Index
10/10 Grundrechte, Datenschutz, AuskunftspflichtNorm
B-VG Art140 Abs1 Z1 litaLeitsatz
Auswertung in ArbeitSpruch
I. §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, idF BGBl I Nr 24/2018 wird als verfassungswidrig aufgehoben.
II. Die Aufhebung tritt mit Ablauf des 30. Juni 2024 in Kraft.
III. Frühere gesetzliche Bestimmungen treten nicht wieder in Kraft.
IV. Der Bundeskanzler ist zur unverzüglichen Kundmachung dieser Aussprüche im Bundesgesetzblatt I verpflichtet.
Begründung
Entscheidungsgründe
I. Antrag
Mit den vorliegenden, auf Art140 Abs1 Z1 lita B-VG gestützten Anträgen begehrt das antragstellende Gericht, der Verfassungsgerichtshof wolle
"Art2 §9 Abs1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr 165/1999, in der Fassung der Novelle BGBl I Nr 24/2018 (Datenschutz-Deregulierungsgesetz 2018) als verfassungswidrig aufheben".
II. Rechtslage
1. Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 24/2018 lauten (die angefochtene Bestimmung ist hervorgehoben):
"Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art8 Abs2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs3 sind nur unter den in Abs2 genannten Voraussetzungen zulässig.
[...]
Freiheit der Meinungsäußerung und Informationsfreiheit
§9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl Nr 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§31 MedienG) zu beachten.
(2) Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen §6 (Datengeheimnis) anzuwenden.
[…]
2. Abschnitt
Datenschutzbehörde
Einrichtung
§18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art51 DSGVO eingerichtet.
(2) Der Datenschutzbehörde steht ein Leiter vor. In seiner Abwesenheit leitet sein Stellvertreter die Datenschutzbehörde. Auf ihn finden die Regelungen hinsichtlich des Leiters der Datenschutzbehörde Anwendung.
Unabhängigkeit
§19. (1) Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle.
(2) Der Leiter darf für die Dauer seines Amtes keine Tätigkeit ausüben, die
1. Zweifel an der unabhängigen Ausübung seines Amtes oder seiner Unbefangenheit hervorrufen könnte,
2. ihn bei der Erfüllung seiner dienstlichen Aufgaben behindert oder
3. wesentliche dienstliche Interessen gefährdet.
Er ist verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter der Datenschutzbehörde ausübt, unverzüglich dem Bundesminister für Verfassung, Reformen, Deregulierung und Justiz zur Kenntnis zu bringen.
(3) Der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Art52 DSGVO widerspricht.
[...]
Aufgaben
§21. (1) Die Datenschutzbehörde berät die Ausschüsse des Nationalrates und des Bundesrates, die Bundesregierung und die Landesregierungen auf deren Ersuchen über legislative und administrative Maßnahmen. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen sowie von Verordnungen im Vollzugsbereich des Bundes, die Fragen des Datenschutzes unmittelbar betreffen, anzuhören.
(2) Die Datenschutzbehörde hat die Listen nach Art35 Abs4 und 5 DSGVO im Wege einer Verordnung im Bundesgesetzblatt kundzumachen.
(3) Die Datenschutzbehörde hat die nach Art57 Abs1 litp DSGVO festzulegenden Kriterien im Wege einer Verordnung kundzumachen. Sie fungiert zugleich als einzige nationale Akkreditierungsstelle gemäß Art43 Abs1 lita DSGVO.
Befugnisse
§22. (1) Die Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren. Der Verantwortliche oder Auftragsverarbeiter hat die notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben.
(2) Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.
(3) Informationen, die der Datenschutzbehörde oder den von ihr Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach §63 dieses Bundesgesetzes oder nach §§118a, 119, 119a, 126a bis 126c, 148a oder §278a des Strafgesetzbuches – StGB, BGBl Nr 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach §76 der Strafprozeßordnung – StPO, BGBl Nr 631/1975, zu entsprechen ist.
(4) Liegt durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) vor, so kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid gemäß §57 Abs1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl Nr 51/1991, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung nach Art18 DSGVO mit Bescheid gemäß §57 Abs1 AVG anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt. Wird einer Untersagung nicht unverzüglich Folge geleistet, hat die Datenschutzbehörde nach Art83 Abs5 DSGVO vorzugehen.
(5) Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen.
(6) Bestehen im Zuge einer auf §29 gestützten Klage einer betroffenen Person, die sich von einer Einrichtung, Organisation oder Vereinigung im Sinne des Art80 Abs1 DSGVO vertreten lässt, Zweifel am Vorliegen der diesbezüglichen Kriterien, trifft die Datenschutzbehörde auf Antrag des Einbringungsgerichtes entsprechende Feststellungen mit Bescheid. Diese Einrichtung, Organisation oder Vereinigung hat im Verfahren Parteistellung. Gegen einen negativen Feststellungsbescheid steht ihr die Beschwerde an das Bundesverwaltungsgericht offen.
[…]
3. Abschnitt
Rechtsbehelfe, Haftung und Sanktionen
Beschwerde an die Datenschutzbehörde
§24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen §1 oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.
(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§13 Abs8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.
(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.
(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.
(10) In die Entscheidungsfrist gemäß §73 AVG werden nicht eingerechnet:
1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;
2. die Zeit während eines Verfahrens nach Art56, 60 und 63 DSGVO.
Begleitende Maßnahmen im Beschwerdeverfahren
§25. (1) Macht der Beschwerdeführer im Rahmen einer Beschwerde eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten glaubhaft, kann die Datenschutzbehörde nach §22 Abs4 vorgehen.
(2) Ist in einem Verfahren die Richtigkeit von personenbezogenen Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit Bescheid gemäß §57 Abs1 AVG anzuordnen.
(3) Beruft sich ein Verantwortlicher gegenüber der Datenschutzbehörde auf eine Beschränkung im Sinne des Art23 DSGVO, so hat diese die Rechtmäßigkeit der Anwendung der Beschränkungen zu überprüfen. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten personenbezogenen Daten gegenüber der betroffenen Person nicht gerechtfertigt war, ist die Offenlegung der personenbezogenen Daten mit Bescheid aufzutragen. Wird dem Bescheid der Datenschutzbehörde binnen acht Wochen nicht entsprochen, so hat die Datenschutzbehörde die Offenlegung der personenbezogenen Daten gegenüber der betroffenen Person selbst vorzunehmen und ihr die verlangte Auskunft zu erteilen oder ihr mitzuteilen, welche personenbezogenen Daten bereits berichtigt oder gelöscht wurden.
(4) Bescheide, mit denen Übermittlungen von personenbezogenen Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der Genehmigung nicht mehr bestehen."
2. Die maßgeblichen Bestimmungen der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge: DSGVO), ABl. 2016 L 119, 1, lauten:
"KAPITEL VI
Unabhängige Aufsichtsbehörden
Abschnitt 1
Unabhängigkeit
Artikel 51
Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden 'Aufsichtsbehörde').
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
(3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten.
(4) Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.
[…]
Abschnitt 2
Zuständigkeit, Aufgaben und Befugnisse
Artikel 55
Zuständigkeit
(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
[…]
KAPITEL VIII
Rechtsbehelfe, Haftung und Sanktionen
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Artikel 78
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.
(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.
(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.
Artikel 79
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
(2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
[…]
KAPITEL IX
Vorschriften für besondere Verarbeitungssituationen
Artikel 85
Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit."
III. Sachverhalt, Antragsvorbringen und Vorverfahren
1. Dem beim Verfassungsgerichtshof zur Zahl G287/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:
1.1. In seiner an die Datenschutzbehörde gerichteten Beschwerde vom 29. November 2019 machte der Beschwerdeführer eine Verletzung seines Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Er brachte zusammengefasst vor, die Beschwerdegegnerin, ein Medienunternehmen, habe auf ihrer Homepage einen Beitrag sowie Bildaufnahmen einer Hausdurchsuchung veröffentlicht. Auf einem der veröffentlichten Bilder sei die Visitenkarte des Beschwerdeführers (ungeschwärzt) abgebildet gewesen. Sein Name sowie sein Arbeitgeber seien erkennbar gewesen. Das Medienprivileg des §9 DSG sei auf den vorliegenden Fall nicht anwendbar. Selbst wenn man von der Anwendbarkeit des §9 DSG ausgehe, komme man bei einer unionsrechtskonformen Interpretation zu dem Ergebnis, dass die vorliegende Datenverarbeitung nicht erforderlich gewesen sei.
1.2. Die Beschwerdegegnerin im Verfahren vor der Datenschutzbehörde erstattete eine Stellungnahme, in der sie vorbrachte, ein Medienunternehmen gemäß §1 Abs1 Z6 MedienG zu sein. Die Veröffentlichung der Bilder sei zu journalistischen Zwecken erfolgt; die Bilder seien später geschwärzt worden. Da die in Beschwerde gezogene Veröffentlichung unter das Medienprivileg gemäß §9 Abs1 DSG falle, sei die Datenschutzbehörde im vorliegenden Fall unzuständig.
1.3. Mit Bescheid vom 23. Juli 2020 wies die Datenschutzbehörde die Beschwerde zurück und begründete dies zusammengefasst damit, dass es sich bei der Beschwerdegegnerin um ein Medienunternehmen handle, das als Medieninhaberin für den Inhalt der Berichterstattung verantwortlich sei. Die Daten des Beschwerdeführers seien im Rahmen journalistischer Artikel bzw journalistischer Berichterstattung verarbeitet und in weiterer Folge veröffentlicht worden. Auf Grund der Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei die belangte Behörde zur Behandlung der Beschwerde unzuständig.
1.4. Gegen diesen Bescheid erhob der Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht. Er führte darin insbesondere aus, §9 DSG sei verfassungs- und unionsrechtswidrig.
2. Dem beim Verfassungsgerichtshof zur Zahl G288/2022 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:
2.1. In ihrer an die Datenschutzbehörde gerichteten Beschwerde vom 26. November 2021 machten die beschwerdeführenden Parteien (ua) eine Verletzung ihres Rechtes auf Geheimhaltung gemäß §1 DSG geltend. Sie brachten zusammengefasst vor, eine Verlagsgesellschaft und ein Rundfunkunternehmen hätten über ein "Datenleck" bei einem der zweitbeschwerdeführenden Partei zuzurechnenden E-Mail-Postfach, das in der Verfügungsmacht der erstbeschwerdeführenden Partei stehe, berichtet. Die genannten Medienunternehmen hätten näher bezeichnete Umstände rechtswidrig offengelegt. Die Anwendung des Medienprivilegs gemäß §9 Abs1 DSG sei verfassungswidrig.
2.2. Mit Bescheid vom 10. Dezember 2021 wies die Datenschutzbehörde die Beschwerde der beschwerdeführenden Parteien unter Verweis auf das Medienprivileg des §9 Abs1 DSG zurück.
2.3. Gegen diesen Bescheid erhoben die beschwerdeführenden Parteien fristgerecht Beschwerde an das Bundesverwaltungsgericht und regten einen Antrag gemäß Art140 Abs1 Z1 lita B-VG an den Verfassungsgerichtshof sowie die Einholung einer Vorabentscheidung des Gerichtshofes der Europäischen Union gemäß Art267 AEUV an.
3. Aus Anlass der Behandlung dieser Beschwerden sind beim Bundesverwaltungsgericht Bedenken ob der Verfassungskonformität des §9 Abs1 DSG entstanden, die es zur Antragstellung an den Verfassungsgerichtshof veranlasst haben. Das antragstellende Gericht legt seine diesbezüglichen Bedenken in dem beim Verfassungsgerichtshof zur Zahl G287/2022 protokollierten Verfahren wie folgt dar (ohne die Hervorhebungen im Original):
"III. Verfassungsrechtliche Bedenken:
1. Im vorliegenden Fall wies die Datenschutzbehörde mit dem angefochtenen Bescheid die Datenschutzbeschwerde des Beschwerdeführers wegen einer behaupteten Verletzung gemäß §1 DSG zurück, weil sie auf Grund des Medienprivilegs des §9 Abs1 DSG für die Behandlung einer Beschwerde gegen ein Medienunternehmen nicht zuständig sei.
2. Das Bundesverwaltungsgericht hat gravierende Bedenken ob der Verfassungsmäßigkeit des §9 Abs1 DSG.
Dazu im Einzelnen:
2.1. Das Bundesverwaltungsgericht hegt primär das Bedenken , dass eine Geltendmachung des Grundrechts auf Datenschutz des §1 DSG im Anwendungsbereich des §9 Abs1 DSG faktisch ausgehebelt wird, da aufgrund des in §9 Abs1 DSG normierten Ausschlusses der Bestimmungen des DSG – und damit auch der Unanwendbarkeit des §24 Abs1 DSG – (sowie des gesamten Kapitels VI der DSGVO) einer betroffenen Person keine nationale Aufsichtsbehörde zur Verfügung steht, um eine Verletzung des Grundrechts geltend zu machen. Das Bundesverwaltungsgericht vertritt die Meinung, dass einer nationalen Aufsichtsbehörde auch im Rahmen des §9 Abs1 DSG eine Zuständigkeit zur Behandlung von Beschwerden zukommen muss.
Zu §9 Abs1 DSG wird in der wissenschaftlichen Literatur Folgendes ausgeführt:
Gemäß der Formulierung des §9 Abs1 DSG gilt insofern eine 'Totalausnahme von den Bestimmungen des DSG' (Zöchbauer, MR 2018, 102 [103]; vgl auch Kunnert in Bresich et al (Hrsg), DSG Kommentar (2018) §9 DSG Rz 10). '§9 Abs1 DSG sieht im ersten Satz vor, dass unter den dort näher definierten Voraussetzungen 'die Bestimmungen dieses Bundesgesetzes' keine Anwendung finden. Damit wird – im Unterschied zur Vorgängerbestimmung des §48 DSG 2000 – auch die Anwendbarkeit des im Rang eines Verfassungsgesetzes stehenden Grundrechts auf Datenschutz gemäß §1 DSG ausgeschlossen. […]' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 42).
Nach Jahnel kommt eine verfassungskonforme Interpretation von §9 Abs1 DSG 'angesichts des klaren Wortlautes ('finden die Bestimmungen dieses Bundesgesetzes […] keine Anwendung') […] nicht in Betracht.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 44).
'Wie alle Grundrechte gilt auch das Grundrecht auf Datenschutz nicht uneingeschränkt. Eine Beschränkung dieses Grundrechts ist aber nur bei Vorliegen einer der in §1 Abs2 DSG vorgesehenen Gründe zulässig. Da die Zustimmung und lebenswichtige Interessen im Zusammenhang mit dem Medienprivileg nicht in Betracht kommen, ist für die Verfassungskonformität eines Eingriffs in das Grundrecht auf Datenschutz durch eine gesetzliche Bestimmung jedenfalls eine Interessenabwägung erforderlich. Sowohl in §9 Abs1 […] erfolgt hingegen ein genereller Ausschluss des Grundrechts auf Datenschutz, sofern die sonstigen Voraussetzungen einer Privilegierung vorliegen.' (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 43).
'§9 Abs1 nimmt als Eingriffsnorm Verarbeitungen zu journalistischen Zwecken von Medienunternehmen oder Mediendiensten iS einer Pauschalausnahme nahezu gänzlich vom datenschutzrechtlichen Regelungsregime aus. Insbesondere werden den durch die genannten Verarbeitungssituationen betroffenen Personen die in Kapitel III DSGVO verankerten Betroffenenrechte gem. §9 Abs1 DSG vollumfänglich entzogen. Dieser pauschale Entzug der Betroffenenrechte ist vor dem Hintergrund des materiellen Gesetzesvorbehaltes gem. §1 Abs2 DSG als unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu qualifizieren. Der Entzug der Betroffenenrechte dürfte iS des Verhältnismäßigkeitsprinzips vielmehr lediglich aufgrund einer wertenden Abwägung zwischen den (öffentlichen) Interessen der journalistischen Tätigkeit und dem Grundrecht auf Datenschutz des Betroffenen erfolgen. Die Pauschalausnahme des §9 Abs1 DSG privilegiert journalistische Tätigkeiten von Medienunternehmen oder Mediendiensten jedoch a priori in Negation jeglicher Betroffenenrechte und greift damit in unverhältnismäßiger und folglich verfassungswidriger Weise in §1 DSG ein.' (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum - Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [312 f]).
In diesem Zusammenhang wird festgehalten, dass nach Ansicht des Bundesverwaltungsgerichts die einfachgesetzliche Bestimmung des §9 Abs1 DSG jedenfalls nicht das in Verfassungsrang stehende Grundrecht auf Datenschutz im Rahmen des Medienprivilegs aushebeln kann. Selbst wenn man eine Interpretation dahingehend vornehmen könnte, dass die in §9 Abs1 genannte Ausnahme des DSG nur dessen einfachgesetzliche Regelungen betrifft, müsste das Grundrecht in der Folge auch geltend gemacht werden können. Gerade dies ist aber nicht der Fall, da auch §24 DSG, der die Grundlage für die Feststellung von (auch in der Vergangenheit liegenden) Rechtsverletzungen, insbesondere des Grundrechts auf Geheimhaltung, darstellt, nicht anwendbar wäre.
Aus den genannten Gründen scheint die Ausnahme des gesamten DSG in Widerspruch mit dem in §1 DSG normierten Grundrecht auf Datenschutz zu stehen.
Zunächst verkennt das Bundesverwaltungsgericht nicht, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art77 DSGVO in Kapitel VIII nicht ausgeschlossen wird. Während der OGH unter Verweis auf die Gesetzesmaterialien (ErläutAB 1761 BlgNR 25. GP 15) davon ausgeht, dass Art77 [DSGVO] kein eigenständiges Recht auf Beschwerde normiert (OGH 23.05.2019, 6 Ob 91/19d), wird von der Lehre und vom Bundesverwaltungsgericht in den unten zitierten Fällen die Meinung vertreten, dass Art77 DSGVO keiner Umsetzung in das nationale Recht bedarf (vgl Schweiger in Knyrim, DatKomm Art77 DSGVO, Rz 8 (Stand 1.12.2018, rdb.at), siehe dazu auch BVwG 23.11.2020, W211 2227144-1; BVwG 13. 8. 2021, W211 2222613-1.
Doch auch bei einer unmittelbaren Anwendbarkeit des Art77 DSGVO ergibt sich folgendes Problem:
Art77 D[S]GVO scheint von seinem Wortlaut her (lediglich) auf gegenwärtig noch andauernde Rechtsverletzungen abzustellen. Dementsprechend sieht Art58 DSGVO keine 'Feststellungsbefugnisse', sondern Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse vor.
Auch nach der Rechtsprechung des Verwaltungsgerichtshofes (VwGH 14.12.2021, Ro 2020/04/0032) räumt ausschließlich §24 DSG der in seinem persönlichen Grundrecht verletzten Person die Möglichkeit ein, die ihr gegenüber geschehene Rechtsverletzung feststellen zu lassen, eine solche Feststellungskompetenz ist nämlich in der DSGVO nicht vorgesehen. In den Fällen des §9 Abs1 DSG bestünde sohin (mangels Anwendbarkeit des §24 DSG) keine Möglichkeit, eine Rechtsverletzung (die in der Vergangenheit stattgefunden hat) festzustellen (doch gerade um eine Feststellung eines derartigen Grundrechtsverstoßes geht es im gegenständlichen Beschwerdefall), weshalb der Ausschluss der Bestimmungen des DSG insbesondere aufgrund des Gleichheitsgrundsatzes als nicht im Einklang mit verfassungsgesetzlichen Grundlagen zu stehen scheint (siehe dazu näher unten). Auch wären die Bestimmungen der §§18 bis 22 DSG (Einrichtung der Datenschutzbehörde, Unabhängigkeit, Leiter der Datenschutzbehörde und Befugnisse der Datenschutzbehörde) nach dem Wortlaut des DSG ebenfalls nicht anwendbar. Überdies schließt §9 Abs1 DSG in seiner Diktion streng genommen sogar sich selbst aus, was aber offenbar vom Gesetzgeber nicht intendiert war. Hinzuweisen ist auch darauf, dass – im Widerspruch zu den weitgehenden Ausnahmen – der letzte Satz des §9 Abs1 DSG davon auszugehen scheint, dass der Datenschutzbehörde sehr wohl auch bei Beschwerden gegen Medienunternehmen und -inhaber Befugnisse zukommen.
Das Bundesverwaltungsgericht übersieht nicht, dass trotz des Ausschlusses der Anwendbarkeit aller DSG-Bestimmungen wegen der unmittelbaren Anwendbarkeit von Art79 DSGVO unter ergänzender Heranziehung von §1 JN bei einer Verletzung der DSGVO eine Zuständigkeit der Zivilgerichte angenommen werden kann. Allerdings lässt sich im gegenständlichen Fall, in dem die Feststellung einer Verletzung des Grundrecht[s] auf Geheimhaltung geltend gemacht wurde, unter Heranziehung des Art79 DSGVO gar keine gerichtliche Zuständigkeit begründen, da Art79 DSGVO (wie Art77 DSGVO) lediglich auf Verletzungen der DSGVO Bezug nimmt, nicht aber auf nationale Gesetze wie das DSG (Marco Blocher/Lukas Wieser, Von privilegierten Journalisten und Daten im (fast) rechtsfreien Raum – Zur einseitigen Lösung der Grundrechtskollision zwischen Datenschutz und Meinungsfreiheit durch §9 DSG, Jahrbuch Datenschutzrecht 2019, 303 [320]; siehe auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art85 DSGVO, Rz 51). Somit wäre der Rechtsschutz im gegenständlichen Fall gänzlich ausgeschlossen. Dieses Ergebnis scheint dem Bundesverwaltungsgericht sachlich nicht rechtfertigbar und daher im Konflikt mit dem Gleichheitsgrundsatz und dem Recht auf den gesetzlichen Richter (siehe unten) zu stehen.
Aber auch eine alleinige Zuständigkeit des Landesgerichtes (vgl §50 JN iVm §49 JN sowie OGH 23.05.2019, 6 Ob 91/19d) würde nicht der Bestimmung des Art79 Abs1 DSGVO entsprechen, wonach jede betroffene Person unbeschadet des Beschwerderechts bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden und hat der europäische Gesetzgeber damit explizit einen zweigleisigen Rechtsschutz vorgesehen. Dieser zweigleisige Rechtsschutz wurde vom OGH auch bereits wiederholt bejaht (zB 6 Ob 35/21x vom 15.04.2021 unter Verweis auf 6 Ob 131/18k und 6 Ob 91/19k) und zuletzt in den Schlussanträgen des Generalanwaltes de la Tour vom 08.09.2022 in der Rs C-132/21, BE, bekräftigt. Auch diverse Erwägungsgründe, insb. ErwG 122 DSGVO, gehen von einer umfassenden Zuständigkeit der Aufsichtsbehörden aus.
Selbst wenn man von einer Gerichtszuständigkeit ausginge, wäre die Regelung des §9 Abs1 DSG schon deshalb unsachlich, weil das Beschwerderecht bei der Datenschutzbehörde von Betroffenen niederschwelliger wahrgenommen werden kann, zumal die Beschwerdeeinbringung bei der Behörde – im Gegensatz zur Erhebung einer Klage beim Landesgericht – unentgeltlich ist und vor der Behörde auch keine Anwaltspflicht herrscht. Hierbei wird nicht verkannt, dass in Verwaltungsverfahren das Prinzip der Kostenselbsttragung herrscht und daher im Falle einer erfolgreichen Beschwerde auch keine Vertretungskosten erstattet werden. Im Falle einer Klage vor einem Zivilgericht ist die Pauschalgebühr durch den Kläger zu entrichten, dazu kommen die Kosten für die notwendige Vertretung durch einen Rechtsanwalt, wenngleich es im Fall des vollständigen Obsiegens auch zu einem vollständigen Ersatz der Verfahrens- und Vertretungskosten kommt (vgl Jahnel, Zum Zusammenspiel zwischen dem verwaltungsrechtlichen Weg und dem Zivilrechtsweg und die Schnittstellen zum Verfassungsrecht und zum Europarecht in: Nunner-Krautgasser/Garber/Klauser (Hrsg), Rechtsdurchsetzung im Datenschutz nach der DSGVO und dem DSG 2018 [2019]). Im zivilgerichtlichen Verfahren kann zwar Verfahrenshilfe beantragt werden (vgl §63 ff ZPO). Die Partei hat jedoch die gänzliche oder teilweise Nachzahlung der Beträge zu bewerkstelligen, soweit und sobald sie ohne Beeinträchtigung des notwendigen Unterhalts dazu imstande ist (vgl näher §71 Abs1 ZPO). Verfahrenshilfe wird auch nur für die eigenen Kosten gewährt, im Falle des Unterliegens sind jedoch die gegnerischen Kosten trotz bewilligter Verfahrenshilfe zu begleichen (vgl M. Bydlinski in Fasching/Konecny3 II/1 Vor §§63 ff ZPO Rz 3 (Stand 1.9.2014, rdb.at). Gesamtbetrachtet sind somit die Anforderungen an den Betroffenen bei der Ausübung des Beschwerderechts bei der DSB als geringer zu betrachten.
Es entspricht auch nicht dem Willen des Gesetzgebers, medienrechtliche Sachverhalte ausschließlich dem Mediengesetz und der gerichtlichen Zuständigkeit zu unterwerfen. Vielmehr geht der (unionsrechtliche) Gesetzgeber in Art85 DSGVO davon aus, dass von nationalen Gesetzgebern (nur) die in Abwägung der Grundrechte auf Datenschutz und auf freie Meinungsäußerung erforderlichen Ausnahmen von der DSGVO vorzusehen sind. Eine Erforderlichkeit der Unzuständigkeit der nationalen Datenschutzbehörde ist nicht ersichtlich, schon gar nicht die Erforderlichkeit einer (gleichheitswidrigen) 'Teilunzuständigkeit' für Beschwerden gegen besondere Akteure wie Medien