K178.235/0009-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. ROSENMAYR-KLEMENZ, Dr. KOTSCHY, Mag. ZIMMER, Mag. HUTTERER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 29. Juni 2007 folgenden Beschluss gefasst:

S p r u c h

I. Der G**** GmbH in Wien wird aufgrund ihres Antrags vom 28. Juni 2006, modifiziert mit Schreiben vom 18. Juni 2007, gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, die Genehmigung erteilt, an die G**** LLC,

USA,

1. die folgenden Daten aus der beim Datenverarbeitungsregister unter der Datenanwendungsnummer *******/003 gemeldeten Datenanwendung "Verwaltung der Leasinggeschäfte", zum Zweck der Führung der Datenanwendung in Form einer Dienstleistung für die Antragstellerin zu überlassen (§ 4 Z 11 DSG 2000):

von Leasingnehmern (Kunden), Leasingwerbern, Lieferanten und Provisionsempfängern:

Von Bürgen und Garanten:

2. die unter 1. genannten Daten im Rahmen des konzerninternen Berichtswesens zu übermitteln, soweit sie allerdings weder Lieferanten noch gewerbliche Kunden oder Großkunden betreffen, nur im Einzelfall, wenn eine von den allgemeinen Leasingvertragsbedingungen abweichende Vereinbarung geschlossen werden soll oder sonst die Entscheidung der Konzernspitze für die Abwicklung des Einzelfalls erforderlich ist, insbesondere weil das der Antragstellerin zur eigenen Entscheidung übertragene Kreditlimit im Einzelfall überschritten würde. Die Genehmigung wird unter der Auflage erteilt, dass dem Datenverarbeitungsregister das jeweils gültige Muster für die Information der Leasingkunden über die stattfindenden Übermittlungen zur Aufnahme in den Registrierungsakt zur Verfügung gestellt wird.

II. Im Übrigen wird der Antrag abgewiesen.

III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 28. Juni 2006 hat die G**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten von Kunden, Lieferanten, Provisionsempfängern, Bürgen und Garanten, aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Verwaltung der Leasinggeschäfte" an Gesellschaften des G**** Konzerns gestellt, dessen Zentrale ihren Sitz in New Jersey, USA, hat. Im Laufe des Verfahrens wurde der Genehmigungsantrag eingeschränkt auf "Übermittlungen" an die Konzernspitze, die G**** LLC, USA (Schreiben vom 18. Juni 2007, Punkt 1). Es wurde auch ausdrücklich festgestellt, dass – entgegen dem ursprünglichen Antrag - keine Weitergabe an Dritte, insbesondere an andere Konzerngesellschaften, erfolge. Dementsprechend wurden gleichzeitig mit dem einschränkenden Schreiben vom 18. Juni 2007 Standardvertragsklauseln vorgelegt, die nur zwischen der Konzernspitze und der österreichischen Antragstellerin abgeschlossen sind.

Im Ermittlungsverfahren wurde weiters geklärt, dass keine datenschutzrechtlich gültigen Zustimmungen zum Datentransfer in die USA eingeholt werden.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12

genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

Voraussetzung für die Erteilung einer Genehmigung gemäß § 13 Abs. 2 DSG 2000 ist neben dem Fehlen eines Grundes für Genehmigungsfreiheit gemäß § 12 Abs. 3 DSG 2000 sowohl die rechtliche Zulässigkeit der beantragten Übermittlung im Sinne des § 12 Abs. 5 DSG 2000 als auch die Glaubhaftmachung angemessenen Datenschutzes beim Empfänger.

3.1 Zur Genehmigungsfreiheit

Dass kein Fall des § 12 Abs. 3 DSG 2000 vorliegt, konnte im Ermittlungsverfahren geklärt werden und wurde von der Antragstellerin in der Letztformulierung ihres Antrags im Schreiben vom 18. Juni 2007 auch nicht (mehr) behauptet.

Die Antragstellerin macht weiters keinen Gebrauch von der Standardverarbeitung SA001 "Rechnungswesen und Logistik", sodass die darin für genehmigungsfrei erklärten Übermittlungen an die ausländische Konzernspitze im vorliegenden Fall nicht unmittelbar zum Tragen kommen können.

Der beabsichtigte Datentransfer ist auch aus anderen Gründen nicht genehmigungsfrei, da die USA nicht zu den Staaten mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 zählen und die Muttergesellschaft auch nicht der "Safe Harbor"-Vereinbarung (2000/520/EG, CELEX: 32000D0520, Amtsblatt Nr. L 215 vom 25/08/2000 S. 0007 - 0047) beigetreten ist.

3.2 Zum Nachweis des Vorliegens der Voraussetzungen des § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit jeder geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

3.2.1 Die zugrunde liegende Datenanwendung "Verwaltung der Leasinggeschäfte" wurde dem Datenverarbeitungsregister unter der laufenden Datenanwendungsnummer *******/003 gemeldet und wird nach Anpassung an den vorliegenden Bescheidinhalt registrierungsfähig sein.

3.2.2 Was den Zweck des von der Antragstellerin als "Übermittlung" bezeichneten Datentransfers betrifft, wurde dieser in der Letztformulierung vom 18. Juni 2007 eingeschränkt wie folgt:

Hinsichtlich der Rechtsgrundlagen der beabsichtigten Datentransfers wird für den Zweck a) das Vorliegen eines überwiegenden berechtigten Zwecks bei der Antragstellerin (Kleinbetrieb, kostengünstige Durchführung des Geschäftsbetriebs) behauptet, für den Zweck b) das Bestehen eines überwiegenden berechtigten Interesses bei der Empfängerin (konzerninternes Berichtswesen).

Die Antragstellerin hat in ihrem Antrag die Genehmigung der "Übermittlung" von Daten beantragt, ohne – wie dies auch in der Richtlinie 95/46/EG der Fall ist – eine entsprechende terminologische Unterscheidung zwischen der Datenweitergabe an andere Auftraggeber oder an Dienstleister zu machen. Die Begründung für den beabsichtigten Datentransfer an die Konzernmuttergesellschaft zielt auch tatsächlich insofern auf eine "Übermittlung" im Sinn des öDSG 2000 von Auftraggeber zu Auftraggeber ab, als das konzerninterne Berichtswesen als Transfergrund angegeben wird – der Rest der unter a) wiedergegebenen Antragsbegründung kann jedoch nur so verstanden werden, dass es sich um die "Überlassung" (im Sinn des öDSG 2000) von Daten an die Konzernspitze zum Zweck der Erbringung von Dienstleistungsverarbeitungen für die Antragstellerin handeln soll: Der Transferzweck "Vornahme von Verarbeitungen für die Antragstellerin, die für den Geschäftsbetrieb der Antragstellerin:

genauer: für dessen ordnungsgemäße Aufrechterhaltung, notwendig und erforderlich sind", bedeutet dass die Empfängerin der Daten in den USA die Verarbeitung der aus Österreich transferierten Daten für die Zwecke der österreichischen Niederlassung durchführen soll – dies ist typisch nur in einem Dienstleistungsverhältnis denkbar, in dem die österreichische Niederlassung Auftraggeber und die US-Empfängerin Dienstleisterin ist.

Da die Heranziehung von Dienstleistern jedermann gestattet ist (§ 10 DSG 2000), sofern kein Anlass besteht, an der datenschutzrechtlichen Zuverlässigkeit des Dienstleisters zu zweifeln, und auch in concreto kein Anhaltspunkt für solche Zweifel vorlagen, konnte dem vorliegenden Genehmigungsantrag insofern entsprochen werden, als der Datentransfer für den von der Antragstellerin angegebenen Zweck in Form der Überlassung (iSd § 4 Z 11 DSG 2000) der Daten an die G**** LLC, USA, genehmigt wurde. Dies schließt freilich eine Weiterverwendung dieser Daten für eigene Zwecke der G**** LLC, USA, aus. Die Genehmigung des gegenständlichen Datentransfers als "Übermittlung" im Sinne des § 4 Z 12 DSG 2000 war hingegen angesichts des von der Antragstellerin im Schreiben vom 18. Juni 2007 geschilderten Zwecks ausgeschlossen, weshalb der Antrag diesbezüglich abzuweisen war.

Der Transfer personenbezogener Daten zum Zweck des konzerninternen Berichtswesens stellt hingegen tatsächlich eine "Übermittlung" gemäß § 4 Z 12 DSG 2000 dar.

Die Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthält die Standardanwendung SA001 "Rechnungswesen und Logistik", in welcher die Übermittlung von Daten der Kunden oder Lieferanten des Auftraggebers an die Konzernleitung des Auftraggebers genehmigungsfrei gestellt ist, sofern dies "Lieferanten oder gewerbliche Kunden und Großkunden" betrifft. Da sich die Antragstellerin nicht auf Standardverarbeitungen beruft, kann dieser Umstand zwar nicht unmittelbar nutzbar gemacht werden, doch lässt sich aus dieser Genehmigungsfreiheit die Wertung ableiten, dass in einem Konzern an Datenflüssen für den Zweck "Berichtswesen" grundsätzlich ein berechtigtes Interesse anzunehmen ist, dem im Falle von gewerblich tätigen Betroffenen, insbesondere bei sog. "Großkunden", auch kein überwiegendes berechtigtes Interesse der Betroffenen an der Geheimhaltung ihrer Geschäftsdaten gegenüber der Konzernspitze zukommt. Dementsprechend wurde die Übermittlung genehmigt, wenn auch bei nicht-gewerblich tätigen Betroffenen nur im Einzelfall und nur unter bestimmten Voraussetzungen, weil "konzerninternes Berichts wesen" nicht mit der Erlaubnis völliger Duplizierung aller Daten der Konzerngesellschaften bei der Konzernspitze gleichgesetzt werden kann. Der Kontrolle der Einhaltung dieser Vorraussetzung dient die im Spruchpunkt I. 2 enthaltene Auflage.

3.3. Zur Glaubhaftmachung angemessenen Datenschutzes beim Empfänger

Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht.

Die von der Antragstellerin mit G**** LLC, USA, im Annex B der Standardvertragsklauseln getroffenen Vereinbarungen haben sowohl Überlassungen als auch Übermittlungen von Daten zur Folge. Die vorgelegten Standardvertragsklauseln sind zwar an sich auf die Übermittlung von Daten bezogen, bieten aber für beide Arten des Transfers ausreichende Sicherheit, da aus der Natur einer Überlassung zweifelsfrei hervorgeht, dass jegliche Verwendung der transferierten Daten beim Dienstleister für seine eigenen Zwecke unzulässig und von der vorliegenden Genehmigung nicht gedeckt wäre (vgl. eine ähnliche Sichtweise im Bescheid der DSK K178.244/0005- DSK/2006 vom 13. Dezember 2006). Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.