K178.271/0004-DSK/2007 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. KOTSCHY, Mag. HEILEGGER, Dr. HEISSENBERGER, Dr. BLAHA und Dr. ROSENMAYR-KLEMENZ sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 24. Oktober 2007 folgenden Beschluss gefasst:
S p r u c h
I. Der O**** AG in Wien wird aufgrund ihres Antrags vom 25. Juni 2007, gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, die Genehmigung erteilt, die folgenden Daten aus den Standardanwendungen "SA001 Rechnungswesen und Logistik" und "SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse" zum Zweck der Bearbeitung von Rechnungsvorgängen sowie Wartung der Datenbestände an die P**** Ltd., Indien, als Dienstleister zu überlassen:
Von Kunden der O**** AG:
Name, Nummer, Anschrift, Bankverbindung, Zahlungsart, Telefonnummer, Zahlungsstelle, Zahlungsbedingungen, Geschäftsbeziehung
Von Zulieferern (Lieferanten) der O**** AG:
Name, Steuernummer, Anschrift, Telefonnummer, Faxnummer, Bankverbindung, Name der Bank an die Rechnungen zu begleichen sind, Zahlungsbedingungen, Name der Kontaktperson des Lieferanten
Von Angestellten der O**** AG:
Name, Nummer, Details zur Abrechnung mit Firmenkreditkarten, fälliger Betrag, Ausgaben, Bankverbindung,
sowie
Name, Telefon- und Faxnummer sowie E-Mail-Adresse des für die Bearbeitung einer Lieferantenrechnung zuständigen O****- Mitarbeiters.
II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Die Antragstellerin hat mit Schreiben vom 25. Juni 2007 die Überlassung von Daten aus den Standardanwendungen "SA001 Rechnungswesen und Logistik" und "SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse" beantragt. Der Dienstleister soll Verrechnungsdienste erbringen und den Datenbestand warten.
Die Datenschutzkommission hat demselben Unternehmen bereits mit dem Bescheid GZ K178.186/0003-DSK/2004 vom 21. Dezember 2004 eine Dienstleistung in demselben Umfang an ein anderes Dienstleisterunternehmen in der Republik Indien bewilligt. Mit dem vorliegenden Antrag wird nur das Dienstleisterunternehmen gewechselt.
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.1. Die beantragte Überlassung von Daten ist gemäß § 13 Abs. 1 DSG 2000 genehmigungspflichtig , da die Republik Indien nicht zu den Staaten mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 zählt und auch kein Fall des gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
3.2 Als Zweck der Überlassung der im Spruch genannten Daten wurden die Bearbeitung von Rechnungsvorgängen sowie die Wartung der Datenbestände angegeben.
3.2.1. Die Erbringung von Dienstleistungen ist eine taugliche Rechtsgrundlage für den Datentransfer im Sinne von § 12 Abs. 5 DSG 2000. Die vorliegende Genehmigung ist auf die Überlassung von Daten beschränkt und ermächtigt keinesfalls zur allfälligen Weiterverwendung der überlassenen Daten durch den Empfänger oder andere konzernverbundene Unternehmen für eigene Zwecke.
3.2.2. Der Antrag betraf Daten, die gemäß § 12 Abs. 5 DSG 2000 in Österreich rechtmäßig verarbeitet sind. Die Daten stammen aus Datenanwendungen, deren Umfang von den Standardanwendungen "SA001 Rechnungswesen und Logistik" und "SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse" der Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, abgedeckt ist
3.3. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Auftraggeberin und der Empfänger Verträge abgeschlossen, die den in der Entscheidung der Kommission 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung (d.i. gleichbedeutend mit dem österreichischen Terminus "Überlassung") personenbezogener Daten an Auftragsverarbeiter (d.i. gleichbedeutend mit dem österreichischen Terminus "Dienstleister") in Drittländern nach der Richtlinie 95/46/EG (CELEX: 32002D0016, Amtsblatt Nr. L 006 vom 10/01/2002 S. 52 – 62) vorgesehenen Standardvertragsklauseln entsprechen. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Übermittlung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.