TE Dsk BescheidInternatDatenverkehr 2015/9/25 DSB-D178.649/0001-DSB/2015

GZ: DSB-D178.649/0001-DSB/2015 vom 25.9.2015

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

Spruch

Die Datenschutzbehörde entscheidet über den Antrag der T*** E*** A*** GmbH vom 9. Dezember 2014 auf Genehmigung im internationalen Datenverkehr wie folgt:

I. Der T**** GmbH in X****, xy-Gasse **, wird aufgrund ihres Antrages gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 - DSG 2000 die Genehmigung erteilt, die Daten der Datenanwendungen

?    Kundenverwaltung (DVR xxxxxxx/yyy);

?    Staff Analysis (DVR xxxxxxx/yyy);

?    Personalverwaltung für privatrechtliche Dienstverhältnisse (DVR xxxxxxx/yyy);

?    Talentmanagement und Karriereförderung (DVR xxxxxxx/yyy)

?    Kontakt- und Termindatenbank für elektronische Kommunikationssysteme (DVR xxxxxxx/yyy);

?    Kompensation (DVR xxxxxxx/yyy);

?    Standardanwendung SA001 „Rechnungswesen und Logistik“

?    Standardanwendung SA007 „Verwaltung von Benutzerkennzeichen“

?    Standardanwendung SA022 „Kundenbetreuung und Marketing für eigene Zwecke“

zur Dateneingabe, Datenaktualisierung und Speicherung (Hosting) an die T**** Corporation (USA) zu überlassen.

Die Genehmigung wird unter der Auflage erteilt, dass bei der Weitergabe der Daten an Sub-Dienstleister, die Cloud-Technologie verwenden, das in den Standardvertragsklauseln zugesicherte Sicherheitsniveau (technische und organisatorische Sicherheitsmaßnahmen der zukünftig abgeschlossenen Standardvertragsklauseln und anderer einschlägiger Verträge) eingehalten werden muss. Falls erkennbar ist, dass der Sub-Dienstleister allgemein nicht in der Lage ist, die Sicherheit seiner Cloud-Speichertechnologie zu garantieren, muss das Dienstleistungsverhältnis gelöst werden.

Jede Weiterverwendung der überlassenen Daten beim Empfänger für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und dem Empfänger unterzeichneten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke des Empfängers, ist untersagt.

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

Begründung

1. Vorbringen und Sachverhalt:

Mit Schriftsatz vom 9. Dezember 2014 hat die T**** GmbH (in weiterer Folge „Antragstellerin") einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten an einen Dienstleister in den USA gestellt.

Die Daten stammen aus den im Spruch genannten Datenanwendungen, die beim Datenverarbeitungsregister registriert ist.

Der Dienstleister, die T**** Corporation, soll Dienste zur Dateneingabe, Datenaktualisierung und Speicherung (Hosting) erbringen, wobei der Dienstleister seinerseits den V****-Konzern als Sub-Dienstleister heranziehen soll. Die Daten sollen im Rahmen eines Programms für Büroanwendungen des V****-Konzern in einer Cloud-Lösung gespeichert werden. Dabei kommen weitere Dienstleister zum Einsatz, die gemäß Art. 11 der Standardvertragsklauseln 2010/87/EG herangezogen werden dürfen.

2. Rechtlich war zu erwägen:

2.1. Zur Genehmigungspflicht:

Die beantragte Überlassung an ein Unternehmen mit Sitz in den USA ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig, da zum einen der Empfänger seinen Sitz in einem Staat hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF., besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

2.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus Datenanwendungen, die beim Datenverarbeitungsregister registriert sind oder Standardanwendungen entsprechen, die gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig sind.

Die Überlassung von Daten an Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.

Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 „processing operations“) gedeckt.

2.3. Glaubhaftmachung des angemessenen Datenschutzes

Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin und der Empfänger einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: „Überlassung“) personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: „Dienstleister“) in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

Angesichts des Umstandes, dass Sub-Dienstleister mit Cloud-Technologie eingesetzt werden sollen, stellt die Datenschutzbehörde die Auflage, dass das Dienstleistungsverhältnis gelöst werden muss, wenn die eingesetzte Technologie sich als unzuverlässig erweisen sollte. Die Auflage greift auch dann, wenn die dem Dienstleister anvertrauten Daten nicht unmittelbar gefährdet sind, aber die eingesetzte Cloud-Technologie sich an anderer Stelle als grundsätzlich unsicher erweist. Damit soll dem Umstand Rechnung getragen werden, dass Cloud-Hosting noch neu ist und trotz aller Beteuerungen der Anbieter schwerwiegende Mängel aufweisen kann. Als Nachweis der Unzuverlässigkeit gelten insb. Urteile zuständiger Gerichte, eine negative Bewertung durch die Artikel 29-Datenschutzgruppe oder andere namhafte Datenschutz- und Datensicherheitsorganisationen oder Entzug oder Verweigerung von Zertifizierungen wie ISO/IEC 27018:2014 (Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors).

2.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert. Diese Summe ist auf das Konto BAWAG P.S.K., Georg-Coch-Platz 2, 1018 Wien, IBAN: AT470100000005010057, BIC: BUNDATWW, lautend auf das Bundeskanzleramt, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden. Auf Wunsch kann ein Erlagschein zur Verfügung gestellt werden.