legislative), ausführende Gewalt (Verwaltung, Exekutive) und Rechtsprechung (Justiz, Judikative) sind getrennt voneinander[15] organisiert. Das dient der Machtbegrenzung und erleichtert die Kontrolle. Es ist damit aber auch nicht ohne Weiteres möglich, dass eine Behörde der Exekutive (wie es die Datenschutzbehörde ist) für Angelegenheiten zuständig ist, die der Gesetzgebung (wie es z. B. der Nationalrat ist) zugeordnet sind. Das kann (innerstaatlich) nur durch eine Änderung der österreichischen Bundesverfassung gestaltet werden. Aus diesem Grund enthalten die gesetzlichen Grundlagen des Parlamentarischen Datenschutzkomitees eine Reihe von Bestimmungen, die ausdrücklich als Verfassungsbestimmung bezeichnet sind. Durch diese Bestimmungen wird die vorher unklare Rechtslage klarer formuliert.

Anlassfall

Anlass für die Schaffung des Parlamentarischen Datenschutzkomitees war eine Beschwerde über die Veröffentlichung eines Protokolls eines Untersuchungsausschusses in folgendem Zusammenhang:

Der Nationalrat hatte am 20. April 2018[16] einen Untersuchungsausschuss eingesetzt, der sich mit möglicher politische Einflussnahme auf das (damalige) Bundesamt für Verfassungsschutz und Terrorismusbekämpfung befassen sollte.[17][18] Am 19. September 2018 wurde ein Mann, der für dieses Amt als verdeckter Ermittler arbeitete, vor diesem Untersuchungsausschuss als Auskunftsperson befragt. Obwohl er ausdrücklich eine Anonymisierung beantragt[19] hatte, wurde auf der Webseite des Österreichischen Parlaments das Protokoll seiner Befragung unter vollständiger Nennung seines Vor- und Familiennamens veröffentlicht.[20][21]

Der Betroffene brachte dagegen eine Beschwerde bei der Datenschutzbehörde ein. Diese erklärte sich am 18. September 2019 für unzuständig und wies die Beschwerde zurück. Ihre Begründung ging dahin, dass ein Untersuchungsausschuss eine Angelegenheit der Gesetzgebung sei und aufgrund des in Österreich geltenden Grundsatzes der Gewaltenteilung eine Kontrolle der Verwaltung über die Gesetzgebung ausgeschlossen sei. Das Rechtsmittel gegen diese Entscheidung war erfolgreich. Das Bundesverwaltungsgericht gab der Beschwerde statt und hob die Entscheidung der Datenschutzbehörde am 23. November 2020 auf.[19] Die Begründung lag darin, dass die europäische Datenschutz-Grundverordnung DSGVO (auch) für Akte der Gesetzgebung maßgeblich sei und die Datenschutzbehörde die Beschwerde somit hätte inhaltlich bearbeiten müssen. Dagegen wiederum erhob die Datenschutzbehörde Revision an den Verwaltungsgerichtshof. Dieser legte das Thema am 14. Dezember 2021 dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsersuchens vor.[22] Kern des Vorlageantrages war die Frage, ob die Datenschutzbehörde auch für das vorliegende Verfahren zuständig sei, obwohl dies in der österreichischen Rechtsordnung nicht geregelt sei. Das europäische Datenschutzrecht enthalte jedoch keine Unterscheidung nach Staatsfunktionen, eine solche Unterscheidung finde sich auch nicht in den nationalen Regelungen. Nur Gerichte seien von der Zuständigkeit der Datenschutzbehörde ausgenommen, ein Untersuchungsausschuss sei aber kein Gericht.

Der Europäische Gerichtshof entschied am 24. Jänner 2024, dass dann, wenn in einem Staat bloß eine einzige datenschutzrechtliche Aufsichtsbehörde eingerichtet sei, diese auch für Beschwerden über Verarbeitungen personenbezogener Daten durch einen Untersuchungsausschuss zuständig sei.[23] Er folgte damit den Schlussanträgen des Generalanwalts vom 11. Mai 2023, der den Standpunkt vertrat, verfassungsrechtliche Hindernisse im österreichischen Recht dürften nicht dazu führen, die Bestimmungen der DSGVO unangewendet zu lassen.[24] Dementsprechend bestätigte der Verwaltungsgerichtshof am 1. Februar 2024 die Entscheidung des Bundesverwaltungsgerichts.[25]

Damit wäre die Datenschutzbehörde (als damals noch einzige datenschutzrechtliche Aufsichtsbehörde in Österreich, nach Aufhebung ihrer am Anfang zurückweisenden Entscheidung) zur Entscheidung über die vorliegende Beschwerde zuständig gewesen. Eine neuerliche Entscheidung der Datenschutzbehörde erfolgte jedoch nicht. Da das Thema bereits auch aus anderen Zusammenhängen bewusst war,[14] war bereits eine Gesetzesänderung in Arbeit. Diese Arbeit führte am 12. Juni 2024 zu einem formellen Antrag auf Gesetzesänderung, der sich ausdrücklich auf die Entscheidung des Europäischen Gerichtshofs berief.[26] Am 13. Juni 2024[27] wurden daraufhin das Datenschutzgesetz und einige andere Gesetze geändert und das Parlamentarische Datenschutzkomitee geschaffen.[28]

Die abschließende und rechtskräftige Entscheidung des Parlamentarischen Datenschutzkomitees in diesem Anlassfall wurde am 25. Juni 2025 getroffen.[29] Es wurden Verstöße gegen das Recht auf Geheimhaltung und das Recht auf Löschung festgestellt.

Zusammensetzung

Das Parlamentarische Datenschutzkomitee besteht aus mindestens drei bis höchstens sechs Personen. Für die erste Funktionsperiode ab 2025 wurden fünf Personen bestellt:

Gerhard Baumgartner, Christian Bergauer, Philipp Grasser, Sandra Huber und Eva Souhrada-Kirchmayer.

Diese Mitglieder wurden vom Nationalrat mit Zustimmung des Bundesrates für fünf Jahre gewählt, die Beschlüsse erfolgten einstimmig.[30][31] Es bestehen für diese Personen keine Dienstverhältnisse, die Entschädigung wird nach Arbeitsstunden berechnet.[32]

Der Vorsitz des Parlamentarischen Datenschutzkomitees wechselt jährlich zwischen den Mitgliedern. Die Reihenfolge ist in der Geschäftsordnung festzulegen.[33][34] Die erste Vorsitzende war bis November 2025 Eva Souhrada-Kirchmayer, daran anschließend ist bis November 2026 Gerhard Baumgartner der Vorsitzende, dessen Stellvertreter Christian Bergauer usw.[35] Am 16. Juli 2025 wurde Eva Souhrada-Kirchmayer als geschäftsführendes Mitglied bestellt.[36]

Verfahren und Entscheidungen

Das Parlamentarische Datenschutzkomitee ist eine Aufsichtsbehörde, wie sie in der Datenschutz-Grundverordnung vorgesehen ist, und daher bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse gemäß dieser Verordnung völlig unabhängig.[37]

Beschwerden können von jeder Person eingebracht werden, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten bei einer Stelle, für die das Parlamentarische Datenschutzkomitee zuständig ist, gegen die DSGVO oder gegen das österreichische DSG verstößt.[2]

Gegen Entscheidungen des Parlamentarischen Datenschutzkomitees kann Beschwerde beim Bundesverwaltungsgericht erhoben werden.[38]

Das Parlamentarische Datenschutzkomitee hat mit der Datenschutzbehörde zusammenzuarbeiten, der Leiter der Datenschutzbehörde ist gemeinsamer Vertreter im Europäischen Datenschutzausschuss[39] und zentrale Anlaufstelle.[40]

Der Präsident des Nationalrates kann sich beim Vorsitzenden des Parlamentarischen Datenschutzkomitees über die Gegenstände der Geschäftsführung unterrichten. Dem ist nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde widerspricht.[41]

Literatur

Siehe auch

Einzelnachweise

Related Articles

Wikiwand AI