K178.507/0005-DSK/2012 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. HUTTERER, Mag. HEILEGGER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 17. Oktober 2012 folgenden Beschluss gefasst:
S p r u c h
I. Der A**** GmbH wird auf Grund ihres Antrags vom 23. August 2012 gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt, aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Betrieb eines Whistleblowing-Systems" (Datenanwendungsnummer xxxxxxx/yyy) im Wege einer hiefür eigens eingerichteten Telefon–Hotline ( - im folgenden als "Whistleblowing-System" bezeichnet), die von der X**** Inc. (USA) als Dienstleister betrieben wird
A ) die folgenden Daten an die I**** Corporation (USA) zu übermitteln:
1) über leitende Unternehmensmitarbeiter oder Mitarbeiter in vergleichbarer Position der Antranstellerin, die über das Whistleblowing-System eines maßgeblichen Verstoßes (oder der
Teilnahme daran) gegen die konzernintern verbindlichen Regelungen
(festgehalten in Betriebsvereinbarungen des Arbeiter- und des Angestelltenbetriebsrates) betreffend Rechnungslegung, interne Rechnungslegungskontrolle, Fragen der Wirtschaftsprüfung, Korruption und Finanzkriminalität bezichtigt werden:
2) über Mitarbeiter der Antragstellerin, die eine Meldung im Wege der Melde -Hotline über die unter Pkt. 1 genannten Personen und Sachverhalte erstattet haben und hiebei ihre Identität offengelegt haben:
3) über dritte Personen, die in einer Meldung nach Pkt 1) hinsichtlich des gemeldeten Vorgangs als Zeugen, Auskunftspersonen oder sonst involvierte Personen benannt wurden:
B. Die Genehmigung wird unter der Auflage erteilt, dass im internen Verfahren für die Behandlung von Missbrauchsmeldungen folgende Maßnahmen garantiert sind:
1. Die Übermittlung von personenbezogenen Daten von Beschuldigten ist nur hinsichtlich leitender Angestellter zulässig, die eines maßgeblichen Verstoßes (oder der Teilnahme daran) gegen die konzernintern verbindlichen Regelungen (festgehalten in Betriebsvereinbarungen des Arbeiter- und des Angestelltenbetriebsrates) betreffend Rechnungslegung, interne Rechnungslegungskontrolle, Fragen der Wirtschaftsprüfung, Korruption und Finanzkriminalität bezichtigt werden.
2. Die mit der Bearbeitung von Meldungen betraute Stelle ist von den anderen Konzernstellen strikt getrennt und hat nur Personen als Mitarbeiter, die besonders geschult und ausdrücklich verantwortlich für die Vertraulichkeit der gemeldeten Daten sind.
3. Die Antragstellerin lässt anonyme Meldungen zwar zu, fördert sie aber nicht, sondern sichert vielmehr den Meldern volle Vertraulichkeit hinsichtlich ihrer Identität zu, wenn sie diese angeben.
4. Die Beschuldigten haben grundsätzlich Zugang zu Anschuldigungen.
5. Die Identität des Meldenden wird nur dann offengelegt, wenn sich nachträglich herausstellt, dass die Anschuldigung bewusst falsch erhoben wurde.
6. Die eingemeldeten Daten werden spätestens 2 Monate nach Beendigung der Untersuchung gelöscht, sofern sie nicht weiter für die Durchführung eines Gerichts- oder Verwaltungsverfahren oder für weitere disziplinäre oder andere amtliche Verfahren benötigt werden; in diesen Fällen werden die eingemeldeten Daten solange und in dem Umfang gespeichert, soweit dies für die Führung und den Abschluss derartiger Verfahren erforderlich ist.
7. Die Genehmigung ist an die Auflage geknüpft, dass die Mitarbeiter im Arbeitsvertrag oder sonst durch generelle Weisung oder Betriebsvereinbarung zur Meldung an den Arbeitgeber über wahrgenommene Verstöße in den obengenannten Punkten verpflichtet wurden.
8. Die Genehmigung wird weiters unter der Auflage vorgenommen, dass die Antragstellerin vor Aufnahme der Übermittlungen an I**** Corporation (USA) die Behandlung der an die Hotline gemeldeten Daten vertraglich geregelt hat. In dieser Vereinbarung ist festzulegen, dass die X**** Inc (USA) als Betreiberin der Hotline und die S**** GmbH als Dienstleister der Antragstellerin nur Meldungen mit den im Spruch bezeichneten Inhalten weiterbearbeitet und an die Konzernmutter weitergibt, während die restlichen über die Hotline allenfalls eingebrachten Meldungen nur der Antragstellerin zugänglich gemacht werden. Weiters ist zu vereinbaren, dass der Inhalt von Meldungen nach ihrer Übermittlung an die I**** Corporation bzw. nach ihrer Rück-Überlassung an die Antragstellerin beim Dienstleister umgehend gelöscht wird.
II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Die A**** GmbH hat mit Schreiben vom 23. Februar 2011 eine Meldung für eine Datenanwendung mit der Bezeichnung "Betrieb eines Whistleblowing-Systems" (Datenanwendungsnummer xxxxxxx/yyy), beim Datenverarbeitungsregister eingebracht. Diese Meldung dient zur Einrichtung eines internen Verfahrens zur Meldung mutmaßlicher Missstände an die Konzernmutter in den USA, die I**** Corporation. Dies ergibt sich aus den Betriebsvereinbarungen für die Hotline, die mit der Meldung vorgelegt. Es handelt sich um zwei Betriebsvereinbarungen, je eine der Arbeiter- und des Angestelltenbetriebsrates. Die Betriebsvereinbarungen enthalten auch eine Beschreibung des Systems.
Bei den zu verfolgenden Missständen handelt es sich um Vergehen aus den Bereichen der Rechnungslegung, interne Rechnungslegungskontrolle, Fragen der Wirtschaftsprüfung, Korruption und Finanzkriminalität. In den Betriebsvereinbarungen sind auch weitere, unspezifische Vergehen genannt ("sonstige kriminelle Aktivitäten"), aber der Umfang der an die Konzernmutter zu meldenden Daten wurde mit E-Mail vom 16. August 2012 auf die im Spruch genannten Tatbestände eingeschränkt.
Da für die Übermittlung in die USA eine Genehmigung gemäß § 13 DSG 2000 erforderlich ist, wurde ein Antrag am 23. August 2012 gestellt und die dafür erforderlichen Dokumente nachgereicht.
Zum Betrieb der Hotline wird ein Dienstleister in den USA eingesetzt, die X**** Inc, ein auf den Betrieb solcher Dienste spezialisiertes Unternehmen. X**** Inc ist Mitglied im "Safe Harbor". Weiters wurde die österreichische Anwaltskanzlei S**** GmbH als Dienstleister der Antragstellerin engagiert, um bei der Sortierung und Bearbeitung der Meldungen zu helfen.
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1. Zur Genehmigungspflicht:
Hinsichtlich der Überlassung von Daten an die mit der Führung der Hotline beauftragte X**** Inc. besteht Genehmigungsfreiheit, da dieses Unternehmen sich dem Safe Harbour unterworfen hat, sodass angemessener Datenschutz bei diesem in den USA ansässigen Dienstleister besteht.
Die beantragte Übermittlung von Daten an die I**** Corporation (USA) ist hingegen gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig , da die Empfängerin weder in einem Staat mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 ansässig ist, noch dem Safe Harbor beigetreten ist und auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.2 Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:
Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie
Der Genehmigungsantrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden: Diesbezüglich liegt eine registrierungsfähige Meldung der Antragstellerin für die Datenanwendung "Betrieb eines Whistleblowing-Systems" (Datenanwendungsnummer xxxxxxx/yyy) beim Datenverarbeitungsregister vor.
3.3 Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:
a) Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet:
Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung der für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson, sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchsdaten zuzuerkennen - die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar - die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.
Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln. Die Aufzeichnung der Meldungen durch den Hotline-Betreiber ist daher – in dieser ersten Phase – als Dienstleistung für die Antragstellerin zu begreifen. Dementsprechend bedarf es besonderer Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt ist im Bescheidspruch als Auflage für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft enthalten – erst wenn ein Vertrag zur Überlassung der mit Hilfe der Hotline ermittelten Daten an den als Dienstleister fungierenden Hotline-Betreiber abgeschlossen wurde, darf die Antragstellerin von der vorliegenden Genehmigung zur Übermittlung von Daten an die I**** Corporation Gebrauch machen.
b) Zur Rechtsgrundlage der beantragten Übermittlungen:
ba) Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden "Missbrauch" die konzerninternen Verhaltensregeln, die in ihrem bilanz- und finanzrelevanten Teil den Verpflichtungen des Sarbanes-Oxley Act nachgebildet sind, einem amerikanischen Gesetz, das für US-Konzerne gilt und die Einrichtung von Meldungssystemen an die Konzernmutter vorsehen. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch die Betriebsvereinbarungen, in denen das Recht und auch die Aufforderung zur Meldung von schwerwiegenden Verstößen festgehalten sind. Verstöße gegen diese Verhaltensregeln werden daher zumindest arbeitsrechtlich nicht irrelevant sein, sodass dem Arbeitgeber ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen ist.
Die schutzwürdigen Geheimhaltungsinteressen der Mitarbeiter sind gewahrt, weil die Antragstellerin als Arbeitgeber um einem Konsens mit den Arbeitnehmern bemüht ist, und zwei Betriebsvereinbarungen (je eine der Arbeiter- und des Angestelltenbetriebsrates), abgeschlossen wurden.
Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Eine sachliche Rechtfertigung für die Übermittlung von Missbrauchsdaten zum Zweck der Aufklärung und Untersuchung von Vorfällen wird nur dann anzunehmen sein, wenn dieser Zweck bei der Antragstellerin selbst nicht zweifelsfrei erreicht werden kann: Im Umfang der Meldung von maßgeblichen Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive und vollständige Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Angestellten betreffen wäre nicht zulässig, weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann. In dem Fall, dass ein Mitarbeiter von geringerem Einfluss auf die Unternehmensführung einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze dann zulässig, wenn die Vorgesetzten ihre Aufsichtspflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.
bb) Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung einer "whistle blowing hotline" verlangt werden. Da diese Begleitmaßnahmen für die Zulässigkeit der Datenanwendung wesentlich sind, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.
3.4 Glaubhaftmachung des angemessenen Datenschutzes beim Übermittlungsempfänger im Ausland:
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin als "Exporteur" von Daten und die I**** Corporation als "Importeur" einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II) , Amtsblatt Nr. L 385 S. 74–84, CELEX: 32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.5 Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.