K178.415/0010-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Mag. HEILEGGER, Dr. ROSENMAYR-KLEMENZ, Dr. BLAHA, Dr. GUNDACKER und Dr. SOUHRADA-KIRCHMAYER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 6. September 2013 folgenden Beschluss gefasst:

S p r u c h

I. Der E**** GmbH wird aufgrund Antrags vom 14. Dezember 2010 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000, die Genehmigung erteilt, aus der Datenanwendung "Großkundenbetreuung und Marketing für eigene Zwecke" folgende Daten zum Zweck der weltweiten Betreuung der Kunden und Interessenten durch andere Konzernunternehmen an die Konzernzentrale in den USA sowie Konzernunternehmen in China (Hong Kong), Südafrika, USA, Australien, China, Monaco, Japan, Korea, Malaysia, Philippinen, Singapur, Taiwan, Thailand, Vietnam, Serbien, Türkei, Marokko, Costa Rica, Dominikanische Republik, El Salvador, Guatemala, Honduras, Mexico, Nicaragua, Panama, Bolivien, Brasilien, Chile, Kolumbien, Ecuador, Paraguay, Peru, Venezuela und Indien zu übermitteln:

Ia) Von eigenen Großkunden und Interessenten, die an den Auftraggeber selbst herangetreten sind:

01 Ordnungsnummer

02 Name (Titel, akad. Grad) bzw. Bezeichnung

03 Anrede/Geschlecht

04 Anschrift

05 Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben

06 Sperrkennzeichen für Werbeaktionen des Auftraggebers 07 Untersagung der Übermittlung der Daten an Adressverlage 08 Berufs-, Branchen- und Geschäftsbezeichnung

09 Firmenbuchdaten

10 Korrespondenzsprache, sonstige Vereinbarungen und Schlüssel zum Datenaustausch

11 Geburtsdatum, wenn vom Betroffenen angegeben

12 Familienstand, wenn vom Betroffenen angegeben

13 Nachfrageinteressen (auf Grund bisherigen Nachfrageverhaltens oder eigener Angaben des Kunden gegenüber dem Auftraggeber) 14 Kaufkraftklassifizierung

15 Betreuungsdaten (wie: zugesandtes Werbematerial, Besuchsrythmus etc.)

16 Kaufverhalten (Frequenz und Volumen)

17 Sonstiges Antwortverhalten zu Werbeaktivitäten des Auftraggebers 18 Bonus- und sonstige Vorteilsdaten, die sich aus der Kunden- oder Interessenteneigenschaft ergeben

Ib) Von Kontaktpersonen beim Großkunden oder Interessenten:

19 Ordnungsnummer

20 Name (Titel, akad. Grad, Anrede/Geschlecht) bzw. Bezeichnung 21 Zugehöriger Kunde oder Interessent (Bezeichnung und Anschrift) 22 Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen, die sich durch moderne

Kommunikationstechniken ergeben

23 Korrespondenzsprache

24 Funktion oder betreutes Aufgabengebiet beim Kunden oder

Interessenten

II. Der Antrag auf Übermittlung von Daten von potentiellen Interessenten, deren Adressen von Adressverlagen zugekauft (gemietet) oder selbst ermittelt wurden, wird abgewiesen.

III. Der Antrag auf Übermittlung an Empfänger in Israel, Uruguay und Kanada wird gemäß § 12 Abs. 2 DSG 2000 iVm der Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF., wegen Genehmigungsfreiheit zurückgewiesen.

IV. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 14. Dezember 2010 hat die E**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten gestellt.

Die gegenständlichen Daten stammen aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Großkundenbetreuung und Marketing für eigene Zwecke" (xxxxxxx/yyy).

Die Ermittlung und Übermittlung von Daten der Kunden und Interessenten umfasst die im Spruch angeführten Datenarten und dient zur weltweiten Betreuung der Großkunden und Interessenten im Rahmen eines Konzernverbandes.

Der Antrag umfasste auch die Übermittlung der folgenden Datenarten von potentiellen Interessenten, deren Adressen von Adressverlagen zugekauft (gemietet) oder selbst ermittelt wurden:

27 Name (Titel, akad. Grad) bzw. Bezeichnung

28 Anschrift

29 Öffentlich zugängliche Daten, soweit diese für den Werbezweck

relevant sind

30 Zugehörigkeit zu einer bestimmten Interessentenklasse 31 Antwortverhalten zu Werbeaktivitäten des Auftraggebers

2. Anzuwendende Rechtsvorschriften:

§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":

" § 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt . Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.

(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

[ . . . ]

(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an

den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5

an den inländischen Dienstleister vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

§ 1 Abs. 1 und 2 der Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999, lauten auszugsweise:

" § 1. (1) Die Übermittlung und Überlassung von Daten aus Datenanwendungen an Empfänger in Staaten, die weder Mitgliedstaaten der Europäischen Union noch Vertragsparteien des Abkommens über den Europäischen Wirtschaftsraum (EWR-Abkommen) sind (Drittstaaten), bedarf keiner Genehmigung der Datenschutzkommission, wenn die Übermittlung oder Überlassung in einen der folgenden Drittstaaten oder in eines der folgenden, für die Zwecke dieser Verordnung als Drittstaaten geltenden Gebiete erfolgt:

[…]

8. Uruguay,

[…]

(2) Die Übermittlung und Überlassung von Daten aus Datenanwendungen an Empfänger in Drittstaaten bedarf dann keiner Genehmigung der Datenschutzkommission, wenn die Übermittlung oder Überlassung in einen der folgenden Staaten entsprechend der angeführten Voraussetzungen erfolgt:

[…]

3. Rechtlich war zu erwägen:

3.1. Zur Genehmigungspflicht:

Der beantragte Datenverkehr ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig , da zum einen die Empfänger in Staaten ihren Sitz haben, für die keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Art. 25 RL 95/46/EG besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Der Antrag auf Übermittlung in Länder, für die gemäß § 12 Abs. 2 DSG 2000 iVm der Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF., Genehmigungsfreiheit besteht, war zurückzuweisen.

3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die diesbezügliche Meldung der Antragstellerin beim Datenverarbeitungsregister für die Datenanwendung "Großkundenbetreuung und Marketing für eigene Zwecke" (Datenanwendungsnummer xxxxxxx/yyy) ist registrierungsfähig.

3.3. Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:

3.3.1 Übermittlung zur Betreuung der Großkunden und Interessenten

Das österreichische Recht kennt hinsichtlich der Zulässigkeit von Datenübermittlungen kein Konzernprivileg (so auch etwa Dammann-Simitis, EU-Datenschutzrichtlinie: Kommentar, Rz 6 zu Artikel 25). Da der Konzern jedoch als zulässige Organisationsstruktur rechtlich anerkannt ist, ist in den zu prüfenden Konstellationen – das Vorliegen eines überwiegenden berechtigten Interesse an konzerninternen Übermittlungen an zu erkennen. Wesentlich ist allerdings, dass die Notwendigkeit von Übermittlungen im Konzern nach einem strengen Maßstab beurteilt wird, damit die Verhältnismäßigkeit der von solchen Übermittlungen verursachten Eingriffe in das Recht auf Datenschutz der Betroffenen gewahrt bleibt (siehe Bescheid ua. K178.256/0005-DSK/2008 vom 6. Februar 2008).

Die Betreuung der Großkunden und Interessenten im Rahmen eines Konzernverbundes ist im vorliegenden Fall besonders bedeutungsvoll, weil die Antragstellerin Mitglied eines Konzerns ist, der sich mit Personalbereitstellung befasst und daher gesuchtes Personal möglicherweise über ein ausländisches Schwesterunternehmen verfügbar ist. Im Gegensatz zu einem Konzern, der ein festes Produktsortiment in allen Ländern über seine Töchter anbietet, ist hier ein verstärktes rechtliches Interesse an der Einbindung anderer Konzerngesellschaften bei der Vermittlung von Arbeitskräften nachvollziehbar. Ebenso gewährt der Konzern manchen Kunden besondere Vorteile (Datenart 18), wofür ebenfalls der Datensatz benötigt wird. Die Datenschutzkommission erkennt hier ein überwiegendes berechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 DSG 2000.

3.3.2 Zur Übermittlung der Daten potentieller Interessenten

Bei den potentiellen Interessenten, deren Adressen von Adressverlagen zugekauft (gemietet) oder selbst ermittelt wurden, handelt es sich um Betroffene, die nicht Kunden und nicht einmal Interessenten sind. Nach Ansicht der Datenschutzkommission liegt der Zweck dieser Übermittlung in der Werbung, nicht mehr in der Betreuung. Soweit Übermittlungen von Daten potentieller Interessenten an andere Konzernunternehmen nicht durch Zustimmung der Betroffenen rechtlich abgesichert sind, fehlt es an einer tauglichen Rechtsgrundlage für derartige Übermittlungen. Während Werbung für eigene Produkte bei den eigenen Kunden und Interessenten nach herrschender Auffassung auch ohne deren Zustimmung zulässig ist, solange sie nicht Widerspruch erhoben haben, kann an der Übermittlung von Kunden- und Interessentendaten an Dritte ein überwiegendes berechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 DSG 2000 nicht erkannt werden. Der Begriff der Betreuung endet auch bei großzügiger Auslegung dort, wo nie eine geschäftliche Beziehung bestanden hat (siehe auch Bescheid K178.248/0006-DSK/2007 vom 15. Juni 2007, Punkt b.1 der Begründung).

3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und die Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.