K178.465/0011-DSK/2012 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 13. Juli 2012 folgenden Beschluss gefasst:

S p r u c h

I. Der P**** GmbH wird aufgrund Antrags vom 28. November 2011 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, aus der Datenanwendung "Zentralisierung der Spesen- und Reisekostenabrechnung mittels des T***-Systems" folgende Daten zum Zweck der zentralen Spesen- und Reisekostenabrechnung an die P**** Company (USA) zu übermitteln:

Von sämtlichen Mitarbeitern der Antragstellerin, die am T***-System teilnehmen

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 28. November 2011 hat die P**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten gestellt.

Die gegenständlichen Daten stammen aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Zentralisierung der Spesen- und Reisekostenabrechnung mittels des dafür entwickelten T***-Systems" (xxxxxxx/yyy).

Die Ermittlung und Übermittlung von Daten der Mitarbeiter umfasst die im Spruch angeführten Datenarten und dient zur zentralen Spesen- und Reisekostenabrechnung durch die Konzernmutter P**** Company in den USA. Die Konzernmutter soll die Daten über Spesen und Reisevergütungen in erster Linie kontrollieren und auf Angemessenheit prüfen sowie für die Versteuerung im Konzernverband sorgen.

Da die Antragsstellerin wegen ihrer geringen Größe keinen Betriebsrat hat, mit dem eine Betriebsvereinbarung abgeschlossen werden könnte, werden stattdessen Zustimmungen der Arbeitnehmer gemäß § 10 Abs. 1 und 2 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG), BGBl. Nr. 459/1993 idgF, eingeholt. Diese Zustimmung gilt gemäß § 10 Abs. 2 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG) für neun Jahre und kann innerhalb dieser Frist nicht widerrufen werden.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

§ 10 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG) BGBl. Nr. 459/1993 idgF, lautet samt Überschrift:

"Kontrollmaßnahmen

§ 10. (1) Die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, ist unzulässig, es sei denn, diese Maßnahmen werden durch eine Betriebsvereinbarung im Sinne des § 96 Abs. 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers.

(2) Die Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden."

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig , da zum einen der Empfänger in einem Staat seinen Sitz hat, für die keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "Zentralisierung der Spesen- und Reisekostenabrechnung mittels des dafür entwickelten T***-Systems" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.

3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

3.3.1 Übermittlung zur zentralen Spesen- und Reisekostenabrechnung Auch wenn das österreichische Recht hinsichtlich der Zulässigkeit von Datenübermittlungen kein ausdrückliches Konzernprivileg kennt (- so auch etwa Dammann-Simitis, EU-Datenschutzrichtlinie: Kommentar, Rz 6 zu Artikel 25), so ist doch davon auszugehen, dass der Konzern als zulässige Organisationsstruktur rechtlich anerkannt ist. Daraus ist abzuleiten, dass auch die Zulässigkeit jener Datenflüsse, die sich aus der Über- bzw. Unterordnung der einzelnen Konzernunternehmen notwendig ergeben, anzuerkennen ist. Wesentlich ist allerdings, dass die Notwendigkeit von Übermittlungen im Konzern nach einem strengen Maßstab beurteilt wird, damit die Verhältnismäßigkeit der von solchen Übermittlungen verursachten Eingriffe in das Recht auf Datenschutz der Betroffenen gewahrt bleibt (siehe Bescheid ua. K178.256/0005-DSK/2008 vom 6. Februar 2008).

Die Datenschutzkommission anerkennt die Kontrolle der Spesen- und Reisekostenabrechnungen der Mitarbeiter der Konzerntöchter als zulässige Aufgabe der Konzernleitung. In einem Konzernverband ist nachvollziehbar, dass die Konzernmutter bei den Spesen und Reisekosten der Mitarbeiter der Tochtergesellschaften die Übersicht behalten will, um Diskrepanzen zu vermeiden, und dass sie diese Funktion auch besser als die Töchter ausüben kann, denen mangels Vergleichsmöglichkeit Unkorrektheiten vielleicht gar nicht auffallen.

Die Konzernleitung soll auch im Verdachtsfall Spesenabrechnungen im Hinblick auf die Verletzung von Anti-Korruptionsvorschriften prüfen. Die Konzernleitung in den USA ist nach US-Gesetz verpflichtet, Bestechung bei den Töchtern zu unterbinden (Der "Foreign Corrupt Practices Act", kurz FCPA, 15 U.S.C. §§ 78dd-1, et seq.). Da Spesen sich als Mittel zur unauffälligen Abrechnung von unlauteren Zuwendungen eignen, ist die Kontrolle durch die Konzernleitung nachvollziehbar und berechtigt. Natürlich ist in erster Linie die Antragsstellerin als Arbeitgeberin angehalten, Korruption im Unternehmen zu bekämpfen, aber die Konzernmutter ist ihrerseits durch den FCPA rechtlich verpflichtet, und auch besser in der Lage, Muster fragwürdiger Praktiken zu erkennen, weil bei ihr die Daten der Töchter zusammenlaufen.

Die schutzwürdigen Geheimhaltungsinteressen der Mitarbeiter sind gewahrt, weil die Antragstellerin statt einer Betriebsvereinbarung, die mangels Bestehens eines Betriebsrates nicht möglich ist, eine Zustimmung der Arbeitnehmer gemäß § 10 Abs. 1 und 2 AVRAG eingeholt hat. Diese Zustimmung ist nicht als datenschutzrechtlich gültige Zustimmung zur Übermittlung zu werten (siehe § 8 Abs. 1 Z 2 DSG 2000), aber geeignet, die schutzwürdigen Geheimhaltungsinteressen der Betroffenen zu wahren, und repräsentiert auch ohne Betriebsrat ein Element der betrieblichen Mitbestimmung.

Kontrollen sollen nur im Verdachtsfall stattfinden. Das System dient nicht primär zur Kontrolle der Mitarbeiter, wie sich aus den vorgelegten Standardvertragsklauseln ergibt. Die Datenschutzkommission hält die darin enthaltenen Erklärungen für ausreichend, sodass keine Zweifel mehr bestehen, dass hier ein überwiegendes berechtigtes Interesse des Auftraggebers besteht und schutzwürdige Geheimhaltungsinteressen der Mitarbeiter durch die beabsichtigte Übermittlung nicht verletzt werden.

3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und die Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.