DSB K178.246/0003-DSK/2007

[Anmerkung Bearbeiter: Namen (Firmen), (Internet‑)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. ROSENMAYR-KLEMENZ, Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 14. Februar 2007 folgenden Beschluss gefasst:

S p r u c h

I. Aufgrund des Antrages vom 14. November 2006 wird der F**** GmbH, Wien (in der Folge "Antragstellerin"), die Genehmigung erteilt, folgende in Österreich verarbeitete personenbezogenen Daten von Mitarbeitern zum Zweck der Personalabrechnung an die F**** Inc., USA, als Dienstleister zu überlassen:

• Personalnummer und Firmenkurzzeichen
• Kostenstelle. Dienstort; Abrechnungsstelle
• Mitarbeitergruppe (z.B. regular employee)
• Org. Einheit, Tätigkeitsbezeichnung
• Mitarbeiterstatus (z.B. Aktiv/ausgeschieden)
• Name, Vorname, Geburtsname, Geburtsort
• Firmen- und Privatanschrift, geschäftliche Kommunikationsdaten
• Arbeitszeitmodell (Tages-, Wochen-, Monats- Jahresstunden)
• Gehaltsplan, Grundgehalt, Jahreszielgehalt, variabler Leistungsanteil
• Eintritt- und Austrittsdatum
• IT-Username, e-Mail-Account
• Einmalzahlungen, Erstattungen (z.B. Parkgebühr), Überstundenauszahlungen
• KFZ-Sachbezüge
• Abwesenheitsdaten (UrIaub, krank, Wochenhilfe etc)

• Anwesenheitsdaten

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

A. Sachverhalt:

1. Die Antragstellerin hat mit Schreiben vom 14. November 2006 einen Antrag auf Genehmigung zur Überlassung von personenbezogenen Daten gestellt. Es handelt sich dabei um personenbezogene Daten von Mitarbeitern aus der Datenanwendung "Personalverwaltung mit DV-Unterstützung durch die konzernverbundene Gesellschaft F**** GmbH & Co KG, Deutschland", die beim Datenverarbeitungsregister unter der Datenanwendungsnummer xxxxxxx/xxx gemeldet ist.

Die Daten sollen zum Zweck der Personalabrechnung an ein Konzernunternehmen in Deutschland überlassen werden, wobei sich die Rechner in den USA befinden und von der F**** Inc. betrieben werden.

Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen der Antragstellerin.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland":

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

1. 1. für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; dies ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung eine Rolle spielen, wie insbesondere die Art der verwendeten Daten, die Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und das Endbestimmungsland und die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards; oder
2. 2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche Zusicherungen des Empfängers an den Antragsteller über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein."

Rechtliche Erwägungen:

1. Die beantragte Überlassung von Daten ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig, da die USA nicht zu den Staaten zählen die gemäß § 12 Abs. 2 DSG 2000 von der Genehmigungspflicht ausgenommen sind.

2. Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegt eine Meldungen des Antragstellers für die Datenanwendung "Personalverwaltung mit DV-Unterstützung durch die konzernverbundene Gesellschaft F**** GmbH & Co KG, Deutschland" unter der Datenanwendungs-Nummer xxxxxxx/xxx beim Datenverarbeitungsregister vor.

3. Für eine Genehmigung der Übermittlung oder Überlassung von Daten ins Ausland in Fällen, die nicht dem § 12 Abs. 1 bis 3 unterliegen, ist weiters die Glaubhaftmachung angemessenen Schutzes beim Empfänger nach § 13 Abs. 2 DSG 2000 Voraussetzung.

Die Antragstellerin hat diesbezüglich einen Vertrag vorgelegt, den sie mit der Empfängerin der Daten in den USA abgeschlossen hat. Dieser Vertrag ist eine unveränderte Fassung der Standardvertragsklauseln für die Überlassung an Dienstleister (Entscheidung der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG , 2002/16/EG , CELEX: 32002D0016 , Amtsblatt Nr. L 006 vom 10/01/2002 S. 52 – 62).

4. Die vorliegende Genehmigung ist auf die Überlassung von Daten an die F**** Inc., USA, als Dienstleister beschränkt und ermächtigt nicht zu der in der vorgelegten Betriebsvereinbarung ebenfalls angesprochenen allfälligen Weiterverwendung der überlassenen Daten durch den Empfänger oder andere konzernverbundene Unternehmen für eigene Zwecke.

5. Da im Übrigen antragsgemäß entschieden wurde, konnte eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.

Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.