70. Bundesgesetz, mit dem das Informationsordnungsgesetz, das Datenschutzgesetz, das Beamten-Dienstrechtsgesetz 1979 und das Verwaltungsgerichtshofgesetz 1985 geändert werden
Der Nationalrat hat beschlossen:
Artikel 1
Änderung des Informationsordnungsgesetzes
Das Informationsordnungsgesetz – InfOG, BGBl. I Nr. 102/2014, wird wie folgt geändert:
1. § 1 Abs. 1 lautet:
„(1) Dieses Bundesgesetz regelt den Umgang mit klassifizierten Informationen und nicht-öffentlichen Informationen sowie den Schutz personenbezogener Daten im Bereich des Nationalrates und des Bundesrates.“
2. In § 3 Abs. 5 wird das Wort „klassifizierte“ durch den Ausdruck „(klassifizierte)“ ersetzt und nach dem Wort „Nationalrat“ die Wortfolge „oder dem Bundesrat“ eingefügt.
3. (Verfassungsbestimmung) Nach § 3 werden folgende §§ 3a bis 3c samt Überschriften eingefügt:
„Verarbeitung personenbezogener Daten im Bereich des Nationalrates und des Bundesrates
§ 3a. (1) Der Nationalrat und der Bundesrat einschließlich deren Mitglieder sowie die Funktionäre gemäß § 56i Abs. 1 Z 1 bis 3 des Verfassungsgerichtshofgesetzes 1953 – VfGG, BGBl. Nr. 85/1953, sind berechtigt, personenbezogene Daten für Zwecke der Gesetzgebung, der Mitwirkung an der Vollziehung des Bundes einschließlich deren Kontrolle sowie der Mitwirkung an Vorhaben im Rahmen der Europäischen Union zu verarbeiten.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO) ist für Zwecke der Gesetzgebung, der Mitwirkung an der Vollziehung des Bundes einschließlich deren Kontrolle sowie der Mitwirkung an Vorhaben im Rahmen der Europäischen Union zulässig, soweit dies zur Aufgabenerfüllung erforderlich ist und somit ein erhebliches öffentliches Interesse an der Verarbeitung besteht und wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen bestehen.
(3) Die Verarbeitung von personenbezogenen Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen ist für Zwecke der Gesetzgebung, der Mitwirkung an der Kontrolle der Vollziehung des Bundes einschließlich deren Kontrolle sowie der Mitwirkung an Vorhaben im Rahmen der Europäischen Union zulässig, soweit und solange dies zur Aufgabenerfüllung erforderlich ist.
(4) (Verfassungsbestimmung) Verantwortlicher gemäß Art. 4 Z 7 DSGVO für Datenverarbeitungen zur Erfüllung der gesetzlichen Aufgaben des Nationalrates und dessen Mitglieder sowie der Funktionäre gemäß § 56i Abs. 1 Z 1 bis 3 VfGG, einschließlich der jeweiligen Vorbereitung, ist der Nationalrat. Verantwortlicher gemäß Art. 4 Z 7 DSGVO für Datenverarbeitungen zur Erfüllung der gesetzlichen Aufgaben des Bundesrates und dessen Mitglieder, einschließlich der jeweiligen Vorbereitung, ist der Bundesrat. Der Nationalrat und der Bundesrat handeln durch die im Geschäftsordnungsgesetz 1975, BGBl. Nr. 410/1975, oder in der Geschäftsordnung des Bundesrates, BGBl. Nr. 361/1988, in der jeweils geltenden Fassung, vorgesehenen Organe und Mitglieder.
Rechte betroffener Personen
§ 3b. (1) Für Verhandlungsgegenstände, die im Nationalrat oder Bundesrat entstehen, und deren Vorbereitung gelten die Rechte der betroffenen Personen gemäß den Art. 13 bis 19 und 21 DSGVO und § 1 Abs. 3 Datenschutzgesetz – DSG, BGBl. I Nr. 165/1999, im Hinblick auf Art. 23 Abs. 1 lit. e und h DSGVO nach Maßgabe der Abs. 2 bis 8. Dasselbe gilt für sonstige Anträge und die dazu gefassten Beschlüsse, Verlangen, Berichte der Ausschüsse, Minderheitsberichte bzw. Fraktionsberichte, abweichende persönliche Stellungnahmen, Stenographische Protokolle und Auszugsweise Darstellungen, Konsultationsvereinbarungen sowie sonstige parlamentarische Dokumente, die im Nationalrat oder Bundesrat entstehen, und deren jeweilige Vorbereitung.
(2) Die nach Art. 13 und 14 DSGVO vorgeschriebenen Informationen sind in Form einer Erklärung auf elektronischem Weg zur Verfügung zu stellen (Datenschutzerklärung). Die Informationspflichten gemäß Art. 13 Abs. 1 lit. e sowie Art. 14 Abs. 1 lit. d und e und Abs. 2 lit. f DSGVO finden keine Anwendung.
(3) Das Auskunftsrecht gemäß Art. 15 DSGVO und § 1 Abs. 3 DSG findet in Bezug auf Datenverarbeitungen durch den Nationalrat oder den Bundesrat einschließlich deren Mitglieder sowie der Funktionäre gemäß § 56i Abs. 1 Z 1 bis 3 VfGG keine Anwendung
- 1. bei nicht-öffentlichen oder klassifizierten Informationen oder Gegenständen und Inhalten nicht-öffentlicher, vertraulicher oder geheimer Beratungen, Verhandlungen, Sitzungen und Beschlüsse,
- 2. hinsichtlich der Rechte gemäß Art. 15 Abs. 1 lit. c und g sowie Abs. 3 DSGVO,
- 3. in Bezug auf einzelne oder mehrere Mitglieder des Nationalrates oder des Bundesrates in Ausübung ihres Mandates.
(4) Das Recht auf Berichtigung gemäß Art. 16 DSGVO und § 1 Abs. 3 DSG ist auf Schreibfehler und andere offensichtliche Unrichtigkeiten beschränkt. Zu darüber hinausgehenden unrichtigen oder unvollständigen personenbezogenen Daten kann die betroffene Person eine (ergänzende) Erklärung abgeben, die ohne Kosten für die betroffene Person gemeinsam mit den als unrichtig oder unvollständig gerügten personenbezogenen Daten zu veröffentlichen ist. In Bezug auf wörtliche Protokolle über die Befragung von Auskunftspersonen und Sachverständigen in einem Untersuchungsausschuss des Nationalrates besteht das Recht auf Berichtigung für Auskunftspersonen bzw. Sachverständige nur im Rahmen und Umfang des § 19 Abs. 3 der Anlage 1 zum Geschäftsordnungsgesetz 1975 (Verfahrensordnung für parlamentarische Untersuchungsausschüsse – VO-UA).
(5) Das Recht auf Löschung gemäß Art. 17 DSGVO und § 1 Abs. 3 DSG umfasst bei den in Abs. 1 genannten parlamentarischen Dokumenten nur das Recht auf Entfernung veröffentlichter personenbezogener Daten von der Website des Parlaments.
(6) Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO und die Mitteilungspflicht gemäß Art. 19 DSGVO kommen nicht zur Anwendung.
(7) Das Widerspruchsrecht gemäß Art. 21 DSGVO ist auf die Veröffentlichung der in Abs. 1 genannten parlamentarischen Dokumente beschränkt. Anstelle eines Nachweises überwiegender schutzwürdiger Gründe für die Verarbeitung durch den Verantwortlichen genügt die Glaubhaftmachung solcher Gründe.
(8) Sämtliche in Abs. 4 bis 7 genannten Beschränkungen gelangen nur insoweit zur Anwendung, als die Beschränkung jeweils zur Erfüllung der gesetzlichen Aufgaben des Nationalrates oder des Bundesrates und deren Mitglieder sowie der Funktionäre gemäß § 56i Abs. 1 Z 1 bis 3 VfGG geeignet und erforderlich ist.
Datenschutz bei zugeleiteten Verhandlungsgegenständen
§ 3c. (1) In Bezug auf dem Nationalrat oder dem Bundesrat zugeleitete Verhandlungsgegenstände sind die Rechte der betroffenen Personen gemäß den Art. 12 bis 22 DSGVO und § 1 DSG beim jeweiligen Urheber (§ 3 Abs. 5) geltend zu machen. Der Urheber hat den Nationalrat bzw. Bundesrat unverzüglich schriftlich über allenfalls getroffene Veranlassungen zu informieren und gegebenenfalls eine datenschutzrechtlich angepasste Version zu übermitteln. Diese ist der weiteren Behandlung im Nationalrat bzw. Bundesrat zugrunde zu legen, sofern dem nicht überwiegende Gründe entgegenstehen.
(2) Abs. 1 erster und zweiter Satz gelten sinngemäß in Bezug auf Akten und Unterlagen, die einem Untersuchungsausschuss des Nationalrates gemäß Art. 53 Abs. 3 B-VG vorgelegt wurden, sowie für sonstige zugeleitete parlamentarische Dokumente und Stellungnahmen.“
4. In § 6 Abs. 5 wird die Wendung „des Verfassungsgerichtshofgesetzes 1953, BGBl. Nr. 85/1953,“ durch den Ausdruck „VfGG“ ersetzt.
5. In § 10 Abs. 1 entfällt der Ausdruck „, BGBl. Nr. 410/1975,“.
6. In § 15 entfällt der Ausdruck „, BGBl. Nr. 361/1988, in der jeweils geltenden Fassung,“.
7. Die Überschrift zu § 17 lautet:
„Sicherheits- und Datenschutzbelehrung“
8. Der bisherige Text des § 17 erhält die Absatzbezeichnung „(1)“ und folgender Abs. 2 wird angefügt:
„(2) Alle Mitglieder des Nationalrates und des Bundesrates sind nachweislich über die einschlägigen datenschutzrechtlichen Rechte und Pflichten sowie über die Folgen einer Verletzung von Datenschutzvorschriften zu belehren.“
9. (Verfassungsbestimmung) Der bisherige Text des § 28 erhält die Absatzbezeichnung „(1)“ und folgender Abs. 2 wird angefügt:
„(2) In der Fassung des Bundesgesetzes BGBl. I Nr. 70/2024 treten in Kraft:
- 1. § 1 Abs. 1, § 3 Abs. 5, die Überschrift zu § 3a, § 3a Abs. 1 bis 3, §§ 3b und 3c samt Überschriften, § 6 Abs. 5, § 10 Abs. 1, § 15 sowie § 17 samt Überschrift mit 15. Juli 2024;
- 2. (Verfassungsbestimmung) § 3a Abs. 4 mit 15. Juli 2024.“
Artikel 2
Änderung des Datenschutzgesetzes
Das Datenschutzgesetz – DSG, BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 148/2021 und die Kundmachung BGBl. I Nr. 2/2023, wird wie folgt geändert:
1. Im Inhaltsverzeichnis werden nach dem Eintrag zu § 35 folgende Einträge eingefügt:
„6. Abschnitt
Parlamentarisches Datenschutzkomitee
§ 35a. Einrichtung
§ 35b. Mitglieder
§ 35c. Unabhängigkeit
§ 35d. Vorsitz und Beschlussfassung
§ 35e. Aufgaben, Befugnisse, Tätigkeitsbericht und Veröffentlichung von Entscheidungen
§ 35f. Beschwerde an das Parlamentarische Datenschutzkomitee
§ 35g. Parteistellung, Rechtsmittellegitimation und Geheimhaltungsverpflichtung
§ 35h. Beschwerde an das Bundesverwaltungsgericht
7. Abschnitt
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle und Zusammenarbeit der Aufsichtsbehörden in Angelegenheiten der Europäischen Union
§ 35i. Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
§ 35j. Zusammenarbeit und Kohärenz“
2. In § 17 Abs. 6 werden im ersten Satz das Wort „ist“ durch die Wortfolge „und der Vorsitzende des Parlamentarischen Datenschutzkomitees sind“ und im zweiten Satz das Wort „ihm“ durch das Wort „ihnen“ ersetzt.
3. In § 17 Abs. 8 zweiter Satz wird nach dem Wort „Stellvertreter“ die Wortfolge „, der Vorsitzende des Parlamentarischen Datenschutzkomitees“ eingefügt.
4. Dem § 24 Abs. 1 wird folgender Satz angefügt:
„Dies gilt nicht, soweit ein Recht auf Beschwerde beim Parlamentarischen Datenschutzkomitee gemäß § 35f Abs. 1 besteht.“
5. (Verfassungsbestimmung) § 35 Abs. 2 lautet:
„(2) (Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber dem Präsidenten des Verwaltungsgerichtshofes im Bereich der diesem zustehenden Verwaltungsangelegenheiten aus.“
6. (Verfassungsbestimmung) Nach § 35 werden folgende Abschnitte 6 und 7 samt Überschriften eingefügt:
„6. Abschnitt
Parlamentarisches Datenschutzkomitee
Einrichtung
§ 35a. (Verfassungsbestimmung) (1) Für den Bereich der Gesetzgebung wird das Parlamentarische Datenschutzkomitee als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet. Es ist zuständig für die Aufsicht über die Verarbeitungen
- 1. des Nationalrates und des Bundesrates einschließlich deren Mitglieder in Ausübung ihres Mandates sowie der Funktionäre gemäß § 56i Abs. 1 Z 1 bis 3 des Verfassungsgerichtshofgesetzes 1953 – VfGG, BGBl. Nr. 85/1953,
- 2. des Rechnungshofes und der Volksanwaltschaft,
- 3. der obersten Organe gemäß Art. 30 Abs. 3 bis 6, 125 und 148h Abs. 1 und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten.
(2) Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees für die Aufsicht über die Verarbeitungen der Landtage einschließlich deren Mitglieder in Ausübung ihres Mandates, der Landesrechnungshöfe und der Landesvolksanwälte vorgesehen werden. Dabei kann auch die Zuständigkeit für die Aufsicht über die Verarbeitungen im Bereich der Verwaltungsangelegenheiten der Landtage, der Landesrechnungshöfe und der Landesvolksanwälte vorgesehen werden.
(3) Das Parlamentarische Datenschutzkomitee ist eine Dienstbehörde und Personalstelle. Die Diensthoheit des Bundes gegenüber den beim Parlamentarischen Datenschutzkomitee Bediensteten wird von dessen Vorsitzenden ausgeübt.
itglieder
§ 35b. (1) (Verfassungsbestimmung) Die Mitglieder des Parlamentarischen Datenschutzkomitees werden auf Vorschlag des Hauptausschusses vom Nationalrat mit Zustimmung des Bundesrates für eine Funktionsperiode von fünf Jahren gewählt; die Wiederwahl ist zulässig. Die Anzahl der Mitglieder hat mindestens drei und höchstens sechs zu betragen. Dem Vorschlag des Hauptausschusses hat eine Ausschreibung zur allgemeinen Bewerbung durch den Präsidenten des Nationalrates voranzugehen. Der Vorschlag des Hauptausschusses, die Wahl durch den Nationalrat und die Zustimmung des Bundesrates bedürfen jeweils der Anwesenheit von mindestens der Hälfte der Mitglieder und einer Mehrheit von zwei Dritteln der abgegebenen Stimmen. Die Mitglieder des Parlamentarischen Datenschutzkomitees leisten vor Antritt ihres Amtes dem Bundespräsidenten die Angelobung.
(2) Die Mitglieder des Parlamentarischen Datenschutzkomitees haben
- 1. über ein abgeschlossenes Studium zu verfügen, wobei es sich bei mindestens der Hälfte der Mitglieder um ein rechtswissenschaftliches Studium handeln muss,
- 2. die persönliche und fachliche Eignung durch eine entsprechende Vorbildung und mindestens fünfjährige einschlägige Berufserfahrung aufzuweisen und
- 3. über Kenntnisse des österreichischen und europäischen Datenschutzrechts, der Grundrechte, des Parlamentsrechts und des parlamentarischen Verfahrens zu verfügen.
(3) Zum Mitglied des Parlamentarischen Datenschutzkomitees dürfen nicht bestellt werden:
- 1. Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder einer Landesregierung, Mitglieder des Nationalrates, des Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder des Europäischen Parlaments, ferner der Präsident des Rechnungshofes und die Mitglieder der Volksanwaltschaft sowie Direktoren der Landesrechnungshöfe und Landesvolksanwälte,
- 2. Personen, die eine in Z 1 genannte Funktion innerhalb der letzten fünf Jahre ausgeübt haben, und
- 3. Personen, die von der Wählbarkeit in den Nationalrat ausgeschlossen sind.
(4) (Verfassungsbestimmung) Die Enthebung eines Mitglieds des Parlamentarischen Datenschutzkomitees ist auf Vorschlag des Hauptausschusses durch den Nationalrat vorzunehmen, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt (Art. 53 Abs. 4 DSGVO). Der Vorschlag des Hauptausschusses und der Beschluss des Nationalrates bedürfen jeweils der Anwesenheit von mindestens der Hälfte der Mitglieder und einer Mehrheit von zwei Dritteln der abgegebenen Stimmen.
(5) Den Mitgliedern des Parlamentarischen Datenschutzkomitees gebührt als Entschädigung für die Erfüllung ihrer Aufgaben für jede begonnene Stunde ein Zehntel der Entschädigung eines Ersatzmitgliedes des Verfassungsgerichtshofes für einen Sitzungstag (§ 4 Abs. 3 VfGG). Für die Vergütung ihrer Reisekosten gelten die Bestimmungen der Reisegebührenvorschrift 1955, BGBl. Nr. 133/1955, sinngemäß.
Unabhängigkeit
§ 35c. (1) Die Mitglieder des Parlamentarischen Datenschutzkomitees üben dieses Amt neben ihren beruflichen Tätigkeiten aus. Sie dürfen für die Dauer ihres Amtes lediglich keine Tätigkeit ausüben, die
- 1. Zweifel an der unabhängigen Ausübung ihres Amtes oder ihrer Unbefangenheit hervorrufen könnte, oder
- 2. sie bei der Erfüllung ihrer Aufgaben als Mitglied des Parlamentarischen Datenschutzkomitees behindert oder wesentliche Interessen dieser Aufgabe gefährdet.
Sie sind verpflichtet, ihre beruflichen Tätigkeiten, die sie neben ihrer Tätigkeit als Mitglied des Parlamentarischen Datenschutzkomitees ausüben, unverzüglich dem Vorsitzenden des Parlamentarischen Datenschutzkomitees zu melden.
(2) Der Vorsitzende des Parlamentarischen Datenschutzkomitees hat seine und die gemäß Abs. 1 gemeldeten beruflichen Tätigkeiten im Internet zu veröffentlichen. Die Veröffentlichungen sind für die Dauer der jeweiligen Funktionsperiode aufrecht zu erhalten.
(3) (Verfassungsbestimmung) Der Präsident des Nationalrates kann sich beim Vorsitzenden des Parlamentarischen Datenschutzkomitees über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Vorsitzenden des Parlamentarischen Datenschutzkomitees nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Art. 52 DSGVO widerspricht.
Vorsitz und Beschlussfassung
§ 35d. (1) Der Vorsitz des Parlamentarischen Datenschutzkomitees wechselt jährlich zwischen den Mitgliedern. Die Reihenfolge ist in der Geschäftsordnung festzulegen. Bei Bedarf bestimmt das Parlamentarische Datenschutzkomitee aus seiner Mitte eine Stellvertretung, die ebenfalls jährlich wechselt; der Stellvertreter vertritt den Vorsitzenden des Parlamentarischen Datenschutzkomitees in dessen Abwesenheit. Der Vorsitzende des Parlamentarischen Datenschutzkomitees hat dem Präsidenten des Nationalrates rechtzeitig einen Entwurf betreffend die für die Aufgabenerfüllung des Parlamentarischen Datenschutzkomitees erforderlichen Ressourcen als Grundlage für die Erstellung des Voranschlagsentwurfs gemäß § 14 Abs. 2 des Geschäftsordnungsgesetzes 1975 zu unterbreiten.
(2) Das Parlamentarische Datenschutzkomitee ist bei Anwesenheit von mehr als der Hälfte seiner Mitglieder beschlussfähig. Es fasst seine Beschlüsse mit Stimmenmehrheit. Ein befangenes Mitglied hat sich seiner Stimme zu enthalten; ansonsten ist Stimmenthaltung unzulässig.
(3) Die Sitzungen des Parlamentarischen Datenschutzkomitees können auch als Telefon- oder Videokonferenz (auch in hybrider Form) stattfinden. Mitglieder, die durch Telefon- oder Videokonferenz zugeschaltet sind, gelten als anwesend. Eine Beschlussfassung auf schriftlichem oder elektronischem Weg im Umlaufverfahren ist zulässig. Näheres bestimmt die Geschäftsordnung des Parlamentarischen Datenschutzkomitees.
(4) Das Parlamentarische Datenschutzkomitee hat sich durch Beschluss eine Geschäftsordnung zu geben. Die Geschäftsordnung hat insbesondere Regelungen über die Reihenfolge des Vorsitzes und gegebenenfalls der Stellvertretung sowie über die Arbeitsweise des Parlamentarischen Datenschutzkomitees zu enthalten. In der Geschäftsordnung können einzelne Mitglieder mit der Führung der laufenden Geschäfte und bestimmten verfahrensrechtlichen Angelegenheiten betraut werden. Bis zum Beschluss der Geschäftsordnung lädt das an Jahren älteste Mitglied zur Sitzung ein und leitet diese.
Aufgaben, Befugnisse, Tätigkeitsbericht und Veröffentlichung von Entscheidungen
§ 35e. (1) Genehmigungen gemäß § 7 Abs. 2 Z 3 und Abs. 3 sowie § 8 Abs. 3 und 4, soweit dadurch personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 1 betroffen sind, obliegen dem Parlamentarischen Datenschutzkomitee. Dies gilt auch in Bezug auf personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
(2) § 21 Abs. 1, § 22 und § 30 Abs. 5 gelten sinngemäß. Gegenüber den in § 2 des Informationsordnungsgesetzes – InfOG, BGBl. I Nr. 102/2014, genannten Personen bestehen die Untersuchungsbefugnisse gemäß § 22 Abs. 1 und 2 (Art. 58 Abs. 1 lit. e und f DSGVO) jedoch nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungsverpflichtungen dieser Personen führen würde. Gegenüber dem Rechnungshof und der Volksanwaltschaft bestehen die Untersuchungsbefugnisse gemäß § 22 Abs. 1 und 2 (Art. 58 Abs. 1 lit. e und f DSGVO) nicht, soweit die Inanspruchnahme dieser Befugnisse zu einer Verletzung von Geheimhaltungsverpflichtungen des Rechnungshofes oder der Volksanwaltschaft führen würde.
(3) (Verfassungsbestimmung) § 23 gilt sinngemäß mit der Maßgabe, dass der Tätigkeitsbericht dem Präsidenten des Nationalrates und von diesem der Bundesregierung, dem Nationalrat, dem Bundesrat und, soweit eine Zuständigkeit des Parlamentarischen Datenschutzkomitees gemäß § 35a Abs. 2 vorgesehen wurde, den Landtagen vorzulegen ist.
Beschwerde an das Parlamentarische Datenschutzkomitee
§ 35f. (1) Jede betroffene Person hat das Recht auf Beschwerde beim Parlamentarischen Datenschutzkomitee, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gemäß § 35a Abs. 1 gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt. Dies gilt auch in Bezug auf Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
(2) § 24 Abs. 2 bis 9 und Abs. 10 Z 1 sowie § 28 gelten sinngemäß.
Parteistellung, Rechtsmittellegitimation und Geheimhaltungsverpflichtung
§ 35g. (1) (Verfassungsbestimmung) Die für die Verarbeitungen gemäß § 35a Abs. 1 Verantwortlichen sind Partei in Verfahren vor dem Parlamentarischen Datenschutzkomitee. Dasselbe gilt für die für Verarbeitungen gemäß § 35a Abs. 2 Verantwortlichen, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
(2) (Verfassungsbestimmung) Die für die Verarbeitungen gemäß § 35a Abs. 1 Verantwortlichen können Beschwerde an das Bundesverwaltungsgericht und Revision beim Verwaltungsgerichtshof erheben. Dasselbe gilt für die für Verarbeitungen gemäß § 35a Abs. 2 Verantwortlichen, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
(3) Erlangen das Parlamentarische Datenschutzkomitee, das Bundesverwaltungsgericht, der Verwaltungsgerichtshof oder der Verfassungsgerichtshof im Rahmen eines Verfahrens betreffend Verarbeitungen gemäß § 35a Abs. 1 Kenntnis von Informationen, die einer gesetzlichen Geheimhaltungsverpflichtung unterliegen, gilt die Geheimhaltungsverpflichtung auch für diese. Dies gilt auch in Bezug auf Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
Beschwerde an das Bundesverwaltungsgericht
§ 35h. § 27 Abs. 1 gilt sinngemäß. § 27 Abs. 2 bis 4 kommt nicht zur Anwendung.
7. Abschnitt
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle und Zusammenarbeit der Aufsichtsbehörden in Angelegenheiten der Europäischen Union
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
§ 35i. Gemeinsamer Vertreter im Europäischen Datenschutzausschuss (Art. 68 DSGVO) und zentrale Anlaufstelle ist der Leiter der Datenschutzbehörde.
Zusammenarbeit und Kohärenz
§ 35j. Die Datenschutzbehörde und das Parlamentarische Datenschutzkomitee arbeiten in Angelegenheiten der Europäischen Union mit dem Ziel einer einheitlichen Anwendung der DSGVO zusammen. In Bezug auf den Europäischen Datenschutzausschuss (Kapitel VII. der DSGVO) hat die Datenschutzbehörde das Parlamentarische Datenschutzkomitee über alle Angelegenheiten rechtzeitig zu informieren und jedenfalls einzubinden, wenn dieses von der Angelegenheit betroffen sein könnte.“
7. Dem § 62 wird folgender Abs. 6 angefügt:
„(6) Das Parlamentarische Datenschutzkomitee ist zuständig für Entscheidungen nach Abs. 1 bis 4, soweit durch die Verwaltungsübertretung personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 1 betroffen sind. Dasselbe gilt, soweit personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 2 betroffen sind, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.“
8. (Verfassungsbestimmung) Der bisherige Text des § 68 erhält die Absatzbezeichnung „(1)“ und es wird folgender Abs. 2 angefügt:
„(2) (Verfassungsbestimmung) Mit der Vollziehung des 6. Abschnitts des 2. Hauptstücks und des § 62 Abs. 6 ist der Präsident des Nationalrates betraut.“
9. In § 69 Abs. 6 wird die Zeichenfolge „§ 24“ durch die Zeichenfolge „den §§ 24 und 35f“ ersetzt.
10. (Verfassungsbestimmung) Dem § 69 werden folgende Abs. 10 und 11 angefügt:
„(10) (Verfassungsbestimmung) Das Parlamentarische Datenschutzkomitee hat seine Zuständigkeiten nach diesem Bundesgesetz ab 1. Jänner 2025 wahrzunehmen. Zu diesem Zeitpunkt bei der Datenschutzbehörde anhängige Verfahren betreffend Verarbeitungen gemäß § 35a Abs. 1 sind vom Parlamentarischen Datenschutzkomitee fortzuführen, wobei die Entscheidungsfrist neu zu laufen beginnt. In den beim Bundesverwaltungsgericht, beim Verwaltungsgerichtshof oder beim Verfassungsgerichtshof mit Ablauf des 31. Dezember 2024 anhängigen Verfahren betreffend Verarbeitungen gemäß § 35a Abs. 1 tritt das Parlamentarische Datenschutzkomitee an die Stelle der Datenschutzbehörde.
(11) (Verfassungsbestimmung) Abs. 10 gilt auch in Bezug auf Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.“
11. (Verfassungsbestimmung) Dem § 70 wird folgender Abs. 15 angefügt:
„(15) In der Fassung des Bundesgesetzes BGBl. I Nr. 70/2024 treten in Kraft:
- 1. Das Inhaltsverzeichnis, § 17 Abs. 6 und 8, § 24 Abs. 1 zweiter Satz, die Bezeichnung und die Überschrift des 6. Abschnittes des 2. Hauptstücks, die Überschrift zu § 35b, § 35b Abs. 2, 3 und 5, die Überschrift zu § 35c, § 35c Abs. 1 und 2, § 35d samt Überschrift, die Überschrift zu § 35e, § 35e Abs. 1 und 2, § 35f samt Überschrift, die Überschrift zu § 35g, § 35g Abs. 3, § 35h samt Überschrift, die Bezeichnung und die Überschrift des 7. Abschnittes des 2. Hauptstücks, § 35i und § 35j samt Überschriften, § 62 Abs. 6, § 68 Abs. 1 sowie § 69 Abs. 6 mit 15. Juli 2024;
- 2. (Verfassungsbestimmung) § 35 Abs. 2, § 35a samt Überschrift, § 35b Abs. 1 und 4, § 35c Abs. 3, § 35e Abs. 3, § 35g Abs. 1 und 2, § 68 Abs. 2 sowie § 69 Abs. 10 und 11 mit 15. Juli 2024.“
Artikel 3
Änderung des Beamten-Dienstrechtsgesetzes 1979
Das Beamten-Dienstrechtsgesetz 1979 – BDG 1979, BGBl. Nr. 333/1979, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 6/2023, wird wie folgt geändert:
1. In § 79i wird nach dem Wort „Parlamentsdirektion“ die Wortfolge „und des Parlamentarischen Datenschutzkomitees“ eingefügt.
2. In der Überschrift des 2a. Unterabschnitts des 8. Abschnitts des Allgemeinen Teils wird nach dem Wort „Rechnungshofes“ das Wort „und“ durch einen Beistrich ersetzt und nach dem Wort „Volksanwaltschaft“ die Wortfolge „und des Parlamentarischen Datenschutzkomitees“ angefügt.
3. In § 104a Abs. 1 bis 3, § 104c Z 2 sowie § 104f Abs. 5 erster und zweiter Satz wird jeweils nach dem Wort „Rechnungshofes“ das Wort „und“ durch einen Beistrich ersetzt und nach dem Wort „Volksanwaltschaft“ die Wortfolge „und des Parlamentarischen Datenschutzkomitees“ eingefügt.
4. Nach § 104f Abs. 3 wird folgender Abs. 3a eingefügt:
„(3a) Eine beschuldigte Beamtin oder ein beschuldigter Beamter des Parlamentarischen Datenschutzkomitees gilt ausschließlich für die Zwecke der Abs. 2 und 3 als der Parlamentsdirektion zugehörig.“
5. In § 104g Abs. 3 dritter Satz wird nach dem Wort „Rechnungshofes“ das Wort „und“ durch einen Beistrich ersetzt und nach dem Wort „Volksanwaltschaft“ die Wortfolge „und die oder der Vorsitzende des Parlamentarischen Datenschutzkomitees“ eingefügt.
6. Dem § 284 wird folgender Abs. 117 angefügt:
„(117) § 79i, die Überschrift des 2a. Unterabschnitts des 8. Abschnitts des Allgemeinen Teils, § 104a Abs. 1 bis 3, § 104c Z 2, § 104f Abs. 3a und Abs. 5 erster und zweiter Satz sowie § 104g Abs. 3 dritter Satz in der Fassung des Bundesgesetzes BGBl. I Nr. 70/2024 treten mit 15. Juli 2024 in Kraft.“
Artikel 4
Änderung des Verwaltungsgerichtshofgesetzes 1985
Das Verwaltungsgerichtshofgesetz 1985 – VwGG, BGBl. Nr. 10/1985, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 88/2023, wird wie folgt geändert:
1. In § 24a Z 2 wird nach dem Wort „Vorsitzende“ die Wortfolge „sowie, in Angelegenheiten betreffend Verarbeitungen gemäß § 35a Abs. 1 oder gegebenenfalls Abs. 2 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, die für diese Verarbeitungen Verantwortlichen“ eingefügt.
2. Dem § 79 wird folgender Abs. 26 angefügt:
„(26) § 24a Z 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 70/2024 tritt mit 15. Juli 2024 in Kraft.“
Van der Bellen
Nehammer
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)