K178.217/0009-DSK/2006 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

I. Aufgrund des Antrages vom 3. Feber 2006 wird der J**** Bank AG in Wien, gemäß § 13 Abs. 1 und 2 Z 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, die Genehmigung erteilt, personenbezogene Daten im Umfang der gemeldeten und registrierungsfähigen Datenanwendung „Kreditkarten – Bestell- und Abrechnungsservice“ zum Zweck der Ausstellung und Verwaltung von Kreditkarten an die D****, Republik Kroatien, als Dienstleister zu überlassen.

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF BGBl. I Nr. 65/2002 iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl. Nr. 24 idF BGBl. II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Die beantragte Überlassung von Daten eines Auftraggebers in Österreich an einen Dienstleister in der Republik Kroatien ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, idF BGBl. I Nr. 13/2005, genehmigungspflichtig.

2. Der Antrag betraf Daten, die gemäß § 12 Abs. 5 DSG 2000 in Österreich rechtmäßig verarbeitet sind. Die Daten stammen aus der Datenanwendung „Kreditkarten – Bestell- und Umsatzservice“, die beim Datenverarbeitungsregister gemeldet wurde und der zur Registrierung nur noch die Genehmigung der Datenschutzkommission fehlt.

3. Die vorliegende Genehmigung ist auf die Überlassung von Daten an D****, Republik Kroatien, als Dienstleister beschränkt und ermächtigt keinesfalls zur allfälligen Weiterverwendung der überlassenen Daten durch den Empfänger oder andere konzernverbundene Unternehmen für eigene Zwecke.

4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Dienstleister im Ausland haben der Auftraggeber und sein Dienstleister einen Vertrag abgeschlossen, der vollinhaltlich den in der Entscheidung der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG (CELEX: 32002D0016, Amtsblatt Nr. L 006 vom 10/01/2002 S. 52 – 62) vorgesehenen Standardvertragsklauseln entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Übermittlung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft.

Da im Übrigen antragsgemäß entschieden wurde, konnte eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.

5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.