K178.333/0009-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. STAUDIGL, Mag. HUTTERER, Dr. SOUHRADA-KIRCHMAYER, Mag. ZIMMER und Mag. MAITZ-STRASSNIG sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 27. November 2009 folgenden Beschluss gefasst:
S p r u c h
I. Der D**** GmbH in Wien wird auf Grund ihres Antrags vom 23. Oktober 2008, modifiziert mit Schreiben vom 9. März 2009 und 3. September 2009, gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt, Daten aus der Datenanwendung "Kunden- und Lieferantendatenbank" für die folgenden Zwecke an die D**** Corporation, USA, zu übermitteln:
I.a Zum Zweck der Betreuung und Geschäftsabwicklung dürfen von bestehenden oder früheren Kunden und den für sie tätigen Kontaktpersonen folgende Daten übermittelt werden:
Name
Adresse
Telefonnummern (soweit vom Betroffenen angegeben)
E-Mail Adressen (soweit vom Betroffenen angegeben)
Andere Kontaktdaten, die für die Geschäftsbeziehung relevant sein
können (soweit vom Betroffenen angegeben)
Rechnungsadresse
andere Daten, die notwendig sind, um Zahlungen abzuwickeln, wie z.B. Informationen zu Kreditkarten des Kunden-Unternehmens Informationen zum Inhalt der Geschäftsbeziehung (insbes. betroffene Waren oder Dienstleistungen)
Information über Werbung
Kommunikationsvorlieben (Angaben, ob und wie der Betroffene Werbung erhalten möchte)
I.b Zum Zweck der Geschäftsabwicklung dürfen von gegenwärtigen oder früheren Lieferanten folgende Daten übermittelt werden:
Name
Adresse
Telefonnummer
E-Mail Adresse
Andere Kontaktdaten, die für die Geschäftsbeziehung relevant sein
können
Informationen über den Inhalt der Geschäftsbeziehung (insbes. betroffene Waren oder Dienstleistungen)
I.c Zum Zweck der Geschäftsabwicklung dürfen von bestehenden und früheren Vertriebspartnern und Verkäufern folgende Daten übermittelt werden:
Name
Adresse
Telefonnummer
E-Mail Adresse
Andere Kontaktdaten, die für die Geschäftsbeziehung relevant sein
können
Informationen über den Inhalt der Geschäftsbeziehung (insbes. betroffene Waren oder Dienstleistungen)
Information über Werbung
Kommunikationsvorlieben (Angaben, ob und wie der Vertriebspartner Werbung erhalten möchte)
I.d Zum Zweck der Behandlung von Beschwerdefällen/Problembehebung dürfen über die Beschwerdeführer folgende Daten übermittelt werden, soweit diese für die Erledigung des Beschwerdefalls/Behebung des Problems notwendig sind:
Name
Adresse
Telefonnummer (soweit vom Betroffenen bekannt gegeben) E-Mail Adresse (soweit vom Betroffenen bekannt gegeben) Andere Kontaktdaten, die für das Verfahren relevant sein könnten Rechnungsadresse und andere Daten, wie z.B. Informationen zu Kreditkarten des Betroffenen, wenn die Beschwerde (auch) Zahlungsvorgänge betrifft
Daten zur Internetaktivität
Informationen über den Beschwerdeinhalt (insbes. bestellte oder gelieferte Waren oder Dienstleistungen)
Information über Werbung
Kommunikationsvorlieben (Angaben, ob und wie der Kunde Werbung erhalten möchte)
Die Übermittlung wird mit der Auflage genehmigt, dass Daten zur Internetaktivität nur übermittelt werden dürfen, wenn diese Daten von Kunden zur Problembehebung zur Verfügung gestellt oder im Beschwerdefall vorgelegt wurden.
I.e Zum Zweck der Abwicklung von geschäftlicher Korrespondenz dürfen von Personen, die sich über Produkte oder Dienstleistungen erkundigen, folgende Daten übermittelt werden:
Name
Adresse
Telefonnummer (soweit vom Betroffenen angegeben)
E-Mail Adresse (soweit vom Betroffenen angegeben)
Andere Kontaktdaten, die für die Geschäftsbeziehung relevant sein
können (soweit vom Betroffenen angegeben)
Informationen über die angebotenen Waren oder Dienstleistungen Information über Werbung
Kommunikationsvorlieben (Angaben, ob und wie der Interessent Werbung erhalten möchte)
II. Weiters wird der D**** GmbH die Genehmigung erteilt, die Daten aus der Datenanwendung "Kunden- und Lieferantendatenbank" (Datenanwendungsnummer: xxxxxxx/yyy) an die D**** Corporation, USA, zur Führung und Wartung der Datenanwendung zu überlassen.
Jede Weiterverwendung bloß überlassener Daten bei der Empfängerin für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und der Empfängerin unterzeichneten Dienstleistungsvertrag nicht angeführt sind ist untersagt. Die Verwendung von Daten für eigene Zwecke der Empfängerin ist nur im Rahmen der gemäß Spruchpunkt I übermittelten Daten zulässig.
III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Die D**** GmbH (in der Folge "Antragstellerin") hat mit Schreiben vom 23. Oktober 2008 einen Antrag auf Übermittlung und Überlassung von personenbezogenen Daten an die Konzernmutter in den USA gestellt.
Der ursprüngliche Antrag betraf auch die Daten von Kunden. Im Zuge des Verfahrens stellte sich heraus, dass ein guter Teil der zu übermittelnden Kundendaten mit Zustimmung der Betroffenen übermittelt wird. Dies betraf Kunden, die ein Produkt der Antragstellerin erwerben und bei der Anmeldung zusätzliche Leistungen wie Newsletter bestellen können. Diese Übermittlungen wurden wegen Genehmigungsfreiheit gemäß § 12 Abs. 3 Z 5 DSG 2000 aus dem Antrag ausgenommen.
Somit bleiben zur Genehmigung nur die im Spruch genannten Übermittlungen. Die Übermittlungen dienen zur allgemeinen Geschäftsabwicklung und zur Behandlung von Beschwerden und Kundenanfragen.
Weiters soll die Konzernmutter in den USA als Dienstleister die Datenanwendung führen und warten.
2. Anzuwendende Rechtsvorschriften:
§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen":
" § 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen."
§ 11 Abs. 1 DSG 2000 lautet unter der Überschrift "Pflichten des Dienstleisters":
" § 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen
haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":
" § 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger
in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.
(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
[...]
(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber - oder in den Fällen des § 13 Abs. 5 an den inländischen Dienstleister - vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.1. Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen der Empfänger in einem Staat seinen Sitz hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
3.2. Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie
3.2.1. Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die zugrundeliegende Datenanwendung "Kunden- und Lieferantendatenbank" (Datenanwendungsnummer: xxxxxx/yyy) ist beim Datenverarbeitungsregister gemeldet.
3.2.2 Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:
Die Übermittlung der personenbezogenen Daten von Kunden und Lieferanten der D***** GmbH bzw. von Kontaktpersonen bei Kunden (Pkt. I a und I b des Spruches) sowie von Vertriebspartnern und Verkäufern (Spruchpunkt I c) soll nach dem Vorbringen der Antragstellerin zur Kundenbetreuung und Geschäftsabwicklung dienen.
Die Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthält die Standardanwendung SA001 "Rechnungswesen und Logistik", in welcher die Übermittlung von Daten der Kunden oder Lieferanten des Auftraggebers an die Konzernleitung des Auftraggebers genehmigungsfrei gestellt ist, sofern dies "Lieferanten oder gewerbliche Kunden und Großkunden" betrifft. Da sich die Antragstellerin nicht auf Standardverarbeitungen beruft, kann dieser Umstand zwar nicht unmittelbar nutzbar gemacht werden, doch lässt sich aus dieser Genehmigungsfreiheit die Wertung ableiten, dass in einem Konzern grundsätzlich ein berechtigtes Interesse an der Übermittlung von Geschäftspartner-Daten an die Konzernleitung besteht, da viele Fragen, die sich im Zusammenhang mit der Vertragsanbahnung, –gestaltung und –abwicklung ergeben, angesichts der im Konzern bestehenden Entscheidungsstrukturen nur mit Hilfe der Konzernmutter beantwortet werden können. Dem steht seitens der Betroffenen in den antragsgegenständlichen Fällen kein überwiegendes berechtigtes Interesse an der Geheimhaltung ihrer Geschäftsdaten gegenüber der Konzernspitze gegenüber, sodass vom Vorliegen einer ausreichenden Rechtsgrundlage für die Datenübermittlung im beantragten Umfang auszugehen war.
Die Übermittlung von Daten über frühere Geschäfts- und Vertriebspartner (in Pkt. I c des Spruches) sowie die Übermittlung von Daten zur Abwicklung von geschäftlicher Korrespondenz mit potentiellen künftigen Geschäftspartnern (Pkt. I e des Spruchs) geht über die Standardanwendung SA001 hinaus, doch haben die obigen Ausführungen zum Vorliegen eines überwiegenden berechtigten Interesses an der Übermittlung auch in diesen Zusammenhängen Geltung.
Die Übermittlungen zur Behandlung von Beschwerdefällen und zur Problembehebung (Pkt. I d des Spruches) sind im überwiegenden berechtigten Interesse der Antragsstellerin, da diese die technische Unterstützung der Konzernmutter zur raschen und zufriedenstellenden Lösung von aufgezeigten Mängeln benötigt. In diesem Sinne sind die antragsgegenständlichen Übermittlungen gleichzeitig auch im Interesse des Beschwerdeführers gelegen, da sie zu einer besseren Bewältigung der gerügten Situation wesentlich beitragen. Die im Spruch erteilte Auflage schränkt die Übermittlung von Daten zur Internetaktivität eines Beschwerdeführers auf Fälle ein, in welchen der Betroffene selbst diese Daten zur Verfügung gestellt hat, um ein Problem beheben zu lassen oder sie im Fall einer Beschwerde (vor der internen Schlichtungsstelle, aber auch z.B vor einer Datenschutz-Kontrollstelle oder anderen Behörde) vorgelegt hat.
3.3. Zur ausreichenden Rechtsgrundlage der Überlassung von Daten:
Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.
Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln (2002/16/EG) vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 "processing operations") gedeckt.
3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragsstellerin und der Empfänger zwei Verträge abgeschlossen: Der eine Vertrag betrifft die Übermittlung von Daten an die D**** Corporation, USA, und entspricht den in der Entscheidung der Europäischen Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:
32004D0915, vorgesehenen Standardvertragsklauseln. Der zweite vorgelegte Vertrag bezieht sich auf angemessenen Datenschutz beim Empfänger hinsichtlich der in die USA zu überlassenden Daten; dieser Vertrag entspricht den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: "Überlassung") personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: "Dienstleister") in Drittländern (2002/16/EG).
Gemäß dem jeweiligen Artikel 1 dieser Entscheidungen gelten die in der Entscheidung bezogenen Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.