Ein Betroffener verlangte Auskunft gem. Art 15
DSGVO vom Petitionsausschuss des Hessischen Landtages ...
Dieser war der Ansicht, kein Verantwortlicher zu sein.
Der EuGH sah das anders!
Der EuGH hat am 9.7.2020 (C-272/19) eine Entscheidung zur Definition des Verantwortlicheng gefällt.
Das Ausgangsverfahren in Deutschland
Eine Person hatte eine Petition beim Petitionsausschuss des Hessischen Landtags eingereicht. Die betroffene Person begehrte Auskunft über die ihn betreffenden personenbezogenen Daten, die dieser Ausschuss im Rahmen der Behandlung seiner Petition verarbeitet hatte.
Der Präsident des Hessischen Landtags lehnte das Auskunftsersuchen ab, und begründete dies damit, dass das Petitionsverfahren eine parlamentarische Aufgabe sei und das betreffende Parlament nicht in den Anwendungsbereich der DSGVO falle.
In der weiteren Folge musste sich der EuGH im Rahmen eines Vorlageverfahrens (C-272/19) mit der Frage befassen, ob der Petitionsausschuss des Hessischen Parlaments vom Anwendungsbereich der DSGVO ausgenommen sei, oder nicht.
Die Entscheidung des EuGH
Nach Ansicht des EuGH (C-272/19, 9.7.2020) ist Art. 4 Nr. 7 DSGVO dahin auszulegen, dass „der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt.“
Die Ausnahmeregelung des Art 2 Abs 2 lit a DSGVO ist, da dies eine Ausnahme von der in Art 2 Abs 2 DSGVO enthaltenen Definition des Anwendungsbereiches darstellt, eng auszulegen.
Der Umstand, dass eine Tätigkeit an sich eine parlamentarische Tätigkeit ist, reicht nicht aus, um den Ausnahmetatbestand zu erfüllen. „Es ist nämlich erforderlich, dass die Tätigkeit zu denjenigen gehört, die ausdrücklich in dieser Vorschrift genannt sind, oder dass sie derselben Kategorie wie diese zugeordnet werden kann.“
Ausgenommen sind zB
-
der Schutz der nationalen Sicherheit der Mitgliedsstaaten (da dies in die
alleinige Verantwortung derselben fällt; Art 3 Abs 2 EUV und Art 73 AEUV) oder
-
die gemeinsame Außen und Sicherheitspolitik (Art 2 Abs 2 lit b DSGVO) oder
- auch die Verarbeitung von personenbezogenen Daten durch Organe, Einrichtungen, Ämter oder Agenturen der Union (siehe Art 2 Abs 3 DSGVO; ErwG 17).
Weiters ausdrücklich aus dem Anwendungsbereich der DSGVO ausgenommen ist die Verarbeitung von personenbezogenen Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
Die Verarbeitung von personenbezogenen Daten in diesem Zusammenhang fällt in den Anwendungsbereich der DSRL-PJ, die in Österreich durch das 3. Hauptstück des DSG umgesetzt wurde.
Dazu gab es auch in Österreich schon erste Entscheidungen zB durch das LVwG Tirol im Rahmen einer Lenkererhebung gem. KFG (Verfolgung einer Verwaltungsübertretung; siehe auch im dataprotect-blog)
13.07.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben