K178.364/0007-DSK/2009 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. STAUDIGL, Mag. HUTTERER, Dr. SOUHRADA-KIRCHMAYER, Mag. ZIMMER und Mag. MAITZ-STRASSNIG sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 27. November 2009 folgenden Beschluss gefasst:
S p r u c h
I. Der O**** GmbH in Wien wird aufgrund ihres Antrags vom 3. Juni 2009 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, Daten für die folgenden Zwecke zu übermitteln:
Zum Zweck der Einführung eines Identifizierungssystem aller Mitarbeiter des O****-Konzerns dürfen aus der Datenanwendung "Datenbank der Universal Personal Identifier der Mitarbeiter" von Arbeitnehmern, arbeitnehmerähnlichen Personen, Leiharbeitnehmern, freien Dienstnehmern, Lehrlingen, Volontären und Ferialpraktikanten (auch ehemalige Beschäftige) der Antragstellerin die folgenden Daten an die O**** Company in den USA übermittelt werden:
01 Vorname
02 Familienname
03 Kalendertag der Geburt
04 Wochentag der Geburt
05 Monat der Geburt
06 Universal Personal Identifier Code
II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Mit Schriftsatz vom 3. Juni 2009 hat die O**** (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten gestellt, zum Zweck der Erzeugung einer konzerninternen Identifikation für alle Mitarbeiter.
Der O****-Konzern plant ein System der Erzeugung eindeutiger Personalnummern für Mitarbeiter, um diese weltweit eindeutig bestimmen zu können. Die Universal Personal Identifier werden aus den im Spruch genannten Datenarten 01-05 mit Hilfe eines Computerprogramms erzeugt; der 16-stellige Code identifiziert ein Individuum innerhalb des O****-Konzerns, darüber hinaus hat dieser Code keinerlei Aussagekraft und beinhaltet keinerlei Information über die jeweilige Person. Diese eindeutige Identifikation soll auch die Datensicherheit im Konzern erhöhen, da Zugriffsrechte in Hinkunft auf diesen Code abstellen werden.
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1. Zur Genehmigungspflicht:
Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen der Empfänger in einem Staat seinen Sitz hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus im Sinne des Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:
Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie
Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "Datenbank der Universal Personal Identifier der Mitarbeiter" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.
3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:
Die Übermittlung betrifft Daten, die zur Schaffung einer globalen Identifizierungsnummer aller Konzernmitarbeiter dienen sollen. Es handelt sich somit um ein System zur Schaffung einer innerhalb des gesamten Konzernbereichs eindeutigen Personalnummer für alle Konzernangehörigen.
Die vorgesehene Übermittlung umfasst keine personenbezogenen Daten, die eingriffsintensiv - etwa durch Bezug zur Privatsphäre - wären oder besonderes Nachteilspotential hätten. Da die Übermittlung dieser Daten insofern im berechtigten Interesse des Konzerns liegt, als sie der Schaffung eines Systems mit wesentlich erhöhter Datensicherheit dient und andrerseits besondere datenschutzrechtliche Risiken für die Betroffenen angesichts der Natur der zu übermittelnden Datenarten nicht bestehen, ist vom Vorliegen eines überwiegenden berechtigten Interesses des Antragstellers und auch des Übernmittlungsempfängers an der Datenübermittlung auszugehen, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind.
3.4 Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:
32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.