K178.390/0017-DSK/2010 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. HUTTERER, Mag. MAITZ-STRASSNIG, Mag. HEILEGGER und Dr. GUNDACKER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 24. November 2010 folgenden Beschluss gefasst:

S p r u c h

I. Der P**** Ltd Zweigniederlassung Österreich in Wien wird aufgrund ihres Antrags vom 26. Mai 2010, modifiziert mit Schreiben vom 30. August, 16 und 20 September 2010, gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, aus der Datenanwendung "Human Resources Management System (HRMS)" an die The P**** Company (USA) folgende Daten zu übermitteln:

Ia) Zum Zweck der Administration länderübergreifender Bonusprogramme und Stock-Option-Programme dürfen von Arbeitnehmern (einschließlich professionellen Beratern und auch ehemaligen Beschäftigte) folgende Daten übermittelt werden:

01 Personalnummer oder Ordnungsnummer

02 Vor- und Familienname, akademischer Grad / Titel 15 Eintrittsdatum / Datum der Bestellung in die Funktion 16 Organisatorische Zuordnung im Betrieb [z.B. Abteilung,

Geschäftsbereich, Tätigkeitsort inklusive (E-Mail)Adresse und Mail Stop Code, Rechtsordnung einschließlich Beginn und Ende]

17 Bezeichnung der Tätigkeit – Job Code inklusive

Tätigkeitsbezeichnung [inklusive Manager Level Info (z.B. Nicht-Manager, Direktor etc.), Vergütungsadministrationsplan, Stufe,

Wochenstunden, Fixanstellung/Aushilfe, Funktionsbereich z.B. HR. Marketing etc.]

28 Austrittsdatum bzw. Datum der Funktionsbeendigung

Ib) Zum Zweck der Unterstützung der Mitarbeiter bei Vergütungs-, Leistungs-, Mitarbeiterbeteiligungs-, und Bonusfragen sowie Hilfe bei der Einhaltung von rechtlichen und ethischen Vorschriften dürfen von Arbeitnehmern (einschließlich Kandidaten und Werkstudenten, professionellen Beratern, Praktikanten und auch ehemaligen Beschäftigte) folgende Daten übermittelt werden:

01 Personalnummer oder Ordnungsnummer

02 Vor- und Familienname, akademischer Grad / Titel 15 Eintrittsdatum / Datum der Bestellung in die Funktion 16 Organisatorische Zuordnung im Betrieb [z.B. Abteilung,

Geschäftsbereich, Tätigkeitsort inklusive (E-Mail)Adresse und Mail Stop Code, Rechtsordnung einschließlich Beginn und Ende]

17 Bezeichnung der Tätigkeit – Job Code inklusive

Tätigkeitsbezeichnung [inklusive Manager Level Info (z.B. Nicht-Manager, Direktor etc.), Vergütungsadministrationsplan, Stufe, Wochenstunden, Fixanstellung/Aushilfe, Funktionsbereich z.B. HR. Marketing etc.]

28 Austrittsdatum bzw. Datum der Funktionsbeendigung

II. Der P**** Ltd Zweigniederlassung Österreich wird weiters gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000 die Genehmigung erteilt, alle Daten der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Human Resources Management System (HRMS)" (Datenanwendungsnummer xxxxxxx/yyy) zur Führung dieser Datenanwendung an die P**** Company (USA) zu überlassen.

III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 26. Mai 2010 hat die P**** Ltd Zweigniederlassung Österreich (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung und Überlassung von personenbezogenen Daten gestellt.

Die gegenständlichen Daten stammen aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Human Resources Management System (HRMS)" (Datenanwendungsnummer xxxxxxx/yyy).

1. Die Übermittlung dient zur Verwaltung länderübergreifender Bonusprogramme und Stock-Option-Programme, die direkt mit der Konzernmutter abgeschlossen und auch über diese administriert werden.

2. Die Übermittlungszwecke "Unterstützung der Mitarbeiter bei Vergütungs-, Leistungs-, Mitarbeiterbeteiligungs-, und Bonusfragen" sowie "Hilfe bei der Einhaltung von rechtlichen und ethischen Vorschriften" betreffen einen Beratungsdienst auf Konzernebene, an den Mitarbeiter sich wenden können, wenn sie Fragen haben.

2. Anzuwendende Rechtsvorschriften:

§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen":

" § 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen."

§ 11 Abs. 1 DSG 2000 lautet unter der Überschrift "Pflichten des Dienstleisters":

" § 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen

haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:

§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":

" § 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt . Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.

(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

[ . . . ]

(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an

den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5

an den inländischen Dienstleister vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen der Empfänger in einem Staat seinen Sitz hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "Human Resources Management System (HRMS)" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.

3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

3.3.1 Zu Spruchpunkt I.a

Die Datenübermittlung zur Administration länderübergreifender Bonusprogramme und Stock-Option-Programme dient zur Erlangung von Vergünstigungen, die im Konzern vereinbart sind und ist daher grundsätzlich im Interesse der Mitarbeiter selbst, so dass eine Genehmigung ohne Zustimmung der Mitarbeiter möglich ist.

Die vorgesehenen Übermittlungen umfassen keine personenbezogenen Daten, die eingriffsintensiv - etwa durch Bezug zur Privatsphäre - wären oder besonderes Nachteilspotential hätten. Da die Übermittlung dieser Daten für die Erfüllung zulässiger Aufgaben im Konzern erforderlich ist und besondere Gefahren für die Betroffenen angesichts der Natur der zu übermittelnden Datenarten nicht bestehen, ist vom Vorliegen eines überwiegenden berechtigten Interesses an der Datenübermittlung auszugehen, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind.

3.3.2 Zu Spruchpunkt I.b

Die Übermittlung zur Unterstützung der Mitarbeiter bei Vergütungs-, Leistungs-, Mitarbeiterbeteiligungs-, und Bonusfragen sowie zur Hilfe bei der Einhaltung von rechtlichen und ethischen Vorschriften liegt im überwiegenden berechtigten Interesse der Konzernleitung an der einheitlichen, weltweiten Lösung dieser Probleme.

Auch hier sind die Daten nicht eingriffsintensiv, und die Übermittlung ist daher gemäß § 8 Abs. 1 Z 4 DSG 2000 zulässig.

3.4 Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5 Zu Spruchpunkt II

Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.

Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 "processing operations") gedeckt.

Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragsstellerin und der Empfänger jeweils einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: "Überlassung") personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: "Dienstleister") in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.6. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.