Norm
DSG 2000 §10;Text
[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KÖNIG, Mag. HUTTERER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 13. Dezember 2013 folgenden Beschluss gefasst:
S p r u c h
I. Der D**** GmbH wird aufgrund ihres Antrages vom 10. September 2013 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000 die Genehmigung erteilt, in folgendem Ausmaß Daten an die D**** Limited (Republik Indien) zur Speicherung (Hosting), Wartung, Erbringung von Supportleistungen und zur Auswertung zu überlassen:
I.a Aus der Standardanwendung SA001 "Rechnungswesen und Logistik" dürfen folgende Datenarten überlassen werden:
Von Kunden oder Lieferanten des Auftraggebers (Empfänger und Erbringer von Lieferungen oder Leistungen):
01 Ordnungsnummer
02 Name bzw. Bezeichnung
03 Anrede/Geschlecht
04 Anschrift
05 Telefon- und Faxnummer und andere zur Adressierung erforderliche
Informationen, die sich durch moderne Kommunikationstechniken ergeben
06 Geburtsjahr (soweit zur Identifikation unbedingt notwendig) 07 Geburtstag und -monat (soweit zur Identifikation unbedingt notwendig)
08 Firmenbuchdaten
09 Daten zur Bonität
10 Sperrkennzeichen (z. B. Kontaktsperre, Rechnungssperre, Liefersperre, Buchungssperre, Zahlungssperre)
11 Zuordnung zu einer bestimmten Kunden- und Lieferantenkategorie (einschließlich regionale Zuordnung, usw.) 12 Kenn-Nummern für Zwecke amtlicher Statistik wie UID-Nummer
und Intrastat-Kenn-Nummer
13 Zugehörigkeit zu einem bestimmten Einkaufsverband, Konzern 14 Korrespondenzsprachen, sonstige Vereinbarungen und Schlüssel zum Datenaustausch
15 Gegenstand der Lieferung oder Leistung
16 Bonus-, Provisionsdaten und dgl.
17 Kontaktperson beim Betroffenen zur Abwicklung der Lieferung oder
Leistung
18 Bei der Leistungserbringung mitwirkende Dritte
einschließlich Angaben über die Art der Mitwirkung 19 Liefer- und Leistungsbedingungen (einschließlich Angaben über den Ort der Lieferung oder Leistung, Verpackung, usw.) 20 Daten zur Verzollung (z. B. Ursprungsland, Zolltarifnummer)
und Exportkontrolle
21 Daten zur Versicherung der Lieferung oder Leistung und
zu ihrer Finanzierung
22 Daten zur Steuerpflicht und Steuerberechnung
23 Finanzierungs- und Zahlungsbedingungen
24 Bankverbindung
25 Kreditkartennummern und -unternehmen
26 Daten zum Kreditmanagement (z. B. Kreditlimit, Wechsellimit)
27 Daten zum Zahlungs- oder Leistungsverhalten des Betroffenen
28 Mahndaten/Klagsdaten
29 Konto- und Belegdaten
30 Leistungsspezifische Aufwände und Erträge
31 Sonderhauptbuchvorgänge (z. B. Einzelwert-berichtigung, Wechselforderung, Anzahlung, Bankgarantie)
Von Sachbearbeitern oder Kontaktpersonen beim Auftraggeber:
32 Ordnungsnummer
33 Name, Anrede/Geschlecht
34 Zusätzliche Daten zur Adressierung beim Auftraggeber
35 Korrespondenzsprachen, sonstige Vereinbarungen und Schlüssel
zum Datenaustausch
36 Funktion des Betroffenen beim Auftraggeber
37 Umfang der Vertretungsbefugnis
38 Vom Betroffenen bearbeitete Geschäftsfälle
Von an der Geschäftsabwicklung mitwirkenden Dritten:
39 Ordnungsnummer
40 Name bzw. Bezeichnung
41 Anrede/Geschlecht
42 Anschrift
43 Telefon- und Faxnummer und andere zur Adressierung
erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
44 Geburtsjahr (soweit zur Identifikation unbedingt notwendig) 45 Geburtstag und -monat (soweit zur Identifikation unbedingt notwendig)
46 Firmenbuchdaten
47 Daten zur Bonität
48 Sperrkennzeichen (z. B. Kontaktsperre, Rechnungs-sperre, Liefersperre, Buchungssperre, Zahlungssperre)
49 Zuordnung zu einer bestimmten Kategorie der Leistungserbringer (einschließlich regionale Zuordnung, usw.) 50 Kenn-Nummern für Zwecke amtlicher Statistik wie UID-Nummer
und Intrastat-Kenn-Nummer
51 Zugehörigkeit zu einem bestimmten Einkaufsverband, Konzern 52 Korrespondenzsprachen, sonstige Vereinbarungen und Schlüssel
zum Datenaustausch
53 Gegenstand der Lieferung oder Leistung
54 Bonus-, Provisionsdaten und dgl.
55 Kontaktperson beim Betroffenen zur Abwicklung der Lieferung
oder Leistung
56 Liefer- und Leistungsbedingungen (einschließlich Angaben über den Ort der Lieferung oder Leistung, Verpackung, usw. ) 57 Daten zur Verzollung (z. B. Ursprungsland, Zolltarifnummer)
und Exportkontrolle
58 Daten zur Versicherung der Lieferung oder Leistung und zu
ihrer Finanzierung
59 Daten zur Steuerpflicht und Steuerberechnung
60 Finanzierungs- und Zahlungsbedingungen
61 Bankverbindung
62 Kreditkartennummern und -unternehmen
63 Daten zum Kreditmanagement (z. B. Kreditlimit, Wechsellimit)
64 Daten zum Zahlungs- oder Leistungsverhalten des Betroffenen
65 Mahndaten/Klagsdaten
66 Konto- und Belegdaten
67 Leistungsspezifische Aufwände und Erträge
68 Sonderhauptbuchvorgänge (z. B. Einzelwertberichtigung, Wechselforderung, Anzahlung, Bankgarantie)
Von Kontaktpersonen beim Kunden, Lieferanten oder an der Geschäftsabwicklung mitwirkenden Dritten:
69 Ordnungsnummer
70 Name, Anrede/Geschlecht
71 Zugehöriger Kunde, Lieferant oder Dritter
72 Zusätzliche Daten zur Adressierung beim Kunden, Lieferanten
oder Dritten
73 Korrespondenzsprachen, sonstige Vereinbarungen und Schlüssel
zum Datenaustausch
74 Funktion des Betroffenen beim Leistungsempfänger oder
Leistungserbinger
75 Umfang der Vertretungsbefugnis
76 Vom Betroffenen bearbeitete Geschäftsfälle
Von bloßen Zustell-, Lieferungs-, Rechnungsadressaten und dgl.:
77 Ordnungsnummer
78 Name oder Bezeichnung, Anrede/Geschlecht
79 Anschrift
80 Telefon- und Faxnummer und andere zur Adressierung
erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
81 Korrespondenzsprachen, sonstige Vereinbarungen und Schlüssel zum Datenaustausch
82 Angaben über besondere Bedingungen für die Annahme der Zustellung, Lieferung oder Leistung
Ib. Weiters dürfen alle Datenarten der Standardanwendungen
-
SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" und
-
SA033 "Datenübermittlung im Konzern-A. Konzernweite Kontakt- und Termindatenbank"
überlassen werden.
Jede Weiterverwendung der überlassenen Daten bei den Empfängern für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und den Empfängern unterzeichneten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke der Empfänger, ist untersagt.
II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Mit Schriftsatz vom 10. September 2013 hat die D**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten an einen Dienstleister in Indien gestellt.
De Überlassung betrifft die Daten Standardanwendungen SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" und SA033 "Datenübermittlung im Konzern-A. Konzernweite Kontakt- und Termindatenbank" sowie Teile der Standardanwendung SA001 "Rechnungswesen und Logistik" (Datenarten 01-82).
Der Dienstleister soll für die Antragstellerin die Daten speichern (Hosting), warten, Support-Leistungen erbringen und auch die Daten für die Antragstellerin auswerten.
2. Anzuwendende Rechtsvorschriften:
§ 10 Abs. 1 DSG 2000 lautet unter der Überschrift "Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen":
"§ 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen."
§ 11 Abs. 1 DSG 2000 lautet unter der Überschrift "Pflichten des Dienstleisters":
"§ 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen
haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
1.
die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
2.
alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen zu treffen; insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die sich dem Dienstleister gegenüber zur Einhaltung des Datengeheimnisses verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen;
3.
weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und deshalb den Auftraggeber von der beabsichtigten Heranziehung eines weiteren Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls untersagen kann;
4.
- sofern dies nach der Art der Dienstleistung in Frage kommt - im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen;
5.
nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten;
6.
dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind."
§ 12 DSG 2000 lautet unter der Überschrift "Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland":
"§ 12. (1) Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
(2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt . Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.
(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
1.
die Daten im Inland zulässigerweise veröffentlicht wurden oder
2.
Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder
3.
die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder
4.
Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt werden oder
5.
der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder
6.
ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder
7.
die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder
8.
die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2)
ausdrücklich angeführt ist oder
9.
es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder
10.
Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.
[ . . . ]
(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an
den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5
an den inländischen Dienstleister vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind."
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
1.
für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; dies ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung eine Rolle spielen, wie insbesondere die Art der verwendeten Daten, die Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und das Endbestimmungsland und die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards; oder
2.
der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche Zusicherungen des Empfängers sowie einseitige Zusagen des Antragstellers (§ 19 Abs. 2) im Genehmigungsantrag über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein. Einseitige Zusagen des Antragstellers werden für diesen mit der Registrierung durch die Datenschutzkommission verbindlich."
3. Rechtlich war zu erwägen:
3.1. Zur Genehmigungspflicht:
Die beantragte Überlassung an ein Unternehmen mit Sitz in der Republik Indien ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig, da zum einen der Empfänger seinen Sitz in einem Staat hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Datenschutzangemessenheits-Verordnung (DSAV) BGBl. II Nr. 521/1999 idgF., besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:
Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus Datenanwendungen, deren Umfang von den Standardanwendungen SA001 "Rechnungswesen und Logistik", SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" und SA033 "Datenübermittlung im Konzern-A. Konzernweite Kontakt- und Termindatenbank" der Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, abgedeckt ist.
Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.
Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag gedeckt.
3.3. Glaubhaftmachung des angemessenen Datenschutzes
Zur Glaubhaftmachung des angemessenen Datenschutzes bei den Empfängern im Ausland haben die Antragsstellerin und die Empfänger jeweils einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: "Überlassung") personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: "Dienstleister") in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.
Schlagworte
IDVK, Indien, Überlassung, Genehmigungspflicht, Datenverwendung im Konzern, Rechnungswesen und Logistik, Speicherung, Hosting, Wartung, Erbringung von Supportleistungen, Auswertung, StandardvertragsklauselnZuletzt aktualisiert am
24.07.2014