K600.322-005/0003-DVR/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Dr. BLAHA, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 30. April 2013 folgenden Beschluss gefasst:

S p r u c h

Unter Zugrundelegung der im Mängelrügeverfahren nach § 20 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, verbesserten Registrierungsmeldung der Z**** Österreich GmbH vom 10. September 2012 betreffend die Datenanwendung "Hinweisgebersystem" (DVR-Nummer xxxxxxx/yyy) wird die Registrierung dieser Datenanwendung gemäß § 21 Abs. 2 DSG 2000 unter Erteilung folgender Auflagen verfügt:

1. Die Übermittlung von personenbezogenen Daten von Beschuldigten an die Z**** Deutschland AG ist nur hinsichtlich leitender Angestellter (oder vergleichbar verantwortlicher Personen) zulässig, die eines maßgeblichen Verstoßes (oder der Teilnahme daran) gegen den Verhaltenskodex der Z**** Deutschland AG sowie das Dokument "Änderung zum Verhaltenskodex" betreffend ordnungsgemäße Rechnungslegung und Buchhaltung, interne Rechnungslegungskontrollen, Wirtschaftsprüfung, Korruption, Bestechung, Betrug und Finanzkriminalität (soweit der mutmaßliche Vermögensschaden einen Wert von 70.000 Euro übersteigt), Geldwäsche, Insiderhandel, sowie Verstöße gegen die konzernintern verbindliche Richtlinie zum Umgang mit Geschenken bezichtigt werden.

2. Die mit der Bearbeitung von Meldungen betraute Stelle ist von den anderen Konzernstellen strikt getrennt und hat nur Personen als Mitarbeiter, die besonders geschult und ausdrücklich verantwortlich für die Vertraulichkeit der gemeldeten Daten sind.

3. Die Antragstellerin lässt anonyme Meldungen zwar zu, fördert sie aber nicht, sondern sichert vielmehr den Meldern volle Vertraulichkeit hinsichtlich ihrer Identität zu, wenn sie diese angeben.

4. Die Beschuldigten haben grundsätzlich Zugang zu Anschuldigungen.

5. Die Identität des Meldenden wird nur dann offengelegt, wenn sich nachträglich herausstellt, dass die Anschuldigung bewusst falsch erhoben wurde.

6. Die eingemeldeten Daten werden spätestens 2 Monate nach Beendigung der Untersuchung gelöscht.

7. Die Genehmigung ist an die Auflage geknüpft, dass die Mitarbeiter im Arbeitsvertrag oder sonst durch generelle Weisung oder Betriebsvereinbarung zur Meldung an den Arbeitgeber über wahrgenommene Verstöße in den obengenannten Punkten verpflichtet wurden.

8. Die Genehmigung wird weiters unter der Auflage vorgenommen, dass die Antragstellerin vor Aufnahme der Übermittlungen an die Z**** Deutschland AG die Behandlung der an die Hotline gemeldeten Daten vertraglich geregelt hat. In dieser Vereinbarung ist festzulegen, dass die F**** Partnergesellschaft von Rechtsanwälten als Dienstleister der Antragstellerin nur Meldungen mit den im Spruch bezeichneten Inhalten weiterbearbeitet und an die Konzernmutter weitergibt, während die restlichen über die Hotline allenfalls eingebrachten Meldungen nur der Antragstellerin zugänglich gemacht werden. Weiters ist zu vereinbaren, dass der Inhalt von Meldungen nach ihrer Übermittlung an die Z**** Deutschland AG bzw. nach ihrer Rück-Überlassung an die Antragstellerin beim Dienstleister umgehend gelöscht wird.

B e g r ü n d u n g

A. Vorbringen und Sachverhalt:

Die Z**** Österreich GmbH hat mit Schreiben vom 10. September 2012 eine Meldung für eine Datenanwendung mit der Bezeichnung "Hinweisgebersystem" (Datenanwendungsnummer xxxxxxx/yyy), beim Datenverarbeitungsregister eingebracht. Diese Meldung dient zur Einrichtung eines internen Verfahrens zur Meldung mutmaßlicher Missstände an die Auftraggeberin als Arbeitgeberin oder an die Konzernmutter in Deutschland, die Z**** Deutschland AG.

Die Meldung kann entweder telefonisch, per Fax, E-Mail oder Brief an den Vorgesetzten, die Personalabteilung oder den lokalen Compliance Officer oder über eine Hotline erstattet werden. Die Meldungsdaten werden in jedem Fall lokal bei der Auftraggeberin gespeichert. Soweit die Meldung einen schweren Verstoß im Sinne des Punktes 2.1. der "Änderung zum Verhaltenskodex" (die den Verhaltenskodex der Z**** Deutschland AG vom 5.5.2011 modifiziert) betrifft, sind vom Local Compliance Officer oder vom Dienstleister zum Betrieb der Hotline die Meldungsdaten an die Z**** Deutschland AG zur Ermittlung und Verfolgung zu übermitteln.

Bei den zu verfolgenden schweren Missständen, die an die Konzernmutter gemeldet werden sollen, handelt es sich um folgende Vergehen (die Aufstellung ist dem Dokument "Änderung zum Verhaltenskodex" entnommen, die den Verhaltenskodex der Z**** Deutschland AG vom 5. Mai 2011 modifiziert):

Alle übrigen Meldungen zu sonstigen Verstößen, die in der "Änderung zum Verhaltenskodex" angeführt sind, werden direkt von der Antragstellerin als Arbeitgeberin bearbeitet, oder soweit die Meldung über die Hotline erfolgte, vom Dienstleister an die Antragstellerin als Arbeitgeberin zur normalen Bearbeitung rücküberlassen.

Da die Antragsstellerin keinen Betriebsrat hat, mit dem eine Betriebsvereinbarung abgeschlossen werden könnte, wurde stattdessen eine Zustimmung der Arbeitnehmer gemäß § 10 Abs. 1 und 2 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG), BGBl. Nr. 459/1993 idgF, eingeholt. Diese Zustimmung gilt gemäß § 10 Abs. 2 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG) als unbefristet erteilt, kann allerdings für die ersten 5 Jahre ab dem Tag der Unterfertigung nicht gekündigt werden. Danach kann diese Zustimmungserklärung jederzeit ohne Angabe von Gründen fristlos gekündigt werden.

Zum Betrieb der Hotline wird ein Dienstleister eingesetzt, die F**** Partnergesellschaft von Rechtsanwälten, Steuerberatern, eingetragen im Partnerschaftsregister des AG Stuttgart unter PR xxx, in yyyyy Stuttgart.

B. In rechtlicher Hinsicht folgt daraus:

1. Anzuwendende Rechtsvorschriften

§ 7 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Verwendung von Daten":

"§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen."

§ 12 Abs. 2 DSG 2000 lautet:

"(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung."

§ 17 Abs. 1 DSG 2000, lautet unter der Überschrift "Meldepflicht des Auftraggebers":

"§ 17 (1) Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken."

§ 18 Abs. 2 DSG 2000 lautet:

"(2) Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie

§ 21 Abs. 2 DSG 2000 lautet:

"(2) Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist."

§ 10 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG) BGBl. Nr. 459/1993 idgF, lautet samt Überschrift:

"Kontrollmaßnahmen

§ 10. (1) Die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, ist unzulässig, es sei denn, diese Maßnahmen werden durch eine Betriebsvereinbarung im Sinne des § 96 Abs. 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers.

(2) Die Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden."

§ 161 deutsches Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 3 des Gesetzes vom 20. Dezember 2012 (BGBl. I S. 2751) geändert worden ist, lautet:

"Erklärung zum Corporate Governance Kodex

(1) Vorstand und Aufsichtsrat der börsennotierten Gesellschaft erklären jährlich, dass den vom Bundesministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt gemachten Empfehlungen der "Regierungskommission Deutscher Corporate Governance Kodex" entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden und warum nicht. Gleiches gilt für Vorstand und Aufsichtsrat einer Gesellschaft, die ausschließlich andere Wertpapiere als Aktien zum Handel an einem organisierten Markt im Sinn des § 2 Abs. 5 des Wertpapierhandelsgesetzes ausgegeben hat und deren ausgegebene Aktien auf eigene Veranlassung über ein multilaterales Handelssystem im Sinn des § 2 Abs. 3 Satz 1 Nr. 8 des Wertpapierhandelsgesetzes gehandelt werden.

(2) Die Erklärung ist auf der Internetseite der Gesellschaft dauerhaft öffentlich zugänglich zu machen."

2. rechtliche Schlussfolgerungen

2.1 Zur Vorabkontrolle und Erteilung von Auflagen:

Die Meldung betrifft strafrechtlich relevante Daten gemäß § 18 Abs. 2 Z DSG 2000 und unterliegt damit der Vorabkontrolle. Weiters kann die Datenschutzkommission bei Datenanwendungen, die der Vorabkontrolle unterliegen, dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilen.

Die Datenschutzkommission hat von dieser Möglichkeit bereits in früheren, ähnlich gelagerten Fällen Gebrauch gemacht, wie im Bescheid Zahl K600.074/0002-DVR/2010 vom 20. Jänner 2010. Weiters wurden Übermittlungen aus Whistleblowing-Hotlines gemäß § 13 DSG 2000 mit Bescheid genehmigt, wobei vergleichbare Auflagen erteilt wurden (Zahl K178.305/0004-DSK/2009 vom 24. Juli 2009, alle veröffentlicht im RIS).

2.2 Zur Zulässigkeit der Übermittlung und Überlassung von Daten nach Deutschland:

Hinsichtlich der Übermittlung von Daten an die Z**** Deutschland AG in Deutschland besteht Genehmigungsfreiheit, da dieses Unternehmen seinen Sitz in einem EWR-Land hat (§ 12 Abs. 1 DSG 2000). Eine separate Genehmigung gemäß § 13 DSG 2000 ist daher nicht erforderlich.

2.3 Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet:

Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung der für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchsdaten zuzuerkennen - die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar - die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.

Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln. Die Aufzeichnung der Meldungen durch den Hotline-Betreiber stellt daher eine Dienstleistung für die Antragstellerin dar. Dementsprechend bedarf es besonderer Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt ist im Bescheidspruch als Auflage für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft enthalten – erst wenn ein Vertrag zur Überlassung der mit Hilfe der Hotline ermittelten Daten an den als Dienstleister fungierenden Hotline-Betreiber abgeschlossen wurde, darf die Antragstellerin von der vorliegenden Genehmigung zur Übermittlung von Daten an die Z**** Deutschland AG Gebrauch machen.

2.4 Zur Rechtsgrundlage der beantragten Übermittlungen:

aa) Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden "Missbrauch" die konzerninternen Verhaltensregeln. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch den Verhaltenskodex, in der das Recht und auch die Aufforderung zur Meldung von schwerwiegenden Verstößen festgehalten ist. Verstöße gegen diese Verhaltensregeln werden daher zumindest arbeitsrechtlich nicht irrelevant sein, sodass dem Arbeitgeber ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen ist.

Die Rechtsgrundlage für die Konzernmutter ist der deutsche "Corporate Governance Kodex", der in Punkt 4.1.4 angemessenes Risikomanagement und Risikocontrolling im Konzern verlangt. Gemäß § 161 des deutschen Aktiengesetzes ist der Kodex verbindlich.

Die schutzwürdigen Geheimhaltungsinteressen der Mitarbeiter sind gewahrt, weil die Antragstellerin als Arbeitgeber um einem Konsens mit den Arbeitnehmern bemüht ist, und statt einer Betriebsvereinbarung, die wegen der geringen Größe der Belegschaft nicht möglich ist, eine Zustimmung der Arbeitnehmer gemäß § 10 Abs. 1 und 2 AVRAG eingeholt hat. Diese Zustimmung ist nicht als datenschutzrechtlich gültige Zustimmung zur Übermittlung zu werten (siehe § 8 Abs. 1 Z 2 DSG 2000), aber ist geeignet, die schutzwürdigen Geheimhaltungsinteressen der Betroffenen zu wahren, und repräsentiert auch ohne Betriebsrat ein Element der betrieblichen Mitbestimmung.

Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Eine sachliche Rechtfertigung für die Übermittlung von Missbrauchsdaten zum Zweck der Aufklärung und Untersuchung von Vorfällen wird nur dann anzunehmen sein, wenn dieser Zweck bei der Antragstellerin selbst nicht zweifelsfrei erreicht werden kann: Im Umfang der Meldung von maßgeblichen Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive und vollständige Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Angestellten oder Personen in vergleichbar hochgestellten Positionen betreffen wäre nicht zulässig, weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann. In dem Fall, dass ein Mitarbeiter von geringerem Einfluss auf die Unternehmensführung einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze dann zulässig, wenn die Vorgesetzten ihre Aufsichtspflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.

Die Antragstellerin hat in einem ergänzenden Vorbringen vom 6. März 2013 gegen die in der bisherigen Judikatur der Datenschutzkommission enthaltenen Einschränkung, wonach nur Verstöße von leitenden Angestellten übermittelt werden dürfen argumentiert und hat auf die Übermittlung der entsprechenden Daten aller Mitarbeiter bestanden. Ihr Argument war, dass die Antragstellerin aufgrund der niedrigen Mitarbeiterzahl und der starken Eingliederung in das operative Geschäft des Konzerns derart organisiert ist, dass mehr Mitarbeiter der Auftraggeberin entweder (i) einen selbständigen Verantwortungsbereich haben, und nicht ausschließlich vorbereitende oder ausführende Aufgaben erledigen, oder (ii) für solche Aufgaben zuständig sind, bei deren Erledigung diese zwar grundsätzlich gegenüber seinem Vorgesetzten innerhalb der Auftraggeberin verantwortlich sind, diese allerdings in enger Zusammenarbeit mit der Konzernspitze ausführen.

Die Datenschutzkommission weicht in diesem Bescheid nicht von ihrer bisherigen Judikatur ab, aber stellt klar, dass auch Personen mit einem Verantwortungsbereich, der ihnen eine ähnlich hochgestellte Position verschafft wie einem leitenden Angestellten, umfasst sein können. Diese Konstellation ist vor allem bei einer sehr kleinen Tochtergesellschaft möglich, bei der viele Mitarbeiter bedeutungsvolle Tätigkeiten ausüben, auch wenn sie keine entsprechende leitende Funktion bekleiden. Weiters bekräftigt die Datenschutzkommission ihre Judikatur, wonach eine Meldung zulässig ist, wenn Vorgesetzte ihre Aufsichtspflicht so schwer vernachlässigen, dass ihnen daraus ein Vorwurf im Sinne des Bescheidspruches gemacht werden kann. Mit dieser Regelung können Sonderfälle, in denen einfache Mitarbeiter wegen schwerer Mängel bei der Aufsicht in der Lage sind, schwerwiegende Verstöße zu verursachen, abgefangen werden.

bb) Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung einer "whistle blowing hotline" verlangt werden. Da diese Begleitmaßnahmen für die Zulässigkeit der Datenanwendung wesentlich sind, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.