K600.074/0002-DVR/2010 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ, Mag. HUTTERER, Dr. HEISSENBERGER und Mag. HEILEGGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 20. Jänner 2010 folgenden Beschluss gefasst:
S p r u c h
Unter Zugrundelegung der im Mängelrügeverfahren nach § 20 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, verbesserten Registrierungsmeldung der G**** GmbH vom 14. November 2008 betreffend die Datenanwendung "Ethik-Hotline" wird die Registrierung dieser Datenanwendung gemäß § 21 Abs. 2 DSG 2000 unter Erteilung folgender Auflagen verfügt:
B e g r ü n d u n g
I. Sachverhalt
Die G**** GmbH hat mit Schreiben vom 14. November 2008 eine Meldung für eine Datenanwendung mit der Bezeichnung "Ethik-Hotline" (Datenanwendungsnummer xxxxxxx/yyy), beim Datenverarbeitungsregister eingebracht. Diese Meldung dient zur Einrichtung eines internen Verfahrens zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität. Derartige Verfahren sind in den USA im Zusammenhang mit amerikanischen Anti-Korruptionsgesetzen wie dem Sarbanes-Oxley Act (Pub. L. No. 107-204, 116 Stat. 745), gesetzlich vorgesehen. Die beantragten Datenanwendungen orientieren sich an diesen US-amerikanischen Vorschriften.
Die Meldung wurde mehrfach verbessert. Dem Bescheid liegt die letzte Fassung der Meldung vom 6. November 2009 zugrunde. In dieser Meldung ist auch eine Übermittlung und Überlassung an die Konzernmutter in den USA, die G**** Corporation, vorgesehen. Die G**** Corporation betreibt eine eigene Abteilung, das "Global Ethics Office", um solche Beschwerden zu behandeln. das "Global Ethics Office" empfängt die Beschwerden per Post, Telefon oder E-Mail und teilt sie den jeweiligen verantwortlichen nationalen Konzernunternehmen oder der Konzernmutter selbst zu.
Die G**** Corporation hat sich zur Einhaltung der Regeln des "Safe Harbor" verpflichtet.
II. Rechtliche Erwägungen:
1. Anzuwendende Rechtsvorschriften:
§ 7 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Verwendung von Daten":
"§ 7 (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen."
§ 12 Abs. 2 DSG 2000 lautet:
"(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung."
§ 17 Abs. 1 DSG 2000, lautet unter der Überschrift "Meldepflicht des Auftraggebers":
"§ 17 (1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken."
§ 18 Abs. 2 DSG 2000 lautet:
"(2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
§ 21 Abs. 2 DSG 2000 lautet:
"(2) Bei Datenanwendungen, die gemäß § 18 Abs. 2 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist."
2. rechtliche Schlussfolgerungen:
2.1 Zur Zulässigkeit der Übermittlung und Überlassung von Daten in die USA
Hinsichtlich der Übermittlung von Daten an die G**** Corporation besteht Genehmigungsfreiheit, da dieses Unternehmen sich dem Safe Harbor unterworfen hat, sodass angemessener Datenschutz bei diesem in den USA ansässigen Unternehmen besteht. Eine separate Genehmigung gemäß § 13 DSG 2000 ist daher nicht erforderlich.
Die G**** Corporation arbeitet auch als Dienstleister der Töchter, wenn sie Beschwerden entgegennimmt, aber nicht selbst weiterbehandelt, sondern an die Töchter übergibt. Um diesem rechtlichen Verhältnis gerecht zu werden, wurde im Spruch der Abschluss einer Vereinbarung angeordnet.
2.2 Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet
Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung der für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchsdaten zuzuerkennen – die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar, die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.
Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln. Die Aufzeichnung der Meldungen durch den Hotline-Betreiber ist daher – in dieser ersten Phase – als Dienstleistung für die Antragstellerin zu begreifen. Dementsprechend bedarf es besonderer Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt ist im Bescheidspruch als aufschiebende Bedingung der Genehmigungserteilung für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft enthalten – erst wenn ein Vertrag abgeschlossen wurde zur Überlassung der mit Hilfe der Hotline ermittelten Daten an den als Dienstleister fungierenden Hotline-Betreiber, darf die Antragstellerin von der vorliegenden Genehmigung zur Übermittlung von Daten an die G**** Corporation Gebrauch machen.
2.3 Zur Rechtsgrundlage der beantragten Übermittlungen :
aa) Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden "Missbrauch" die konzerninternen Verhaltensregeln, die in ihrem bilanz- und finanzrelevanten Teil den Verpflichtungen des Sarbanes-Oxley Act nachgebildet sind. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch ihren Ethik-Führer, in dem die Verpflichtung zur Einhaltung der konzerninternen Verhaltensregeln als Weisungen des Arbeitgebers bedungen wurde. Verstöße gegen diese Verhaltensregeln werden daher zumindest arbeitsrechtlich nicht irrelevant sein, sodass dem Arbeitgeber ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen ist.
Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Eine sachliche Rechtfertigung für die Übermittlung von Missbrauchsdaten zum Zweck der Aufklärung und Untersuchung von Vorfällen wird nur dann anzunehmen sein, wenn dieser Zweck bei der Antragstellerin selbst nicht zweifelsfrei erreicht werden kann: Im Umfang der Meldung von maßgeblichen Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive und vollständige Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Angestellten betreffen wäre nicht zulässig weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann. In dem Fall, dass ein Mitarbeiter von geringerem Einfluss auf die Unternehmensführung einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze dann zulässig, wenn die Vorgesetzten ihre Aufsichtpflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.
bb) Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung einer "whistle blowing hotline" verlangt werden. Da diese Begleitmaßnahmen wesentlich sind für die Zulässigkeit der Datenanwendung, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.