K178.223/0002-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. ZIMMER, Mag. HUTTERER, Dr. ROSENMAYR-KLEMENZ, Dr. KOTSCHY und Dr. HEISSENBERGER sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 2. Februar 2007 folgenden Beschluss gefasst:

S p r u c h

I. Aufgrund des Antrages vom 29. März 2006, modifiziert am 28. November 2006 und 5. Dezember 2006, wird der S**** (in der Folge "Antragstellerin") in Wien, die Genehmigung erteilt, folgende in Österreich verarbeitete personenbezogene Daten aus den Datenanwendungen "Kundenbetreuung" und "Personalverwaltung" an die K****, Indien, zum Zweck der Erstellung von betriebswirtschaftlichen Analysen und Analysen zur Effizienz des Marktbearbeitungssystems als

Dienstleister zu überlassen:

Von Kunden der Antragstellerin:

Name, Adresse, Zuordnung zu einer bestimmten Kundenkategorie (einschließlich regionale Zuordnung, usw.), Nachfrageinteressen (auf Grund bisherigen Nachfrageverhaltens oder eigener Angaben des Kunden gegenüber dem Auftraggeber), Betreuungsdaten (wie: zugesandtes Werbematerial, Besuchsrhythmus etc.) und Sonstiges Antwortverhalten des Kunden zu Werbeaktivitäten des Auftraggebers

Von Angestellten der Antragstellerin:

Name, "Sales call rate" (durchschnittliche Betreuungsleistung der Mitarbeiter in einer Außendienstlinie), Organisatorische Zuordnung im Betrieb einschließlich Beginn und Ende

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

A. Sachverhalt:

1. Die Antragstellerin hat mit Schreiben vom 29. März 2006 einen Antrag auf Genehmigung zur Überlassung von personenbezogenen Daten gestellt. Der Antrag enthielt folgende Angaben zu den Betroffenen und den Datenarten:

Betroffene: Kunden, Dienstleister, Lieferanten und Angestellte

Datenkategorien: Name, Adresse, „Sales call rates“ und “Target qualifiers based on brick level data”.

In der Folge musste durch mehrfache schriftliche Verbesserungsaufträge sowie zuletzt in einer mündlichen Besprechung vom 28. November 2006 der Sachverhalt geklärt werden:

Die im Antrag genannten Betroffenenkreise "Dienstleister" und "Lieferanten" sind nicht relevant: mit "Lieferanten" seien Leiharbeiter und freie Mitarbeiter gemeint. Bei den Dienstleistern handle es sich um Spezialfirmen, die Mitarbeiter zur Verfügung stellen. Mit E-Mail vom 5. Dezember 2006 wurde der Antrag hinsichtlich der "Lieferanten und Dienstleister" zurückgezogen. Die Leiharbeiter und freie Mitarbeiter gelten als Mitarbeiter. Die Unternehmen, die Mitarbeiter zur Verfügung stellen sind nicht Gegenstand der Datenanwendung.

Die gesamte Anwendung dient zur Marktforschung und Kundenbetreuung im Gesundheitsbereich.

Die Datenart "Sales call rate (durchschnittliche Betreuungsleistung der Mitarbeiter in einer Außendienstlinie)" betrifft vor allem Besuche bei Ärzten. Die Daten werden auf Mitarbeiterbasis erhoben, aber der Dienstleister in Indien erstellt daraus Auswertungen, die auf eine Außendienstlinie bezogen sind. Eine Außendienstlinie sind 4-20 Personen, die im Team arbeiten. Die Zuordnung zu einer Außendienstlinie ergibt sich aus der Datenart "Organisatorische Zuordnung im Betrieb einschließlich Beginn und Ende".

Nach dem Vorbringen bezieht sich die Datenart target qualifiers based on brick level data auf die Kunden der Antragstellerin. Alle Kunden der Antragstellerin sind Ärzte. Die Ärzte werden in drei Unterkategorien klassifiziert: A, B und L. Diese Unterkategorien haben folgende Bedeutung:

Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen der Antragstellerin zu den Verbesserungsaufträgen der Datenschutzkommission sowie dem mündlichen Vorbringen des Rechtsvertreters der Antragstellerin am 28. November 2006.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland":

" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

§§ 17-19 DSG 2000 lauten:

"Meldepflicht des Auftraggebers

§ 17. (1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken.

(2) Nicht meldepflichtig sind Datenanwendungen, die

(3) Weiters sind Datenanwendungen für Zwecke

Aufnahme der Verarbeitung

§ 18. (1) Der Vollbetrieb einer meldepflichtigen Datenanwendung

darf - außer in den Fällen des Abs. 2 - unmittelbar nach Abgabe der Meldung aufgenommen werden.

(2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie

Notwendiger Inhalt der Meldung

§ 19. (1) Eine Meldung im Sinne des § 17 hat zu enthalten:

(2) Wenn eine größere Anzahl von Auftraggebern gleichartige Datenanwendungen vorzunehmen hat und die Voraussetzungen für die Erklärung zur Standardanwendung nicht vorliegen, kann der Bundeskanzler durch Verordnung Musteranwendungen festlegen. Meldungen über Datenanwendungen, die inhaltlich einer Musteranwendung entsprechen, müssen nur folgendes enthalten:

(3) Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, daß Einsichtnehmer im Hinblick auf die Wahrnehmung ihrer Rechte nach diesem Bundesgesetz keine hinreichende Information darüber gewinnen können, ob durch die Datenanwendung ihre schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt einer gemeldeten Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht gedeckt ist."

Rechtliche Erwägungen:

1. Die beantragte Überlassung von Daten ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig , da Indien nicht zu den Staaten mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 zählt.

2. Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegen Meldungen des Antragstellers für die Datenanwendungen "Kundenbetreuung" und "Personalverwaltung" unter der Nummer ******* beim Datenverarbeitungsregister vor.

3. Für eine Genehmigung der Übermittlung oder Überlassung von Daten ins Ausland in Fällen, die nicht dem § 12 Abs. 1 bis 3 unterliegen, ist weiters die Glaubhaftmachung angemessenen Schutzes beim Empfänger nach § 13 Abs. 2 DSG 2000 Voraussetzung.

Die Antragstellerin hat diesbezüglich einen Vertrag vorgelegt, den sie mit der Empfängerin der Daten in Indien abgeschlossen hat. Dieser Vertrag ist eine modifizierte Fassung der Standardvertragsklauseln für die Überlassung an Dienstleister (Entscheidung der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, 2002/16/EG, CELEX: 32002D0016, Amtsblatt Nr. L 006 vom 10/01/2002 S. 52 – 62). Mit der mit Schreiben vom 29. Juni 2006, GZ: K178.223/0004-DSK/2006 vorgelegten Verbesserung kann dieser Vertragstext als rechtliches Instrument im Sinne des § 13 Abs. 2 Z 2 DSG 2000 angenommen werden.

Da im Übrigen antragsgemäß entschieden wurde, konnte eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.

Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.