K178.256/0005-DSK/2008 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Mag. HEILEGGER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 06. Februar 2008 folgenden Beschluss gefasst:

S p r u c h

I. Der B****-Gesellschaft in Wien wird auf Grund ihres Antrags vom 9. Feber 2007, modifiziert mit Schreiben vom 2. März, 25. Juni und 12. Oktober 2007 sowie 10. Januar 2008, gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt, Daten für die folgenden Zwecke in dem in den Punkten I.a bis I.e festgelegten Umfang zu übermitteln:

I.a. Zum Zweck der Anmeldung zu und Verwaltung von Schulungen dürfen aus der Datenanwendung "Skillsoft-Skillport" die folgenden Daten an B****-Konzerngesellschaften mit Sitz in USA, China (und Hong Kong) und Singapur übermittelt werden, sofern im Einzelfall eine Schulung genehmigt werden muss oder Auskünfte darüber erteilt werden müssen, ob bestimmte Mitarbeiter eine bestimmte Schulung absolviert haben oder nicht:

Von Mitarbeitern der Antragstellerin (Leitende Angestellte, Direktoren, Angestellte, Leiharbeitnehmer, freie Dienstnehmer, Werkvertragsnehmer, Praktikanten):

I.b Zum Zweck der Prüfung von Abrechnungen und Rückerstattung von Aufwendungen der Mitarbeiter dürfen aus der Datenanwendung "GERS" die folgenden Daten übermittelt werden, wenn hinsichtlich eines Erstattungsantrags des Betroffenen die Einholung der Entscheidung einer der Antragstellerin übergeordneten Konzernstelle mit Sitz in USA, China (und Hong Kong) und Singapur notwendig ist:

Von Mitarbeitern der Antragstellerin (Leitende Angestellte, Direktoren, Angestellte, Leiharbeitnehmer, freie Dienstnehmer, Werkvertragsnehmer, Praktikanten)

Von Vorgesetzten der jeweiligen Mitarbeiter:

I.c Zum Zweck der Nachprüfung von Provisionsplänen dürfen aus der Datenanwendung "Callidus" die folgenden Daten übermittelt werden, wenn hinsichtlich der Genehmigung eines konkreten Provisionsplanes die Befassung einer übergeordneten Konzernstelle mit Sitz in USA, China (und Hong Kong) und Singapur notwendig ist:

Von Mitarbeitern des Vertriebs der Antragstellerin:

I.d Zum Zweck der Verwaltung von Bewerbungen dürfen die folgenden Daten aus der Datenanwendung "Peopleclick" an andere Konzernstellen mit Sitz in USA, China (und Hong Kong) und Singapur übermittelt werden, sofern der Bewerber sich für eine Stelle bei einer dieser Konzerngesellschaften bewirbt:

Von Mitarbeitern der Antragstellerin (Leitende Angestellte, Angestellte, Leiharbeitnehmer, freie Dienstnehmer, Werkvertragsnehmer, Praktikanten), die sich um eine andere Verwendung im Konzern bewerben:

Vom zuständigen Hiring Manager bei der Antragstellerin:

I.e Zur Unterstützung der in Punkt I.a-I.d genannten Zwecke dürfen im jeweils unbedingt erforderlichen Ausmaß die folgenden Daten aus der Datenanwendung "mySAP Human Resources/Human Capital Management" an die Datenempfänger gemäß Pkt. I.a bis I.d übermittelt werden:

Von leitenden Angestellten, Direktoren, Angestellten, Leiharbeitnehmern, freien Dienstnehmern, Werkvertragsnehmern, Praktikanten sowie früheren Betroffenen der genannten Kategorien sofern noch Geschäftsfälle offen sind:

II. Im Übrigen wird der Antrag auf Genehmigung von Übermittlungen abgewiesen.

III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Die B****-Gesellschaft (in weiterer Folge "Antragstellerin") hat mit Schreiben vom 9. Feber 2007, vervollständigt mit Schreiben vom 2. März 2007, einen Antrag auf Übermittlung von Mitarbeiterdaten innerhalb des B****-Konzerns gestellt. Der Antrag betrifft Übermittlungen aus verschiedenen Datenanwendungen an Konzernunternehmen in viele Staaten. Die Datenanwendung "Skillsoft-Skillport" dient zur Anmeldung zu und Verwaltung von Schulungen. Die Datenanwendung "GERS" dient zur Abrechnung und Rückerstattung von Aufwendungen der Mitarbeiter (als Beispiel wurden Dienstreisen genannt). Die Datenanwendung "Peopleclick" dient zur Verwaltung von Bewerbungen. Die Datenanwendung "Callidus" dient zur Erstellung von Provisionsplänen. Die Datenanwendung "mySAP Human Resources/Human Capital Management" dient als allgemeine Personaldatenbank und damit Grundlage für die anderen Personaldatenverarbeitungen.

In einer mündlichen Besprechung am 17. September 2007 mit Vertretern der Antragstellerin sowie schriftlichen ergänzenden Äußerungen vom 12. und 13. Oktober 2007, sowie 10. Jänner 2008 wurde geklärt, dass die gegenständlichen Übermittlungen nur dann stattfinden, wenn eine konkrete Personalentscheidung nur von einer der österreichischen Antragstellerin vorgesetzten Konzernstelle getroffen werden kann ("Chain of Command" im Konzern) bzw. wenn im Einzelfall eine andere, insbesondere eine übergeordnete Konzernstelle die Daten für eine ihrer Aufgaben benötigt.

Derzeit sollen die Daten nur an Konzerngesellschaften in den USA, in China und Singapur im Rahmen der Personalverwaltung übermittelt werden.

Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12

genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

3.1. Die beantragte Übermittlung von Daten ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da die Empfänger nicht in Staaten mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 ansässig sind und auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

3.2. Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

3.2.1. Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegen Meldungen des Antragstellers für die Datenanwendungen "Skillsoft-Skillport" (Datenanwendungsnummer: xxxxxxx/yyy), "mySAP Human Resources/Human Capital Management" (Datenanwendungsnummer: xxxxxxx/yyy), "GERS"

(Datenanwendungsnummer: xxxxxxx/yyy), "Peopleclick"

(Datenanwendungsnummer: xxxxxxx/yyy) und "Callidus" (Datenanwendungsnummer: xxxxxxx/yyy) beim Datenverarbeitungsregister vor.

3.2.2 Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

Die Übermittlung aus der Datenanwendung "Skillsoft-Skillport" soll nach dem Vorbringen der Antragstellerin nur erfolgen, wenn z.B. infolge der besonders hohen Kosten einer bestimmten Schulung ein in der Konzernhierarchie übergeordneter Manager über die Schulungsmaßnahme entscheiden soll. Die Übermittlung von Schulungsdaten kann im Einzelfall weiters z.B. auch deshalb notwendig sein, weil im Konzern Personal mit einem bestimmten Schulungsprofil für ein bestimmtes Projekt gesucht wird oder weil geprüft wird, ob die einzelnen Konzerngesellschaften ihren Mitarbeitern gewisse, von der Konzernleitung für notwendig erachtete Schulungsmaßnahmen haben angedeihen lassen. Es handelt sich hiebei jeweils um Fälle, in welchen ein überwiegendes berechtigtes Interesse entweder der übermittelnden Antragstellerin oder des empfangenden Konzernunternehmens anzunehmen ist, sei es aufgrund der Position von Gesellschaften im Konzern, die die Einholung von Entscheidungen übergeordneter Konzernstellen in besonderen Einzelfällen verlangt, sei es aufgrund des Faktums der wirtschaftlichen Einheit eines Konzerns, in dem z.B. Personal für Projekte im Konzern auch jeweils bei anderen Konzernfirmen gesucht und zeitweise in Anspruch genommen werden darf oder z.B. Personal nach einheitlichen Richtlinien ausgebildet werden soll und die Einhaltung dieser Richtlinie überprüfbar sein muss.

Bei den antragsgegenständlichen Übermittlungen betr. Daten über Sonderfällen bei Spesenabrechnungen oder Provisionsplänen handelt es sich durchwegs um Fälle, bei welchen die Übermittlung für den Betroffenen die vorhersehbare – und beabsichtigte – Folge einer Handlung ist, die er aus Eigenem gesetzt hat. Auch wenn somit im Regelfall keine "Zustimmung" im strengen Sinn vorliegt – sodass auch keine Ausnahme von der Genehmigungspflicht anzunehmen ist –, ist doch offenkundig, dass der Betroffene über das konsekutive Stattfinden einer Übermittlung informiert ist und dass er die gegenständlichen Übermittlungen zumindest in Kauf nimmt, weil sie gleichermaßen in seinem eigenen Interesse wie auch im Interesse des Auftraggebers liegen: im Interesse des Betroffenen deshalb, weil er einen bestimmten Erfolg (Anstellung, Schulung, besondere Konditionen bei der Spesenverrechnung oder im Provisionsplan) anstrebt, für den die Übermittlung notwendig ist, im Interesse der österreichischen Antragstellerin als Auftraggeberin deshalb, weil sie an die Entscheidungsstrukturen im Konzern gebunden ist. Auch wenn es hinsichtlich der Zulässigkeit von Datenübermittlungen kein ausdrückliches Konzernprivileg gibt (- so auch etwa Dammann-Simitis, EU-Datenschutzrichtlinie: Kommentar, Rz 6 zu Artikel 25), so ist doch davon auszugehen, dass der Konzern als zulässige Organisationsstruktur rechtlich anerkannt ist. Daraus ist abzuleiten, dass auch die Zulässigkeit jener Datenflüsse, die sich aus der Über- bzw. Unterordnung der einzelnen Konzernfirmen notwendig ergeben, anzuerkennen ist. Wesentlich ist allerdings, dass die Notwendigkeit von Übermittlungen im Konzern nach einem strengen Maßstab beurteilt wird, damit die Verhältnismäßigkeit der von solchen Übermittlungen verursachten Eingriffe in das Recht auf Datenschutz der Betroffenen gewahrt bleibt.

Dies ist im vorliegenden Fall angesichts der Übermittlungszwecke und der dafür verfügbaren Datenarten gegeben. Dass im Einzelfall Daten aus der Datenanwendung "mySAP Human Resources/Human Capital Management" hinzutreten dürfen, ist kein Abgehen vom Verhältnismäßigkeitsgebot, da immer nur die ergänzende Heranziehung jener Informationen aus der Personalverwaltung erlaubt ist, die im konkreten Fall zur Abwicklung des Falles absolut notwendig sind.

3.3. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und andere Gesellschaften des Konzerns mit Sitz in USA, China (und Hong Kong) und Singapur Verträge abgeschlossen, die den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX: 32004D0915, vorgesehenen Standardvertragsklauseln entsprechen. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

4. Die Antragstellerin hat auch die Genehmigung der Übermittlung von Bewerbungsdaten externer Bewerber an ausländische Konzernfirmen beantragt. Da derartige Übermittlungen mangels Zugehörigkeit des Bewerbers zum Konzern für ihn nicht zweifelsfrei vorhersehbar sind und daher auch nicht davon ausgegangen werden kann, dass sie zumindest von seiner konkludenten Zustimmung gedeckt sind, kann eine solche Übermittlung ohne Zustimmung des Betroffenen nicht vorgenommen werden. Die beantragte Genehmigung war daher diesbezüglich abzuweisen, wobei gleichzeitig darauf hinzuweisen ist, dass bei vorliegender Zustimmung die Übermittlung genehmigungsfrei von statten gehen darf.

5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.