K178.296/0006-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. HEILEGGER und Mag. MAITZ-STRASSNIG sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 25. Februar 2009 folgenden Beschluss gefasst:
S p r u c h
I. A. Der O**** Germany GmbH Niederlassung Salzburg wird auf Grund ihres Antrags vom 9. November 2007 gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt , aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Internes Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität" (Datenanwendungsnummer xxxxxxx/yyy) im Wege einer für ihre Mitarbeiter eigens eingerichteten Telefon-Hotline (im Folgenden als "Compliance-Reportline" bezeichnet) die folgenden Daten an die O**** Co, USA, zu übermitteln:
1) über Entscheidungsträger der Antragstellerin, die eines maßgeblichen Verstoßes (oder der Teilnahme daran) gegen den konzernintern verbindlichen Code of Conduct betreffend Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität bezichtigt werden :
2) über Mitarbeiter der Antragstellerin, die eine Meldung erstattet haben und hiebei ihre Identität offengelegt haben:
3) über Mitarbeiter der Antragstellerin oder anderer Konzernfirmen von O****, die in der vorstehend bezeichneten Meldung als Zeugen oder Auskunftspersonen über den gemeldeten Vorgang benannt wurden
B. Die Genehmigung nach Punkt I. A wird unter der Auflage erteilt, dass im internen Verfahren für die Behandlung von Missbrauchsmeldungen folgende Maßnahmen garantiert sind:
C. Die Genehmigung nach I. A wird weiters unter der aufschiebenden Bedingung erteilt, dass die Antragstellerin vor Aufnahme der Übermittlungen an die O**** Co (USA) vertraglich die Behandlung der an die Hotline gemeldeten Daten mit der Betreiberin der Hotline, W**** Inc (USA), wie folgt geregelt hat: Durch Vereinbarung ist festzulegen, dass die Betreiberin der Hotline als Dienstleisterin der Antragstellerin nur Meldungen mit dem in Spruchpunkt I. A bezeichneten Inhalt an O**** Co. (USA) übermittelt, während die restlichen Meldungen nur der Antragstellerin zugänglich gemacht werden. Weiters ist zu vereinbaren, dass der Inhalt von Meldungen nach ihrer Übermittlung an O**** Co. (USA). bzw. nach ihrer Rück-Überlassung an die Antragstellerin beim Dienstleister umgehend gelöscht wird.
II. Im Übrigen wird der Antrag, insbesondere soweit er sich auf die Übermittlung von Missbrauchsdaten über Mitarbeiter, die nicht Entscheidungsträger der Antragstellerin sind, abgewiesen.
III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Die O**** Germany GmbH Niederlassung Salzburg (in weiterer Folge "Antragstellerin") hat mit Schreiben vom 9. November 2007 eine Genehmigung zur Übermittlung von personenbezogenen Daten im Zusammenhang mit Korruptionsverdacht im Unternehmen an die Konzernmutter in die USA beantragt.
Zu diesem Zweck solle ein spezielles internes vertrauliches Verfahren zur Entgegennahme von Meldungen über mutmaßliche Missstände im Unternehmen in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität eingerichtet werden. Solche Systeme zur vertraulichen Missstandsmeldung seien in US-amerikanischen Anti-Korruptionsgesetzen wie dem Sarbanes-Oxley Act of 2002 für börsennotierende Unternehmen verpflichtend vorgesehen. Die antragsgegenständlichen Meldungen sollen über eine Telefon-Hotline ("Compliance-Reporting - Line") erfolgen können, die von W**** Inc (USA) im Auftrag der Konzernleitung betrieben wird.
Der Datenfluss zu W**** Inc (USA) war nicht Gegenstand des Genehmigungsantrages: W**** Inc (USA) hat sich den "Safe Harbor"- Regeln unterworfen.
Mit Schreiben vom 11. Februar 2009 hat die Antragstellerin den im O**** Konzern weltweit geltenden Code of Conduct vorgelegt, der besondere Bestimmungen über eine "Ethik- und Compliance-Reportline (Whistleblower)" enthält. Nach ausdrücklicher Angabe der Antragstellerin ist dieser Code – einschließlich der auf den Seiten 5 und 15 enthaltenen Regelungen über die Meldung von Verstößen - für alle Mitarbeiter verpflichtend, und zwar näherhin dadurch, dass sie "den Code of Conduct im Rahmen ihres Arbeitsvertrages unterschreiben."
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1. Zur Frage des anwendbaren Rechts:
Der Genehmigungsantrag wurde für die (unselbständige) österreichische Niederlassung einer in Deutschland niedergelassenen Gesellschaft mbH gestellt. Bei der Datenverwendung durch eine unselbständige Niederlassung einer EWR-ausländischen juristischen Person ist zu prüfen, welche Rechtsordnung auf die Datenverwendung Anwendung zu finden hat.
Im vorliegenden Fall hat die in Rede stehende Datenverwendung Verstöße gegen den konzerninternen Code of Conduct im Rahmen der österreichischen Niederlassung zum Gegenstand; es ist daher davon auszugehen, dass es sich hiebei um eine Datenverwendung für einen Zweck handelt, der der in Österreich gelegenen Niederlassung des Auftraggebers zuzurechnen ist. Daraus folgt, dass gemäß § 3 Abs. 1 und 2 DSG 2000 nicht das Recht des Sitzstaates des Auftraggebers Anwendung findet, sondern das Recht am Sitz der Niederlassung, also österreichisches Recht.
3.2 Zur Genehmigungsfreiheit:
Die beantragte Übermittlung von Daten ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig , da die Empfängerin O**** Co nicht in einem Staat mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 ansässig ist und auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.3 Zu den Voraussetzungen der Genehmigung der antragsgegenständlichen Übermittlungen:
3.3.1 Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind, d.h. im Wesentlichen, dass die Daten im Inland – vor ihrem Transfer ins Ausland - zulässigerweise verarbeitet wurden und dass die Übermittlung im Sinne der §§ 8 bzw. 9 DSG 2000 ihrer Art nach auch im Inland zulässig wäre.
a) Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegt eine registrierungsfähige Meldung der Antragstellerin für die Datenanwendung "Internes Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität" (Datenanwendungsnummer xxxxxxx/yyy) beim Datenverarbeitungsregister vor.
b) Zur Zulässigkeit der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:
aa) Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet:
Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen - sei es von der Antragstellerin selbst oder auch in ihrem Auftrag von einem Dienstleister - elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung der für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchsdaten zuzuerkennen – die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar, die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.
Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln. Die Aufzeichnung der Meldungen durch den Hotline-Betreiber ist daher – in dieser ersten Phase – als Dienstleistung für die Antragstellerin zu begreifen. Dementsprechend bedarf es besonderer Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt ist im Bescheidspruch als aufschiebende Bedingung der Genehmigungserteilung für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft enthalten – erst wenn ein Vertrag abgeschlossen wurde zur (bloß logischen) Überlassung der mit Hilfe der Hotline ermittelten Daten an den als Dienstleister fungierenden Hotline-Betreiber, darf von der vorliegenden Genehmigung zur Übermittlung von Daten an die O**** Co Gebrauch gemacht werden.
bb) Zur Rechtsgrundlage der beantragten Übermittlungen:
1) Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden "Missbrauch" die konzerninternen Verhaltensregeln, die in ihrem bilanz- und finanzrelevanten Teil den Verpflichtungen des Sarbanes-Oxley Act nachgebildet sind. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch ihren Arbeitsvertrag, in dem die Verpflichtung zur Einhaltung der konzerninternen Verhaltensregeln als Weisungen des Arbeitgebers bedungen wurde. Verstöße gegen diese Verhaltensregeln können unter Umständen auch arbeitsrechtlich relevant sein, sodass dem Arbeitgeber – das ist die Antragstellerin – ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen grundsätzlich zuzubilligen ist, wobei jedoch das Prinzip der Verhältnismäßigkeit zu beachten sein wird.
Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Die Antragstellerin hat selbst in ihrem Antrag vorgebracht, dass die angemessene Unternehmensführung sowie die Verantwortung gegenüber den Aufsichtsbehörden die Gründe für das Meldeverfahren sind.
Im Umfang der Meldung von schwerwiegenden Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Mitarbeiter betreffen, war abzuweisen, weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann. In dem denkbaren, aber seltenen Fall, dass ein Mitarbeiter von geringerem Rang einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze zulässig, wenn die Vorgesetzten ihre Aufsichtpflicht nicht korrekt wahrnehmen.
2) Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung einer "whistle blowing hotline" verlangt werden. Da diese Begleitmaßnahmen wesentlich sind für die Zulässigkeit der Datenanwendung, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.
3.3.2 Glaubhaftmachung des angemessenen Datenschutzes beim Übermittlungsempfänger im Ausland :
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin als "Exporteur" von Daten und O**** Co als "Importeur" einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II) , Amtsblatt Nr. L 385 S. 74–84, CELEX: 32004D0915, vorgesehenen Standardvertragsklauseln entsprechen. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.4 Verwaltungsabgabe
Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.