Das Datenschutzrecht in Deutschland basiert auf einem vielschichtigen, aber etablierten Regelungssystem. Im Zentrum steht die Datenschutz-Grundverordnung (DSGVO), ergänzt durch bereichsspezifische Normen wie das Gesetz über den kirchlichen Datenschutz (KDG) oder das Sozialgesetzbuch (SGB). Die Bundesländer konkretisieren die DSGVO zudem durch eigene Ausführungsgesetze. Trotz dieser Komplexität war bislang weitgehend klar, welche rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten gelten.

Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Januar 2024 in der Rechtssache C-33/22 hat jedoch eine bislang wenig beachtete Rechtsfrage, mit weitreichenden Folgen für die datenschutzrechtliche Behandlung parlamentarischer Tätigkeiten in den Landtagen, neu bewertet.

Ausgangslage: Uneinheitliche Regelungen und die Rolle von Datenschutzordnungen

Bereits vor dem Urteil war die datenschutzrechtliche Einordnung der Landtage nicht einheitlich geregelt. Einige Bundesländer, wie etwa Bayern oder Nordrhein-Westfalen, haben den Datenschutz für ihre Landtage vollständig in das jeweilige Ausführungsgesetz integriert. Andere Länder, wie Schleswig-Holstein oder Niedersachsen, haben lediglich die Verwaltungstätigkeit der Landtage in das Ausführungsgesetz aufgenommen, während die parlamentarische Tätigkeit durch eigene, von den Landtagen selbst erlassene, Datenschutzordnungen geregelt wird.

Diese Konstruktionen basierten auf der Annahme, dass parlamentarische Tätigkeiten nicht unter die DSGVO fallen. Grundlage hierfür war Art. 2 Abs. 2 lit. a DSGVO, wonach die Verordnung keine Anwendung findet, wenn die Datenverarbeitung „nicht in den Anwendungsbereich des Unionsrechts“ fällt. Die parlamentarische Arbeit wurde bislang als eine solche Ausnahme verstanden, was zur Folge hatte, dass die Landtage ihre Datenschutzregelungen autonom gestalten konnten.

Das EuGH-Urteil: Klärung des Anwendungsbereichs der DSGVO

Mit dem Urteil vom 16. Januar 2024 hat der EuGH diese bisherige Praxis in Frage gestellt. In dem Verfahren ging es um einen Untersuchungsausschuss des österreichischen Nationalrats, der personenbezogene Daten einer polizeilichen Staatsschutzbehörde verarbeitete. Die österreichische Seite argumentierte, dass es sich um eine rein parlamentarische Tätigkeit handle, die nicht dem Unionsrecht unterliege und somit auch nicht der DSGVO.

Der EuGH widersprach dieser Argumentation deutlich. Er stellte klar, dass nur Tätigkeiten im Bereich der nationalen Sicherheit vom Anwendungsbereich der DSGVO ausgenommen sind. Parlamentarische Tätigkeiten fallen grundsätzlich nicht unter diese Ausnahme. Damit bestätigte der EuGH seine frühere Rechtsprechung aus dem Jahr 2020 (C-272/19), in der er bereits die Anwendung der DSGVO auf den Petitionsausschuss eines Landtages bejaht hatte.

Verfassungsrechtliche Bedenken: Kontrolle der Legislative durch die Exekutive?

Besonders brisant ist die Aussage des EuGH zur Zuständigkeit der Aufsichtsbehörden. Gibt es in einem Mitgliedstaat nur eine einzige Datenschutzaufsicht, so ist diese auch für Beschwerden gegen die Datenverarbeitung durch Parlamente zuständig, selbst wenn dies zu einer Kontrolle der Legislative durch die Exekutive führt.

Diese Aussage wirft verfassungsrechtliche Fragen auf. Die Datenschutzaufsichtsbehörden sind in Deutschland Teil der Exekutive, während die Landtage zur Legislative gehören. Eine direkte Kontrolle der Legislative durch ein exekutives Organ widerspricht dem Prinzip der Gewaltenteilung, einem Grundsatz, der tief in der deutschen Verfassung verankert ist.

Der EuGH hält dem jedoch entgegen, dass Art. 51 DSGVO den Mitgliedstaaten ausdrücklich die Möglichkeit einräumt, mehrere unabhängige Aufsichtsbehörden einzurichten. Es sei daher Aufgabe der Mitgliedstaaten, verfassungskonforme Lösungen zu schaffen, wie etwa durch die Einrichtung eigener parlamentarischer Kontrollstellen, die den Anforderungen der DSGVO genügen.

Reaktionen aus den Ländern: Uneinheitlich und teils widersprüchlich

Ein Blick in die Tätigkeitsberichte und öffentlichen Stellungnahmen der Landesdatenschutzbehörden zeigt dabei ein diverses Meinungsbild:

  • Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein sieht sich durch das Urteil beispielsweise bestätigt. Die Datenschutzordnung des Landtags sieht ein internes Datenschutzgremium vor, das sich aus Mitgliedern der Fraktionen zusammensetzt. Das ULD betrachtet dieses Gremium als funktional gleichwertig zu einer Aufsichtsbehörde im Sinne des Art. 51 DSGVO und sieht daher keinen unmittelbaren Änderungsbedarf. Eine explizite Einstufung als „Aufsichtsbehörde“ erfolgt durch das ULD jedoch noch nicht. Auch bezüglich des Anwendungsbereichs der DSGVO sieht das ULD keine Probleme, da die Datenschutzordnung des Parlaments die DSGVO lediglich modifiziert.
  • Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hingegen äußert in seinem Tätigkeitsbericht Zweifel an der bisherigen Konstruktion der Datenschutzkommission des Landtags. Der LfD geht davon aus, dass seine eigene Behörde künftig die Aufsicht übernehmen muss, da die Kommission nicht als unabhängige Aufsichtsbehörde im Sinne der DSGVO gilt. Dazu sieht man hier ebenfalls die Frage kritisch, ob die Datenschutzordnung des Landtags überhaupt noch anwendbar ist.
  • Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen geht noch einen Schritt weiter: Die Behörde hat im Lichte des EuGH-Urteils bereits Anfang 2024 die Präsidentin der Bremischen Bürgerschaft darüber informiert, dass § 2 Abs. 4 des Bremischen Ausführungsgesetzes zur DSGVO, der parlamentarische Tätigkeiten vom Anwendungsbereich der DSGVO ausnimmt, nicht mehr anwendbar sei. Im Tätigkeitsbericht für das Jahr 2024 (S. 28) fordert der LfDI eine gesetzliche Neuregelung, die sowohl die Datenverarbeitung als auch die Aufsicht im parlamentarischen Bereich explizit regelt. Bis dahin sieht sich der LfDI selbst als zuständige Aufsichtsbehörde.

Fazit: Klärungsbedarf und gesetzgeberische Verantwortung

Das Urteil des EuGH hat eine bislang uneinheitlich gehandhabte Rechtsfrage geklärt und damit Anpassungsbedarf auf Landesebene ausgelöst. Die bisherige Praxis, parlamentarische Tätigkeiten durch eigene Datenschutzordnungen zu regeln, steht auf dem Prüfstand. Die Reaktionen der Länder zeigen, dass es keine einheitliche Linie gibt, weder in der rechtlichen Bewertung noch im Umgang mit der Aufsicht.

Klar ist, dass die Gesetzgeber der Länder gefordert sind. Es braucht verfassungskonforme Lösungen, die sowohl den Anforderungen der DSGVO als auch dem Prinzip der Gewaltenteilung gerecht werden. Ob dies durch die Schaffung eigener parlamentarischer Aufsichtsstellen oder durch eine Reform bestehender Gremien geschieht, bleibt abzuwarten.

Bis dahin bleibt eine gewisse rechtliche Unsicherheit bestehen, sowohl für die Landtage als auch für die Datenschutzaufsichtsbehörden.

| | , | , , , , ,