EU-Datenschutz-Grundverordnung kommt künftig auch bei parlamentarischer Arbeit zur Anwendung

Das Thema Datenschutz wird bei der parlamentarischen Arbeit künftig eine größere Rolle als bisher spielen. Die Parteien haben sich in Reaktion auf ein zu Jahresbeginn ergangenes Urteil des Europäischen Gerichtshofs (EuGH) zur Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) durch Parlamente auf ein umfangreiches Gesetzespaket geeinigt, mit dem unter anderem das Geschäftsordnungsgesetz, das Informationsordnungsgesetz, das Datenschutzgesetz und die Verfassung geändert werden. Auch das Rechnungshof- und das Volksanwaltschaftsgesetz sind von den Anpassungen umfasst. Im Geschäftsordnungsausschuss des Nationalrats erhielt das Paket heute einhellige Zustimmung, bereits morgen wird das Plenum darüber beraten. In Kraft treten sollen die neuen Bestimmungen mit 15. Juli 2024.

Gegenüber den vor drei Wochen in Begutachtung geschickten Gesetzentwürfen wurden keine wesentlichen Änderungen mehr vorgenommen. Die Abgeordneten haben jedoch einzelne Bestimmungen noch präzisiert und Klarstellungen getroffen. Das betrifft etwa die Frage von Stimmenthaltungen im Parlamentarischen Datenschutzkomitee, die Budgetierung der notwendigen Ressourcen für die neue Aufsichtsbehörde sowie die Veröffentlichung von Dokumenten mit personenbezogenen Daten auf Beschluss eines Ausschusses oder des Nationalrats. Formal gesehen wurden die ursprünglich eingebrachten Abänderungsanträge und die beiden ergänzenden Gesetzentwürfe zurückgezogen und neu eingebracht.

Eine Debatte über die Gesetzesanträge gab es heute im Ausschuss nicht mehr, die neu eingebrachten Abänderungsanträge und die beiden ergänzenden Gesetzentwürfe wurden aber von allen fünf Fraktionen mitgetragen. Ausdrücklich bedankten sich Ausschussobmann August Wöginger und SPÖ-Abgeordneter Jörg Leichtfried für die gute Zusammenarbeit und die Unterstützung durch die Parlamentsdirektion. Es sei gelungen, Wesentliches für den Parlamentarismus zu schaffen, sagte Leichtfried. Laut Wöginger sind im Zuge des Ausschussbegutachtungsverfahrens 17 Stellungnahmen im Parlament eingegangen.

Parlamentarische Arbeit soll nicht beeinträchtigt werden

Basis für die Beschlüsse bildeten zwei Vier-Parteien-Anträge (3847/A, 3848/A), die im Zuge der Ausschussberatungen umfassend adaptiert und durch zwei Gesetzesanträge ergänzt wurden. So werden die näheren Bestimmungen über die zulässige Verarbeitung personenbezogener Daten im Rahmen der parlamentarischen Arbeit nicht wie ursprünglich geplant in der Geschäftsordnung des Nationalrats selbst, sondern im Informationsordnungsgesetz geregelt. Außerdem wird mit dem Parlamentarischen Datenschutzkomitee eine eigene datenschutzrechtliche Aufsichtsbehörde für den Nationalrat, den Bundesrat, den Rechnungshof und die Volksanwaltschaft geschaffen. Bisher sei man davon ausgegangen, dass Datenverarbeitungen im Bereich der Gesetzgebung zwar vom Grundrecht auf Datenschutz erfasst sind, aber weder die DSGVO noch die übrigen Bestimmungen des Datenschutzgesetzes Anwendung finden, wird das vorliegende Gesetzespaket begründet.

Um die parlamentarische Arbeit, zum Beispiel das Einbringen von schriftlichen Anfragen oder Gesetzesanträgen, nicht zu beeinträchtigen, sieht die Novelle zum Informationsordnungsgesetz ausdrücklich eine Beschränkung von Betroffenenrechten – im Einklang mit der DSGVO – vor. Das betrifft Auskunfts- und Informationsrechte genauso wie Löschungs- und Berichtigungsrechte. Damit soll unter anderem gewährleistet werden, dass Abgeordnete ungehindert recherchieren oder Anregungen und Beschwerden von Bürger:innen nachgehen können.

Auch können parlamentarische Materialien nicht gelöscht werden, da sie der sachlichen Immunität unterliegen und mit ihrer Entstehung automatisch als Archivgut gelten. In besonderen Fällen soll aber – wie schon bisher – beantragt werden können, Verhandlungsgegenstände wie schriftliche Anfragen von der Parlamentswebsite zu entfernen, also eine Veröffentlichung zu unterbinden. Das Recht auf Berichtigung wollen die Abgeordneten auf Formalia wie Schreibfehler oder andere offensichtliche Unrichtigkeiten beschränken. In Aussicht genommen ist allerdings die Möglichkeit der Abgabe einer ergänzenden Erklärung zu unrichtigen oder unvollständigen personenbezogenen Daten. Beschwerden über dem Parlament zugeleitete Verhandlungsgegenstände wie Regierungsvorlagen oder Berichte sind beim Urheber einzubringen. Gleiches gilt für einlangende Stellungnahmen zu Gesetzesvorhaben.

Nationalratspräsident:in entscheidet über datenschutzrechtliche Anträge

Datenschutzrechtlich Verantwortlicher nach außen wird gemäß dem Gesetzespaket jeweils einheitlich der Nationalrat bzw. der Bundesrat als Organ sein, wobei in Bezug auf den Nationalrat – wie schon bisher – letztlich der Nationalratspräsident bzw. die Nationalratspräsidentin darüber entscheidet, inwieweit Beschwerden betroffener Personen Rechnung getragen wird, also zum Beispiel Schwärzungen oder Anonymisierungen vorgenommen werden. Dabei sind laut GOG-Novelle sowohl die Datenschutzbeauftragten als auch die jeweiligen Antrag- bzw. Anfragesteller:innen einzubinden. Überdies wird ausdrücklich in der Geschäftsordnung verankert, dass bei datenschutzrechtlichen Prüfungen die schutzwürdigen Interessen an der Geheimhaltung personenbezogener Daten gegenüber Kontroll- und Transparenzinteressen sowie gegenüber der Freiheit der Meinungsäußerung abzuwägen sind.

Jedem Parlamentsklub steht es in diesem Zusammenhang zu, einen Datenschutzbeauftragten bzw. eine Datenschutzbeauftragte – gemeinsam für den Nationalrat und den Bundesrat – namhaft zu machen. Sie gelten jeweils für die Dauer einer Gesetzgebungsperiode als gewählt. Dabei darf es sich allerdings nicht um Abgeordnete oder Bundesrät:innen handeln, wie im Hinblick auf die gebotene Vermeidung von Interessenkonflikten in den Erläuterungen klargestellt wurde.

Der Nationalratspräsident bzw. die Nationalratspräsidentin soll den Nationalrat außerdem in behördlichen oder gerichtlichen Datenschutz-Verfahren vertreten. Für den Bundesrat sind ähnliche Bestimmungen in dessen Geschäftsordnung vorgesehen (siehe Parlamentskorrespondenz Nr. 570/2024). Eigene Regelungen bringt das Gesetzespaket für den Rechnungshof und die Volksanwaltschaft, da auch sie es häufig mit hochsensiblen Daten zu tun haben.

Spezifische Aufsichtsbehörde für das Parlament

Als Aufsichtsbehörde wird nicht die Datenschutzbehörde, sondern – ab 2025 – ein eigenes Parlamentarisches Datenschutzkomitee fungieren, das per Landesverfassungsgesetz auch für Landtage, Landesrechnungshöfe und Landesvolksanwälte zuständig gemacht werden kann. Das Komitee soll aus mindestens drei und höchstens sechs Mitgliedern bestehen und vom Nationalrat auf Vorschlag des Hauptausschusses – mit Zustimmung des Bundesrats – für eine Funktionsperiode von fünf Jahren gewählt werden.

Genauere Bestimmungen dazu – etwa in Bezug auf notwendige Qualifikationen der Mitglieder, das Ausschreibungsprocedere, Unvereinbarkeiten, Befangenheiten und Beschlusserfordernisse – werden im Datenschutzgesetz verankert. Die Mitglieder sollen ihr Amt jedenfalls neben ihrer beruflichen Tätigkeit ausüben und bei schweren Verfehlungen oder nicht mehr erfüllten Voraussetzungen vom Nationalrat mit Zweidrittelmehrheit abberufen werden können. Beim Vorsitz ist ein jährlicher Wechsel zwischen den Mitgliedern vorgesehen. Als Berufungsinstanz wird das Bundesverwaltungsgericht – mit Revisionsmöglichkeit beim VwGH – fungieren. Um die Unabhängigkeit der neuen Behörde zu wahren, wird sie über ein eigenes Budget verfügen.

Abseits des Datenschutzkomplexes sieht die GOG-Novelle die Schaffung einer ausdrücklichen Rechtsgrundlage für die Übertragung öffentlicher Teile von Ausschusssitzungen via Livestream bzw. für die Bereitstellung von Aufzeichnungen auf der Parlamentswebsite vor.

Das Gesetzespaket steht gemäß einer Vereinbarung zwischen den Fraktionen bereits morgen auf der Tagesordnung des Nationalrats. Anders als die anderen Teile des Pakets kann die GOG-Novelle allerdings erst im Juli endgültig beschlossen werden, da zwischen Zweiter und Dritter Lesung 24 Stunden liegen müssen. (Schluss) gs