Bisher herrschte in Sachen Datenschutz in deutschen Parlamenten ein problematisches normatives Defizit. Die Geltung der Datenschutzgesetze war entweder völlig ausgeschlossen oder auf die Tätigkeit der Parlamentsverwaltungen beschränkt. Dem lag die Auffassung zugrunde, dass der Bundestag und die Länderparlamente, ihre Ausschüsse und die einzelnen Abgeordneten aufgrund ihrer Unabhängigkeit in gleicher Weise von datenschutzrechtlichen Verpflichtungen freizustellen seien wie die unabhängigen Gerichte. Immerhin hat der Bundesgesetzgeber nach Inkrafttreten der Datenschutz-Grundverordnung die Geltung der materiellen Bestimmungen des Bundesdatenschutzgesetzes auf die Datenverarbeitung im Bundestag erstreckt. Die Rechtslage in den Bundesländern ist völlig unterschiedlich, in 8 Bundesländern galten bisher keinerlei Datenschutzbestimmungen.
In dieser Frage hat der Europäische Gerichtshof jetzt für mehr Klarheit gesorgt. In seinem Urteil vom 9. Juli 2020 (Rechtssache C-272/19) <http://curia.europa.eu/juris/document/document.jsf;jsessionid=1DEFE09626AE0246C1D5A33BB9E0843E?text=&docid=228367&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=8747115> hat der Gerichtshof einem Bürger Recht gegeben, der sich an den Petitionsausschuss des Hessischen Landtages gewandt und um Auskunft nach der Datenschutz-Grundverordnung darüber gebeten hatte, welche Daten der Ausschuss bezüglich seiner Petition von anderen Stellen erhalten hatte. Der Präsident des Landtages hatte dies mit der Begründung abgelehnt, das Petitionsverfahren sei eine parlamentarische Aufgabe und das Landesparlament unterläge nicht den Pflichten nach der Datenschutz-Grundverordnung. Dies ist nach der Feststellung des EuGH unzutreffend. Die Grundverordnung enthält – anders als für die Justiz – keinerlei Ausnahmen für parlamentarische Tätigkeiten und ist deshalb auch auf den Petitionsausschuss anwendbar.
Die Entscheidung ist von grundsätzlicher Bedeutung und hat Auswirkungen auf die gesamte Datenverarbeitung im parlamentarischen Raum. Nicht nur die Parlamentsverwaltungen und Fraktionen, sondern auch die einzelnen Abgeordneten haben die Datenschutz-Grundverordnung zu befolgen, soweit sie nicht personenbezogene Daten lediglich für persönliche Zwecke verarbeiten.
Der EuGH hat sich allerdings nicht mit der Frage befasst, wer die Einhaltung des Datenschutzrechts in Parlamenten zu kontrollieren hat. Das sind in Deutschland bisher nicht die Datenschutzbeauftragten des Bundes und der Länder. In Baden-Württemberg, Bremen, Hamburg, Hessen, Niedersachsen, Rheinland-Pfalz und Schleswig-Holstein überwachen besondere Parlamentsausschüsse oder die Präsidien die Einhaltung des Datenschutzes. Die in allen Parlamenten benannten internen Datenschutzbeauftragten sind auf die Kontrolle der administrativen Datenverarbeitung beschränkt. Es spricht nichts dagegen, diese Aufgabe – wie bei jeder anderen verantwortlichen Stelle – künftig den unabhängigen Datenschutzbeauftragten des Bundes und der Länder zu übertragen, zumal diese von den jeweiligen Parlamenten in ihr Amt gewählt werden. Nicht länger hinnehmbar ist jedenfalls die Lage im Bundestag und in den Landesparlamenten von Bayern, Berlin, Brandenburg, Mecklenburg-Vorpommern, Nordrhein-Westfalen, dem Saarland, in Sachsen, Sachsen-Anhalt und Thüringen, wo es bisher keinerlei Kontrollinstanz im Bereich des parlamentarischen Datenschutzes gibt. Die Entscheidung des EuGH hat zwar Klarheit in materiellrechtlicher Hinsicht geschaffen, sollte aber Anlass für diese Volksvertretungen sein, jetzt auch den notwendigen zweiten Schritt zu einem wirksamen Datenschutz zu tun. Die Bürgerinnen und Bürger sollten nicht gezwungen werden, sogleich den zeit- und kostenintensiven Rechtsweg zu beschreiten, wenn sie sich in ihren Rechten durch ein Parlament verletzt fühlen.
Alexander Dix