Norm
B-VG Art52aText
GZ: 2022-0.083.310 vom 14. Februar 2022 (Verfahrenszahl: DSB-D124.0128/22)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über den Antrag nach § 22 DSG von Udo A*** (Antragsteller), vertreten durch die W*** Rechtsanwälte GmbH, B***straße *4, *** S***, auf Untersagung der Verarbeitung seiner personenbezogenen Daten durch die bevorstehende Übermittlung von Informationen zu Finanzstrafverfahren gegen seine Person bzw. gegen Unternehmen, die in seinem Eigentum standen oder in denen dieser Organfunktionen innehatte, an den Untersuchungsausschuss betreffend Klärung von Korruptionsvorwürfen gegen ÖVP-Regierungsmitglieder (ÖVP-Korruptions-Untersuchungsausschuss) gegen den Bundesminister für Finanzen (Antragsgegner) wie folgt:
? Der Antrag wird abgewiesen.
Rechtsgrundlagen: §§ 22 Abs. 1 und 4 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, Art. 18, 51, 57 und 58 der Datenschutz-Grundverordnung (DSGVO) iVm §§ 56, 57 Abs. 1 und 58 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, Art. 52a, 53 und 138b des Bundes-Verfassungsgesetzes (B-VG), BGBl. Nr. 1/1930 idgF, § 25 der Verfahrensordnung für parlamentarische Untersuchungsausschüsse (VO-UA), BGBl. I. Nr. 99/2014 idgF.
BEGRÜNDUNG
A. Vorbringen
1. Der Antragsteller hat am 24. Jänner 2022 einen Antrag auf Erlassung eines Mandatsbescheides gemäß § 22 Abs. 4 DSG iVm § 57 Abs. 1 AVG und Art. 58 Abs. 2 lit. f DSGVO gestellt.
Begründend brachte der Antragsteller im Wesentlichen vor, dass die Minderheit des parlamentarischen Untersuchungsausschusses mit dem Namen „ÖVP-Korruptions-Untersuchungsausschuss“ vom Antragsgegner gefordert hätte zu erheben, ob gegen ihn bzw. Unternehmen, die in seinem Eigentum standen oder in denen er Organfunktion innehatte, seit 2015 Finanzstrafverfahren eingeleitet worden seien und zu welcher Zahl diese geführt werden würden.
Die Übermittlung der betroffenen Daten an den U-Ausschuss wäre für sich genommen kein Problem. Unerträglich sei jedoch die notorische, spätestens seit dem Ibiza-U-Ausschuss allgemein bekannte Durchlässigkeit von U-Ausschüssen gegenüber der Medienöffentlichkeit. Sie zwinge ihn dazu, vorsorglich schon gegen die Weitergabe von ihn betreffenden Daten welcher Art immer an den U-Ausschuss vorzugehen.
Zum anderen handle es sich offensichtlich um unzulässige Erkundungsbeweise. So diene die vorgesehene Datenverarbeitung nicht dazu, einen „bestimmte[n] abgeschlossene[n] Vorgang im Bereich der Vollziehung des Bundes“ zu untersuchen, sondern vielmehr, für die Medien interessante Informationsschnipsel zu finden.
Er werde aufgrund einer pauschalen, durch keinerlei Substanz unterlegten Verdächtigung vor ein politisches Tribunal gestellt – mit dem einzigen erkennbaren Ziel, ihn vorzuführen, um auf seinem Rücken politisches Kleingeld zu wechseln.
Die fragliche Datenverarbeitung - sowohl die Auswertung als auch die Übermittlung - falle in den Anwendungsbereich der DSGVO und des DSG. Die Datenverarbeitungen seien daher nur dann zulässig, wenn sie einerseits den allgemeinen Grundprinzipien der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) entsprechen und andererseits einen konkreten Erlaubnistatbestand (Art. 6 DSGVO) erfüllen.
Das vorliegende Verlangen gem. § 25 Abs. 2 VO-UA bezwecke nichts anderes als die Einholung von Erkundungsbeweisen und widerspreche der vom Gesetzgeber statuierten Bestimmtheitsanforderung. Sein Name sei aus der umfassenden Liste der „(potentiellen) SpenderInnen der ÖVP“ völlig willkürlich herausgepickt und in einen zutiefst reputationsschädigenden, ehrenrührigen Konnex zu (rein vermuteten) Finanzstrafverfahren und Korruption gebracht worden.
Da es weder bundesverfassungsrechtlich noch einfachgesetzlich vorgesehen sei, unzulässigen Beweisanforderungen nachzukommen, sei die Datenverarbeitung (Auswertung und Übermittlung) nicht zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Es liege somit kein Erlaubnistatbestand im Sinn von Art. 6 DSGVO vor.
Es fehle dem gegenständlichen Verlangen außerdem an der in Art. 53 Abs. 3 B-VG geforderten Beschränkung, nach welcher lediglich Akten und Unterlagen „im Umfang des Gegenstandes der Untersuchung“ vorgelegt werden dürfen. Hinsichtlich der geforderten Daten liege jedoch nicht einmal eine abstrakte Relevanz für den Untersuchungsgegenstand vor. Es liege eine Verletzung des Grundsatzes der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a DSGVO vor. Außerdem liege ein Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO vor.
Eine Vorlage erachte der Antragsteller als mit den Anforderungen der DSGVO unvereinbar, da sie aufgrund des Fehlens der abstrakten Relevanz für den Untersuchungsgegenstand gegen die Grundsätze der Datenminimierung, Rechtmäßigkeit und der Zweckbindung verstoße. Ebenso müsse eine Interessenabwägung gemäß § 1 Abs. 2 DSG zu Gunsten des Antragstellers ausfallen.
Die Übermittlung von personenbezogenen Daten an den U-Ausschuss sei vor allem deshalb so problematisch, weil die den Mitgliedern des U-Ausschusses und sonstigen auf die Daten zugriffsberechtigten Personen auferlegten Geheimhaltungspflichten von diesen schlicht als irrelevant betrachtet werden würden. Zwar sehen die VO-UA und das InfOG an mehreren Stellen ein Weitergabe- und Veröffentlichungsverbot vor. Insbesondere die Zuspielung von Unterlagen aus dem Untersuchungsausschuss betreffend mutmaßliche Käuflichkeit der türkis-blauen Bunderegierung („Ibiza-U-Ausschuss“) an die Medien habe aber gezeigt, dass der U-Ausschuss löchrig wie ein Schweizer Käse sei und es praktisch unmöglich sei, die Verantwortlichen für die Datenleaks zur Verantwortung zu ziehen.
Es liege hinsichtlich der gegenständlichen Datenverarbeitung Gefahr im Verzug vor. Es sei davon auszugehen, dass der Bundesminister, wenn er nicht ohnehin bereits damit begonnen habe, in den nächsten Tagen mit der Auswertung/Erhebung der geforderten Daten beginne und die ausgewerteten Daten alsbald dem U-Ausschuss übermitteln werde. Das bedeute, dass die Unterlagen von der Registratur des Nationalrates ohne vorherige Information und Anhörung der betroffenen Person sowie ohne nähere Prüfung des Inhalts der Unterlagen und der Rechtmäßigkeit der Verarbeitung an alle Mitglieder des U-Ausschusses und zahlreiche weitere Personen übermittelt werden würden, sobald diese dort eingelangt seien. Es liege eine wesentliche und unmittelbare Gefährdung seiner schutzwürdigen Geheimhaltungsinteressen vor.
2. Mit Eingabe vom 31. Jänner 2022 brachte der Antragsgegner vor, das Erhebungsersuchen des Parlamentes führe im Ergebnis dazu, dass sich der U-Ausschuss des Bundesministers für Finanzen zum Zwecke der mittelbaren Beweisaufnahme durch den U-Ausschuss bediene. Der Antragsgegner sei zwar formell der exekutiven Staatsgewalt zuzuordnen. Soweit er aber Erhebungen im Auftrag eines U-Ausschusses ausführe, werde er jedoch funktionell für die Legislative tätig. Handlungen einer Verwaltungsbehörde zur Umsetzung eines Ersuchens eines U-Ausschusses auf Durchführung von Erhebungen nach § 25 Abs. 3 VO -UA seien der gesetzgebenden Gewalt zuzurechnen.
Die Entscheidung über die Zwecke der Datenverarbeitung sei durch den Ermittlungsauftrag nach § 25 Abs. 2 und 3 VO-UA und dem Untersuchungsgegenstand vorgegeben. Dass nicht auch die Mittel der Datenverarbeitung vorgegeben seien und dem Antragsgegner hier ein Spielraum hinsichtlich des technisch-organisatorischen Mitteleinsatzes bleibe, ändere nichts daran, dass die Zwecke der Datenverarbeitung vom U-Ausschuss vorgegeben seien. Daraus folge, dass der U-Ausschuss und nicht der Bundesminister für Finanzen als Verantwortlicher zu qualifizieren sei.
Nach dem Wortlaut des § 18 DSG sei die DSB als nationale Aufsichtsbehörde nach Art. 51 DSGVO eingerichtet. Aus verfassungsrechtlicher Sicht wäre es jedoch nicht argumentierbar, dass die DSB zur Kontrolle des gesetzgebenden Organs berufen wäre.
Eine allfällige datenschutzrechtliche Kontrolle habe sich darauf zu beschränken, zu überprüfen, ob bei der Handhabung von im Rahmen des Untersuchungsgegenstandes und des Beweisbeschlusses gewonnenen personenbezogenen Daten die entsprechenden datenschutzrechtlichen Bestimmungen eingehalten wurden. Der vorliegende Antrag an die DSB richte sich im Wesentlichen nicht dagegen, dass bei der Verarbeitung personenbezogener Daten die Vorgaben der DSGVO nicht eingehalten wurden, sondern gegen den Erhebungsauftrag des U-Ausschusses an den Antragsgegner. Insoweit bestehe auch keine Zuständigkeit der DSB. Es sei der DSB als Verwaltungsbehörde ohne ausdrückliche verfassungsrechtliche Grundlage verwehrt, Akte, die der Gesetzgebung zuzurechnen seien, zu prüfen. Dies gelte selbst dann, wenn man davon ausgehe, dass der Antragsgegner im Rahmen des Erhebungsauftrages nicht als Hilfsorgan der Gesetzgebung, sondern als Organ der Verwaltung tätig werde, da auch diesfalls ein allfälliger Untersagungsbescheid der DSB den Erhebungsauftrag des U-Ausschusses materiell sistieren würde.
Die Argumente des Antragstellers seien nicht geeignet, eine unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen gemäß §§ 22 Abs. 4 DSG iVm 57 Abs. 1 AVG zu begründen. Der Antragsgegner sei als vorlagepflichtiges Organ gegenüber dem Untersuchungsausschuss verpflichtet, im Rahmen seiner Zuständigkeit sämtliche Beweisanforderungen vollinhaltlich zu erfüllen. Im konkreten Fall habe der Untersuchungsausschuss klar definiert, welche Akten und Unterlagen gemäß dem ergänzenden Beweisbeschluss nach § 25 Abs. 2 VO-UA durch den Bundesminister für Finanzen dem Parlament vorzulegen seien. Die lediglich durch den Antragsteller behauptete Gefährdung seiner schutzwürdigen Geheimhaltungsinteressen ergebe sich, wenn überhaupt, dann nur in der Sphäre des Untersuchungsausschusses im Parlament.
Der VwGH habe sich jüngst eingehend mit der Frage auseinandergesetzt, ob die DSGVO auch auf Kerntätigkeiten der Gesetzgebung anwendbar sei und habe diese Frage verneint, weil diese Tätigkeit unter Art. 16 Abs. 2 AEUV falle und somit gemäß Art. 2 Abs. 2 lit a DSGVO vom sachlichen Anwendungsbereich der DSGVO ausgenommen sei (VwGH 14.12.2021, Ro 2021/04/0006). Auch wenn diese Ausführungen in einem Vorabentscheidungsersuchen an den EuGH enthalten seien und eine Entscheidung des EuGHs noch ausstehe, seien sie durchaus überzeugend und vertretbar, sodass mangels Anwendbarkeit der DSGVO keine Prüfbefugnis der DSB bestehe.
Die Vorlageverpflichtung habe eine ausreichende gesetzliche Grundlage iSd § 1 Abs. 2 DSG und falle die dort vorgesehene Interessensabwägung aufgrund der Bedeutung der parlamentarischen Kontrolle für eine demokratische Gesellschaft jedenfalls zugunsten der Zulässigkeit der Datenverwendung aus. Die weitere Behandlung der Daten im U-Ausschuss falle unabhängig davon, ob der Antragsgegner hinsichtlich der Erhebung der Daten im Rahmen eines Auftrages des U-Ausschusses selbst Verantwortlicher sei oder nicht, ausschließlich in den Verantwortungsbereich des Parlamentes und könne daher nicht Grundlage eines an den Bundesminister für Finanzen gerichteten Unterlassungsbescheides sein.
Ebenso werde angemerkt, dass ein vorlagepflichtiges Organ keine Kompetenz habe, eine konkrete und klar definierte ergänzende Beweisanforderung wie im gegenständlichen Fall im Nachhinein abzuändern. Ähnliches gelte für die Beurteilung der datenschutzrechtlichen Grundsätze der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO und Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO bei Erfüllung einer ergänzenden Beweisanforderung, falls man die Anwendbarkeit der DSGVO im Bereich der U-Ausschüsse bejahen würde. Die (theoretische) Möglichkeit einer Datenschutzverletzung durch Mitglieder des Untersuchungsausschusses oder sonstige auf die Daten zugriffsberechtigten Personen unter Nichteinhaltung gesetzlicher Verschwiegenheits- und Geheimhaltungsverpflichtungen könne keinesfalls die Nichtbefolgung einer ergänzenden Beweisanforderung durch ein vorlagepflichtiges Organ rechtfertigen, dessen Handeln nach Art. 18 B-VG nur auf Grundlage von Gesetzen erfolgen dürfe. Weiters würden Rechtsschutzmöglichkeiten im Zusammenhang mit dem Untersuchungsausschuss bestehen, welche dem Betroffenen jederzeit offenstehen.
B. Sachverhaltsfeststellungen
1. Mit 13. Oktober 2021 wurde das Verlangen auf Einsetzung eines Untersuchungsausschusses gemäß § 33 Abs. 1 zweiter Satz GOG-NR betreffend Klärung von Korruptionsvorwürfen gegen ÖVP Regierungsmitglieder (ÖVP-Korruptions-Untersuchungsausschuss) im Nationalrat eingebracht (4/US 27. GP) und der betreffende Untersuchungsausschuss am 9. Dezember 2021 im Rahmen der 133. Sitzung des Nationalrates eingesetzt.
2. Mit 16. Dezember 2021 wurde durch einen Teil der Mitglieder des Untersuchungsausschusses gemäß § 25 Abs. 2 VO-UA das folgende Verlangen an den Antragsgegner gestellt (Formatierung nicht in 1:1 wiedergegeben, Markierungen durch den Antragsteller):
[Anmerkung Bearbeiter: die grafische Datei (Verlangen an den Antragsgegner durch einen Teil der Mitglieder des Untersuchungsausschusses) wurde entfernt, da sie im RIS nicht pseudonymisiert dargestellt werden kann. Das Dokument enthält das Ersuchen an den Bundesminister für Finanzen, „zu erheben, gegen welche der nachfolgenden Personen bzw. Unternehmen, welche im Eigentum dieser Personen standen oder in denen sie Organfunktionen innehatten, seit 2015 ein Finanzstrafverfahren eingeleitet und zu welcher Zahl dieses geführt wurde“. Die anschließende Aufzählung enthält den Namen des Beschwerdeführers.]
Beweiswürdigung: Die Feststellungen ergeben sich aus dem Vorbringen des Antragstellers im Beschwerdeschriftsatz vom 24. Jänner 2022, der Stellungnahme des Antragsgegners vom 31. Jänner 2022 sowie aus amtswegigen Ermittlungen der Datenschutzbehörde (ÖVP - Korruptions- Untersuchungsausschuss).
D. In rechtlicher Hinsicht folgt daraus:
C.1. Zur Zuständigkeit der Datenschutzbehörde
Der Antragsgegner bringt im Wesentlichen vor, er sei zwar formell der exekutiven Staatsgewalt zuzuordnen. Soweit er Erhebungen im Auftrag eines U-Ausschusses ausführe, werde er jedoch funktionell für die Legislative tätig und sei die Zuständigkeit der Datenschutzbehörde daher nicht gegeben. Der Antragsgegner verweist in diesem Zusammenhang auf die Judikatur des Verfassungsgerichtshofes, wonach Organe, die im Auftrag einer anderen einer Staatsfunktion tätig werden, nach ständiger Rechtsprechung des Verfassungsgerichtshofes jener Staatsfunktion zugerechnet werden, in deren Auftrag sie handeln (VfSlg. 10.290/1984, 11.961/1989, 13.670/1994 betreffend Maßnahmen von Verwaltungsbehörden aufgrund eines richterlichen Befehls).
Die Datenschutzbehörde teilt die Rechtsmeinung des Antragsgegners, dass er als vorlegendes Organ der gesetzgebenden Gewalt zuzurechnen ist, nicht:
Gemäß Art. 53 Abs. 1 B-VG kann der Nationalrat durch Beschluss Untersuchungsausschüsse einsetzen. Untersuchungsausschüsse sind sowohl organisatorisch als auch funktionell der gesetzgebenden Gewalt zuzuordnen.
Art. 53 Abs. 3 B-VG verpflichtet alle genannten Organe, die Tätigkeit eines Untersuchungsausschusses durch Vorlage von Akten und Unterlagen sowie durch Erhebungen zu unterstützen. Abs. 3 leg. cit. begründet ein Selbstinformationsrecht des U-Ausschusses im Umfang des Untersuchungsgegenstands (vgl. Konrath/Posnik in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 53 B-VG).
Gemäß § 25 Abs. 2 VO-UA kann ein Viertel der Mitglieder des (bereits eingesetzten) Untersuchungsausschusses (über den grundsätzlichen Beweisbeschluss hinaus) ergänzende Beweisanforderungen verlangen.
Maßgeblich sind dabei die verfassungsmäßigen Vorgaben gemäß Art. 53 Abs. 3 und 4 B-VG. Sie sollen sicherstellen, dass durch die Tätigkeit eines Untersuchungsausschusses weder Quellen gemäß Art. 52a Abs. 2 B-VG gefährdet werden, noch Einfluss auf einen Entscheidungs- oder Willensbildungsprozess in einem Organ der Vollziehung des Bundes genommen wird, und dieser auch nicht in anderer Weise beeinträchtigt wird (vgl. Taschenbuch Untersuchungsausschüsse Gesetzestexte und Erläuterungen, 7. Auflage, Seite 73).
Das der Bundesverfassung zugrundeliegende System der Gewaltentrennung und nur einzelner gewaltenverbindender Elemente setzt einen selbständigen Verantwortungsbereich der Vollziehung im Allgemeinen, der Bundesregierung und ihrer Mitglieder im Speziellen voraus. Durch die Bestimmung des Untersuchungsgegenstandes in Art. 53 Abs. 2 B-VG wird grundsätzlich ausgeschlossen, dass ein Untersuchungsausschuss mit der laufenden Tätigkeit der Bundesregierung oder ihrer Mitglieder und insbesondere mit offenen Willensbildungsprozessen befasst wird (vgl. Erl zu BGBl. I Nr. 101/2014, 439 dB XXV. GP)
Art. 53 Abs. 4 B-VG konkretisiert Abs. 3 insoweit, als er klarstellt, dass die Informationsrechte des Nationalrates im Interesse der Funktionsfähigkeit der Bundesregierung und ihrer Mitglieder nicht schrankenlos sind (vgl. Taschenbuch Untersuchungsausschüsse Gesetzestexte und Erläuterungen, 7. Auflage, Seite 14 ff).
Insgesamt ergibt sich aus diesen Bestimmungen, dass das Informationsrecht des Nationalrates daher eingeschränkt werden kann und dienen die Ausnahme u.a. der Sicherung der Funktionsfähigkeit und der unabhängigen und unbeeinflussten Entscheidung der Bundesregierung bzw. eines Mitglieds der Bundesregierung im Einzelfall (vgl. Zögernitz, NR-GOG, § 24 VO-UA).
Anders als der Antragsgegner also vorbringt, ist er nicht in jedem Fall zur Vorlage an den Untersuchungsausschuss verpflichtet, insbesondere eben nicht in den Fällen Art. 53 Abs. 3 letzter Satz und Abs. 4 B-VG, was jedenfalls gegen die Annahme des Antragsgegners spricht, dass er „als (bloßes) Erhebungsorgan“ funktional der Staatsfunktion Gesetzgebung zuzurechnen wäre, weil er in diesem Fall keinen eigenständigen Beurteilungsspielraum im Hinblick auf die Aktenvorlage hätte. Auch die Regelung des Art. 138b Abs. 1 Z 4 B-VG und die dazu ergangene Rechtsprechung des Verfassungsgerichtshofes (siehe insbesondere VfSlg. 19.973/2015) sprechen gegen die Annahme des Antragsgegners.
Daher wird dem Antragsgegner auch im Falle der Vorlagepflicht an einen Untersuchungsausschuss nicht seine organisatorische und funktionale Einordnung als Organ der Verwaltung genommen.
Zusammenfassend ist es daher möglich, Beschwerden im Zusammenhang mit einer Aktenvorlage durch ein informationspflichtiges Verwaltungsorgan an einen Untersuchungsausschuss bei der Datenschutzbehörde einzubringen, welche eine umfassende Kontrollbefugnis über – auch oberste- Organe der Verwaltung besitzt (§ 35 Abs. 1 und 2 DSG).
Allerdings ist die Rolle der Datenschutzbehörde, wie der Verfassungsgerichtshof bereits ausgesprochen hat, im Falle der Vorlagepflicht an einen Untersuchungsausschuss auf eine ex-post Kontrolle beschränkt (siehe dazu etwa den Beschluss vom 25. September 2021, UA 6/2021 mwN; siehe dazu auch den – stattgebenden – Bescheid vom 8. September 2021, GZ: 2021-0.474.768).
Eine ex-ante Kontrolle, wie vom Antragsteller angestrebt, würde im Ergebnis unweigerlich dazu führen, dass die Datenschutzbehörde als – wenngleich unabhängige – Verwaltungsbehörde an die Stelle des vorlagepflichtigen Organs träte und somit eine Auslegung eines Verlangens gemäß § 25 VO-UA vorzunehmen hätte. Dies liefe im Ergebnis zum einen auf eine inhaltliche Prüfung des Verlangens und damit auf die Zulässigkeit des Verlangens unter dem Blickwinkel der DSGVO und des DSG hinaus. Zum anderen läge es dann in der Hand der Datenschutzbehörde, die Aktenvorlagen an einen Untersuchungsausschuss (teilweise) zu unterbinden und damit dessen Untersuchungstätigkeit einzuschränken, ohne dass es dem Untersuchungsausschuss bzw. seiner Mitglieder mangels Parteistellung möglich wäre, diese Entscheidung zu bekämpfen.
Der Verfassungsgesetzgeber hat in Art. 138b B-VG (abschließend) die Möglichkeit zur verbindlichen Streitbeilegung durch den Verfassungsgerichtshof im Zusammenhang mit Untersuchungsausschüssen vorgesehen.
Dass Art. 138b B-VG keine Möglichkeit einer betroffenen Person vorsieht, eine Aktenvorlage aus Gründen der Gefahr der Verletzung höchstpersönlicher Recht zu unterbinden (siehe dazu nochmals das bereits zitierte Erkenntnis vom 25. September 2021) mag zwar eine Lücke im Rechtsschutzsystem darstellen, kann jedoch nicht dazu führen, eine Zuständigkeit der Datenschutzbehörde zu begründen.
Abschließend wird hier angemerkt, dass das durch den Antragsgegner zitierte Vorabentscheidungsersuchen an den EuGH gemäß Art. 267 AEUV (Beschluss des VwGH vom 14. Dezember 2021, EU 2021/0009-1 (Ro 2021/04/0006); do. protokolliert zu C-33/22), die Anwendbarkeit der DSGVO auf die Verarbeitung personenbezogener Daten durch einen von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss zum Gegenstand hat. Im vorliegenden Fall ist hingegen eine Datenverarbeitung verfahrensgegenständlich, die zwar im Zusammenhang mit der Tätigkeit eines Untersuchungsausschusses steht, jedoch durch ein dem Untersuchungsausschuss vorlegendes Organ erfolgt bzw. erfolgen soll. Aus dem genannten Vorabentscheidungsersuchen kann für den vorliegenden Fall daher nichts gewonnen werden.
Der Antrag erweist sich daher bereits aus den oben genannten Gründen als unzulässig.
C.2. Zum Mandatsbescheid im Allgemeinen
Aber selbst dann, wenn man eine Zuständigkeit der Datenschutzbehörde annehmen wollte, wäre dem Antrag kein Erfolg beschieden.
Mandatsbescheide dienen typischerweise der sofortigen und amtswegigen Durchsetzung unaufschiebbarer Maßnahmen verwaltungspolizeilichen Charakters in einem Einparteienverfahren. Insoweit haben sie vorläufigen Charakter und passen somit nicht in ein Verfahren mit mehreren Beteiligten, in dem ein (End-) Bescheid ergehen kann, der die – zwischen den Beteiligten strittige Sache – nach Durchführung entsprechender Ermittlungen endgültig regeln würde.
Es handelt sich insoweit also hier um einen atypischen Mandatsbescheid eigener Art, allerdings ist aus dem klaren Wortlaut des Gesetzes im Sinne des Vorbringens des Antragstellers doch abzuleiten, dass der Gesetzgeber dem Betroffenen hier ein subjektives Recht auf Rechtsschutz durch die Datenschutzbehörde einräumen wollte. Es muss also über den vorliegenden Antrag meritorisch entschieden werden (vgl. dazu bereits den Bescheid vom 29. Oktober 2015, GZ: DSB-D215.861/0010-DSB/2015).
Nach § 22 Abs. 4 DSG in Verbindung mit § 57 Abs. 1 AVG ist die Datenschutzbehörde berechtigt, ohne vorangegangenes Ermittlungsverfahren die Weiterführung einer Datenverarbeitung mit Mandatsbescheid zu untersagen, wenn durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Person (Gefahr im Verzug) vorliegt und trägt somit einem erhöhten Gefährdungspotential bei Gefahr im Verzug Rechnung (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 8).
Da der Erlassung eines Mandatsbescheides kein Ermittlungsverfahren der Datenschutzbehörde vorangehen muss, obliegt es dem Antragsteller, die gesetzlichen Voraussetzungen der Bescheiderlassung zusammen mit dem Antrag zu bescheinigen (glaubhaft zu machen, einen Anscheinsbeweis zu erbringen; vgl. Schmidl in Gantschacher†/Jelinek/Schmidl/Spanberger, Kommentar zum DSG, § 22 Anm. 9). Eine spätere Nachholung der Bescheinigung oder ein Beweisverfahren darüber wäre mit dem Charakter des Bescheides nach § 22 DSG als unaufschiebbare Maßnahme verwaltungspolizeilichen Charakters (datenschutzpolizeiliche Dringlichkeitsverfügung) nicht vereinbar (vgl. den Bescheid vom 24. September 2015, GZ: DSB-D215.813/0012-DSB/2015).
Die Erlassung eines Mandatsbescheides erfordert einerseits eine materielle Rechtswidrigkeit der Datenverarbeitung und ist für deren Vorliegen bereits ein begründeter Verdacht ausreichend. Es müssen also tatsächliche Anhaltspunkte die Annahme der Wahrscheinlichkeit rechtfertigen, dass Bestimmungen des Datenschutzrechts verletzt wurden und dies rational nachvollziehbar dargelegt werden kann (vgl. VwGH 21. März 2012, 2012/16/0005). Andererseits ist erforderlich, dass durch den Betrieb eben dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (dh Gefahr im Verzug) vorliegt (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 15). Für die Erlassung eines Mandatsbescheides müssen beide Kriterien erfüllt sein.
Gefahr im Verzug liegt vor, wenn das Unterlassen der behördlichen Maßnahme voraussichtlich dazu führen würde, dass Betroffene (weitere) Privatsphärenverletzungen oder gar Schäden hinnehmen müssten, die durch das Erlassen der vorläufigen Untersagung der Datenverarbeitung verhindert werden können. § 22 Abs. 4 DSG stellt insoweit eine lex specialis zu § 57 AVG dar. Dies bedeutet, dass die ansonsten durchzuführende Prüfung der Unaufschiebbarkeit der Maßnahme im Verhältnis zur notwendigen Dauer des Ermittlungsverfahrens im Datenschutzbereich entfällt (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 18).
Zur Erfüllung des Tatbestandes der „Gefahr im Verzug“ reicht eine allgemeine Besorgnis hinsichtlich zukünftiger Ereignisse nicht aus (vgl. DSK 30.3.2012, K121.765/0008-DSK/2012). Das Vorliegen der Gefahr im Verzug muss mit Tatsachen begründet werden, die auf den Einzelfall bezogen sind. Reine Spekulationen, hypothetische Erwägungen oder lediglich auf Alltagserfahrung gestützte, fallunabhängige Vermutungen genügen nicht (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 20).
C.3. Zum Vorliegen einer wesentlichen unmittelbaren Gefährdung schutzwürdiger Geheimhaltungsinteressen des Antragstellers durch den Betrieb der gegenständlichen Datenverarbeitung (Gefahr im Verzug):
Zunächst ist festzuhalten, dass die Datenschutzbehörde nach den oben getroffenen Ausführungen jedenfalls über den Antrag vom 24. Jänner 2022 auf Erlassung eines Mandatsbescheides gemäß § 22 Abs. 4 DSG iVm § 57 Abs. 1 AVG iVm Art. 58 Abs. 2 lit. f DSGVO meritorisch abzusprechen hat.
Wie festgestellt, wurde im Rahmen der ergänzenden Beweisanforderung gemäß § 25 Abs. 2 VO-UA vom 16. Dezember 2021 an den Antragsgegner das Verlangen gerichtet, zu erheben, ob gegen den Antragsteller bzw. Unternehmen, die im Eigentum von diesem standen oder in denen er Organfunktionen innehatte, seit 2015 ein Finanzstrafverfahren eingeleitet wurde und zu welcher Zahl dieses geführt wurde.
Zur fraglichen Datenverarbeitung bringt der Antragsteller vor, dass die Auswertung und Übermittlung der betroffenen Daten an den Untersuchungsausschuss grundsätzlich kein Problem sei, sondern es um die Weiterleitung von Informationen bzw. Unterlagen an die Medienöffentlichkeit durch Mitglieder des Untersuchungsausschusses gehe.
Zu dem etwaigen Vorliegen von Gefahr im Verzug behauptet der Antragsteller in seiner verfahrenseinleitenden Eingabe, infolge der Ermittlungstätigkeit des ÖVP-Korruptions-Untersuchungsausschuss sei davon auszugehen, dass die Daten zeitnah an eben diesen Untersuchungsausschuss übermittelt würden. Im Wesentlichen begründet der Antragsteller das Vorliegen einer wesentlichen Gefährdung seiner Geheimhaltungsinteressen sohin damit, dass ihn betreffende Informationen bzw. Unterlagen durch Dritte (Mitglieder des Untersuchungsausschusses) weitergegeben und schließlich veröffentlicht würden.
Die Zulässigkeit eines Mandatsbescheides setzt aber voraus, dass eine Gefahrensituation durch den Antragsgegner und Verantwortlichen iSd Art. 4 Z 7 DSGVO zu befürchten ist.
Es ist gegenständlich aber nicht erkennbar und wurde auch nicht vorgebracht, inwieweit diese Gefahrensituation unmittelbar durch die beanstandete Datenverarbeitung durch den Antragsgegner gegeben wäre (zumal diese grundsätzlich in Art. 53 Abs. 3 B-VG Deckung findet), richtet sich der Antrag vom 24. Jänner 2022 doch gegen die (bevorstehende) Auswertung und Übermittlung von Unterlagen mit Bezug zu dem Antragsteller an den ÖVP-Korruptions-Untersuchungsausschuss. Die Offenlegung dieser personenbezogenen Daten (etwa an Medien) unmittelbar durch den Antragsgegner wurde seitens des Antragstellers zu keinem Zeitpunkt behauptet. Vielmehr brachte der Antragssteller ausdrücklich vor, dass die Datenverarbeitung des Antragsgegners grundsätzlich kein Problem darstelle.
Sohin liegt die (behauptete) unmittelbare Gefährdung seiner schutzwürdigen Geheimhaltungsinteressen nicht in der verfahrensgegenständlichen Datenverarbeitung.
Aus dem Vorbringen des Antragstellers lässt sich außerdem lediglich eine allgemeine Besorgnis hinsichtlich zukünftiger Ereignisse ableiten, die allerdings nicht der Sphäre des Antragsgegners zuzurechnen sind. Bei der Befürchtung, Mitglieder des Untersuchungsausschusses würden – entgegen bestehender Geheimhaltungsverpflichtungen – die ihnen im Rahmen ihrer Tätigkeit für den Untersuchungsausschuss bekannt gewordene Informationen Dritten gegenüber offenlegen, handelt es sich aus Sicht der Datenschutzbehörde lediglich um hypothetische Erwägungen bzw. lediglich auf Alltagserfahrung gestützte Vermutungen (vom Antragsteller wird „die notorische Durchlässigkeit von U-Ausschüssen“ angeführt), welche nicht geeignet sind, das Vorliegen einer konkreten Gefahrensituation iSd § 22 DSG im Hinblick auf den Antragsgegner bescheinigen zu können (vgl. erneut Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 20).
Zusammenfassend ist somit festzuhalten, dass die vermeintliche Gefährdung von Interessen des Antragstellers in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen wird, nicht jedoch, in der – hier verfahrensgegenständlichen – Datenverarbeitung durch den Antragsgegner. Es liegt jedenfalls außerhalb der Sphäre des Antragsgegners, die Datenverarbeitung nach erfolgter Übermittlung (abgesehen von der Klassifizierung nach dem InfOG) zu beeinflussen.
Der Antrag war somit spruchgemäß abzuweisen.
Im vorliegenden Fall hat der Antragssteller einen Antrag auf Erlassung eines Mandatsbescheides gemäß § 22 Abs. 4 DSG iVm § 57 Abs. 1 AVG iVm Art. 58 Abs. 2 lit f DSGVO gestellt.
Aus diesem Grund sind diese Rechtsgrundlagen für einen Mandatsbescheid im Spruch auch angeführt (§ 22 Abs. 4 DSG und § 57 AVG). Dennoch erfolgt die Abweisung nicht in Form eines Mandatsbescheides, da es für die Abweisung des Antrages an dem gemäß § 57 Abs. 1 AVG gebotenen Merkmal der Gefahr im Verzug jedenfalls fehlt. Ein Mandatsbescheid – und damit ein durch die Möglichkeit der Vorstellung erweitertes und verlängertes Rechtsschutzverfahren – ergibt logisch systematisch nur im Fall eines positiven verwaltungspolizeilichen Eingriffs in bestehende Rechte einen Sinn (arg: „unaufschiebbare Maßnahmen“), nicht jedoch im gegenständlichen Fall der Ablehnung eines solchen beantragten Eingriffs mangels Vorliegens der gesetzlichen Voraussetzungen (vgl. nochmals den o.g. Bescheid vom 24. September 2015).
Schlagworte
Geheimhaltung, Zuständigkeit der Datenschutzbehörde, Rechtmäßigkeit der Verarbeitung, Mandatsbescheid, Verantwortlicher, Bundesminister, Untersagung der Verarbeitung, Parlament, Nationalrat, parlamentarischer Untersuchungsausschuss, Gefahr im Verzug, Gefährdung durch Dritte, konkrete GefahrensituationEuropean Case Law Identifier (ECLI)
ECLI:AT:DSB:2022:2022.0.083.310Zuletzt aktualisiert am
10.03.2023