K178.387/0013-DSK/2010 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. HEISSENBERGER, Dr. ROSENMAYR-KLEMENZ und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 24. September 2010 folgenden Beschluss gefasst:

S p r u c h

I. Der N**** GmbH in Wien wird aufgrund ihres Antrags vom 11. Februar 2010, modifiziert mit Schreiben vom 15. April, 11. Mai und 26. August 2010, gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, aus der Datenanwendung "HR Analytics" folgende Daten zu übermitteln:

Ia) Von Arbeitnehmern, arbeitnehmerähnlichen Personengruppen, Leiharbeitnehmern, freien Dienstnehmern, Lehrlingen, Volontären und Ferialpraktikanten der Antragstellerin dürfen zum Zweck der Vergabe von Zugangsberechtigungen für Gebäude und Computersysteme, sofern eine organisatorische Zuständigkeit der N**** Corporation besteht, an die N**** Corporation (USA) übermittelt werden:

Ib) Von Arbeitnehmern, arbeitnehmerähnlichen Personengruppen, Leiharbeitnehmern, freien Dienstnehmern, Lehrlingen, Volontären und Ferialpraktikanten der Antragstellerin dürfen zum Zweck der Führung eines Mitarbeiterverzeichnisses im Konzern an die N**** Corporation (USA) übermittelt werden:

Ic) Von Arbeitnehmern, arbeitnehmerähnlichen Personengruppen, Leiharbeitnehmern, freien Dienstnehmern, Lehrlingen, Volontären und Ferialpraktikanten der Antragstellerin dürfen zum Zweck der Durchführung von Schulungsmaßnahmen über SOX-relevante Sachverhalte an die N**** Corporation (USA) übermittelt werden:

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 11. Februar 2010 hat die N**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten gestellt.

Der ursprüngliche Antrag umfasste auch die Überlassung von Daten, aber dieser Punkt wurde am 15. April 2010 zurückgezogen.

Die Daten stammen aus der Datenanwendung "HR Analytics", die beim Datenverarbeitungsregister gemeldet ist.

Die im Spruch genannten Daten sollen der Konzernmutter in den USA übermittelt werden. Die Übermittlungen dienen zu drei Zwecken, die im Laufe des Verfahrens herausgearbeitet wurden:

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen der Empfänger in einem Staat seinen Sitz hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "HR Analytics" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.

3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

3.3.1 Zu Spruchpunkt I.a

Die Vergabe von Zugangsberechtigungen für Gebäude und Computersysteme ist grundsätzlich ein notwendiger Dienst innerhalb eines Konzerns, der ein komplexes EDV-System betreibt und an unterschiedlichen Standorten Gebäude besitzt. Nach dem Vorbringen sollen Daten nur übermittelt werden, wenn im Rahmen eines internationalen Projektes die Zugangsberechtigungen durch die Konzernleitung vergeben werden müssen. Die Ausübung dieser Funktion durch die Konzernmutter erscheint logisch nachvollziehbar und im überwiegenden berechtigten Interesse des Auftraggebers und des Empfängers, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind.

3.3.2 Zu Spruchpunkt I.b

Bei der Führung des Mitarbeiterverzeichnisses handelt es sich um eine Kontaktdatenbank, deren Führung durch die Konzernmutter eine wesentliche Voraussetzung für die effiziente Kooperation innerhalb eines Konzerns ist. Ausreichende rechtliche Befugnis des Datenexporteurs und des Datenimporteurs zur Verwendung der in Rede stehenden Daten ist somit gegeben.

3.3.3 Zu Spruchpunkt I.c

Diese Übermittlung betrifft den Nachweis von Schulungen gegenüber der Konzernmutter. Die vorgesehenen Übermittlungen umfassen keine personenbezogenen Daten, die eingriffsintensiv - etwa durch Bezug zur Privatsphäre - wären oder besonderes Nachteilspotenzial hätten.

Die Bekämpfung der Korruption bei den Konzerntöchtern ist eine zulässige Aufgabe der Konzernleitung. Ausbildung und Schulungen zu diesem Zweck und Rückmeldungen an die Konzernmutter dienen daher der Erfüllung zulässiger Aufgaben im Konzern und besondere Gefahren für die Betroffenen bestehen angesichts der Natur der zu übermittelnden Datenarten nicht. Daher ist vom Vorliegen eines überwiegenden berechtigten Interesses an der Datenübermittlung auszugehen, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 gegeben sind.

3.4 Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.