2024-0.215.259 – Datenschutzbehörde Entscheidung
Text
GZ: 2024-0.215.259 vom 28. März 2024 (Verfahrenszahl: DSB-D124.0775/24)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Namen und Kurzbezeichnungen, insbesondere von politischen Parteien, die aus öffentlich zugänglichen Dokumenten (insbesondere aus dem Gegenstand des betreffenden Untersuchungsausschusses) hervorgehen oder allgemein bekannt sind, wurden nicht pseudonymisiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über den Antrag gemäß § 22 DSG iVm § 57 Abs. 1 AVG vom 15. März 2024 von Ulrich A*** (Antragsteller), vertreten durch die L*** H*** Rechtsanwälte GmbH, S*** Straße **4/3, **** Wien, auf Untersagung der weiteren Speicherung, Aufbereitung und Übermittlung der vom Bundesministerium für Finanzen und Bundesministerium für Justiz bereits an den Untersuchungsausschuss betreffend Zwei-Klassen-Verwaltung wegen Bevorzugung von Milliardären durch ÖVP-Regierungsmitglieder (COFAG-Untersuchungsausschuss) übermittelten Daten sowie jeder weiteren Übermittlung ihn betreffender personenbezogener Daten an den COFAG-Untersuchungsausschuss gegen 1) den Bundesminister für Finanzen (Erstantragsgegner), 2) die Bundesministerin für Justiz (Zweitantragsgegnerin) und 3) den Parlamentarischen Untersuchungsausschuss betreffend Zwei-Klassen-Verwaltung wegen Bevorzugung von Milliardären durch ÖVP-Regierungsmitglieder (COFAG-Untersuchungsausschuss) des österreichischen Nationalrats (Drittantragsgegner) wie folgt:
- Der Antrag wird als unbegründet abgewiesen .
Rechtsgrundlagen : §§ 22 Abs. 1 und 4 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 51, 57 und 58 der Datenschutz-Grundverordnung (DSGVO); §§ 39, 56, 57 Abs. 1 und 58 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF; Art. 53 und Art. 138b des Bundes-Verfassungsgesetzes (B-VG), BGBl. Nr. 1/1930 idgF; § 25 der Verfahrensordnung für parlamentarische Untersuchungsausschüsse (VO-UA), BGBl. I. Nr. 99/2014 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
Der Antragsteller hat am 5. März 2024, vertreten durch die L*** H***Rechtsanwälte GmbH, einen Antrag auf Erlassung eines Mandatsbescheides gemäß § 22 Abs. 4 DSG iVm § 57 AVG auf Untersagung der Datenverarbeitung gestellt.
Begründend führte der Antragsteller aus, dass der Erstantragsgegner und die Zweitantragsgegnerin dem Drittantragsgegner umfangreiche Akten und Unterlagen vorgelegt haben, die zahlreiche den Antragsteller betreffende personenbezogene Daten enthielten. Diese Weitergabe seiner Daten sowie deren Speicherung und sonstige Verarbeitung durch den Drittantragsgegner sei rechtswidrig gewesen.
Die Datenschutzbehörde möge daher den Antragsgegnern und der Antragsgegnerin mittels Mandatsbescheid mit sofortiger Wirkung die weitere Speicherung, Aufbereitung und Übermittlung der von dem Erstantragsgegner und der Zweitantragsgegnerin an den Drittantragsgegner übermittelten Daten sowie jede weitere Übermittlung den Antragsteller betreffender personenbezogener Daten an den Drittantragsgegner untersagen.
Der Antrag des Antragstellers richte sich konkret gegen die Weitergabe der Steuerakten des Antragstellers durch den Erstantragsgegner, die Weitergabe den Antragsteller betreffender Ermittlungsakten, insbesondere den Akt *4 St *5*7/20t der Wirtschafts- und Korruptionsstaatsanwaltschaft (in Folge: WKStA) durch die Zweitantragsgegnerin sowie die Speicherung und Auswertung dieser Akten, die den Antragsteller betreffende personenbezogene Daten enthalten, durch den Drittantragsgegner.
Ausweislich einer ergänzenden Beweisanforderung gemäß § 25 Abs. 2 VO-UA vom 1*. Februar 2024, (deren Kopie der Antragsteller seinem Antrag beilegte), habe die Zweitantragsgegnerin bis zu eben jenem Zeitpunkt bereits zahlreiche den Antragsteller betreffende personenbezogene Daten an den Drittantragsgegner geliefert, insbesondere den genannten Akt der WKStA, der Schenkungen betreffe, die der Antragsteller aus seinem Privatvermögen getätigt habe. Darin sei eine sehr große Menge den Antragsteller betreffender personenbezogener Daten enthalten. Da er in dem genannten Akt als Beschuldigter geführt werde, handle es sich dabei um Daten, die gemäß § 4 Abs. 3 DSG nur verarbeitet werden dürften, wenn es dafür eine ausdrückliche gesetzliche Grundlage gebe (Z 1), oder sich die Zulässigkeit aus gesetzlichen Sorgfaltspflichten ergebe oder zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich sei und dabei die Interessen der betroffenen Person nach der DSGVO und dem DSG gewährleistet seien (Z 2).
Ausweislich derselben Beweisanforderung habe auch der Erstantragsgegner bis 1*. Februar 2024 bereits zahlreiche den Antragsteller betreffende personenbezogene Daten, die steuerliche Umstände betreffen, hinsichtlich derer bei ihm Abgabenprüfungen stattgefunden hätten, dem Drittantragsgegner vorgelegt. Mit der ergänzenden Beweisanforderung habe der Drittantragsgegner schließlich sämtliche den Antragsteller betreffende Steuerakten angefordert.
Sowohl in den von dem Erstantragsgegner, als auch von der Zweitantragsgegnerin gelieferten Akten und Unterlagen seien umfangreiche den Antragsteller betreffende, personenbezogene Daten enthalten (etwa Name, Steuernummer, Geburtsdatum et cetera). Insbesondere hätten mehrere dem Erstantragsgegner sowie der Zweitantragsgegnerin nachgelagerte Behörden in den vergangenen Jahren weite Teile des persönlichen Umfelds des Antragstellers und seiner unmittelbaren Privatsphäre durchleuchtet. Diese Behörden hätten mehrere Hausdurchsuchungen an privaten Wohnsitzen des Antragstellers, seiner Familie und seiner engsten Freunde und Wegbegleiter durchgeführt. Es sei sogar erklärter Sinn und Zweck vieler von der WKStA angeordneter beziehungsweise vom Amt für Betrugsbekämpfung im Auftrag der WKStA durchgeführter Ermittlungen, konkret zu eruieren, wie stark die persönlichen Beziehungen des Antragstellers zu zahlreichen Personen in seinem Umfeld seien, denen er in den vergangenen Jahren Schenkungen gemacht habe.
Diese Daten seien nun von den Behörden dem Drittantragsgegner übermittelt worden, der diese nun speichere und auswerte. Sowohl die Übermittlung an den Drittantragsgegner als auch dessen nunmehrige Speicherung und Auswertung seien Verarbeitungsvorgänge gemäß Art. 4 Z 2 DSGVO, die rechtswidrig seien.
Der vom österreichischen Nationalrat eingesetzte Drittantragsgegner betreffe laut dem Verlangen auf Einsetzung den folgenden Untersuchungsgegenstand:
„Untersuchungsgegenstand ist die Vollziehung durch Bundesorgane, insbesondere die COVID-Finanzierungsagentur des Bundes (COFAG), in Zusammenhang mit Personen, denen ein Vermögen von zumindest einer Milliarde Euro zugerechnet werden kann und die
die Österreichische Volkspartei etwa durch Spenden unterstützt haben oder
um deren Unterstützung von der Österreichischen Volkspartei etwa im Zuge des „Projekt Ballhausplatz“ geworben wurde,
zwischen 18. Dezember 2017 und 23. November 2023 im Hinblick auf deren (mutmaßliche) bevorzugte Behandlung.“
Die beiden Kriterien müssten kumulativ vorliegen, dieses Verständnis entspreche auch den Erläuterungen des Verlangens, in denen ausgeführt sei:
„Um eine zielgerichtete Untersuchung zu ermöglichen und nicht jede vermögende Person unter Generalverdacht zu stellen, wird die untersuchungsrelevante Personengruppe zusätzlich durch das Kriterium der Nähe zur ÖVP eingeschränkt: Es sind somit nur jene Personen mit einem zurechenbaren Vermögen von zumindest einer Milliarde Euro von der Untersuchung erfasst, um deren Unterstützung gleichzeitig auch von der ÖVP geworben wurde oder die der ÖVP entsprechende Unterstützung haben zukommen lassen.“
Im Verlangen auf Einsetzung eines Untersuchungsausschusses seien auch zahlreiche Personen, auf die sowohl das Kriterium 1, als auch das Kriterium 2 zutreffen soll, namentlich angeführt. Der Antragsteller befinde sich nicht auf dieser Liste. Weder sein Name noch die Firma auch nur irgendeines Unternehmens, an dem er maßgeblich beteiligt sei, komme im 46-seitigen Verlangen vor. Dass in der Beweisanforderung vom 1*. Februar 2024 behauptet werde, dass der Antragsteller ausdrücklich vom Untersuchungsgegenstand umfasst sei und im Einsetzungsverlangen genannt werde, sei schlicht unrichtig. Schon dies zeige, dass die Beweisanforderung des Drittantragsgegners vom Untersuchungsgegenstand offenbar irrtümlich abweiche.
Er habe die ÖVP nie unterstützt und sei er auch von der ÖVP nie um Unterstützung gebeten worden bzw. habe auch keine der ÖVP direkt oder indirekt zuordenbare Person um seine Unterstützung für die ÖVP oder ihre Teil- oder Vorfeldorganisationen geworben. Dies gelte auch für sämtliche Unternehmen, an denen er direkt oder indirekt maßgeblich beteiligt sei.
Dass der Drittantragsgegner in einer ergänzenden Beweisanforderung entschieden habe, dass neben den Steuerakten der Herren Georg B***, Karl C*** und Anatolij D*** (alle würden sich auf der im Verlangen enthaltenen „Namensliste“ befinden) auch der Steuerakt des Antragstellers von der Finanzverwaltung verlangt werde, sei daher wohl ein Versehen.
Das Thema möglicher Spenden durch ihn bzw. durch Unternehmen, an denen er maßgeblich beteiligt sei, sei bereits Gegenstand behördlicher Untersuchungen gewesen. Sämtliche dieser Untersuchungen seien eingestellt worden, weil sich erwiesen habe, dass er gerade keine entsprechenden Unterstützungsleistungen an die ÖVP gewährt habe.
Er gehöre daher nicht zu den im Verlangen auf Einsetzung angeführten „bestimmten Personen“ und der Untersuchungsgegenstand beziehe sich nicht auf ihn.
Die beschriebenen Verarbeitungsvorgänge würden den Antragsteller daher im Recht auf Datenschutz verletzen.
In seinem Erkenntnis vom 11. Dezember 2018, UA 2/2018, habe der VfGH ausgesprochen, dass von der Vorlage von Akten und Unterlagen betroffene Personen „(zB nach dem Datenschutzgesetz) die Möglichkeit offen [steht], bei den dafür zuständigen Behörden gegen jenes Organ vorzugehen, das dem Untersuchungsausschuss behauptetermaßen zu Unrecht Akten und Unterlagen vorgelegt hat“ (Ergänzung im Zitat durch den Antragsteller).
Im Urteil vom 16. Jänner 2024, C-33/22 (Datenschutzbehörde), habe der EuGH in einem Fall, der konkret einen österreichischen parlamentarischen Untersuchungsausschuss betreffe, festgehalten, dass die Datenschutzbehörde auch für Datenschutzverletzungen eines parlamentarischen Untersuchungsausschusses zuständig sei und dessen Datenverarbeitung zu überwachen habe.
Die Datenschutzbehörde habe daher die Aufsicht über sämtliche in der gegenständlichen Beschwerde (wohl gemeint: im gegenständlichen Antrag) monierten Verarbeitungsvorgänge.
Die VO-UA beschränke sowohl die Beweisaufnahme an sich gemäß § 22 VO-UA als auch sämtliche Beweisbeschaffungen insbesondere §§ 24 und 25 VO-UA, jeweils darauf, dass diese im Rahmen des Untersuchungsgegenstandes zu erfolgen hätten. Schon § 23 VO-UA definiere als Beweismittel nur, „was geeignet ist, der Untersuchung im Rahmen des Untersuchungsgegenstandes zu dienen“. Dies treffe gemäß § 25 Abs. 3 VO-UA auch auf ergänzende Beweisanforderungen zu. Da der Antragsteller nicht Teil des Untersuchungsgegenstandes sei, bestehe daher keine Rechtsgrundlage dafür, dass der Erstantragsgegner und die Zweitantragsgegnerin den Antragsteller betreffende personenbezogene Daten an den Drittantragsgegner übermitteln. Es seien außerdem sämtliche Datenverarbeitungen des Drittantragsgegners und seiner Mitglieder in Bezug auf die personenbezogenen Daten des Antragstellers rechtswidrig.
In diesen Daten seien außerdem neben Informationen zu dem Einkommen und Vermögen des Antragstellers insbesondere auch Informationen zu Reisebewegungen und Wohnorten des Antragstellers und seiner Familie beziehungsweise seines nächsten persönlichen Umfelds enthalten, zumal die Finanzbehörden im Rahmen von Abgabenprüfungen auch Flug- und Wohnkosten überprüft und dazu Informationen gesammelt hätten. Aus diesen Daten könnten ohne großen Aufwand Bewegungsprofile erstellt werden. Darüber hinaus seien in diesen Unterlagen auch zahlreiche personenbezogene Daten enthalten, die das nächste Umfeld des Antragstellers, insbesondere auch seine Kinder, betreffen, die mit dem Untersuchungsgegenstand ebenfalls nichts zu tun hätten.
Gefahr im Verzug liege vor, wenn das Unterlassen behördlicher Maßnahmen voraussichtlich dazu führen würde, dass ein Betroffener (weitere) Privatsphäreverletzungen oder gar Schäden hinnehmen müsste, die durch die vorläufige Untersagung der Datenverarbeitung verhindert werden könnten.
Der Antrag des Antragstellers richte sich gegen die bereits stattfindende, rechtswidrige Speicherung und Auswertung der personenbezogenen Daten des Antragstellers durch den Drittantragsgegner sowie gegen die vom Drittantragsgegner in der ergänzenden Beweisanforderung verlangte, ebenfalls rechtswidrige Übermittlung weiterer den Antragsteller betreffenden personengezogenen Daten. Dass der Antragsteller ein starkes Geheimhaltungsinteresse insbesondere hinsichtlich seiner Steuerdaten habe, liege auf der Hand und sei gesetzlich anerkannt. Die Untersagung dieser Datenverarbeitung ex ante sei die einzig effektive Möglichkeit, die verfassungsgesetzlich und unionsrechtlich abgesicherten Datenschutzrechte des Antragstellers zu wahren.
Es sei mittlerweile leider gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, unmittelbar auch veröffentlicht würden (insbesondere durch „Leaks“ an Medien).
Aufgrund der aktuellen politischen Situation – insbesondere den bereits angelaufenen Wahlkämpfen – sei mit an Sicherheit grenzender Wahrscheinlichkeit damit zu rechnen, dass die privaten Steuerdaten des Antragstellers einer breiten Öffentlichkeit zugänglich gemacht würden. Dies liege zum einen daran, dass die Personengruppe, die Zugang zu den rechtswidrig gespeicherten personenbezogenen Daten des Antragstellers habe, kaum eingegrenzt sei, wobei diese Personengruppe im Wesentlichen ebenfalls dem politischen Bereich zuzuordnen sei. Zum anderen stünden einzelne im Drittantragsgegner vertretene Parteien Unternehmern und insbesondere vermögenden Personen generell negativ gegenüber.
Bereits die weitere Speicherung und Aufarbeitung dieser Daten und die Tatsache, dass sämtliche Mitglieder des Drittantragsgegners sowie deren parlamentarische Mitarbeiter:innen Zugang zu diesen Daten hätten, gebe die personenbezogenen Daten des Antragstellers einem faktisch bereits nahezu unbegrenzten Personenkreis preis. Solange seine Daten auf diese Art und Weise gesichert und zugänglich bleiben, bestehe die beschriebene Gefahr im Verzug. Daher würden seine berechtigten Geheimhaltungsinteressen bereits jetzt laufend verletzt. Durch eine Untersagung dieser Verarbeitung könne immerhin für die Zukunft verhindert werden, dass diese Verletzung anhält beziehungsweise durch Aufarbeitung und/oder Veröffentlichung dieser personenbezogenen Daten noch scherwiegender werde.
Aufgrund der Tatsache, dass der Erstantragsgegner und die Zweitantragsgegnerin – obwohl er gerade nicht vom Untersuchungsgegenstand erfasst sei – bereits bisher offensichtlich völlig unkritisch auch den Antragsteller betreffende personenbezogene Daten an den Drittantragsgegner geliefert hätten, sei zu erwarten, dass sie die nunmehr erfolgte ergänzende Beweisanforderung ebenfalls erfüllen würden. Das ergebe sich unmittelbar aus der ergänzende Beweisanforderung, laut der Erstbeschwerdegegner und Zweitbeschwerdegegnerin aufgefordert würden, sämtliche noch nicht übermittelte Unterlagen herauszugeben, was einerseits bestätige, dass seitens des Erstantragsgegners und der Zweitantragsgegnerin schon eine Übermittlung personenbezogener Daten stattgefunden habe und andererseits eben noch weitere Übermittlungen erfolgen sollen. Damit stehe eine Offenlegung durch Übermittlung konkret und unmittelbar bevor, womit eine Datenverarbeitung im Sinne des Art. 4 Z 1 DSGVO vorliege, die allerdings gegen § 4 Abs. 3 DSG verstoße und damit rechtswidrig sei.
Dem Antrag ist ein Verlangen gemäß § 25 Abs. 2 VO-UA der Abgeordneten Ludwig T***, Dietmar U*** an den Bundesminister für Finanzen betreffend Steuerakten von Georg B***, Karl C***, Anatolij D*** und Ulrich A*** vom 1*. Februar 2024 in Kopie beigeschlossen.
B. Sachverhaltsfeststellungen
Mit 24. November 2023 wurde das Verlangen auf Einsetzung eines Untersuchungsausschusses gemäß § 33 Abs. 1 2. Satz GOG NR betreffend „Zwei-Klassen-Verwaltung wegen Bevorzugung von Milliardären durch ÖVP-Regierungsmitglieder (COFAG-Untersuchungsausschuss)“ im Nationalrat eingebracht (6/US XXVII. GP) und der betreffende Untersuchungsausschuss am 15. Dezember 2023 im Rahmen der 247. Sitzung des Nationalrates eingesetzt.
Am 1*. Februar 2024 stellten die Nationalratsabgeordneten Ludwig T***, Dietmar U*** folgendes Verlangen gemäß § 25 Abs. 2 VO-UA an den Bundesminister für Finanzen:
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original als Faksimile (grafische Datei) wiedergegebene Dokument mit den Namen des Beschwerdeführers und anderer betroffener Personen kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Der Inhalt ist sinngemäß im oben dargestellten Vorbringen des Beschwerdeführers wiedergegeben.]
Bereits am 1. März 2024 hat der Antragsteller des gegenständlichen Verfahrens einen Antrag auf Untersagung einer Datenverarbeitung betreffend die Aufbereitung und Übermittlung seiner personenbezogenen Daten an den COFAG-Untersuchungsausschuss bei der Datenschutzbehörde eingebracht. Der Antrag richtete sich mitunter gegen den selben Erstantragsgegner des gegenständlichen Verfahrens. Über diesen Antrag hat die Datenschutzbehörde mit Bescheid vom 5. März 2024, GZ: D124.0686/24 [Anmerkung Bearbeiter/in = Verfahrenszahl, nicht ELAK-Geschäftszahl], abgesprochen.
Beweiswürdigung : Die Feststellungen ergeben sich aus dem Vorbringen des Antragstellers vom 15. März 2024 sowie aus der von ihm vorgelegten Kopie des ergänzenden Beweisverlangens vom 24. Februar 2024. Die Feststelllungen zu D124.0686/24 ergeben sich aus diesem Akt und ist der diesbezügliche Akteninhalt dem Antragsteller bekannt.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zum Mandatsbescheid im Allgemeinen
Mandatsbescheide dienen typischerweise der sofortigen und amtswegigen Durchsetzung unaufschiebbarer Maßnahmen verwaltungspolizeilichen Charakters in einem Einparteienverfahren. Insoweit haben sie vorläufigen Charakter und passen somit nicht in ein Verfahren mit mehreren Beteiligten, in dem ein (End-) Bescheid ergehen kann, der die – zwischen den Beteiligten strittige Sache – nach Durchführung entsprechender Ermittlungen endgültig regeln würde.
Es handelt sich hier also insoweit um einen atypischen Mandatsbescheid eigener Art, allerdings ist aus dem klaren Wortlaut des Gesetzes im Sinne des Vorbringens des Antragstellers doch abzuleiten, dass der Gesetzgeber dem Betroffenen hier ein subjektives Recht auf Rechtsschutz durch die Datenschutzbehörde einräumen wollte. Es muss also über den vorliegenden Antrag meritorisch entschieden werden (vgl. dazu bereits den Bescheid vom 29. Oktober 2015, GZ: DSB-D215.861/0010-DSB/2015).
Nach § 22 Abs. 4 DSG in Verbindung mit § 57 Abs. 1 AVG ist die Datenschutzbehörde berechtigt, ohne vorangegangenes Ermittlungsverfahren die Weiterführung einer Datenverarbeitung mit Mandatsbescheid zu untersagen, wenn durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Person (Gefahr im Verzug) vorliegt und trägt somit einem erhöhten Gefährdungspotential bei Gefahr im Verzug Rechnung (vgl. Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 8).
Da der Erlassung eines Mandatsbescheides kein Ermittlungsverfahren der Datenschutzbehörde vorangehen muss, obliegt es dem Antragsteller, die gesetzlichen Voraussetzungen der Bescheiderlassung zusammen mit dem Antrag zu bescheinigen (glaubhaft zu machen, einen Anscheinsbeweis zu erbringen; vgl. Schmidl in Gantschacher † /Jelinek/Schmidl/Spanberger , Kommentar zum DSG, § 22 Anm. 9). Eine spätere Nachholung der Bescheinigung oder ein Beweisverfahren darüber wäre mit dem Charakter des Bescheides nach § 22 DSG als unaufschiebbare Maßnahme verwaltungspolizeilichen Charakters (datenschutzpolizeiliche Dringlichkeitsverfügung) nicht vereinbar (vgl. den Bescheid der Datenschutzbehörde vom 24. September 2015, GZ: DSB D215.813/0012-DSB/2015).
Die Erlassung eines Mandatsbescheides erfordert einerseits eine materielle Rechtswidrigkeit der Datenverarbeitung , für deren Vorliegen bereits ein begründeter Verdacht ausreichend ist. Es müssen also tatsächliche Anhaltspunkte die Annahme der Wahrscheinlichkeit rechtfertigen, dass Bestimmungen des Datenschutzrechts verletzt wurden und muss dies rational nachvollziehbar dargelegt werden (vgl. VwGH 21. März 2012, 2012/16/0005). Andererseits ist erforderlich, dass durch den Betrieb eben dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (dh. Gefahr im Verzug) vorliegt (vgl. Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 15). Für die Erlassung eines Mandatsbescheides müssen beide Kriterien erfüllt sein.
Gefahr im Verzug liegt vor, wenn das Unterlassen der behördlichen Maßnahme voraussichtlich dazu führen würde, dass Betroffene (weitere) Privatsphärenverletzungen oder gar Schäden hinnehmen müssten, die durch das Erlassen der vorläufigen Untersagung der Datenverarbeitung verhindert werden können. § 22 Abs. 4 DSG stellt insoweit eine lex specialis zu § 57 AVG dar. Dies bedeutet, dass die ansonsten durchzuführende Prüfung der Unaufschiebbarkeit der Maßnahme im Verhältnis zur notwendigen Dauer des Ermittlungsverfahrens im Datenschutzbereich entfällt (vgl. Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 18).
Zur Erfüllung des Tatbestandes der „Gefahr im Verzug“ reicht eine allgemeine Besorgnis hinsichtlich zukünftiger Ereignisse nicht aus (vgl. DSK 30.3.2012, K121.765/0008-DSK/2012). Das Vorliegen der Gefahr im Verzug muss mit Tatsachen begründet werden, die auf den Einzelfall bezogen sind. Reine Spekulationen, hypothetische Erwägungen oder lediglich auf Alltagserfahrung gestützte, fallunabhängige Vermutungen genügen nicht (vgl. Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 20).
D.2. Zum Vorliegen einer wesentlichen unmittelbaren Gefährdung schutzwürdiger Geheimhaltungsinteressen des Antragstellers durch den Betrieb der gegenständlichen Datenverarbeitung (Gefahr im Verzug):
Zum Erstantragsgegner:
In Bezug auf den Erstantragsgegner ist der bereits ergangene ha. Bescheid GZ: D124.0686/24 (2024 0.175.712) vom 5. März 2024 zu beachten, mit dem über den vom selben Antragsteller bereits am 1. März 2024 eingebrachten Antrag auf Erlassung eines Mandatsbescheides gemäß § 22 Abs. 4 DSG iVm § 57 AVG gegen den Erstantragsgegner (nicht rechtskräftig) abweisend abgesprochen wurde.
Bereits in jenem Antrag begehrte der Antragsteller, die Datenschutzbehörde möge dem Erstantragsgegner mit sofortiger Wirkung die „Aufbereitung und Übermittlung jeglicher zu [seiner] Person bei den Antragsgegnern gespeicherten personenbezogenen Daten, insbesondere [seiner] persönlichen Steuerakten, an den U-Ausschuss untersagen“.
Erstantragsgegner jenes Verfahrens war wie im gegenständlichen Verfahren der Bundesminister für Finanzen, weshalb das Antragsrechts des Antragsstellers in Bezug auf die Verarbeitungsvorgänge Aufbereitung und Übermittlung durch den Erstantragsgegner bereits konsumiert wurde, da ansonsten im gegenständlichen Verfahren noch einmal das idente Begehr des früheren Antrags beurteilt werden müsste.
Sehr wohl im Rahmen des gegenständlichen Verfahrens abgesprochen werden muss über den gegenständlichen Antrag, insoweit er über den Antrag vom 1. März 2024 hinausgeht.
Somit müssen die Verarbeitungsarten „ weitere Speicherung “ und „ jede weitere Übermittlung “ an den Drittantragsgegner beurteilt werden.
Zu Erstantragsgegner und Zweitantragsgegnerin:
Wie festgestellt, beantragten Abgeordnete des österreichischen Nationalrates mit einem Verlangen gem. § 25 Abs. 2 VO-UA vom 1*. Februar 2024 eine Übertragung weiterer Daten, darunter den vollständigen Steuerakt des Antragsstellers, an den Drittantragsgegner.
Der Antragsteller brachte dabei explizit vor, die für die Erlassung eines Mandatsbescheides gem. § 22 Abs. 4 DSG iVm § 57 Abs. 1 AVG Gefahr im Verzug bestehe darin, dass es „mittlerweile leider gängige Praxis“ sei, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, unmittelbar auch veröffentlicht würden (insbesondere durch „Leaks“ an Medien) und mit der Übermittlung an den Drittantragsgegner daher ein unwiederbringlicher Nachteil verbunden wäre, der durch die Veröffentlichung der personenbezogenen Daten entstehe.
Die Zulässigkeit eines Mandatsbescheides setzt voraus, dass eine Gefahrensituation durch den Antragsgegner respektive die Antragsgegnerin und Verantwortliche:n iSd Art. 4 Z 7 DSGVO zu befürchten ist.
Selbst wenn man davon ausgeht, dass die vom Antragsteller befürchteten „Leaks“ passieren, somit personenbezogene Daten des Antragstellers von Mitgliedern (oder parlamentarischen Mitarbeiter:innen) des Drittantragsgegners Medien übermittelt und offengelegt würden, ist gegenständlich nicht erkennbar, inwieweit diese Gefahrensituation unmittelbar durch die beanstandete Datenverarbeitung durch den Erstantragsgegner oder die Zweitantragsgegnerin gegeben wäre, richtet sich der verfahrensgegenständliche Antrag des Antragstellers doch gegen die weitere Speicherung , Aufbereitung und die bereits stattgefundene Übermittlung an den Drittantragsgegner sowie jede weitere Übermittlung an den Drittantragsgegner von Daten mit Personenbezug zum Antragsteller durch Erstantragsgegner und Zweitantragsgegnerin (wie bereits dargelegt, wird in Bezug auf den Erstantragsgegner lediglich die Verarbeitung durch Speicherung und weiter Übermittlung, sohin nicht die Speicherung oder die Übermittlung an den Drittantragsgegner, geprüft).
Ausdrücklich wird dabei vom Antragsteller die Übermittlung der Steuerakten des Antragstellers, an den Drittantragsgegner moniert. Die Offenlegung dieser personenbezogenen Daten (etwa an Medien) unmittelbar durch Erstantragsgegner oder Zweitantragsgegnerin wurde seitens des Antragstellers zu keinem Zeitpunkt behauptet. Ebenso wenig wurde die Speicherung der personenbezogenen Daten oder die Aufbereitung im Vorfeld einer Übermittlung unmittelbar als Verwirklichungen einer Gefahr im Verzug moniert. Die monierte Gefahr weiterer Übermittlungen der personenbezogenen Daten durch Erstantragsgegner oder Zweitantragsgegnerin an den Drittantragsgegner vermag darüber hinaus als unsubstantiiertes Vorbringen nicht zur Annahme einer konkreten Gefahr im Verzug gereichen.
Aus dem Vorbringen des Antragstellers lässt sich außerdem lediglich eine allgemeine Besorgnis hinsichtlich zukünftiger Ereignisse ableiten. Bei der Befürchtung, Mitglieder des Untersuchungsausschusses würden – entgegen bestehender Geheimhaltungsverpflichtungen – die ihnen im Rahmen ihrer Tätigkeit für den Untersuchungsausschuss bekannt gewordene Informationen Dritten gegenüber offenlegen, handelt es sich aus Sicht der Datenschutzbehörde lediglich um hypothetische Erwägungen bzw. lediglich auf Alltagserfahrung gestützte Vermutungen (vom Antragsteller wird angeführt: „Es ist mittlerweile leider auch gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, unmittelbar auch veröffentlicht werden (insb durch „Leaks“ an Medien).“ ), welche nicht geeignet sind, das Vorliegen einer konkreten Gefahrensituation iSd § 22 DSG bescheinigen zu können (vgl. erneut Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz (DSG), § 22 DSG, Rz 20).
Zusammenfassend ist somit festzuhalten, dass die vermeintliche Gefährdung von Interessen des Antragstellers in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen wird, nicht jedoch, in der – wie auch immer gearteten – Datenverarbeitung durch den Erstantragsgegner oder die Zweitantragsgegnerin und daher jedenfalls außerhalb deren Sphäre liegt.
Zum Drittantragsgegner:
Wie der Antragsteller in seinem Antrag richtig ausführt, hat der EuGH jüngst in seinem Urteil vom 16. Jänner 2024, C-33/22, nach einem Vorabentscheidungsersuchen nach Art. 267 AEUV (betreffend die österreichische Datenschutzbehörde) erkannt, dass „nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung [der DSGVO] entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.“
In einem weiteren Spruchpunkt erkannte der EuGH, dass, wenn in einem Mitgliedstaat nur eine einzige Aufsichtsbehörde gem. Art. 51 Abs. 1 DSGVO eingerichtet ist, diese „aber nicht mit der Zuständigkeit für die Überwachung der Anwendung [der DSGVO] durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen [ist], über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.“
Damit ist nunmehr eindeutig geklärt, dass die Datenschutzbehörde, als derzeit einzige in Österreich eingerichtete Aufsichtsbehörde nach Art. 51 DSGVO, zur Kontrolle parlamentarischer Untersuchungsausschüsse berufen ist, weshalb der Antrag auf Erlassung eines Mandatsbescheides des Antragstellers auch in Bezug auf den Drittantragsgegner als zulässig angesehen werden und inhaltlich behandelt werden muss.
Wie bereits ausgeführt, bringt der Antragsteller vor, die Gefahr im Verzug liege darin, dass Mitglieder des Drittbeschwerdegegners oder deren parlamentarische Mitarbeiter:innen personenbezogene Daten des Antragstellers an Medien weitergeben, wie dies schon bei parlamentarischen Untersuchungsausschüssen in der Vergangenheit vorgekommen sei.
Im Ergebnis ist der Antrag des Antragstellers aber dennoch auch in Bezug auf den Drittantragsgegner abzuweisen.
Dem Vorbringen des Antragstellers ist darin zuzustimmen, dass die Übermittlung personenbezogener Daten, die ihn betreffen, an den Drittantragsgegner sowie parlamentarische Mitarbeiter:innen einem großen Personenkreis Zugang zu diesen Daten gibt.
Die Aufgaben und Kompetenzen eines parlamentarischen Untersuchungsausschusses sind in Anlage zur Geschäftsordnung des Nationalrates in der VO-UA geregelt.
Nicht geregelt und damit auch nicht rechtlich vorgesehen ist dabei die Weitergabe von Dokumenten respektive Daten an Medienvertreter:innen, unabhängig davon, ob derartige Dokumente personenbezogene Daten enthalten oder nicht.
In den Materialien zu der Novelle des parlamentarischen Untersuchungsausschusses, in deren Rahmen auch das Einsetzungsrecht für eine parlamentarische Minderheit gem. Art. 53 Abs. 1 B-VG eingeführt wurde, wird in Bezug auf Beschwerden aufgrund von der Verletzung von Persönlichkeitsrechten an den VfGH nach Art. 138b Abs. 1 Z 7 lit. b B-VG ausgeführt:
„Die Beschwerde ist nur dann zulässig, wenn sich das Mitglied bzw. der Funktionär ‚in Ausübung seines Berufes‘ verhalten hat (vgl. Art. 57 Abs. I B-VG). Handlungen außerhalb des Untersuchungsausschusses, etwa in Pressekonferenzen, sind vom Anwendungsbereich folglich nicht umfasst“ (Erläuterungen zum Initiativantrag: IA 718/A XXV. GP, 19).
Nach der Rechtsprechung des VfGH können Aussagen in Interviews gegenüber Medien oder in Pressemitteilungen oder die Weitergabe von dem Untersuchungsausschuss übermittelten Unterlagen an Personen außerhalb des Untersuchungsausschusses nicht zum Gegenstand einer Beschwerde nach Art. 138b Abs. 1 Z 7 B-VG gemacht werden, weil dieses Verhalten nicht von der beruflichen Immunität der Mitglieder des Nationalrates im Sinne des Art. 57 Abs. 1 B-VG erfasst ist (VfGH 29. Juni 2023 UA 1/2023, Rz 24).
In „Ausübung des Berufes“ bedeutet nach der Rechtsprechung des VfGH, dass nur das Verhalten eines Mitglieds des Untersuchungsausschusses während und nicht außerhalb der Sitzungen des Untersuchungsausschusses Gegenstand im Verfahren nach Art. 138b Abs. 1 Z 7 B-VG sein kann (VfSIg. 20.015/2015, Rz 76; VfGH 25. September 2021, UA 6/2021, Rz 50 f)
Diese wichtige Abgrenzung ist auch gegenständlich zu beachten:
Die Weitergabe von Akten, die einem Untersuchungsausschuss übermittelt wurden, durch Mitglieder des Untersuchungsausschusses, parlamentarische Mitarbeiter:innen oder andere an Medien oder sonstige Dritte ist gesetzlich nicht vorgesehen.
Wenn daher bereits offizielle Pressekonferenzen von Mitgliedern eines Untersuchungsausschusses nicht als Handlungen „in Ausübung des Berufes“ gesehen werden können, kann eine allfällige Datenübermittlung im Rahmen solcher Pressekonferenzen o.Ä. auch keine Zurechnung zum Drittantragsgegner bewirken.
Die (datenschutzrechtliche) Verantwortlichkeit solcher Handlungen trifft somit grundsätzlich – vorbehaltlich einer Prüfung im Einzelfall – vielmehr das einzelne Mitglied des Untersuchungsausschusses selbst .
Es liegen auch keine Anhaltspunkte dafür vor, dass in früheren Fällen „Leaks“ an Medien einem Untersuchungsausschuss zuzurechnen waren, sondern ging dies von einzelnen Mitgliedern aus, die derartige Datenverarbeitungen somit eigenmächtig, also gerade nicht in „Ausübung ihres Berufes als Mitglied des Nationalrates“ durchführten.
Damit fallen derartige Datenverarbeitungen auch nicht in die Sphäre des Drittantragsgegners, weshalb der Antrag auch in Bezug auf den Drittantragsgegner abzuweisen war.
Darüber hinaus ist zusätzlich zu dem Urteil des EuGH vom 16. Jänner 2024, C-33/22, auch die bisherige Rechtsprechung des VfGH und die damit einhergehende Entscheidungspraxis der Datenschutzbehörde zu beachten, wonach die Rolle der Datenschutzbehörde im Falle der Vorlagepflicht an einen Untersuchungsausschuss auf eine ex-post Kontrolle beschränkt ist (siehe dazu etwa den Beschluss vom 25. September 2021, UA 6/2021 mwN; siehe dazu auch den – stattgebenden – Bescheid vom 8. September 2021, GZ: 2021-0.474.768). Auch die rezente Judikatur des EuGH vermag an dieser Spruchpraxis nichts zu verändern.
Ob die Daten des Antragstellers durch den Erstantragsgegner und die Zweitantragsgegnerin an den Drittantragsgegner sohin rechtmäßig übermittelt wurden oder ob eine Übermittlung vielmehr zu unterbleiben gehabt hätte, etwa, weil der Antragsteller gar nicht vom Einsetzungsbeschluss umfasst ist, ist somit einer nachträglichen Prüfung vorbehalten.
Es war daher spruchgemäß zu entscheiden.
Im vorliegenden Fall hat der Antragssteller einen Antrag auf Erlassung eines Mandatsbescheides gemäß § 22 Abs. 4 DSG iVm § 57 Abs. 1 AVG iVm Art. 58 Abs. 2 lit f DSGVO gestellt.
Aus diesem Grund sind die Rechtsgrundlagen für einen Mandatsbescheid auch im „Bescheidkopf“ sowie bei den Rechtsgrundlagen angeführt (§ 22 Abs. 4 DSG und § 57 AVG). Dennoch erfolgt die Abweisung nicht in Form eines Mandatsbescheides, da es im vorliegenden Fall an dem gemäß § 57 Abs. 1 AVG gebotenen Merkmal der Gefahr im Verzug jedenfalls fehlt. Ein Mandatsbescheid – und damit ein durch die Möglichkeit der Vorstellung erweitertes und verlängertes Rechtsschutzverfahren – ergibt nur im Fall eines positiven verwaltungspolizeilichen Eingriffs einen Sinn (arg: „unaufschiebbare Maßnahmen“ in § 57 Abs. 1 AVG), nicht jedoch im gegenständlichen Fall der Ablehnung eines solchen beantragten Eingriffs mangels Vorliegens der gesetzlichen Voraussetzungen (vgl. nochmals den o.g. Bescheid vom 24. September 2015).