Parlamentarisches Datenschutzkomitee

Osterreich  Parlamentarisches Datenschutzkomitee
Österreichische Behörde
Staatliche Ebene Bund
Stellung der Behörde datenschutzrechtliche Aufsichtsbehörde (weisungsfrei)
Gründung 1. Jänner 2025 (Beginn der gesetzlichen Zuständigkeit)
Hauptsitz Dr.-Karl-Renner-Ring 3, 1017 Wien
Behörden­leitung Der Vorsitz wechselt jährlich unter den fünf Mitgliedern
Website www.pdk.gv.at

Das Parlamentarische Datenschutzkomitee (PDK) ist eine Behörde in Österreich. Sie ist als datenschutzrechtliche Aufsichtsbehörde zur Überwachung von Datenverarbeitungen im Bereich der Gesetzgebung zuständig[1] und entscheidet über Datenschutzbeschwerden[2] gegen Organe der Gesetzgebung einschließlich deren Verwaltungsangelegenheiten.

Das Parlamentarische Datenschutzkomitee ist zuständig für die Arbeitsbereiche von Nationalrat, Bundesrat, Rechnungshof und Volksanwaltschaft.

Durch Landesverfassungsgesetze kann es auch für die Aufsicht über die Datenverarbeitungen der Landtage, der Landesrechnungshöfe und die Landesvolksanwälte zuständig gemacht werden.[1] Von dieser Möglichkeit haben zum Stand Anfang September 2025 folgende Länder Gebrauch gemacht (Reihenfolge chronologisch):

Das Parlamentarische Datenschutzkomitee ist eine der zwei datenschutzrechtlichen Aufsichtsbehörden in Österreich, die andere ist die Datenschutzbehörde.

Rechtsgrundlage des Parlamentarische Datenschutzkomitees ist die Novelle zum österreichischen Datenschutzgesetz im Bundesgesetzblatt vom 4. Juli 2024, BGBl. I Nr. 70/2024. Dieses Gesetz trat mit 15. Juli 2024 in Kraft.[10] Das Parlamentarische Datenschutzkomitee hat danach seine Zuständigkeiten ab 1. Jänner 2025 wahrzunehmen, bereits laufende Verfahren bei anderen Stellen sind dieser Behörde abzutreten.[11]

Entstehung

Ausgangslage

Eine gesetzgebende Körperschaft in Österreich (Nationalrat, Bundesrat, Landtage) ist nicht nur für die Schaffung von Gesetzen zuständig, sondern hat auch das Recht zu kontrollieren, ob die beschlossenen Gesetze rechtmäßig vollzogen werden. Dafür bestehen einerseits konkrete Einrichtungen (Rechnungshöfe, Volksanwaltschaften usw.), andererseits Rechte der Körperschaft bzw. ihrer Mitglieder (der Abgeordneten) selbst (parlamentarische Anfragen, Bearbeitung von Petitionen, Untersuchungsausschüsse). Dabei kann es auch dazu kommen, dass personenbezogene Daten von natürlichen und juristischen Personen verarbeitet werden müssen. Das Thema, ob und welcher Rechtsschutz gegen Datenschutzverletzungen in diesem Bereich bestehe, führte immer wieder zu Verfahren und Diskussionen.[12] Es war einerseits dem österreichischen Datenschutzrecht nicht zu entnehmen, dass die (bereits vorhandene) Datenschutzbehörde auch für solche Themen zuständig sei, andererseits enthielt das europäische Datenschutzrecht (die Datenschutz-Grundverordnung DSGVO) keine Ausnahmen für diesen Bereich.

Ob ein Vorrang des Europarechts auch im Bereich der Gewaltenteilung bestünde, war nicht entschieden. Für die staatliche Organisation in Österreich ist aber die Gewaltenteilung jedenfalls zu beachten. Die drei Staatsgewalten Gesetzgebung (Legislative), ausführende Gewalt (Verwaltung, Exekutive) und Rechtsprechung (Justiz, Judikative) sind getrennt voneinander[13] organisiert. Das dient der Machtbegrenzung und erleichtert die Kontrolle. Es ist damit aber auch nicht ohne Weiteres möglich, dass eine Behörde der Exekutive (wie es die Datenschutzbehörde ist) für Angelegenheiten zuständig ist, die der Gesetzgebung (wie es z. B. der Nationalrat ist) zugeordnet sind. Das kann (innerstaatlich) nur durch eine Änderung der österreichischen Bundesverfassung gestaltet werden. Aus diesem Grund enthalten die gesetzlichen Grundlagen des Parlamentarischen Datenschutzkomitees eine Reihe von Bestimmungen, die ausdrücklich als Verfassungsbestimmung bezeichnet sind. Durch diese Bestimmungen wird die vorher unklare Rechtslage klarer formuliert.

Anlassfall

Anlass für die Schaffung des Parlamentarischen Datenschutzkomitees war eine Beschwerde über die Veröffentlichung eines Protokolls eines Untersuchungsausschusses in folgendem Zusammenhang:

Der Nationalrat hatte am 20. April 2018[14] einen Untersuchungsausschuss eingesetzt, der sich mit möglicher politische Einflussnahme auf das (damalige) Bundesamt für Verfassungsschutz und Terrorismusbekämpfung befassen sollte.[15][16] Am 19. September 2018 wurde ein Mann, der für dieses Amt als verdeckter Ermittler arbeitete, vor diesem Untersuchungsausschuss als Auskunftsperson befragt. Obwohl er ausdrücklich eine Anonymisierung beantragt[17] hatte, wurde auf der Webseite des Österreichischen Parlaments das Protokoll seiner Befragung unter vollständiger Nennung seines Vor- und Familiennamens veröffentlicht.[18][19]

Der Betroffene brachte dagegen eine Beschwerde bei der Datenschutzbehörde ein. Diese erklärte sich am 18. September 2019 für unzuständig und wies die Beschwerde zurück. Ihre Begründung ging dahin, dass ein Untersuchungsausschuss eine Angelegenheit der Gesetzgebung sei und aufgrund des in Österreich geltenden Grundsatzes der Gewaltenteilung eine Kontrolle der Verwaltung über die Gesetzgebung ausgeschlossen sei. Das Rechtsmittel gegen diese Entscheidung war erfolgreich. Das Bundesverwaltungsgericht gab der Beschwerde statt und hob die Entscheidung der Datenschutzbehörde am 23. November 2020 auf.[17] Die Begründung lag darin, dass die europäische Datenschutz-Grundverordnung DSGVO (auch) für Akte der Gesetzgebung maßgeblich sei und die Datenschutzbehörde die Beschwerde somit hätte inhaltlich bearbeiten müssen. Dagegen wiederum erhob die Datenschutzbehörde Revision an den Verwaltungsgerichtshof. Dieser legte das Thema am 14. Dezember 2021 dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsersuchens vor.[20] Kern des Vorlageantrages war die Frage, ob die Datenschutzbehörde auch für das vorliegende Verfahren zuständig sei, obwohl dies in der österreichischen Rechtsordnung nicht geregelt sei. Das europäische Datenschutzrecht enthalte jedoch keine Unterscheidung nach Staatsfunktionen, eine solche Unterscheidung finde sich auch nicht in den nationalen Regelungen. Nur Gerichte seien von der Zuständigkeit der Datenschutzbehörde ausgenommen, ein Untersuchungsausschuss sei aber kein Gericht.

Der Europäische Gerichtshof entschied am 24. Jänner 2024, dass dann, wenn in einem Staat bloß eine einzige datenschutzrechtliche Aufsichtsbehörde eingerichtet sei, diese auch für Beschwerden über Verarbeitungen personenbezogener Daten durch einen Untersuchungsausschuss zuständig sei.[21] Er folgte damit den Schlussanträgen des Generalanwalts vom 11. Mai 2023, der den Standpunkt vertrat, verfassungsrechtliche Hindernisse im österreichischen Recht dürften nicht dazu führen, die Bestimmungen der DSGVO unangewendet zu lassen.[22] Dementsprechend bestätigte der Verwaltungsgerichtshof am 1. Februar 2024 die Entscheidung des Bundesverwaltungsgerichts.[23]

Damit wäre die Datenschutzbehörde (als damals noch einzige datenschutzrechtliche Aufsichtsbehörde in Österreich, nach Aufhebung ihrer am Anfang zurückweisenden Entscheidung) zur Entscheidung über die vorliegende Beschwerde zuständig gewesen. Eine neuerliche Entscheidung der Datenschutzbehörde erfolgte jedoch nicht. Da das Thema bereits auch aus anderen Zusammenhängen bewusst war,[12] war bereits eine Gesetzesänderung in Arbeit. Diese Arbeit führte am 12. Juni 2024 zu einem formellen Antrag auf Gesetzesänderung, der sich ausdrücklich auf die Entscheidung des Europäischen Gerichtshofs berief.[24] Am 13. Juni 2024[25] wurden daraufhin das Datenschutzgesetz und einige andere Gesetze geändert und das Parlamentarische Datenschutzkomitee geschaffen.[26]

Die abschließende und rechtskräftige Entscheidung des Parlamentarischen Datenschutzkomitees in diesem Anlassfall wurde am 25. Juni 2025 getroffen.[27] Es wurden Verstöße gegen das Recht auf Geheimhaltung und das Recht auf Löschung festgestellt.

Zusammensetzung

Das Parlamentarische Datenschutzkomitee besteht aus mindestens drei bis höchstens sechs Personen. Für die erste Funktionsperiode ab 2025 wurden fünf Personen bestellt:

Gerhard Baumgartner, Christian Bergauer, Philipp Grasser, Sandra Huber und Eva Souhrada-Kirchmayer.

Diese Mitglieder wurden vom Nationalrat mit Zustimmung des Bundesrates für fünf Jahre gewählt, die Beschlüsse erfolgten einstimmig.[28][29] Es bestehen für diese Personen keine Dienstverhältnisse, die Entschädigung wird nach Arbeitsstunden berechnet.[30]

Der Vorsitz des Parlamentarischen Datenschutzkomitees wechselt jährlich zwischen den Mitgliedern. Die Reihenfolge ist in der Geschäftsordnung festzulegen.[31] 2025 ist Vorsitzende Eva Souhrada-Kirchmayer, stellvertretender Vorsitzender Gerhard Baumgartner.[32]

Verfahren und Entscheidungen

Das Parlamentarische Datenschutzkomitee ist eine Aufsichtsbehörde, wie sie in der Datenschutz-Grundverordnung vorgesehen ist, und daher bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse gemäß dieser Verordnung völlig unabhängig.[33]

Beschwerden können von jeder Person eingebracht werden, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten bei einer Stelle, für die das Parlamentarische Datenschutzkomitee zuständig ist, gegen die DSGVO oder gegen das österreichische DSG verstößt.[2]

Gegen Entscheidungen des Parlamentarischen Datenschutzkomitees kann Beschwerde beim Bundesverwaltungsgericht erhoben werden.[34]

Das Parlamentarische Datenschutzkomitee hat mit der Datenschutzbehörde zusammenzuarbeiten, der Leiter der Datenschutzbehörde ist gemeinsamer Vertreter im Europäischen Datenschutzausschuss[35] und zentrale Anlaufstelle.[36]

Der Präsident des Nationalrates kann sich beim Vorsitzenden des Parlamentarischen Datenschutzkomitees über die Gegenstände der Geschäftsführung unterrichten. Dem ist nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde widerspricht.[37]

Literatur

Siehe auch

Einzelnachweise

  1. a b § 35a des österreichischen Datenschutzgesetzes 2000 in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  2. a b § 35f des österreichischen Datenschutzgesetzes 2000 in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  3. NÖ Landtags-Datenschutznovelle 2025, Landesgesetzblatt für Niederösterreich Nr. 52/2025, ausgegeben am 12. Mai 2025, in Kraft ab 13. Mai 2025.
  4. Gesetz vom 30. April 2025, mit dem das Landtags-Geschäftsordnungsgesetz und das Salzburger Landesrechnungshofgesetz 1993 geändert werden, Land Salzburg Landesgesetzblatt Nr. 47/2025, kundgemacht am 8. Mai 2025, in Kraft ab 1. Juli 2025.
  5. Landesverfassungsgesetz vom 7. Mai 2025, mit dem die Tiroler Landesordnung 1989 geändert wird, Landesgesetzblatt für Tirol Nr. 34/2025, kundgemacht am 9. Mai 2025, in Kraft ab 1. September 2025.
  6. Änderung des Landes-Verfassungsgesetzes über die Verfassung des Burgenlandes vom 26. Juni 2025, Burgenländisches Landesgesetzblatt Nr. 54/2025, ausgegeben am 16. Juli 2025, in Kraft ab 1. September 2025.
  7. Änderung der Oö. Landtagsgeschäftsordnung 2009 und Änderung des Oö. Landesrechnungshofgesetzes 2013 im Oö. Informationsfreiheits-Anpassungsgesetz - Oö. IFAG, Landesgesetzblatt für Oberösterreich Nr. 64/2025, ausgegeben am 28. Juli 2025, in Kraft ab 1. September 2025.
  8. Änderung des Landes-Verfassungsgesetzes 2010 und des Steiermärkischen Volksrechtegesetzes, Landesgesetzblatt für Steiermark Nr. 69/2025, ausgegeben am 27. August 2025, in Kraft ab 1. September 2025.
  9. Verfassungsgesetz über eine Änderung der Landesverfassung, Vorarlberger Landesgesetzblatt Nr. 43/2025, ausgegeben am 4. September 2025, in Kraft ab 5. September 2025.
  10. § 70 Absatz 15 Datenschutzgesetz.
  11. §§ 69 Absatz 10 und 11 Datenschutzgesetz.
  12. a b Z. B. aus einem Verfahren vor der Datenschutzbehörde, dessen Entscheidung aber nicht angefochten worden war. Es hatte zu diesem Thema am 3. März 2022 auch eine internationale Fachtagung „Datenschutz im Bereich der Gesetzgebung“, veranstaltet durch die Parlamentsdirektion, stattgefunden, bei der von der Leiterin der Datenschutzbehörde Andrea Jelinek u. a. die Schaffung einer eigenen datenschutzrechtlichen Aufsichtsbehörde für diesen Bereich zur Diskussion gestellt wurde: Andrea Jelinek: Bedeutung der Spruchpraxis der Datenschutzbehörde für mögliche Regelungen im parlamentarischen Bereich, S. 63–64. (Abgerufen am 26. Dezember 2024).
  13. Artikel 18 Absatz 1, Art. 20 Abs. 1, Artikel 94 Absatz 1, Art. 102 Abs. 1 des Bundes-Verfassungsgesetzes B-VG.
  14. Dokument 3/US in der XXVI. Gesetzgebungsperiode: Veröffentlichung gemäß § 33 Abs. 9 des Geschäftsordnungsgesetzes des Nationalrates. (Abgerufen am 26. Dezember 2024).
  15. Bericht des Geschäftsordnungsausschusses über das Verlangen auf Einsetzung eines Untersuchungsausschusses gemäß § 33 des Geschäftsordnungsgesetzes des Nationalrates: BVT-Untersuchungsausschuss (109 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVI. Gesetzgebungsperiode). (Abgerufen am 26. Dezember 2024).
  16. Protokoll der 21. Sitzung des Nationalrates am 20. April 2018, S. 198–203. (Abgerufen am 26. Dezember 2024).
  17. a b Abschnitt I.1. des Erkenntnisses des Bundesverwaltungsgerichts vom 23.November 2020, Geschäftszahl W211 2227144-1. (Abgerufen am 26. Dezember 2024).
  18. Dieser Text ist nicht mehr zugänglich, zu den Vernehmungsprotokollen allgemein siehe hier. (Abgerufen am 26. Dezember 2024).
  19. Urteil des Europäischen Gerichtshofes vom 24. Januar 2024, Rechtssache C-33/22, über ein Vorabentscheidungsersuchen nach Art. 267 [Vertrag über die Arbeitsweise der Europäischen Union|AEUV], eingereicht vom Verwaltungsgerichtshof mit Beschluss vom 14. Dezember 2021, beim Gerichtshof eingegangen am 14. Januar 2022. S. 7–8, speziell Randzahlen 17–22. (Abgerufen am 26. Dezember 2024).
  20. Darstellung des Vorlageantrages auf der Website des Verwaltungsgerichtshofes. (Abgerufen am 26. Dezember 2024).
  21. Urteil des Europäischen Gerichtshofes vom 24. Januar 2024, Rechtssache C-33/22 - „Österreichische Datenschutzbehörde“, über ein Vorabentscheidungsersuchen nach Art. 267 [Vertrag über die Arbeitsweise der Europäischen Union|AEUV], eingereicht vom Verwaltungsgerichtshof mit Beschluss vom 14. Dezember 2021, beim Gerichtshof eingegangen am 14. Januar 2022. S. 16–17, Randzahl 73. (Abgerufen am 26. Dezember 2024).
  22. Schlussanträge des Generalanwalts vom 11. Mai 2023 in der Rechtssache C-33/22. (Abgerufen am 26. Dezember 2024).
  23. Erkenntnis des Verwaltungsgerichtshofes vom 1. Februar 2024, Geschäftszahl Ro 2021/04/0006. (Abgerufen am 26. Dezember 2024).
  24. Selbständiger Antrag nach § 27 Absatz 1 Geschäftsordnungsgesetz des Nationalrates (keine Regierungsvorlage), 2594 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVII. Gesetzgebungsperiode: Bericht und Antrag des Geschäftsordnungsausschusses über den Entwurf eines Bundesgesetzes, mit dem das Informationsordnungsgesetz, das Datenschutzgesetz, das Beamten-Dienstrechtsgesetz und das Verwaltungsgerichtshofgesetz 1985 geändert werden. S. 7. (Abgerufen am 27. Dezember 2024).
  25. Nationalrat: Informationsordnungsgesetz, Datenschutzgesetz u.a., Änderung, 2594 der Beilagen, Beschluss im Nationalrat BNR 967; Bundesrat 27. Juni 2024. (Abgerufen am 27. Dezember 2024).
  26. Parlamentskorrespondenz Nr. 627 vom 13. Juni 2024 Nationalrat beschließt neue Datenschutzregeln für den Bereich der Gesetzgebung. Parlament erhält mit Parlamentarischem Datenschutzkomitee eigene Aufsichtsbehörde. (Abgerufen am 26. Dezember 2024).
  27. Bescheid vom 25. Juni 2025, Geschäftszahl 2025-0.268.011. (Abgerufen am 30. August 2025).
  28. Parlamentskorrespondenz Nr. 934 vom 18.09.2024 Nationalrat wählt Mitglieder des Parlamentarischen Datenschutzkomitees. (Abgerufen am 26. Dezember 2024).
  29. Parlamentskorrespondenz Nr. 961 vom 03.10.2024. Parlamentarisches Datenschutzkomitee nimmt 2025 die Arbeit auf. (Abgerufen am 26. Dezember 2024).
  30. § 35b Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  31. § 35d Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  32. Mitglieder des Parlamentarischen Datenschutzkomitees (Abgerufen am 3. Februar 2025).
  33. Artikel 52 Absatz 1 Datenschutz-Grundverordnung.
  34. § 35h Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
  35. Artikel 68 Datenschutz-Grundverordnung.
  36. Artikel 51 Absatz 3 DSGVO. Für die grenzüberschreitende Zusammenarbeit der Datenschutzaufsichtsbehörden mit den anderen Mitgliedstaaten der Europäischen Union, dem Europäischen Datenschutzausschuss (EDSA) und der Europäischen Kommission.
  37. § 35c Absatz 3 Datenschutzgesetz in der Fassung der Änderung im Bundesgesetzblatt Nr. 70/2024. (Abgerufen am 25. Dezember 2024).
Dieser Artikel wurde von Wikipedia herausgegeben. Der Text ist verfügbar unter Creative Commons Attribution-Share Alike 4.0, sofern nicht anders angegeben. Möglicherweise können weitere Bestimmungen für Mediendateien gelten.