–

Österreichische Datenschutzbehörde ved A. Jelinek og M. Schmidl, som befuldmægtigede,

–

WK ved Rechtsanwalt M. Sommer,

–

Präsident des Nationalrates ved C. Neugebauer og R. Posnik, som befuldmægtigede,

–

den østrigske regering ved A. Posch, J. Schmoll, S. Dörnhöfer og C. Leeb, som befuldmægtigede,

–

den tjekkiske regering ved O. Serdula, M. Smolek og J. Vláčil, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 16, stk. 2, første punktum, TEUF samt artikel 2, stk. 2, litra a), artikel 51, stk. 1, artikel 55, stk. 1, og artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2

Denne anmodning er blevet indgivet i forbindelse med en tvist mellem Österreichische Datenschutzbehörde (databeskyttelsesmyndighed, Østrig) (herefter »Datenschutzbehörde«) og WK vedrørende den klage, som WK havde indgivet over en hævdet tilsidesættelse af sin ret til beskyttelse af personoplysninger.

3

16., 20. og 117. betragtning til databeskyttelsesforordningen har følgende ordlyd:

[...]

[...]

4

Databeskyttelsesforordningens artikel 2 med overskriften »Materielt anvendelsesområde« bestemmer:

»1.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.   Denne forordning gælder ikke for behandling af personoplysninger:

[...]

3.   [Europa-Parlamentets og Rådets f]orordning (EF) nr. 45/2001 [af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT 2001, L 8, s. 1)] finder anvendelse på behandling af personoplysninger, som Unionens institutioner, organer, kontorer og agenturer foretager. Forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse på sådan behandling af personoplysninger, tilpasses til principperne og bestemmelserne i nærværende forordning i overensstemmelse med artikel 98.

[...]«

5

Databeskyttelsesforordningens artikel 4 med overskriften »Definitioner« er affattet således:

»I denne forordning forstås ved:

[...]

[...]«

6

Databeskyttelsesforordningens artikel 23 med overskriften »Begrænsninger« bestemmer i stk. 1:

»EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

[...]

[...]«

7

Databeskyttelsesforordningens artikel 51 med overskriften »Tilsynsmyndighed« fastsætter i stk. 1:

»Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).«

8

Databeskyttelsesforordningens artikel 54, der har overskriften »Regler om oprettelse af en tilsynsmyndighed«, bestemmer i stk. 1:

»Hver medlemsstat fastsætter ved lov alle af følgende:

[...]«

9

Databeskyttelsesforordningens artikel 55 med overskriften »Kompetence« er affattet således:

»1.   Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.

2.   Hvis behandling foretages af offentlige myndigheder eller af private organer, der handler på grundlag af artikel 6, stk. 1, litra c) eller e), er tilsynsmyndigheden i den pågældende medlemsstat kompetent. I så fald finder artikel 56 ikke anvendelse.

3.   Tilsynsmyndigheder er ikke kompetente til at føre tilsyn med domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol.«

10

Databeskyttelsesforordningens artikel 77, der har overskriften »Ret til at indgive klage til en tilsynsmyndighed«, bestemmer følgende:

»1.   Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.

2.   Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.«

11

Artikel 53 i Bundes-Verfassungsgesetz (forbundsforfatningsloven), offentliggjort på ny den 2. januar 1930 (BGBl. 1/1930), i den affattelse, der finder anvendelse på de faktiske omstændigheder i hovedsagen (herefter »forbundsforfatningsloven«), fastsætter:

»(1) Nationalrat [(nationalrådet, Østrig)] kan beslutte at nedsætte undersøgelseskommissioner. Der skal desuden nedsættes en undersøgelseskommission, hvis en fjerdedel af rådets medlemmer anmoder herom.

(2) Undersøgelsens genstand er et afsluttet forhold på et område, der henhører under forbundsstatens udøvende myndighed. Dette omfatter alle aktiviteter, der udøves af de forbundsorganer, hvori forbundsstaten udøver rettigheder som følge af økonomiske interesser og tilsynsrettigheder, uanset hvor store interesser der er tale om. Undersøgelseskommissioner kan ikke efterprøve retspraksis.

(3) Alle organer under forbundsstaten, delstaterne, kommunerne og kommunesammenslutningerne og andre selvstyrende organer skal efter anmodning fremlægge deres sagsakter og dokumenter for en undersøgelseskommission, for så vidt som disse sagsakter og dokumenter er relevante for undersøgelsens genstand, og efterkomme en undersøgelseskommissions anmodning om bevisoptagelse i tilknytning til undersøgelsens genstand. Denne forpligtelse gælder ikke for fremlæggelse af sagsakter og dokumenter, hvis offentliggørelse kan skade kilder som omhandlet i artikel 52a, stk. 2.

(4) Forpligtelsen i stk. 3 finder ikke anvendelse, for så vidt som dette påvirker den retlige proces, der består i at fastlægge forbundsregeringens eller visse af dens medlemmers holdning, eller den umiddelbare forberedelse heraf.

[...]«

12

Forbundsforfatningsloven foreskriver adskillelse af den lovgivende, den udøvende og den dømmende magt. Ethvert indgreb i dette adskillelsesprincip kan kun ske med grundlag i forfatningen.

13

§ 1, stk. 1, i Datenschutzgesetz (lov om databeskyttelse) af 17. august 1999 (BGBl. I, 165/1999) i den affattelse, der finder anvendelse på de faktiske omstændigheder i hovedsagen (herefter »databeskyttelsesloven«), bestemmer:

»Enhver har navnlig under hensyn til respekten for privatliv og familieliv ret til fortrolig behandling af personoplysninger, der vedrører den pågældende, forudsat at vedkommende har en beskyttelsesværdig interesse. En sådan interesse er udelukket, når oplysningerne som følge af, at de er frit tilgængelige for offentligheden, eller at det er umuligt at finde frem til den registrerede på grundlag af disse oplysninger, ikke kan begrunde et krav om fortrolig behandling.«

14

Databeskyttelseslovens § 18, stk. 1, har følgende ordlyd:

»Datenschutzbehörde oprettes som national tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 51.«

15

Databeskyttelseslovens § 24, stk. 1, er affattet som følger:

»Enhver registreret har ret til at indgive klage til Datenschutzbehörde, hvis vedkommende finder, at behandlingen af personoplysninger vedrørende vedkommende udgør en tilsidesættelse af databeskyttelsesforordningen eller af § 1 eller kapitel 1 i artikel 2.«

16

Databeskyttelseslovens § 35 fastsætter:

»(1) Datenschutzbehörde skal sikre databeskyttelsen i henhold til bestemmelserne i databeskyttelsesforordningen og i denne forbundslov.

(2) Datenschutzbehörde udøver ligeledes sine beføjelser over for de øverste udøvende organer som omhandlet i forbundsforfatningslovens artikel 19 og over for de øverste organer i overensstemmelse med forbundsforfatningslovens artikel 30, stk. 3-6, artikel 125, artikel 134, stk. 8, og artikel 148h, stk. 1 og 2, for så vidt angår administrative spørgsmål, der henhører under deres kompetence.«

17

Ved afgørelse af 20. april 2018 nedsatte nationalrådet i overensstemmelse med forbundsforfatningslovens artikel 53 en undersøgelseskommission, der fik til opgave at undersøge, om Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (forbundskontor til beskyttelse af forfatningen og bekæmpelse af terrorisme, Østrig) (herefter »forbundskontoret«), som den 1. december 2021 blev efterfulgt af Direktion Staatsschutz und Nachrichtendienst (direktorat for statens sikkerhed og efterretningstjenester, Østrig), var blevet udsat for politisk påvirkning.

18

Den 19. september 2018 blev WK hørt som vidne af denne undersøgelseskommission (herefter »undersøgelseskommissionen vedrørende forbundskontoret«) i forbindelse med en høring, hvortil repræsentanter fra medierne havde adgang. Til trods for WK’s anmodning om anonymitet blev referatet af denne høring, hvori WK’s fulde for- og efternavn var nævnt, offentliggjort på Parlament Österreichs (det østrigske parlament) websted.

19

Den 2. april 2019 indgav WK en klage til Datenschutzbehörde, hvori han gjorde gældende, at offentliggørelsen mod hans vilje af referatet af den nævnte høring med angivelse af hans identitet var i strid med databeskyttelsesforordningens bestemmelser og med databeskyttelseslovens § 1. Han anførte til støtte for sin klage, at han arbejdede som betjent under dække i politiets indsatsgruppe for bekæmpelse af kriminalitet på offentlig vej.

20

Ved afgørelse af 18. september 2019 afslog Datenschutzbehörde klagen. Denne myndighed fandt, at selv om databeskyttelsesforordningen i princippet ikke var til hinder for, at tilsynsmyndigheder kunne foretage kontrol af lovgivende organer, var det i henhold til princippet om magtadskillelse ikke desto mindre udelukket, at den lovgivende magt kunne underlægges den udøvende magts kontrol. Under disse omstændigheder, og for så vidt som undersøgelseskommissionen vedrørende forbundskontoret henhører under den lovgivende magt, var Datenschutzbehörde, som er et organ under den udøvende magt, ikke beføjet til at føre tilsyn med undersøgelseskommissionens virksomhed og havde derfor ikke kompetence til at træffe afgørelse om WK’s klage.

21

Ved afgørelse af 23. november 2020 gav Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Østrig) WK medhold i det af ham anlagte søgsmål og annullerede Datenschutzbehördes afgørelse. Denne domstol fastslog nærmere bestemt, at databeskyttelsesforordningen finder anvendelse på lovgivers handlinger og dermed på de handlinger, der udføres af undersøgelseskommissionen vedrørende forbundskontoret. Databeskyttelsesforordningens materielle anvendelsesområde, således som dette er defineret i denne forordnings artikel 2, stk. 1, er nemlig udtømmende og omfatter enhver behandling af oplysninger, uanset hvilken enhed der foretager behandlingen, og hvilken statslig funktion denne enhed henhører under. I øvrigt var det af databeskyttelsesforordningens artikel 2, stk. 2, desuden ikke muligt at udlede en undtagelse fra anvendelsen af denne forordning i forhold til visse statslige funktioner, såsom den lovgivende funktion, idet den undtagelse, der er fastsat i denne bestemmelses litra a), skal fortolkes strengt. Ifølge Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager) havde Datenschutzbehörde således kompetence til at træffe afgørelse om WK’s klage i overensstemmelse med den nævnte forordnings artikel 77.

22

Datenschutzbehörde har iværksat revisionsanke til prøvelse af Bundesverwaltungsgerichts (forbundsdomstol i forvaltningsretlige sager) afgørelse ved Verwaltungsgerichtshof (forvaltningsdomstol, Østrig), der er den forelæggende ret i den foreliggende sag, og som nærmere bestemt for det første ønsker oplyst, om de handlinger, der udøves af en undersøgelseskommission, som er nedsat af en medlemsstats parlament, helt uafhængigt af undersøgelsens genstand er udelukket fra anvendelsesområdet for databeskyttelsesforordningen i medfør af denne forordnings artikel 2, stk. 2, litra a), og artikel 16, stk. 2, første punktum, TEUF med den begrundelse, at de aktiviteter, der udøves af en sådan undersøgelseskommission, som følge af deres art udgør en aktivitet, der ikke er omfattet af EU-rettens anvendelsesområde.

23

I denne forbindelse har den forelæggende ret først anført, at det i overensstemmelse med Domstolens praksis på området, således som det bl.a. følger af dom af 9. juli 2020, Land Hessen (C-272/19, EU:C:2020:535), ikke med henblik på anvendelsen af databeskyttelsesforordningen kan kræves, at behandlingen af personoplysninger konkret foretages til formål, der henhører under EU-retten, uanset om der er tale om en grænseoverskridende behandling, eller om den konkret og direkte påvirker den frie bevægelighed mellem medlemsstaterne. Anvendelsen af denne forordning er derimod kun udelukket, hvis mindst en af betingelserne for anvendelse af undtagelsen i den nævnte forordnings artikel 2, stk. 2, litra a)-d), er opfyldt.

24

I denne henseende har den forelæggende ret henvist til, at det af Domstolens praksis fremgår, at databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning til denne forordning, skal anses for alene at have til formål at udelukke statslige myndigheders behandling af personoplysninger under udøvelse af en aktivitet, som tilsigter at beskytte statens sikkerhed, eller en aktivitet, som kan henføres til samme kategori, fra anvendelsesområdet for den nævnte forordning. De aktiviteter, som har til formål at beskytte statens sikkerhed, og som er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a), omfatter navnlig de aktiviteter, hvis formål er at beskytte centrale statslige funktioner og samfundets grundlæggende interesser (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 62-67 og den deri nævnte retspraksis).

25

Endvidere har den forelæggende ret fremhævet visse forskelle mellem det parlamentariske udvalg, der var genstand for den sag, som gav anledning til dom af 9. juli 2020, Land Hessen (C-272/19, EU:C:2020:535), nemlig udvalget for andragender ved parlamentet i Hessischer Landtag (delstaten Hessen, Tyskland) og undersøgelseskommissionen vedrørende forbundskontoret. Navnlig bidrager sidstnævntes arbejde ikke kun indirekte til den parlamentariske virksomhed, men er kernen i denne virksomhed som følge af den kontrolopgave, som de undersøgelseskommissioner, der nedsættes af nationalrådet, er tillagt ved forbundsforfatningsloven.

26

Endelig har den forelæggende ret henvist til princippet om adskillelse af den lovgivende, den udøvende og den dømmende magt, som er et princip, der er uløseligt forbundet med såvel de enkelte medlemsstaters lovgivning som EU-retten. Ganske vist udelukker databeskyttelsesforordningens artikel 55, stk. 3, kun, at tilsynsmyndigheder kan føre tilsyn med den behandling af personoplysninger, som foretages af domstole, når disse handler i deres egenskab af domstole, og omfatter ikke behandling af oplysninger, der foretages som et led i kernen i den parlamentariske virksomhed. Denne tavshed kan imidlertid forklares ved den omstændighed, at denne virksomhed efter EU-lovgivers opfattelse allerede falder uden for den nævnte forordnings anvendelsesområde i medfør af forordningens artikel 2, stk. 2, litra a).

27

For det andet har den forelæggende ret fremhævet, at genstanden for den undersøgelse, der foretages af undersøgelseskommissionen vedrørende forbundskontoret, vedrører statslige sikkerhedsaktiviteter, som, henset til 16. betragtning til databeskyttelsesforordningen, ikke er omfattet af EU-rettens anvendelsesområde og derfor er udelukket fra denne forordnings materielle anvendelsesområde i overensstemmelse med dens artikel 2, stk. 2, litra a).

28

Såfremt det antages, at den parlamentariske kontrol, som en undersøgelseskommission foretager, i princippet er omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, TEUF, skal det således desuden efterprøves, om denne kommissions aktiviteter i det mindste er omfattet af undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a), henset til den omstændighed, at undersøgelsens genstand vedrører den udøvende magts aktiviteter, der som i det foreliggende tilfælde ikke er omfattet af EU-rettens anvendelsesområde.

29

For det tredje ønsker den forelæggende ret oplyst, om Datenschutzbehörde, som er den eneste nationale tilsynsmyndighed som omhandlet i databeskyttelsesforordningens artikel 51, henset til bl.a. det forfatningsmæssige princip om magtadskillelse i Østrig, alene på grundlag af denne forordning har kompetence til at træffe afgørelse om en klage som den, WK har indgivet, når der ikke på nogen måde eksisterer et forfatningsmæssigt grundlag i national ret, der gør det muligt at fastslå en sådan kompetence.

30

Under disse omstændigheder har Verwaltungsgerichtshof (forvaltningsdomstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

Såfremt spørgsmål 1 besvares bekræftende:

Såfremt spørgsmål 2 besvares benægtende:

31

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 16, stk. 2, første punktum, TEUF og databeskyttelsesforordningens artikel 2, stk. 2, litra a), skal fortolkes således, at en aktivitet alene af den grund, at den udøves af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, falder uden for EU-rettens anvendelsesområde og derfor ikke er omfattet af denne forordning.

32

Artikel 16 TEUF, der udgør retsgrundlaget for databeskyttelsesforordningen, bestemmer i stk. 2, at Europa-Parlamentet og Rådet for Den Europæiske Union fastsætter regler bl.a. for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten.

33

I overensstemmelse med denne bestemmelse indeholder databeskyttelsesforordningens artikel 2, stk. 1, en meget bred definition af denne forordnings materielle anvendelsesområde (dom 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 61). Det fremgår nemlig af denne forordning, at den »finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«.

34

Desuden fastsætter stk. 2 og 3 i databeskyttelsesforordningens artikel 2 udtømmende undtagelser til den regel, der definerer forordningens materielle anvendelsesområde i stk. 1. Navnlig præciseres det i den nævnte forordnings artikel 2, stk. 2, litra a), at forordningen ikke gælder for behandling af personoplysninger »under udøvelse af aktiviteter, der falder uden for EU-retten«.

35

I denne forbindelse er den forelæggende ret i tvivl om, hvorvidt en behandling af personoplysninger, der foretages inden for rammerne af den virksomhed, der udøves af en undersøgelseskommission, som er nedsat af en medlemsstats parlament under udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, under alle omstændigheder og uafhængigt af undersøgelsens genstand er omfattet af den undtagelse, der er fastsat i den sidstnævnte bestemmelse.

36

I denne henseende skal det erindres, at med forbehold af de tilfælde, der er nævnt i databeskyttelsesforordningens artikel 2, stk. 2 og 3, finder denne forordning anvendelse på behandlinger, der foretages såvel af private som af offentlige myndigheder (jf. i denne retning dom af 24.3.2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, præmis 25).

37

Det fremgår af Domstolens praksis, at den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, skal fortolkes strengt (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 62 og den deri nævnte retspraksis). I denne forbindelse har Domstolen allerede haft lejlighed til at præcisere, at denne forordnings artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning til denne forordning, skal anses for alene at have til formål at udelukke statslige myndigheders behandling af personoplysninger under udøvelse af en aktivitet, som tilsigter at beskytte statens sikkerhed, eller en aktivitet, som kan henføres til samme kategori, fra anvendelsesområdet for den nævnte forordning, hvorfor den omstændighed alene, at en aktivitet er statens eller en offentlig myndigheds, ikke er tilstrækkelig til, at denne undtagelse automatisk finder anvendelse på en sådan aktivitet (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 66, og af 20.10.2022, Koalitsia Demokratichna Bulgaria – Obedinenie, C-306/21, EU:C:2022:813, præmis 39).

38

Denne fortolkning, der allerede følger af den omstændighed, at databeskyttelsesforordningens artikel 2, stk. 1, ikke sondrer på grundlag af identiteten af den, der har foretaget den pågældende behandling, bekræftes af denne forordnings artikel 4, nr. 7), der definerer begrebet »dataansvarlig« som en henvisning til »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«.

39

Domstolen har netop i forbindelse med fortolkningen af denne sidstnævnte bestemmelse fastslået, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde (dom af 9.7.2020, Land Hessen, C-272/19, EU:C:2020:535, præmis 74).

40

Den omstændighed, som Präsident des Nationalrates (nationalrådets formand, Østrig) har anført, hvorefter undersøgelseskommissionen vedrørende forbundskontoret, der i modsætning til det udvalg for andragender, som var genstand for den sag, der gav anledning til dom af 9. juli 2020, Land Hessen (C-272/19, EU:C:2020:535), og som kun bidrog indirekte til den parlamentariske virksomhed, er et organ, hvis virksomhed direkte og udelukkende er af parlamentarisk karakter, indebærer ikke, at de aktiviteter, som denne undersøgelseskommission udfører, er udelukket fra databeskyttelsesforordningens anvendelsesområde.

41

Som generaladvokaten i det væsentlige har anført i punkt 84 i forslaget til afgørelse, henviser den undtagelse fra databeskyttelsesforordningens anvendelsesområde, der er fastsat i denne forordnings artikel 2, stk. 2, litra a), nemlig udelukkende til visse kategorier af aktiviteter, der som følge af deres art ikke er omfattet af EU-rettens anvendelsesområde, og ikke til kategorier af personer afhængigt af, om de er af privat eller offentligretlig karakter, eller, når den dataansvarlige er en offentlig myndighed, til den omstændighed, at denne myndigheds opgaver og funktioner henhører direkte og udelukkende under en given offentligretlig beføjelse, uden at denne beføjelse er forbundet med en aktivitet, der under alle omstændigheder ikke er omfattet af EU-rettens anvendelsesområde.

42

Den omstændighed, at behandlingen af personoplysninger foretages af en undersøgelseskommission, der er nedsat af en medlemsstats parlament under udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, gør det derfor ikke i sig selv muligt at godtgøre, at denne behandling foretages i forbindelse med en aktivitet, der ikke er omfattet af EU-rettens anvendelsesområde som omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a).

43

Henset til det ovenstående skal det første spørgsmål besvares med, at artikel 16, stk. 2, første punktum, TEUF og databeskyttelsesforordningens artikel 2, stk. 2, litra a), skal fortolkes således, at en aktivitet ikke kan anses for at falde uden for EU-rettens anvendelsesområde og dermed for ikke at være omfattet af denne forordning alene af den grund, at den udøves af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt.

44

Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning hertil, skal fortolkes således, at aktiviteter, der udføres af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med dette parlaments beføjelse til at kontrollere den udøvende magt, og som har til formål at undersøge en politimæssig efterretningstjenestes aktiviteter på grund af mistanke om, at denne efterretningstjeneste har været udsat for politisk påvirkning, ikke kan anses for aktiviteter vedrørende statens sikkerhed, som falder uden for EU-rettens anvendelsesområde som omhandlet i denne bestemmelse.

45

Som nævnt i denne doms præmis 37, skal databeskyttelsesforordningens artikel 2, stk. 2, litra a), fortolkes strengt og har udelukkende til formål at udelukke statslige myndigheders behandling af personoplysninger under udøvelse af en aktivitet, som tilsigter at beskytte statens sikkerhed, eller en aktivitet, som kan henføres til samme kategori, fra anvendelsesområdet for denne forordning.

46

De aktiviteter, som har til formål at beskytte statens sikkerhed, og som er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a), omfatter navnlig de aktiviteter, hvis formål er at beskytte centrale statslige funktioner og samfundets grundlæggende interesser (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 67, og af 20.10.2022, Koalitsia Demokratichna Bulgaria – Obedinenie, C-306/21, EU:C:2022:813, præmis 40).

47

I overensstemmelse med artikel 4, stk. 2, TEU forbliver sådanne aktiviteter den enkelte medlemsstats eneansvar (jf. i denne retning dom af 15.7.2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, præmis 36).

48

I det foreliggende tilfælde fremgår det af de sagsakter, som Domstolen råder over, at undersøgelseskommissionen vedrørende forbundskontoret blev nedsat af nationalrådet med henblik på at undersøge, om forbundskontoret, hvis opgave i den i hovedsagen omhandlede periode bestod i at sikre beskyttelsen af forfatningen og at bekæmpe terrorisme, eventuelt var blevet udsat for politisk påvirkning.

49

Nationalrådets formand og den tjekkiske regering er i det væsentlige af den opfattelse, at forbundskontorets opgaver omfatter »aktiviteter vedrørende statens sikkerhed«, hvorfor dets aktiviteter er omfattet af den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra a). De aktiviteter, der udføres af en undersøgelseskommission nedsat af en medlemsstats parlament, som består i at kontrollere statslige organer, der, således som det var tilfældet med forbundskontoret, har til opgave at varetage statens sikkerhed, er imidlertid også omfattet af begrebet aktiviteter vedrørende statens sikkerhed. Formålet med en sådan undersøgelseskommissions kontrolvirksomhed er nemlig at undersøge, om de kontrollerede myndigheder varetager statens sikkerhed på korrekt vis.

50

I denne henseende skal det bemærkes, at selv om det tilkommer medlemsstaterne i overensstemmelse med artikel 4, stk. 2, TEU at fastsætte deres væsentlige sikkerhedsinteresser og at træffe de nødvendige foranstaltninger til at opretholde deres indre og ydre sikkerhed, kan alene den omstændighed, at en national foranstaltning er blevet truffet med henblik på at beskytte den nationale sikkerhed, ikke medføre, at EU-retten ikke finder anvendelse, og fritage medlemsstaterne fra at sikre den nødvendige overholdelse af denne ret (jf. i denne retning dom af 15.7.2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, præmis 40 og den deri nævnte retspraksis).

51

Som det fremgår af denne doms præmis 41, henviser den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra a), imidlertid udelukkende til de kategorier af aktiviteter, der som følge af deres art ikke er omfattet af EU-rettens anvendelsesområde, og ikke til kategorier af personer afhængigt af, om de er af privat eller offentligretlig karakter, eller, når den dataansvarlige er en offentlig myndighed, til den omstændighed, at denne myndigheds opgaver og funktioner henhører direkte og udelukkende under en given offentligretlig beføjelse, uden at denne beføjelse er forbundet med en aktivitet, der under alle omstændigheder ikke er omfattet af EU-rettens anvendelsesområde. I denne henseende er den omstændighed, at den dataansvarlige er en offentlig myndighed, hvis hovedaktivitet er at varetage statens sikkerhed, ikke i sig selv tilstrækkelig til at udelukke den behandling af personoplysninger, som denne myndighed foretager i forbindelse med andre aktiviteter, som denne myndighed udfører, fra databeskyttelsesforordningens anvendelsesområde.

52

I det foreliggende tilfælde fremgår det af de sagsakter, som Domstolen råder over, at den i hovedsagen omhandlede undersøgelseskommission havde til formål at føre politisk kontrol med forbundskontorets virksomhed på grund af en mistanke om, at dette organ havde været udsat for politisk påvirkning, uden at denne kontrol som sådan synes at udgøre en aktivitet, der har til formål at beskytte statens sikkerhed, eller som kan henføres til den samme kategori som omhandlet i den retspraksis, der er nævnt i denne doms præmis 45. Det følger heraf, at denne aktivitet med forbehold for den forelæggende rets efterprøvelse ikke falder uden for databeskyttelsesforordningens anvendelsesområde i medfør af denne forordnings artikel 2, stk. 2, litra a).

53

Når dette er sagt, kan en parlamentarisk undersøgelseskommission som den i hovedsagen omhandlede i forbindelse med sit arbejde få adgang til oplysninger, navnlig personoplysninger, som af hensyn til statens sikkerhed skal nyde en særlig beskyttelse, der f.eks. består i at begrænse omfanget af de oplysninger, der gives til de registrerede med hensyn til indsamlingen af disse oplysninger eller disse personers adgang til de nævnte oplysninger.

54

I denne henseende bestemmer databeskyttelsesforordningens artikel 23, at der ved lovgivningsmæssige foranstaltninger kan fastsættes begrænsninger for de forpligtelser og rettigheder, der er fastsat i databeskyttelsesforordningens artikel 5, 12-22 og 34, bl.a. af hensyn til statens sikkerhed eller en kontrolopgave, der er forbundet med offentlig myndighedsudøvelse, navnlig i forbindelse med statens sikkerhed.

55

Kravet om beskyttelse af statens sikkerhed kan således begrunde begrænsninger ved lovgivningsmæssige foranstaltninger af de forpligtelser og rettigheder, der følger af databeskyttelsesforordningen, navnlig for så vidt angår indsamling af personoplysninger, underretning af de registrerede og disses adgang til de nævnte oplysninger eller videregivelse af disse oplysninger uden de registreredes samtykke til andre personer end den dataansvarlige, for så vidt som sådanne begrænsninger respekterer det væsentligste indhold af de registreredes grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund.

56

I det foreliggende tilfælde fremgår det imidlertid ikke af de sagsakter, som Domstolen råder over, at undersøgelseskommissionen vedrørende forbundskontoret hævdede, at den videregivelse af WK’s personoplysninger, der fandt sted i forbindelse med, at referatet af denne kommissions høring af WK blev offentliggjort på det østrigske parlaments websted uden denne persons samtykke, var nødvendig for at beskytte statens sikkerhed og var baseret på en national lovgivningsmæssig foranstaltning, der var fastsat med henblik herpå. Det påhviler imidlertid den forelæggende ret i givet fald at foretage den nødvendige efterprøvelse i denne henseende.

57

Henset til det ovenstående skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning hertil, skal fortolkes således, at aktiviteter, der udføres af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med dette parlaments beføjelse til at kontrollere den udøvende magt, og som har til formål at undersøge en politimæssig efterretningstjenestes aktiviteter på grund af mistanke om, at denne efterretningstjeneste har været udsat for politisk påvirkning, ikke som sådan kan anses for aktiviteter vedrørende statens sikkerhed, som falder uden for EU-rettens anvendelsesområde som omhandlet i denne bestemmelse.

58

Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 77, stk. 1, og artikel 55, stk. 1, skal fortolkes således, at disse bestemmelser, når en medlemsstat i overensstemmelse med denne forordnings artikel 51, stk. 1, har valgt at etablere en enkelt tilsynsmyndighed uden dog at tildele denne myndighed kompetence til at føre tilsyn med anvendelsen af databeskyttelsesforordningen ved en undersøgelseskommission, der er nedsat af denne medlemsstats parlament i forbindelse med udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, direkte tillægger denne myndighed kompetence til at behandle klager over den nævnte undersøgelseskommissions behandling af personoplysninger.

59

Med henblik på besvarelsen af dette spørgsmål skal det bemærkes, at en forordning i henhold til artikel 288, stk. 2, TEUF er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

60

Det fremgår af fast retspraksis, at denne bestemmelse og forordningernes karakter og funktion i det EU-retlige retskildesystem indebærer, at forordningers bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger (dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 110 og den deri nævnte retspraksis).

61

Imidlertid fremgår det af databeskyttelsesforordningens artikel 77, stk. 1, at enhver registreret har ret til at indgive klage til en tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning. Endvidere bestemmer den nævnte forordnings artikel 55, stk. 1, at hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.

62

Det fremgår af ordlyden af disse bestemmelser, således som generaladvokaten i det væsentlige har anført i punkt 132 i forslaget til afgørelse, at databeskyttelsesforordningens artikel 77, stk. 1, og artikel 55, stk. 1, ikke kræver, at der med henblik på deres gennemførelse vedtages nationale gennemførelsesforanstaltninger, og at de er tilstrækkeligt klare, præcise og ubetingede til at have direkte virkning.

63

Det følger heraf, at selv om databeskyttelsesforordningen i henhold til denne forordnings artikel 51, stk. 1, indrømmer medlemsstaterne en skønsmargen med hensyn til antallet af tilsynsmyndigheder, der skal oprettes, fastsætter den derimod rækkevidden af den kompetence, som disse myndigheder, uafhængigt af deres antal, skal tillægges med henblik på at kontrollere anvendelsen af denne forordning.

64

Som generaladvokaten i det væsentlige har anført i punkt 137 i forslaget til afgørelse, forholder det sig således, at i det tilfælde, hvor en medlemsstat vælger at oprette en enkelt tilsynsmyndighed, har denne nødvendigvis alle de beføjelser, som databeskyttelsesforordningen tillægger tilsynsmyndigheder.

65

Den modsatte fortolkning ville indebære, at databeskyttelsesforordningens artikel 55, stk. 1, og artikel 77, stk. 1, mister deres effektive virkning, og risikerer at svække den effektive virkning af alle andre bestemmelser i denne forordning, der kan have betydning for en klage.

66

Når EU-lovgiver har haft til hensigt at begrænse tilsynsmyndighedernes kompetence til at føre tilsyn med offentlige myndigheders behandlingsaktiviteter, har denne lovgiver i øvrigt udtrykkeligt gjort dette, således som det fremgår af databeskyttelsesforordningens artikel 55, stk. 3, hvorefter disse myndigheder ikke er kompetente til at føre tilsyn med domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol.

67

Datenschutzbehörde, nationalrådets formand og den østrigske regering har anført, at bestemmelser i østrigsk forfatningsret forbyder den udøvende magt på nogen måde at foretage kontrol af den lovgivende magt. Disse bestemmelser udelukker således muligheden for, at Datenschutzbehörde, som er underlagt den udøvende magt, kan føre tilsyn med, hvorledes undersøgelseskommissionen vedrørende forbundskontoret, som er et organ, der henhører under den lovgivende magt, anvender databeskyttelsesforordningen.

68

I det foreliggende tilfælde er det imidlertid netop under overholdelse af medlemsstaternes forfatningsmæssige struktur, at databeskyttelsesforordningens artikel 51, stk. 1, begrænser sig til at kræve, at medlemsstaterne opretter mindst én tilsynsmyndighed samtidig med, at de gives mulighed for at oprette flere myndigheder. I øvrigt præciseres det i 117. betragtning til denne forordning, at medlemsstaterne bør kunne oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur.

69

Databeskyttelsesforordningens artikel 51, stk. 1, indrømmer således hver medlemsstat en skønsmargen, der gør det muligt for den at oprette så mange tilsynsmyndigheder, som det måtte være nødvendigt navnlig af hensyn til de krav, der følger af medlemsstatens forfatningsmæssige struktur.

70

Endvidere skal det bemærkes, at den omstændighed, at en medlemsstat påberåber sig bestemmelser i national ret ikke må være til skade for EU-rettens enhed og effektivitet. De virkninger, der er knyttet til princippet om EU-rettens forrang, er nemlig bindende for alle organer i en medlemsstat, uden at navnlig de interne bestemmelser, herunder forfatningsbestemmelser, kan være til hinder herfor (dom af 22.2.2022, RS (Virkningen af domme afsagt af en forfatningsdomstol), C-430/21, EU:C:2022:99, præmis 51 og den deri nævnte retspraksis).

71

Når en medlemsstat inden for rammerne af sin skønsmargen har valgt at oprette en enkelt tilsynsmyndighed, kan den ikke påberåbe sig bestemmelser i national ret, selv hvis der er tale om forfatningsbestemmelser, med henblik på at undtage behandlinger af personoplysninger, der er omfattet af databeskyttelsesforordningens anvendelsesområde, fra denne myndigheds tilsyn.

72

Henset til det ovenstående skal det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 77, stk. 1, og artikel 55, stk. 1, skal fortolkes således, at disse bestemmelser, når en medlemsstat i overensstemmelse med denne forordnings artikel 51, stk. 1, har valgt at etablere en enkelt tilsynsmyndighed uden dog at tildele denne myndighed kompetence til at føre tilsyn med anvendelsen af databeskyttelsesforordningen ved en undersøgelseskommission, der er nedsat af denne medlemsstats parlament i forbindelse med udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, direkte tillægger denne myndighed kompetence til at behandle klager over den nævnte undersøgelseskommissions behandling af personoplysninger.

73

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret: