1.

Omfattas arbete som utförs av en utredningskommitté som har inrättats av en medlemsstats parlament av tillämpningsområdet för förordning (EU) 2016/679, ( 2 ) inbegripet när utredningen rör frågor som avser den nationella säkerheten? Om denna fråga ska besvaras jakande, kan då den allmänna dataskyddsförordningens bestämmelser om rätten till klagomål vid en nationell tillsynsmyndighet tillämpas direkt, trots en konstitutionell princip som utgör hinder för yttre inblandning i parlamentets verksamhet? Detta är i ett nötskal de frågor som Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) har ställt i förevarande mål.

2.

Jag kommer att föreslå att dessa frågor ska besvaras jakande, i enlighet med EU-domstolens praxis. Enligt min mening överensstämmer en sådan lösning inte endast med avsikten hos unionslagstiftaren, som upprättade den allmänna dataskyddsförordningen som en verklig lex generalis inom området för skydd av personuppgifter, utan även med de skäl som ligger till grund för bestämmelserna i artikel 16 FEUF, vars tillämpningsområde omfattar medlemsstaternas kontrollverksamhet av det slag som avses i det nationella målet.

3.

I förevarande fall hördes en kriminalpolis, WK (nedan kallad den registrerade), av en utredningskommitté vid det österrikiska parlamentet rörande husrannsakningar som hade gjorts i lokalerna tillhörande Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (den federala myndigheten för författningsskydd och bekämpning av terrorism, Österrike) (nedan kallad BVT). Förhörsprotokollet publicerades därefter på det österrikiska parlamentets webbplats, varvid den registrerades efternamn och förnamn angavs med motiveringen att pressen redan hade avslöjat hans identitet.

4.

Eftersom den registrerade ansåg att hans rätt till konfidentialitet för personuppgifter inte hade respekterats, lämnade han in ett klagomål till Österreichische Datenschutzbehörde (den nationella dataskyddsmyndigheten, Österrike) (nedan kallad Datenschutzbehörde) i enlighet med artikel 77.1 i den allmänna dataskyddsförordningen, vilket dock inte prövades i sak. Med hänsyn till maktdelningsprincipen, som stadfästs i österrikisk rätt, ansåg Datenschutzbehörde att den inte var behörig, eftersom dess kontrollbefogenhet i förevarande fall hindrades av de parlamentariska organens konstitutionella oberoende.

5.

Under dessa omständigheter ingav den registrerade ett överklagande, vars utgång är beroende av svaren på de frågor som har ställts till EU-domstolen. Dessa frågor avser i huvudsak det materiella tillämpningsområdet för och den direkta effekten av de relevanta bestämmelser i den allmänna dataskyddsförordningen som återges nedan.

6.

I skälen 16, 20 och 117 i den allmänna dataskyddsförordningen anges följande:

…

…

7.

Artikel 2 i den allmänna dataskyddsförordningen, med rubriken ”Materiellt tillämpningsområde”, har följande lydelse:

”1.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Denna förordning ska inte tillämpas på behandling av personuppgifter som

…”

8.

I artikel 23.1 i den allmänna dataskyddsförordningen, med rubriken ”Begränsningar”, föreskrivs följande:

”Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

…

…”

9.

Artikel 51.1 i den allmänna dataskyddsförordningen, med rubriken ”Tillsynsmyndighet”, har följande lydelse:

”1.Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”

10.

Artikel 55 i den allmänna dataskyddsförordningen, med rubriken ”Behörighet”, har följande lydelse:

”1.   Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.

…

3.   Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.”

11.

I artikel 77.1 i den allmänna dataskyddsförordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:

”Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet …”

12.

I artikel 53 i Bundes-Verfassungsgesetz (den federala grundlagen) av den 2 januari 1930 (BGBl. 1/1930), i dess lydelse av den 30 december 2021 (BGBl. I 235/2021), föreskrivs följande:

”1) Nationalrådet kan genom beslut inrätta utredningskommittéer. En utredningskommitté ska dessutom inrättas om en fjärdedel av nationalrådets medlemmar begär det.

2) Utredningen ska röra en verksamhet inom ett område som omfattas av den verkställande makten på federal nivå. Detta inbegriper all verksamhet inom de federala organ genom vilka förbundsrepubliken, oavsett betydelsen av dess medverkan, utövar rätten till medverkan och tillsyn. Kontroll av rättspraxis är uteslutet.

3) Alla federala organ, delstatsorgan, kommunala organ och organ inrättade av grupper av kommuner samt andra självständiga organ ska på begäran inkomma med sina ärendeakter och handlingar till en utredningskommitté, i den mån de omfattas av föremålet för utredningen, och är skyldiga att efterkomma en utredningskommittés begäranden som syftar till att samla in bevisning i samband med föremålet för utredningen. …

…”

13.

18 § punkt 1 i Datenschutzgesetz (dataskyddslagen) av den 17 augusti 1999 (BGBl. I 165/1999), i dess lydelse av den 26 juli 2021 (BGBl. I 148/2021) (nedan kallad DSG), med rubriken ”Organisation”, har följande lydelse:

”1) Datenschutzbehörde ska inrättas som nationell tillsynsmyndighet i enlighet med artikel 51 i [den allmänna dataskyddsförordningen].”

14.

24 § DSG, med rubriken ”Klagomål till Datenschutzbehörde”, har följande lydelse:

”1) Varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot den allmänna dataskyddsförordningen ska ha rätt att lämna in ett klagomål till Datenschutzbehörde …”

15.

I 35 §, DSG med rubriken ”Kontrollmyndighetens befogenheter avseende personuppgifter”, föreskrivs följande i punkt 1:

”Datenschutzbehörde ska ha i uppdrag att säkerställa skyddet av personuppgifter i enlighet med bestämmelserna i den allmänna dataskyddsförordningen och denna federala lag.”

16.

Den 20 april 2018 inrättade underhuset i det österrikiska parlamentet en utredningskommitté med ansvar för att granska den påverkan som ska ha utövats på BVT i syfte att utnyttja dess verksamhet. De påståenden som framförts av de parlamentsledamöter som låg bakom begäran om utredning rörde särskilt maktmissbruk som utövats av BVT:s tjänstemän, rykten om att avlyssningsutrustning hade installerats i kontoren vid förbundskanslerns kansli, presumerat utnyttjande av utredningar riktade mot vissa extremistiska rörelser samt politiskt inspirerade utnämningar vid BVT och i ministerkabinetten.

17.

Den 19 september 2018 hördes den registrerade som vittne av utredningskommittén. I egenskap av kommissarie vid en rotel vid den federala polisen med ansvar för brottsbekämpning utfrågades han om de husrannsakningar och beslag av uppgifter som hans enhet hade gjort i BVT:s lokaler och hemma hos BVT:s anställda.

18.

Trots den praxis som tillämpades med avseende på vissa andra vittnen och trots den begäran om anonymisering som den registrerade hade lämnat in avslöjade utredningskommittén hans identitet genom att på det österrikiska parlamentets webbplats publicera förhörsprotokollet i dess helhet.

19.

Det klagomål som den registrerade lämnade in till Datenschutzbehörde i enlighet med artikel 77.1 i den allmänna dataskyddsförordningen avslogs, eftersom Datenschutzbehörde ansåg att den inte var behörig. I sitt beslut av den 18 september 2019 gjorde denna myndighet gällande att maktdelningsprincipen hindrade den från att blanda sig i ett parlamentariskt organs arbete.

20.

Det överklagande som den registrerade ingav mot beslutet av den 18 september 2019 bifölls av Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike) genom dom av den 23 november 2020. Denna domstol ogiltigförklarade Datenschutzbehördes beslut med motiveringen att det inte föreskrivs något undantag i den allmänna dataskyddsförordningens bestämmelser som kan begränsa förordningens tillämpningsområde med avseende på den lagstiftande maktens organ.

21.

Datenschutzbehörde överklagade denna dom till Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike), som vill få klarhet i huruvida bestämmelserna i den allmänna dataskyddsförordningen kan tillämpas i det nationella målet.

22.

För det första – och oberoende av föremålet för utredningen i det nationella målet – vill den hänskjutande domstolen få klarhet i huruvida en parlamentarisk utredningskommittés verksamhet ”omfattas av unionsrättens tillämpningsområde” i den mening som avses i artikel 16.2 FEUF. I denna bestämmelse fastställs att Europaparlamentet och rådet har befogenhet att fastställa bestämmelser om den behandling av personuppgifter som medlemsstaterna utför.

23.

Eftersom unionens befogenheter begränsas av principen om tilldelade befogenheter, vill den hänskjutande domstolen få klarhet i huruvida den allmänna dataskyddsförordningen är avsedd att tillämpas på verksamhet som utövas av ett parlamentariskt organ som har inrättats för politisk kontroll, eftersom sådan verksamhet inte verkar regleras av någon särskild bestämmelse i unionsrätten.

24.

Den hänskjutande domstolen, som är angelägen om att medlemsstaternas nationella identitet och väsentliga funktioner skyddas i enlighet med artikel 4.2 FEU, har dessutom påpekat att det skulle strida mot den maktdelningsprincip som stadfästs i den österrikiska grundlagen, om ett administrativt organ som Datenschutzbehörde blandade sig i parlamentets arbete.

25.

Mot bakgrund av domen i målet Land Hessen, ( 3 ) i vilken domstolen bekräftade att bestämmelserna i den allmänna dataskyddsförordningen var tillämpliga på arbetet i utskottet för framställningar i Hessens delstatsparlament, vill den hänskjutande domstolen slutligen få klarhet i huruvida det uppdrag som är ålagt sistnämnda utskott, vilket endast indirekt bidrar till parlamentets arbete, inte borde skiljas från det uppdrag som är ålagt en utredningskommitté. Enligt den hänskjutande domstolen befinner sig en sådan kommitté i centrum av parlamentets verksamhet och skulle därför kunna undantas från unionsrättens tillämpningsområde.

26.

För det andra vill den hänskjutande domstolen, för det fall att EU-domstolen skulle slå fast att bestämmelserna i den allmänna dataskyddsförordningen är avsedda att reglera verksamheten i utredningskommittéer, få klarhet i huruvida den kommitté som avses i det nationella målet emellertid borde undantas från dessa bestämmelser, eftersom föremålet för dess arbete har samband med aspekter som rör den nationella säkerheten.

27.

På denna punkt har den hänskjutande domstolen erinrat om att enligt skäl 16 i den allmänna dataskyddsförordningen är denna förordning inte tillämplig på ”verksamhet rörande nationell säkerhet”. Enligt den hänskjutande domstolen kan detta vara fallet med utredningen om politiska påtryckningar mot BVT, som är ett federalt organ som ansvarar för att skydda statens väsentliga funktioner.

28.

För det tredje vill den hänskjutande domstolen, för det fall att domstolen skulle slå fast att bestämmelserna i den allmänna dataskyddsförordningen trots allt ska tillämpas i förevarande fall, få klarhet i huruvida denna förordning är direkt tillämplig.

29.

I avsaknad av ett lämpligt undantag av konstitutionell karaktär begränsas Datenschutzbehördes behörighet nämligen av den maktdelningsprincipen som föreskrivs i österrikisk rätt. Den hänskjutande domstolen vill därför få klarhet i huruvida denna myndighets befogenheter med avseende på det österrikiska parlamentets organ kan följa direkt av bestämmelserna i artikel 77.1 i förening med artikel 55.1 i den allmänna dataskyddsförordningen, då den nationella lagstiftaren har inrättat en enda kontrollmyndighet i enlighet med artikel 51.1 i nämnda förordning.

30.

Mot denna bakgrund beslutade Verwaltungsgerichtshof (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

Om fråga 1 besvaras jakande:

Om fråga 2 besvaras nekande:

31.

Skriftliga yttranden har inkommit från den registrerade, Präsident des Nationalrates (nationalrådets talman, Österrike), Datenschutzbehörde, den österrikiska och den tjeckiska regeringen och Europeiska kommissionen. Samtliga dessa närvarade vid förhandlingen den 6 mars 2023.

32.

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida arbetet i en utredningskommitté som en medlemsstats parlament har inrättat i syfte att utöva sin befogenhet att kontrollera den verkställande makten omfattas av unionsrättens tillämpningsområde i den mening som avses i artikel 16.2 första meningen FEUF.

33.

För det första beror svaret på denna fråga på tolkningen av begreppet ”verksamhet som omfattas av unionsrättens tillämpningsområde” i artikel 16.2 första meningen FEUF. Negativt formulerat används detta begrepp även i artikel 2.2 a i den allmänna dataskyddsförordningen, enligt vilken denna förordning inte ska tillämpas på ”verksamhet som inte omfattas av unionsrätten”. Dessa respektive bestämmelser avgränsar unionsorganens befogenhet att fastställa bestämmelser om skydd av personuppgifter och den allmänna dataskyddsförordningens materiella tillämpningsområde.

34.

För det andra beror svaret på den första frågan även på hur verksamheten i parlamentariska utredningskommittéer ska kvalificeras med hänsyn till ovannämnda bestämmelser i EUF-fördraget och den allmänna dataskyddsförordningen.

35.

Som jag försökte visa i mitt förslag i ett annat mål ( 4 ) är detta begrepp inte helt otvetydigt, eftersom det kan tolkas på två olika sätt. Med beaktande av den diskussion som tolkningen av det har gett upphov till i förevarande mål, och detta trots domstolens fasta praxis, ( 5 ) anser jag att det är nödvändigt att uttömmande redogöra för orsakerna till utvecklingen av rättspraxisen på området.

36.

Den första av de möjliga tolkningarna av ”unionsrättens tillämpningsområde” kan betecknas som konkretiserande, i den meningen att den innebär att frågan ska ställas huruvida en given verksamhet regleras av en särskild bestämmelse i unionsrätten.

37.

Denna tolkning motsvarar begreppet ”tillämpning av unionsrätten”, vilket avgränsar tillämpningsområdet för Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). Detta begrepp har i domstolens praxis, inom ett annat område än skydd av personuppgifter, likställts med ”unionsrättens tillämpningsområde”. ( 6 )

38.

Det är denna tolkning som den hänskjutande domstolen stöder sig på i sin begäran om förhandsavgörande, när den påpekar att verksamheten i parlamentariska utredningskommittéer uteslutande regleras av nationell rätt, vilket har föranlett den att tvivla på huruvida den allmänna dataskyddsförordningen ska tillämpas i det nationella målet.

39.

Det är även denna tolkning som generaladvokaten Tizzano stödde sig på i sina förslag till avgörande i de förenade målen Österreichischer Rundfunk m.fl. ( 7 ) och målet Lindqvist ( 8 ) avseende direktiv 95/46/EG, ( 9 ) vilka domstolen dock inte följde.

40.

Det ska erinras om att direktiv 95/46 antogs på grundval av före detta artikel 100a i EG‑fördraget, som blev artikel 95 EG och därefter artikel 114 FEUF, i samband med åtgärder som rörde upprättandet av den inre marknaden och dess funktion. Detta direktiv, som syftade till att säkerställa det fria flödet av och en likvärdig skyddsnivå för personuppgifter inom unionen, var enligt artikel 3.2 i direktivet inte tillämpligt på verksamhet som ”inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet … och statens verksamhet på straffrättens område”, och inte heller på behandling av personuppgifter som utfördes ”av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll”.

41.

Mot bakgrund av dessa bestämmelser drog generaladvokaten Tizzano slutsatsen att direktiv 95/46 inte kunde tillämpas i de förenade målen Österreichischer Rundfunk m.fl. ( 10 ) I samband med behandlingen av uppgifter om lön som betalades ut av offentligrättsliga subjekt, vilka var avsedda att användas i en rapport från den österrikiska revisionsrätten till parlamentet, ansåg han således att revisionsrätten utövade en ”(till och med i grundlag föreskriven) offentlig tillsynsverksamhet som de österrikiska myndigheterna reglerar på grundval av sitt eget självständiga institutionspolitiska val och inte i syfte att verkställa en gemenskapsrättslig skyldighet. Eftersom denna verksamhet inte är föremål för någon specifik gemenskapslagstiftning kan den inte annat än omfattas av medlemsstaternas behörighet.” ( 11 )

42.

Enligt samma tolkning i målet Lindqvist ansåg generaladvokaten Tizzano att den webbsida som hade skapats av Bodil Lindqvist inom ramen för hennes oavlönade verksamhet som ledare för konfirmander utgjorde en ”verksamhet som inte var av ekonomisk natur, helt saknar samband (i alla fall direkt sådant) med utövandet av de grundläggande friheter som säkerställs genom fördraget och inte är föremål för några särskilda bestämmelser på gemenskapsnivå”. ( 12 ) Enligt generaladvokaten omfattades denna verksamhet därför inte av gemenskapsrätten i den mening som avsågs i artikel 3.2 i direktiv 95/46.

43.

Domstolen följde inte dessa förslag till avgöranden, av orsaker som kan hänföras till viljan att säkerställa rättssäkerheten och nödvändigheten att säkerställa den ändamålsenliga verkan av direktiv 95/46.

44.

Med beaktande av särdragen hos personuppgifter, vilkas flöde och ekonomiska nyttjande underlättas genom digitaliseringen av dem, är det i praktiken mycket svårt att från fall till fall avgöra huruvida behandlingen av dem har ett samband med särskilda bestämmelser i unionsrätten eller med friheterna på den inre marknaden, såsom det krävs enligt en konkretiserande tolkning.

45.

För att återgå till målet Lindqvist ( 13 ) var det i praktiken svårt att avgöra huruvida funktionen hos en webbsida som var avsedd för en begränsad krets av församlingsmedlemmar hade ett konkret samband med bestämmelserna i direktiv 95/46 om det fria flödet av personuppgifter mellan medlemsstaterna på den inre marknaden. Svaret på denna fråga kunde bland annat bero på var de servrar som webbsidan fanns på var fysiskt lokaliserade. ( 14 )

46.

Det ska tilläggas att svårigheter av liknande slag riskerar att uppkomma, om den konkretiserande tolkningen skulle tillämpas i förevarande mål inom ramen för den allmänna dataskyddsförordningen.

47.

Som exempel är det svårt att med precision avgöra i vilken mån verksamhet som utövas av vissa personuppgiftsansvariga – såsom kyrkor eller religiösa samfund, vilka uttryckligen anges i denna förordning ( 15 ) – faktiskt omfattas av särskilda bestämmelser i unionsrätten. ( 16 ) Samma fråga kan ställas när det gäller icke-vinstdrivande organ som inte utövar någon ekonomisk verksamhet. Det resulterar i en rättsosäkerhet vad gäller den allmänna dataskyddsförordningens tillämpningsområde.

48.

Med hänsyn till sådana svårigheter underkände domstolen en konkretiserande tolkning av ”gemenskapsrättens tillämpningsområde” inom ramen för direktiv 95/46. I domen i målen Österreichischer Rundfunk m.fl. ( 17 ) och domen i målet Lindqvist ( 18 ) slog den fast att ”[e]ftersom alla personuppgifter kan cirkulera mellan medlemsstaterna krävs enligt direktiv 95/46 i princip att reglerna om skydd för sådana uppgifter vid all sådan behandling av dessa som avses i artikel 3 i direktivet i fråga iakttas. … Vid sådant förhållande beror inte tillämpligheten av direktiv 95/46 på huruvida det i de konkreta situationer som är i fråga … finns ett tillräckligt samband med utövandet av de grundläggande friheter som garanteras i fördraget …. Motsatt tolkning skulle nämligen innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte, vilket är tillnärmning av bestämmelser i medlemsstaternas lagar och andra författningar i syfte att undanröja de hinder för att den inre marknaden skall fungera som följer just av att det föreligger skillnader mellan de olika nationella lagstiftningarna.” ( 19 )

49.

Det är därför som en ”generaliserande” tolkning av direktiv 95/46 har tillämpats i domstolens praxis.

50.

Denna tolkning innebär att all verksamhet som kan omfattas av unionsrättens tillämpningsområde hänförs till det och att sådan verksamhet således inte undantas från tillämpningsområdet på grund av medlemsstaternas exklusiva befogenheter.

51.

Inom ramen för direktiv 95/46 föranledde denna tolkning domstolen att göra en restriktiv tolkning av undantaget för verksamhet som inte omfattades av gemenskapsrättens tillämpningsområde. I domen i målet Lindqvist slog domstolen således fast att ”de verksamheter som nämns som exempel i artikel 3.2 första strecksatsen i direktiv 95/46 är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori (ejusdem generis)”. ( 20 )

52.

Före Lissabonfördragets ikraftträdande ingick de verksamheter som omfattades av detta undantag – rörande allmän säkerhet, försvar, statens säkerhet, det straffrättsliga området och de områden som angavs i avdelningarna V och VI i fördraget om Europeiska unionen – i unionens andra och tredje pelare och hänfördes därför till det mellanstatliga samarbetet. Dessa verksamheter kunde således inte vara föremål för gemenskapslagstiftning, med beaktande av den befogenhetsfördelning mellan unionen och medlemsstaterna som vid den tiden föreskrevs i fördragen.

53.

Det är i detta sammanhang som undantaget för ”verksamhet som inte omfattas av gemenskapsrätten” i artikel 3.2 första strecksatsen i direktiv 95/46 ska förstås. Tillämpningsområdet för den allmänna dataskyddsförordningen har definierats i liknande termer.

54.

Enligt lydelsen i artikel 2.2 a i den allmänna dataskyddsförordningen är denna inte tillämplig på behandling av personuppgifter som ”a) utgör ett led i en verksamhet som inte omfattas av unionsrätten, b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget, c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”. Sistnämnda slag av behandling omfattas av bestämmelserna i direktiv (EU) 2016/680. ( 21 )

55.

Verksamhet som inte omfattas av unionsrätten utgörs, mot bakgrund av skäl 16 i den allmänna dataskyddsförordningen, bland annat av verksamhet rörande nationell säkerhet.

56.

Med hänvisning till samtliga dessa bestämmelser fastslog domstolen i domen i målet Land Hessen att det undantag som föreskrivs i artikel 2.2 a i den allmänna dataskyddsförordningen och som täcker ”verksamhet som inte omfattas av unionsrätten” ska tolkas restriktivt, vilket innebär att ”[d]en omständigheten att en verksamhet endast kan bedrivas av staten eller av en myndighet räcker … inte för att detta undantag automatiskt ska vara tillämpligt på en sådan verksamhet. Verksamheten måste ingå bland dem som uttryckligen nämns i nämnda bestämmelse eller som kan placeras i samma kategori som dessa”. ( 22 )

57.

Inget av de argument som har anförts i förevarande mål kan enligt min mening påverka denna tolkning.

58.

Framför allt skriver jag inte under på de argument som har grundats på principen om tilldelade befogenheter och som särskilt har åberopats av den hänskjutande domstolen och Präsident des Nationalrates (nationalrådets talman).

59.

Enligt principen om tilldelade befogenheter, som anges i artikel 5.2 FEU, ( 23 ) ska unionen endast ha de befogenheter som medlemsstaterna har tilldelat den i fördragen.

60.

Rent lexikaliskt är begreppet ”verksamhet som omfattas av unionsrättens tillämpningsområde” tvetydigt i detta hänseende. Vid första anblicken kan den generaliserande tolkning av detta begrepp som tillämpas i domstolens praxis förefalla tveksam, eftersom den innebär att all verksamhet som inte har undantagits från den allmänna dataskyddsförordningen omfattas av dess bestämmelser, vilket verkar strida mot den princip som det erinras om ovan.

61.

Av fast rättspraxis följer emellertid att vid tolkningen av en unionsbestämmelse ska inte bara lydelsen och ändamålen beaktas, utan också sammanhanget och unionsrättens samtliga bestämmelser. Även förberedelsearbetet inför antagandet av en unionsrättsbestämmelse kan ge relevanta upplysningar om tolkningen av densamma. ( 24 )

62.

Om man bortser från en bokstavstolkning, som jag anser är föga avgörande med hänsyn till den tvetydiga innebörden av ”unionsrättens tillämpningsområde”, talar en kontextuell ( 25 ) och teleologisk analys tydligt för en generaliserande tolkning av artikel 16.2 FEUF, vilket innebär att denna bestämmelses räckvidd sträcker sig utöver ”tillämpning av unionsrätten” i den mening som avses i artikel 51.1 i stadgan.

63.

Denna slutsats föranleds för det första med hänsyn till systematiken i EUF-fördraget och den särskilda plats som artikel 16.2 har i utformningen av detta fördrag.

64.

Artikeln i fråga ingår i avdelning II, med ”allmänna bestämmelser”, i EUF-fördragets första del. Av detta följer att fysiska personers rätt till skydd av personuppgifter, vilken stadfästs i denna bestämmelse, har en särskild vikt jämfört med de andra grundläggande rättigheter som fastställs i stadgan, vilken är bifogad fördraget.

65.

Mer konkret gör den prioriterade placeringen av artikel 16 FEUF i fördragets systematik att det ”tillämpningsområde” som avses i denna bestämmelse inte kan anses vara begränsat till enbart de situationer där medlemsstaterna ”tillämpar unionsrätten” i den mening som avses i artikel 51.1 i stadgan, vilket skulle motsvara den konkretiserande tolkning som angetts ovan.

66.

På denna punkt vill jag betona skillnaden i beskaffenhet mellan bestämmelserna i artikel 16.2 FEUF och bestämmelserna i stadgan.

67.

Enligt artikel 51.2 i stadgan medför stadgan inte ”någon ny befogenhet eller någon ny uppgift för unionen och ändrar heller inte de befogenheter och uppgifter som fastställs i fördragen”. Dess bestämmelser riktar sig till medlemsstaterna när dessa tillämpar unionsrätten inom de områden som redan omfattas av unionsrättens tillämpningsområde.

68.

Fallet är ett annat med artikel 16.2 FEUF, vars bestämmelser konstituerar och delegerar en lagstiftningsbefogenhet till unionen inom området för skydd av personuppgifter och för det fria flödet av personuppgifter, och för detta ändamål definierar ett särskilt tillämpningsområde, som grundar sig på bestämmelserna i direktiv 95/46, såsom det framgår av förberedelsearbetet till denna bestämmelse.

69.

För det andra framgår det tydligt av förarbetena till Lissabonfördraget att upphovsmännen till EUF-fördraget avsåg att bekräfta tillämpningsområdet för bestämmelserna om skydd av personuppgifter, såsom det hade definierats inom ramen för direktiv 95/46.

70.

Det ska härvid erinras om att lydelsen i artikel 16 FEUF har inspirerats direkt av utkastet till fördrag om upprättande av en konstitution för Europa, där det i artikel 36a.2 (som blev artikel 50.2 i den slutliga versionen av utkastet av den 18 juli 2003 ( 26 )) föreskrevs en befogenhet för parlamentet och rådet att anta ”bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter i unionens institutioner och organ och i medlemsstaterna när de utövar verksamhet som omfattas av unionsrätten samt om den fria rörligheten för sådana uppgifter”. ( 27 )

71.

Upphovsmännen förklarade att ”[u]tkastet till artikel 36a syftar till att skapa en enda rättslig grund för skydd av personuppgifter, såväl för institutionernas som för medlemsstaternas skydd av dessa uppgifter när de utövar verksamhet som omfattas av unionsrätten. Texten grundas på den nuvarande gemenskapsordningen, vilken följer av [direktiv 95/46] (grundat på artikel 95 i EG‑fördraget), när det gäller medlemsstaternas åtgärder …” ( 28 )

72.

Av detta följer helt klart att om begreppet ”unionsrätten” i artikel 2.2 a i den allmänna dataskyddsförordningen skulle tolkas så, att tillämpningen av denna förordning ska begränsas jämfört med direktiv 95/46, skulle detta gå emot medlemsstaternas vilja som uttrycks i EUF-fördraget.

73.

För det tredje ska teleologiska överväganden beaktas, vilka avser dynamiken hos och de särskilda målen med det skydd av personuppgifter med avseende på vilket den allmänna dataskyddsförordningen har antagits.

74.

Ur denna synvinkel råder det ingen tvekan om att unionslagstiftaren ville stärka detta skydd och befästa tillämpningsområdet för bestämmelserna om skydd av personuppgifter. Detta visas av att direktiv 95/46 avsiktligt ersattes med ett mer tvingande regelverk och framgår uttryckligen av lydelsen i skälen 9, 11 och 13 i den allmänna dataskyddsförordningen.

75.

De i så måtto avsedda målen följer av den särskilda karaktären hos företeelsen behandling av personuppgifter, vilken överskrider ramen för den verksamhet inom ramen för vilken dessa uppgifter kan samlas in.

76.

Nämnda verksamhet utgör för övrigt inte nödvändigtvis ekonomisk verksamhet, som redan omfattas av unionsrättens bestämmelser om den inre marknaden, vilket inte på något sätt minskar de insamlade personuppgifternas marknadsvärde och inte undanröjer riskerna i samband med behandlingen av dem.

77.

Problematiken kring personuppgifter är i detta hänseende av tvärgående natur, vilket innebär att bestämmelserna om skydd av personuppgifter inte kan begränsas till tillämpningsområdet för unionsrättens befintliga kategorier.

78.

Att ”unionsrättens tillämpningsområde” i artikel 16.2 FEUF går utöver den ”tillämpning av unionsrätten” som avses i artikel 51.1 i stadgan beror med andra ord på att problematiken i samband med behandling av personuppgifter är av en autonom natur och krävde en egen lagstiftningsåtgärd, vars räckvidd går utöver summan av de befintliga unionsrättsliga bestämmelserna. Den allmänna dataskyddsförordningens breda tillämpningsområde är således ett uttryck för viljan att genom antagandet av ett ”skräddarsytt” regelverk möta de utmaningar som skyddet av personuppgifter innebär.

79.

Med hänsyn till att de slutsatser som följer av en kontextuell och teleologisk analys av artikel 16.2 FEUF sammanfaller föreslår jag att domstolen bekräftar sin tidigare praxis ( 29 ) och tillämpar en restriktiv tolkning av undantaget avseende ”verksamhet som inte omfattas av unionsrätten” i artikel 2.2 a i den allmänna dataskyddsförordningen.

80.

Mot bakgrund av denna tolkning föreslår jag att domstolen ska bedöma huruvida denna förordning är tillämplig på arbetet i den parlamentariska utredningskommitté som avses i det nationella målet.

81.

En inledande anmärkning kan behövas beträffande det sätt på vilket den allmänna dataskyddsförordningens tillämpningsområde fastställs i de relevanta bestämmelserna i förordningen.

82.

Det ska betonas att de organisatoriska eller institutionella övervägandena, vilka avser beskaffenheten hos de organ eller personer som är ansvariga för behandlingen av personuppgifter, är av sekundär betydelse vid fastställandet av den allmänna dataskyddsförordningens tillämpningsområde.

83.

För det första grundar sig den allmänna dataskyddsförordningens tillämpningsområde på det materiella begreppet ”behandling” av personuppgifter i den mening som avses i artikel 2.1 i förordningen. Det organisatoriska begreppet ”personuppgiftsansvarig” i artikel 4.7 i den allmänna dataskyddsförordningen har i detta sammanhang endast en accessorisk karaktär, eftersom det i huvudsak grundar sig på det materiella begreppet behandling. Även om det i definitionen av personuppgiftsansvarig hänvisas till ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ”, innebär denna hänvisning att de organisatoriska kriterierna neutraliseras när det gäller förordningens tillämpning.

84.

För det andra, även om det i de bestämmelser som avgränsar den allmänna dataskyddsförordningens materiella tillämpningsområde, vilka ingår i artikel 2.2 i förordningen, hänvisas till vissa kategorier av personer eller organ, det vill säga medlemsstaterna, fysiska personer och behöriga myndigheter inom det straffrättsliga området, sker detta alltid i samband med verksamhet som är undantagen från tillämpningen av förordningen. Det är således inte personerna som sådana som undantas från tillämpningen av den allmänna dataskyddsförordningen, utan endast vissa av deras verksamheter.

85.

De institutionella kriteriernas sekundära betydelse bekräftas även av det sätt på vilket de partiella undantag fastställs vilka begränsar räckvidden av den allmänna dataskyddsförordningens särskilda bestämmelser. Som exempel ( 30 ) kan anges att även om domstolarna enligt artikel 55.3 i den allmänna dataskyddsförordningen inte omfattas av de nationella tillsynsmyndigheternas behörighet, gäller detta endast deras dömande verksamhet. Räckvidden av detta undantag bestäms således inte av domstolsorganens ställning, utan av verksamhetens särskilda natur.

86.

Eftersom den allmänna dataskyddsförordningen inte innehåller några bestämmelser som särskilt avser parlamentariska organ, följer av detta enligt min mening att det inte är de parlamentariska organens ställning i österrikisk rätt, utan naturen hos deras verksamhet som ska avgöra huruvida det är möjligt att tillämpa denna förordning.

87.

Mot bakgrund av alla de uppgifter som har lämnats in till domstolen anser jag att det uppdrag som denna kommitté har anförtrotts kan kvalificeras som offentlig kontrollverksamhet som innebär myndighetsutövning.

88.

Denna kvalificering framgår av själva lydelsen i den första och den andra tolkningsfrågan, vilka avser den verksamhet som utövas inom ramen för kontrollen av den verkställande makten. Enligt vad den hänskjutande domstolen har förklarat är ”[m]ålet med utredningskommittéer att sprida ljus över vissa frågor för politiska syften …. Det ankommer härvid på utredningskommittéerna att fullgöra sitt konstitutionsfästa kontrolluppdrag”. ( 31 )

89.

Denna kvalificering stöds av de skriftliga yttranden som har inkommit till domstolen. ( 32 )

90.

Av de förklaringar som Präsident des Nationalrates (nationalrådets talman, Österrike) tillhandahöll vid förhandlingen framgår det dessutom att utredningskommittén i fråga har vissa rättigheter i egenskap av offentlig myndighet, såsom rätten att kalla vittnen eller få tillgång till handlingar avseende föremålet för dess arbete, vilka är förenade med befogenheten att fastställa straffavgifter i avsikt att säkerställa utredningens genomförande.

91.

Viss förvirring verkar däremot enligt min mening föreligga när det gäller huruvida denna kommittés verksamhet är av lagstiftande natur, och vilka eventuella konsekvenser detta har för den allmänna dataskyddsförordningens tillämplighet.

92.

Präsident des Nationalrates (nationalrådets talman, Österrike) har i detta hänseende påpekat att ”[u]tredningskommittéer tillhör, såväl organisatoriskt som funktionellt, den lagstiftande makten. Åtgärder som vidtas av utredningskommittéer eller i deras namn faller således under statens lagstiftande funktion”. ( 33 ) Enligt detta organs åsikt följer av detta att ”[e]n utredningskommittés arbete ska således hänföras till kärnverksamheten på det lagstiftande området och omfattas, i egenskap av (kontroll)verksamhet av uteslutande parlamentarisk och politisk natur, av det undantag som föreskrivs i artikel 2.2 a i den allmänna dataskyddsförordningen”. ( 34 )

93.

Dessa påståenden föranleder tre kommentarer från min sida.

94.

För det första ska det betonas att oavsett huruvida utredningskommittéer eventuellt deltar i lagstiftningsarbetet är lagstiftande eller parlamentarisk verksamhet inte undantagen från den allmänna dataskyddsförordningens tillämpningsområde, ( 35 ) till skillnad från verksamhet som har samband med dömande funktioner, vilken omfattas av det partiella undantaget i artikel 55.3 i förordningen.

95.

På denna punkt betvivlar jag, i motsats till vissa av de som inkommit med yttranden, att detta undantag kan tolkas analogt, så att undantaget för dömande verksamhet utsträcks till de lagstiftande funktionerna. Om undantaget i artikel 55.3 i den allmänna dataskyddsförordningen skulle inspirera domstolens resonemang i förevarande mål, kan det tvärtom endast leda till en tolkning e contrario. Med hänsyn till den allmänna dataskyddsförordningens breda tillämpningsområde kan undantaget för dömande verksamhet inte tolkas extensivt.

96.

För det andra är det enligt min mening inte möjligt att på basen av någon av de uppgifter som har kommit till domstolens kännedom hävda att den ifrågavarande utredningskommitténs verksamhet har en lagstiftande funktion.

97.

Framför allt är utredningskommittén i fråga inte behörig att ta initiativ till lagstiftning och deltar inte på något annat sätt i det österrikiska parlamentets lagstiftningsarbete. Även om slutrapporten från utredningen kan tjäna som inspirationskälla för lagstiftaren, medför inte denna omständighet enligt min mening att dess verksamhet är av lagstiftande karaktär. Även arbete som utförs av vissa utomparlamentariska organ – såsom den österrikiska revisionsrätten, vars rapporter överlämnas till parlamentet – kan inspirera lagstiftaren, utan att det därför skulle vara frågan om att hänföra dem till utövandet av den lagstiftande makten.

98.

För det tredje påverkar institutionella överväganden, oavsett deras eventuella betydelse med hänsyn till österrikisk rätt, inte den allmänna dataskyddsförordningens tillämplighet, vilket innebär att den parlamentariska utredningskommitténs organisatoriska anknytning inte kan vara avgörande för svaret på den första tolkningsfrågan.

99.

Mot bakgrund av det ovan anförda måste frågan ställas huruvida offentlig kontrollverksamhet som utövas av en parlamentarisk utredningskommitté omfattas av den allmänna dataskyddsförordningens tillämpningsområde.

100.

Jag anser att denna fråga ska besvaras jakande, och detta av tre viktiga skäl.

101.

För det första omfattas den behandling av personuppgifter som utskottet i fråga utför av det materiella begreppet behandling, som definieras i artikel 2.1 i den allmänna dataskyddsförordningen. Denna kvalificering har inte bestritts av någon av de som har yttrat sig i förevarande mål.

102.

För det andra omfattas offentlig kontrollverksamhet av unionsrättens tillämpningsområde i den mening som avses i artikel 16.2 FEUF och artikel 2.2 a i den allmänna dataskyddsförordningen, såsom de har tolkats i domstolens praxis, bland annat eftersom ingen bestämmelse i förordningen undantar den från förordningens tillämpningsområde.

103.

Tvärtom avses kontrollverksamhet uttryckligen i artikel 23.1 h i den allmänna dataskyddsförordningen, där det föreskrivs en möjlighet att begränsa tillämpningsområdet för vissa rättigheter och skyldigheter som föreskrivs i denna förordning, när en sådan begränsning är nödvändig i syfte att säkerställa ”en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning”.

104.

Av detta följer att bestämmelserna i den allmänna dataskyddsförordningen är avsedda att reglera offentlig kontrollverksamhet, även om särskilda avpassningar kan tänkas i detta sammanhang. Möjligheten att begränsa det skydd som följer av den allmänna dataskyddsförordningen innebär emellertid inte att den inte är tillämplig.

105.

För det tredje och slutligen framgår det inte, med hänsyn till den allmänna befogenhetsfördelningen mellan unionen och medlemsstaterna, att offentlig kontrollverksamhet är förbehållen enbart de sistnämnda.

106.

För att särskilt nämna ett exempel i samband med parlamentarisk kontroll illustreras de överlappande befogenheterna på detta område av de dubbla utredningarna i det så kallade ”Dieselgate”-målet, vilka inleddes samtidigt av Europaparlamentet ( 36 ) och tyska Bundestag (Förbundsdagen, Tyskland).

107.

Det skulle visserligen kunna anföras att unionsrättens tillämpningsområde endast täcker sådan kontrollverksamhet som har ett samband med tillämpningen av unionsrättsliga bestämmelser.

108.

Ett sådant synsätt skulle emellertid innebära ett återinförande av den konkretiserande tolkningen av ”unionsrättens tillämpningsområde” och skulle därför innebära samma risker för rättsosäkerhet. Med beaktande av själva naturen hos en parlamentarisk utredning, som syftar till att sprida ljus över omständigheterna i fråga, anser jag att det är svårt att i förväg avgöra om en utredningskommittés arbete har ett konkret samband med tillämpningen av bestämmelser i unionsrätten. ( 37 )

109.

I detta sammanhang ska målet att skapa rättssäkerhet beaktas, vilket eftersträvas med de bestämmelser i den allmänna dataskyddsförordningen som syftar till att förhindra en orimlig fragmentering vid genomförandet av bestämmelserna om skydd av personuppgifter i unionen. ( 38 )

110.

Med beaktande av detta mål och i överensstämmelse med den lösning som domstolen valde i domen i målen Österreichischer Rundfunk m.fl., ( 39 ) vilken meddelades inom ramen för direktiv 95/46, ska den allmänna dataskyddsförordningens tillämpningsområde tolkas så, att det omfattar offentlig kontrollverksamhet, oavsett om den har ett samband med tillämpningen av särskilda bestämmelser i unionsrätten.

111.

Mot bakgrund av det ovan anförda föreslår jag att den första frågan ska besvaras så, att det arbete som utförs av en utredningskommitté som en medlemsstats parlament har inrättat i syfte att utöva sin befogenhet att kontrollera den verkställande makten omfattas av unionsrättens tillämpningsområde i den mening som avses i artikel 16.2 första meningen FEUF.

112.

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida den verksamhet som utförs av den utredningskommitté som avses i det nationella målet omfattas av det undantag som föreskrivs i artikel 2.2 a i den allmänna dataskyddsförordningen, jämförd med skäl 16 däri, med beaktande av det särskilda föremålet för dess arbete, som har samband med den nationella säkerheten.

113.

Jag anser inte att så är fallet, och detta av flera orsaker.

114.

För det första ska undantaget för verksamhet rörande nationell säkerhet tolkas restriktivt, med hänsyn till den allmänna dataskyddsförordningens breda tillämpningsområde. Av detta drar jag slutsatsen att endast verksamhet som har nationell säkerhet som sitt omedelbara föremål omfattas av detta undantag.

115.

Så är uppenbart inte fallet med den verksamhet som utövas av utredningskommittén i fråga, vilken har getts i uppdrag att kontrollera federala regeringsorgan.

116.

Eftersom kontrollen i fråga avsåg funktionen hos BVT, som hade i uppdrag att säkerställa de statliga institutionernas integritet och kontinuitet, kan utredningskommitténs verksamhet visserligen ha bidragit indirekt till att skydda den nationella säkerheten.

117.

Ett sådant bidrag ändrar emellertid inte naturen hos den verksamhet som har anförtrotts utredningskommittén och kan inte medföra att verksamheten undantas från bestämmelserna i den allmänna dataskyddsförordningen. Vid en motsatt lösning skulle frågan kunna ställas huruvida en reklambyrå som har anlitats av försvarsministeriet för att främja de militära yrkena inte borde undantas på samma sätt.

118.

För det andra skulle det strida mot målet att garantera rättssäkerheten, som eftersträvas av unionslagstiftaren, om tillämpningen av den allmänna dataskyddsförordningen skulle vara beroende av föremålet för en parlamentarisk utredning.

119.

Föremålet för en parlamentarisk utredning utgör inte, med beaktande av dess varierande natur, en tillräckligt stadig grund när det gäller att fastställa den allmänna dataskyddsförordningens tillämpningsområde. Faktorer som kan förändras, såsom en försvarsministers personliga inblandning i ett korruptionsärende – som kan avslöjas (eller vederläggas) under utredningen – kan inte tjäna som riktmärke för detta syfte.

120.

För det tredje måste man vid tolkningen av undantaget i artikel 2.2 a i den allmänna dataskyddsförordningen beakta denna bestämmelses ratio legis, som förefaller att ha samband med omöjligheten att förena vissa grundläggande aspekter av rätten till respekt för personuppgifter med den sekretess som hör samman med viss verksamhet rörande nationell säkerhet.

121.

Som exempel kan jag inte se hur en nationell underrättelsetjänst skulle kunna garantera respekten för rätten till information och rätten till tillgång, vilka stadfästs i artiklarna 14 och 15 i den allmänna dataskyddsförordningen, utan att samtidigt riskera övervakningsverksamhet som riktas mot personer som misstänks tillhöra en terroriströrelse. I en sådan situation förefaller de krav som följer av den allmänna dataskyddsförordningen att vara fundamentalt oförenliga med den nationella säkerhetens behov.

122.

Verksamhet som utförs av en parlamentarisk utredningskommitté verkar däremot inte innebära några oöverstigliga hinder av detta slag och jag kan inte se på vilket sätt iakttagandet av de skyldigheter som följer av den allmänna dataskyddsförordningen skulle kunna riskera verksamhetens eventuella bidrag till skyddet av den nationella säkerheten.

123.

Den publicitet som vanligen åtföljer en utredningskommittés arbete är en del av den parlamentariska kontrollens offentliga dimension. Målet att garantera insyn befinner sig emellertid i motsatt position mot ratio legis för artikel 2.2 a i den allmänna dataskyddsförordningen, vilken syftar till att skydda sekretessbelagd verksamhet som rör den nationella säkerheten.

124.

För det fjärde ska det erinras om att även om genomförandet av en parlamentarisk utredning i vissa fall kan krocka med iakttagandet av de skyldigheter som följer av den allmänna dataskyddsförordningen – till exempel i det fall att kommittén får tillgång till konfidentiella handlingar som innehåller personuppgifter – föreskrivs det i artikel 23.1 a och h i den allmänna dataskyddsförordningen en möjlighet att begränsa de rättigheter och skyldigheter som fastställs i artiklarna 5, 12–22 och 34 i förordningen, för det fall att denna begränsning är nödvändig för att säkerställa ett kontrolluppdrag med hänsyn till den nationella säkerhetens behov.

125.

Av detta följer enligt min mening att även om föremålet för en parlamentarisk utredning kan vara närbesläktat med aspekter som rör den nationella säkerheten innebär detta inte att utredningskommittén ska undantas från tillämpningen av den allmänna dataskyddsförordningen. Med beaktande av det institutionella sammanhang som sådana kommittéers verksamhet är en del av och att dess ledamöter deltar i arbetet i parlamentets lagstiftande organ förefaller det dessutom relativt enkelt att införa nödvändiga lagstiftningsåtgärder, som gör det möjligt att beakta det särskilda föremålet för vissa parlamentariska utredningar, såsom det föreskrivs i bestämmelserna i artikel 23.1 i den allmänna dataskyddsförordningen.

126.

Av ovan anförda skäl föreslår jag att domstolen ska besvara den andra frågan så, att arbete som utförs av en parlamentarisk utredningskommitté och vars föremål är verksamheten hos en polismyndighet med ansvar för att skydda staten, och således verksamhet som avser den nationella säkerheten i den mening som avses i skäl 16 i den allmänna dataskyddsförordningen, omfattas inte av det undantag som föreskrivs i artikel 2.2 a i förordningen.

127.

Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida behörigheten för en tillsynsmyndighet, som har inrättats som enda tillsynsmyndighet i enlighet med artikel 55.1 i den allmänna dataskyddsförordningen, att pröva klagomål enligt artikel 77.1 i samma förordning kan följa direkt av sistnämnda bestämmelse, jämförd med artikel 55.1 i den allmänna dataskyddsförordningen.

128.

Denna fråga, som har ställts för det fall att den allmänna dataskyddsförordningen ska tillämpas på det arbete som utförs av den utredningskommitté som avses i det nationella målet, förklaras av förekomsten av hinder av konstitutionell natur. Enligt Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) och vissa av de som har inkommit med synpunkter i förevarande mål utgör den maktdelningsprincip som fastställs i österrikisk rätt hinder för att ett administrativt organ, i förevarande fall Datenschutzbehörde, blandar sig i parlamentets verksamhet genom att pröva klagomål rörande den.

129.

Den tredje frågan syftar således till att fastställa räckvidden av den direkta effekten av bestämmelserna i artikel 55.1, jämförda med bestämmelserna i artikel 77.1 i den allmänna dataskyddsförordningen, när behörigheten för en tillsynsmyndighet som har inrättats som enda tillsynsmyndighet i en medlemsstat riskerar att begränsas av en princip av konstitutionell karaktär.

130.

Det ska erinras om att enligt artikel 288 andra stycket FEUF är en unionsförordning i princip direkt tillämplig i alla delar, vilket bekräftas i artikel 99.2 andra stycket i den allmänna dataskyddsförordningen. ( 40 )

131.

Enligt domstolens praxis kan det förhålla sig annorlunda endast om det i fråga om en bestämmelse i en förordning erfordras att tillämpningsföreskrifter antas, med beaktande av det utrymme för skönsmässig bedömning som medlemsstaterna lämnats vad gäller bestämmelsens genomförande. ( 41 )

132.

Jag anser att bestämmelserna i artikel 77.1 i den allmänna dataskyddsförordningen, enligt vilken tillsynsmyndigheter är behöriga att pröva de klagomål som avses i den artikeln, jämförda med bestämmelserna i artikel 55.1 i samma förordning, är av en tillräckligt tydlig och ovillkorlig karaktär för att kunna tillämpas direkt.

133.

Det ska tilläggas att domstolen redan har bekräftat att artikel 58.5 i den allmänna dataskyddsförordningen har direkt effekt, genom att slå fast att en nationell tillsynsmyndighet kan göra gällande den kapacitet att föra talan inför rätta som den tillerkänns genom denna bestämmelse, i syfte att väcka eller återuppta en talan i tvistemål mot en enskild, och detta även om tillämpningsföreskrifter inte har antagits av den berörda medlemsstaten för detta ändamål. ( 42 )

134.

Under omständigheterna i det nationella målet förefaller vidare inga kompletterande tillämpningsföreskrifter vara nödvändiga i fråga om förfarandet för klagomål enligt artikel 77 i den allmänna dataskyddsförordningen. Datenschutzbehörde prövar regelbundet sådana klagomål och den enda fråga som uppkommer är huruvida den är behörig med avseende på parlamentets organ.

135.

Denna fråga har emellertid inte överlåtits på medlemsstaternas fria bedömning.

136.

För ett effektivt utövande av rätten att inge ett klagomål krävs visserligen att det först har inrättats en eller flera tillsynsmyndigheter i enlighet med artikel 51.1 i den allmänna dataskyddsförordningen, vilket förutsätter ett ingripande av medlemsstaterna. Där rör det sig emellertid om sistnämnda bestämmelses direkta effekt, vilket är en fråga som inte har uppkommit i det nationella målet.

137.

När det gäller antalet tillsynsmyndigheter som ska inrättas enligt artikel 51.1 i den allmänna dataskyddsförordningen kan det institutionella val som har överlåtits på medlemsstaterna i denna fråga inte föranleda en begränsning av behörigheten för den enda myndighet som den österrikiska lagstiftaren har inrättat. En motsatt tolkning skulle beröva artiklarna 55.1 och 77.1 i den allmänna dataskyddsförordningen sin direkta effekt och skulle riskera att försvaga den ändamålsenliga verkan hos alla andra bestämmelser i denna förordning som kan beröras av ett klagomål.

138.

Vad slutligen gäller de hinder av konstitutionell karaktär som föreligger i österrikisk rätt, kan dessa inte föranleda en vägran att tillämpa bestämmelserna i den allmänna dataskyddsförordningen. Enligt domstolens fasta praxis påverkas en unionsakts effekt inte av att det görs gällande att den kränker principer i en medlemsstats författningsstruktur. ( 43 )

139.

Jag föreslår således att domstolen som svar på den tredje frågan ska slå fast att i den situationen att en medlemsstat har inrättat en enda tillsynsmyndighet i den mening som avses i artikel 51.1 i den allmänna dataskyddsförordningen följer dess behörighet att pröva klagomål enligt artikel 77.1 i denna förordning direkt av sistnämnda bestämmelse, jämförd med artikel 55.1 i nämnda förordning.

140.

Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de frågor som ställts av Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) på följande sätt: