K178.171/0013-DSK/2006 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 9. August 2006 folgenden Beschluss gefasst:

S p r u c h

Der Antrag der C**** Bank AG (in der Folge „Antragstellerin“) in Wien, ursprünglich eingebracht am 27. Mai 2003, Kundendaten aus den unter der DVR-Nummer xxxxxxx im Datenverarbeitungsregister registrierten Datenanwendungen an die Muttergesellschaft G****-Bank (in der Folge „Datenimporteur“), Moskau, Russische Föderation, zum Zweck der Erfüllung der Konsolidierungspflicht im Sinne des § 30 Abs. 9 BWG zu übermitteln, wird gemäß § 13 Abs. 2 Z 4 DSG 2000, BGBl. I Nr. 165/1999 idgF, abgewiesen.

B e g r ü n d u n g

Die Antragstellerin begehrte mit einem Antrag, der ursprünglich am 27. Mai 2003 eingebracht und mehrfach abgeändert und ergänzt wurde, die Erteilung einer Genehmigung zur Übermittlung von Kundendaten an ihre russische Mutterbank.

Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 DSG 2000 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission gemäß § 13 DSG 2000 einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden (§ 13 Abs. 1 DSG 2000 letzter Satz).

Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 DSG 2000 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 leg.cit vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

Abgesehen von der Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union (vgl. § 12 Abs. 1 DSG 2000) bedarf keiner Genehmigung gemäß § 13 leg.cit weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 leg.cit. durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 leg.cit in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung (§ 12 Abs. 2 DSG 2000).

Darüber hinaus ist der Datenverkehr ins Ausland gemäß § 12 Abs. 3 DSG 2000 dann genehmigungsfrei, wenn

Da keine der genannten Ausnahmetatbestände a priori auf den beantragten Datenverkehr in das Ausland zutrifft, hat die Antragstellerin zum Nachweis ausreichenden Datenschutzes beim Empfänger (§ 13 Abs. 2 Z 1 DSG 2000) angeboten, einen Vertrag mit dem Datenimporteur abzuschließen, der vollinhaltlich den in der Entscheidung der Europäischen Kommission K(2004)5271 vom 27. Dezember 2004 hinsichtlich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vorgesehenen Standardvertragsklauseln entspricht und diesbezüglich auch der Datenschutzkommission ein Muster einer solchen vertraglichen Vereinbarung vorgelegt.

Mit Schreiben vom 16. Mai 2006 an die Antragstellerin hat die Datenschutzkommission darauf hingewiesen, dass sie die Vereinbarung in unterfertigter und ausgefüllter Form benötige.

Der nach § 13 Abs. 2 Z 1 DSG 2000 benötigte Nachweis wurde somit nicht erbracht, weshalb spruchmäßig zu entscheiden war.