K178.294/0004-DSK/2009 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. HEILEGGER und Mag. MAITZ-STRASSNIG sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 25. Februar 2009 folgenden Beschluss gefasst:

S p r u c h

I.A Der O**** GmbH in Wien wird auf Grund ihres – mehrfach modifizierten - Antrags vom 11. Oktober 2007 gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt , aus der Datenanwendung "System zur Meldung von Missständen", zum Zweck der Meldung und Aufklärung von behaupteten Verstößen gegen den dem Antrag beigelegten konzerninternen Verhaltenskodex im Wege einer von der Empfängerin hiefür eigens eingerichteten Telefon-Hotline (im Folgenden als "Melde-Hotline" bezeichnet) an die O**** Limited, [Empfängerland anonymisiert], die nachfolgend bezeichneten Datenarten zu übermitteln:

B. Die Genehmigung wird unter der Auflage erteilt, dass in dem internen Verfahren, das durch die Benutzung der Telefon-Hotline in Gang gesetzt wird, für die Behandlung von Missbrauchsmeldungen folgende Umstände garantiert sind:

C. Zur Garantie der Einhaltung des in Pkt. I A festgelegten zulässigen Übermittlungsumfangs wird die Genehmigung weiters nur unter der aufschiebenden Bedingung erteilt, dass die Antragstellerin vor Aufnahme der Übermittlungen an die O**** Limited mit der Betreiberin der Hotline, K**** Services Inc. (USA), als ihrem Dienstleister vertragliche Vereinbarungen mit dem im Folgenden beschriebenen Inhalt über die Behandlung der im Wege der Melde-Hotline von Mitarbeitern der Antragstellerin gemeldeten Daten trifft: In dieser Vereinbarung ist festzulegen, dass die Betreiberin der Hotline als Dienstleisterin der Antragstellerin nur Meldungen mit dem in I. A bezeichneten Inhalt an die O**** Limited übermittelt, während alle anderen über die Hotline von Mitarbeitern der Antragstellerin gemachten Meldungen nur der Antragstellerin im Wege der Rück-Überlassung zugänglich gemacht werden dürfen. Weiters ist zu vereinbaren, dass Meldungen nach ihrer Übermittlung an die O**** Limited bzw. nach ihrer Rück-Überlassung an die Antragstellerin beim Dienstleister umgehend gelöscht werden.

Eine Kopie der abgeschlossenen Vereinbarung ist der Datenschutzkommission vor Aufnahme der Übermittlungen zur Kenntnis zu bringen.

II. A . In dem in Pkt. I. A festgelegten Umfang dürfen Daten über vermutete Verletzungen des konzerninternen Verhaltenskodex von Mitarbeitern der Antragstellerin auch auf anderem Wege als über die Melde-Hotline an O***** Limited, , übermittelt werden.

B. Diese Genehmigung wird unter der Auflage erteilt, dass die Antragstellerin zur verlässlichen Einhaltung des nach Pkt. I.A zulässigen Übermittlungsumfangs ihre Mitarbeiter durch verbindliche interne Regelung entsprechend unterrichtet und verpflichtet.

III. Weiters wird genehmigt, dass hiezu eigens bestellte Organe der Antragstellerin an O**** Limited Auskunft über schwerwiegende Verstöße gegen den Verhaltenskodex mit Auswirkungen auf den gesamten Konzern sowie über die diesbezüglichen Ermittlungsergebnisse und ergriffenen Maßnahmen erteilen, wobei diese Auskünfte nur insoweit personenbezogene Daten enthalten dürfen, als dies unbedingt erforderlich ist.

IV. Im Übrigen wird der Antrag auf Genehmigung des internationalen Datenverkehrs vom 11. Oktober 2007 abgewiesen.

V. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Die O**** GmbH (in weiterer Folge "Antragstellerin") hat mit Schreiben vom 11. Oktober 2007 eine Genehmigung zur Übermittlung von Daten über vermutete Verstöße von Mitarbeitern gegen den konzerninternen Verhaltenscodex an die Konzernzentrale in [Empfängerland anonymisiert] beantragt.

Die beantragten Übermittlungen sollen der Korruptionsbekämpfung im Konzern dienen und sollen Verstöße oder vermutete oder angebliche Verstöße gegen den Kodex betreffen "im Zusammenhang mit

Die Verpflichtung der Mitarbeiter, den Verdacht derartiger Verstöße zu melden, ergibt sich aus dem Verhaltenskodex des O****-Konzerns, dessen Verbindlichkeit in den von der Antragstellerin abgeschlossenen Arbeitsverträgen jeweils vereinbart wird. Eine Ausfertigung des Verhaltenscodex wurde mit dem Antrag vorgelegt.

Zur Frage der Notwendigkeit der beantragten Übermittlungen an die Konzernzentrale in [Empfängerland anonymisiert] hat die Antragstellerin mit Schreiben vom 29. November 2007 vorgebracht, dass grundsätzlich Meldungen an den direkten Vorgesetzten in Österreich ergehen. Dieser reicht die Meldung an den Personalverantwortlichen weiter, und dieser entscheidet dann, ob die Meldung an die O**** Limited in [Empfängerland anonymisiert] weitergereicht wird. Grundsätzlich sollen alle Beschwerden hier in Österreich durch die Antragstellerin als Arbeitgeber geklärt werden. Eine Übermittlung ist nur vorgesehen, wenn sich der Vorwurf gegen leitendes Personal richtet oder so tiefgreifende Missstände betrifft, dass eine Klärung von außen, durch die Konzernmutter, erforderlich ist. Nach Aussage des Rechtsvertreters der Antragstellerin wurden bisher alle vermuteten Verstöße in Österreich abgehandelt. Da diese Erklärungen den schriftlichen Antragsinhalt jedoch nicht zweifelsfrei abzuändern geeignet waren, war im Spruch von dem im vorstehenden Absatz wiedergegebenen Antragsinhalt auszugehen.

Die O**** Limited hat für die oben dargestellten Verstoß-Meldungen nunmehr auch eine Telefon-Hotline zur Verfügung gestellt. Die Hotline wird von der K**** Services Inc. in den USA als Dienstleister der O**** Limited betrieben; die Global K**** Inc. ist Safe Harbour zertifiziert. Die Antragstellerin hat derzeit keine eigene Rechtsbeziehung zu Global K**** Inc.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12

genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

3.1 Zur Genehmigungspflichtigkeit:

Die beantragte Übermittlung von Daten ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig , da die Empfängerin O**** Limited nicht in einem Staat mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 ansässig ist ([Empfängerland anonymisiert] ist britisches Überseegebiet, das nicht Teil der EU ist, sodass britisches Datenschutzrecht nicht zur Anwendung kommt -) und auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

3.2 Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

a) Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet:

Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen - sei es von der Antragstellerin selbst oder auch in ihrem Auftrag von einem Dienstleister - elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung von für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchs(Verstoß-)daten zuzuerkennen – die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar, die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.

Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln. Die Aufzeichnung der Meldungen durch den Hotline-Betreiber ist daher – in dieser ersten Phase – als Dienstleistung für die Antragstellerin zu begreifen. Dementsprechend bedarf es besonderer Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt ist im Bescheidspruch als aufschiebende Bedingung der Genehmigungserteilung für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft enthalten – erst nachdem der von der Datenschutzkommission geforderte Dienstleistervertrag mit dem Hotline-Betreiber abgeschlossen wurde, darf von der vorliegenden Genehmigung zur Übermittlung von Daten an die O**** Limited Gebrauch gemacht werden. Die Pflicht zur Vorlage dieses Vertrages war zwecks Nachprüfbarkeit des Vorliegens der Voraussetzungen für die Zulässigkeit tatsächlich stattfindender Übermittlungen im Spruch vorzusehen.

b) Zur Rechtsgrundlage der beantragten Übermittlungen:

aa) Wie im Sachverhalt ausgeführt, ist Maßstab für die zu meldenden Fälle der konzerninterne Verhaltenscodex. Für die Mitarbeiter der Antragstellerin haben die Regeln dieses Codex rechtliche Relevanz durch ihren Arbeitsvertrag, in dem die Verpflichtung zur Einhaltung des konzerninternen Verhaltenscodex bedungen wurde. Verstöße gegen diese Verhaltensregeln können unter Umständen auch arbeitsrechtlich relevant sein, sodass dem Arbeitgeber – das ist die Antragstellerin – ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen grundsätzlich zuzubilligen ist, wobei jedoch das Prinzip der Verhältnismäßigkeit zu beachten sein wird.

Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Die Antragstellerin hat selbst Argumente während des Genehmigungsverfahrens vorgebracht, die erkennen lassen, wann überwiegende berechtigte Interessen der Konzernspitze in dieser Frage bestehen, nämlich dann, wenn mutmaßliche Verstöße durch Führungskräfte der österreichischen Tochtergesellschaft oder Verstöße mit besonders schwerwiegenden Folgen für den Gesamtkonzern vorliegen.

Im Umfang der Meldung von maßgeblichen Verstößen, die leitenden Mitarbeitern der Antragstellerin angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung für die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu erteilen. Die Genehmigung der Meldung von Vorfällen, die keine leitenden Mitarbeiter ("Entscheidungsträger") betreffen, war hingegen aus dem Grunde der speziellen Verhältnismäßigkeit abzuweisen, soweit solche Vorfälle nicht von schwerwiegender Bedeutung für den Gesamtkonzern sind: Bei Fällen, welchen eine solche besondere Bedeutung für den Gesamtkonzern mangelt, wird die Antragstellerin selbst ohne Hilfe der Konzernmutter - aber allenfalls unter Inanspruchnahme der österreichischen Rechtsverfolgungsbehörden - in der Lage sein, nach Aufklärung des Falles die notwendigen Folgemaßnahmen zu ergreifen.

Ob eine – zulässige – Meldung an die Konzernmutter mit Hilfe der von ihr eingerichteten "whistle blowing telephone hotline" erfolgt oder auf anderem Wege, ist datenschutzrechtlich letztlich nicht entscheidend; doch sind unterschiedliche Sicherungsmaßnahmen vorzusehen, damit die Einhaltung der Zulässigkeitsgrenzen für die beantragten Übermittlungen möglichst gewahrt bleiben. Für die Übermittlung im Wege der Hotline ergibt sich daher die Verpflichtung, durch einen entsprechenden Vertrag mit dem Hotline-Betreiber dafür vorzusorgen, dass die bei der Hotline einlangenden Meldungen im Lichte der vorliegenden Genehmigung geprüft werden, damit nur die für eine Übermittlung geeigneten Meldungen an die Konzernspitze weitergegeben werden.

bb) Die Zulässigkeit der Übermittlung von Verstoßdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag ("Europäische Anlage zum Verhaltenscodex") beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung eines "whistle blowing Systems" verlangt werden. Da diese Begleitmaßnahmen wesentlich sind für die Zulässigkeit der Datenanwendung, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.

c) Zur Ablehnung der Übermittlung von Meldedaten in anderen Fällen:

Der Antrag bezog sich auch auf Datenübermittlung im Falle von Verstößen "gegen Gesetze bezüglich Geldwäsche, Terrorismus, oder Umwelt- und Gesundheitsfragen".

Da davon auszugehen ist, dass die österreichische Rechtsordnung diesbezüglich ausreichende Mittel zur Herstellung des rechtmäßigen Zustands zur Verfügung stellt, konnte eine Übermittlung von Verdachtsdaten mangels Vorliegens eines überwiegenden berechtigten Interesses nicht genehmigt werden, es sei denn, dass der Verdacht leitende Angestellte ("Entscheidungsträger") oder Vorfälle von schwerwiegender Bedeutung für den Gesamtkonzern betrifft.

Auch dem Antrag auf Genehmigung der Übermittlung von Daten aus dem Grund, dass durch einen bestimmten Verstoß gegen den Verhaltenscodex "die physische oder moralische Integrität eines Mitarbeiters bedroht sei", konnte nicht zur Gänze entsprochen werden, da – abgesehen von den im vorstehenden Absatz bezeichneten Ausnahmen – davon auszugehen ist, dass das österreichische Arbeits- und Arbeitnehmerschutzrecht hinreichenden Schutz bei derartigen Sachverhalten bietet.

3.3 Glaubhaftmachung des angemessenen Datenschutzes beim Übermittlungsempfänger im Ausland:

Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin als "Exporteur" von Daten und O**** Limited als "Importeur" einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II) , Amtsblatt Nr. L 385 S. 74–84, CELEX: 32004D0915, vorgesehenen Standardvertragsklauseln entsprechen. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

Eine besondere Glaubhaftmachung des angemessenen Datenschutzes beim Betreiber der Melde-Hotline ist hingegen nicht erforderlich, da der Betreiber K**** Inc. sich dem Safe Harbour Regime unterworfen hat und somit gemäß Entscheidung der Kommission 2000/520/EG vom 26. Juli 2000 über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" gewährleisteten Schutzes (siehe: ABl. L 215 vom 25.8.2000, S. 7–47, CELEX: 32000D0520) als Empfänger zu betrachten ist, bei dem ein adäquates Datenschutzniveau besteht.

3.4 Verwaltungsabgaben:

Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.