K178.211/0012-DSK/2006 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 10. Mai 2006 folgenden Beschluss gefasst:

Spruch

I. Aufgrund des Antrages vom 16. November 2005, ergänzt am 11. Jänner 2006 und 18. April 2006, wird der A*** (A** Austria) GmbH in 1*** Wien, U*** Straße 1*/**, gemäß § 13 Abs. 1 und 2 Z 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, unter Zugrundelegung der mit Schreiben vom 18. April 2006 übermittelten Zusage der A*** Corporation, keine Einzelpersonalmaßnahmen oder sonstige personenbezogene Auswertungen vorzunehmen, die Genehmigung erteilt, folgende personenbezogenen Daten aus der registrierungsfähigen Datenanwendung „Personalverwaltung für privatrechtliche Dienstverhältnisse“ im Rahmen des Konzernreporting ausschließlich für statistische und planerische Zwecke an die A*** Corporation, USA, zu übermitteln:

II. Die Genehmigung wird unter der Auflage erteilt, dass mit diesen Daten gemäß der mit Schreiben vom 18. April 2006 übermittelten Zusage der A*** Corporation keine Einzelpersonalmaßnahmen oder sonstige personenbezogene Auswertungen vorgenommen werden dürfen.

III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

Begründung

Mit Schreiben vom 16. November 2005 hat die A*** (A*** Austria) GmbH (in der Folge: Antragstellerin) bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten von Mitarbeitern an die Konzernmutter A*** Corporation in die USA gestellt.

In einem Gespräch mit Rechtsanwälten der Antragstellerin am 11. Jänner 2006 konnte geklärt werden, dass für Zwecke des Konzernreporting und der Planung Mitarbeiterdaten in personenbezogener Form übermittelt werden sollen.

Um hinreichend Sicherheit vor Missbrauch der in direkt personenbezogener Form exportierten Daten zu haben, wurden zusätzliche Garantien verlangt, wobei mehrere Optionen erwogen wurden. Die Antragstellerin hat mit Schreiben vom 18. April 2006 eine ausdrückliche Zusage der Konzernmutter vorgelegt, wonach die erhaltenen Daten ausschließlich für statistische und planerische Zwecke verwendet werden und mit diesen Daten keine Einzelpersonalmaßnahmen oder sonstige personenbezogene Auswertungen vorgenommen werden.

In rechtlicher Hinsicht war zu erwägen:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift „Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland“:

„§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

1. Die beantragte Übermittlung von Daten eines Auftraggebers in Österreich an einen Empfänger in den USA ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig.

2. Die Daten stammen aus der Datenanwendung „Personalverwaltung für privatrechtliche Dienstverhältnisse“, die beim Datenverarbeitungsregister unter DVR 05***20/003 gemeldet wurde und der zur gültigen Registrierung nur noch die Genehmigung der Datenschutzkommission für den Datenexport gemäß § 13 DSG 2000 fehlt. Der Antrag betraf nur die im Spruch genannten Datenarten, die in der Meldung beim Empfängerkreis 10 aufscheinen.

3. Gemäß § 12 Abs. 5 DSG 2000 ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7 DSG 2000 Voraussetzung für die Zulässigkeit jeder Übermittlung in das Ausland. Gemäß § 7 Abs. 1 DSG 2000 dürfen Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen. Die Führung der Datenanwendung „Personalverwaltung für privatrechtliche Dienstverhältnisse“ durch die Antragstellerin selbst ist im Hinblick auf § 7 Abs. 1 DSG 2000 zulässig. Im vorliegenden Fall war zu prüfen, ob die geplante Übermittlung gemäß § 7 Abs. 2 DSG 2000 – wenn sie im Inland stattfände – ihrer Art nach rechtmäßig wäre und in der Folge, ob der Datentransfer auch gemäß § 13 DSG 2000 zulässig ist.

Die Empfängerin ist die Konzernmutter der Antragstellerin, und der Zweck umfasst Konzernreporting für Statistik und Planung. Dieser Zweck ist rechtmäßig und kann eine Übermittlung von personenbezogenen Daten der Beschäftigten an die Konzernmuttergesellschaft grundsätzlich rechtfertigen. Um eine zweckwidrige Verwendung auszuschließen, hat die Antragstellerin eine ausdrückliche Zusage der Konzernmutter vorgelegt, wonach die übermittelten Daten ausschließlich für statistische und planerische Zwecke verwendet werden und mit diesen Daten keine Einzelpersonalmaßnahmen oder sonstige personenbezogene Auswertungen vorgenommen werden. Die Datenschutzkommission erteilt die Genehmigung unter der Auflage, dass diese Zusage eingehalten wird.

4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin und ihre Konzernmutter einen Vertrag abgeschlossen, der bis auf einige unbedeutende Änderungen den in der Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (2004/915/EG, CELEX: 32004D0915, Amtsblatt Nr. L 385 vom 29/12/2004 S. 0074 - 0084) vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger iSd § 13 Abs. 2 Z 2 DSG 2000 gilt daher als erbracht.

Da im Übrigen antragsgemäß entschieden wurde, konnte eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.

5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.