K178.316/0005-DSK/2008 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. KOTSCHY, Mag. ZIMMER, Mag. MAITZ-STRASSNIG. Mag. HUTTERER und Dr. STAUDIGL sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 14. November 2008 folgenden Beschluss gefasst:
S p r u c h
I. Der M**** GmbH in Wien wird aufgrund ihres Antrags vom 26. Mai 2008 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF., die Genehmigung erteilt, die folgenden Daten aus den Datenanwendungen "Kreditgeschäft" (Datenanwendungs-Nummer xxxxxx/yyy), "Marktpflege und Akquisition" (Datenanwendungs-Nummer xxxxxxx/yyy) und "Leasinggeschäft" (Datenanwendungs-Nummer xxxxxxx/yyy) zum Zweck der Wartung der genannten Anwendungen an die B**** Ltd, Republik Indien, zu überlassen:
Von Kontoinhabern, Kreditnehmern und Kreditantragstellern, Leasingnehmern und Leasingantragstellern, Mitkreditnehmern und Mitleasingnehmern, Mitschuldnern wie insbesondere Bürgen und Garanten, Realschuldnern wie insbesondere Pfandbestellern:
Identitäts – und Kontaktdaten: Vollständiger Name (Vorname, 2. Name, Familienname), Wohnadresse, Ort, Postleitzahl, Bundesland, Wohnsitzstaat, Telefonnummer, Nummer des Mobiltelefons, E-Mail Adresse, Geschlecht, Kontonummer;
Beschwerdebezogene Daten: Art der Einreichung (zum Beispiel Brief, E-Mail, Telefax, persönlich, per Telefon, mittels "WorkFlow"- System), Eingangsdatum der Beschwerde, Details zu Erfassung der Beschwerde (Name des Sachbearbeiters, Datum der Erfassung), interne fortlaufende Nummer der Beschwerde, Bezeichnung der kontoführenden Abteilung, interne Beschwerdekategorie (zum Beispiel Auszahlung, Geldtransfer, Einbringung rückständiger Forderungen), Beschreibung der Beschwerde, interne Analyse der Beschwerde, interne Gewichtung der Beschwerde (niedrig, mittel, hoch), Lösungsvorschläge, Produkt welches von der Beschwerde betroffen ist, Kontostatus, Details zu Schadensforderungen (zum Beispiel Höhe des Schadens und Status der Schadensforderung), Anzahl der wiederholten Geltendmachung der Beschwerde, Details zur Eskalation (Name des zuständigen Vorgesetzten und Datum der Eskalation), Details zur Erledigung (Datum der Erledigung und Name des erledigenden Sachbearbeiters).
Jede Verwendung der überlassenen Daten für eigene Zwecke des Dienstleisters oder anderer Konzerngesellschaften ist ausgeschlossen.
II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Mit Schriftsatz vom 26. Mai 2008 hat die M**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten gestellt.
Die Antragstellerin brachte vor, dass eines ihrer Hauptgeschäftsfelder der Abschluss von Kredit- und Leasingverträgen mit Privatpersonen in Österreich sei. Die Antragstellerin brachte weiters vor, dass die Datenüberlassung Daten betrifft, die bei der Bearbeitung von Kundenbeschwerden anfallen. Der Antrag umfasst Daten aus den drei Datenanwendungen "Kreditgeschäft" (Datenanwendungs-Nummer xxxxxxx/yyy), "Marktpflege und Akquisition" (Datenanwendungs-Nummer xxxxxxx/yyy) und "Leasinggeschäft" (Datenanwendungs-Nummer xxxxxxx/yyy), die sich jeweils auf Beschwerden aus diesen drei Geschäftsbereichen beziehen. Die B**** Ltd als Dienstleister soll die Datenanwendungen warten.
2. Anzuwendende Rechtsvorschriften:
§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen":
" § 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen."
§ 11 Abs. 1 DSG 2000 lautet unter der Überschrift "Pflichten des Dienstleisters":
" § 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen
haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":
" § 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger
in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.
(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
[...]
(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber - oder in den Fällen des § 13 Abs. 5 an den inländischen Dienstleister - vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
Die beantragte Überlassung von Daten ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000, genehmigungspflichtig , da die Republik Indien nicht zu den Staaten mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 zählt und auch kein Fall des gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.1 Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:
Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegen Meldungen der Antragstellerin für die im Spruch genannten Datenanwendungen vor.
Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.
Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln (2002/16/EG) vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 "processing operations") gedeckt.
3.2. Glaubhaftmachung des angemessenen Datenschutzes
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: "Überlassung") personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: "Dienstleister") in Drittländern (2002/16/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.3. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.