K178.173/0007-DSK/2004 – Datenschutzkommission Entscheidung

Entscheidung

04. Mai 2004

Text

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. DUSCHANEK, Dr. KOTSCHY, Dr. PREISS und Dr. STAUDIGL sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 4. Mai 2004 folgenden Beschluss gefasst:

Spruch

Aufgrund ihres Antrages vom 9. Jänner 2004 und ihrer aus der Anlage 1 zu diesem Bescheid ersichtlichen Auslobungserklärung samt Beilagen wird der A-Bank AG, **** K*********, gemäß § 13 Abs. 1 und 2 Z 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 136/2001, die Genehmigung erteilt, in Österreich verarbeitete personenbezogene Daten in dem im Folgenden bezeichneten Umfang und unter den im Folgenden angeführten Bedingungen und Auflagen (§ 13 Abs. 1 DSG 2000) an Konzern-Tochterunternehmen in Drittstaaten ohne angemessenes Datenschutzniveau zu übermitteln oder zu überlassen.

1. Genehmigungsumfang:

a) Die vorliegende Genehmigung betrifft nur solche personenbezogene Daten, deren Verwendung durch die Antragstellerin gemäß § 21 DSG 2000 im Datenverarbeitungsregister derzeit oder künftig registriert ist.

b) Sie gilt weiters nur für Übermittlungen und Überlassungen an jene Konzern-Tochterunternehmen, die jeweils eine gültige Auslobungserklärung mit dem aus Anlage 2 ersichtlichen Inhalt abgegeben und dies dem Datenverarbeitungsregister mitgeteilt haben.

2. Die vorliegende Genehmigung wird unter der auflösenden Bedingung erteilt, dass

a) die in den Auslobungserklärungen des Antragstellers (Anlage 1) und ihrer im Drittausland ohne angemessenen Datenschutz befindlichen Tochterunternehmen zugesagten Verpflichtungen (Anlage 2) sich als geeignet erweisen, angemessenen Datenschutz zu gewährleisten und

b) in den vom Datenexport betroffenen Sitzstaaten der Tochterunternehmen, in welchen kein angemessener Datenschutz herrscht, keine rechtlichen oder faktischen Verpflichtungen bestehen, die die Einhaltung der Auslobungszusagen unmöglich machen.

Sobald und soweit die Datenschutzkommission auf Antrag eines Betroffenen oder von Amts wegen feststellt, dass diese Bedingungen nicht mehr erfüllt sind, verliert die Genehmigung ihre Gültigkeit.

3. Die vorliegende Genehmigung wird unter der Auflage erteilt, dass

a) die ihr zugrundeliegenden Auslobungserklärungen im Datenverarbeitungsregister veröffentlicht werden;

b) die in der Beilage der beiden Anlagen enthaltenen konzerninternen Datenschutz-Regelungen im Datenverarbeitungsregister zur Einschau für voraussichtlich Betroffene bereitgehalten werden;

c) der Adressat der Genehmigung zur Kooperation mit der Datenschutzkommission in Prüfverfahren verpflichtet ist, insbesondere falls die Datenschutzkommission Anfragen stellen sollte oder Auskünfte oder die Durchführung von Datenschutz-Audits bei den Tochtergesellschaften unter Offenlegung der Ergebnisse verlangen sollte.

Begründung

Die als Voraussetzung der Genehmigung festgelegten umfänglichen Einschränkungen, Bedingungen und Auflagen sind erforderlich, um die für Auslobungen notwendige Publizität, insbesondere im Hinblick auf die von der Datenverwendung Betroffenen, herbeizuführen, sowie deshalb, weil die Genehmigung auch künftige Änderungen in den konzerninternen Datenflüssen abdecken soll, ohne dass hiedurch der effektive Schutz der Betroffeneninteressen gefährdet sein darf.

Da im übrigen antragsgemäß entschieden wurde, konnte eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.

Anlage 1

Auslobungserklärung

Die A-Bank AG erklärt auf Grund der ihr vorgelegten Erklärungen der Tochterunternehmungen, welche in der Beilage ./1 aufgelistet sind, als oberste Konzerngesellschaft öffentlich gegenüber jedermann, dessen Daten in personenbezogener Form in Österreich von einem Konzernunternehmen als Auftraggeber verarbeitet werden, beim Export solche Daten aus Österreich an Konzernunternehmungen, die sich in einem Drittstaat ohne angemessenes Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 befinden, folgende Verpflichtung einhalten zu wollen:

1. Nach bester Möglichkeit dafür Sorge zu tragen, dass die Konzernunternehmen im Drittausland die aus der Beilage ./2 ersichtlichen konzerninternen Datenschutz-Regelungen bei der Verwendung von personenbezogenen Daten einhalten;

2. die im Konzern für die Verwendung von personenbezogenen Daten gemäß Beilage ./2 geltenden Datenschutz-Regelungen in der jeweils aktuellen Fassung dem Datenschutzverarbeitungsregister zur Ermöglichung der Einsicht durch voraussichtlich Betroffene zur Verfügung zu stellen;

3. sich im Rahmen der Möglichkeit dafür zu verwenden, daß Anfragen und Auskunftsbegehren von Betroffenen an die oberste Konzerngesellschaft oder an ausländische Konzernunternehmen über die Verwendung ihrer Daten im Konzern richtig und vollständig und ohne unnötigen Aufschub beantwortet werden;

4. im Fall einer künftigen Zurückziehung dieser Auslobungszusage diese dennoch für die bereits transferierte Daten solange weiter einzuhalten als die transferierten Daten bei den ausländischen Konzernunternehmen nicht gelöscht sind;

5. für Klagen von Betroffenen, die die vorliegende Auslobung zum Gegenstand haben, als Gerichtsstand jenen am Sitz der obersten Konzernleitung anzuerkennen, wobei auf die Klage anzuwendendes Recht das am Gerichtsstand geltende Recht ist.

Beilage ./1 zu Anlage 1

Auflistung der Tochterunternehmungen der A-Bank AG

Beilage ./2 zu Anlage 1

Konzerninterne Datenschutz-Regelung

Für die Verwendung personenbezogener Daten durch Konzernunternehmen in Drittstaaten gelten die folgenden Bestimmungen des DSG 2000:

Art 2 Abschnitt 1 bis 3, 5, 8, und 9 (mit Ausnahme des § 13) sowie die §§ 24 und 58

mit der Maßgabe, dass

1. bei der Weitergabe von Daten – sofern es sich nicht ohnehin um genehmigungsfreie Daten im Sinne des § 12 Abs 3 DSG 2000 handelt – an Auftraggeber, die diesen Datenschutzregelungen nicht unterliegen und sich ihnen für den Fall der Weitergabe auch nicht unterwerfen, dem Betroffenen die Möglichkeit zur Verweigerung der Weitergabe gegeben wird;

2. jedes Konzernunternehmen die oberste Konzerngesellschaft umgehend in Kenntnis setzt, wenn im ausländischen Sitzstaat zwingende rechtliche Regelungen erlassen werden, die die Einhaltung der oben zitierten Datenschutz-Regelungen in einem wesentlichen Punkt unmöglich machen;

3. bei Anfragen von Betroffenen über Daten, die aus einem EU-Mitgliedstaat importiert wurden, das oberste Konzernunternehmen von der Anfrage und der erteilten Antwort unverzüglich in Kenntnis zu setzen;

4. jedes Konzernunternehmen eine Stelle bestimmt, die für Datenschutzfragen im Unternehmen zuständig ist und ein internes Verfahren für die Behandlung von Beschwerden Betroffener einrichtet, wobei die notwendigen Informationen über diese Kontaktstellen der obersten Konzerngesellschaft in jeweils aktueller Form zu übermitteln sind;

5. jedes Konzernunternehmen geeignete Maßnahmen zur regelmäßigen Überprüfung der Einhaltung der vorstehenden Bestimmungen setzt;

6. jedes Konzernunternehmen die oberste Konzerngesellschaft über datenschutzrechtlich relevante Sachverhalte informiert, insbesondere im Hinblick auf allfällige Beschwerden Betroffener und auf Wunsch der obersten Konzerngesellschaft durchgeführte Datenschutz-Audits bestmöglich unterstützt.

Anlage 2

Auslobungserklärung

Die A-Bank AG X mit Firmensitz in **********, sohin in einem Drittstaat ohne angemessenes Datenschutzniveau im Sinne des § 12 Abs 2 DSG 2000 eklärt durch ihre bevollmächtigten rechtsfreundlichen Vertreter, Dr. ***** ************* und Dr. ****** *****, Rechtsanwälte in **** K*********, ************* Nr. */*, für sich offensichtlich gegenüber jedermann, dessen Daten in personenbezogener Form in Österreich von einem Konzernunternehmen als Auftraggeber verarbeitet werden, beim Import solcher Daten aus Österreich folgende Verpflichtungen einhalten zu wollen:

1. die aus der Beilage ersichtlichen konzerninternen Datenschutz-Regelungen bei der Verwendung personenbezogener Daten einzuhalten und hierfür nach den Bestimmungen des § 33 DSG 2000 zu haften;

2. Anfragen und Auskunftsbegehren von Betroffenen über die Verwendung ihrer Daten im Konzernunternehmen richtig, vollständig und ohne unnötigen Aufschub zu beantworten;

3. im Falle einer künftigen Zurückziehung dieser Auslobungszusage diese dennoch für bereits transferierte Daten solange weiter einzuhalten, als die transferierten Daten im Konzernunternehmen nicht gelöscht sind;

4. für Klagen von Betroffenen, die die vorliegende Auslobung zum Gegenstand haben, als Gerichtsstand jenen am Sitz der obersten Konzernleitung anzuerkennen, wobei auf die Klage anzuwendendes Recht das am Gerichtsstand geltende ist;

5. in Problem- bzw. Anlassfällen mit der Österreichischen Datenschutzkommission zusammenarbeiten zu wollen.

Beilage zu Anlage 2