K178.424/0007-DSK/2011 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ und Mag. HEILEGGER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 17. Juni 2011 folgenden Beschluss gefasst:

S p r u c h

I. Der F**** GmbH in X****, wird aufgrund ihres Antrages vom 16. März 2011 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000 die Genehmigung erteilt, die folgenden Daten an die G**** India Private Limited (Republik Indien) zu überlassen:

1a) Von Kontaktpersonen bei Kunden und Lieferanten der Antragsstellerin dürfen aus der Standardanwendung SA001 "Rechnungswesen und Logistik" folgende Daten zum Zweck der Kontaktaufnahme zum Austausch geschäftlicher Informationen überlassen werden:

69 Ordnungsnummer

70 Name (Titel, akad. Grad, Anrede/Geschlecht)

71 Zugehöriger Kunde, Lieferant oder Dritter

72 Zusätzliche Daten zur Adressierung beim Kunden, Lieferanten

oder Dritten

73 Korrespondenzsprachen, sonstige Vereinbarungen und Schlüssel

zum Datenaustausch

74 Funktion des Betroffenen beim Leistungsempfänger

oder Leistungserbringer

75 Umfang der Vertretungsbefugnis

76 Vom Betroffenen bearbeitete Geschäftsfälle

1b) Von Mitarbeitern der Antragsstellerin dürfen aus der Standardanwendung SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" folgende Daten zur Durchführung von Zahlungen sowie Kontaktaufnahme bei Rückfragen im Hinblick auf Ausgaben überlassen werden:

02 Vor- und Familienname, akad. Grad / Titel

11 Bankverbindung

13 Telefon- und Faxnummer und andere zur Adressierung im Betrieb erforderliche Informationen, die sich durch

moderne Kommunikationstechniken ergeben

14 Wohnadresse

15 Private Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch

moderne Kommunikationstechniken ergeben (soweit nicht vom Betroffenen ausdrücklich untersagt)

31 Lichtbild des Betroffenen (für Ausweiskarten)

Die Überlassung der Datenart "31 Lichtbild des Betroffenen (für Ausweiskarten)" wird insofern genehmigt, dass der Dienstleister sie einsehen kann, aber sie nicht bearbeitet.

Jede Weiterverwendung der überlassenen Daten bei den Empfängern für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und den Empfängern unterzeichneten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke der Empfänger, ist untersagt.

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 16. März 2011 hat die F**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten an einen Dienstleister in der Republik Indien gestellt.

Der Antrag umfasst die Überlassung der im Spruch angeführten Datenarten aus den Standardanwendungen SA001 "Rechnungswesen und Logistik" und SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse".

Die Überlassung umfasst auch die Datenart "31 Lichtbild des Betroffenen (für Ausweiskarten)". Dazu wurde vorgebracht, dass der Dienstleister diese Datenart nur einsehen kann, aber nicht bearbeitet.

Der Dienstleister soll hinsichtlich der Mitarbeiter der Antragstellerin bei der Durchführung von Zahlungen sowie Kontaktaufnahme bei Rückfragen im Hinblick auf Ausgaben helfen, und hinsichtlich der Kontaktpersonen bei Kunden und Lieferanten bei der Kontaktaufnahme zum Austausch geschäftlicher Informationen helfen.

2. Anzuwendende Rechtsvorschriften:

§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen":

" § 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen."

§ 11 Abs. 1 DSG 2000 lautet unter der Überschrift "Pflichten des Dienstleisters":

" § 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen

haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:

§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":

" § 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt . Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.

(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

[ . . . ]

(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an

den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5

an den inländischen Dienstleister vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Die beantragte Überlassung an ein Unternehmen mit Sitz in der Republik Indien ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen der Empfänger seinen Sitz in einem Staat hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus Datenanwendungen, deren Umfang von den Standardanwendungen SA001 "Rechnungswesen und Logistik"" und SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" der Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, abgedeckt ist.

Die Überlassung der Datenart "31 Lichtbild des Betroffenen (für Ausweiskarten)" aus der der Standardanwendung SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" wird insofern genehmigt, als der Dienstleister die Datenart einsehen kann, auch wenn er sie nicht bearbeitet. Die Möglichkeit, Daten einzusehen, stellt bereits eine Weitergabe an den Dienstleister dar, auch wenn dieser sie nicht verändern kann oder darf.

Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.

Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 "processing operations") gedeckt.

3.3. Glaubhaftmachung des angemessenen Datenschutzes

Zur Glaubhaftmachung des angemessenen Datenschutzes bei den Empfängern im Ausland haben die Antragsstellerin und die Empfänger jeweils einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: "Überlassung") personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: "Dienstleister") in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.