Norm
DSG 2000 §10 Abs1Text
GZ: DSB-K178.512/0002-DSB/2014 vom 5. Februar 2014
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
Spruch
Die Datenschutzbehörde entscheidet über den Antrag der S*** Europe GmbH, *34* F***stadt, L***straße 3**, vom 19. September 2012 auf Genehmigung im internationalen Datenverkehr wie folgt:
I. Der S*** Europe GmbH wird gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000 die Genehmigung erteilt, Daten aus den in der Folge genannten Datenanwendungen an die S*** Information Services Inc (USA) zum Zweck des Hosting zu überlassen:
? **5*8*9/002 „Verwaltung von Benutzerkennzeichen“
? **5*8*9/007 „Mitarbeiterverzeichnis und Organigramm“
? Standardanwendung SA001 „Rechnungswesen und Logistik“
Jede Weiterverwendung der überlassenen Daten beim Empfänger für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und den Empfängern unterzeichneten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke des Empfängers, ist untersagt.
II. Der Antrag auf Überlassung der Daten aus der Datenanwendung DVR **5*8*9/005 „SK**/HR**- Talentmanagementsystem welches der Datenverarbeitung zur Mitarbeiterbeurteilung und –weiterentwicklung dient“ an die S*** Information Services Inc (USA) wird gemäß § 12 Abs. 2 DSG 2000 wegen Genehmigungsfreiheit zurückgewiesen.
III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
Begründung
1. Sachverhalt:
Mit Schriftsatz vom 19. September 2012 hat die S*** Europe GmbH (in weiterer Folge „Antragstellerin“) einen Antrag auf Überlassung an einen Dienstleister in den USA eingebracht.
Der Antrag umfasst die Überlassung aller Datenarten aus den im Spruch genannten Datenanwendungen, die bereits unter den angeführten DVR-Nummern registriert sind, sowie Daten aus der nicht meldepflichtigen Standardanwendung SA001 „Rechnungswesen und Logistik“.
Der Dienstleister in den USA ist Mitglied im „Safe Harbor“, aber seine Safe-Harbor-Erklärung war so eng formuliert, dass ein guter Teil der geplanten Überlassungen nicht abgedeckt scheint. Aus diesem Grund wurden Standardvertragsklauseln für Überlassung abgeschlossen und eine Genehmigung beantragt.
Der Dienstleister soll für die Antragstellerin Hosting-Leistungen erbringen.
2. Rechtlich war zu erwägen:
2.1. Zur Genehmigungspflicht:
Die USA sind kein Land mit einem allgemein angemessenen Datenschutzniveau gemäß § 12 Abs. 2 DSG 2000 und der Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF. Es gibt aber die „Safe Harbor“-Regelung, mit deren Hilfe Unternehmen in den USA durch eigene Zusagen als Empfänger mit angemessenem Datenschutzniveau gelten können. Im vorliegenden Fall ist der Dienstleister Mitglied im „Safe Harbor“, was gemäß § 1 Abs. 2 Z 1 DSAV Genehmigungsfreiheit bedeuten würde, aber seine Safe-Harbor-Erklärung war so eng formuliert, dass ein guter Teil der geplanten Überlassungen nicht abgedeckt scheint. Um Komplikationen zu vermeiden wird daher eine Genehmigung für die Datenanwendungen erteilt, bei denen der Umfang der Safe-Harbor-Erklärung problematisch erscheint.
Nur die Datenanwendung DVR **5*8*9/005 „SK**/HR**- Talentmanagementsystem welches der Datenverarbeitung zur Mitarbeiterbeurteilung und –weiterentwicklung dient“ scheint ohne Zweifel vollinhaltlich durch die Safe-Harbor-Erklärung des Dienstleisters abgedeckt. Der Antrag auf Überlassung war daher in diesem Punkt zurückzuweisen.
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
2.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:
Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Sie stammen aus beim Datenverarbeitungsregister registrierten Datenanwendungen, die im Spruch genannt sind sowie der nicht meldepflichtigen Standardanwendungen Standardanwendung SA001 „Rechnungswesen und Logistik“.
Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.
2.3. Glaubhaftmachung des angemessenen Datenschutzes
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin und der Empfänger einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: „Überlassung“) personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: „Dienstleister“) in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
2.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.
Schlagworte
IDVK, USA, Überlassung, teilweise Genehmigungspflicht, Dienstleister im Safe Harbor, Standardvertragsklauseln, Standandardanwendungen, Datenverwendung im Konzern, Mitarbeiterdaten, Verwaltung von Benutzerkennzeichen, Mitarbeiterverzeichnis und Organigramm, Rechnungswesen und LogistikEuropean Case Law Identifier (ECLI)
ECLI:AT:DSB:2014:DSB.K178.512.0002.DSB.2014Zuletzt aktualisiert am
01.08.2014