Art 8 der Grundrechtecharta (Grundrecht auf Datenschutz) und die Überwachung durch eine unabhängige Kontrollstelle_Nicolas Raschauer

Infolge eines rezenten EuGH-Urteils zur Unabhängigkeit der deutschen Landeskontrollstellen stellt sich die auch für Österreich relevante Frage, wie der Begriff „Unabhängigkeit“ – der im Unionsrecht mehrfach verwendet wird (zB Art 28 Abs 1 der DatenschutzRL 95/46/EG, Art 39 EU-Vertrag [EU], Art 16 Abs 2 Arbeitsvertrag [AEU], Art 8 Abs 3 der Grundrechtecharta [GRC]) zu deuten ist und welche Konsequenzen daraus für die nationale Rechtslage – insb für die Frage der Ausgestaltung des nationalen Kontrolleurs – abzuleiten sind. Nachfolgend soll der Begriff am Beispiel des Art 8 Abs 3 GRC erörtert und Schlussfolgerungen für das nationale Recht gezogen werden.

I. Einleitung

Gemäß Art 8 Abs 1 der Charta (idF des Lissabonner Vertrages, ABl 2010 C 83/02, 30.3.2010) hat jede natürliche und juristische Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Personenbezogene Daten dürfen im Anwendungsbereich der Charta (vgl Art 51 Abs 1) „nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage“ verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken (Art 8 Abs 2).

Gemäß Art 8 Abs 3 der Charta wird die Einhaltung der zuvor angesprochenen Regelungen (und Rechte) von einer unabhängigen Stelle überwacht.

II. Folgerungen / Interpretation des Art 8 Abs 3

Gemäß der organisationsrechtlichen Regelung des Art 8 Abs 3[1] ist die Einhaltung der Abs 1 und Abs 2 des Art 8 GRC in Übereinstimmung mit Art 16 Abs 2 Satz 2 AEU und Art 39 letzter Satz EU durch eine unabhängige Stelle zu überwachen.[2] Art 8 Abs 3 vermittelt daher ein Recht auf Behandlung von Beschwerden durch die zuständige unabhängige Kontrollstelle (wenn und soweit sie eingerichtet ist).[3] In diesem Zusammenhang nimmt Art 8 Abs 3 Bezug auf Art 28 RL 95/46/EG und Art 41 ff VO 2001/45 (siehe auch ex Art 286 Abs 2 EG). Nach diesen Bestimmungen sind die Mitgliedstaaten bzw die Organe und Einrichtungen der Union (Art 13 EU) verpflichtet, eine unabhängige (Datenschutz-) Kontrollstelle einzurichten und diese mit den notwendigen Mitteln für die Erfüllung ihrer Aufgaben (zB Ermittlungskompetenzen) auszustatten.[4] In diesem Zusammenhang ist aber zu beachten, dass der Europäische Datenschutzbeauftragte nicht mit den nationalen Kontrollinstanzen verwechselt werden darf.[5]

Die Vollziehung des Unionsrechts und folglich die Einhaltung der Art 8 Abs 1 und 2 GRC ist in Österreich nahe liegender Weise von der Datenschutzkommission[6] gemäß §§ 30 ff DSG 2000, welche als „nationale Datenschutzbehörde“ iSd der Vorgaben der Erläuterungen zu Art 8 Charta fungiert,[7] zu übernehmen. Fraglich ist aber, ob die DSK den unionsrechtlichen Vorgaben auch tatsächlich entspricht. Zu begründen ist dies damit, dass die RL 95/46/EG die Einrichtung einer völlig unabhängigen Kontrollstelle fordert, welche die Einhaltung der Richtlinie überwacht. In diese Richtung gehen auch Art 39 EU und Art 16 AEU.

Dass dieses Erfordernis vom EuGH auch konsequent vollzogen wird, zeigt seine jüngste Entscheidung zu Art 28 RL 95/46/EG.[8] In concreto wurde die Bundesrepublik Deutschland verurteilt, gegen die Verpflichtung des Art 28 Abs 1 UAbs 2 der RL 95/46/EG verstoßen zu haben, weil sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nicht öffentlichen Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen unter staatlicher Aufsicht gestellt hat.[9] Weiters judizierte der Gerichtshof, dass der Terminus völlige Unabhängigkeit[10] impliziere, dass nicht nur von keiner Seite, sondern auch in keinerlei Hinsicht, Abhängigkeit oder Druck bestehen solle. Er verweist dabei auf Art 44 Abs 2 der VO 2001/45.[11]

Dieses Urteil ist für Österreich deshalb von maßgeblicher Bedeutung, da die Kommission bereits 2005 (ebenfalls wegen Art 28 RL 95/46/EG) ein Vertragsverletzungsverfahren gegen die Republik eingeleitet hat.[12] In ihrer begründeten Stellungnahme aus Oktober 2009, welche als Vorstufe einer Anklage bei EuGH fungiert, verdeutlichte sie die schon 2005 erhobene Kritik hinsichtlich der Eingliederung der Datenschutzkommission im Bundeskanzleramt um folgende Aspekte, welche durch das Zusatzprotokoll zur Datenschutzkonvention des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitenenden Datenverkehr (ETS 181) gestützt wird.[13]

Bei der Ausgestaltung des Abs 3 durch Union und Mitgliedstaaten ist zunächst zu beachten, dass die institutionelle Unabhängigkeit der Kontrollstelle gewährleistet sein muss, was bedeutet, dass die Kontrollstelle bzw ihre Organe keiner anderen Staatsgewalt untergeordnet sein dürfen.

Die bestehende organisatorischen Ausgestaltung der DSK (§§ 36 ff DSG 2000) ist im Lichte des Art 8 Abs 3 GRC problematisch. Alle laufenden Geschäfte werden durch einen im organisatorischen Gefüge des Bundeskanzleramtes[14] angesiedelten Bundesbeamten erledigt (§ 38 Abs 1 DSG 2000). Dies wird von der Kommission kritisch gewürdigt, da das BKA als Teil der ausführenden Gewalt gleichzeitig auch Objekt der Kontrolle der DSK sein kann.

Weiters muss auch die funktionelle Unabhängigkeit gewährleistet sein, welche in der Freiheit von fremden Weisungen in Bezug auf Inhalt und Umfang der Tätigkeit der Kontrollstelle besteht. Zu beachten ist in diesem Zusammenhang, dass durch das erste BVRBG (B-VG-Novelle 2008)[15] die Möglichkeit des zuständigen Gesetzgebers geschaffen wurde, bestimmte in Art 20 Abs 2 genannte Organe weisungsfrei zu stellen. In diesem Lichte erscheint die Aufrechterhaltung der Weisungsfreiheit der DSK in Verfassungsrang (§ 37 Abs 1 DSG 2000) fragwürdig. Problematisch ist weiters, dass gemäß Art 20 Abs 2 iVm Art 151 Abs 38 B-VG bei Organen iSd Art 20 Abs 2 B-VG angemessene staatliche Aufsichtsrechte zugunsten der ressortzuständigen obersten Organe vorzusehen sind (dies als Ausfluss der Durchbrechung des Weisungszusammenhangs; vgl nunmehr § 38 Abs 2 DSG 2000). In diesem Zusammenhang sei darauf hingewiesen, dass staatliche Aufsichtsrechte nach Art des Art 20 Abs 2 B-VG – so die Ansicht der Kommission in ihrer begründeten Stellungnahme[16] – der völligen Unabhängigkeit der Kontrollstelle diametral entgegensteht. Diese Auslegung ist auch für Art 8 Abs 3 GRC zu beachten.[17]

Zuletzt ist auch die materielle Unabhängigkeit der Kontrollstelle zu gewährleisten, dh die Verfügungskompetenz über einen eigenständigen Haushalt. Auch dies wird von der Kommission in ihrer begründeten Stellungnahme kritisiert. Sie ist ersichtlich der Auffassung, dass die im DSG 2000 verankerte Organisationsstruktur der DSK problematisch sei, dass die DSK vom Bundeskanzleramt abhängig sei, da die Behörde weder eine eigene Personal- und Sachhoheit, noch ein eigenes Budget zur Verfügung steht (vgl § 38 Abs 2 DSG 2000).

Als Fazit bleibt daher festzuhalten, dass die vom Unionsrecht geforderte Unabhängigkeit sowohl vom EuGH als auch von der Kommission umfassend interpretiert wird. Folglich darf bezweifelt werden, dass Österreich einem Vertragsverletzungsverfahren, und vergleicht man die Entscheidung des Gerichtshofes Kommission/Deutschland, auch einer Verurteilung durch dem EuGH, entgehen kann, zumal die bestehende organisatorische Ausgestaltung der DSK – so die Ansicht der europäischen Organe zu Art 28 RL 95/46/EG – nicht den Vorgaben des Unionsrechts entspricht. Diese Auslegung ist auch auf Art 8 Abs 3 GRC zu übertragen.

Zuletzt stellt sich noch die Frage, inwiefern der offensichtlich als eigenständige Rechtschutzgarantie konzipierte Art 8 Abs 3 der Charta mit Art 47 GRC, der vergleichbar Art 6 Abs 1 iVm Art 13 EMRK das Recht auf eine wirksame Beschwerde und ein Recht auf ein faires Verfahren vorsieht, vereinbar ist und systematisch zusammenhängt. Weder aus dem Normtext noch aus den Erläuterungen lassen sich diesbezüglich systematische Hinweise entnehmen. ME wird davon auszugehen sein, dass Art 8 Abs 3 GRC keine isoliert zu betrachtende Rechtsschutzgarantie darstellt, sondern die „allgemeinen Rechtswegegarantien“ des Art 47 insofern ergänzt und präzisiert.

III. Ergebnis

Die bestehende organisatorische Ausgestaltung der DSK dürfte mit den Vorgaben des Unionsrechts in Widerspruch. Die weitere Entwicklung im anhängigen Vertragsverletzungsverfahren bleibt mit Spannung abzuwarten. Jedenfalls wird davon auszugehen sein, dass eine Novelle des DSG 2000 zumindest in Erwägung zu ziehen sein wird, um (auch) den Vorgaben der Charta vollends gerecht zu werden.

Dr. Nicolas Raschauer ist Inhaber des Lehrstuhls für öffentliches Unternehmensrecht an der JKU Linz, Institut für Staatsrecht und Politische Wissenschaften.


[1] Grabenwarter, DVBl 2001, 4.
[2] Teleologisch betrachtet meint Art 8 Abs 3 GRC in diesem Zusammenhang eine Stelle, die nicht nur von allfälligen Beteiligten unabhängig ist, sondern auch vom „Staat“; damit nähert sich der Sinn und Zweck des Begriffes der Garantie der richterlichen Unabhängigkeit.
[3] Jarass, Art 8 GRC Rz 16 in Jarass, Charta der Grundrechte der Europäischen Union (2010).
[4] Für den Bereich der VO (EG) 2001/45 sehen die Art 41 ff die Einrichtung eines Europäischen Datenschutzbeauftragten als unabhängige Kontrollstelle vor.
[5] Wichtig ist festzuhalten, dass zwischen dem Europäischen Datenschutzbeauftragten und dem nationalen Datenschutzbeauftragten keinerlei Hierarchie besteht. Der Europäische Datenschutzbeauftragte kann etwa einem beim EuGH anhängigen Verfahren beitreten (innerhalb der ihm zugewiesenen Aufgaben). Zu diesem Organ vgl näher Zerdick, Art 16 AEU Rz 20 ff mwH in Lenz/Borchart, EU-Verträge5 (2010).
[6] Im Folgenden kurz DSK genannt.
[7] Vgl ABl 2007 C 303/2, 14.12.2007.
[8] EuGH Rs C-518/07 (Kommission/Deutschland), noch nicht in Slg veröffentlicht.
[9] Damit folgte der Gerichtshof nicht der Ansicht des GA, der die Auffassung vertrat, dass die Kommission nicht nachgewiesen hat, dass die Aufsicht über die Datenschutz-Kontrollstellen diese daran hindert, ihre Aufgaben in völliger Unabhängigkeit wahrzunehmen.
[10] Der Terminus wird durch die Richtlinie selbst nicht legal definiert. In ErwGr 62 der RL findet sich „nur“ folgender Hinweis: „Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Person bei der Verarbeitung personenbezogener Daten.“ Der EuGH judizierte, dass „der Begriff  ‚Unabhängigkeit’ durch das Adjektiv ‚völlig’ verstärkt [wird], was eine Entscheidungsgewalt impliziert, die jeglicher Einflussnahme von außerhalb der Kontrollstelle, sei sie unmittelbar oder mittelbar, entzogen ist.“ Vgl EuGH Rs C-518/07 (Kommission/Deutschland) Rz 19.
[11] Diese Unabhängigkeitstheorie begründet der EuGH mit der besonderen Aufgabe der Kontrollstelle als Hüterin der Grundrechte. Eine Tätigkeit, welche nicht normale Verwaltungstätigkeit darstellt, verdient eine besondere Ausgestaltung und Absicherung.
[12] Siehe die Mahnung der Kommission vom 5.7.2005, SG (2005) D/203171, der die Beschwerde eines Bürgers aus dem Jahr 2003 hinsichtich der völligen Unabhängigkeit der DSK vorausging. In concreto wurde darauf hingewiesen, dass ein Mitglied der DSK sowohl Bundesbeamter als auch geschäftsführendes Mitglied ist. Siehe Beschwerde 2003/5109, SG (2003) A/10465.
[13] Siehe die mit Gründen versehene Stellungnahme vom 8.10.2009, SG (2009) D/7193 Rz 33 f. In Ziffer 17 des erläuternden Berichts zum Zusatzprotokoll werden als Elemente der Unabhängigkeit der Kontrollstelle die Zusammensetzung derselben, die Art und Weise der Ernennung ihrer Mitglieder, Bedingungen zur Beendigung des Amtes, Zuweisung ausreichender Mittel an die Kontrollstelle sowie keine Anweisungen oder Einmischungen von außen bei der Beschlussfassung genannt.
[14] Im Folgenden kurz BKA genannt.
[15] BGBl I 2008/2.
[16] Der angesprochene Bundesbeamte (geschäftsführendes Mitglied der DSK) bleibt während seiner Tätigkeit an die Weisungen des Bundeskanzlers gebunden, was auch durch das Bestehen der Vorschrift des § 37 Abs 1 DSG 2000 nicht geändert wird, weil das rechtlich und tatsächlich gleichzeitig bestehende (weisungsgebundene) Dienstverhältnis als Bundesbeamter nicht als solches aufgehoben wird.
[17] Als Alternative dazu könnte eine Kontrolle der Datenschutzbehörde durch einen parlamentarischen Kontrollausschuss überlegt werden (so auch der EuGH im Urteil Kommission/Deutschland).

Gepostet von am 8.09.2010. In Expertenforum, Featured, News, Öffentliches Recht. Abonnieren mit RSS 2.0. Sie können Kommentare oder Trackbacks setzen

Leave a Reply