TE Dsk BescheidInternatDatenverkehr 2014/7/10 DSB-D178.599/0003-DSB 2014

JUSLINE Entscheidung

Veröffentlicht am 10.07.2014
beobachten
merken

Text

GZ: DSB-D178.599/0003-DSB 2014 vom 10. Juli 2014

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

BESCHEID

Spruch:

Die Datenschutzbehörde entscheidet über den Antrag der F*** GmbH vom 27. Mai 2014 (eingelangt bei der Datenschutzbehörde am 30. Mai 2014) auf Genehmigung im internationalen Datenverkehr wie folgt:

I. Der F*** GmbH in **** H***, J***weg **2, wird aufgrund ihres Antrages gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000) die Genehmigung erteilt, die folgenden Daten aus der Datenanwendung „Anfrage-Informations-Management-Systems (Information Request Management System – Case Entry IRMS-CE)““ zum Zweck der Speicherung an die F*** Corporate Headquarters (USA) zu überlassen:

a) Von Kunden oder Lieferanten der Antragstellerin dürfen aus der Standardanwendung SA001 "Rechnungswesen und Logistik" folgende Daten, wobei auch die Daten zur Geschäftskorrespondenz inkludiert sind, überlassen werden:

02 Name bzw. Bezeichnung

04 Anschrift

b) Von Sachbearbeitern oder Kontaktperson bei der Antragstellerin dürfen aus der Standardanwendung SA001 "Rechnungswesen und Logistik" folgende Daten, wobei auch die Daten zur Geschäftskorrespondenz inkludiert sind, überlassen werden:

33 Name, Anrede/Geschlecht

34 Zusätzliche Daten zur Adressierung beim Auftraggeber

38 Vom Betroffenen bearbeitete Geschäftsfälle

Jede Weiterverwendung der überlassenen Daten beim Empfänger für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und dem Empfänger unterzeichneten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke des Empfängers, ist untersagt.

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

Begründung:

1. Vorbringen und Sachverhalt:

Mit Schriftsatz vom 27. Mai 2014 hat die F*** GmbH (in weiterer Folge „Antragstellerin“) einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten an einen Dienstleister in den USA gestellt.

Die Überlassung betrifft die im Spruch genannten Datenarten aus der Standardanwendung SA001 "Rechnungswesen und Logistik" und dient zur Speicherung. Die Überlassung der Geschäftskorrespondenz (Anfrage, Art der Anfrage, betroffenes Produkt, Antwort des Sachbearbeiters oder Kontaktperson bei der Antragstellerin) wurde ausdrücklich beantragt.

2. Rechtlich war zu erwägen:

2.1. Zur Genehmigungspflicht:

Die beantragte Überlassung an ein Unternehmen mit Sitz in den USA ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig, da zum einen der Empfänger seinen Sitz in einem Staat hat, für den keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF., besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

2.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus Datenanwendungen, deren Umfang von der Standardanwendung SA001 „Rechnungswesen und Logistik“, die gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig ist, abgedeckt ist.

Der Antrag umfasste auch Daten der Geschäftskorrespondenz, die bei der Standardanwendung im Zweck der Datenanwendung erwähnt und daher inkludiert sind ("…einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten"). Die Daten zur Geschäftskorrespondenz sind im Spruch explizit genannt, auch wenn sie ein integraler Bestandteil der Standardanwendung sind und daher nicht gesondert beantragt werden müssen.

Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.

Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 „processing operations“) gedeckt.

2.3. Glaubhaftmachung des angemessenen Datenschutzes

Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben die Antragstellerin und der Empfänger jeweils einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: „Überlassung“) personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: „Dienstleister“) in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

2.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.

 

Schlagworte

IDVK, USA, Genehmigungspflicht, Datenüberlassung im Konzern, Hosting, Speicherung, Standardvertragsklauseln, Rechnungswesen und Logistik

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2014:DSB.D178.599.0003.DSB.2014

Zuletzt aktualisiert am

06.10.2014
Quelle: Datenschutzbehörde Dsb, https://www.dsb.gv.at
Zurück Haftungsausschluss Vernetzungsmöglichkeiten

Sofortabfrage ohne Anmeldung!

Jetzt Abfrage starten