VfGH G212/2023 ua

Normen

B-VG Art44 Abs3
B-VG Art83 Abs2
B-VG Art90a
B-VG Art94
B-VG Art118
B-VG Art140 Abs1 Z1 lita
DSG §18, §24, §31 Abs1, §32 Abs1 Z3, §32 Abs1 Z4, §33, §34, §35, §36 Abs2 Z15, §42, §43, §44, §45, §50, §51, §53, §55, §57, §59
GOG 1896 §85, §85a
StaatsanwaltschaftsG §2, §34a
DS-GVO Art2, Art51, Art52, Art55, Art57
Richtlinie 2016/680 (EU) des Rates zum Datenschutz Art1, Art2, Art3, Art41, Art42, Art45, Art52, Art53, Art54
StPO §74
AEUV Art267
VfGG §7 Abs1, §62 Abs1

European Case Law Identifier: ECLI:AT:VFGH:2023:G212.2023

Spruch:

Die Anträge werden abgewiesen.

Begründung

Entscheidungsgründe

I. Anträge

1. Mit dem vorliegenden, auf Art140 Abs1 Z1 lita B‑VG gestützten, beim Verfassungsgerichtshof zur Zahl G212/2023 protokollierten Antrag begehrt der Verwaltungsgerichtshof, der Verfassungsgerichtshof möge

"§31 Abs1 erster Satz, §32 Abs1 Z3 sowie §36 Abs2 Z15 Datenschutzgesetz (DSG), BGBl I Nr 165/1999 in der Fassung BGBl I Nr 120/2017,

in eventu

die §§31 bis 33, §34 Abs3 bis 5, §36 Abs2 Z15, §42 Abs8 und 9, §44 Abs1 Z6, Abs3 letzter Satz und Abs4 letzter Satz, §45 Abs4 letzter Satz, §50 Abs5, §51, §53, die Wortfolge 'an die Datenschutzbehörde' in der Überschrift zu §55, §55 Abs1, die Wortfolge 'und der Datenschutzbehörde mitzuteilen' in §57 Abs4, §59 Abs4 und die Wortfolge 'und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Datenschutzbehörde auf Anforderung zur Verfügung zu stellen' in §59 Abs5 Datenschutzgesetz (DSG), BGBl I Nr 165/1999 in der Fassung BGBl I Nr 120/2017 bzw (hinsichtlich §32 Abs1 Z1) BGBl I Nr 24/2018,

als verfassungswidrig aufzuheben".

2. Mit den vorliegenden, auf Art140 Abs1 Z1 lita B‑VG gestützten, beim Verfassungsgerichtshof zu den Zahlen G213/2023 und G214/2023 protokollierten Anträgen begehrt der Verwaltungsgerichtshof und zu G262/2023 das Bundesverwaltungsgericht, der Verfassungsgerichtshof möge

"§31 Abs1 erster Satz, §32 Abs1 Z4 sowie §36 Abs2 Z15 Datenschutzgesetz (DSG), BGBl I Nr 165/1999 in der Fassung BGBl I Nr 120/2017,

in eventu

als verfassungswidrig aufzuheben".

II. Rechtslage

1. Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 148/2021 lauten wie folgt:

"2. Abschnitt

Datenschutzbehörde

Einrichtung

§18. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art51 DSGVO eingerichtet.

[…]

3. Abschnitt

Rechtsbehelfe, Haftung und Sanktionen

Beschwerde an die Datenschutzbehörde

§24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen §1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§13 Abs8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.

(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.

(10) In die Entscheidungsfrist gemäß §73 AVG werden nicht eingerechnet:

1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;

2. die Zeit während eines Verfahrens nach Art56, 60 und 63 DSGVO.

[…]

4. Abschnitt

Aufsichtsbehörde nach der Richtlinie (EU) 2016/680

Datenschutzbehörde

§31. (1) Die Datenschutzbehörde wird als nationale Aufsichtsbehörde für den in §36 Abs1 genannten Anwendungsbereich eingerichtet. Die Datenschutzbehörde ist nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

(2) Hinsichtlich der Unabhängigkeit, der allgemeinen Bedingungen und der Errichtung der Aufsichtsbehörde finden die Art52, 53 und 54 DSGVO sowie der §18 Abs2, §§19 und 20 sinngemäß Anwendung.

Aufgaben der Datenschutzbehörde

§32. (1) Die Datenschutzbehörde hat im Anwendungsbereich des §36 Abs1

1. die Anwendung des §1 und der im 3. Hauptstück erlassenen Vorschriften sowie der Durchführungsvorschriften zur Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr L 119 vom 4.5.2016 S. 89, zu überwachen und durchzusetzen;

2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären;

3. die in Art57 Abs1 litc bis e, g, h und t DSGVO festgelegten Aufgaben im Hinblick auf das 3. Hauptstück zu erfüllen;

4. sich mit Beschwerden einer betroffenen Person oder einer Stelle, einer Organisation oder einer Vereinigung gemäß §28 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer Frist von drei Monaten über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;

5. die Rechtmäßigkeit der Verarbeitung gemäß §42 Abs8 zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung gemäß §42 Abs9 zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen wurde;

6. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,

7. Beratung in Bezug auf die in §53 genannten Verarbeitungsvorgänge zu leisten, und

8. die Rechte der betroffenen Person in den Fällen der §§43 Abs4, 44 Abs3 und 45 Abs4 auszuüben.

(2) Die Datenschutzbehörde erleichtert das Einreichen von in Abs1 Z4 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(3) Art57 Abs3 und 4 DSGVO finden sinngemäß Anwendung.

Befugnisse der Datenschutzbehörde

§33. (1) Die Datenschutzbehörde verfügt im Anwendungsbereich des §36 Abs1 über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Untersuchungsbefugnisse. Diese umfassen insbesondere die in §22 Abs2 genannten Befugnisse.

(2) Die Datenschutzbehörde verfügt im Anwendungsbereich des §36 Abs1 über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Abhilfebefugnisse. Dazu zählen jedenfalls die Befugnisse, die es ihr gestatten

1. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften verstoßen;

2. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge, auf bestimmte Weise und innerhalb eines bestimmten Zeitraums, mit den im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften in Einklang zu bringen, insbesondere durch die Anordnung der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung gemäß §45;

3. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

(3) Die Datenschutzbehörde verfügt im Anwendungsbereich des §36 Abs1 über die zur Vollziehung erforderlichen wirksamen Beratungsbefugnisse, die es ihr gestatten, gemäß dem Verfahren der vorherigen Konsultation nach §53 den Verantwortlichen zu beraten und zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Antrag Stellungnahmen an den Nationalrat oder den Bundesrat, die Bundes- oder Landesregierung oder an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten.

(4) Die Ausübung der der Aufsichtsbehörde übertragenen Befugnisse richtet sich im Anwendungsbereich §36 Abs1 sinngemäß nach Art58 Abs4 DSGVO.

(5) §22 Abs3 2. Satz gilt sinngemäß für Verstöße im Anwendungsbereich des §36 Abs1.

Allgemeine Bestimmungen

§34. (1) Verantwortliche haben im Anwendungsbereich des §36 Abs1 wirksame Vorkehrungen zu treffen, um vertrauliche Meldungen über Verstöße zu fördern. In diesem Sinne haben Verantwortliche insbesondere angemessene Verfahren einzurichten, die es ermöglichen, Verstöße gegen die Bestimmungen des 3. Hauptstücks an eine geeignete Stelle zu melden.

(2) Die in Abs1 angeführten Vorkehrungen umfassen zumindest

1. spezielle Verfahren für den Empfang der Meldungen über Verstöße und deren Weiterverfolgung;

2. den Schutz personenbezogener Daten sowohl für die Person, die die Verstöße anzeigt, als auch für die natürliche Person, die mutmaßlich für einen Verstoß verantwortlich ist;

3. klare Regeln, welche die Geheimhaltung der Identität der Person, die die Verstöße anzeigt, gewährleisten, soweit nicht die Offenlegung der Identität im Rahmen eines staatsanwaltschaftlichen, gerichtlichen oder verwaltungsrechtlichen Verfahrens zwingend zu erfolgen hat.

(3) Die Datenschutzbehörde hat im Rahmen des Tätigkeitsberichtes nach §23 über die Tätigkeiten nach dem 4. und 5. Abschnitt zu berichten. Die Vorgaben des Art59 DSGVO und §23 für den Tätigkeitsbericht und die Veröffentlichung von Entscheidungen finden sinngemäß Anwendung.

(4) Auf die gegenseitige Amtshilfe im Anwendungsbereich des §36 Abs1 findet Art61 Abs1 bis 7 DSGVO sinngemäß Anwendung.

(5) Im Anwendungsbereich des §36 Abs1 finden die Regelungen des 3. Abschnitts des 2. Hauptstücks – mit Ausnahme des §30 – sinngemäß Anwendung.

5. Abschnitt

Besondere Befugnisse der Datenschutzbehörde

§35. (1) Die Datenschutzbehörde ist nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen.

(2) (Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art19 B‑VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art30 Abs3 bis 6, 125, 134 Abs8 und 148h Abs1 und 2 B‑VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten aus.

3. Hauptstück

Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des Verfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs

1. Abschnitt

Allgemeine Bestimmungen

Anwendungsbereich und Begriffsbestimmungen

§36. (1) Die Bestimmungen dieses Hauptstücks gelten für die Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie zum Zweck der nationalen Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung.

(2) Im Sinne dieses Hauptstücks bezeichnet der Ausdruck:

[…]

7.'zuständige Behörde'

a) eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, die nationale Sicherheit, den Nachrichtendienst oder die militärische Eigensicherung zuständig ist, oder

b) eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zum Zweck der nationalen Sicherheit, des Nachrichtendienstes oder der militärischen Eigensicherung übertragen wurde;

8. 'Verantwortlicher' die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

9. 'Auftragsverarbeiter' eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

10. 'Empfänger' eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags aufgrund von Gesetzen möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

11. 'Verletzung des Schutzes personenbezogener Daten' eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

[…]

15. 'Aufsichtsbehörde' ist die Datenschutzbehörde;

[…]

2. Abschnitt

Rechte der betroffenen Person

Grundsätze

§42. […]

(8) In den Fällen der §§43 Abs4, 44 Abs3 und 45 Abs4 ist die betroffene Person berechtigt, eine Überprüfung der Rechtmäßigkeit der bezüglichen Einschränkung ihrer Rechte durch die Datenschutzbehörde zu verlangen. Der Verantwortliche hat die betroffene Person über dieses Recht zu unterrichten.

(9) Wird das in Abs8 genannte Recht ausgeübt, hat die Datenschutzbehörde die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Datenschutzbehörde erfolgt sind. Die Datenschutzbehörde hat zudem die betroffene Person über ihr Recht zu unterrichten, Beschwerde an das Bundesverwaltungsgericht zu erheben.

Information der betroffenen Person

§43. (1) Der Verantwortliche hat der betroffenen Person zumindest die folgenden Informationen zur Verfügung zu stellen:

1. den Namen und die Kontaktdaten des Verantwortlichen,

2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,

3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden,

4. das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

5. das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung personenbezogener Daten und Einschränkung der Verarbeitung der personenbezogenen Daten der betroffenen Person durch den Verantwortlichen.

(2) Zusätzlich zu den in Abs1 genannten Informationen hat der Verantwortliche der betroffenen Person in besonderen Fällen die folgenden zusätzlichen Informationen zu erteilen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:

1. die Rechtsgrundlage der Verarbeitung,

2. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

3. gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen,

4. erforderlichenfalls weitere Informationen, insbesondere wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben werden.

(3) Im Fall der Erhebung der personenbezogenen Daten bei der betroffenen Person müssen der betroffenen Person die Informationen nach den Vorgaben des Abs1 und 2 zum Zeitpunkt der Erhebung vorliegen. In allen übrigen Fällen findet Art14 Abs3 DSGVO Anwendung. Die Information gemäß Abs1 und 2 kann entfallen, wenn die Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Verantwortlichen oder aus Anwendungen anderer Verantwortlicher ermittelt und die Datenverarbeitung durch Gesetz vorgesehen ist.

(4) Die Unterrichtung der betroffenen Person gemäß Abs2 kann soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall unbedingt erforderlich und verhältnismäßig ist

1. zur Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, insbesondere durch die Behinderung behördlicher oder gerichtlicher Untersuchungen, Ermittlungen oder Verfahren,

2. zum Schutz der öffentlichen Sicherheit,

3. zum Schutz der nationalen Sicherheit,

4. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,

5. zum Schutz der militärischen Eigensicherung oder

6. zum Schutz der Rechte und Freiheiten anderer.

Auskunftsrecht der betroffenen Person

§44. (1) Jede betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über personenbezogene Daten und zu folgenden Informationen zu erhalten:

1. die Zwecke der Verarbeitung und deren Rechtsgrundlage,

2. die Kategorien personenbezogener Daten, die verarbeitet werden,

3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,

4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

5. das Bestehen eines Rechts auf Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person durch den Verantwortlichen,

6. das Bestehen eines Beschwerderechts bei der Datenschutzbehörde sowie deren Kontaktdaten und

7. Mitteilung zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.

(2) Einschränkungen des Auskunftsrechts sind nur unter den in §43 Abs4 angeführten Voraussetzungen zulässig.

(3) Im Falle einer Nichterteilung der Auskunft gemäß Abs2 hat der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür zu unterrichten. Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in §43 Abs4 genannten Zwecke zuwiderliefe. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, Beschwerde bei der Datenschutzbehörde einzulegen.

(4) Der Verantwortliche hat die Gründe für die Entscheidung über die Nichterteilung der Auskunft gemäß Abs2 zu dokumentieren. Diese Angaben sind der Datenschutzbehörde zur Verfügung zu stellen.

(5) In dem Umfang, in dem eine Datenverarbeitung für eine betroffene Person hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.

Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung

§45. (1) Jede betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Die Berichtigung oder Vervollständigung kann erforderlichenfalls mittels einer ergänzenden Erklärung erfolgen, soweit eine nachträgliche Änderung mit dem Dokumentationszweck unvereinbar ist. Der Beweis der Richtigkeit der Daten obliegt dem Verantwortlichen, soweit die personenbezogenen Daten nicht ausschließlich aufgrund von Angaben der betroffenen Person ermittelt wurden.

(2) Der Verantwortliche hat personenbezogene Daten aus eigenem oder über Antrag der betroffenen Person unverzüglich zu löschen, wenn

1. die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,

2. die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder

3. die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

(3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn

1. die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann, oder

2. die personenbezogenen Daten für Beweiszwecke im Rahmen der Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe weiter aufbewahrt werden müssen.

Im Falle einer Einschränkung gemäß Z1 hat der Verantwortliche die betroffene Person vor einer Aufhebung der Einschränkung zu unterrichten.

(4) Der Verantwortliche hat die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung der Verarbeitung und über die Gründe für die Verweigerung zu unterrichten. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, bei der Datenschutzbehörde Beschwerde einzulegen.

[…]

Protokollierung

§50. (1) Jeder Verarbeitungsvorgang ist in geeigneter Weise so zu protokollieren, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.

(2) In automatisierten Verarbeitungssystemen sind alle Verarbeitungsvorgänge in automatisierter Form zu protokollieren. Aus diesen Protokolldaten müssen zumindest der Zweck, die verarbeiteten Daten, das Datum und die Uhrzeit der Verarbeitung, die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat, sowie die Identität eines allfälligen Empfängers solcher personenbezogenen Daten hervorgehen.

(3) In nicht automatisierten Verarbeitungssystemen sind zumindest Abfragen und Offenlegungen einschließlich Übermittlungen, Veränderungen sowie Löschungen zu protokollieren. Für diese Protokolldaten gilt Abs2 zweiter Satz.

(4) Die Protokolle dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung, der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten sowie in gerichtlichen Strafverfahren verwendet werden.

(5) Der Verantwortliche und der Auftragsverarbeiter haben der Datenschutzbehörde auf deren Verlangen die Protokolle zur Verfügung zu stellen.

Zusammenarbeit mit der Datenschutzbehörde

§51. Der Verantwortliche und der Auftragsverarbeiter sind verpflichtet, über Aufforderung mit der Datenschutzbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.

[…]

Vorherige Konsultation der Datenschutzbehörde

§53. Der Verantwortliche hat nach Maßgabe des Art36 DSGVO vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateisystemen die Datenschutzbehörde zu konsultieren, wobei sich die Verweise in Art36 Abs1 und Abs3 lite DSGVO auf §52 und der Verweis auf die Bestimmungen hinsichtlich der Befugnisse der Datenschutzbehörde in Art36 Abs2 DSGVO auf §33 beziehen und die in Art36 Abs2 DSGVO angeführten Maßnahmen innerhalb von sechs Wochen mit der Möglichkeit einer Verlängerung um einen weiteren Monat zu treffen sind.

[…]

Meldung von Verletzungen an die Datenschutzbehörde

§55. (1) Der Verantwortliche hat nach Maßgabe des Art33 DSGVO Verletzungen des Schutzes personenbezogener Daten der Datenschutzbehörde zu melden.

[…]

Benennung, Stellung und Aufgaben des Datenschutzbeauftragten

§57. […]

(4) Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Datenschutzbehörde mitzuteilen.

[…]

4. Abschnitt

Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

[…]

Datenübermittlung an Drittländer oder internationale Organisationen

§59. […]

(4) Bestehen geeignete Garantien gemäß Abs3 Z2 für Kategorien von Übermittlungen, so hat der Verantwortliche die Datenschutzbehörde über diese Kategorien zu unterrichten.

(5) Übermittlungen gemäß Abs3 Z2 sind zu dokumentieren und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Datenschutzbehörde auf Anforderung zur Verfügung zu stellen.

[…]"

2. §85 und §85a des Gesetzes vom 27. November 1896, womit Vorschriften über die Besetzung, innere Einrichtung und Geschäftsordnung der Gerichte erlassen werden (Gerichtsorganisationsgesetz – GOG), RGBl 217/1896, idF BGBl I 32/2018 lauten:

"§85. (1) Wer durch ein Organ, das in Ausübung seiner justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung handelt, im Grundrecht auf Datenschutz verletzt wurde, kann dem Bund gegenüber die Feststellung dieser Verletzung begehren.

(2) Zur Entscheidung über diese Beschwerde ist das im Instanzenzug übergeordnete Gericht zuständig. Betrifft die Beschwerde eine Verletzung durch ein Organ des Obersten Gerichtshofs, so ist dieser zur Entscheidung zuständig. Das Gericht entscheidet im Verfahren außer Streitsachen, soweit im Folgenden nicht anderes bestimmt ist.

(3) In der Beschwerde ist anzugeben und zu begründen, worin der Beschwerdeführer die Verletzung seines Rechtes erblickt. Die zum Anlass der Beschwerde genommene Entscheidung oder der entsprechende Vorgang ist genau zu bezeichnen. Der Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, ist anzuführen.

(4) Der Betroffene kann sich bei der Erhebung der Beschwerde nur von einem Rechtsanwalt vertreten lassen. Die Beschwerde ist binnen einem Jahr ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, bei dem nach Abs2 zuständigen Gericht einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden.

(5) Das Gericht hat auszusprechen, ob die behauptete Rechtsverletzung stattgefunden hat, und gegebenenfalls dem zuständigen Gericht die erforderlichen Aufträge zu erteilen. Gegen die Entscheidung ist ein Rechtsmittel an den Obersten Gerichtshof zulässig, sofern sie nicht ohnedies von diesem gefällt wurde und die Entscheidung von der Lösung einer Rechtsfrage abhängt, der zur Wahrung der Rechtseinheit, Rechtssicherheit oder Rechtsentwicklung erhebliche Bedeutung zukommt. Die Partei muss für die Erhebung des Rechtsmittels und im weiteren Verfahren durch einen Rechtsanwalt vertreten sein. In einem stattgebenden Erkenntnis ist dem Bund der Ersatz der Beschwerdekosten an den Beschwerdeführer aufzuerlegen.

[…]

Datenschutz in Angelegenheiten der Strafgerichtsbarkeit

§85a. (1) Für die Verarbeitung personenbezogener Daten in Angelegenheiten der Strafgerichtsbarkeit finden die Bestimmungen der Strafprozessordnung 1975 – StPO, BGBl Nr 631/1975, Anwendung.

(2) §85 gilt sinngemäß. Zur Entscheidung über eine Beschwerde in Strafsachen ist das Oberlandesgericht zuständig, betrifft die Beschwerde eine Verletzung durch ein Organ des Obersten Gerichtshofs, dieser. Das Verfahren richtet sich nach den Bestimmungen der StPO, sofern in diesem Bundesgesetz nichts anderes bestimmt ist."

3. §34a des Bundesgesetzes vom 5. März 1986 über die staatsanwaltschaftlichen Behörden (Staatsanwaltschaftsgesetz - StAG), BGBl 164/1986, idF BGBl I 32/2018 lautet auszugsweise:

"Register, sonstige Geschäftsbehelfe und elektronischer Rechtsverkehr

§34a. (1) Bei jeder Staatsanwaltschaft sind Register und sonstige Geschäftsbehelfe zu führen, um einen Überblick über die Gesamtheit der angefallenen Sachen, deren Auffindbarkeit und den Stand der einzelnen Angelegenheiten zu bieten, die für die Erledigung der einzelnen Strafsache nötige Übersicht zu erhalten und zugleich die unentbehrlichen Anhaltspunkte für die Überwachung des gesamten Geschäftsganges und der Vollziehung der einzelnen staatsanwaltschaftlichen Verfügungen, Anträge, Anordnungen und Aufträge zu sichern.

(2) In die Register und Geschäftsbehelfe sowie Tagebücher und Ermittlungsakten dürfen nur solche Daten aufgenommen werden, die erforderlich sind, um den Zweck des Registers, Geschäftsbehelfs, Tagebuchs oder Ermittlungsakts zu erfüllen. Die Führung der Register, Tagebücher, Ermittlungsakten und sonstigen Geschäftsbehelfe sowie die Speicherung des Inhalts der Ermittlungsakten, Aktenbestandteile, staatsanwaltschaftlichen Tagebücher, Behelfe und sonstigen Unterlagen haben nach Maßgabe der technischen und personellen Möglichkeiten mit Hilfe der Verfahrensautomation Justiz zu erfolgen. Die Daten der Register und sonstigen Geschäftsbehelfe haben den Inhalt der Ermittlungsakten bzw Tagebücher und der sonstigen Geschäftsbehelfe vollständig wiederzugeben.

(2a) §85 GOG gilt sinngemäß. Die Entscheidung über eine Beschwerde obliegt

1. wegen einer Verletzung durch ein Organ der Staatsanwaltschaft dem Einzelrichter des Landesgerichts (§31 Abs1 StPO),

2. wegen einer Verletzung durch ein Organ der Oberstaatsanwaltschaft dem Oberlandesgericht und

3. wegen einer Verletzung durch ein Organ der Generalprokuratur dem Obersten Gerichtshof.

Das Verfahren richtet sich nach den Bestimmungen der StPO, sofern im Gerichtsorganisationsgesetz – GOG, RGBl Nr 217/1896, nichts anderes bestimmt ist.

(3) Der Bundesminister für Justiz hat durch Verordnung zu bestimmen, welche Register und Geschäftsbehelfe bei den staatsanwaltschaftlichen Behörden zu führen sowie welche Gattungen von Angelegenheiten darin einzutragen sind, welche Organe sie zu führen haben und wie lange sie aufzubewahren oder verfügbar zu halten sind. Die Form und Einrichtung der Register und Geschäftsbehelfe und wie bei deren Führung im Einzelnen zu verfahren ist, ist im VJ-Online-Handbuch oder in sonstigen Erlässen zu regeln. Das VJ‑Online‑Handbuch ist in der jeweils aktuellen Fassung über die Intranethomepage der Justiz abrufbar zu halten; die sonstigen Erlässe sind dort zu verlautbaren.

(4) Soweit Behörden oder Beteiligten ein Recht auf Einsicht in den Ermittlungsakt oder das Tagebuch zusteht, haben sie nach Maßgabe der vorhandenen technischen Möglichkeiten Anspruch darauf, Ablichtungen oder Ausdrucke der ihre Sache betreffenden Akten und Aktenteile zu erhalten. Den Genannten kann unter Bedachtnahme auf eine einfache und sparsame Verwaltung sowie eine ausreichende Sicherung vor Missbrauch durch dritte Personen auch elektronische Einsicht in sämtliche nach den Vorschriften der StPO oder dieses Gesetzes zugängliche, ihre Sache betreffende Daten, die in der Verfahrensautomation Justiz gespeichert sind, ermöglicht werden.

(5) Für den elektronischen Rechtsverkehr mit den Staatsanwaltschaften sind die §§89a bis 89g GOG anzuwenden.

(6) Im staatsanwaltschaftlichen Bereich sind das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz und die jeweils verfahrensführende Staatsanwaltschaft, die Oberstaatsanwaltschaft oder die Generalprokuratur als für die Verarbeitung von Daten Verantwortliche zu betrachten. Soweit den Verantwortlichen Rechte und Pflichten nach der StPO treffen, sind diese von der jeweils verfahrensführenden Staatsanwaltschaft, der Oberstaatsanwaltschaft oder der Generalprokuratur wahrzunehmen."

4. Die maßgeblichen Bestimmungen (samt Erwägungsgründen) der Richtlinie (EU) Nr 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (in der Folge: DSRL) lauten auszugsweise:

"(75) Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgaben völlig unabhängig erfüllen können, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Aufsichtsbehörden sollten die Anwendung der nach dieser Richtlinie erlassenen Vorschriften überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander und mit der Kommission.

(76) Die Mitgliedstaaten können einer bereits gemäß der Verordnung (EU) 2016/679 errichteten Aufsichtsbehörde die Verantwortung für die Aufgaben übertragen, die von den nach dieser Richtlinie einzurichtenden nationalen Aufsichtsbehörden auszuführen sind.

(77) Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde einrichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, wie sie für die wirksame Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union, notwendig sind. Jede Aufsichtsbehörde sollte über eigene, öffentliche, jährliche Haushaltspläne verfügen, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können.

[…]

(80) Obgleich diese Richtlinie auch für die Tätigkeit der nationalen Gerichte und anderer Justizbehörden gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt. Diese Ausnahme sollte allerdings begrenzt werden auf justizielle Tätigkeiten in Gerichtssachen und sich nicht auf andere Tätigkeiten beziehen, mit denen Richter nach dem Recht der Mitgliedstaaten betraut werden können. Die Mitgliedstaaten sollten außerdem vorsehen können, dass sich die Zuständigkeit der Aufsichtsbehörde nicht auf die Überwachung der Verarbeitung personenbezogener Daten erstreckt, die durch andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit, beispielsweise Staatsanwaltschaften, erfolgt. Die Einhaltung der Vorschriften dieser Richtlinie durch die Gerichte und andere unabhängige Justizbehörden unterliegt in jedem Fall stets der unabhängigen Überwachung gemäß Artikel 8 Absatz 3 der Charta.

[…]

(82) Um die wirksame, zuverlässige und einheitliche Überwachung der Einhaltung und Durchsetzung dieser Richtlinie in der gesamten Union gemäß dem AEUV in der Auslegung durch den Gerichtshof sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter Untersuchungsbefugnisse, Abhilfebefugnisse und beratende Befugnisse, die notwendige Instrumente zur Erfüllung ihrer Aufgaben darstellen. Ihre Befugnisse dürfen jedoch weder die speziellen Vorschriften für Strafverfahren, einschließlich der Ermittlung und Verfolgung von Straftaten, noch die Unabhängigkeit der Gerichte berühren. Unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten sollten die Aufsichtsbehörden außerdem die Befugnis haben, Verstöße gegen diese Richtlinie den Justizbehörden zur Kenntnis zu bringen oder Gerichtsverfahren anzustrengen. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Richtlinie geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf die betroffene Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für sie zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Recht der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Der Erlass eines rechtsverbindlichen Beschlusses sollte in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, einer gerichtlichen Überprüfung unterliegen.

[…]

(85) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten aufgrund von nach dieser Richtlinie erlassenen Vorschriften verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die zuständige Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Stand und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde erforderlich sein, so sollte die betroffene Person über den Zwischenstand informiert werden. Jede Aufsichtsbehörde sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

[…]

Artikel 1

Gegenstand und Ziele

(1) Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

[…]

Artikel 2

Anwendungsbereich

(1) Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.

(2) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(3) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union.

Artikel 3

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck:

[…]

7. 'zuständige Behörde'

[…]

15. 'Aufsichtsbehörde' eine von einem Mitgliedstaat gemäß Artikel 41 eingerichtete unabhängige staatliche Stelle;

[…]

KAPITEL VI

Unabhäng[ig]e Aufsichtsbehörden

Abschnitt 1

Unabhängigkeit

Artikel 41

Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Richtlinie zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden 'Aufsichtsbehörde').

(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Richtlinie in der gesamten Union. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII.

(3) Die Mitgliedstaaten können vorsehen, dass die gemäß der Verordnung (EU) 2016/679 in den Mitgliedstaaten errichtete Aufsichtsbehörde die in dieser Richtlinie genannte Aufsichtsbehörde ist und die Verantwortung für die Aufgaben der nach Absatz 1 zu errichtenden Aufsichtsbehörde übernimmt.

(4) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im in Artikel 51 genannten Ausschuss zu vertreten hat.

Artikel 42

Unabhängigkeit

(1) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Richtlinie völlig unabhängig handelt.

(2) Die Mitgliedstaaten sehen vor, dass das Mitglied oder die Mitglieder ihrer Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Richtlinie weder direkter noch indirekter Beeinflussung von außen unterliegen und dass sie weder um Weisung ersuchen noch Weisungen entgegennehmen.

(3) Die Mitglieder der Aufsichtsbehörden der Mitgliedstaaten sehen von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.

(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.

(5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihre eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht.

(6) Jeder Mitgliedstaaten stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt, und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können.

[…]

Abschnitt 2

Zuständigkeit, Aufgaben und Befugnisse

Artikel 45

Zuständigkeit

(1) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde dafür zuständig ist, im Hoheitsgebiet ihres eigenen Mitgliedstaats die ihr gemäß dieser Richtlinie zugewiesenen Aufgaben und übertragenen Befugnisse zu erfüllen bzw auszuüben.

(2) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist. Die Mitgliedstaaten können vorsehen, dass ihre Aufsichtsbehörde nicht für die Überwachung der von anderen unabhängigen Justizbehörden im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist.

[…]

KAPITEL VIII

Rechtsbehelfe, Haftung und Sanktionen

Artikel 52

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Die Mitgliedstaaten sehen vor, dass jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die nach dieser Richtlinie erlassenen Vorschriften verstößt.

(2) Die Mitgliedstaaten sehen vor, dass eine Beschwerde, die nicht bei der gemäß Artikel 45 Absatz 1 zuständigen Aufsichtsbehörde eingereicht wird, von der Aufsichtsbehörde, bei der die Beschwerde eingelegt wird, ohne unverzüglich an die zuständige Aufsichtsbehörde übermittelt wird. Die betroffene Person wird über die Übermittlung unterrichtet.

(3) Die Mitgliedstaaten sehen vor, dass die Aufsichtsbehörde, bei der die Beschwerde eingelegt wurde, auf Ersuchen der betroffenen Person weitere Unterstützung leistet.

(4) Die betroffene Person wird von der zuständigen Aufsichtsbehörde über den Stand und das Ergebnis der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 53 unterrichtet.

Artikel 53

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1) Die Mitgliedstaaten sehen vor, dass jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde hat.

(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die gemäß Artikel 45 Absatz 1 zuständige Aufsichtsbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 52 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3) Die Mitgliedstaaten sehen vor, dass für Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat.

Artikel 54

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Die Mitgliedstaaten sehen vor, dass jede betroffene Person unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 52 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die Rechte, die ihr aufgrund von nach dieser Richtlinie erlassenen Vorschriften zustehen, infolge einer nicht mit diesen Vorschriften im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden."

5. Die maßgeblichen Bestimmungen der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge: DSGVO), ABl. 2016 L 119, 1, lauten auszugsweise:

"Artikel 2

Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

[…]

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. […]

KAPITEL VI

Unabhängige Aufsichtsbehörden

Abschnitt 1

Unabhängigkeit

Artikel 51

Aufsichtsbehörde

(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden 'Aufsichtsbehörde').

(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.

(3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten.

(4) Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.

Artikel 52

Unabhängigkeit

(1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig.

(2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.

(3) Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.

(5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht.

(6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können.

[…]

Abschnitt 2

Zuständigkeit, Aufgaben und Befugnisse

Artikel 55

Zuständigkeit

(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

[…]

Artikel 57

Aufgaben

(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

[…]

c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;

d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;

e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;

[…]

g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;

h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;

[…]

t) Beiträge zur Tätigkeit des Ausschusses leisten;

[…]"

III. Antragsvorbringen und Vorverfahren

1. Dem beim Verfassungsgerichtshof zur Zahl G212/2023 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:

1.1. Mit Schreiben vom 10. September 2018 teilte eine Rechtsanwältin der Datenschutzbehörde mit, ihr seien als Reaktion auf einen Antrag auf Übermittlung von Aktenkopien (betreffend eine von ihr eingebrachte Sachverhaltsmitteilung) an die Staatsanwaltschaft Steyr auch zwar unter derselben Geschäftszahl geführte, aber ein anderes Verfahren desselben Beschuldigten betreffende Akteninhalte mit (teilweise sensiblen) personenbezogenen Daten zweier Personen übermittelt worden.

1.2. Die Datenschutzbehörde leitete daraufhin eine amtswegige Untersuchung gemäß §32 Abs1 Z3 DSG iVm Art57 Abs1 lith DSGVO ein. Mit Bescheid vom 22. November 2018 stellte die Datenschutzbehörde fest, die Staatsanwaltschaft Steyr habe das Recht auf Geheimhaltung verletzt, indem sie Aktenteile zu einem Verfahren betreffend einen Verkehrsunfall mit fahrlässiger Körperverletzung an unbefugte Dritte übermittelt habe.

1.3. Die gegen den Bescheid der Datenschutzbehörde von der Staatsanwaltschaft Steyr erhobene Beschwerde wies das Bundesverwaltungsgericht mit Erkenntnis vom 18. Dezember 2019 ab. Entgegen der Auffassung der Staatsanwaltschaft Steyr sei die Datenschutzbehörde zur Aufsicht über die Staatsanwaltschaft Steyr gemäß den unionsrechtlichen Vorgaben zuständig.

1.4. Gegen dieses Erkenntnis erhob die Staatsanwaltschaft Steyr ordentliche Revision an den Verwaltungsgerichtshof. Darin bestreitet die Staatsanwaltschaft Steyr die Zuständigkeit der Datenschutzbehörde zur Aufsicht über Staatsanwaltschaften, weil diese als unabhängige Justizbehörden im Sinne des Art45 Abs2 der Richtlinie (EU) Nr 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (in der Folge: DSRL) anzusehen seien. Die angenommene Zuständigkeit der Datenschutzbehörde verstoße gegen das Recht auf ein Verfahren vor dem gesetzlichen Richter gemäß Art83 Abs2 B‑VG sowie den verfassungsgesetzlichen Trennungsgrundsatz.

2. Dem beim Verfassungsgerichtshof zur Zahl G213/2023 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:

2.1. Mit Eingabe vom 22. August 2018 machte die (vor dem Verfassungsgerichtshof) beteiligte Partei eine Verletzung im Recht auf Geheimhaltung durch die Staatsanwaltschaft Wels durch die Weitergabe des gesamten Akteninhaltes im Zusammenhang mit einer Rufdatenerhebung (und nicht bloß der Weitergabe der Tatsache der Rufdatenerhebung) an Dritte bei der Datenschutzbehörde geltend.

2.2. Mit Bescheid vom 1. August 2019 stellte die Datenschutzbehörde die Verletzung im Recht auf Geheimhaltung durch die Staatsanwaltschaft Wels fest.

2.3. Mit Erkenntnis vom 4. Dezember 2020 gab das Bundesverwaltungsgericht der von der Staatsanwaltschaft Wels gegen den Bescheid der Datenschutzbehörde erhobenen Beschwerde Folge und änderte den Bescheid dahin, dass die Datenschutzbeschwerde abgewiesen werde.

2.4. Gegen dieses Erkenntnis erhob die Datenschutzbehörde ordentliche Amtsrevision an den Verwaltungsgerichtshof.

3. Den beim Verfassungsgerichtshof zu den Zahlen G214/2023 und G262/2023 protokollierten Verfahren liegt folgender Sachverhalt zugrunde:

3.1. Zwei Justizwachebeamte der Justizanstalt Klagenfurt erlitten durch einen tätlichen Angriff eines Strafgefangenen Verletzungen, weshalb die Staatsanwaltschaft Klagenfurt ein Ermittlungsverfahren gegen den Strafgefangenen führte. Die im Ermittlungsakt enthaltene Strafanzeige bzw Eingabe der Finanzprokuratur als Vertreterin des Bundes als Privatbeteiligter enthielt personenbezogene Daten der Justizwachebeamten, in concreto Name, Anschrift, Handynummer, Geburtsdatum, Geburtsort, Lohnzettel, Personalnummer, Eintrittsdatum in die Justiz, Sozialversicherungsnummer, Krankenstandsdaten, Familienstand, Unfallbericht sowie die Namen, Adresse, Geburtsdaten und Sozialversicherungsnummern der minderjährigen Kinder des Justizwachebeamten.

3.2. Am 21. Mai 2021 beantragte die Staatsanwaltschaft Klagenfurt unter gleichzeitiger Übersendung des gesamten Ermittlungsaktes die Verhängung der Untersuchungshaft über den Beschuldigten.

3.3. Der Haftrichter verhängte die Untersuchungshaft über den Beschuldigten, beschloss die Beigebung eines Verfahrenshilfeverteidigers, verfügte die Beigabe einer Aktenkopie für den Verfahrenshelfer und sandte die Akten an die ermittelnde Staatsanwaltschaft zurück.

3.4. Am 6. Juni 2021 wurden im Haftraum des Beschuldigten Unterlagen sichergestellt, welche die oben genannten personenbezogenen Daten der Justizwachebeamten enthielten.

3.5. In der Folge brachten die Justizwachebeamten jeweils Beschwerde bei der Datenschutzbehörde wegen Verstoßes gegen das Recht auf Geheimhaltung durch die Staatsanwaltschaft Klagenfurt ein, weil diese ohne Zustimmung der Justizwachebeamten in ungerechtfertigter Weise deren personenbezogene Daten an einen Insassen der Justizanstalt Klagenfurt weitergegeben habe.

3.6. Mit Bescheiden vom 29. November 2021 und 14. April 2022 wies die Datenschutzbehörde die jeweiligen Datenschutzbeschwerden ab, weil die Staatsanwaltschaft Klagenfurt die personenbezogenen Daten an den Insassen der Justizanstalt Klagenfurt nicht weitergegeben oder offengelegt habe.

3.7. Mit Erkenntnis vom 9. November 2022 gab das Bundesverwaltungsgericht der Beschwerde der Justizwachebeamtin gegen den Bescheid der Datenschutzbehörde vom 14. April 2022 Folge und änderte den angefochtenen Bescheid der Datenschutzbehörde dahin, dass die Staatsanwaltschaft Klagenfurt die Justizwachebeamtin im Recht auf Geheimhaltung verletzt habe. Die Staatsanwaltschaft Klagenfurt habe nämlich entgegen den Vorgaben des §74 StPO bestimmte personenbezogene Daten an den Haftrichter des Landesgerichtes Klagenfurt übermittelt, ohne dass diese Daten für die Erfüllung der gesetzlichen Aufgaben erforderlich gewesen wären und ohne geeignete Vorkehrungen zu treffen, um sicherzustellen, dass die Geheimhaltungsinteressen der Betroffenen in jeder Lage des Verfahrens gewahrt blieben.

3.8. Gegen dieses Erkenntnis erhob die Staatsanwaltschaft Klagenfurt außerordentliche Revision an den Verwaltungsgerichtshof, in der unter anderem die Unzuständigkeit der Datenschutzbehörde gerügt wird. Aus Anlass dieser Revision stellte der Verwaltungsgerichtshof mit Beschluss vom 9. Mai 2023 den beim Verfassungsgerichtshof zur Zahl G214/2023 protokollierten Gesetzesprüfungsantrag.

3.9. Mit Beschluss vom 19. Juli 2023 stellte das Bundesverwaltungsgericht aus Anlass der Beschwerde des Justizwachebeamten gegen den Bescheid der Datenschutzbehörde vom 29. November 2021 den beim Verfassungsgerichtshof zur Zahl G262/2023 protokollierten Gesetzesprüfungsantrag.

4. Der Verwaltungsgerichtshof legt die Bedenken, die ihn zur Antragstellung in dem beim Verfassungsgerichtshof zur Zahl G212/2023 protokollierten Verfahren bestimmt haben, wie folgt dar (ohne die im Original enthaltenen Hervorhebungen):

"4. Vorbemerkungen:

Die Revisionswerberin vertritt in einem ersten Schritt die Auffassung, eine Zuständigkeit der DSB zur Kontrolle der Datenverarbeitungen durch Staatsanwaltschaften wäre auf Grund der einfachgesetzlichen Rechtslage nicht gegeben. Bei Zutreffen dieser Ansicht würden sich die vorliegenden verfassungsrechtlichen Bedenken nicht stellen. Der Verwaltungsgerichtshof ist allerdings aus folgenden Erwägungen der Auffassung, dass das DSG eine Zuständigkeit der DSB zur Überprüfung der Datenverarbeitungen durch Staatsanwaltschaften normiert:

§31 Abs1 zweiter Satz DSG sieht (in Umsetzung von Art45 Abs2 erster Satz DSRL) vor, dass die DSB für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Datenverarbeitungen nicht zuständig ist. Allerdings handelt es sich bei Staatsanwaltschaften (ungeachtet dessen, dass Staatsanwälte gemäß Art90a B‑VG Organe der ordentlichen Gerichtsbarkeit sind) nicht um Gerichte (siehe VfGH 9.3.2011, G52/10, VfSlg 19.350/2011; RV 1618 BlgNR 24. GP 9; vgl dazu, dass Staatsanwaltschaften auch nicht als Gerichte im Sinn der DSGVO anzusehen sind, König in Knyrim, DatKomm Art37 DSGVO Rz 15 [Stand Februar 2019]).

Art45 Abs2 zweiter Satz DSRL ermöglicht es den Mitgliedstaaten zwar, die Zuständigkeit der Aufsichtsbehörde auch hinsichtlich der Überwachung der 'von anderen unabhängigen Justizbehörden' im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Datenverarbeitungen auszuschließen. Das DSG enthält allerdings keine Regelung, der zufolge die Zuständigkeit der DSB (unter Inanspruchnahme dieser Richtlinienbestimmung) hinsichtlich der Überprüfung von Datenverarbeitungen durch 'andere unabhängige Justizbehörden' ausgeschlossen wäre (vgl – eine Zuständigkeit der DSB hinsichtlich der Staatsanwaltschaften bejahend – auch Lachmayer in Knyrim, DatKomm §31 DSG Rz 6, 13 [Stand Juli 2020]). An diesem Befund vermag auch der (von der Revisionswerberin ins Treffen geführte) Hinweis in den zitierten Erläuterungen, wonach §31 Abs1 DSG die Vorgaben des Art45 Abs2 der DSRL umsetze, nichts zu ändern. Vielmehr ergibt sich aus dem Inhalt der Bestimmung klar, dass die obligatorische Vorgabe des ersten Satzes des Art45 Abs2 DSRL in §31 Abs1 zweiter Satz DSG umgesetzt wurde, während die fakultative Möglichkeit des zweiten Satzes des Art45 Abs2 DSRL im DSG nicht in Anspruch genommen wurde.

Für diese Sichtweise spricht auch, dass die Staatsanwälte nach Auffassung des Verwaltungsgerichtshofes nicht als 'unabhängige Justizbehörden' im Sinn des Art45 Abs2 zweiter Satz DSRL anzusehen sind. Der Begriff der (anderen) unabhängigen Justizbehörden wird in der DSRL nicht näher definiert. Zwar wird in Erwägungsgrund 80 als Beispiel für unabhängige Justizbehörden auf Staatsanwaltschaften verwiesen; daraus ergibt sich nach Ansicht des Verwaltungsgerichtshofes aber nicht, dass Staatsanwaltschaften jedenfalls - und somit ungeachtet ihrer Ausgestaltung auf nationaler Ebene - als unabhängige Justizbehörden anzusehen sind.

Im Hinblick auf die Zielsetzung einer einheitlichen Auslegung des Unionsrechts erscheint es sachgerecht, für die Auslegung dieses Begriffes Aussagen des Gerichtshofes der Europäischen Union (EuGH) zur Auslegung desselben Begriffes in anderen Rechtsnormen heranzuziehen. Der EuGH hat sich in seinem Urteil vom 27. Mai 2019, C‑508/18 , OG, und C‑82/19 PPU , PI, mit der Frage befasst, ob Staatsanwaltschaften, die in einem Unterordnungsverhältnis zu einem Organ der Exekutive (konkret dem Justizminister) dieses Mitgliedstaates stehen und dessen Einzelweisungen unterworfen werden können, unter den Begriff der Justizbehörde in Art6 Abs1 des Rahmenbeschlusses 2002/584/JI über den Europäischen Haftbefehl fallen. Der EuGH hält zwar fest, dass der Begriff Justizbehörde nicht allein auf Richter oder Gerichte beschränkt ist, sondern auch Behörden erfasst, die an der Strafrechtspflege mitwirken; nicht erfasst seien jedoch Ministerien oder Polizeibehörden, die zur Exekutive gehören (Rn 50). Die Justizbehörde müsse aber Gewähr dafür bieten, dass sie bei der Ausübung ihrer Aufgaben unabhängig handle; das wiederum verlange, dass sie nicht der Gefahr ausgesetzt sei, einer Einzelweisung seitens der Exekutive unterworfen zu werden (Rn 74). Da der Justizminister in Deutschland über ein externes Weisungsrecht gegenüber den Staatsanwaltschaften verfüge (Rn 76), könnten diese keine Gewähr für ein unabhängiges Handeln im Rahmen ihrer Aufgabenerfüllung bieten (Rn 88).

Da die (österreichischen) Staatsanwaltschaften ebenfalls weisungsgebunden und (letztlich) dem Bundesminister für Justiz untergeordnet sind (siehe §2 Abs1 StAG) und Art45 Abs2 zweiter Satz DSRL schon seinem Wortlaut nach nur unabhängige Justizbehörden erfasst, können die dargestellten Ausführungen des EuGH zu den Justizbehörden gemäß Art6 Abs1 des Rahmenbeschlusses 2002/584/JI auf die hier maßgebliche unionsrechtliche Regelung übertragen werden; die Staatsanwaltschaften sind daher nicht als unabhängige Justizbehörden im Sinn des Art45 Abs2 zweiter Satz DSRL anzusehen (vgl dazu auch Zavadil in Knyrim, DatKomm Art55 DSGVO Rz 16 [Stand März 2021]; Thiele/Wagner, DSG² [2022] §31 DSG Rz 3, 13; Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG [2018] §31 Rz 4; Dörnhöfer, Datenschutz im Strafverfolgungsbereich, in Knyrim [Hrsg.], DS-GVO [2016], 401 [411]; Divjak, Die Durchsetzung von Datenschutzrechten im Ermittlungsverfahren, JBl 2022, 489 [492]). Es wäre daher unionsrechtlich nicht zulässig, Datenverarbeitungen durch Staatsanwaltschaften von der Zuständigkeit der Aufsichtsbehörde auszunehmen.

Dem Vorbringen der Revisionswerberin, wonach sich aus den von ihr ins Treffen geführten Regelungen im GOG, im StAG und in der StPO bzw den Erläuterungen dazu ein impliziter Ausschluss der Zuständigkeit der DSB hinsichtlich der Überprüfung von Datenverarbeitungen durch Staatsanwaltschaften ergibt, ist wiederum Folgendes entgegenzuhalten: Der EuGH hat in seinem Urteil vom 12. Jänner 2023, C‑132/21 , BE, zu den (abgesehen vom Umsetzungserfordernis mit den hier maßgeblichen Bestimmungen der DSRL inhaltlich vergleichbaren) Art77 bis 79 DSGVO festgehalten, jeder der vorgesehenen Rechtsbehelfe (Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art77 DSGVO einerseits sowie Recht auf einen wirksamen gerichtlichen Rechtsbehelf gemäß Art79 DSGVO andererseits) müsse unbeschadet des jeweils anderen Rechtsbehelfes zur Verfügung stehen (Rn 34). Die Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden; die DSGVO sehe weder eine vorrangige oder ausschließliche Zuständigkeit noch einen Vorrang der Beurteilung der Aufsichtsbehörde oder des Gerichtes vor (Rn 35). Wenn nach der Rechtsprechung des EuGH aber (sogar) die beiden Rechtsbehelfe nebeneinander vorzusehen sind, dann lässt sich nach Ansicht des Verwaltungsgerichtshofes umso weniger sagen, dass die gemäß (hier) Art46 Abs1 liti DSRL vorzusehenden amtswegigen Untersuchungsaufgaben einer Aufsichtsbehörde durch das gemäß Art54 DSRL eingeräumte Recht auf einen wirksamen gerichtlichen Rechtsbehelf verdrängt werden. Die Regelungen über gerichtliche Rechtsbehelfe können daher nicht dazu führen, dass dadurch die (daneben vorzusehenden) amtswegig wahrzunehmenden Untersuchungsaufgaben der Aufsichtsbehörde hinsichtlich der Datenverarbeitungen durch Staatsanwaltschaften ausgeschlossen wären.

Entgegen der Auffassung der Revisionswerberin ist schließlich auch nicht davon auszugehen, dass die nach dem GOG, dem StAG bzw der StPO zur Entscheidung über Beschwerden gegen staatsanwaltschaftliches Handeln berufenen Gerichte als (weitere) Aufsichtsbehörden gemäß der DSRL zu qualifizieren sind. Zwar weist die Revisionswerberin zutreffend darauf hin, dass Art41 Abs1 DSRL die Einrichtung mehrerer Aufsichtsbehörden grundsätzlich ermöglicht. Wie sich den Erläuterungen zum DSG (AB 1761 BlgNR 25. GP 11) ausdrücklich entnehmen lässt, wurde die (für den Anwendungsbereich der DSRL für zuständig erklärte) DSB aber als 'einzige nationale Aufsichtsbehörde' festgelegt. Zudem würde die Einrichtung mehrerer Aufsichtsbehörden gemäß Art41 Abs4 DSRL eine Festlegung dazu erfordern, welche Aufsichtsbehörde zur Vertretung im Europäischen Datenschutzausschuss (gemäß Art68 DSGVO) zuständig ist, und müssten einer Aufsichtsbehörde sämtliche in Art46 Abs1 DSRL genannten (zum Teil amtswegig wahrzunehmenden) Aufgaben übertragen werden. Das Fehlen derartiger Regelungen spricht daher ebenfalls gegen die Annahme, es seien – entgegen der Anordnung des DSG und ungeachtet des Fehlens einer ausdrücklichen Normierung im GOG, im StAG oder in der StPO – mehrere Aufsichtsbehörden gemäß der DSRL eingerichtet worden.

Der Verwaltungsgerichtshof erachtet es daher als nicht möglich, die Regelungen über die Zuständigkeit der DSB im DSG im Hinblick auf die von der Revisionswerberin ins Treffen geführten Regelungen über gerichtliche Rechtsbehelfe insoweit einschränkend auszulegen, als die Kontrolle der Datenverarbeitungen durch Staatsanwaltschaften von dieser Zuständigkeit ausgenommen wäre.

5. Darlegung der Bedenken:

Der Verwaltungsgerichtshof hat allerdings Bedenken hinsichtlich der Verfassungskonformität einer derartigen Zuständigkeit.

Im Hinblick auf die parallele Zuständigkeit der Gerichte und der DSB äußerte die Revisionswerberin Bedenken bezüglich des Rechts auf den gesetzlichen Richter gemäß Art83 Abs2 B‑VG. Diesbezüglich ist zunächst auf die Rechtsprechung des Verfassungsgerichtshofes zu verweisen, der zufolge der Grundsatz der Trennung der Justiz von der Verwaltung gemäß Art94 B‑VG es gebietet, eine Angelegenheit zur Vollziehung entweder den Gerichten oder den Verwaltungsbehörden zuzuweisen, bzw dass Gerichte und Verwaltungsbehörden nicht über dieselbe Rechtssache entscheiden dürfen. (vgl etwa VfGH 12.3.2019, G190/2018, Rn 111 f). Den Umstand, dass die (dort) Regulierungsbehörde und das ordentliche Gericht teilweise über dieselben abstrakten Rechtsfragen entscheiden, hat der Verfassungsgerichtshof im Hinblick darauf, dass sie nicht über dieselbe Rechtssache entscheiden, aber nicht aufgegriffen und vielmehr festgehalten, ein solches Nebeneinander sei für sich genommen aus verfassungsrechtlicher Sicht nicht zu beanstanden (Rn 121; vgl zum Verbot von Parallelzuständigkeiten im Zusammenhang mit der Zuständigkeit der DSB und der ordentlichen Gerichte in datenschutzrechtlichen Angelegenheiten auch OGH 23.5.2019, 6 Ob 91/19d, Pkt. 4.7. ff).

Diesen Bedenken lässt sich zwar entgegenhalten, dass nach der DSRL zum einen ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf vorzusehen und zum anderen daneben und somit unabhängig davon eine (oder mehrere) Aufsichtsbehörde(n) einzurichten ist (sind) und dieser (diesen) ua die hier wahrgenommene amtswegige Untersuchungsaufgabe zuzuweisen ist (vgl die Art41, 46 und 54 DSRL; vgl zur Parallelität der – inhaltlich insoweit vergleichbaren – Rechtsbehelfe nach der DSGVO erneut EuGH 12.1.2023, C‑132/21 , BE, Rn 34). Aus unionsrechtlicher Sicht besteht insoweit kein Spielraum dahingehend, auf Grund der Einräumung eines gerichtlichen Rechtsbehelfs von der Einrichtung einer Aufsichtsbehörde und einer Zuweisung der in der DSRL vorgesehenen Aufgaben an diese zur Gänze Abstand zu nehmen. Der Verwaltungsgerichtshof hat auch bereits wiederholt darauf verwiesen, dass die Geltung des Unionsrechts durch einen Mitgliedstaat nicht durch Vorschriften des nationalen Rechts, auch wenn diese Verfassungsrang haben, beeinträchtigt werden kann (vgl VwGH 10.10.2018, Ra 2017/03/0108, Rn 21, mwN; vgl weiters EuGH 22.2.2022, C‑430/21 , RS, Rn 39, 51; 26.2.2013, C‑399/11 , Melloni, Rn 60).

Allerdings stellt sich die Frage, ob im Fall einer (hinsichtlich der Einrichtung einer Aufsichtsbehörde dem Grunde nach) vollständigen Determinierung der innerstaatlichen Umsetzregelung durch die DSRL die Umsetzung diesfalls nicht im Verfassungsrang zu erfolgen hätte und die angefochtenen Regelungen vor diesem Hintergrund als verfassungswidrig anzusehen wären (vgl zu diesem Lösungsansatz Holoubek, Doppelte Bildung und Richtlinienumsetzung, ZÖR 2018, 603 [605 f]).

Mehr noch als hinsichtlich der soeben angesprochenen potentiell unzulässigen parallelen Zuständigkeit hegt der Verwaltungsgerichtshof aber im Hinblick auf die Kontrolle der Staatsanwaltschaft durch die DSB und somit eine Verwaltungsbehörde Bedenken hinsichtlich des Trennungsgrundsatzes gemäß Art94 B‑VG.

Der mit BGBl I Nr 2/2008 eingefügte Art90a erster Satz B‑VG sieht vor, dass Staatsanwälte Organe der (nunmehr: ordentlichen) Gerichtsbarkeit sind. Art94 Abs1 B‑VG bestimmt wiederum, dass die Justiz von der Verwaltung in allen Instanzen getrennt ist. Welche Auswirkungen Art90a B‑VG auf die Zuordnung der Staatsanwaltschaften in Art94 B‑VG haben sollte, lässt sich den Erläuterungen (AB 370 BlgNR 23. GP 4 f) nicht entnehmen. In der Lehre ist diese Frage umstritten (für die Annahme, dass auf Grund des Art90a B‑VG die Staatsanwälte im Rahmen des Art94 Abs1 B‑VG nunmehr der Justiz zuzuordnen seien, vgl etwa Wiederin, Staatsanwaltschaft und Bundesverfassung, in ÖJK [Hrsg.], Strafverfolgung auf dem Prüfstand [2011], 33, 39; Faber, Staatsanwälte als Organe der Gerichtsbarkeit - alles beim Alten?, JöR 2009, 125, 137 f; Khakzadeh-Leiler, Art94 B‑VG, in Kneihs/ Lienbacher [Hrsg.], Bundesverfassungsrecht [2013], Rn 20; Divjak, aaO, 493; sowie – ausdrücklich auch zur Kontrolle in datenschutzrechtlichen Angelegenheiten – Burgstaller in Korinek/Holoubek [Hrsg.], B‑VG [2009], Art90a Rn 21; gegen eine derartige Annahme vgl Zellenberg, Die Stellung der Staatsanwälte im System der Trennung von Justiz und Verwaltung, ZfV 2015, 348, 354 ff; Heißl/Lehner, Staatsanwälte in der Verfassung, ZfV 2009, 191, 193; sowie - ausdrücklich auch zur Kontrolle in datenschutzrechtlichen Angelegenheiten - Rill, Art90a B‑VG, in Kneihs/ Lienbacher [Hrsg.], Bundesverfassungsrecht [2010], Rz 16; dazu, dass es zweifelhaft sei, ob Art94 B‑VG auf das Verhältnis von Staatsanwaltschaften und Verwaltungsbehörden anzuwenden sei, vgl Thienel, Die Stellung der Staatsanwälte nach Art90a B‑VG - eine Zwischenbilanz, in GS Walter [2013], 819, 838).

Auch wenn die insbesondere von Zellenberg gegen eine Gleichsetzung von Gerichtsbarkeit und Justiz ins Treffen geführten Argumente durchaus beachtlich sind, erscheint es nach Ansicht des Verwaltungsgerichtshofes letztlich nicht überzeugend, die Staatsanwälte bzw Staatsanwaltschaften zwar gemäß Art90a B‑VG als Organe der (ordentlichen) Gerichtsbarkeit – und somit in einem Umkehrschluss gerade nicht als Organe der Verwaltung – anzusehen, sie aber im Anwendungsbereich des Art94 Abs1 B‑VG dessen ungeachtet der Verwaltung zuzuordnen. In Ermangelung gegenteiliger Hinweise ist davon auszugehen, dass das Handeln der Staatsanwaltschaften als Organe der Gerichtbarkeit auch im funktionellen Sinn Gerichtsbarkeit darstellt (vgl allgemein dazu Faber, aaO, 139). Zwar geht der Verwaltungsgerichtshof davon aus, dass auch Staatsanwälte Justizverwaltung führen können (vgl näher dazu Faber, aaO, 139), allerdings erfolgte die hier gegenständliche Datenverarbeitung im Zuge eines Ermittlungsverfahrens und ist daher – in Ermangelung gegenteiliger Hinweise – in funktioneller Hinsicht als Akt der Gerichtsbarkeit bzw der Justiz anzusehen.

Hinzuweisen ist in diesem Zusammenhang zudem auf das Erkenntnis VfGH 16.12.2010, G259/09 ua, Pkt. II.2.5.2. Der Verfassungsgerichtshof hat darin zunächst festgehalten, dass Ausnahmen vom Grundsatz der Trennung der Justiz von der Verwaltung einer ausdrücklichen verfassungsgesetzlichen Regelung bedürfen. Angesichts des Fehlens einer derartigen Grundlage erachtete der Verfassungsgerichtshof die Vorschrift des (damaligen) §106 Abs1 StPO über das gerichtliche Einspruchsrecht gegen kriminalpolizeiliche Zwangsakte, die zwar im Dienst der Strafjustiz, aber ohne gerichtliche bzw staatsanwaltschaftliche Anordnung vorgenommen worden seien, als mit dem Trennungsgrundsatz des Art94 B‑VG unvereinbar. Dies könnte in einem Umkehrschluss darauf hindeuten, dass kriminalpolizeiliche Akte auf Grund einer staatsanwaltlichen Anordnung – und dies würde dann wohl umso mehr für staatsanwaltschaftliches Handeln selbst gelten – durch Gerichte kontrolliert werden könnten und somit im Rahmen des Art94 Abs1 B‑VG der Justiz zuzurechnen wären.

Nach Ansicht des Verwaltungsgerichtshofes sprechen somit die besseren Gründe für die Annahme, dass die Staatsanwälte bzw ihre Tätigkeit seit Einfügung des Art90a B‑VG im Rahmen des Art94 Abs1 B‑VG nicht mehr der Verwaltung, sondern der Justiz zuzurechnen sind.

Dem in Art94 Abs1 B‑VG normierten Trennungsgrundsatz werden eine Reihe von Inhalten entnommen, wie das Verbot von Mischbehörden oder Parallelzuständigkeiten sowie der Ausschluss von wechselseitigen Instanzenzügen oder Weisungen bzw Anordnungen (vgl etwa Khakzadeh-Leiler, aaO, Rn 22 ff; Muzak, B‑VG⁶ [2020], Art94 B‑VG II.). Der DSB kommt als Aufsichtsbehörde gemäß §32 DSG ua die Aufgabe zu, die Anwendung der einschlägigen datenschutzrechtlichen Vorschriften zu überwachen und durchzusetzen sowie Beschwerden betroffener Personen zu behandeln. Im Zuge dessen hat die DSB gemäß §33 DSG etwa die Befugnis, die Löschung von Daten anzuordnen oder ein Verbot bestimmter Verarbeitungen zu verhängen. Nach Ansicht des Verwaltungsgerichtshofes sind dies Aufgaben bzw Rechtszüge, die vom Inhalt des Art94 Abs1 B‑VG erfasst und somit im Verhältnis zwischen Justiz und Verwaltung unzulässig sind. Daran vermag der Umstand, dass die in Art90a dritter Satz B‑VG zugrunde gelegte Bindung der Staatsanwälte an die Weisungen der ihnen vorgesetzten Organe den Grundsatz der Trennung der Justiz von der Verwaltung in gewisser Hinsicht durchbricht (vgl Muzak, B‑VG⁶ [2020], Art90a B‑VG I.), nichts zu ändern, weil die DSB (abgesehen davon, dass sich ihre Befugnisse nicht auf die Erteilung von Anordnungen beschränken) kein vorgesetztes Organ ist.

Der vom Verwaltungsgerichtshof angenommenen Verfassungswidrigkeit der Zuständigkeit der DSB hinsichtlich der Kontrolle der Staatsanwaltschaften kann auch nicht die Verpflichtung zur Umsetzung von Unionsrecht - konkret der DSRL - entgegengehalten werden. Wie bereits dargelegt, ermöglicht die DSRL ausdrücklich die Einrichtung mehrerer Aufsichtsbehörden (und nimmt diesbezüglich im Erwägungsgrund 77 auf verfassungsmäßige oder organisatorische Erfordernisse der Mitgliedstaaten Bezug). Insoweit besteht (anders als hinsichtlich der Einrichtung einer Aufsichtsbehörde dem Grunde nach) ein Spielraum und es könnte eine sowohl unionsrechts- als auch verfassungskonforme Ersatzregelung geschaffen (und etwa innerhalb der Staatsanwaltschaft eine eigene Aufsichtsbehörde eingerichtet) werden (anderer Ansicht hingegen Divjak, aaO, 495; vgl zu Konstellationen, in denen das Handeln der Mitgliedstaaten nicht vollständig durch das Unionsrecht bestimmt wird, EuGH 29.7.2019, C-516/17 , Spiegel Online, Rn 21, mwN). Die gesetzliche Anordnung, die DSB als Aufsichtsbehörde auch für die Kontrolle der Staatsanwälte vorzusehen, ist somit nach Ansicht des Verwaltungsgerichtshofes unionsrechtlich nicht zwingend vorgegeben, weshalb sie der Kontrolle durch den Verfassungsgerichtshof unterliegt; die Umsetzung des Unionsrechts wird durch die Vorgaben des Art94 B‑VG nicht inhibiert (vgl zur doppelten Bindung VfGH 14.12.2022, G287‑288/2022, Rn 51 ff, sowie Holoubek, aaO, 606 f; der vorliegende Fall ist somit nicht mit der dem Erkenntnis VfGH 5.12.2008, G113/08, VfSlg 18.642/2011, zugrundeliegenden Konstellation vergleichbar)."

5. Die Anträge des Verwaltungsgerichtshofes in dem beim Verfassungsgerichtshof zur Zahl G213/2023 und G214/2023 und der Antrag des Bundesverwaltungsgerichtes in dem beim Verfassungsgerichtshof zur Zahl G262/2023 protokollierten Verfahren entsprechen – mit Anpassungen an den dortigen Sachverhalt und Verfahrensgang – dem oben wiedergegebenen Gesetzesprüfungsantrag. Anders als im Verfahren zur Zahl G212/2023 fechten die antragstellenden Gerichte in den Verfahren zu den Zahlen G213/2023, G214/2013 und G262/2023 (im jeweiligen Hauptantrag) nicht §32 Abs1 Z3 DSG, sondern §32 Abs1 Z4 DSG an. Dies mit der Begründung, dass im Anlassverfahren in dem beim Verfassungsgerichtshof zur Zahl G212/2023 protokollierten Verfahren die Datenschutzbehörde von Amts wegen ein Prüfverfahren bei der Staatsanwaltschaft durchgeführt und ihr Tätigwerden auf §32 Abs1 Z3 DSG gestützt habe. In den Anlassverfahren in den beim Verfassungsgerichtshof zu den Zahlen G213/2023, G214/2023 und G262/2023 protokollierten Verfahren sei die Datenschutzbehörde jeweils auf Grund von Datenschutzbeschwerden und daher gemäß §32 Abs1 Z4 DSG tätig geworden. Die gegen den einerseits angefochtenen §32 Abs1 Z3 DSG und den andererseits angefochtenen §32 Abs1 Z4 DSG vorgebrachten Bedenken sind gleichlautend.

6. Die Bundesregierung erstattete im Verfahren zur Zahl G212/2023 eine Äußerung, in der sie die Zulässigkeit des Antrages bestreitet und im Hinblick auf das Vorbringen in der Sache auf die zur Zahl G213/2023 erstattete Äußerung verweist. Die Äußerung der Bundesregierung im Verfahren zur Zahl G213/2023 lautet wie folgt (ohne die im Original enthaltenen Hervorhebungen):

"4.1. Zum Unionsrecht:

4.1.1. Allgemeine Vorbemerkung zum unionsrechtlichen Regelungszusammenhang:

Die Verarbeitung personenbezogener Daten durch Staatsanwaltschaften im Rahmen strafprozessualer Ermittlungsverfahren fällt in den Anwendungsbereich der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr L 119 vom 04.05.2016 S. 89, in der Fassung der Berichtigung ABl. Nr L 74 vom 04.03.2021 S. 36 (im Folgenden: DSRL‑PJ).

Die DSRL‑PJ bildet gemeinsam mit der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr L 74 vom 04.03.2021 S. 35 (im Folgenden: DSGVO), den für die Mitgliedstaaten geltenden unionsrechtlichen Datenschutzrechtsrahmen. Die beiden Rechtsakte stehen formal in einem Komplementärverhältnis zueinander: Jene Datenverarbeitungen, die gemäß Art2 Abs1 iVm. Art1 Abs1 DSRL‑PJ in den Anwendungsbereich der DSRL‑PJ fallen, sind gemäß Art2 Abs2 litd DSGVO vom Anwendungsbereich der DSGVO ausgenommen. Die beiden Rechtsakte sind strukturell und inhaltlich weitgehend aufeinander abgestimmt und sehen im Wesentlichen dieselben datenschutzrechtlichen Grundkonzepte vor. Aufgrund der unterschiedlichen Rechtsaktform verbleibt den Mitgliedstaaten im Anwendungsbereich der DSRL‑PJ bei diesbezüglichen gesetzlichen Regelungen mehr Gestaltungsspielraum als im Anwendungsbereich der DSGVO (wenngleich auch letztere – insbesondere hinsichtlich der Einrichtung der Aufsichtsbehörde sowie aufgrund diverser materienspezifischer Öffnungsklauseln – einigen Spielraum für Durchführungsmaßnahmen lässt). In materieller Hinsicht enthält die DSRL‑PJ spezifischere, auf den Bereich der Strafverfolgung abgestimmte Regelungen, um den materienspezifischen Erfordernissen angemessen Rechnung zu tragen.

4.1.2. Zum Konzept des 'dualen Rechtszugs':

4.1.2.1. Der datenschutzrechtliche Rechtsschutz ist im Anwendungsbereich der DSRL‑PJ und der DSGVO dem Grunde nach gleichartig konzipiert. Beide Rechtsakte sehen ein duales Rechtsschutzregime vor: Betroffenen Personen steht gegen Verstöße gegen die Umsetzungsvorschriften zur DSRL‑PJ bzw die DSGVO durch die Verarbeitung ihrer personenbezogenen Daten durch Verantwortliche und Auftragsverarbeiter einerseits das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art52 DSRL‑PJ bzw Art77 DSGVO) samt eines gerichtlichen Rechtsbehelfs gegen deren Entscheidung (Art53 DSRL‑PJ bzw Art78 DSGVO) und andererseits ein wirksamer gerichtlicher Rechtsbehelf (Art54 DSRL‑PJ bzw Art79 DSGVO) zur Verfügung.

4.1.2.2. Die Beschwerde bei der Aufsichtsbehörde ist als verwaltungsrechtlicher Rechtsbehelf konzipiert: Nach Art52 DSRL‑PJ bzw Art77 DSGVO besteht das Recht auf Beschwerde bei der Aufsichtsbehörde 'unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs'; korrespondierend dazu besteht nach Art54 DSRL‑PJ bzw Art79 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf 'unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde' (Hervorhebungen durch die Bundesregierung).

4.1.2.3. Im Vorabentscheidungsverfahren in der Rechtssache C-132/21 , Budapesti Elektromos Művek, hat sich der Europäische Gerichtshof erstmals mit dem 'dualen Rechtszug' befasst und sich dabei sowohl zum Verhältnis zwischen der Beschwerdemöglichkeit bei der Aufsichtsbehörde und dem gerichtlichen Rechtsbehelf als auch zur Qualität der jeweiligen Rechtsbehelfe geäußert. Das Urteil des Europäischen Gerichtshofes bezieht sich zwar – aufgrund des Gegenstands des Ausgangsverfahrens – auf den dualen Rechtszug nach der DSGVO; auf Grund der Übereinstimmung der Rechtsschutzkonzepte der DSRL‑PJ und der DSGVO sind die Erwägungen des Europäischen Gerichtshofes jedoch gleichermaßen für den dualen Rechtszug nach der DSRL‑PJ gültig.

In dem genannten Urteil hat der Europäische Gerichtshof klargestellt, dass die Beschwerde bei der Aufsichtsbehörde nach Art77 DSGVO (sowie der gegen ihre Entscheidung gerichtete gerichtliche Rechtbehelf nach Art78 DSGVO) und der gerichtliche Rechtsbehelf nach Art79 DSGVO nebeneinander und unabhängig voneinander erhoben bzw ergriffen werden können. Im Hinblick auf die näheren Modalitäten, wie die Rechtsbehelfe ergriffen werden können, führt der Europäische Gerichtshof aus, dass es '[m]angels einer einschlägigen Unionsregelung […] nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten Sache der einzelnen Mitgliedstaaten [ist], die Modalitäten für das Verwaltungsverfahren und das Gerichtsverfahren zu regeln, die ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen.' (EuGH 12.01.2023, C-132/21 , Rn 45) Der Europäische Gerichtshof geht somit explizit davon aus, dass es sich bei der Beschwerde bei der Aufsichtsbehörde um einen verwaltungsrechtlichen Rechtsbehelf handeln muss.

4.1.2.4. Hinsichtlich der Einrichtung der Aufsichtsbehörde lässt der unionsrechtliche Datenschutzrechtsrahmen den Mitgliedstaaten einen gewissen Ausgestaltungsspielraum:

Insbesondere können nach Art41 Abs1 DSRL‑PJ und Art51 Abs1 DSGVO jeweils eine oder mehrere Aufsichtsbehörden errichtet werden. Bei Einrichtung mehrerer Behörden obliegt die Abgrenzung ihrer Zuständigkeit (zB nach örtlichen oder sachlichen Kriterien) den Mitgliedstaaten; sie müssen diesfalls jedoch eine Aufsichtsbehörde bestimmen, die die Behörden im Europäischen Datenschutzausschuss vertritt (Art41 Abs4 DSRL‑PJ bzw Art51 Abs3 DSGVO).

Nach Art41 Abs3 DSRL‑PJ können die Mitgliedstaaten vorsehen, dass die nach der DSGVO errichtete Aufsichtsbehörde die Aufsichtsbehörde nach der DSRL‑PJ ist und deren Aufgaben ebenso wahrnimmt. Die Mitgliedstaaten können somit eine gemeinsame Aufsichtsbehörde für den Anwendungsbereich der DSRL‑PJ und der DSGVO errichten.

4.1.2.5. Eine zwingende Ausnahme von der Zuständigkeit der Aufsichtsbehörde besteht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit (Art45 Abs2 erster Satz DSRL‑PJ bzw Art55 Abs3 DSGVO), um die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben zu wahren (siehe Erwägungsgrund 80 zur DSRL‑PJ bzw Erwägungsgrund 20 zur DSGVO).

Während die DSGVO darüber hinaus keine weiteren Ausnahmen von der Zuständigkeit der Aufsichtsbehörde erlaubt, ermöglicht Art45 Abs2 letzter Satz DSRL‑PJ den Mitgliedstaaten – optional – auch Datenverarbeitungen durch andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit von der Zuständigkeit der Aufsichtsbehörde auszunehmen. Als Beispiel für diese Ausnahmemöglichkeit nennt Erwägungsgrund 80 zur DSRL‑PJ Staatsanwaltschaften. Voraussetzung für die Inanspruchnahme dieser – lediglich optional vorgesehenen – Erweiterung der Ausnahme durch die Mitgliedstaaten ist allerdings die Unabhängigkeit der betreffenden Justizbehörden.

4.2. Zum innerstaatlichen Recht:

4.2.1. Vorbemerkung zur Umsetzung des unionsrechtlichen Datenschutzrahmens:

Die Durchführung und Umsetzung des unionsrechtlichen Datenschutzrechtsrahmens im innerstaatlichen Recht erfolgte allgemein im DSG sowie – soweit es sich um materienspezifische Regelungen handelt – zum Teil in den Materiengesetzen.

4.2.1.1. Das DSG ist im Wesentlichen wie folgt aufgebaut:

In Artikel 1 (Verfassungsbestimmung) normiert §1 DSG das Grundrecht auf Datenschutz (die §§2 und 3 wurden durch das Bundesgesetz BGBl I Nr 14/2019 aufgehoben). In Artikel 2 enthält das 1. Hauptstück (§§4 bis 13) Regelungen über die Durchführung der DSGVO sowie ergänzende Regelungen. Das 2. Hauptstück (Organe) enthält Regelungen über den Datenschutzrat (§§14 bis 17 [1. Abschnitt], die Datenschutzbehörde (§§18 bis 23 [2. Abschnitt]), Rechtsbehelfe, Haftung und Sanktionen (§§24 bis 30 [3. Abschnitt]), die Aufsichtsbehörde nach der DSRL‑PJ (§§31 bis 34 [4. Abschnitt]) sowie besondere Befugnisse (§35 [teilweise Verfassungsbestimmung]). Im 3. Hauptstück (§§36 bis 59; die §§60 und 61 wurden durch das Bundesgesetz BGBl I Nr 14/2019 aufgehoben) finden sich die Umsetzungsbestimmungen zur DSRL‑PJ. Das 4. Hauptstück (§§62 und 63) enthält besondere Strafbestimmungen, das 5. Hauptstück (§§64 bis 70) Schlussbestimmungen.

4.2.1.2. Das DSG sieht auch vor, dass die unionsrechtlichen Datenschutzrechtsregelungen auch auf Bereiche zur Anwendung gelangen, die per se nicht in den Anwendungsbereich der DSRL‑PJ oder der DSGVO fallen. So gelten die Bestimmungen des 3. Hauptstücks des DSG gemäß §36 Abs1 DSG auch für den (von der DSRL‑PJ nicht erfassten und für das vorliegende Verfahren nicht unmittelbar relevanten) Bereich der nationalen Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung.

Nach §4 Abs1 DSG gelten die Vorschriften der DSGVO und des DSG für Verarbeitungen personenbezogener Daten natürlicher Personen, 'soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks [des DSG] vorgehen'. Mit diesem Auffangtatbestand soll ein weitgehend lückenloser Schutz personenbezogener Daten sichergestellt werden.

4.2.1.3. Die Vorschriften des DSG sind – soweit ihnen nicht materienspezifische Sonderregelungen vorgehen – auch für die Verarbeitung personenbezogener Daten durch Staatsanwaltschaften im Rahmen eines strafrechtlichen Ermittlungsverfahrens maßgeblich. Gemäß §74 Abs1 letzter Satz der Strafprozeßordnung 1975 – StPO, BGBl Nr 631/1975, finden, '[s]oweit zum Verarbeiten personenbezogener Daten nichts anderes bestimmt wird', die Bestimmungen des DSG Anwendung.

4.2.1.4. In diesem Zusammenhang sind primär die (materiellen) Vorschriften des 3. Hauptstücks sowie die (die Aufsichtsbehörde betreffenden) Vorschriften des 4. Abschnitts des 2. Hauptstücks des DSG maßgeblich.

Gemäß §36 Abs1 DSG gelten die Vorschriften des 3. Hauptstücks des DSG für die Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie zum Zweck der nationalen Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung. Unter den Begriff der 'zuständigen Behörde' (iSd. Definition in §36 Abs2 Z7 lita DSG) fallen insbesondere die Staatsanwaltschaften, die Kriminalpolizei sowie die Strafgerichte.

Die im 4. Abschnitt des 2. Hauptstücks des DSG enthaltenen Regelungen über die Aufsichtsbehörde nach der DSRL‑PJ verweisen an zahlreichen Stellen auf die korrespondierenden Vorschriften der DSGVO bzw des DSG über die Aufsichtsbehörde nach der DSGVO. Damit wird dem Umstand Rechnung getragen, dass die Aufgabenbereiche der Aufsichtsbehörde nach der DSRL‑PJ und der DSGVO teilweise ident sind und als Aufsichtsbehörde für beide Bereiche gemäß §31 Abs1 iVm. §18 Abs1 DSG dieselbe (einzige) Behörde – nämlich die Datenschutzbehörde – eingerichtet wurde (vgl dazu die in Pkt. I.3. wiedergegebenen Erläuterungen zum AB 1761 BlgNR 25. GP 17).

4.2.1.5. Der gerichtliche Rechtsschutz für Datenverarbeitungen durch Staatsanwaltschaften im Rahmen des strafprozessualen Ermittlungsverfahrens ist in der StPO (vgl insb. §106 StPO) sowie im Staatsanwaltschaftsgesetz – StAG, BGBl Nr 164/1986, (vgl insb. §34a Abs2a StAG) geregelt.

4.2.2. Zur Aufsichtszuständigkeit der Datenschutzbehörde im Anwendungsbereich des 3. Hauptstücks des DSG:

4.2.2.1. Mit §31 Abs1 erster Satz DSG wird die Datenschutzbehörde als (einzige) Aufsichtsbehörde im Anwendungsbereich des 3. Hauptstücks des DSG eingerichtet. Korrespondierend dazu definiert §36 Abs2 Z15 DSG den Begriff 'Aufsichtsbehörde' als 'die Datenschutzbehörde'.

Von der Möglichkeit, eine andere Aufsichtsbehörde als die Datenschutzbehörde für den Anwendungsbereich des 3. Hauptstücks (vgl Art41 Abs3 DSRL‑PJ) oder eigene Aufsichtsbehörden für bestimmte Bereiche innerhalb des 3. Hauptstücks (wie etwa die Staatsanwaltschaften; vgl Art41 Abs1 DSRL‑PJ) einzurichten, wurde bei der Umsetzung der DSRL‑PJ kein Gebrauch gemacht.

Nach §31 Abs1 zweiter Satz DSG sind die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von der Aufsichtszuständigkeit der Datenschutzbehörde ausgenommen. Staatsanwaltschaften sind keine Gerichte (siehe VfSlg 19.350/2011) und fallen daher nicht unter diesen Ausnahmetatbestand. Die – lediglich optionale – Möglichkeit, gemäß Art45 Abs2 letzter Satz DSRL‑PJ neben den Gerichten weitere unabhängige Justizbehörden von der Zuständigkeit der Datenschutzbehörde auszunehmen, wurde im DSG nicht in Anspruch genommen.

Somit sieht das DSG keine Ausnahme der Staatsanwaltschaften von der Aufsichtszuständigkeit der Datenschutzbehörde vor.

In den Materialien zum Datenschutz-Anpassungsgesetz 2018 wird zwar zu §32 DSG ausgeführt, dass '[d]ie Bestimmungen über die Aufgaben der Datenschutzbehörde nach §32 […] – zumindest in den Fällen der Z4, 5 und 8 – im Bereich der StPO nicht anwendbar [sind]' (AB 1761 BlgNR 25. GP 17). Ferner wird zu §36 DSG auf materienspezifische Regelungen zu Datenverarbeitungen – wie 'etwa in der StPO über Akteneinsicht oder Verständigungspflichten' – als leges speciales zu den allgemeinen Regelungen des 3. Hauptstücks Bezug genommen und weiter ausgeführt, dass 'die Bestimmungen über die Aufgaben der Datenschutzbehörde nach §32 – zumindest in den Fällen der Z4, 5 und 8 – im Bereich der StPO nicht anwendbar [sind und] stattdessen […] die entsprechenden Rechtsbehelfe der StPO, die im Übrigen eine Befassung der Gerichte vorsehen, zur Verfügung [stehen]' (AB 1761 BlgNR 25. GP 18).

Eine diesen Erläuterungen entsprechende Ausnahme ist jedoch dem Gesetzestext nicht zu entnehmen. Die materienspezifischen Regelungen der StPO und des StAG über den Rechtsschutz regeln nicht den aufsichtsbehördlichen Rechtsschutz iSd. Art52 DSRL‑PJ, sondern den gerichtlichen Rechtsbehelf iSd Art54 DSRL‑PJ und sind insoweit keine leges speciales zu den Regelungen des DSG über den aufsichtsbehördlichen Rechtsschutz. Hinsichtlich des aufsichtsbehördlichen Rechtsschutzes sind daher Datenverarbeitungen durch die die Staatsanwaltschaften nicht von der Zuständigkeit der Datenschutzbehörde (implizit) ausgenommen.

§31 Abs2 DSG verweist hinsichtlich der Unabhängigkeit, der allgemeinen Bedingungen und der Errichtung der Aufsichtsbehörde sinngemäß auf die Art52, 53 und 54 DSGVO sowie auf §18 Abs2 (betreffend die Leitung und Stellvertretung), §19 (Unabhängigkeit) und §20 (betreffend die Bestellung der Leitung und Stellvertretung) DSG.

4.2.2.2. Die Aufgaben der Datenschutzbehörde für den in §36 Abs1 DSG genannten Anwendungsbereich (Datenverarbeitung durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung) sind in §32 Abs1 DSG geregelt.

Rechtsgrundlage für amtswegige Prüfverfahren von Datenverarbeitungen durch Staatsanwälte (wie im Ausgangsverfahren zum Gesetzesprüfungsverfahren zu G212/2023) sind insbesondere §32 Abs1 Z1 DSG, demzufolge die Datenschutzbehörde im Anwendungsbereich des §36 Abs1 'die Anwendung des §1 und der im 3. Hauptstück erlassenen Vorschriften sowie der Durchführungsvorschriften zur [DSRL‑PJ] zu überwachen und durchzusetzen' hat, iVm. §32 Abs1 Z3 DSG, demzufolge die Datenschutzbehörde (ua) die in Art57 Abs1 lith DSGVO festgelegte Aufgabe (dh 'Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde') im Hinblick auf das 3. Hauptstück zu erfüllen hat.

Rechtsgrundlage für die Behandlung von Beschwerden auf Grund von Datenverarbeitungen durch Staatsanwälte (wie sie den Ausgangsverfahren zu den Gesetzesprüfungsverfahren zu G213/2023, G214/2023 und G262/2023 zu Grunde liegen), sind der oben angeführte §32 Abs1 Z1 DSG sowie §32 Abs1 Z4 DSG, demzufolge sich die Datenschutzbehörde im Anwendungsbereich des §36 Abs1 DSG 'mit Beschwerden einer betroffenen Person oder einer [von dieser mandatierten] Stelle, einer Organisation oder einer Vereinigung gemäß §28 [DSG] zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer Frist von drei Monaten über den Fortgang und das Ergebnis der Untersuchung zu unterrichten [hat], insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist' (zum korrespondierenden Beschwerderecht siehe nachstehend Pkt. I.4.2.3.).

4.2.3. Weitere relevante Bestimmungen über die Aufsicht der Datenschutzbehörde im Anwendungsbereich des 3. Hauptstücks des DSG:

4.2.3.1. Die Befugnisse der Datenschutzbehörde im Anwendungsbereich des §36 Abs1 DSG sind in §33 DSG geregelt:

§33 Abs1 DSG verweist auf die in §22 Abs2 DSG genannten Untersuchungsbefugnisse, die der Datenschutzbehörde den Zugang zu Räumlichkeiten, Datenverarbeitungsanlagen und -geräten sowie die Herstellung von Kopien ermöglichen.

§33 Abs2 DSG räumt der Datenschutzbehörde zur Vollziehung ihres Aufgabenbereichs erforderliche wirksame Abhilfebefugnisse gegenüber Verantwortlichen und Auftragsverarbeitern ein, zu denen Warnbefugnisse (Z1), Anordnungsbefugnisse im Hinblick auf Verarbeitungsvorgänge einschließlich Anordnungen zur Berichtigung, Löschung oder Einschränkung der Verarbeitung (Z2) sowie Beschränkungsbefugnisse einschließlich eines Verbots (Z3) zählen.

§33 Abs3 DSG normiert Beratungsbefugnisse gegenüber Verantwortlichen im Verfahren zur vorherigen Konsultation gemäß §53 DSG sowie zur Stellungnahme zu allen Datenschutzfragen gegenüber dem Nationalrat oder dem Bundesrat, der Bundes- oder Landesregierung oder sonstigen Einrichtungen und Stellen sowie der Öffentlichkeit.

Die Ausübung der der Aufsichtsbehörde übertragenen Befugnisse erfolgt gemäß §33 Abs4 DSG iVm. Art58 Abs4 DSGVO 'vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta'.

§33 Abs5 DSG sieht (im Wege eines Verweises auf §22 Abs3 zweiter Satz DSG) eine (eingeschränkte) Verschwiegenheitspflicht der Datenschutzbehörde gegenüber Gerichten und Verwaltungsbehörden vor, die sich auch auf Verstöße im Anwendungsbereich des §36 Abs1 DSG bezieht.

4.2.3.2. §34 Abs5 DSG ordnet die sinngemäße Anwendung der Regelungen des 3. Abschnitts des 2. Hauptstücks mit Ausnahme des §30 (dh der §§24 bis 29 DSG) im Anwendungsbereich des §36 Abs1 DSG an. Die verwiesenen Bestimmungen betreffen das aufsichtsbehördliche Beschwerdeverfahren sowie den diesbezüglichen gerichtlichen Rechtsschutz und haben im Wesentlichen folgenden Inhalt:

§24 DSG regelt die Beschwerde bei der Datenschutzbehörde und das Beschwerdeverfahren. Nach §24 Abs1 DSG hat '[j]ede betroffene Person […] das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen §1 oder Artikel 2 1. Hauptstück verstößt' (Hervorhebung durch die Bundesregierung); §24 Abs8 DSG ermöglicht die Befassung des Bundesverwaltungsgerichts im Falle der Säumnis der Datenschutzbehörde.

§25 DSG regelt begleitende Maßnahmen im Beschwerdeverfahren, ua die Überprüfung der Rechtmäßigkeit von Beschränkungen von Betroffenenrechten iSd. Art23 DSGVO und ggf. das Auftragen der Offenlegung von unzulässigerweise gegenüber der betroffenen Person geheim gehaltenen personenbezogenen Daten bzw die Ersatzvornahme einer Auskunftserteilung (§25 Abs3 DSG).

§26 DSG regelt die Parteistellung von Verantwortlichen des öffentlichen Bereichs in Verfahren vor der Datenschutzbehörde (Abs2) und ermöglicht diesen die Erhebung von Beschwerden beim Bundesverwaltungsgericht sowie von Revisionen beim Verwaltungsgerichtshof (Abs3).

§27 DSG trifft nähere Regelungen über die Beschwerde beim Bundesverwaltungsgericht gegen Bescheide der Datenschutzbehörde sowie wegen Verletzung der Unterrichtungspflicht nach §24 Abs7 DSG und der Entscheidungspflicht der Datenschutzbehörde.

§28 DSG ermöglicht die Wahrnehmung der in den §§24 bis 27 DSG genannten Rechte der betroffenen Person (dh Beschwerde bei der Aufsichtsbehörde, Beschwerde beim Bundesverwaltungsgericht) durch bestimmte Einrichtungen im Auftrag der betroffenen Person (sog 'mandatierte Verbandsklage').

§29 DSG sieht einen Schadenersatzanspruch der betroffenen Person bei Verstößen gegen die DSGVO oder gegen §1 oder Art2 1. Hauptstück des DSG vor. Die Geltendmachung von Schadenersatzansprüchen erfolgt im Wege der ordentlichen Gerichtsbarkeit.

4.2.3.3. §35 DSG regelt die besonderen Befugnisse der Datenschutzbehörde. Gemäß §35 Abs1 DSG ist die Datenschutzbehörde 'nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen'.

Die Verfassungsbestimmung des §35 Abs2 DSG regelt die Aufsichtsbefugnis der Datenschutzbehörde gegenüber den in Art19 B‑VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art30 Abs3 bis 6, 125, 134 Abs8 und 148h Abs1 und 2 B‑VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten.

II. Zum Anlassverfahren und zur Zulässigkeit:

1. Dem Anlassverfahren liegt eine Beschwerde bei der Datenschutzbehörde wegen einer behaupteten Verletzung im Recht auf Geheimhaltung durch die Staatsanwaltschaft Wels zu Grunde. Mit Bescheid vom 1. August 2019, GZ DSB‑D123.382/0002-DSB/2019, gab die Datenschutzbehörde der Beschwerde statt und stellte eine Verletzung im Recht auf Geheimhaltung fest. Gegen diesen Bescheid erhob die Staatsanwaltschaft Wels Beschwerde beim Bundesverwaltungsgericht.

Mit Erkenntnis vom 4. Dezember 2020, GZ W274 2225373‑1, gab das Bundesverwaltungsgericht der Beschwerde Folge und änderte den angefochtenen Bescheid dahingehend ab, dass die Datenschutzbeschwerde abgewiesen werde. Das Bundesverwaltungsgericht bejahte allerdings die Zuständigkeit der Datenschutzbehörde für die Aufsicht über die von Staatsanwaltschaften vorgenommenen Datenverarbeitungen und erklärte die Revision für zulässig. Gegen dieses Erkenntnis erhob die Datenschutzbehörde Amtsrevision.

Aus Anlass dieser Revision hat der Verwaltungsgerichtshof den vorliegenden Gesetzesprüfungsantrag gestellt.

2. Nach der Rechtsprechung des Verfassungsgerichtshofes dient ein von Amts wegen oder auf Antrag eines Gerichtes eingeleitetes Gesetzesprüfungsverfahren der Herstellung einer verfassungsrechtlich einwandfreien Rechtsgrundlage für das Anlassverfahren (vgl VfSlg 11.506/1987, 13.701/1994; VfGH 30.6.2022, G39/2022 ua).

Die Grenzen der Aufhebung einer auf ihre Verfassungsmäßigkeit zu prüfenden Gesetzesbestimmung sind, wie der Verfassungsgerichtshof sowohl für von Amts wegen als auch für auf Antrag eingeleitete Gesetzesprüfungsverfahren schon wiederholt dargelegt hat (VfSlg 13.965/1994 mwN, 16.542/2002, 16.911/2003, VfGH 30.6.2022, G39/2022 ua), notwendig so zu ziehen, dass einerseits der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommt und dass andererseits die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen auch erfasst werden.

Dieser Grundposition folgend hat der Verfassungsgerichtshof die Rechtsauffassung entwickelt, dass im Gesetzesprüfungsverfahren der Anfechtungsumfang der in Prüfung gezogenen Norm bei sonstiger Unzulässigkeit des Prüfungsantrages nicht zu eng gewählt werden darf (vgl VfSlg 16.212/2001, 16.365/2001, 18.142/2007, 19.496/2011; 20.154/2017). Das antragstellende Gericht hat all jene Normen anzufechten, die für das anfechtende Gericht präjudiziell sind und vor dem Hintergrund der Bedenken für die Beurteilung der allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Es ist dann Sache des Verfassungsgerichtshofes, darüber zu befinden, auf welche Weise eine solche Verfassungswidrigkeit – sollte der Verfassungsgerichtshof die Auffassung des antragstellenden Gerichtes teilen – beseitigt werden kann (VfSlg 16.756/2002, 19.496/2011, 19.684/2012, 19.903/2014; VfGH 10.3.2015, G201/2014; 30.6.2022, G39/2022 ua).

Unzulässig ist der Antrag etwa dann, wenn der im Falle der Aufhebung im begehrten Umfang verbleibende Rest einer Gesetzesstelle als sprachlich unverständlicher Torso inhaltsleer und unanwendbar wäre (VfSlg 16.279/2001, 19.413/2011; VfGH 19.6.2015, G211/2014; 7.10.2015, G444/2015; VfSlg 20.082/2016), der Umfang der zur Aufhebung beantragten Bestimmungen so abgesteckt ist, dass die angenommene Verfassungswidrigkeit durch die Aufhebung gar nicht beseitigt würde (vgl zB VfSlg 18.891/2009, 19.933/2014), oder durch die Aufhebung bloßer Teile einer Gesetzesvorschrift dieser ein völlig veränderter, dem Gesetzgeber überhaupt nicht mehr zusinnbarer Inhalt gegeben würde (VfSlg 18.839/2009, 19.841/2014, 19.972/2015, 20.102/2016; VfGH 30.6.2022, G39/2022 ua).

Unter dem Aspekt einer nicht trennbaren Einheit in Prüfung zu ziehender Vorschriften ergibt sich ferner, dass ein Prozesshindernis auch dann vorliegt, wenn es auf Grund der Bindung an den gestellten Antrag zu einer in der Weise isolierten Aufhebung einer Bestimmung käme, dass Schwierigkeiten bezüglich der Anwendbarkeit der im Rechtsbestand verbleibenden Vorschriften entstünden, und zwar in der Weise, dass der Wegfall der angefochtenen (Teile einer) Gesetzesbestimmung den verbleibenden Rest unverständlich oder auch unanwendbar werden ließe. Letzteres liegt dann vor, wenn nicht mehr mit Bestimmtheit beurteilt werden könnte, ob ein der verbliebenen Vorschrift zu unterstellender Fall vorliegt (VfSlg 16.869/2003 mwN).

Eine zu weite Fassung des Antrages macht diesen nicht in jedem Fall unzulässig. Zunächst ist ein Antrag nicht zu weit gefasst, soweit das Gericht solche Normen anficht, die denkmöglich eine Voraussetzung der Entscheidung des antragstellenden Gerichtes im Anlassfall bilden und damit präjudiziell sind; dabei darf aber nach §62 Abs1 VfGG nicht offen bleiben, welche Gesetzesvorschrift oder welcher Teil einer Vorschrift nach Auffassung des antragstellenden Gerichtes aus welchem Grund aufgehoben werden soll (siehe mwN VfGH 2.3.2015, G140/2014 ua; vgl auch VfGH 10.12.2015, G639/2015; 15.10.2016, G103/2016 ua). Ist ein solcher Antrag in der Sache begründet, hebt der Verfassungsgerichtshof aber nur einen Teil der angefochtenen Bestimmungen als verfassungswidrig auf, so führt dies – wenn die sonstigen Prozessvoraussetzungen vorliegen – im Übrigen zur teilweisen Abweisung des Antrages (VfSlg 19.746/2013; VfGH 5.3.2014, G79/2013 ua).

Umfasst der Antrag auch Bestimmungen, die für das antragstellende Gericht offenkundig keine Voraussetzung seiner Entscheidung im Anlassfall bilden und die somit nicht präjudiziell sind (insofern ist der Antrag zu weit gefasst), die mit den präjudiziellen (und nach Auffassung des antragstellenden Gerichtes den Sitz der Verfassungswidrigkeit bildenden) Bestimmungen aber vor dem Hintergrund der Bedenken in einem Regelungszusammenhang stehen, so ist nach der Rechtsprechung des Verfassungsgerichtshofes zu differenzieren: Sind diese Bestimmungen von den den Sitz der verfassungsrechtlichen Bedenken des antragstellenden Gerichtes bildenden präjudiziellen Bestimmungen offensichtlich trennbar, so führt dies zur teilweisen Zurückweisung des Antrages. Umfasst der Antrag auch Bestimmungen, die mit den präjudiziellen, den Sitz der verfassungsrechtlichen Bedenken des antragstellenden Gerichtes bildenden Bestimmungen in einem so konkreten Regelungszusammenhang stehen, dass es nicht von vornherein auszuschließen ist, dass ihre Aufhebung im Fall des Zutreffens der Bedenken erforderlich sein könnte (sind diese Bestimmungen also nicht offensichtlich trennbar), so ist der Antrag insgesamt zulässig (VfSlg 20.111/2016). Dies gilt nach dem vorhin Gesagten aber keinesfalls dann, wenn Bestimmungen mitangefochten werden (etwa alle eines ganzen Gesetzes), gegen die gar keine konkreten Bedenken vorgebracht werden und zu denen auch kein konkreter Regelungszusammenhang dargelegt wird (VfSlg 19.894/2014; VfGH 29.9.2015, G324/2015; 15.10.2016, G183/2016 ua; VfGH 30.6.2022, G39/2022 ua).

Der Verfassungsgerichtshof entscheidet daher – vor dem Hintergrund der Bedenken und der Erforderlichkeit, die den Sitz der Bedenken bildenden Bestimmungen (bei geringstmöglichem Eingriff in den Gehalt der Rechtsordnung) zu ermitteln – über die Frage, ob gegebenenfalls auch Bestimmungen aufzuheben sind, die nicht präjudiziell sind, aber mit präjudiziellen Bestimmungen in einem untrennbaren Zusammenhang stehen (vgl zB VfSlg 19.939/2014, 20.086/2016), nicht im Rahmen der Prüfung der Zulässigkeit des Antrages, sondern im Einzelnen erst dann, wenn der Verfassungsgerichtshof, erweist sich der Antrag als begründet, den Umfang der aufzuhebenden Bestimmungen abzugrenzen hat (vgl VfGH 30.6.2022, G39/2022 ua).

3. Sowohl der Hauptantrag als auch der Eventualantrag erweisen sich nach Auffassung der Bundesregierung als zu eng gefasst:

3.1. Dem Ausgangsverfahren liegt eine Beschwerde einer betroffenen Person ua wegen Verletzung im Grundrecht auf Geheimhaltung gemäß §1 Abs1 DSG zu Grunde (siehe Rn 1 bis 3 des Antrags). Die den Gegenstand des Beschwerdeverfahrens bildenden Datenverarbeitungen durch die Staatsanwaltschaft fallen in den Anwendungsbereich des 3. Hauptstücks des DSG.

Um die behauptete Verfassungswidrigkeit iZm. der Zuständigkeit der Datenschutzbehörde für die Behandlung von Beschwerden betreffend eine behauptete Verletzung im Recht auf Geheimhaltung durch die Verarbeitung personenbezogener Staatsanwaltschaften (vgl Rn 12 f des Antrags) zu beseitigen, bedürfte es der Aufhebung all jener Bestimmungen, auf deren Grundlage im Ausgangsverfahren eine Beschwerde bei der Datenschutzbehörde erhoben werden könnte.

3.2. Für Verletzungen im Recht auf Geheimhaltung gemäß §1 DSG ist das Recht auf Beschwerde bei der Datenschutzbehörde in §24 Abs1 DSG geregelt (siehe dazu Punkt I.4.2.3.2.). Gemäß §24 Abs1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen §1 DSG oder Artikel 2 1. Hauptstück verstößt.

Für Verstöße gegen Bestimmungen des 3. Hauptstücks gelangt §24 Abs1 DSG nur im Wege des Verweises in §34 Abs5 DSG zur Anwendung, sodass mit Entfall dieses Verweises §24 DSG nicht mehr anwendbar wäre. Beschwerden wegen Verstößen gegen §1 DSG können hingen auch dann unmittelbar auf §24 Abs1 DSG gestützt werden, wenn die betreffende Datenverarbeitung in den Anwendungsbereich des 3. Hauptstücks des DSG fällt. §24 Abs1 DSG differenziert in Bezug auf §1 DSG nicht zwischen Datenverarbeitungen im – originären oder durch §4 Abs1 DSG erweiterten – Anwendungsbereich der DSGVO und Datenverarbeitungen im Anwendungsbereich des 3. Hauptstücks des DSG. Soweit das 3. Hauptstück des DSG Sonderregelungen über die Beschwerde vorsieht, können diese zwar als leges speciales die allgemeinen Bestimmungen verdrängen. Im Falle einer – vom Verwaltungsgerichtshof angestrebten – Beseitigung dieser Sonderregelungen würden aber nach §4 Abs1 DSG die sonstigen Bestimmungen des DSG, einschließlich §24 Abs1 DSG, zur Anwendung gelangen.

Zur Beseitigung der behaupteten Verfassungswidrigkeit in Bezug auf die Zuständigkeit der Datenschutzbehörde iZm. Beschwerden wegen Verstößen gegen das Recht auf Geheimhaltung gemäß §1 DSG durch Datenverarbeitungen der Staatsanwaltschaft hätte der Verwaltungsgerichtshof zumindest die Wortfolge 'oder gegen §1' in §24 Abs1 DSG mitanfechten müssen. Da §24 Abs1 DSG weder im Hauptantrag noch im Eventualantrag angefochten wurde, wäre die vom Verwaltungsgerichtshof behauptete Verfassungswidrigkeit im Falle einer Aufhebung der angefochtenen Bestimmungen im Umfang des Haupt- oder Eventualantrags nicht beseitigt.

Das Ziel des Aufhebungsbegehrens würde somit durch die Aufhebung der angefochtenen Bestimmungen nicht erreicht, weshalb sowohl der Haupt- als auch der Eventualantrag schon aus diesem Grund unzulässig sind (vgl VfSlg 18.397/2008, 19.178/2010).

3.3. Für Beschwerdeverfahren wie im Ausgangsverfahren ist zudem §32 Abs1 Z1 DSG anzuwenden, demzufolge die Datenschutzbehörde im Anwendungsbereich des §36 Abs1 DSG die Anwendung des §1 und der im 3. Hauptstück erlassenen Vorschriften sowie der Durchführungsvorschriften zur DSRL‑PJ zu überwachen und durchzusetzen hat (siehe dazu Punkt II.4.2.2.2.). Diese Bestimmung wurde zwar im Eventualantrag, nicht aber im Hauptantrag mitangefochten.

Die fehlende Anfechtung des §32 Abs1 Z1 DSG führt nach Auffassung der Bundesregierung dazu, dass die vom Verwaltungsgerichtshof angenommene Verfassungswidrigkeit im Falle einer Aufhebung im Umfang des Hauptantrags nicht im vollen Umfang beseitigt würde. Gestützt auf diese Bestimmung könnte die Datenschutzbehörde – jedenfalls iVm. §24 Abs1 DSG, wohl aber auch für sich genommen – weiterhin Überwachungs- und Durchsetzungsbefugnisse im Rahmen von Beschwerdeverfahren wegen Verstößen gegen §1 DSG durch Datenverarbeitungen durch die Staatsanwaltschaften im Anwendungsbereich des 3. Hauptstücks wahrnehmen.

Der Hauptantrag erweist sicher daher auch mangels Mitanfechtung des §32 Abs1 Z1 DSG wegen zu engen Anfechtungsumfangs als unzulässig.

3.4. Gemäß §32 Abs2 DSG hat die Datenschutzbehörde das Einreichen von in Abs1 Z4 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars zu erleichtern. Im Fall der Aufhebung des angefochtenen §32 Abs1 Z4 DSG würde §32 Abs2 DSG – aufgrund des Verweises auf §32 Abs1 Z4 DSG und der Bezugnahme auf Beschwerden – als sprachlich unverständlicher Torso inhaltsleer und unanwendbar werden. Nach Auffassung der Bundesregierung erweist sich der Hauptantrag daher auch mangels Mitanfechtung des §32 Abs2 DSG als zu eng.

3.5. Gemäß §35 Abs1 DSG ist die Datenschutzbehörde nach den näheren Bestimmungen der DSGVO und des DSG zur Wahrung des Datenschutzes berufen. Durch den Verweis auf das DSG selbst wird ua auch das 3. Hauptstück des DSG erfasst. Gemäß §4 Abs1 DSG gelten die Bestimmungen des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks des DSG vorgehen. Im Fall einer Aufhebung der angefochtenen Bestimmungen im Umfang des Haupt- und Eventualantrags bestehen im 3. Hauptstück des DSG keine spezifischen Bestimmungen, die die Zuständigkeit der Datenschutzbehörde ausdrücklich regeln. Mangels speziellerer Bestimmungen im 3. Hauptstück des DSG greifen sohin die allgemeinen Bestimmungen des DSG über die Zuständigkeit von Aufsichtsbehörden gemäß §4 Abs1 iVm. §35 Abs1 DSG.

Im Fall der Aufhebung der angefochtenen Bestimmungen im Umfang des Haupt- oder Eventualantrags verweisen nicht mitangefochtene Bestimmungen des 3. Hauptstücks des DSG weiterhin abstrakt auf eine 'Aufsichtsbehörde' (§42 Abs5 DSG, §43 Abs1 Z4 DSG) oder setzen implizit eine Vollziehung durch eine Aufsichtsbehörde voraus (vgl beispielhaft §37 Abs3 DSG, wonach der Verantwortliche die Einhaltung der Grundsätze für die Datenverarbeitung nachweisen können muss; §50 Abs1 DSG, wonach jeder Verarbeitungsvorgang in geeigneter Weise so zu protokollieren ist, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann). Darüber hinaus wird in nicht mitangefochtenen Bestimmungen des 3. Hauptstücks über einen Verweis auf Bestimmungen der DSGVO auf eine 'Aufsichtsbehörde' Bezug genommen (vgl §49 Abs1 DSG, der ua auf Art30 Abs4 DSGVO verweist, wonach der Verantwortliche oder der Auftragsverarbeiter sowie ggf. deren Vertreter der Aufsichtsbehörde das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage zur Verfügung zu stellen haben; §56 Abs1 DSG, der auf Art34 DSGVO verweist, der in Abs4 ua die Befugnis der Aufsichtsbehörde regelt, dem Verantwortlichen die Nachholung einer Benachrichtigung von – von einer Verletzung des Schutzes personenbezogener Daten – betroffenen Personen aufzutragen; §57 Abs1 DSG, der auf Art37 Abs7 DSGVO verweist, der ua die Mitteilung der Kontaktdaten des Datenschutzbeauftragten gegenüber der Aufsichtsbehörde regelt).

Die Nichtanfechtung des §35 Abs1 DSG führt nach Auffassung der Bundesregierung daher dazu, dass die Datenschutzbehörde auch im Anwendungsbereich des 3. Hauptstücks des DSG 'zur Wahrung des Datenschutzes' berufen ist und sohin als Aufsichtsbehörde gegenüber den Staatsanwälten auftreten kann. Die Nichtanfechtung ua des §35 Abs1 DSG im Haupt- und Eventualantrag würde nach Auffassung der Bundesregierung daher nicht zu einer Beseitigung der behaupteten Verfassungswidrigkeit führen. Vor diesem Hintergrund sind der Haupt- und Eventualantrag als unzulässig zurückzuweisen.

4. Aus diesen Gründen ist die Bundesregierung der Auffassung, dass der Antrag zur Gänze unzulässig ist.

Für den Fall, dass der Verfassungsgerichtshof den Antrag dennoch als zulässig erachten sollte, nimmt die Bundesregierung im Folgenden in der Sache Stellung.

III. In der Sache:

1. Die Bundesregierung verweist einleitend auf die ständige Rechtsprechung des Verfassungsgerichtshofes, wonach dieser in einem auf Antrag eingeleiteten Verfahren zur Prüfung der Verfassungsmäßigkeit eines Gesetzes gemäß Art140 B‑VG auf die Erörterung der aufgeworfenen Fragen beschränkt ist und ausschließlich beurteilt, ob die angefochtene Bestimmung aus den in der Begründung des Antrages dargelegten Gründen verfassungswidrig ist (vgl zB VfSlg 19.160/2010, 19.281/2010, 19.532/2011, 19.653/2012). Die Bundesregierung beschränkt sich daher im Folgenden auf die Erörterung der im Antrag dargelegten Bedenken.

2. Der Verwaltungsgerichtshof hegt zunächst das Bedenken, dass die Parallelzuständigkeit der Gerichte und der Datenschutzbehörde in datenschutzrechtlichen Angelegenheiten gegen Art83 Abs2 B‑VG bzw Art94 B‑VG verstoße. Nach Auffassung des Verwaltungsgerichtshofes besteht zwar aus unionsrechtlicher Sicht kein Spielraum dahingehend, auf Grund der Einräumung eines gerichtlichen Rechtsbehelfs von der Einrichtung einer Aufsichtsbehörde und einer Zuweisung der in der DSRL‑PJ vorgesehenen Aufgabe zur Gänze Abstand zu nehmen. Allerdings stelle sich die Frage, ob im Fall einer – hinsichtlich der Einrichtung einer Aufsichtsbehörde dem Grunde nach – vollständigen Determinierung der innerstaatlichen Umsetzungsregelung durch die DSRL‑PJ die Umsetzung diesfalls nicht im Verfassungsrang zu erfolgen hätte und die angefochtenen Regelungen vor diesem Hintergrund als verfassungswidrig anzusehen wären.

Darüber hinaus hegt der Verwaltungsgerichtshof – '[m]ehr noch als hinsichtlich der […] potentiell unzulässigen parallelen Zuständigkeit' – das Bedenken, dass die Kontrolle der Staatsanwaltschaft durch die Datenschutzbehörde und somit eine Verwaltungsbehörde gegen den Trennungsgrundsatz gemäß Art94 B‑VG verstoße.

3. Gemäß Art94 Abs1 B‑VG ist die Justiz von der Verwaltung in allen Instanzen getrennt. Die Lehre und die ständige Rechtsprechung des Verfassungsgerichtshofes leiten aus diesem Trennungsgrundsatz mehrere Verbotsgehalte ab: Unzulässig sind demnach Mischbehörden, Parallelzuständigkeiten, wechselseitige Instanzenzüge sowie Weisungszusammenhänge und sonstige verfahrensrechtliche Verflechtungen zwischen ordentlichen Gerichten und Verwaltungsbehörden (vgl Berka, Verfassungsrecht⁸ [2021] Rz 389; Khakzadeh-Leiler in Kneihs/Lienbacher [Hrsg.], Rill‑Schäffer-Kommentar. Bundesverfassungsrecht [12. Lfg 2013] Art94 B‑VG Rz 22 ff mwN).

Die Bundesregierung verkennt nicht, dass sowohl die Parallelzuständigkeit der Datenschutzbehörde und der (ordentlichen) Gerichte in datenschutzrechtlichen Angelegenheiten als auch die Aufsicht der Datenschutzbehörde (als Verwaltungsbehörde) über die Staatsanwaltschaften (als Organe der ordentlichen Gerichtsbarkeit iSd. Art90a B‑VG) in einem Spannungsverhältnis zu dem in Art94 Abs1 B‑VG verankerten Trennungsgrundsatz stehen (vgl zur Parallelzuständigkeit etwa VfSlg 20.314/2019, zum Trennungsgrundsatz VfSlg 19.281/2010).

4. Nach der mit VfSlg 18.642/2008 beginnenden Rechtsprechung des Verfassungsgerichtshofes zur Richtlinienumsetzung und zum Grundsatz der doppelten Bindung der Gesetzgebung (sowohl an das Unions- als auch das Verfassungsrecht) ist dem Verfassungsgerichtshof in Fällen, in denen das Unionsrecht der innerstaatlichen Gesetzgebung keinen Spielraum für die inhaltliche Gestaltung einräumt, sodass die Gesetzgebung – im Fall eines Widerspruchs der angefochtenen Bestimmungen zum österreichischen Verfassungsrecht – keine Möglichkeit hat, eine sowohl dem Unionsrecht als auch dem innerstaatlichen Verfassungsrecht entsprechende Ersatzregelung zu schaffen, die Prüfung und Aufhebung einer insoweit vollständig determinierten Umsetzungsbestimmung verwehrt (vgl VfSlg 18.642/2008, 20.070/2016, 20.209/2017, 20.291/2018).

Ein solcher Fall liegt hier nach Auffassung der Bundesregierung sowohl im Hinblick auf die Parallelzuständigkeit der Datenschutzbehörde und von (ordentlichen) Gerichten als auch im Hinblick auf die Aufsichtszuständigkeit einer Verwaltungsbehörde über die Staatsanwaltschaften vor. Die Einrichtung des dualen Rechtszugs an die Aufsichtsbehörde und die Gerichte sowie die verwaltungsbehördliche Aufsicht gegenüber der Staatsanwaltschaft sind nämlich aufgrund der Vorgaben der DSRL‑PJ unionsrechtlich zwingend vorgegeben.

5. Zu den Bedenken im Hinblick auf die Parallelzuständigkeit der (ordentlichen) Gerichte und der Datenschutzbehörde:

5.1. Hinsichtlich der unionsrechtlichen Verpflichtung zur Einrichtung eines dualen Rechtzugs zu einer Aufsichtsbehörde und zu den Gerichten wird auf die Ausführungen zu Pkt. I.4.1.2. verwiesen. Wie auch der Verwaltungsgerichtshof zutreffend ausführt, besteht aus unionsrechtlicher Sicht insoweit kein Spielraum dahingehend, auf Grund der Einräumung eines gerichtlichen Rechtsbehelfs von der Einrichtung einer Aufsichtsbehörde und einer Zuweisung der in der DSRL‑PJ vorgesehenen Aufgabe an diese zur Gänze Abstand zu nehmen. In diesem Zusammenhang ist auf das Urteil des Europäischen Gerichtshofes vom 12.01.2023 in der Rechtssache C-132/21 , Budapesti Elektromos Művek, zur Auslegung des dualen Rechtsschutzes in der DSGVO zu verweisen, das auf den dualen Rechtsschutz der DSRL‑PJ übertragen werden kann (vgl Pkt. I.4.1.2.3. sowie Rn. 26 des Antrags). Auch der Oberste Gerichtshof anerkennt die Zweigleisigkeit des Rechtsschutzes in Angelegenheiten des Datenschutzrechtes in der österreichischen Rechtsordnung (vgl OGH 6 Ob 91/19d jusIT 2019, 161 [Jahnel/Thiele] = VbR 2020, 160 [Schmidl]; OGH 6 Ob 131/18k ecolex 2019, 346 [Zemann] = iFamZ2019, 117 [Deixler-Hübner] = jusIT 2019, 85 [Thiele] = jusIT 2019, 123 [Jahnel] = MR 2019, 190 [Walter] = RZ 2019, 91 [Spenling] = VbR 2020, 160 [Schmidl]).

5.2. Der Verwaltungsgerichtshof zieht jedoch in Zweifel, dass die innerstaatliche Umsetzung im Fall dieser – hinsichtlich der Einrichtung einer Aufsichtsbehörde dem Grunde nach – vollständigen Determinierung der innerstaatlichen Umsetzungsregelungen durch die DSRL‑PJ einfachgesetzlich erfolgen durfte. Nach Auffassung der Bundesregierung bedurfte es im vorliegenden Fall keiner Umsetzung der DSRL‑PJ durch Verfassungsrecht:

Die innerstaatliche Gesetzgebung hat – ausgehend von den vollständig determinierten unionsrechtlichen Vorgaben zum dualen Rechtsschutz – keine Möglichkeit, eine Ersatzregelung zu schaffen, die sowohl dem Unionsrecht als auch dem innerstaatlichen Verfassungsrecht entspricht. Der innerstaatlichen Gesetzgebung steht bei der Umsetzung des dualen Rechtsschutzes auch kein organisationsrechtlicher Spielraum zu. Die Parallelzuständigkeit der (ordentlichen) Gerichte und der Datenschutzbehörde in datenschutzrechtlichen Angelegenheiten begegnet ausschließlich im Hinblick auf den Art94 Abs1 B‑VG – und sohin nur einer konkreten Verfassungsbestimmung – verfassungsrechtlichen Bedenken und steht keinem ganzen Regelungskomplex entgegen, sodass sie ein Tätigwerden des Verfassungsgesetzgebers erfordern würde (vgl allgemein Holoubek, Doppelte Bindung und Richtlinienumsetzung, ZÖR 2018, 603, 605 ff). An diesem Ergebnis vermag auch der Umstand nichts zu ändern, dass der Verwaltungsgerichtshof seine Bedenken auch auf Art83 Abs2 B‑VG stützt. Da der gerichtliche und verwaltungsrechtliche Rechtsbehelf aufgrund unionsrechtlicher Vorgaben zwingend nebeneinander und voneinander unabhängig ausgeübt werden können muss (vgl EuGH 12.01.2023, C‑132/21 ), liegt auch keine unklare Zuständigkeitsabgrenzung zwischen der Datenschutzbehörde und den (ordentlichen) Gerichten vor, die Bedenken im Hinblick auf das Recht auf den gesetzlichen Richter gemäß Art83 Abs2 B‑VG aufwerfen würde (vgl Khakzadeh-Leiler in Kneihs/Lienbacher [Hrsg.], Rill‑Schäffer-Kommentar. Bundesverfassungsrecht [12. Lfg. 2013] Art94 B‑VG Rz 30).

In diesem Zusammenhang wird auch auf die Rechtsprechung des Obersten Gerichtshofes zum dualen Rechtsschutz in Angelegenheiten des Datenschutzrechtes verwiesen, wonach der 'Umstand, dass dem Kläger gegebenenfalls mehrere Rechtsschutzmöglichkeiten bei verschiedenen innerstaatlichen Stellen offenstehen, wobei jedoch jeweils eine nachprüfende Kontrolle der Entscheidung durch unabhängige Gerichte gewährleistet ist, jedenfalls keine Verletzung eines […] unverzichtbaren Kerns des österreichischen Verfassungsrechts' darstellt (OGH 6 Ob 91/19d; vgl Schwamberger, Parallelität und Bindungswirkung von Zivil- und Verwaltungsverfahren nach der DSGVO, in Jahnel [Hrsg.], Jahrbuch Datenschutzrecht 2019, 259 [266]).

5.3. Nach Auffassung der Bundesregierung ist dem Verfassungsgerichtshof sohin die Prüfung und Aufhebung der angefochtenen Bestimmungen aufgrund der vollständigen unionsrechtlichen Determinierung der Umsetzungsbestimmungen im Hinblick auf den dualen Rechtsschutz in datenschutzrechtlichen Angelegenheiten verwehrt.

6. Zu den Bedenken im Hinblick auf die Kontrolle der Staatsanwaltschaft durch eine Verwaltungsbehörde:

6.1. Die Bedenken hinsichtlich der 'gewaltenübergreifenden' Aufsichtszuständigkeit der Datenschutzbehörde über die Staatsanwaltschaften ergeben sich aus dem Zusammenspiel der unionsrechtlichen Vorgaben des Art45 DSRL‑PJ über die Zuständigkeit der Aufsichtsbehörde und der verfassungsrechtlichen Zuordnung der Staatsanwaltschaften im Gefüge der Staatsgewalten:

Staatsanwälte sind gemäß Art90a B‑VG Organe der ordentlichen Gerichtsbarkeit, die in Verfahren wegen mit gerichtlicher Strafe bedrohter Handlungen Ermittlungs- und Anklagefunktion wahrnehmen. Gemäß dem letzten Satz dieser Bestimmung werden die näheren Regelungen über ihre Bindung an die Weisungen der ihnen vorgesetzten Organe durch Bundesgesetz getroffen. Nach der Rechtsprechung des Verfassungsgerichtshofes sind Staatsanwälte auch nach Schaffung des Art90a B‑VG keine Richter, Staatsanwaltschaften keine ordentlichen Gerichte (VfSlg 19.350/2011).

6.2. Der in Art94 Abs1 B‑VG verankerte Trennungsgrundsatz besagt, dass die Justiz von der Verwaltung in allen Instanzen getrennt ist.

Im Lichte der ausdrücklichen Zuordnung der Staatsanwaltschaft zur (ordentlichen) Gerichtsbarkeit in Art90a B‑VG geht die Bundesregierung auf Grund des Regelungszwecks – nämlich der Betonung des Wertes des Standes der Staatsanwälte – und des Wortlauts des Art90a B‑VG mit der herrschenden Meinung davon aus, dass die Staatsanwaltschaften auch unter dem Gesichtspunkt des Trennungsgrundsatzes gemäß Art94 Abs1 B‑VG der Justiz zuzurechnen sind (vgl Khakzadeh-Leiler in Kneihs/Lienbacher [Hrsg.], Rill‑Schäffer-Kommentar. Bundesverfassungsrecht [12. Lfg. 2013] Art94 B‑VG Rz 20; Wiederin, Staatsanwaltschaft und Bundesverfassung, in ÖJK [Hrsg.], Strafverfolgung auf dem Prüfstand [2011] 33 [39]; Faber, Staatsanwälte als Organe der Gerichtsbarkeit – alles beim Alten? in Lienbacher/Wielinger [Hrsg.], Jahrbuch Öffentliches Recht [2009] 125 [136 ff]; Burgstaller in Korinek/Holoubek [Hrsg.], Österreichisches Bundesverfassungsrecht [9. Lfg. 2009] Art90a Rz 21; aA hingegen Rill in Kneihs/Lienbacher [Hrsg.], Rill‑Schäffer-Kommentar. Bundesverfassungsrecht [6. Lfg. 2010] Rz 9 f und zur Kontrolle der Staatsanwälte in datenschutzrechtlichen Angelegenheiten Rz 16; Zellenberg, Die Stellung der Staatsanwälte im System der Trennung von Justiz und Verwaltung, ZfV 2015, 348 [354 ff]; Heißl/Lehner, Staatsanwälte in der Verfassung, ZfV 2009, 191 [193]; Thienel, Die Stellung der Staatsanwälte nach Art90a B‑VG – eine Zwischenbilanz, in GS Walter [2013] 819 [838]). Nach Auffassung der Bundesregierung ist die Tätigkeit der Staatsanwaltschaften im Anwendungsbereich der StPO auch funktional der Justiz zuzuordnen. Auch der Verfassungsgerichtshof dürfte implizit von diesem Verständnis ausgehen, indem dieser bestimmte Handlungen der Kriminalpolizei nur deshalb als solche der Verwaltung qualifizierte, weil diese ohne staatsanwaltschaftlichen Auftrag oder gerichtliche Bewilligung ergingen (VfSlg 19.281/2010).

Insoweit stellt die Aufsichtszuständigkeit der – der Verwaltung zuzurechnenden – Datenschutzbehörde für die – der Justiz zuzurechnenden – Staatsanwaltschaften eine Durchbrechung des Trennungsgrundsatzes dar (vgl auch VfSlg 19.281/2010).

6.3. Diese Durchbrechung des Trennungsgrundsatzes ist jedoch aufgrund der unionsrechtlichen Vorgaben der DSRL‑PJ im Lichte der verfassungsrechtlichen Zuordnung der Staatsanwaltschaften zur Gerichtsbarkeit zwingend geboten, sodass für die Gesetzgebung im Sinne des Grundsatzes der doppelten Bindung kein Spielraum dahingehend bestand, eine sowohl unions- als auch verfassungskonforme Ersatzregelung zu schaffen:

6.3.1. Eine Ausnahme der Staatsanwaltschaften von der Zuständigkeit der Aufsichtsbehörde wäre unionsrechtlich nicht zulässig gewesen:

Ungeachtet ihrer in Art90a B‑VG verankerten Stellung als Organe der ordentlichen Gerichtsbarkeit sind Staatsanwaltschaften keine Gerichte iSd Art45 Abs2 erster Satz DSRL‑PJ, die von der Zuständigkeit der Aufsichtsbehörde zwingend auszunehmen sind (vgl idS. Erwägungsgrund 80 der DSRL‑PJ, demzufolge mit der Ausnahme für Gerichte die 'Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben' gewahrt werden soll und der Staatsanwaltschaften als mögliches Beispiel für 'andere unabhängige Justizbehörden' nennt). Dementsprechend fallen Staatsanwaltschaften – im Einklang mit der Rechtsprechung des Verfassungsgerichtshofes, derzufolge Staatsanwaltschaften auch im verfassungsrechtlichen Sinn keine Gerichte sind (siehe VfSlg 19.350/2011) – auch nicht unter die in §31 Abs1 zweiter Satz DSG verankerte Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit.

Auch im Rahmen der – optionalen – Möglichkeit, gemäß Art45 Abs2 zweiter Satz DSRL‑PJ neben den Gerichten weitere unabhängige Justizbehörden von der Zuständigkeit der Aufsichtsbehörde auszunehmen, wäre eine Ausnahme der Staatsanwaltschaften von der Zuständigkeit der Datenschutzbehörde nicht in Betracht gekommen. Aufgrund der in Art90a letzter Satz B‑VG verankerten Weisungsbindung fehlt es den Staatsanwaltschaften an dem für die Inanspruchnahme dieser Ausnahme erforderlichen Kriterium der Unabhängigkeit.

In diesem Zusammenhang ist auch auf die vom Verwaltungsgerichtshof ins Treffen geführte Rechtsprechung des Europäischen Gerichtshofes zu Justizbehörden iSd. Art6 Abs1 des Rahmenbeschlusses 2002/548/JI hinzuweisen, derzufolge die erforderliche Unabhängigkeit einer Justizbehörde (hier: Staatsanwaltschaft), die einen Europäischen Haftbefehl ausstellt, nicht gewährleistet ist, wenn die Gefahr besteht, dass ein Exekutivorgan (hier: der Justizminister eines Bundeslandes) in Form eines Weisungsrechts in konkreten Einzelfällen Einfluss auf die Staatsanwaltschaft bei der Erfüllung ihrer Aufgaben ausüben könnte (EuGH 27.05.2019, verb. Rechtssachen C‑508/18 und C‑82/19 , PPU, Rn 73 f und 84). Unabhängig davon, ob die Begriffe der 'unabhängigen Justizbehörde' iSd. Art45 Abs2 letzter Satz DSRL‑PJ und der 'Justizbehörde' iSd. Art6 Abs1 des Rahmenbeschlusses 2002/548/JI deckungsgleich sind (siehe etwa zum Begriff der 'Justizbehörde' iSd. Richtlinie 2014/41/EU [Europäische Ermittlungsanordnung] EuGH 08.12.2020, C‑584/19 , Staatsanwaltschaft Wien [Ordres de virement falsifiés]), erscheint diese Einschätzung jedenfalls auch im vorliegenden Zusammenhang – in dem das Unabhängigkeitskriterium in Art45 Abs2 letzter Satz DSRL‑PJ ausdrücklich verankert ist – maßgeblich.

6.3.2. Der Gesetzgebung wäre zwar die Möglichkeit offen gestanden, eine spezifische, von der Datenschutzbehörde verschiedene Aufsichtsbehörde für den Bereich der Staatsanwaltschaften einzurichten (vgl Pkt. I.4.1.2.4.). Damit wäre aber unter dem Gesichtspunkt des Trennungsgrundsatzes nichts gewonnen, weil es sich bei der Beschwerde bei der Aufsichtsbehörde nach Art52 DSRL‑PJ um einen verwaltungsrechtlichen Rechtsbehelf handelt (siehe Pkt. I.4.1.2.2. und I.4.1.2.3.).

6.4. Die vom Verwaltungsgerichtshof zur Erwägung gestellte Einrichtung einer eigenen Aufsichtsbehörde innerhalb der Staatsanwaltschaft vermag vor diesem Hintergrund nach Auffassung der Bundesregierung keine unionsrechts- und verfassungsrechtskonforme Lösung zu bieten:

Es kann dahingestellt bleiben, ob die Einrichtung einer eigenen Aufsichtsbehörde innerhalb der Staatsanwaltschaft als solche verfassungsrechtlich zulässig wäre und ob ein Rechtsbehelf bei einer solchen Aufsichtsbehörde – trotz innerstaatlicher Zuordnung der Staatsanwaltschaft zur Staatsfunktion Gerichtsbarkeit – als 'verwaltungsrechtlicher' Rechtsbehelf iSd. Art52 DSRL‑PJ zu qualifizieren wäre. Jedenfalls wären Staatsanwaltschaften mit Blick auf die in Art90a letzter Satz B‑VG verfassungsrechtlich verankerte Weisungsbindung (vgl dazu zB VfSlg 19.350/2011, 19.952/2015) nicht geeignet, die strengen Kriterien für die unionsrechtlich geforderte völlige Unabhängigkeit einer Aufsichtsbehörde (Art42 Abs1 DSRL‑PJ) zu gewährleisten (vgl in diesem Zusammenhang das Urteil EuGH [GK] vom 16.10.2012, C-614/10 im Vertragsverletzungsverfahren gegen Österreich betreffend die mangelhafte Unabhängigkeit der Datenschutzkommission im Hinblick auf die gleichartige Vorgabe in Art28 Abs1 zweiter UAbs der Richtlinie 95/46/EG ). Bereits vor diesem Hintergrund besteht daher – auf Basis der geltenden Verfassungsrechtslage – kein Spielraum für eine unions- und verfassungsrechtskonforme Umsetzung.

6.5. Nach Auffassung der Bundesregierung ist dem Verfassungsgerichtshof daher die Prüfung und Aufhebung der angefochtenen Bestimmungen aufgrund der vollständigen unionsrechtlichen Determinierung der Umsetzungsbestimmungen auch im Hinblick auf die Kontrolle der Staatsanwaltschaft durch eine Verwaltungsbehörde verwehrt.

7. Zusammenfassend wird daher festgehalten, dass die angefochtenen Bestimmungen nach Ansicht der Bundesregierung nicht verfassungswidrig sind."

7. Die Datenschutzbehörde erstattete in dem beim Verfassungsgerichtshof zur Zahl G214/2023 protokollierten Verfahren eine Äußerung, in der sie die Unzulässigkeit der Anträge behauptet und den von den antragstellenden Gerichten erhobenen Bedenken mit näherer Begründung entgegentritt.

8. Die – als Revisionsgegner in den Verfahren vor dem Verwaltungsgerichtshof bzw als Beschwerdeführer im Verfahren vor dem Bundesverwaltungsgericht – jeweils beteiligten Parteien in den beim Verfassungsgerichtshof zur Zahl G213/2023, G214/2023 und G262/2023 protokollierten Verfahren erstatteten eine Äußerung, in der sie die Zuständigkeit der Datenschutzbehörde als Aufsichtsbehörde über Datenverarbeitungen durch die Staatsanwaltschaft bejahen, weil es sich bei Staatsanwaltschaften um keine "unabhängigen Justizbehörden" im Sinne der unionsrechtlichen Vorgaben handle. Die von den antragstellenden Gerichten behauptete Verfassungswidrigkeit der angefochtenen Bestimmungen liege – nach der nicht näher begründeten Auffassung der beteiligten Parteien – nicht vor.

IV. Erwägungen

Der Verfassungsgerichtshof hat über die in sinngemäßer Anwendung des §187 und §404 ZPO iVm §35 Abs1 VfGG zur gemeinsamen Beratung und Entscheidung verbundenen Anträge erwogen:

1. Zur Zulässigkeit

1.1. Der Verfassungsgerichtshof ist nicht berechtigt, durch seine Präjudizialitätsentscheidung das antragstellende Gericht an eine bestimmte Rechtsauslegung zu binden, weil er damit indirekt der Entscheidung dieses Gerichtes in der Hauptsache vorgreifen würde. Gemäß der ständigen Rechtsprechung des Verfassungsgerichtshofes darf daher ein Antrag iSd Art140 Abs1 Z1 lita B‑VG nur dann wegen Fehlens der Präjudizialität zurückgewiesen werden, wenn es offenkundig unrichtig (denkunmöglich) ist, dass das – angefochtene – Gesetz eine Voraussetzung der Entscheidung des antragstellenden Gerichtes im Anlassfall bildet (vgl etwa VfSlg 10.640/1985, 12.189/1989, 15.237/1998, 16.245/2001 und 16.927/2003).

Es ist nichts hervorgekommen, was an der Präjudizialität der angefochtenen Bestimmungen in den Verfahren vor dem Verwaltungsgerichtshof und dem Bundesverwaltungsgericht zweifeln ließe.

1.2. Ein von Amts wegen oder auf Antrag eines Gerichtes eingeleitetes Gesetzesprüfungsverfahren dient der Herstellung einer verfassungsrechtlich einwandfreien Rechtsgrundlage für das Anlassverfahren (vgl VfSlg 11.506/1987, 13.701/1994).

Die Grenzen der Aufhebung einer auf ihre Verfassungsmäßigkeit zu prüfenden Gesetzesbestimmung sind, wie der Verfassungsgerichtshof sowohl für von Amts wegen als auch für auf Antrag eingeleitete Gesetzesprüfungsverfahren schon wiederholt dargelegt hat (VfSlg 13.965/1994 mwN, 16.542/2002, 16.911/2003), notwendig so zu ziehen, dass einerseits der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommt und dass andererseits die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen auch erfasst werden.

Dieser Grundposition folgend hat der Verfassungsgerichtshof die Rechtsauffassung entwickelt, dass im Gesetzesprüfungsverfahren der Anfechtungsumfang der in Prüfung gezogenen Norm bei sonstiger Unzulässigkeit des Prüfungsantrages nicht zu eng gewählt werden darf (vgl VfSlg 16.212/2001, 16.365/2001, 18.142/2007, 19.496/2011, 20.154/2017). Das antragstellende Gericht hat all jene Normen anzufechten, die für das anfechtende Gericht präjudiziell sind und vor dem Hintergrund der Bedenken für die Beurteilung der allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Es ist dann Sache des Verfassungsgerichtshofes, darüber zu befinden, auf welche Weise eine solche Verfassungswidrigkeit – sollte der Verfassungsgerichtshof die Auffassung des antragstellenden Gerichtes teilen – beseitigt werden kann (VfSlg 16.756/2002, 19.496/2011, 19.684/2012, 19.903/2014; VfGH 10.3.2015, G201/2014).

Unter dem Aspekt einer nicht trennbaren Einheit in Prüfung zu ziehender Vorschriften ergibt sich ferner, dass ein Prozesshindernis auch dann vorliegt, wenn es auf Grund der Bindung an den gestellten Antrag zu einer in der Weise isolierten Aufhebung einer Bestimmung käme, dass Schwierigkeiten bezüglich der Anwendbarkeit der im Rechtsbestand verbleibenden Vorschriften entstünden, und zwar in der Weise, dass der Wegfall der angefochtenen (Teile einer) Verordnungsbestimmung den verbleibenden Rest unverständlich oder auch unanwendbar werden ließe. Letzteres liegt dann vor, wenn nicht mehr mit Bestimmtheit beurteilt werden könnte, ob ein der verbliebenen Vorschrift zu unterstellender Fall vorliegt (VfSlg 16.869/2003 mwN).

Eine zu weite Fassung des Antrages macht diesen nicht in jedem Fall unzulässig. Zunächst ist ein Antrag nicht zu weit gefasst, soweit das Gericht solche Normen anficht, die denkmöglich eine Voraussetzung der Entscheidung des antragstellenden Gerichtes im Anlassfall bilden und damit präjudiziell sind; dabei darf aber nach §62 Abs1 VfGG nicht offen bleiben, welche Gesetzesvorschrift oder welcher Teil einer Vorschrift nach Auffassung des antragstellenden Gerichtes aus welchem Grund aufgehoben werden soll (siehe mwN VfGH 2.3.2015, G140/2014 ua; vgl auch VfGH 10.12.2015, G639/2015; 15.10.2016, G103‑104/2016 ua). Ist ein solcher Antrag in der Sache begründet, hebt der Verfassungsgerichtshof aber nur einen Teil der angefochtenen Bestimmungen als verfassungswidrig auf, so führt dies — wenn die sonstigen Prozessvoraussetzungen vorliegen — im Übrigen zur teilweisen Abweisung des Antrages (VfSlg 19.746/2013; VfGH 5.3.2014, G79/2013 ua).

Umfasst der Antrag auch Bestimmungen, die für das antragstellende Gericht offenkundig keine Voraussetzung seiner Entscheidung im Anlassfall bilden und die somit nicht präjudiziell sind (insofern ist der Antrag zu weit gefasst), die mit den präjudiziellen (und nach Auffassung des antragstellenden Gerichtes den Sitz der Verfassungswidrigkeit bildenden) Bestimmungen aber vor dem Hintergrund der Bedenken in einem Regelungszusammenhang stehen, so ist zu differenzieren: Sind diese Bestimmungen von den den Sitz der verfassungsrechtlichen Bedenken des antragstellenden Gerichtes bildenden präjudiziellen Bestimmungen offensichtlich trennbar, so führt dies zur teilweisen Zurückweisung des Antrages. Umfasst der Antrag auch Bestimmungen, die mit den präjudiziellen, den Sitz der verfassungsrechtlichen Bedenken des antragstellenden Gerichtes bildenden Bestimmungen in einem so konkreten Regelungszusammenhang stehen, dass es nicht von vornherein auszuschließen ist, dass ihre Aufhebung im Fall des Zutreffens der Bedenken erforderlich sein könnte (sind diese Bestimmungen also nicht offensichtlich trennbar), so ist der Antrag insgesamt zulässig (VfSlg 20.111/2016). Dies gilt nach dem vorhin Gesagten aber keinesfalls dann, wenn Bestimmungen mitangefochten werden (etwa alle eines ganzen Gesetzes), gegen die gar keine konkreten Bedenken vorgebracht werden und zu denen auch kein konkreter Regelungszusammenhang dargelegt wird (VfSlg 19.894/2014; VfGH 29.9.2015, G324/2015; 15.10.2016, G183/2016 ua).

1.3. Der jeweilige Hauptantrag in den zu den Zahlen G212/2023, G213/2023, G214/2023 und G262/2023 beim Verfassungsgerichtshof protokollierten Verfahren ist zulässig:

1.3.1. Die Bundesregierung erachtet die Anträge zu den Zahlen G213/2023, G214/2023 und G262/2023 als unzulässig, weil deren jeweiliger Haupt- und Eventualantrag mangels (Mit‑)Anfechtung des §24 Abs1 DSG zu eng gefasst sei:

Den Anträgen zu den Zahlen G213/2023, G214/2023 und G262/2023 liege jeweils eine Beschwerde einer von einer Datenverarbeitung durch eine Staatsanwaltschaft betroffenen Person zugrunde. Um die von den antragstellenden Gerichten in diesen Verfahren behauptete Verfassungswidrigkeit der Zuständigkeit der Datenschutzbehörde für die Behandlung von Beschwerden gegen Datenverarbeitungen durch die Staatsanwaltschaft zu beseitigen, bedürfe es der Aufhebung all jener Bestimmungen, auf deren Grundlage in den Ausgangsverfahren eine Beschwerde erhoben werden könne. Das (allgemeine) Recht auf Beschwerde wegen Datenschutzverletzungen an die Datenschutzbehörde sei in §24 Abs1 DSG geregelt, welcher nach Auffassung der Bundesregierung im Falle der beantragten Aufhebung der besonderen Bestimmungen über das Beschwerderecht im 3. Hauptstück des Datenschutzgesetzes (weiterhin) zur Anwendung gelange. Zur Beseitigung der behaupteten Verfassungswidrigkeit hätten die antragstellenden Gerichte zumindest auch die Wortfolge "oder gegen §1" in §24 Abs1 DSG (mit)anfechten müssen. Da §24 Abs1 DSG von den antragstellenden Gerichten jedoch weder im Hauptantrag noch im Eventualantrag angefochten worden sei, seien die Anträge als zu eng gefasst zurückzuweisen.

Diesem Vorbringen ist nach Auffassung des Verfassungsgerichtshofes nicht zu folgen:

Anders als die Bundesregierung meint, folgt die Zuständigkeit der Datenschutzbehörde zur Entscheidung über Beschwerden gegen Datenverarbeitungen durch Staatsanwaltschaften nicht aus dem Verweis auf die allgemeinen Regelungen des 3. Abschnitts des 2. Hauptstückes des Datenschutzgesetzes in §34 Abs5 DSG. Vielmehr ist die Zuständigkeit der Datenschutzbehörde zur Entscheidung über Beschwerden von durch eine Datenverarbeitung der Staatsanwaltschaft betroffenen Person in §32 Abs1 Z4 DSG festgelegt. Die Bestimmungen des §32 Abs1 und §34 Abs3 DSG zählen die Aufgaben der Datenschutzbehörde "im Anwendungsbereich des §36 Abs1" DSG taxativ auf.

Insoweit erweisen sich die Anträge in den beim Verfassungsgerichtshof zu den Zahlen G213/2023, G214/2023 und G262/2023 protokollierten Verfahren im Lichte der vorgebrachten Bedenken gegen die Zuständigkeit der Datenschutzbehörde zur Entscheidung über Beschwerden gegen Datenverarbeitungen durch Staatsanwaltschaften nicht als zu eng gefasst.

1.3.2. Weiters behauptet die Bundesregierung die Unzulässigkeit des jeweiligen Hauptantrages in den zu den Zahlen G212/2023, G213/2023, G214/2023 und G262/2023 protokollierten Verfahren mangels (Mit‑)Anfechtung des §32 Abs1 Z1 DSG:

Im Hinblick auf den Antrag zur Zahl G212/2023 meint die Bundesregierung, die Datenschutzbehörde habe im Anlassverfahren ihre Zuständigkeit auch auf §32 Abs1 Z1 DSG gestützt und wäre somit die vom antragstellenden Gericht behauptete Verfassungswidrigkeit alleine durch die im Hauptantrag begehrte Aufhebung des §32 Abs1 Z3 DSG nicht beseitigt.

In diese Richtung geht auch der Einwand der Bundesregierung betreffend die Anträge zu den Zahlen G213/2023, G214/2023 und G262/2023: Gestützt auf §32 Abs1 Z1 DSG könne die Datenschutzbehörde – "jedenfalls iVm. §24 Abs1 DSG, wohl aber auch für sich genommen" – Verstöße gegen §1 DSG durch die Staatsanwaltschaft im Rahmen von Beschwerdeverfahren aufgreifen. Im Lichte der vorgebrachten Bedenken seien die jeweiligen Hauptanträge somit zu eng gefasst.

Der Verfassungsgerichtshof teilt die Rechtsauffassung der Bundesregierung nicht, auch nach einer Aufhebung im (mit jeweiligem Hauptantrag) begehrten Umfang könne die Datenschutzbehörde gestützt auf §31 Abs1 Z1 DSG Verstöße gegen §1 DSG durch die Staatsanwaltschaft im Rahmen einer amtswegigen Untersuchung bzw eines Beschwerdeverfahrens aufgreifen.

Der mit Hauptantrag in dem beim Verfassungsgerichtshof zur Zahl G212/2023 bzw den Hauptanträgen in den beim Verfassungsgerichtshof zu den Zahlen G213/2023, G214/2023 und G262/2023 protokollierten Verfahren angefochtene §32 Abs1 Z3 DSG bzw §32 Abs1 Z4 DSG steht mit §32 Abs1 Z1 DSG zwar in einem Regelungszusammenhang, nicht aber in einem untrennbaren Zusammenhang. Die jeweiligen Hauptanträge erweisen sich somit auch insoweit als zulässig.

1.3.3. Gleiches gilt nach Auffassung des Verfassungsgerichtshofes für die Bestimmung des §35 Abs1 DSG: Die in den Anlassverfahren betreffend die Anträge G212/2023, G213/2023, G214/2023 und G262/2023 von der Datenschutzbehörde in Anspruch genommenen Aufsichtsbefugnisse ließen sich – anders als die Bundesregierung in ihren Äußerungen vertritt – nach einer Aufhebung im jeweils mit Hauptantrag beantragten Umfang nicht auf §35 Abs1 DSG stützen.

Soweit die Bundesregierung betreffend die Anträge G213/2023, G214/2023, G262/2023 zudem die (Mit‑)Anfechtung des §32 Abs2 DSG für erforderlich erachtet, weil auf Grund des darin enthaltenen Verweises auf §32 Abs1 Z4 DSG im Falle der (im Hauptantrag) begehrten Aufhebung die Bestimmung des §32 Abs2 DSG "als sprachlich unverständlicher Torso inhaltsleer und unanwendbar" werde, ist darauf hinzuweisen, dass der Umstand, dass gesetzliche Bestimmungen (bloß) unanwendbar werden (ins Leere gehen), für sich alleine nicht dazu führt, dass diese Bestimmungen eine untrennbare Einheit bilden (zB VfSlg 15.885/2000 mwN, 16.948/2003, 17.057/2003, 19.985/2015, 20.124/2016, 20.155/2017).

1.4. Da auch sonst keine Prozesshindernisse hervorgekommen sind, erweisen sich die jeweiligen (Haupt‑)Anträge zu den Zahlen G212/2023, G213/2023, G214/2023 und G262/2023 als zulässig, sodass auf die Eventualanträge nicht einzugehen ist.

2. In der Sache

Der Verfassungsgerichtshof hat sich in einem auf Antrag eingeleiteten Verfahren zur Prüfung der Verfassungsmäßigkeit eines Gesetzes gemäß Art140 B‑VG auf die Erörterung der aufgeworfenen Fragen zu beschränken (vgl VfSlg 12.691/1991, 13.471/1993, 14.895/1997, 16.824/2003). Er hat sohin ausschließlich zu beurteilen, ob die angefochtene Bestimmung aus den im Antrag dargelegten Gründen verfassungswidrig ist (VfSlg 15.193/1998, 16.374/2001, 16.538/2002, 16.929/2003).

2.1. Der Verwaltungsgerichtshof und das Bundesverwaltungsgericht legen die Gründe, die sie zur Antragstellung beim Verfassungsgerichtshof bewogen haben, zusammengefasst wie folgt dar:

Die Datenschutzbehörde sei als Aufsichtsbehörde zur Überprüfung von Datenverarbeitungen durch Staatsanwaltschaften im Anwendungsbereich des §36 Abs1 DSG gemäß §31 Abs1 (iVm §36 Abs2 Z15) DSG zuständig. Die Aufsicht über Datenverarbeitungen durch Staatsanwaltschaften sei eine zwingende Vorgabe des Unionsrechtes, weil es sich bei Staatsanwaltschaften um keine Gerichte und – auf Grund ihrer Weisungsgebundenheit (§2 Abs1 StAG) – auch um keine unabhängigen Justizbehörden im Sinne des Art45 Abs2 der Richtlinie (EU) Nr 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (in der Folge: DSRL) handle.

Gegen diese Zuständigkeit der Datenschutzbehörde als Aufsichtsbehörde bestünden Bedenken im Hinblick auf das verfassungsgesetzlich gewährleistete Recht auf ein Verfahren vor dem gesetzlichen Richter gemäß Art83 Abs2 B‑VG sowie im Hinblick auf den Trennungsgrundsatz gemäß Art94 B‑VG.

Die angefochtenen Bestimmungen seien zum einen (im Lichte des Art83 Abs2 B‑VG) verfassungswidrig, weil neben der Zuständigkeit der Datenschutzbehörde eine parallele Zuständigkeit der ordentlichen Gerichte bestehe, es aber verfassungsrechtlich geboten sei, eine Angelegenheit entweder den Gerichten oder den Verwaltungsbehörden zuzuweisen. Aus unionsrechtlicher Sicht bestehe diesbezüglich zwar kein Umsetzungsspielraum für den nationalen Gesetzgeber, allerdings sei fraglich, ob die Umsetzung in diesem Fall im Verfassungsrang erfolgen hätte müssen.

Zum anderen bestünden – insbesondere – Bedenken gegen die Aufsicht der Datenschutzbehörde über Staatsanwaltschaften im Lichte des Art94 (Abs1) B‑VG, weil es sich bei Staatsanwälten gemäß Art90a erster Satz B‑VG um Organe der (ordentlichen) Gerichtsbarkeit handle. Die durch die angefochtenen Bestimmungen vorgesehene "Kontrolle" der Datenschutzbehörde über Staatsanwaltschaften stehe somit im Widerspruch zu der in Art94 Abs1 B‑VG statuierten Trennung von Justiz und Verwaltung in allen Instanzen. Es sei davon auszugehen, dass das Handeln der Staatsanwaltschaften als Organe der Gerichtsbarkeit auch im funktionellen Sinn Gerichtsbarkeit darstelle. Staatsanwälte könnten zwar (auch) Justizverwaltung führen, die Datenverarbeitungen in den jeweiligen Anlassverfahren seien aber im Zuge eines strafrechtlichen Ermittlungsverfahrens erfolgt und daher in funktioneller Hinsicht als Akte der Gerichtsbarkeit anzusehen. Dieses Bedenken könnte der Gesetzgeber durch eine verfassungskonforme Umsetzung der DSRL beseitigen: Die DSRL ermögliche die Einrichtung mehrerer Aufsichtsbehörden, somit hätte – etwa durch Einrichtung einer eigenen Aufsichtsbehörde innerhalb der Staatsanwaltschaft – eine sowohl unionsrechts- als auch verfassungskonforme Umsetzung erfolgen können.

2.2. Die maßgebliche Rechtslage stellt sich wie folgt dar:

2.2.1. Das Datenschutzgesetz regelt in seinem 4. Abschnitt des 2. Hauptstückes (§31 bis §34 DSG) sowie im 3. Hauptstück die Zuständigkeit der Datenschutzbehörde als Aufsichtsbehörde über "die Verarbeitung personen-bezogener Daten durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Straf-vollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung" (§36 Abs1 DSG iVm §31 Abs1 erster Satz DSG).

Der Begriff der "zuständigen Behörde" ist in §36 Abs2 Z7 DSG definiert. Dabei handelt es sich entweder um eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, die nationale Sicherheit, den Nachrichtendienst oder die militärische Eigensicherung zuständig ist (lita), oder um eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zum Zweck der nationalen Sicherheit, des Nachrichtendienstes oder der militärischen Eigensicherung übertragen wurde (litb).

§31 Abs1 zweiter Satz DSG normiert ausdrücklich, dass die Datenschutzbehörde "für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen" nicht zuständig ist.

2.2.2. Aus §31 Abs1 iVm §36 Abs2 Z15 DSG folgt, dass die Datenschutzbehörde die zuständige Aufsichtsbehörde über (unter anderem) Staatsanwaltschaften (als zuständige Behörden iSd §36 Abs2 Z7 DSG) bei der Datenverarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ist.

Die Aufgaben der Datenschutzbehörde im Anwendungsbereich des §36 Abs1 DSG sind in §32 Abs1 und §34 Abs3 DSG geregelt: Gemäß §32 Abs1 Z1 DSG hat die Datenschutzbehörde die Anwendung des Grundrechtes auf Datenschutz (§1 DSG) und des 3. Hauptstückes des Datenschutzgesetzes "zu überwachen" und "durchzusetzen". Damit verbunden hat die Datenschutzbehörde als Aufsichtsbehörde – unter anderem über Staatsanwaltschaften – im Anwendungsbereich des §36 Abs1 DSG gemäß §32 Abs1 Z4 DSG die Aufgabe, "sich mit Beschwerden einer betroffenen Person oder einer Stelle, einer Organisation oder einer Vereinigung gemäß §28 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer Frist von drei Monaten über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist".

Die Anforderungen an eine Beschwerde an die Datenschutzbehörde im Anwendungsbereich des §36 Abs1 DSG, die Ausgestaltung des Beschwerdeverfahrens sowie der Rechtsschutz gegen Bescheide der Datenschutzbehörde folgen aus der sinngemäßen Anwendung der §§24, 25 und 27 DSG gemäß §34 Abs5 DSG.

Das Recht auf Beschwerde an die Datenschutzbehörde bei Datenschutzverletzungen durch die Staatsanwaltschaft im Anwendungsbereich des §36 Abs1 DSG tritt neben den gerichtlichen Rechtsschutz nach der Strafprozeßordnung 1975 (siehe dazu insbesondere Divjak, Die Durchsetzung von Datenschutzrechten im Ermittlungsverfahren, JBl 2022, 489, [491 ff.]).

Die Datenschutzbehörde hat im Anwendungsbereich des §36 Abs1 DSG zudem Beratungsaufgaben und Aufgaben der Öffentlichkeitsarbeit: Die Öffentlichkeit ist für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und darüber aufzuklären (§32 Abs1 Z2 DSG). Die Datenschutzbehörde hat das Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung zu beraten (§32 Abs1 Z3 DSG iVm Art57 Abs1 litc DSGVO); die Verantwortlichen und die Auftragsverarbeiter für die ihnen entstehenden Pflichten zu sensibilisieren (§32 Abs1 Z3 DSG iVm Art57 Abs1 litd DSGVO; siehe auch die Beratungsaufgabe gemäß §36 Abs1 Z7 DSG); auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten (§32 Abs1 Z3 DSG iVm Art57 Abs1 lite DSGVO); mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten (§32 Abs1 Z3 DSG iVm Art57 Abs1 litg DSGVO) und Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten (§32 Abs1 Z3 DSG iVm Art57 Abs1 litt DSGVO).

Darüber hinaus ist es Aufgabe der Datenschutzbehörde, Untersuchungen über die Anwendung des 3. Hauptstücks des Datenschutzgesetzes durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde (§32 Abs1 Z3 DSG iVm Art57 Abs1 lith DSGVO), und "maßgebliche Entwicklungen", insbesondere im Bereich der Informations- und Kommunikationstechnologie, zu verfolgen (§32 Abs1 Z6 DSG).

Weiters hat die Datenschutzbehörde die Rechtmäßigkeit der Verarbeitung im Bereich des eingeschränkten Rechtsschutzes gemäß §42 Abs8 DSG zu überprüfen (§32 Abs1 Z5 DSG) und in bestimmten Fällen Rechte der betroffenen Person auszuüben (§32 Abs1 Z8 DSG).

Die Befugnisse der Datenschutzbehörde zur Erfüllung ihrer Aufgaben sind in §33 und §35 DSG geregelt.

2.3. Die dargestellten Regelungen des 4. Abschnittes des 2. Hauptstückes sowie des 3. Hauptstückes des Datenschutzgesetzes sind in Umsetzung der Richtlinie (EU) Nr 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (in der Folge: DSRL) ergangen (siehe AB 1761 BlgNR 25. GP , 17 f.).

Die Richtlinie gilt für sämtliche Verarbeitungen personenbezogener Daten von zuständigen Behörden im Sinne des Art3 DSRL zu den genannten Zwecken. Als "zuständige Behörden" definiert Art3 DSRL entweder eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist (lita), oder eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, übertragen wurde (litb).

Die Mitgliedstaaten sind auf Grund der DSRL verpflichtet (vgl Art52 ff.), für die Überwachung der Anwendung dieser Richtlinie sowohl eine oder mehrere (unabhängige) Aufsichtsbehörden als auch ordentliche Gerichte einzurichten bzw zuständig zu machen:

2.3.1. Die Mitgliedstaaten haben zunächst für die Überwachung der Anwendung der DSRL eine (bzw mehrere) unabhängige Aufsichtsbehörde(n) einzurichten (Art41 bis 44 DSRL). Sofern die Mitgliedstaaten bereits eine Aufsichtsbehörde gemäß der DSGVO eingerichtet haben, können sie diese mit der Erfüllung der Aufgaben gemäß der DSRL betrauen (Erwägungsgrund 76 DSRL).

Bei dieser Aufsichtsbehörde bzw bei diesen Aufsichtsbehörden handelt es sich (jedenfalls im Verständnis des nationalen [Verfassungs‑]Rechts) um Verwaltungsbehörden. Dies ergibt sich aus den der Aufsichtsbehörde nach der DSRL zukommenden Zuständigkeiten und den in der DSRL vorgesehenen Aufgaben:

So ist die Aufsichtsbehörde zunächst gemäß Art45 Abs2 erster Satz DSRL "nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig". Bereits das indiziert, dass es sich nach den Vorgaben der DSRL bei der Aufsichtsbehörde (nach nationalem Verständnis) nicht um ein Gericht, sondern um eine Verwaltungsbehörde handeln soll. Die Aufgaben der Aufsichtsbehörde werden in Art46 DSRL festgelegt: Die Aufsichtsbehörde hat die Anwendung der nach dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften zu überwachen und durchzusetzen (lita); die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären (litb); das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung zu beraten (litc); die Verantwortlichen und Auftragsverarbeiter für die ihnen aus dieser Richtlinie entstehenden Pflichten zu sensibilisieren (litd); auf Antrag jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Richtlinie zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten (lite); sich mit Beschwerden einer betroffenen Person oder einer Stelle, einer Organisation oder eines Verbandes gemäß Art55 DSRL zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten (litf); die Rechtmäßigkeit der Verarbeitung gemäß Art17 DSRL zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen wurde (litg); mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieser Richtlinie zu gewährleisten (lith); Untersuchungen über die Anwendung dieser Richtlinie durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde (liti); maßgebliche Entwicklungen zu verfolgen, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie (litj); Beratung in Bezug auf die in Art28 DSRL genannten Verarbeitungsvorgänge zu leisten (litk) und Beiträge zur Tätigkeit des Europäischen Ausschusses zu leisten (litl).

Alle diese der Aufsichtsbehörde nach der DSRL zu übertragenden Aufgaben sind (zumindest) nach nationalem Recht Aufgaben einer Verwaltungsbehörde und nicht eines Gerichtes. Dieser Befund wird auch durch die Bestimmungen über die "Gegenseitige Amtshilfe" in Art50 DSRL bestätigt (vgl auch Art51 DSRL). Vollends deutlich wird die Qualifikation der Aufsichtsbehörde nach der DSRL als Verwaltungsbehörde (nach nationalem Recht) aus den Regelungen in Kapitel VIII ("Rechtsbehelfe, Haftung und Sanktionen") der DSRL, wonach es einerseits die Beschwerdemöglichkeit an die Aufsichtsbehörde (Art52 DSRL) und andererseits die Möglichkeit der Anrufung eines ordentlichen Gerichts geben muss (Art54 DSRL).

Im Erwägungsgrund 80 der DSRL wird der Hintergrund der Regelung in Art45 Abs2 DSRL, wonach die Aufsichtsbehörde nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig sein darf (erster Satz) und – ferner – die Mitgliedstaaten vorsehen dürfen, dass ihre Aufsichtsbehörde nicht für die Überwachung von anderen unabhängigen Justizbehörden im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist (zweiter Satz), näher erläutert: Obgleich die DSRL auch für die Tätigkeit der nationalen Gerichte und anderer Justizbehörden gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt. Diese Ausnahme sollte allerdings auf justizielle Tätigkeiten in Gerichtssachen begrenzt werden und sich nicht auf andere Tätigkeiten beziehen, mit denen Richter nach dem Recht der Mitgliedstaaten betraut werden können. Die Mitgliedstaaten sollten außerdem vorsehen können, dass sich die Zuständigkeit der Aufsichtsbehörde nicht auf die Überwachung der Verarbeitung personenbezogener Daten erstreckt, die durch andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit, beispielsweise Staatsanwaltschaften, erfolgt.

Das Recht auf Beschwerde bei der Aufsichtsbehörde ist in Art52 DSRL vorgegeben. Demnach haben die Mitgliedstaaten ein Recht auf Beschwerde bei einer Aufsichtsbehörde unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfes vorzusehen. Gegen die Entscheidung der Aufsichtsbehörde ist ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf vorzusehen (Art53 DSRL).

2.3.2. Darüber hinaus verlangt Art54 DSRL, dass jede betroffene Person – unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Art52 DSRL – das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat.

2.3.3. Aus den Art52, Art53 und Art54 DSRL ergibt sich – abgesehen von der mangelnden Zuständigkeit der Aufsichtsbehörde für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen – die Verpflichtung zur Einrichtung eines "doppelgleisigen" Rechtsschutzes im nationalen Recht. Zur Interpretation dieser Bestimmungen der DSRL können auch die gleichartigen Regelungen über den Rechtsschutz nach der Datenschutz-Grundverordnung (DSGVO) herangezogen werden:

In der Judikatur des Obersten Gerichtshofes wie auch weitgehend in der Literatur wird eben diese Doppelgleisigkeit des Rechtsschutzes – im Zusammenhang mit Verstößen gegen die DSGVO – an die Datenschutzbehörde (als "Aufsichtsbehörde") einerseits und an die Zivilgerichte andererseits bejaht (OGH 23.5.2019, 6 Ob 91/19d unter Hinweis auf Feiler/Forgó, EU‑DSGVO, Art77, Rz 1; Jahnel, in: Krempelmeier/Staudinger/Weiser [Hrsg.], Datenschutzrecht nach der DSGVO, 43 ff.; siehe auch Bergt, Art79 DS-GVO, in: Kühling/Buchner [Hrsg.], DS‑GVO - BDSG², 2018, Rz 13).

Der Gerichtshof der Europäischen Union hat mittlerweile bestätigt, dass das Recht auf Beschwerde an die Aufsichtsbehörde einerseits und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf andererseits (nach der DSGVO) unbeschadet voneinander bestehen (müssen) und keine vorrangige oder ausschließliche Zuständigkeit vorgesehen ist (EuGH 12.1.2023, Rs C‑132/21 , BE, Rz 34 ff.).

Nichts anderes kann für die hier einschlägigen, der DSGVO nachgebildeten Art52, Art53 und Art54 DSRL gelten. Auch anhand der Erwägungsgründe 85, 86 und 87 DSRL zeigt sich die (unionsrechtlich zwingende) Doppelgleisigkeit des Rechtsschutzes.

2.3.4. Als Zwischenergebnis ist sohin festzuhalten, dass die DSRL die Zuständigkeit einer (zumindest nach nationalem Recht) als Verwaltungsbehörde einzurichtenden Aufsichtsbehörde – neben der Zuständigkeit der ordentlichen Gerichtsbarkeit – im Zusammenhang mit der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung grundsätzlich verlangt. Die Aufsichtsbehörde darf (nur) nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig gemacht werden.

2.4. Nach der ständigen Judikatur des Verfassungsgerichtshofes (VfSlg 15.106/1998, 15.204/1998, 15.683/1999, 20.209/2016 u.v.a.) unterliegt ein österreichisches Gesetz, mit dem eine unionsrechtliche Vorschrift ausgeführt und in österreichisches Recht umgesetzt wird, rechtlich einer doppelten Bindung: Der Gesetzgeber bleibt bei der Ausführung von Unionsrecht (auch) an bundesverfassungsgesetzliche Vorgaben insoweit gebunden, als eine Umsetzung unionsrechtlicher Vorgaben durch diese nicht inhibiert wird. Der Gesetzgeber unterliegt in diesen Fällen sohin einer Bindung an das Unionsrecht und einer Bindung an den verfassungsgesetzlich gezogenen Rahmen.

2.5. Im Hinblick auf die unionsrechtlichen Vorgaben in der DSRL für die in Rede stehenden Bestimmungen des Datenschutzgesetzes ist zunächst zu klären, ob dem österreichischen Gesetzgeber ein Umsetzungsspielraum zukommt. Diese Frage ist vor dem Hintergrund der Rechtsprechung des Verfassungsgerichtshofes zur doppelten Bindung des Gesetzgebers an den Anfang zu stellen, weil eine Prüfung bzw eine allfällige Aufhebung wegen Verfassungswidrigkeit unbestreitbar dann vorzunehmen ist, wenn ein Umsetzungsspielraum besteht (vgl dazu zB Holoubek, Doppelte Bindung und Richtlinienumsetzung, ZÖR 2018, 603; Mayrhofer, Das Kooperationsverhältnis im staatlichen Unionsverfassungsrecht, in: Holoubek/Martin/ Schwarzer [Hrsg.], Die Zukunft der Verfassung – Die Verfassung der Zukunft?, FS Korinek, 2010, 373; Potacs, Die Bedeutung des Gemeinschaftsrechts für das verfassungsgerichtliche Normenprüfungsverfahren, in: Holoubek/Lang [Hrsg.], Das verfassungsgerichtliche Verfahren in Steuersachen, 2010, 245; Korinek, Die doppelte Bedingtheit von gemeinschaftsrechts-ausführenden innerstaatlichen Rechtsvorschriften, in: Hammer/Somek/Stelzer/Weichselbaum [Hrsg.], Demokratie und sozialer Rechtsstaat in Europa, FS Öhlinger, 2004, 131; Korinek, Zur Relevanz von europäischem Gemeinschaftsrecht in der verfassungsgerichtlichen Judikatur, in: Krejci/Marhold/Schrammel/Schrank/Winkler [Hrsg.], Rechtsdogmatik und Rechtspolitik in Arbeits- und Sozialrecht, FS Tomandl, 1998, 465).

Davon zu unterscheiden ist die Frage, ob und inwieweit eine Prüfung bzw eine etwaige Aufhebung einer Bestimmung wegen Verfassungswidrigkeit in Betracht kommt, wenn kein Umsetzungsspielraum besteht, das Unionsrecht also nur eine bestimmte Umsetzung im nationalen Recht ermöglicht.

2.6. Der Verfassungsgerichtshof teilt die Auffassung des antragstellenden Verwaltungsgerichtshofes und des antragstellenden Bundesverwaltungsgerichtes, dass die DSRL nur insoweit eine zulässige Umsetzung erlaubt bzw gebietet, als der Gesetzgeber (neben der Zuständigkeit der Gerichte auch) die Zuständigkeit einer Aufsichtsbehörde für die Verarbeitungen personenbezogener Daten durch die Staatsanwaltschaft normiert.

2.7. Vor diesem unionsrechtlichen Hintergrund ist zu klären, ob bei Fehlen eines Umsetzungsspielraumes im nationalen Recht der Verfassungsgesetzgeber oder der (einfache) Gesetzgeber tätig werden muss bzw kann.

2.7.1. Im Hinblick auf Konstellationen, in denen eine Richtlinie eine inhaltliche Anordnung trifft, die im Widerspruch zu Verfassungsrecht steht, könnten Aussagen in der älteren Judikatur des Verfassungsgerichtshofes so gelesen werden, dass der Verfassungsgerichtshof ein Tätigwerden des Verfassungsgesetzgebers verlangt hat:

Die Entscheidung VfSlg 17.001/2003 betraf den Fall, dass der Landesgesetzgeber ein (unabhängiges) Verwaltungsorgan als Vergabekontrollinstanz auch über Vergabeentscheidungen der Gemeinde eingeführt hatte, was mit den Bestimmungen des Art118 Abs4 B‑VG und Art118 Abs5 B‑VG in Widerspruch stand. Laut Verfassungsgerichtshof wurde die unionsrechtliche Verpflichtung zur Einrichtung eines besonderen Anforderungen genügenden Nachprüfungsverfahrens (Art2 Abs9 der Richtlinie 92/13/EWG ) nicht dadurch inhibiert, dass der Verfassungsgerichtshof die Bestimmungen des Art118 Abs4 B‑VG und Art118 Abs5 B‑VG anwendet. Eine den unionsrechtlichen Vorgaben entsprechende gesetzliche Regelung bedurfte eines Tätigwerdens des Verfassungsgesetzgebers (siehe auch VfSlg 17.347/2004; siehe dazu Holoubek, aaO, 603 [608]; Mayrhofer, aaO, 373 [400]; Potacs, aaO, 251 [254]).

Mit Erkenntnis VfSlg 17.022/2003 hob der Verfassungsgerichtshof eine in Umsetzung der IPPC‑Richtlinie ergangene Bestimmung der Gewerbeordnung wegen Kompetenzwidrigkeit auf. Welcher Gesetzgeber (Bund oder Länder) zuständig ist, eine Richtlinie in nationales Recht umzusetzen, bestimmt sich ausschließlich auf Grund der nationalen Verfassungsrechtsordnung (der Kompetenztatbestände), ohne dass diese durch oder zum Zweck der Umsetzung von Unionsrecht verändert wäre. Es ist schlichtweg ausgeschlossen, dass die verfassungsrechtlichen Vorschriften über die Kompetenzverteilung die Umsetzung der IPPC‑Richtlinie durch den einfachen Gesetzgeber "inhibieren". Die Richtlinie kann eine Kompetenz des Bundes zur Erlassung der angefochtenen Gesetzesbestimmung nicht begründen; vielmehr bedürfte es in einem derartigen Fall das Tätigwerden des Verfassungsgesetzgebers.

Die dargestellten Entscheidungen haben als mögliches Verständnis ihrer Begründung gemeinsam, dass die jeweilige verfassungsrechtliche Frage der staatsorganisatorischen Einpassung (VfSlg 17.001/2003, 17.347/2004) bzw nationalen Kompetenzverteilung (VfSlg 17.022/2003) als solche unionsrechtlich nicht determiniert war, sondern diesbezüglich ein (Umsetzungs‑)Spielraum bestand (zu diesem Verständnis der Judikatur Holoubek, aaO, 603 [608]).

2.7.2. Beginnend mit VfSlg 18.642/2008 ging der Verfassungsgerichtshof davon aus, dass bei zwingendem und unbedingtem Richtlinieninhalt die Aufhebung der innerstaatlichen (einfachgesetzlichen) Umsetzungsbestimmung dem Verfassungsgerichtshof verwehrt ist. In der Entscheidung, die eine Fristenregelung im Bundesvergabegesetz 2006 betraf, hält der Verfassungsgerichtshof fest, dass die gesetzliche Bestimmung, deren Aufhebung begehrt wird, inhaltlich fast wörtlich dem Art31 Z1 litb der Vergabe‑RL entspreche. Auf Grund des Vorrangs des Unionsrechtes auch vor dem Verfassungsrecht ist die Aufhebung einer Bestimmung, die Unionsrecht umsetzt, unzulässig, wenn das Unionsrecht dem innerstaatlichen Gesetzgeber keinen Spielraum für die inhaltliche Gestaltung einräumt, sodass der Gesetzgeber keine Möglichkeit hat, eine Ersatzregelung zu schaffen, die sowohl dem Unionsrecht als auch dem innerstaatlichen Verfassungsrecht entspricht (zur Bedeutung des Vorrangs des Unionsrechtes in diesem Zusammenhang Holoubek, aaO, 603 [611 f.]).

2.7.3. Aufbauend auf dem Erkenntnis VfSlg 18.642/2008 geht die verfassungsgerichtliche Rechtsprechung in VfSlg 20.070/2016 betreffend den Europäischen Haftbefehl und VfSlg 20.209/2017 betreffend das Fern- und Auswärtsgeschäfte-Gesetz davon aus, dass bei vollständiger Determinierung der Umsetzungsbestimmung durch die zugrunde liegende Richtlinie eine Prüfung des Umsetzungsgesetzes dem Verfassungsgerichtshof so lange verwehrt ist, als nicht die einschlägige Richtlinienbestimmung vom Gerichtshof der Europäischen Union für ungültig erklärt wird. Entscheidend ist somit, ob der Regelungsgehalt der angefochtenen Bestimmung unionsrechtlich zwingend vorgegeben ist oder nicht (zuletzt etwa VfGH 14.12.2022, G287/2022 ua zum sog Medienprivileg im DSG).

2.8. Zum Bedenken gegen die Doppelgleisigkeit des Rechtsschutzes vor der Datenschutzbehörde (als Verwaltungsbehörde) und den ordentlichen Gerichten

2.8.1. Der Verwaltungsgerichtshof sowie das Bundesverwaltungsgericht hegen zunächst das Bedenken, dass die durch die angefochtenen Bestimmungen des Datenschutzgesetzes bewirkte "parallele" Zuständigkeit der Datenschutzbehörde zur Entscheidung über Beschwerden wegen Datenschutzverletzungen (§32 Abs1 Z4 DSG) neben der Zuständigkeit der ordentlichen Gerichte (§34a StAG; §85a iVm §85 GOG; insb §106 Abs1 StPO) gegen Art83 Abs2 B‑VG und gegen den in Art94 Abs1 B‑VG normierten Trennungsgrundsatz verstoße. Es sei verfassungsrechtlich geboten, eine Rechtssache entweder den Gerichten oder den Verwaltungsbehörden zuzuweisen.

2.8.2. Die Zuständigkeit der Datenschutzbehörde zur Entscheidung über Beschwerden wegen Datenschutzverletzungen im Anwendungsbereich des §36 Abs1 DSG ist in §32 Abs1 Z4 DSG festgelegt. Die Regelung des §32 Abs1 Z4 DSG setzt Art46 Abs1 litf DSRL (zum großen Teil wortgleich) um. Dem Gesetzgeber kommt – wie auch der Verwaltungsgerichtshof und das Bundesverwaltungsgericht in ihren Anträgen festhalten – im Hinblick auf die in Art52, Art53 und Art54 DSRL zwingend vorgegebenen Rechtsschutzmöglichkeiten bei Datenschutzverletzungen einerseits mittels Beschwerde an die Aufsichtsbehörde (Art52 DSRL) und andererseits durch einen "wirksamen gerichtlichen Rechtsbehelf" (Art54 DSRL) kein Umsetzungsspielraum zu (siehe auch Erwägungsgründe 85, 86 und 87 DSRL).

In Anbetracht der vollständigen inhaltlichen Determinierung der angefochtenen Regelungen des Datenschutzgesetzes durch das Unionsrecht, das eine Doppelgleisigkeit des Rechtsschutzes bei der Datenschutzbehörde und bei den ordentlichen Gerichten verlangt (siehe bereits Punkt 2.3.3.), geht der Verfassungsgerichtshof davon aus, dass der Gesetzgeber – im Fall des Widerspruchs der angefochtenen Bestimmungen zum österreichischen Verfassungsrecht – keine Möglichkeit hätte, eine Ersatzregelung zu schaffen, die sowohl dem Unionsrecht als auch dem innerstaatlichen Verfassungsrecht entspricht.

Insofern käme eine Aufhebung der angefochtenen Bestimmungen des Datenschutzgesetzes über die Beschwerdemöglichkeit an die Datenschutzbehörde wegen des Widerspruchs gegen die vom Verwaltungsgerichtshof sowie Bundesverwaltungsgericht geltend gemachten Verfassungsbestimmungen (Art83 Abs2 B‑VG und Art94 B‑VG) nur dann in Betracht, wenn der Gerichtshof der Europäischen Union die diesen Bestimmungen zugrunde liegenden Regelungen der DSRL für ungültig erklärte (vgl VfSlg 18.642/2008, 20.070/2016, 20.209/2017).

Da der Verfassungsgerichtshof allerdings – nicht zuletzt auch im Hinblick auf das zur DSGVO ergangene Urteil des Gerichtshofes der Europäischen Union vom 12. Jänner 2023, Rs C‑132/21 , BE, – keine Zweifel an der Gültigkeit der Art46 Abs1 litf, Art52, Art53 und Art54 DSRL hegt, sieht er sich nicht veranlasst, den Gerichtshof der Europäischen Union damit gemäß Art267 AEUV zu befassen.

2.9. Zum Bedenken gegen die Zuständigkeit der Datenschutzbehörde als Aufsichtsbehörde über Staatsanwaltschaften im Lichte des Trennungsgrundsatzes des Art94 Abs1 B‑VG

2.9.1. Der Verwaltungsgerichtshof und das Bundesverwaltungsgericht hegen ferner Bedenken gegen die durch die angefochtenen Bestimmungen des Datenschutzgesetzes bewirkte "Kontrolle" der Staatsanwaltschaften (als Organe der Gerichtsbarkeit gemäß Art90a B‑VG) durch die Datenschutzbehörde (als Verwaltungsbehörde) im Lichte des Trennungsgrundsatzes des Art94 (Abs1) B‑VG. Es sei zwar durchaus fraglich, ob der Begriff der "Gerichtsbarkeit" in Art90a B‑VG mit jenem der "Justiz" in Art94 Abs1 B‑VG gleichzusetzen sei, letztlich könne jedoch eine gegenteilige Auffassung nach Ansicht des Verwaltungsgerichtshofes sowie des Bundesverwaltungsgerichtes nicht überzeugen. Staatsanwaltschaften bzw Staatsanwälte seien nach der Rechtsauffassung des Verwaltungsgerichtshofes und des Bundesverwaltungsgerichtes im Hinblick auf Art90a B‑VG der Staatsgewalt der "Justiz" nach Art94 Abs1 B‑VG zuzuordnen.

Weiters gehen der Verwaltungsgerichtshof und das Bundesverwaltungsgericht in ihren Anträgen davon aus, dass Datenverarbeitungen durch die Staatsanwaltschaft im Zuge eines strafrechtlichen Ermittlungsverfahrens in funktioneller Hinsicht als Akt der Gerichtsbarkeit bzw der Justiz – und nicht als Justizverwaltung – anzusehen seien. Die von den antragstellenden Gerichten unter dem Blickwinkel des Art94 B‑VG gehegten Bedenken bestehen nur insoweit, als die Datenverarbeitungen der Staatsanwaltschaften eine "justizielle Tätigkeit" (bzw Akt der Justiz) im Sinne des Art94 B‑VG, nicht aber im Sinne des Unionsgesetzgebers nach Art45 Abs2 DSRL begründen.

2.9.2. Wie der Verfassungsgerichtshof in ständiger Judikatur ausgesprochen hat (zB VfSlg 2778/1954, 2902/1955, 3236/1957, 3424/1958, 4455/1963, 5630/1967, 6537/1971, 7273/1974, 7882/1976, 9590/1982, 10.300/1984, 10.452/1985, 11.259/1987, 16.772/2002, 17.083/2003 [S 1134 f.], 19.640/2012, 20.314/2019), ergibt sich aus dem in Art94 B‑VG verankerten Prinzip der Trennung der Justiz von der Verwaltung die Verpflichtung des Gesetzgebers, eine Angelegenheit – zur Gänze – zur Vollziehung entweder den Gerichten oder den Verwaltungsbehörden zuzuweisen. Daraus folgt, dass über ein und dieselbe Frage nicht sowohl Gerichte als auch Verwaltungsbehörden, sei es im gemeinsamen Zusammenwirken, sei es im instanzenmäßig gegliederten Nacheinander, entscheiden dürfen; jede verfahrensrechtliche Verflechtung von Gerichten und Verwaltungsbehörden zu einer organisatorischen Einheit ist als unzulässig anzusehen.

2.9.3. Zunächst ist klarzustellen, dass die in den §§31 ff DSG geregelte Zuständigkeit der Datenschutzbehörde zur Aufsicht über Datenverarbeitungen im Anwendungsbereich des §36 Abs1 DSG – insbesondere die Zuständigkeit zur Entscheidung über Beschwerden nach §32 Abs1 Z4 DSG – keinen Instanzenzug eröffnet; die Datenschutzbehörde ist keine im Instanzenzug übergeordnete Behörde. Die Anrufung der Datenschutzbehörde mit einer Beschwerde nach §32 Abs1 Z4 DSG setzt zwar ein eigenes Verwaltungsverfahren in Gang, doch geht es in einem solchen Verfahren nicht darum, dass die Datenschutzbehörde in einer zunächst in die Zuständigkeit eines anderen Organes gefallenen Angelegenheit eine Entscheidung anstelle dieses Organs trifft. Die Datenschutzbehörde ist vielmehr zur Überwachung und Durchsetzung der maßgeblichen Bestimmungen des Datenschutzgesetzes (§32 Abs1 Z1 DSG und §35 Abs1 DSG) im Anwendungsbereich des §36 Abs1 DSG – somit eines bestimmten Verhaltens aus datenschutzrechtlicher Sicht – berufen, und zwar zur Kontrolle dahin, ob darin eine Verletzung von Bestimmungen des Datenschutzgesetzes gelegen ist. Dabei verfügt die Datenschutzbehörde gegenüber den ihrer Kontrolle unterliegenden "zuständigen Stellen" über Untersuchungsbefugnisse (§33 Abs1 iVm §22 Abs2 DSG) und Abhilfebefugnisse (§33 Abs2 DSG). Letztere umfassen etwa die Befugnis der Datenschutzbehörde, der Staatsanwaltschaft (als zuständiger Behörde iSd §36 Abs2 Z7 DSG) die Löschung oder Berichtigung von Daten anzuordnen.

In dieser Rechtskontrolle und Anordnungsbefugnis der Datenschutzbehörde liegt eine Überordnung der Datenschutzbehörde gegenüber ihrer Aufsicht unterliegenden zuständigen Stellen (siehe in diesem Zusammenhang bereits zur Datenschutzkommission VfSlg 13.626/1993).

2.9.4. Da die angefochtenen Bestimmungen des Datenschutzgesetzes über die Zuständigkeit der Datenschutzbehörde zur Aufsicht über Staatsanwaltschaften in Umsetzung der DSRL ergangen sind, ist vor dem Hintergrund der oben unter Punkt 2.7. dargestellten Rechtsprechung des Verfassungsgerichtshofes zunächst zu klären, ob dem nationalen Gesetzgeber diesbezüglich ein Umsetzungsspielraum zukommt.

Der Verfassungsgerichtshof teilt die Auffassung des Verwaltungsgerichtshofes und des Bundesverwaltungsgerichtes (wie auch der Bundesregierung), dass der Gesetzgeber in Umsetzung des Art45 DSRL Staatsanwaltschaften nicht von einer Aufsicht über Datenverarbeitungen zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art1 Abs1 DSRL) ausnehmen darf. Die Möglichkeit der Ausnahme gemäß Art45 Abs2 zweiter Satz DSRL besteht nur für "unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit".

Da der Unionsgesetzgeber den Begriff der "unabhängigen Justizbehörden" im Sinne des Art45 Abs2 zweiter Satz DSRL nicht definiert hat und angesichts der gebotenen autonomen Auslegung von Unionsrecht liegt es nahe, zur Auslegung dieses Begriffes die Rechtsprechung des Gerichtshofes der Europäischen Union heranzuziehen. In seinem im Zusammenhang mit der Richtlinie zum Europäischen Haftbefehl ergangenen Urteil vom 27. Mai 2019, Rs C‑508/18 , OG, und Rs C‑82/19 , PPU, hielt der Gerichtshof der Europäischen Union zum Begriff der Justizbehörden fest, dass dieser nicht allein auf Richter und Gerichte beschränkt sei, sondern auch Behörden erfasse, die an der Strafrechtspflege mitwirkten. Die Justizbehörde müsse aber Gewähr dafür bieten, dass sie bei der Ausübung ihrer Aufgaben unabhängig handle, was verlange, dass sie nicht der Gefahr der Einzelweisung seitens der Exekutive ausgesetzt sei. Keine Gewähr für ein unabhängiges Handeln bestehe, wenn der (in diesem Fall deutsche) Justizminister über ein externes Weisungsrecht verfüge (EuGH 27.5.2019, Rs C‑508/18 , OG, und Rs C‑82/19 , PPU, Rz 50, 74 ff.).

Vor diesem Hintergrund – wobei dahingestellt bleiben kann, ob bzw in welchen Fällen Staatsanwaltschaften überhaupt "justizielle Tätigkeiten" im Sinne des Art45 Abs2 zweiter Satz DSRL ausüben – ist die Möglichkeit der Ausnahme von Staatsanwaltschaften bei Datenverarbeitungen im Sinne der DSRL auf Grund ihrer Weisungsgebundenheit unionsrechtlich verwehrt und es kommt dem nationalen Gesetzgeber diesbezüglich kein Spielraum zu.

2.9.5. Weiters teilt der Verfassungsgerichtshof die seitens des Verwaltungsgerichtshofes und des Bundesverwaltungsgerichtes vertretene Rechtsauffassung, dass es dem Gesetzgeber offensteht, für die Aufsicht über Datenverarbeitungen durch Staatsanwaltschaften im Anwendungsbereich der DSRL eine eigene Aufsichtsbehörde (also nicht die Datenschutzbehörde) einzurichten. Aus Art41 Abs1 DSRL folgt unmissverständlich, dass es den Mitgliedstaaten überlassen ist, eine oder mehrere unabhängige Aufsichtsbehörden einzurichten.

Entgegen der Auffassung des Verwaltungsgerichtshofes und des Bundesverwaltungsgerichtes würden durch die Einrichtung einer eigens für Staatsanwaltschaften zuständigen Aufsichtsbehörde die unter dem Gesichtspunkt des Art94 B‑VG seitens des Verwaltungsgerichtshofes und des Bundesverwaltungsgerichtes dargelegten Bedenken nicht ausgeräumt. Auch bei der Einrichtung einer eigens für Staatsanwaltschaften zuständigen Aufsichtsbehörde wäre für die seitens des Verwaltungsgerichtshofes und des Bundesverwaltungsgerichtes vorgebrachten Bedenken unter dem Blickwinkel des Trennungsgrundsatzes nach Art94 Abs1 B‑VG insoweit nichts gewonnen, als auch diese gemäß den Anforderungen der DSRL einzurichtende unabhängige Aufsichtsbehörde – in Ermangelung einer entsprechenden Verfassungsbestimmung – nicht der ordentlichen Gerichtsbarkeit, sondern – wie unter Punkt 2.3.1. ausgeführt – der Staatsfunktion Verwaltung zuzuordnen wäre.

2.9.6. Für den Verfassungsgerichtshof ist keine Möglichkeit des einfachen Gesetzgebers erkennbar, eine mit dem Unionsrecht vereinbare nationale Regelung in Umsetzung der DSRL zu treffen, bei der die in den Anträgen gehegten Bedenken unter dem Gesichtspunkt des Trennungsgrundsatzes des Art94 Abs1 B‑VG nicht bestünden.

2.10. Mangels eines Umsetzungsspielraumes für den Gesetzgeber nach der DSRL kommt somit für den Verfassungsgerichtshof eine verfassungsrechtliche Prüfung und gegebenenfalls Aufhebung der angefochtenen Bestimmungen über die Einrichtung der Datenschutzbehörde als Aufsichtsbehörde über Datenverarbeitungen durch Staatsanwaltschaften wegen Widerspruchs zum geltend gemachten Art94 B‑VG nicht in Frage (vgl VfSlg 18.642/2008, 20.070/2016, 20.209/2017).

2.11. In diesem Zusammenhang ist darauf hinzuweisen, dass der Verfassungsgerichtshof auch in Fällen, in denen das Recht der Europäischen Union den Gesetzgeber zu einer bestimmten Regelung unbedingt verhält (also für eine doppelte Bindung insoweit kein Raum bleibt), davon ausgeht, dass die Bestimmungen des Art44 Abs3 B‑VG betreffend eine Gesamtänderung der Bundesverfassung einzuhalten sind (vgl auch VfSlg 20.522/2021). Dass die hier in Rede stehenden Regelungen der DSRL für sich oder im Zusammenhang mit sonstigen unionsrechtlichen Bestimmungen eine die Schranken des Bundesverfassungsgesetzes über den Beitritt Österreichs zur Europäischen Union, BGBl 744/1994, im Hinblick auf Art44 Abs3 B‑VG übersteigende Anordnung treffen, ist für den Verfassungsgerichtshof nicht erkennbar.

V. Ergebnis

1. Die Anträge sind infolge Unbegründetheit abzuweisen.

2. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

VfGH G212/2023 ua

Inhalt

Spruch:

Begründung

Stichworte