TE Dsk BescheidInternatDatenverkehr 2014/6/23 DSB-D178.601/0001-DSB/2014

GZ: DSB-D178.601/0001-DSB/2014 vom 23. 6. 2014

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

Spruch:

Die Datenschutzbehörde entscheidet über den Antrag der Z*** O*** Manufacturing GmbH in W*** vom 27. Mai 2014 auf Genehmigung im internationalen Datenverkehr wie folgt:

I. Der Z*** O*** Manufacturing GmbH in **** W***, I***-Straße *3, wird aufgrund ihres Antrages gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000) die Genehmigung erteilt, Daten aus den Datenanwendungen

?              Standardanwendung SA001 „Rechnungswesen und Logistik“;

?              Standardanwendung SA002 „Personalverwaltung für privatrechtliche Dienstverhältnisse“; sowie

?              Standardanwendung SA022 „Kundenbetreuung und Marketing für eigene Zwecke“

zum Zweck der technischen Betreuung an die

?              Z*** O***, Inc., *26 U*** Drive, 14228 T*** (NY), USA;

?              Z*** O*** Inc., R*** Avenue Corner L*** St., LISP 1, **** J***, Republik der Philippinen

zu überlassen.

Jede Weiterverwendung der überlassenen Daten bei den Empfängern für Zwecke, die in dem im Genehmigungsverfahren vorgelegten, von der Antragstellerin und den Empfängern unterzeichneten Dienstleistungsvertrag nicht angeführt sind, insbesondere die Verwendung für eigene Zwecke der Empfänger, ist untersagt.

II. Der Antrag auf Überlassung an einen Empfänger in Liechtenstein wird gemäß § 12 Abs. 1 DSG 2000 wegen Genehmigungsfreiheit zurückgewiesen.

III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

Begründung:

1. Vorbringen und Sachverhalt:

Mit Schriftsatz vom 27. Mai 2014 hat die Z*** O*** Manufacuring GmbH in W*** (in weiterer Folge „Antragstellerin“) einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten an mehrere Dienstleister gestellt.

Die Überlassung dient zur technischen Betreuung im Rahmen der Standardanwendungen SA001 „Rechnungswesen und Logistik“, SA002 „Personalverwaltung für privatrechtliche Dienstverhältnisse“ und SA022 „Kundenbetreuung und Marketing für eigene Zwecke“.

2. Rechtlich war zu erwägen:

2.1. Zur Genehmigungspflicht:

Soweit sich der Antrag auf Erteilung einer Genehmigung zur Überlassung an ein Unternehmen mit Sitz in Liechtenstein bezogen hat, war er wegen Genehmigungsfreiheit im EWR gem. § 12 Abs. 1 DSG 2000 zurückzuweisen.

Die beantragte Überlassung an Unternehmen mit Sitz in den USA und der Republik der Philippinen ist hingegen gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, genehmigungspflichtig, da zum einen die Empfänger ihren Sitz in Staaten haben, für die keine Feststellung des Vorhandenseins eines angemessenen Datenschutzniveaus gemäß Datenschutzangemessenheits-Verordnung (DSAV), BGBl. II Nr. 521/1999 idgF., besteht und da zum anderen auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.

Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.

2.2. Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:

Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus Datenanwendungen, deren Umfang von den - gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtigen - Standardanwendungen SA001 "Rechnungswesen und Logistik", SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse", sowie SA022 "Kundenbetreuung und Marketing für eigene Zwecke" der Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, abgedeckt ist.

Die Überlassung von Daten an einen Dienstleister ist gemäß § 10 DSG 2000 zulässig, sofern für den Auftraggeber kein Anlass besteht, daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet. Ein Grund für solche Zweifel liegt im Antragsfall nicht vor.

Die Antragstellerin hat auch den von § 10 Abs. 1 DSG 2000 verlangten Dienstleistervertrag in Form von Standardvertragsklauseln vorgelegt. Der im Antrag genannte Umfang von Überlassungszwecken ist vom vorgelegten Dienstleistervertrag (vgl. Appendix 1 „processing operations“) gedeckt.

2.3. Glaubhaftmachung des angemessenen Datenschutzes

Zur Glaubhaftmachung des angemessenen Datenschutzes bei den Empfängern im Ausland haben die Antragstellerin und die Empfänger jeweils einen Vertrag abgeschlossen, der den durch Entscheidung der Europäischen Kommission geschaffenen Standardvertragsklauseln für die Übermittlung (in österreichischer Terminologie: „Überlassung“) personenbezogener Daten an Auftragsverarbeiter (in österreichischer Terminologie: „Dienstleister“) in Drittländern (2010/87/EG) entspricht. Gemäß Artikel 1 dieser Entscheidung gelten die Standardvertragsklauseln als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte für die Überlassung personenbezogener Daten durch österreichische Auftraggeber an Dienstleister außerhalb der europäischen Gemeinschaft. Der Nachweis ausreichenden Datenschutzes bei den ausländischen Datenempfängern gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

2.4. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.