Datenschutzbehörde (DSB) avvisade ett klagomål från en registrerad person mot en ambassad på österrikiskt territorium på grund av bristande befogenheter enligt artikel 55.2 dataskyddsförordningen (GDPR) och diplomatisk immunitet enligt internationell rätt.
Av beslutet framgår att en registrerad i det aktuella fallet klagat över Republiken N***s ambassad i Wien (den personuppgiftsansvarige) till den österrikiska dataskyddsmyndigheten DSB.
Som en del av valet i N*** 2022 sattes en röstlängd, som innehöll den registrerades namn, födelsedatum och nummer i röstlängden, upp på utsidan av den personuppgiftsansvariges kontorsbyggnad. Denna vallista var därför tillgänglig för allmänheten.
Föremålet för klagomålet var frågan om huruvida den personuppgiftsansvarige kränkte den registrerades rätt till sekretess genom att offentliggöra dennes personuppgifter. Innan DSB tog itu med det konkreta innehållet i påståendet var myndigheten först tvungen att bedöma sin behörighet. Det gjorde den på grundval av två resonemang. Det ena gällde artiklarna 55 och 56 GDPR, det andra grundade sig på Wienkonventionen om diplomatiska förbindelser.
För det första bedömde DSB bestämmelserna i dataskyddsförordningen. Enligt artikel 55.1 GDPR har varje tillsynsmyndighet som ansvarar för att fullgöra de uppgifter och utöva de befogenheter som den tilldelas genom dataskyddsförordningen behörighet inom den egna medlemsstatens territorium. DSB är därför den tillsynsmyndighet som är ansvarig för Republiken Österrikes suveräna territorium (se § 18.1 i den österrikiska dataskyddslagen).
I detta fall noterade dock DSB att klagomålet är riktat mot ambassaden i ett tredjeland. DSB påpekade att modern internationell rätt inte räknar ambassader till en annan stats exklaver utan tilldelar dem den mottagande staten. Eftersom Republiken N***s ambassad ligger i Wien är den därför en del av österrikiskt territorium och den ansvariga dataskyddsmyndigheten för databehandling vid ambassaden skulle därför i princip vara DSB i enlighet med artikel 55.1 GDPR.
DSB övervägde dock vidare undantaget i artikel 55.2 GDPR där det anges att lokala dataskyddsmyndigheter inte är ansvariga om behandlingen utförs av myndigheter eller privata organ i andra medlemsstater på grundval av artikel 6.1 (c) eller (e) GDPR. I detta fall är den berörda medlemsstatens dataskyddsmyndighet ansvarig och förfarandet enligt artikel 56 GDPR är inte tillämpligt. Av detta följer att DSB inte har någon behörighet gentemot offentliga myndigheter eller privata organ vars databehandling kan hänföras till en annan medlemsstat. Följaktligen ansåg DSB att detta även måste gälla för myndigheter eller privata organ vars databehandling kan hänföras till ett tredjeland.
För det andra konstaterade DSB att det också är nödvändigt att beakta Wienkonventionen om diplomatiska förbindelser, som både Österrike och Republiken N*** har ratificerat.
DSB noterade att dessa konventioner innehåller bestämmelser om privilegier och immunitet för beskickningar och diplomatisk personal när det gäller utövandet av nationell statlig auktoritet. Enligt artikel 31.1 i Wienkonventionen om diplomatiska förbindelser åtnjuter diplomater immunitet från straffrättslig, civilrättslig och administrativ jurisdiktion i den mottagande staten i fråga om ämnet, även om de enligt artikel 41.1 är skyldiga att följa mottagarlandets lagar och andra rättsliga bestämmelser, och därmed även dataskyddsförordningen, som i egenskap av direkt tillämplig EU-rättsakt är likvärdig med nationell lagstiftning.
Eftersom ambassadören eller det uppdrag som lyder under Republiken N*** inte kan åtalas av DSB på grund av denna folkrättsliga reglering, måste den registrerades klagomål avvisas.