Datenschutzbehörde (vor 2014: Datenschutzkommission)

Entscheidungstext K178.209/0006-DSK/2006

Entscheidende Behörde

Datenschutzkommission

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid internat. Datenverkehr

Geschäftszahl

K178.209/0006-DSK/2006

Entscheidungsdatum

08.03.2006

Norm

DSG 2000 §4 Z14;
DSG 2000 §12 Abs1;
DSG 2000 §12 Abs2;
DSG 2000 §12 Abs3 Z5;
DSG 2000 §12 Abs5;
DSG 2000 §13;
DSG 2000 §53 Abs1;
AVG §78 Abs1;

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

 

BESCHEID

 

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. MAITZ-STRASSNIG und Mag. PREISS sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 8. März 2006 folgenden Beschluss gefasst:

 

Spruch

 

Über den Antrag der F**** GmbH vom 9.8.2005, ergänzt durch die Schriftsätze vom 2.11.2005 und 18.1.2006, auf Erteilung einer Genehmigung zur Übermittlung von Daten für Zwecke der Koordinierung der Mitarbeiterauslastung bei weltweiten Projekteinsätzen wird gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005 entschieden:

 

1. Der Antrag auf Erteilung einer Genehmigung zum Datentransfer nach Norwegen wird wegen Genehmigungsfreiheit gem. § 12 Abs. 1 DSG 2000 zurückgewiesen.

 

2. Der Antrag auf Erteilung einer Genehmigung zum Datentransfer nach Argentinien und Kanada wird wegen Genehmigungsfreiheit gem. § 12 Abs. 2 DSG 2000 zurückgewiesen.

 

3. Im Übrigen wird dem Antrag Folge gegeben und die Genehmigung zur Übermittlung (§ 4 Z 12 DSG 2000) personenbezogener Daten von Arbeitnehmern der Antragstellerin aus dem Bereich „Projektmanagement“ für Zwecke der Koordinierung der Mitarbeiterauslastung bei weltweiten Projekteinsätzen an F****- Konzerngesellschaften mit Sitz in den vom Antrag umfassten Ländern (d.s. Australien, Bahrain, Brasilien, Chile, China, Ägypten, Indien, Israel, Japan, Malaysia, Mexiko, Neuseeland, Puerto Rico, Russland, Singapur, Süd Afrika, Süd Korea, Taiwan, Thailand, Türkei und die USA) erteilt.

 

Die folgenden Datenarten sind hiervon umfasst:

 

-

Benutzerkennung (Sog. NET-ID)

-

Vorname

-

Nachname

-

Akademischer Titel

-

Organisatorische Zuordnung

-

Mitarbeiterpool (Der Begriff „Pool“ wird benützt, um die Organisation von Daten im System zu zeigen; „Mitarbeiterpool“ beschreibt die einer Organisation/Abteilung zugehörigen Mitarbeiter)

-

Jobcode („Job Code“ Beschreibungen sind kurze Tätigkeits- /Stellenbeschreibungen, die für die einzelnen Jobcodes im Personalverwaltungssystem hinterlegt sind)

-

Dienstliche Telefonnummer (Festnetz und Mobilnummer)

-

E-Mail Adresse

-

Fax

-

Firmenadresse (Straße, Stadt, Provinz, Postleitzahl, Land)

-

Einstellungsdatum

-

Arbeitszeitmodell/Wochenarbeitszeit

-

Berufliche Präferenzen (z.B. Projekteinsatz in Österreich, Europa, USA)

-

Qualifikationsname gemäß Skill Katalog

-

Qualifikationsausprägung (z.B. trained, competent, etc.)

-

Qualifikationstyp (vorhanden, erwünscht, gewünscht)

-

Projektart (Projektinhalt)

-

Startdatum des Projekteinsatzes

-

Enddatum des Projekteinsatzes

-

Nicht projektbezogener Einsatz (Urlaub, sonstige Abwesenheit, Training, Reise)

-

Startdatum nicht projektbezogene Zeit

-

Enddatum nicht projektbezogene Zeit

-

Professionelle Fähigkeiten („Capabilities“)

-

Consulting Skills (Beratungsfähigkeiten)

-

Funktionale Rolle (z.B. Mitarbeiter, Resource Manger)

-

Industrieexpertise (verweist auf besondere Kenntnisse in der Industrie, z.B. Gesundheitswesen/Finanzwesen/Einzelhandel etc.)

-

Sprachenkenntnisse

-

Angebots-Portfolioexpertise (iS eines Verweises auf besondere Kenntnisse innerhalb des von F**** angebotenen Portfolios, z.B. Infrastrukturkenntnisse oder Kenntnisse über Applikationen wie Datenbanken, Methoden [z.B. Projektmanagement], Tools und Technologien [z.B. Oracle Database, Customer Relationship Management Datenbank])

 

4. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF BGBl I Nr. 65/2002 iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idF BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

 

Euro 6,50

 

zu entrichten.

 

Begründung

 

Die Antragstellerin begehrt die Erteilung einer Genehmigung zur Datenübermittlung an F****-Konzerngesellschaften in die in den Spruchpunkten 1. bis 3. bezeichneten Länder zum Zweck der Karriereplanung und des Projekteinsatzes von Mitarbeitern innerhalb des F****-Konzerns.

 

Der folgende Sachverhalt steht fest:

 

Die Antragstellerin ist eine Tochtergesellschaft der F**** Corporation mit Sitz in Texas, USA, die eine sog. „Skillsdatenbank“ zur Benützung durch ihre Tochtergesellschaften betreibt. Mitarbeiter des Bereichs „Projektmanagement“ geben ihre Daten durch eine webbasierte Applikation selbst ein. Dadurch können sowohl Projektchancen und konkrete Projekte als auch die Qualifikationen der weltweit tätigen Mitarbeiter des F****-Konzerns erfasst und schließlich Projekte und Mitarbeiter gegenübergestellt werden, sodass Mitarbeiter mit den entsprechenden freien Kapazitäten und Qualifikationen bestimmten Projekten zugeteilt werden können. Eine Zuteilung erfolgt entweder durch eine Bewerbung des Mitarbeiters für ein bestimmtes Projekt oder durch eine Anfrage des zuständigen Projektmanagers an den Mitarbeiter. Eingegebene Daten können durch die Mitarbeiter jederzeit selbst wieder gelöscht und geändert werden.

 

Dem Betriebsrat der Antragstellerin wurden Unterlagen zur Struktur, Funktionsweise und Datenübermittlung vorgelegt. Dieser hat nach deren Prüfung mittels Betriebsvereinbarung am 29.7.2005 der Systemeinführung gem. § 96a Abs. 1 Z 1 ArbVG zugestimmt.

 

Zwischen der F**** Corporation als Mutterkonzern und den Konzerntöchtern wurden weiters der “F****-Unternehmensvertrag über den Schutz des Persönlichkeitsrechtes und den Datenschutz” abgeschlossen. Dieser basiert auf den „Globalen Verfahrensgrundsätzen von F**** über den Schutz des Persönlichkeitsrechts und den Datenschutz“, welche den Konzerngesellschaften als Anleitung und verbindliche Vorgabe bei der Verarbeitung von personenbezogenen Daten dient. Beide Vereinbarungen binden alle Konzerngesellschaften an die Einhaltung der darin definierten Datenschutzgrundsätze.

 

Beweiswürdigung: Diese Feststellungen beruhen auf dem schlüssigen Vorbringen der Antragstellerin sowie der vorgelegten Betriebsvereinbarung vom 29.7.2005 (diese gilt seit 1.1.2006 als unbefristet abgeschlossen), dem „F****-Unternehmensvertrag über den Schutz des Persönlichkeitsrechtes und den Datenschutz“ sowie der „Globalen Verfahrensgrundsätze über den Schutz des Persönlichkeitsrechts und des Datenschutzes“.

 

In rechtlicher Hinsicht folgt daraus:

 

a) Der Antrag war hinsichtlich der begehrten Genehmigung zum Datenexport nach Norwegen zurückzuweisen, weil dieser gem. § 12 Abs. 1 DSG 2000 in Länder des EWR keiner Genehmigung bedarf (vgl. Dohr/Pollirer/Weiss, DSG 2. Auflage § 12 Anm. 2).

 

Nach dem Wortlaut des Antrags war davon auszugehen, dass nach Auffassung der Antragstellerin von der begehrten Genehmigung auch der Datenexport nach Norwegen umfasst sein sollte („Datenübermittlung gem. § 13 DSG in die genehmigungspflichtigen Länder“; dem Antrag war eine Länderliste angeschlossen, die im Punkt „Datenübermittlungen gem. § 13 DSG“ auch Norwegen anführt).

 

b) Der Antrag war hinsichtlich der begehrten Genehmigung zum Datenexport nach Argentinien und Kanada zurückzuweisen, weil dieser gem. § 12 Abs 2 DSG 2000 ebenfalls keiner Genehmigung bedarf (vgl. Dohr/Pollirer/Weiss, DSG 2. Auflage § 12 Anm. 6 iVm Anhang VI/11 und VI/15).

 

Nach dem Wortlaut des Antrags war auch hier davon auszugehen, dass von der begehrten Genehmigung Datenexporte nach Kanada und Argentinien umfasst sein sollen („Datenübermittlung gem. § 13 DSG in die genehmigungspflichtigen Länder“; dem Antrag war eine Länderliste angeschlossen, die im Punkt „Datenübermittlungen gem. § 13 DSG“ auch Kanada und Argentinien anführt).

 

c) Die Übermittlung von Daten eines österreichischen Auftraggebers in ein Drittland ist im Übrigen gemäß § 13 Abs. 1 und 2 Datenschutzgesetz 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, genehmigungspflichtig.

 

Der Antrag auf Genehmigung zur Übermittlung betrifft Daten, die gemäß § 12 Abs. 5 DSG 2000 in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus einer Datenanwendung, die beim Datenverarbeitungsregister gemeldet wurden und deren Registrierung kein Hindernis entgegensteht.

 

Gemäß § 12 Abs. 3 Zif 5 DSG 2000 sind Datenübermittlungen ins Ausland dann genehmigungsfrei, wenn der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung seiner Daten ins Ausland gegeben hat. § 4 Zif 14 DSG 2000 definiert diese als „gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt“.

 

Eine wirksame Zustimmung liegt demnach nur dann vor, wenn die Willensbekundung das Produkt einer freien Entscheidung ist. Die Freiheit der Entscheidung kann in einem Abhängigkeitsverhältnis (wie z. B. im Rahmen von Arbeitsverhältnissen) so stark eingeschränkt sein, dass eine Einwilligung als unwirksam anzusehen ist (vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Rz 23 zu Artikel 2h).

 

Im vorliegenden Fall bestimmen die Arbeitnehmer zwar selbst, welche Daten in die Datenbank aufgenommen werden und können diese auch wieder löschen oder ändern. Doch wird angesichts des Zwecks der Datenbank, nämlich dem Arbeitseinsatz der Mitarbeiter, davon auszugehen sein, dass eine faktische Notwendigkeit besteht, Eintragungen vorzunehmen, sodass von echter Freiwilligkeit nicht auszugehen ist. Folglich kann die Tatsache alleine, dass Mitarbeiter in eine vom Arbeitgeber zum Zwecke der Arbeitskoordinierung betriebenen Datenbank ihre Daten selbst eingeben und auch diese wieder zu ändern und zu löschen berechtigt sind, noch keine rechtswirksame Zustimmung iSv § 12 Abs. 3 Zif 5 iVm § 4 Zif 14 DSG 2000 begründen.

 

Als Rechtsgrundlage für die Zulässigkeit der Datenübermittlung wird jedoch ein berechtigtes überwiegendes Interesse des Arbeitgebers an optimalen Ressourceneinsatz seiner Mitarbeiter angenommen werden dürfen. Geeignete Garantien zur Wahrung der schutzwürdigen Geheimhaltungsinteressen der Betroffenen sind im gegenständlichen Fall mehrfach eingerichtet: Die Antragstellerin hat eine Betriebsvereinbarung über die „Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten der Arbeitnehmer“ abgeschlossen, mittels derer der Betriebsrat der Einführung des o.a. Systems gem. § 96a Abs. 1 ArbVG zugestimmt hat. Die Betriebsvereinbarung gilt seit 1.1.2006 als unbefristet abgeschlossen.

 

Weiters hat die Antragstellerin „Globale Verfahrensgrundsätze über den Schutz des Persönlichkeitsrechts und den Datenschutz“ erarbeitet, die von allen F****-Konzerngesellschaften einzuhalten sind. Letzteres erfolgt in Erfüllung der Verpflichtung jeder F****- Konzerngesellschaft gemäß dem „F****-Unternehmensvertrag über den Schutz des Persönlichkeitsrechts und den Datenschutz“ (gemeinsam: „Datenschutz-Policies“).

 

Im gegenständlichen Fall besteht daher eine ausreichende Rechtsgrundlage für die Übermittlung von Mitarbeiterdaten der österr. Antragstellerin an andere Konzernunternehmen in den im Antrag aufgezählten Staaten, wobei durch den Umstand, dass die Mitarbeiter ihre Daten selbst eingeben und auch löschen können sowie die dem Antrag beigelegte Betriebsvereinbarung dafür vorgesorgt ist, dass die Übermittlung in verhältnismäßiger und schonender Art und Weise durchgeführt wird.

 

Für den adäquaten Schutz der übermittelten Daten bei den Empfängern ist durch die dem Antrag ebenfalls beigeschlossenen, für alle Konzernfirmen geltenden „Globalen Verfahrensgrundsätze“ und die Datenschutz-Policies vorgesorgt.

 

Da die Voraussetzungen des § 13 DSG 2000 somit erfüllt sind, war spruchgemäß zu entscheiden.

 

Klargestellt wird, dass die Genehmigung unter den Voraussetzungen des Bestehens der Betriebsvereinbarung und der Vereinbarung des „Data Transfer Agreement as Annex to the F****-Intercompany Agreement on Data Protection“ samt Anhängen A und B erteilt wird.

 

d) Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.

Schlagworte

Übermittlung

Dokumentnummer

DSKTE_20060308_K178209_0006_DSK_2006_00