K178.234/0008-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
HINWEIS: Dieser Bescheid ist identisch mit K178.248/0006-DSK/2007]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Dr. KOTSCHY, Mag. ZIMMER und Dr. STAUDIGL sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 15. Juni 2007 folgenden Beschluss gefasst:
S p r u c h
I. Der T**** in Wien wird auf Grund ihres Antrags vom 6. Juli 2006 sowie des Antrags vom 28. Dezember 2006 , modifiziert mit Schreiben vom 7. Feber 2007, gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt, aus den beim Datenverarbeitungsregister gemeldeten Datenanwendungen "Rechnungswesen" und "T**** CRM" Daten in dem in den Pkt. A - C dargestellten Umfang an T****- Konzerngesellschaften mit Sitz in Kroatien, Brasilien, Britische Jungferninseln, Niederländische Antillen, Chile, Kolumbien, Ecuador, Jamaika, Mexiko, Peru, Republik Trinidad und Tobago, USA, Uruguay, Venezuela, Australien, China (und Hong Kong), Indien, Indonesien, Japan, Korea, Malaysia, Philippinen, Singapur, Sri Lanka, Taiwan, Thailand, Vietnam, Ägypten, Israel, Marokko, Russische Föderation, Südafrika, Türkei und Vereinigte Arabische Emirate (Dubai) zu übermitteln:
A. Zum Zweck der Herbeiführung des Geschäftsabschlusses dürfen im vorvertraglichen Stadium die folgenden Daten von gewerblichen Kunden und Interessenten
(1) Bezeichnung
(2) Adressdaten
(3) Firmenbuchdaten
(4) Steuernummer
(5) Zuordnung zu einer bestimmten Kundenkategorie (einschließlich regionale Zuordnung zu einem Marktgebiet und zu einer Organisationseinheit beim Auftraggeber)
(6) Korrespondenzsprachen
(7) Liefer- und Leistungsbedingungen
(8) Finanzierungs- und Zahlungsbedingungen
(9) Daten zum Zahlungs- und Leistungsverhalten
(10) Beschreibung der Leistung, die Gegenstand der vorvertraglichen Beziehung ist
(11) Beschreibung des jeweiligen Standes der vorvertraglichen Beziehungen (Beschreibung und Kategorie der jeweils gesetzten Aktivität, Initiator der Tätigkeit; Grund, Ziel, Ort, Zeitrahmen der Tätigkeit, Wahrscheinlichkeit des Vertragsabschlusses einschließlich Abhängigkeiten von anderen Faktoren etc.)
(12) Beschreibung des Ergebnisses der vorvertraglichen Bemühungen (z.B. "Verloren wegen Preis", oder Name des Konkurrenten, der den Auftrag statt T**** gewonnen hat, soferne diese Information veröffentlicht wurde, etc.)
an andere Konzernunternehmen, insbesondere zur Kreditbeurteilung sowie zur Abwicklung von Großaufträgen einschließlich der internen Kommunikation zur Abstimmung der Verkaufsstrategie, übermittelt werden.
B. Zum Zweck der Feststellung, welche Mitarbeiter an Aktivitäten im Rahmen der Kundenbetreuung beteiligt waren ("Leistungsmanagements und Verwaltung von Arbeitsstellen") und zum Zweck der internen Kommunikation bei der Abwicklung von Geschäftsfällen dürfen die folgenden Daten von Mitarbeitern des Antragstellers
(1) Personalnummer
(2) Vor- und Familienname, akad. Grad/Titel
(3) Geschlecht
(4) Funktionsbezeichnung (organisatorische Zuordnung im Betrieb, Arbeitsort)
(5) Zugehörigkeit und Verantwortlichkeit für ein bestimmtes Marktbzw Aufgabengebiet
(6) Telefon- und Faxnummer und andere zur Adressierung im Betrieb erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben, Username
(7) Beschreibung der Tätigkeit im Unternehmen (einschl. Tätigkeitscode und Bezeichnung der Tätigkeitskategorie)
(8) Beschreibung der im Hinblick auf einen bestimmten Geschäftsfall vorgenommenen Tätigkeiten
an die mit dem Leistungsmanagement betrauten Konzernunternehmen bzw. an die in die Abwicklung eines Geschäftsfalles involvierten anderen Konzernunternehmen übermittelt werden. Übermittlungen zum Zweck der Leistungsfeststellung dürfen nur unter der Bedingung stattfinden, dass sie in einer Betriebsvereinbarung vorgesehen sind.
C. Für Zwecke finanzieller und betriebswirtschaftlicher Analysen und zur Strategieentwicklung dürfen die unter A genannten Daten an andere Konzernunternehmen übermittelt werden, sofern dieses Unternehmen an der Vertragsabwicklung beteiligt war. Weiters dürfen die unter A genannten Daten an die Konzernspitze sowie solche anderen Konzernunternehmen übermittelt werden, die Kontroll- oder Führungsaufgaben gegenüber dem österreichischen Auftraggeber der Übermittlung wahrzunehmen haben. Diese Genehmigung wird unter der Auflage erteilt, dass der übermittelnde Auftraggeber alle zumutbaren Anstrengungen unternimmt, damit Kundendaten zum Zweck der Durchführung von Analysen und Planungen an die genannten Stellen möglichst nur in aggregierter Form oder mit verschlüsselten Identifikatoren übermittelt werden.
II. Im übrigen wird der Antrag, soweit er sich auf genehmigungsfreie Übermittlungen bezieht, gemäß § 12 Abs. 1 bis 3 DSG 2000 zurückgewiesen, ansonsten gemäß § 12 Abs. 5 und § 8 Abs. 1 und 3 DSG 2000 abgewiesen.
III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Die T**** (in weiterer Folge "Antragstellerin") macht für die Verwaltung ihrer Kundenbeziehungen nicht von den hier relevanten Standardanwendungen SA001 und SA022 Gebrauch, sondern setzt hiefür zwei unterschiedliche Software-Systeme ein, die dem Datenverarbeitungsregister (DVR) als zwei verschiedene Datenanwendungen gemeldet wurden. Für das ältere System, gemeldet beim DVR unter der Bezeichnung "Rechnungswesen", wurde mit Schriftsatz vom 6. Juli 2006 (GZ: K178.234/0001-DSK/2006) ein Antrag gemäß § 13 DSG 2000 auf Genehmigung der Übermittlung von Kunden- und Interessentendaten sowie von bestimmten Mitarbeiterdaten an andere Unternehmen des weltweiten T****-Konzerns gestellt. Mit Schriftsatz vom 28. Dezember 2006 hat die Antragstellerin bei der Datenschutzkommission einen weiteren Antrag auf Genehmigung der Übermittlung von Daten aus der beim DVR als "T**** CRM – Customer Relation Management" (in der Folge "T**** CRM") bezeichneten Datenanwendung eingebracht, der ganz ähnliche Sachverhalte wie der Antrag GZ K178.234 betrifft. Auf Befragung im Ermittlungsverfahren hat die Antragstellerin angegeben, dass die beiden Systeme für einen gewissen Zeitraum noch nebeneinander in Verwendung stehen werden und dass daher – schon angesichts der Meldungen beim DVR - tatsächlich um Genehmigung für Übermittlungen aus beiden Datenanwendungen ersucht wird.
Angesichts dieser Parallelität der Sachverhalte und des Umstands, dass die Zulässigkeit der Datenübermittlung zweckbezogen, aber nicht abhängig von der zur Erreichung des Zwecks eingesetzten Software ist, wurden die Genehmigungsverfahren hinsichtlich beider Anträge im hier ggst. Teil verbunden.
Im Zuge des Ermittlungsverfahrens hat sich herausgestellt, dass große Teile der in den Anträgen genannten Übermittlungen genehmigungsfrei vorgenommen werden dürfen. Hinsichtlich der Datenanwendung "T**** CRM" wurden mit Schreiben vom 7. Feber 2007 auch tatsächlich mehrere Antragspunkte zurückgezogen und sind daher nicht mehr Gegenstand des Verfahrens.
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lautet unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1. Zum Gegenstand des Antrags:
Gegenstand der einigermaßen unübersichtlichen und terminologisch vieldeutigen Genehmigungsanträge (- als Zwecke der Übermittlungen werden etwa "Geschäftsplanung" oder "interne Kommunikation" angeben -) sind Übermittlungen, die von der österreichischen Niederlassung des T****-Konzerns an andere Konzernunternehmen im Rahmen der Verwaltung der Kundenbeziehungen des T****-Konzerns (Customer Relationship Management) stattfinden.
Diese Übermittlungen können hinsichtlich ihres Zwecks in mehrere Gruppen eingeteilt werden:
a) Zum einen dienen sie der Marktbearbeitung in Form der Bewerbung von Produkten und Dienstleistungen des T****-Konzerns bei Kunden und Interessenten. Darunter wird insbesondere die im Antrag angegebene Zweckbezeichnung "Förderung des Vertriebs von Produkten und Dienstleistungen an bestehende und potentielle Kunden" subsumiert.
Im Laufe des Ermittlungsverfahrens wurde unter Hinweis auf die Einholung von Zustimmungserklärungen der Kunden und Interessenten zu diesbezüglichen Übermittlungen ihrer Daten aus der Datenanwendung "T**** CRM" an andere Konzernunternehmen der Genehmigungsantrag wegen Genehmigungsfreiheit gemäß § 12 Abs. 3 Z 5 DSG 2000 zurückgezogen, sodass nur mehr die Übermittlungen von Daten der Kunden und Interessenten aus der Datenanwendung "Rechnungswesen" für Werbezwecke verfahrensgegenständlich ist.
b) Weiters werden die Daten der genannten Datenanwendungen im Stadium vorvertraglicher Aktivitäten verwendet und unter gewissen Umständen an andere Konzernunternehmen übermittelt. Dieser Phase der Datenverwendung wurden insbesondere die folgenden in den Anträgen genannten Zwecke zugeordnet: Verkaufsanbahnung, Abstimmung der Verkaufsstrategie in konkreten Fällen, Ausarbeitung von Vertragskonditionen, Beurteilung des Kreditrisikos eines Vertragswerbers, planende Bearbeitung im Vorvertragsstadium von Großaufträgen unter Einbeziehung von anderen Konzernunternehmen.
c) Was die Verwendung von Daten von Kunden und Interessenten betrifft, die tatsächlich (neuerlich) Vertragspartner geworden sind, sind Übermittlungen für den Zweck der Vertragserfüllung genehmigungsfrei zulässig (§ 12 Abs. 3 Z 6 DSG 2000). Dies hat im Zuge des Ermittlungsverfahrens dazu geführt, dass der Antrag auf Genehmigung diesbezüglich – allerdings wieder nur hinsichtlich von Daten aus der Datenanwendung "T**** CRM" – zurückgezogen wurde.
Diesem Zweck wurden u.a. die im Antrag bezeichneten Zwecke "Bestellungsverwaltung", oder "technischer Support und Dienste zur Bearbeitung von Kundenbeschwerden" untergeordnet.
d) Parallel zur den unter a) bis c) genannten Zwecken, sollen Übermittlungen von Mitarbeiterdaten stattfinden, soweit diese in die Abwicklung der von a) bis c) bezeichneten Tätigkeiten involviert waren. Dieser Zweck ist in den Anträgen einerseits mit "interne Kommunikation" , andrerseits mit "Leistungsmanagement (Verwaltung von Arbeitsstellen)" bezeichnet, woraus geschlossen werden muss, dass es sich nicht nur um Datenverwendung zur Kommunikationsabwicklung handelt, sondern darüber hinaus auch Elemente umfasst sind, die in die Leistungsbeurteilung einfließen.
e) Der Genehmigungsantrag erstreckt sich außerdem auf die Übermittlungen von Vertriebsdaten einschließlich Kundendaten, die der (finanziellen und betriebswirtschaftlichen) Analyse der Geschäftstätigkeit und der darauf aufbauenden Geschäftsstrategieentwicklung dienen.
3.2 Zu den Gründen der Genehmigungserteilung bzw. Zurückweisung bzw. Abweisung der Anträge:
Voraussetzung für die Erteilung einer Genehmigung gemäß § 13 Abs. 2 DSD 2000 ist - neben dem Fehlen eines Grundes für Genehmigungsfreiheit - einerseits die rechtliche Zulässigkeit der beantragten Übermittlung im Sinne des §12 Abs. 5 DSG 2000 und andrerseits die Glaubhaftmachung angemessenen Datenschutzes beim Empfänger.
3.2.1 Zur Genehmigungsfreiheit:
Soweit sich der Antrag auf Erteilung einer Genehmigung zur Übermittlung auf empfangende Konzerngesellschaften mit Sitz in Rumänien, Belgien, Tschechische Republik, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Irland, Italien, Lettland, Litauen, Luxemburg, Niederlande, Norwegen, Polen, Portugal, Slowakei, Slowenien, Spanien, Schweden, Vereinigtes Königreich Großbritannien und Nordirland bezogen hat, war er wegen Genehmigungsfreiheit im EWR gem. § 12 Abs. 1 DSG 2000 zurückzuweisen.
Für Übermittlungen an Konzerngesellschaften mit Sitz in Argentinien, der Schweiz und Kanada gilt, dass infolge des von der EU-Kommission festgestellten angemessenen Datenschutzes in diesen Ländern gem. § 12 Abs. 2 DSG 2000 ebenfalls Genehmigungsfreiheit für Übermittlungen besteht, weshalb der Genehmigungsantrag insoweit ebenfalls zurückzuweisen war.
3.2.2 Zur Glaubhaftmachung angemessenen Datenschutzes:
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und die Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:
32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.2.3 Zum Nachweis des Vorliegens der Voraussetzungen des § 12 Abs. 5 DSG 2000:
Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit jeder geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie
a) Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegen je eine Meldung des Antragstellers für die Datenanwendungen "T**** CRM – Customer Relation Management" (Datenanwendungs-Nummer xxxxxxx/yyy) und "Rechnungswesen" (Datenanwendungsnummer: xxxxxxx/yyy) beim Datenverarbeitungsregister in - bis auf das Fehlen der Genehmigung für den internationalen Datenverkehr - registrierungsfähiger Form vor.
b) zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:
1) zum Zweck der Marktbearbeitung durch Werbung bei Kunden oder Interessenten:
Soweit Übermittlungen von Kunden- und Interessentendaten an andere Konzernunternehmen für diesen Zweck nicht durch Zustimmung der betroffenen Kunden und Interessenten des Übermittelnden rechtlich abgesichert sind, fehlt es an einer tauglichen Rechtsgrundlage für derartige Übermittlungen. Während Werbung für eigene Produkte bei den eigenen Kunden und Interessenten nach herrschender Auffassung auch ohne deren Zustimmung zulässig ist, solange sie nicht Widerspruch erhoben haben, kann an der Übermittlung von Kunden- und Interessentendaten an Dritte ein überwiegendes berechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 DSG 2000 nicht erkannt werden. Der Antrag zur Genehmigung der Übermittlung von Kunden- und Interessentendaten aus der Datenanwendung "Rechnungswesen" für Werbezwecke war daher abzuweisen. Diesbezügliche Übermittlungen aus der Datenanwendung "T**** CRM" waren infolge Zurückziehung des Antrags nicht entscheidungsrelevant.
2) zum Zweck der Abwicklung vorvertraglicher Beziehungen:
Das Aushandeln von Vertragskonditionen setzt im Konzern voraus, dass bei jedem Konzernunternehmen ausreichende Information darüber besteht, ob und wie der präsumptive Kunde bisher gegenüber anderen Konzernfirmen aufgetreten ist und von diesen behandelt wurde. Dies erfordert die Übermittlung der hiefür relevanten Daten an andere Konzernunternehmen.
Betroffene dieser Übermittlung sind im vorliegenden Fall ausschließlich Gewerbetreibende hinsichtlich ihrer Geschäftsbeziehungen zum T****-Konzern. Dass zulässigerweise das Bestehen eines überwiegenden berechtigten Interesses an derartigem Informationsaustausch innerhalb von Konzernen angenommen werden darf, ergibt sich schon daraus, dass in der Standardanwendung SA001 (Rechnungswesen und Logistik) ähnliche Datenflüsse in Konzernen genehmigungsfrei gestellt wurden.
Laut dem Vorbringen im Schreiben vom 7. Feber 2007 soll dieser Zweck auch die Beurteilung des Kreditrisikos abdecken. Angesichts der anerkannten Anforderungen an ein aussagefähiges Rechnungs- und Bilanzierungswesen in Konzernen müssen Kreditrisiken, die von Konzerntöchtern eingegangen werden, einer konsolidierten Betrachtung der Gesamtverpflichtungen eines Konzerns zugeführt werden. Für die Übermittlung relevanter Daten an die involvierten Konzernunternehmen ist im vorliegenden Fall daher das Vorliegen eines überwiegenden berechtigten Interesses im Sinne des § 8 Abs. 1 Z 4 DSG 2000 anzunehmen, sodass schutzwürdige Geheimhaltungsinteressen durch die beabsichtigte Übermittlung nicht verletzt werden.
Den Anträgen war daher insofern durch Erteilung einer Genehmigung zu entsprechen.
3) zum Zweck der Vertragserfüllung:
Diesbezüglich besteht Genehmigungsfreiheit gemäß § 12 Abs. 3 Z 6 DSG 2000. Insofern die Genehmigungsanträge diesbezüglich nicht ohnehin zurückgezogen wurden, war daher der diesbezüglich verbleibende Teil zurückzuweisen. Dies betrifft Übermittlungen zum Zweck der Vertragserfüllung aus der Datenanwendung "Rechnungswesen".
4) zum Zweck "Leistungsmanagement (Verwaltung von Arbeitsstellen)" sowie "interne Kommunikation":
Hinsichtlich der Übermittlung von Mitarbeiterdaten zur Ermöglichung der Kommunikation mit anderen Konzernunternehmen ist vom Vorliegen eines überwiegenden berechtigten Interesses der beteiligten Unternehmen auszugehen.
Darüber hinaus liegt offenbar - trotz gegenteiligem Vorbringen des Vertreters der Antragstellerin im Ermittlungsverfahren – ein weiterer Verwendungszweck vor, wie sich schon aus der Bezeichnung des Zwecks mit "Leistungsmanagement" ergibt: Die zu übermittelnden Mitarbeiterdaten enthalten jedenfalls auch Informationen, die für eine Leistungsbewertung relevant sein können. Deshalb erschien es notwendig, das Vorliegen einer entsprechenden Betriebsvereinbarung zur Bedingung der Zulässigkeit der Datenübermittlung für diesen Zweck zu machen.
5) Zum Zweck der (finanziellen und betriebswirtschaftlichen) Analyse und zur Geschäftsstrategieentwicklung:
Die Weiterverwendung personenbezogener Daten für statistische und planerische Zwecke ist innerhalb ein- und desselben Unternehmens ohne besondere Voraussetzungen zulässig, nicht aber, wenn sie diesen Kreis verlassen. Nun ist es einsichtig, dass innerhalb eines Konzerns gerade der Zweck unternehmensübergreifender Analyse und Planung ein berechtigter Zweck ist, wenn nicht die Sinnhaftigkeit der Konzernstruktur an sich in Frage gestellt werden soll. Die Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthält die Standardanwendung SA001 "Rechnungswesen und Logistik", in welcher die Übermittlung von Daten der Kunden oder Lieferanten des Auftraggebers an die Konzernleitung des Auftraggebers genehmigungsfrei gestellt ist, sofern dies Lieferanten sowie gewerbliche Kunden und Großkunden betrifft. Da sich die Antragstellerin nicht auf Standardverarbeitungen beruft, kann dieser Umstand nicht unmittelbar nutzbar gemacht werden, doch lässt sich aus dieser Genehmigungsfreiheit die Wertung ableiten, dass in einem Konzern an Datenflüssen für den Zweck "Berichtswesen" grundsätzlich ein überwiegendes berechtigtes Interesse anzunehmen ist. Dementsprechend wurde die Übermittlung an die im Spruch angeführten Konzernunternehmen genehmigt, dies freilich unter der Auflage, solche Daten möglichst nicht mit vollem Personenbezug weiterzugeben.
3.3 Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.