K600.320-005/0003-DVR/2012 – Datenschutzkommission Entscheidung
Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. HUTTERER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER, und Dr. HEISSENBERGER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 14. Dezember 2012 folgenden Beschluss gefasst:
S p r u c h
Unter Zugrundelegung der im Mängelrügeverfahren nach § 20 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, verbesserten Registrierungsmeldung der N**** GmbH vom 2. September 2011 betreffend die Datenanwendung "Hinweisgebersystem" wird die Registrierung dieser Datenanwendung gemäß § 21 Abs. 2 DSG 2000 unter Erteilung folgender Auflagen verfügt:
1. Die Übermittlung von personenbezogenen Daten von Beschuldigten ist nur hinsichtlich leitender Angestellter zulässig, die eines maßgeblichen Verstoßes (oder der Teilnahme daran) gegen die konzernintern verbindlichen Regelungen ("N**** Group Richtlinie zum Hinweisgebersystem") betreffend die im Sachverhalt angeführten schwere Verstöße bezichtigt werden.
2. Die mit der Bearbeitung von Meldungen betraute Stelle ist von den anderen Konzernstellen strikt getrennt und hat nur Personen als Mitarbeiter, die besonders geschult und ausdrücklich verantwortlich für die Vertraulichkeit der gemeldeten Daten sind.
3. Die Antragsstellerin lässt anonyme Meldungen zwar zu, fördert sie aber nicht, sondern sichert vielmehr den Meldern volle Vertraulichkeit hinsichtlich ihrer Identität zu, wenn sie diese angeben.
4. Die Beschuldigten haben grundsätzlich Zugang zu Anschuldigungen.
5. Die Identität des Meldenden wird nur dann offengelegt, wenn sich nachträglich herausstellt, dass die Anschuldigung bewusst falsch erhoben wurde.
6. Die eingemeldeten Daten werden spätestens 2 Monate nach Beendigung der Untersuchung gelöscht.
7. Die Registrierung ist an die Auflage geknüpft, dass die Mitarbeiter im Arbeitsvertrag oder sonst durch generelle Weisung zur Einhaltung des der Behörde vorgelegten "N**** Group Richtlinie zum Hinweisgebersystem" und zur Meldung an den Arbeitgeber über wahrgenommene Verstöße gegen diesen Code verpflichtet wurden.
8. Die Registrierung wird weiters unter der aufschiebenden Bedingung verfügt, dass eine dem Sachverhalt angemessene Betriebsvereinbarung abgeschlossen wird.
B e g r ü n d u n g
A. Vorbringen und Sachverhalt:
Die N**** GmbH hat mit Schreiben vom 2. September 2011 eine Meldung für eine Datenanwendung mit der Bezeichnung "Hinweisgebersystem" (Datenanwendungsnummer xxxxxxx/yyy), beim Datenverarbeitungsregister eingebracht. Diese Meldung dient zur Einrichtung eines internen Verfahrens zur Meldung von Missständen, wobei Meldungen auf zwei unterschiedliche Arten eingebracht werden können:
Zum Einen kann ein Mitarbeiter der Auftraggeberin eine Meldung an den lokalen Compliance Officer der Auftraggeberin erstatten. Dies ergibt sich aus Punkt III.1. der Beschreibung des Hinweisgebersystems, die mit der Meldung vorgelegt wurde ("N**** Group Richtlinie zum Hinweisgebersystem"). Der Compliance Officer hat die Einordnung der jeweiligen Meldung dahin vorzunehmen, ob es sich um einen schweren Verstoß im Sinne des Punktes 2. des Dokuments "Ergänzung zur Richtlinie zum Hinweisgebersystem Version: xxx-2011 (10) final", der auf Konzernebene bearbeitet werden muss, oder um eine leichte Verfehlung, die lokal untersucht wird (Punkt 1. des genannten Dokuments), handelt. Soweit sich die Meldung auf einen schweren Verstoß bezieht, werden die Meldungen von der Auftraggeberin an die N**** Company zur Verfolgung und Ermittlung übermittelt.
Daneben soll der Mitarbeiter die Möglichkeit haben, eine direkte Meldung mutmaßlicher Missstände an die Konzernmutter in Deutschland, die N**** Company, zu erstatten. Dies ergibt sich aus Punkt III.2. der "N**** Group Richtlinie zum Hinweisgebersystem".
Meldungen in den folgenden Bereichen gelten laut "Ergänzung zur Richtlinie zum Hinweisgebersystem Version: xxx-2011 (10) final" als schwere Verstöße und sollen in beiden Fällen an die Konzernmutter zur Ermittlung und Verfolgung übermittelt werden:
Alle übrigen Verstöße, die in der N**** Group Richtlinie zum Hinweisgebersystem angeführt sind, werden an die Antragstellerin als Arbeitgeberin zur normalen Bearbeitung zurückgeleitet, egal wie sie gemeldet wurden.
Auf Anfrage der Datenschutzkommission nach einer Betriebsvereinbarung hat die Antragstellerin ein mit 20. Juli 2012 datiertes Schreiben des Betriebsausschusses der N****n GmbH vorgelegt, in dem diese die Meinung vertritt, dass das gegenständliche Hinweisgebersystem ohne Betriebsvereinbarung eingeführt werden könne. Der Betriebsausschuss verzichtete ausdrücklich auf den Abschluss einer diesbezüglichen Betriebsvereinbarung.
Zum Betrieb der Hotline wird kein Dienstleister eingesetzt.
B. In rechtlicher Hinsicht folgt daraus:
1. Anzuwendende Rechtsvorschriften
§ 7 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Verwendung von Daten":
"§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen."
§ 12 Abs. 2 DSG 2000 lautet:
"(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung."
§ 17 Abs. 1 DSG 2000, lautet unter der Überschrift "Meldepflicht des Auftraggebers":
"§ 17 (1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken."
§ 18 Abs. 2 DSG 2000 lautet:
"(2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
§ 21 Abs. 2 DSG 2000 lautet:
"(2) Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist."
§§ 96 und 96a Arbeitsverfassungsgesetz, BGBl. Nr. 22/1974 idgF., lauten samt Überschrift:
"Zustimmungspflichtige Maßnahmen
§ 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates:
(2) Betriebsvereinbarungen in den Angelegenheiten des Abs. 1 können, soweit sie keine Vorschriften über ihre Geltungsdauer enthalten, von jedem der Vertragspartner jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. § 32 Abs. 3 zweiter Satz ist nicht anzuwenden.
Ersetzbare Zustimmung
§ 96a. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates:
(2) Die Zustimmung des Betriebsrates gemäß Abs. 1 kann durch Entscheidung der Schlichtungsstelle ersetzt werden. Im Übrigen gelten §§ 32 und 97 Abs. 2 sinngemäß.
(3) Durch die Abs. 1 und 2 werden die sich aus § 96 ergebenden Zustimmungsrechte des Betriebsrates nicht berührt."
2. Rechtliche Schlussfolgerungen
2.1 Zur Vorabkontrolle und Erteilung von Auflagen:
Die Meldung betrifft strafrechtlich relevante Daten gemäß § 18 Abs. 2 Z 2 DSG 2000 und unterliegt damit der Vorabkontrolle. Weiters kann die Datenschutzkommission bei Datenanwendungen, die der Vorabkontrolle unterliegen, dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilen.
Die Datenschutzkommission hat von dieser Möglichkeit bereits in früheren, ähnlich gelagerten Fällen Gebrauch gemacht, wie im Bescheid Zahl K600.074/0002-DVR/2010 vom 20. Jänner 2010. Weiters wurden Übermittlungen aus Whistleblowing-Hotlines gemäß § 13 DSG 2000 mit Bescheid genehmigt, wobei vergleichbare Auflagen erteilt wurden (Zahl K178.305/0004- DSK/2009 vom 24. Juli 2009, alle veröffentlicht im RIS).
2.2 Zur Zulässigkeit der Übermittlung und Überlassung von Daten nach Deutschland:
Hinsichtlich der Übermittlung von Daten an die N**** Company in Deutschland besteht Genehmigungsfreiheit, da dieses Unternehmen seinen Sitz in einem EWR-Land hat (§ 12 Abs. 1 DSG 2000). Eine separate Genehmigung gemäß § 13 DSG 2000 ist daher nicht erforderlich.
2.3 Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet:
Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung der für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchsdaten zuzuerkennen - die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar - die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.
Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln.
2.4 Zur Rechtsgrundlage der beantragten Übermittlungen:
aa) Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden "Missbrauch" die konzerninternen Verhaltensregeln. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch die "N**** Group Richtlinie zum Hinweisgebersystem", in der das Recht und auch die Aufforderung zur Meldung von schwerwiegenden Verstößen festgehalten ist. Verstöße gegen diese Verhaltensregeln werden daher zumindest arbeitsrechtlich nicht irrelevant sein, sodass dem Arbeitgeber ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen ist.
Die Datenschutzkommission geht regelmäßig davon aus, dass es sich bei Kontrollsystemen wie dem hier einzuführenden um solche handelt, die den Mitwirkungsrechten der §§ 96, 96a ArbVG unterliegen. Diese Bestimmungen sind nicht disponibel und daher unabhängig von der Einschätzung des Betriebsrats einzuhalten, um dadurch auch die "Rechtmäßigkeit" der Datenanwendung als Voraussetzung für die datenschutzrechtliche Genehmigung herzustellen. Dies wird durch die Auflage lt. Punkt 8. des Spruches verdeutlicht. Die in der Stellungnahme vom 6. November 2012 von der Auftraggeberin dazu vertretene Auffassung, die von ihr geplante Maßnahme unterliege nicht den Mitwirkungsrechten des Betriebsrats, weil die Auftraggeberin ihre Mitarbeiter nicht zur Überwachung auffordere, sondern ihnen nur eine Möglichkeit der Meldung illegalen Verhaltens anbiete, überzeugt nicht. Dazu genügt - ohne dass es einer grundsätzlichen Erörterung der Tauglichkeit dieses Argumentes bedarf - schon der Hinweis auf den von der Auftraggeberin vorgelegten Verhaltenskodex, aus dem hervorgeht, dass
"Mitarbeiter ... darin bestärkt und dazu angehalten [werden],
mögliche Verletzungen des Verhaltenskodex mitzuteilen".
Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Eine sachliche Rechtfertigung für die Übermittlung von Missbrauchsdaten zum Zweck der Aufklärung und Untersuchung von Vorfällen wird nur dann anzunehmen sein, wenn dieser Zweck bei der Antragstellerin selbst nicht zweifelsfrei erreicht werden kann: Im Umfang der Meldung von maßgeblichen Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive und vollständige Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Angestellten betreffen wäre nicht zulässig, weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann. In dem Fall, dass ein Mitarbeiter von geringerem Einfluss auf die Unternehmensführung einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze dann zulässig, wenn die Vorgesetzten ihre Aufsichtspflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.
bb) Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung einer "whistle blowing hotline" verlangt werden. Da diese Begleitmaßnahmen für die Zulässigkeit der Datenanwendung wesentlich sind, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.