K178.395/0010-DSK/2011 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. KÖNIG, Dr. ROSENMAYR-KLEMENZ, Mag. HEILEGGER und Dr. GUNDACKER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 24. August 2011 folgenden Beschluss gefasst:

S p r u c h

I. Der C**** GmbH wird aufgrund ihres mehrfach modifizierten Antrags vom 22. Juni 2010 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, aus der Datenanwendung "Personalverwaltung"

Ia) Von Mitarbeitern der Antragstellerin folgende Datenarten zur Karriere-, Nachfolge- und Projektplanung an die C**** Inc (USA) zu übermitteln:

Zur Unterstützung der Karriere-, Nachfolge- und Projektplanung dürfen folgende Daten im jeweils erforderlichen Umfang übermittelt werden:

Die Daten gemäß Pkt. I.a. dürfen nur übermittelt werden, wenn der Betroffene informiert wurde und die Übermittlung nicht verweigert hat.

Ib) Von Mitarbeitern der Antragstellerin folgende Datenarten zur internen und externen Weiterbildung bzw. Ausbildung an die C**** Inc (USA) zu übermittlen:

Zur Unterstützung der Planung und Organisation von Aus- und Weiterbildungsseminaren dürfen folgende Daten im jeweils erforderlichen Umfang übermittelt werden:

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 22. Juni 2010 hat die C**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten gestellt.

Die gegenständlichen Daten stammen aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Personalverwaltung" (xxxxxxx/yyy).

Ursprünglich waren auch Übermittlungen zu den Zwecken "Verwaltung von Bonuszahlungen" und "Reportings" aus der Datenanwendung "Personalverwaltung" beantragt, aber diese Anträge wurden mit Schriftsatz vom 15. Juni 2011 zurückgezogen, weil die gewünschten Übermittlungen genehmigungsfrei gemäß § 12 DSG 2000 realisiert werden.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig , da zum einen der Empfänger in einem Staat seinen Sitz hat, für die keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "Personalverwaltung" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.

3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

3.3.1 Übermittlung zur Karriere-, Nachfolge- und Projektplanung

Die Organisation der Karriere-, Nachfolge- und Projektplanung auf Konzernebene dient zur Koordination innerhalb des Konzerns, wobei es sich grundsätzlich um eine zulässige Aufgaben des Konzerns handelt.

Die Datenübermittlung zur Karriere-, Nachfolge- und Projektplanung betrifft Datenarten, die für diesen Zweck geeignet sind (§ 6 Abs. 1 Z 2 DSG 2000). Die Übermittlung dient zur Karriereplanung, und kann daher auch im Interesse der Mitarbeiter liegen.

Die Datenschutzkommission stellt aber die Auflage, dass die Mitarbeiter informiert werden müssen und dass eine Weigerung respektiert werden muss, wenn ein Mitarbeiter tatsächlich keine Übermittlung wünscht. Es handelt sich dabei um eine einfache Weigerung im Sinne eines "opt out", nicht um einen förmlichen Widerspruch gemäß § 28 DSG 2000.

Die vorgesehenen Übermittlungen umfassen keine personenbezogenen Daten, die eingriffsintensiv - etwa durch Bezug zur Privatsphäre - wären. Da die Übermittlung dieser Daten für die Erfüllung zulässiger Aufgaben im Konzern erforderlich ist und besondere Gefahren für die Betroffenen angesichts der Natur der zu übermittelnden Datenarten kaum bestehen, ist vom Vorliegen eines überwiegenden berechtigten Interesses an der Datenübermittlung auszugehen, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind.

3.3.2 Übermittlung zur internen und externen Weiterbildung bzw. Ausbildung

Die Planung und Durchführung von Schulungsmaßnahmen für Mitarbeiter von Konzernunternehmen ist ebenfalls eine zulässige Aufgabe des Konzerns.

Die Daten scheinen für den geplanten Zweck angemessen und besondere Gefahren für die Betroffenen angesichts der Natur der zu übermittelnden Datenarten scheinen nicht zu bestehen. Daher ist auch hier vom Vorliegen eines überwiegenden berechtigten Interesses an der Datenübermittlung auszugehen, womit die Voraussetzungen des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind.

3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und die Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.