K178.399/0004-DSK/2011 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

[Dieser Bescheid wurde mit der Entscheidung K178.447/0009-DSK/2012 vom 27. Juni 2012 inhaltlich erweitert]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. SOUHRADA-KIRCHMAYER, Mag. ZIMMER, Mag. MAITZ-STRASSNIG und Dr. GUNDACKER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 21. Jänner 2011 folgenden Beschluss gefasst:

S p r u c h

I. Der T**** AG wird aufgrund ihres mehrfach modifizierten Antrags vom 27. April 2010 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, aus der Datenanwendung "Personalverwaltung für privatrechtliche Dienstverhältnisse" Daten in dem dargestellten Umfang zu übermitteln:

Ia) Zum Zweck der Kommunikation im Konzern dürfen die folgenden Daten von Arbeitnehmern (inklusive regulären, vorübergehenden, Voll- oder Teilzeitkräften) sowie unabhängigen Vertragspartnern an Konzernfirmen des T****-Konzerns in den USA, Volksrepublik China, Republik Korea (Südkorea), Republik China (Taiwan), Republik Singapur und Israel übermittelt werden:

Ib) Zur Verwaltung von Daten für das konzernweite Bonusprogramm durch die Konzernmutter dürfen die folgenden Daten von Arbeitnehmern (inklusive regulären, vorübergehenden, Voll- oder Teilzeitkräften) an die T**** Corporation in den USA übermittelt werden:

Die Genehmigung wird unter der Auflage erteilt, dass nur solche Dateninhalte übermittelt werden, die vom Betroffenen selbst und freiwillig zwecks Übermittlung an die T**** Corporation angegeben wurden.

Ic) Zur Verwaltung von Daten für das konzernweite Sicherheitssystem durch die Konzernmutter dürfen die folgenden Daten von Arbeitnehmern (inklusive regulären, vorübergehenden, Voll- oder Teilzeitkräften) sowie unabhängigen Vertragspartnern an die T**** Corporation in den USA übermittelt werden:

II. Der Antrag auf Übermittlung von personenbezogenen Daten nach Frankreich, Deutschland, Irland, Italien. Niederlande, in das Vereinigte Königreich und in die Schweiz wird gemäß § 12 Abs. 1 bis 3 DSG 2000 wegen Genehmigungsfreiheit zurückgewiesen

III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 27. April 2010 hat die T**** AG (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung und Überlassung von personenbezogenen Daten gestellt.

Die gegenständlichen Daten stammen aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Personalverwaltung für privatrechtliche Dienstverhältnisse" (Datenanwendungsnummer xxxxxxx/yyy). Der ursprüngliche Antrag umfasste auch Übermittlungen von Daten von Kunden, Lieferanten und Geschäftspartnern, wurde aber mit Schriftsatz vom 15. Juli 2010 zurückgezogen.

Die Übermittlung umfasst mehrere Blöcke von Datenarten aus der genannten Datenanwendung, die im Bescheidspruch angeführt sind.

Die Datenblöcke betreffen die Kommunikation im Konzern, das konzernweite Bonusprogramm und das konzernweite Sicherheitssystem.

Die Daten zur Kommunikation im Konzern umfassen ein weltweit geführtes Mitarbeiterverzeichnis. Die Daten zum Bonusprogramm betreffen ein freiwilliges System bei dem Mitarbeiter Firmenanteile erwerben und sich an einem Pensionssystem des Konzerns beteiligen können. Die Daten zum konzernweiten Sicherheitssystem dienen zur Regelung des Zugangs zu Betriebsanlagen weltweit, die von der Konzernmutter in den USA verwaltet werden.

2. Anzuwendende Rechtsvorschriften:

§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen":

" § 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen."

§ 11 Abs. 1 DSG 2000 lautet unter der Überschrift "Pflichten des Dienstleisters":

" § 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen

haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:

§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":

" § 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt . Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.

(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

[ . . . ]

(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an

den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5

an den inländischen Dienstleister vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen die Empfänger in Staaten ihren Sitz haben, für die keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Soweit sich der Antrag auf Erteilung einer Genehmigung zur Übermittlung auf empfangende Konzerngesellschaften mit Sitz in der EU (Frankreich, Deutschland, Irland, Italien, Niederlande und das Vereinigte Königreich) bezogen hat, war er wegen Genehmigungsfreiheit im EWR gem. § 12 Abs. 1 DSG 2000 zurückzuweisen.

Für Übermittlungen an Konzerngesellschaften mit Sitz in der Schweiz gilt, dass infolge des von der EU-Kommission festgestellten angemessenen Datenschutzes in diesem Land gem. § 12 Abs. 2 DSG 2000 ebenfalls Genehmigungsfreiheit für Übermittlungen besteht, weshalb der Genehmigungsantrag insoweit ebenfalls zurückzuweisen war.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "Personalverwaltung für privatrechtliche Dienstverhältnisse" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.

3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

3.3.1 Zu Spruchpunkt I.a

Hierbei handelt es sich um eine Kontaktdatenbank, deren Führung durch die Konzernmutter eine wesentliche Voraussetzung für die effiziente Kooperation innerhalb eines Konzerns ist. Ausreichende rechtliche Befugnis des Datenexporteurs und des Datenimporteurs zur Verwendung der in Rede stehenden Daten ist somit gegeben, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind. Die Übermittlung der Datenart "Lichtbild" geschieht nur auf freiwilliger Basis.

3.3.2 Zu Spruchpunkt I.b

Diese Daten werden zur Erbringung von Bonusleistungen auf Konzernebene übermittelt. Die Übermittlung dieser Daten dient zur Verwaltung von derartigen Vergünstigungen und ist damit grundsätzlich im Interesse der Betroffenen sowie der beteiligten Konzernunternehmen. Auch hier wird mit einer Auflage die im Vorbringen bereits enthaltene Freiwilligkeit festgeschrieben. Eine formale Zustimmung im Sinne des § 12 Abs. 3 Z 5 DSG 2000 ist dabei nicht erforderlich, nur der grundsätzlich freiwillige Charakter des Systems.

3.3.3 Zu Spruchpunkt I.c

Die Übermittlung zur Verwaltung des Zugangs zu Betriebsanlagen weltweit dient einem überwiegenden berechtigten Interesse der Konzernleitung an der Sicherung des Zuganges zu den Betriebsanlagen des Konzerns weltweit.

Die Daten sind nicht eingriffsintensiv, und die Übermittlung ist daher gemäß § 8 Abs. 1 Z 4 DSG 2000 zulässig.

3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und die Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.