K178.241/0006-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KOTSCHY, Dr. ROSENMAYER-KLEMENZ, Mag. ZIMMER und Dr. STAUDIGL sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 23. Mai 2007 folgenden Beschluss gefasst:
S p r u c h
I. Der K**** GmbH in Wien wird aufgrund ihres Antrags vom 29. September 2006, ergänzt mit Schreiben vom 27. Feber 2007, gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, die Genehmigung erteilt,
a) die Datenarten "Name", "Abteilung", "Erklärung, dass die Konzernrichtlinien zur Kenntnis genommen wurden", "Datum Zusendung (der Richtlinien)" und "Datum Beantwortung" von Mitarbeitern, welche in der beim Datenverarbeitungsregister gemeldeten Verarbeitung "Verwaltung der Arbeitnehmerbestätigungen betr. Grundsätze der Geschäftspolitik von H****" (Datenanwendungsnummer xxxxxxx/yyy) gespeichert sind,
und
b) die folgenden Daten von Mitarbeitern
für Zwecke der Leistungsbeurteilung, Ermittlung der erfolgsabhängigen Vergütung, Potentialanalyse und Karriereplanung sowie Entwicklung von Organisationsplänen für Projektplanung und Planung von Auslandseinsätzen,
darüber hinaus für Zwecke der Planung von Auslandseinsätzen und der Karriereplanung:
aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Personalplanung" (Datenanwendungsnummer xxxxxxx/yyy)
an
II. Der K**** GmbH in Wien wird weiters die Genehmigung erteilt, aus der unter der Datenanwendungsnummer xxxxxxx/yyy beim DVR gemeldeten Datenanwendung "Personalplanung" Konzernmitgliedern weltweit die folgenden Daten von Mitarbeitern zu übermitteln
zum Zweck des Anbietens von Schulungen (6)
und zum Zweck der Deckung des Personalbedarfs durch Rückgriff auf erfahrene Konzernmitarbeiter die Datenarten (7)
III. Die Genehmigungen nach Pkt. I und II. werden unter der Bedingung erteilt, dass
1. die betroffenen Übermittlungen, soweit sie nicht ohnehin nur auf Veranlassung des Betroffenen geschehen, jeweils von einer gültigen Betriebsvereinbarung abgedeckt sind, weiters
2. Übermittlungen nur dann stattfinden dürfen, wenn die Antragstellerin als österreichischer Datenexporteur mit dem ausländischen datenempfangenden Konzernunternehmen, soweit dieses seinen Sitz in einem Land ohne adäquaten Datenschutz (dh. in einem Land, das auf der Homepage http://ec.europa.eu/ justice_home/fsj/privacy/thridcountries/index_de.htm nicht aufscheint) hat, eine Vereinbarung abgeschlossen hat, die dem dem Antrag zugrundliegenden "H**** Human Ressources Inter Affiliate Agreement" entspricht.
IV. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Es liegen drei gleichlautende Anträge von P**** Austria, I**** GmbH und K**** GmbH vor, die die Übermittlung von Personaldaten im Konzern betreffen.
Die genannten Unternehmen sind die österr. Konzernunternehmen des H****-Konzerns mit Sitz in den USA und einer Europazentrale in Belgien. Der Antrag soll die konzernweite einheitliche Mitarbeiterdatenverarbeitung umsetzen. Diese wird auch von entsprechenden Betriebsvereinbarungen in den österreichischen Konzernunternehmen unterstützt.
Zur Glaubhaftmachung angemessenen Datenschutzes bei den Empfängern wurde ein sog. "Inter Affiliate Agreement" vorgelegt, das zwischen der Konzernmutter und der Europazentrale ausgehandelt wurde und dem auch weltweit zahlreiche nicht europäische Unternehmen des H****- Konzerns beigetreten sind bzw. laufend beitreten. Es handelt sich dabei um bilaterale Vereinbarungen mit dem Inhalt der Standardvertragsklauseln gemäß 2001/497/EG für Übermittlungen ins Ausland, die von Konzernmitgliedern mit anderen Konzernmitgliedern vereinbart wurden bzw. werden. Im Appendix 1 zu den Standardvertragsklauseln werden Zweck und Inhalt der Personaldatenübermittlungen im Konzern näher beschrieben.
Die den Übermittlungen in Österreich zugrunde liegenden Datenanwendungen sind beim Datenverarbeitungsregister als "Personalplanung" (Datenanwendungsnummer xxxxxxx/yyy) und "Verwaltung der Arbeitnehmerbestätigungen betreffend Grundsätze der Geschäftspolitik von H****" (Datenanwendungsnummer xxxxxxx/yyy) gemeldet.
2. Anzuwendende Rechtsvorschriften:
§§ 12 und 13 Abs. 1 und 2 DSG 2000 lauten unter den Überschriften "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland" und "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
§ 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.
(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
(4) Wenn eine Übermittlung oder Überlassung von Daten ins Ausland in Fällen, die von den vorstehenden Absätzen nicht erfaßt sind,
(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber - oder in den Fällen des § 13 Abs. 5 an den inländischen Dienstleister - vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.
§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1. Die beantragten Übermittlungen von Daten aus Österreich an Konzernunternehmen der H**** Gruppe sind gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig, da die im Antrag beschriebenen Übermittlungen ins Ausland für die Erfüllung der mit den Betroffenen geschlossenen Arbeitsverträge nicht unmittelbar erforderlich im Sinne der § 12 Abs. 3 Z 6 DSG 2000 sind. Sie sind auch nicht auf eine datenschutzrechtlich gültige Zustimmung gegründet: Die gegenständlichen Datenflüsse sind im Arbeitsvertrag grundsätzlich bedungen und können vom Betroffenen nicht frei widerrufen oder abgelehnt werden, da er sich im Arbeitsvertrag dazu verpflichtet, die internen Konzern-Richtlinien einzuhalten.
Es ist somit von der Genehmigungspflichtigkeit der beabsichtigten Übermittlungen auszugehen.
3.2. Die den beabsichtigten Übermittlungen zugrunde liegenden Datenanwendungen "Verwaltung der Arbeitnehmerbestätigungen betr. Grundsätze der Geschäftspolitik von H****" und "Personalplanung" wurden dem Datenverarbeitungsregister zur Registrierung gemeldet. Bis zum Abschluss eines Registrierungsverfahrens, das nicht in Form des Vorabkontrollverfahrens durchgeführt werden muss, ist von der Zulässigkeit einer gemeldeten Datenanwendung auszugehen. Die beantragten Übermittlungen betreffen keine der Vorabkontrolle gemäß § 18 Abs. 2 DSG 2000 unterliegenden Datenanwendungen. Ein negativer Ausgang des Registrierungsverfahrens aus Gründen, die in diesem Bescheid nicht Verfahrensgegenstand sind, ist nicht zu erwarten.
3.3 Voraussetzung für die Genehmigung einer Übermittlung von personenbezogenen Daten ins Ausland ist u.a. der Umstand, dass die zur Genehmigung beantragte Übermittlung jeweils ihrer Art nach auch im Inland gemäß §§ 6 - 8 bzw. 9 DSG 2000 zulässig wäre (§ 12 Abs. 5 DSG 2000).
Zur Übermittlung von Personaldaten im Konzern ist grundsätzlich festzuhalten, dass § 1 Abs. 2 DSG 2000 für die Zulässigkeit der Verwendung personenbezogener Daten durch private Auftraggeber keinen Gesetzesvorbehalt enthält, sondern die Interpretation der Rechtsordnung in ihrer Gesamtheit aufträgt, um zu bestimmen, ob einem privaten Auftraggeber ein "berechtigtes Interesse" an einer der Art nach bestimmten Datenverwendung zuerkannt werden kann – ob eine konkrete Datenverwendung zulässig ist, muss sodann noch anhand des Kriteriums des "überwiegenden berechtigten Interesses" im Einzelfall geprüft werden.
Das Rechtsinstitut der im Konzern verbundenen Einzelunternehmen ist der österreichischen Rechtsordnung geläufig. Da diese Form der rechtlichen Konstruktion von Unternehmen mit unterschiedlichen gegenseitigen Einflussnahmerechten Hand in Hand geht, wird ein Datenfluss zwischen diesen konzernverbundenen Unternehmen zur Ermöglichung der notwendigen Informationsflüsse als "berechtigtes Interesse" der beteiligten Konzernfirmen anzuerkennen sein, freilich immer nur in dem objektiv erkennbar notwendigen Ausmaß.
Im vorliegenden Fall sind vornehmlich Datenflüsse von österreichischen Konzernmitgliedern an die jeweils übergeordneten entscheidungs- und kontrollbefugten Konzernstellen bis hin zur Konzernspitze zur Genehmigung beantragt. Diese Datenflüsse dienen vor allem der Durchsetzung von Konzernpolitiken, die eine gleichartige, nach objektiven Maßstäben gerechtfertigte Behandlung von Mitarbeitern zum Ziel haben, insbesondere hinsichtlich Personalentwicklung (Schulung, Karriereplanung) und Entlohnung, sowie die zentrale Nutzung von Personalressourcen (z.B. konzernweite Besetzung von Projektmitarbeiterstellen oder leitenden Positionen) ermöglichen sollen. Im Einzelnen folgt daraus:
Zu Pkt I. a des Bescheides:
Der Antrag betrifft die Weitergabe der Information an die vorgesetzten Stellen im Konzern, dass namentlich bezeichnete Mitarbeiter von den verbindlichen Konzern-Richtlinien nachweislich Kenntnis genommen haben. An der Übermittlung dieser Information besteht ein berechtigtes Interesse der Konzernleitung sowie der an der Führung auf niedrigerer Ebene mitbeteiligten Stellen, da sie wesentlich zur Durchsetzung der für den Konzern verbindlichen internen Regeln und policies beiträgt. Dieses Interesse kann als vorrangig vor dem Interesse des Betroffenen an der Geheimhaltung des Umstands, dass ihm die internen Richtlinien zur Einsicht und Kenntnis gebracht wurden, anerkannt werden, sodass diese Übermittlung durch ein überwiegendes berechtigtes Interesse der Übermittlungsempfänger gedeckt ist.
Zu Pkt I. b des Bescheides.
1) Für die unter diesem Punkt behandelten Übermittlungszwecke "Leistungsbeurteilung und Potentialanalyse" und "Ermittlung der erfolgsabhängigen Vergütung" bestehen jeweils konzernweite Vorgaben, deren gleichmäßige und nachvollziehbare Anwendung durch die Datenübermittlung an die vorgesetzten Stellen auf ihre Einhaltung überprüft werden sollen. Im Zusammenhang mit dem Abschluss des Arbeitsvertrags wird der Mitarbeiter über den Inhalt der konzernweiten Vorgaben und über die Vorgangsweise der Umsetzung informiert; durch den Abschluss des Vertrages hat er auch zu erkennen gegeben, dass er die Bedingungen des Arbeitsvertrags in Kauf nimmt. Auch wenn dies mit einer datenschutzrechtlichen Zustimmung nicht gleichgesetzt werden kann (siehe Pkt. 3.1), liegt doch ein wesentliches Element der informationellen Selbstbestimmung (-nämlich Information und selbstständige Entscheidung-) vor. Durch das zur Bedingung erhobene Vorhandensein einer Betriebsvereinbarung wird auch verhindert, dass der Betroffene sich zu einem für ihn nachteiligen, weil unverhältnismäßigen Eingriff in seine Datenschutzrechte im Interesse eines Abschlusses des Arbeitsvertrages bestimmen lässt. Gleichzeitig hat jeder Mitarbeiter grundsätzlich ein besonderes Interesse daran, entsprechend den allgemeinen Konzern-Richtlinien behandelt und nicht diskriminiert zu werden. Das vom Arbeitgeber postulierte überwiegende berechtigte Interesse an der Übermittlung von Personaldaten an die vorgesetzten Konzernstellen zwecks Kontrolle der richtlinienkonformen Personalverwaltung kann somit anerkannt werden, da die in Rede stehenden Übermittlungen im vorliegenden Fall als sachlich begründete und - auch im Hinblick auf die Art der übermittelten Daten - den Rahmen der Verhältnismäßigkeit nicht überschreitende Datenverwendung anzusehen sind.
2) Die für die Zwecke "Planung von Auslandseinsätzen", "Karriereplanung" und "Entwicklung von Organisationsplänen für Projektplanung" erfolgenden Übermittlungen sind in einem hohen Grad – neben dem grundsätzlich bestehenden berechtigten Interesse des konzernmäßig organisierten Arbeitgebers – von einem gleichgerichteten Interesse des Mitarbeiters getragen oder sogar von seiner tatsächlichen Einwilligung (Auslandsverwendung) abhängig. Auch hier ist also davon auszugehen, dass die Übermittlung der Daten an die vorgesetzten Konzernstellen nicht infolge eines überwiegenden Geheimhaltungsinteresses der Betroffenen unzulässig ist, dies umso mehr als diese Datenflüsse z.T. überhaupt nur bei Mitwirkung des Betroffenen stattfinden.
Zu Pkt II. des Bescheides.
Für die Übermittlungsfälle betr. "Schulungsangebote" und "Deckung des Personalbedarfs" gilt das vorstehend Gesagte. Diese Übermittlungen werden im vorliegenden Bescheid nur deshalb gesondert behandelt, weil die Übermittlungsempfänger hier alle Konzernmitglieder - und nicht nur die vorgesetzten Konzernstellen - sein können. Die Mitwirkung des Betroffenen ist im hier vorliegenden Zusammenhang weitgehend Auslöser für Datenflüsse (z.B. "training self-registration" laut Appendix 1 zum agreement).
3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes bei den Empfängern im Ausland hat der antragstellende Datenexporteur das bereits erwähnte "H**** Human Ressources Inter Affiliate Agreement" vorgelegt.
In Appendix 1 zu diesem agreement (unter "purposes of transfer") ist ausdrücklich anerkannt, dass nicht alle Datenexporteure Daten im gesamten Umfang des Geltungsbereichs des Inter Affiliate Agreement übermitteln. Vor diesem Hintergrund kann der wesentlich engere Umfang des vorliegenden Antrags als unbedenklich angesehen werden, da er nicht im Widerspruch zu dem vom Antragsteller unterzeichneten Agreement steht.
Der Inhalt des Agreement entspricht den Standardvertragsklauseln 2001/497/EG. Sie sind vom Antragsteller als Datenexporteur und von 9 Konzernunternehmen als Datenimporteure (in Malaysia, Thailand und den USA) unterzeichnet. Dies bietet allerdings noch keine Gewähr ausreichenden Schutzes bei künftig vereinbarten Datenflüssen im Konzern, die sich auf andere als die bereits unterzeichneten Datenimporteure im Konzern beziehen. Um auch Datenflüsse an neu hinzutretende Konzernmitglieder in die Genehmigung miteinbeziehen zu können, war es daher erforderlich, im Wege einer Bedingung die Geltung der vorliegenden Genehmigung daran zu knüpfen, dass der Antragsteller auch künftig keinen Datenexport ohne vorherigen Abschluss eines dem vorgelegten Inter Affiliate Agreement entsprechenden Vertrages mit dem Datenimporteur im Konzern vorzunehmen. Dies hat der Antragsteller ausdrücklich in einer dem Antrag angeschlossenen unterzeichneten Erklärung zugesagt – Sanktion für eine Verletzung dieser Zusage ist § 52 Abs. 2 Z 2 DSG 2000 (Verletzung von Genehmigungspflichten durch genehmigungslosen Datentransfer).
Da im Übrigen antragsgemäß entschieden wurde, kann eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.
3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Nach diesen Bestimmungen ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.