TE Dsk BescheidInternatDatenverkehr 2014/9/5 DSB-D178.612/0002-DSB/2014

GZ: DSB-D178.612/0002-DSB/2014 vom 5. September 2014

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

Spruch

Die Datenschutzbehörde entscheidet über den Antrag der B*** Österreich GmbH vom 8. Juli 2014 auf Genehmigung im internationalen Datenverkehr wie folgt:

I. Der B*** Österreich GmbH in *25* Wien , Handelskai 0*-0* (Antragstellerin und Dienstleister), wird gemäß § 13 Abs. 1, 2 und 4 des Datenschutzgesetzes 2000 - DSG 2000 die Genehmigung erteilt, folgende personenbezogenen Daten aus der Standardanwendung SA001 „Rechnungswesen und Logistik" der A**** GmbH (Auftraggeber) an die B*** C*** Global Delivery Services Limited (Sub-Dienstleister) in der Republik Indien zur Erbringung von Support-Leistungen zu überlassen:

I.a) Von Sachbearbeitern oder Kontaktpersonen beim Auftraggeber:

33 Name, Anrede/Geschlecht

34 Zusätzliche Daten zur Adressierung beim Auftraggeber (insbesondere Telefonnummer, E-Mail-Adresse)

36 Funktion des Betroffenen beim Auftraggeber

38 Vom Betroffenen bearbeitete Geschäftsfälle

I.b) Von Kunden des Auftraggebers (Empfänger von Lieferungen oder Leistungen):

01 Ordnungsnummer

02 Name bzw. Bezeichnung

04 Anschrift

05 Telefon- und Faxnummer und andere zur Adressierung erforderliche

Informationen, die sich durch moderne Kommunikationstechniken ergeben

15 Gegenstand der Lieferung oder Leistung (insbesondere der erforderlichen

Störungsbehebung)

19 Angaben über den Ort der Leistung (insbesondere der erforderlichen

Störungsbehebung)

Jede Weiterverwendung der überlassenen Daten beim Empfänger für Zwecke, die in dem im Genehmigungsverfahren vorgelegten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke der Empfänger, ist untersagt.

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

Begründung

1. Vorbringen und Sachverhalt:

Mit Schriftsatz vom 8. Juli 2014 hat die B*** Österreich GmbH (in weiterer Folge „Antragstellerin“) bei der Datenschutzbehörde einen Antrag gemäß § 13 Abs. 4 DSG 2000 auf Überlassung von personenbezogenen Daten, die sie selbst als Dienstleister verarbeitet, an einen Sub-Dienstleister in Indien gestellt.

Die Überlassung betrifft die im Spruch genannten Daten aus der Standardanwendung SA001 „Rechnungswesen und Logistik". Der Auftraggeber der Daten ist die A**** GmbH, welche die B*** Österreich GmbH als Dienstleister einsetzt. Der Dienstleister stellt gemäß § 13 Abs. 4 DSG 2000 den Antrag für seinen Auftraggeber. Der Auftraggeber hat schriftlich seine Zustimmung gemäß § 13 Abs. 4 DSG 2000 zur Heranziehung des Sub-Dienstleisters und zum Abschluss der diesbezüglichen Verträge erteilt.

Der Sub-Dienstleister soll Support-Leistungen erbringen.

2. Rechtlich war zu erwägen:

2.1. Zur Genehmigungspflicht:

Die beantragte Überlassung an ein Unternehmen mit Sitz in der Republik Indien ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig, da zum einen der Empfänger seinen Sitz in einem Staat hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF., besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

2.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus Datenanwendungen die der nicht meldepflichtigen Standardanwendung SA001 „Rechnungswesen und Logistik" entsprechen.

Im vorliegenden Fall bestand die besondere Konstellation, dass nicht der Auftraggeber den Antrag stellte, sondern der Dienstleister. Gemäß § 13 Abs. 4 DSG 2000 kann ein inländischer Dienstleister die Genehmigung zur Überlassung beantragen, wenn er zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen bestimmten weiteren Dienstleister im Ausland heranziehen will. Der Dienstleister hat vorgebracht, dass dies nur die erste derartige Sub-Dienstleistung ist (bei einem Einzelfall wäre ein Vertragsabschluss zwischen Auftraggeber und Sub-Dienstleister praktischer). Die Datenschutzbehörde ist daher bereit, das Verfahren gemäß § 13 Abs. 4 DSG 2000 zu führen. Es wurde ein Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt, der auf den Auftraggeber lautet und damit ausreichende Sicherheit bietet, falls die Antragstellerin ausfallen sollte. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 „processing operations“) gedeckt.

Der Bescheid wird der Antragstellerin zugestellt, aber gemäß § 13 Abs. 4 letzte Satz DSG 2000 der A**** GmbH im Datenverarbeitungsregister zugeordnet (DVR 00***00).

Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.

2.3. Glaubhaftmachung des angemessenen Datenschutzes

Zur Glaubhaftmachung des angemessenen Datenschutzes bei den Empfängern im Ausland haben die Antragstellerin und der Sub-Dienstleister einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: „Überlassung“) personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: „Dienstleister“) in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

2.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.