Aufgaben
Das Parlamentarische Datenschutzkomitee (PDK) nimmt als unabhängige Aufsichtsbehörde im Sinne der DSGVO in seinem Zuständigkeitsbereich bestimmte Aufgaben wahr (siehe die nachstehende demonstrative Aufzählung).
© Parlamentsdirektion/Bernhard Zofall- Überwachung der Anwendung und Durchsetzung der DSGVO (Art. 57 Abs. 1 lit. a DSGVO)
- Bearbeitung von Datenschutzbeschwerden von betroffenen Personen aufgrund eines behaupteten Verstoßes gegen die DSGVO, gegen das Grundrecht auf Datenschutz gemäß § 1 DSG oder gegen Artikel 2 1. Hauptstück DSG (Art. 57 Abs. 1 lit. f DSGVO; § 35f Abs. 1 DSG)
- Durchführung von amtswegigen Untersuchungen über die Anwendung der DSGVO, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde (Art. 57 Abs. 1 lit. h DSGVO)
- Beratung der Ausschüsse des Nationalrates und des Bundesrates, der Bundesregierung und der Landesregierungen auf deren Ersuchen über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf Datenverarbeitungen (§ 21 Abs. 1 in Verbindung mit § 35e Abs. 2 DSG, Art. 57 Abs. 1 lit. c DSGVO)
- Sensibilisierung der Verantwortlichen und der Auftragsverarbeiter für die ihnen aus der DSGVO entstehenden Pflichten (Art. 57 Abs. 1 lit. d DSGVO)
- Sensibilisierung und Aufklärung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit Datenverarbeitungen (Art. 57 Abs. 1 lit. b DSGVO)
- Zurverfügungstellung von Informationen über die Ausübung von Betroffenenrechten nach der DSGVO auf Anfrage von betroffenen Personen (57 Abs. 1 lit. e DSGVO)
- Beratung in Bezug auf die in Art. 36 Abs. 2 DSGVO genannten Verarbeitungsvorgänge (Art. 57 Abs. 1 lit. l DSGVO)
- Erteilung von Genehmigungen gemäß § 7 Abs. 2 Z 3 und Abs. 3 sowie § 8 Abs. 3 und 4 DSG
- Zusammenarbeit mit anderen Aufsichtsbehörden, auch durch Informationsaustausch und Amtshilfe, um die einheitliche Anwendung und Durchsetzung der DSGVO zu gewährleisten (Art. 57 Abs. 1 lit. g DSGVO), einschließlich der Zusammenarbeit mit der Datenschutzbehörde in Angelegenheiten der Europäischen Union (§ 35j DSG)
- Verfolgung maßgeblicher Entwicklungen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken (Art. 57 Abs. 1 lit. i DSGVO)
- Erstellung und Veröffentlichung eines Tätigkeitsberichts (Art. 59 DSGVO, § 23 in Verbindung mit § 35e Abs. 3 DSG)
Befugnisse
Die DSGVO räumt dem PDK als Aufsichtsbehörde iSd. Art. 51 DSGVO umfangreiche Untersuchungsbefugnisse (Art. 58 Abs. 1 DSGVO in Verbindung mit § 22 Abs. 1 und 2 DSG), Abhilfebefugnisse (Art. 58 Abs. 2 DSGVO) sowie Genehmigungs- und Beratungsbefugnisse (Art. 58 Abs. 3 DSGVO) ein, um die Einhaltung der DSGVO überwachen und durchsetzen zu können.
© Parlamentsdirektion/Johannes ZinnerDie Untersuchungsbefugnisse gemäß § 22 Abs. 1 und 2 DSG (Art. 58 Abs. 1 lit. e und f DSGVO) werden im nationalen Recht gegenüber den in § 2 des Informationsordnungsgesetzes – InfOG genannten Personen sowie gegenüber dem Rechnungshof und der Volksanwaltschaft eingeschränkt, soweit die Inanspruchnahme dieser Befugnisse zu einer Verletzung von Geheimhaltungspflichten führen würde (§ 35e Abs. 2 DSG).
Weitere Aufgaben und Befugnisse
Das PDK ist in seinem Zuständigkeitsbereich seit 10. Oktober 2025 auch zur Überwachung der Anwendung der Art. 18 und 19 der Verordnung (EU) 2024/900 über die Transparenz und das Targeting politischer Werbung (Art. 22 Abs. 1 VO (EU) 2024/900) zuständig. Diese Bestimmungen regeln die Anforderungen in Bezug auf Targeting- und Anzeigenschaltungsverfahren im Internet im Zusammenhang mit politischer Werbung, die eine Verarbeitung personenbezogener Daten umfassen.
© iStock.com/SupatmanDie Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-Verordnung) räumt nationalen Behörden oder öffentlichen Stellen, die die Einhaltung des Unionsrechts zum Schutz der Grundrechte, einschließlich des Rechts auf Nichtdiskriminierung, in Bezug auf die Verwendung der in Anhang III der KI-Verordnung genannten Hochrisiko-KI-Systeme beaufsichtigen oder durchsetzen, bestimmte Befugnisse ein (Art. 77 Abs. 1 KI-Verordnung). Die betreffende Bestimmung der KI-Verordnung gilt ab 2. August 2026. Das PDK wurde – als eine von mehreren Behörden und öffentlichen Stellen – als „Grundrechtsbehörde“ im Sinne des Art. 77 Abs. 1 der KI-Verordnung benannt (siehe die Liste der benannten Behörden und öffentlichen Stellen für Grundrechte).
Grundrechtsbehörden können demnach die Dokumentation von Hochrisiko-KI-Systemen anfordern und einsehen, sofern der Zugang zu dieser Dokumentation für die wirksame Ausübung ihrer Befugnisse notwendig ist. In diesem Fall hat die Grundrechtsbehörde die Marktüberwachungsbehörde des betreffenden Mitgliedstaats zu informieren (Art. 77 Abs. 1 KI-Verordnung).
Sollte die Dokumentation zur Feststellung eines allfälligen Verstoßes gegen das Unionsrecht zum Schutz der Grundrechte nicht ausreichen, kann die Grundrechtsbehörde bei der zuständigen Marktüberwachungsbehörde einen begründeten Antrag auf Durchführung eines technischen Tests des Hochrisiko-KI-Systems stellen. Die Marktüberwachungsbehörde hat den Test unter enger Einbeziehung der beantragenden Behörde innerhalb eines angemessenen Zeitraums durchzuführen (Art. 77 Abs. 3 KI-Verordnung).
