Entscheidende Behörde

Datenschutzkommission

Entscheidungsdatum

08.03.2006

Geschäftszahl

K178.209/0006-DSK/2006

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

BESCHEID

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. HEISSENBERGER, Mag. HUTTERER, Dr. KOTSCHY, Mag. MAITZ-STRASSNIG und Mag. PREISS sowie des Schriftführers Dr. KÖNIG in ihrer Sitzung vom 8. März 2006 folgenden Beschluss gefasst:

Spruch

Über den Antrag der F**** GmbH vom 9.8.2005, ergänzt durch die Schriftsätze vom 2.11.2005 und 18.1.2006, auf Erteilung einer Genehmigung zur Übermittlung von Daten für Zwecke der Koordinierung der Mitarbeiterauslastung bei weltweiten Projekteinsätzen wird gemäß Paragraph 13, Absatz eins und 2 des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 13 aus 2005, entschieden:

1. Der Antrag auf Erteilung einer Genehmigung zum Datentransfer nach Norwegen wird wegen Genehmigungsfreiheit gem. Paragraph 12, Absatz eins, DSG 2000 zurückgewiesen.

2. Der Antrag auf Erteilung einer Genehmigung zum Datentransfer nach Argentinien und Kanada wird wegen Genehmigungsfreiheit gem. Paragraph 12, Absatz 2, DSG 2000 zurückgewiesen.

3. Im Übrigen wird dem Antrag Folge gegeben und die Genehmigung zur Übermittlung (Paragraph 4, Ziffer 12, DSG 2000) personenbezogener Daten von Arbeitnehmern der Antragstellerin aus dem Bereich „Projektmanagement“ für Zwecke der Koordinierung der Mitarbeiterauslastung bei weltweiten Projekteinsätzen an F****- Konzerngesellschaften mit Sitz in den vom Antrag umfassten Ländern (d.s. Australien, Bahrain, Brasilien, Chile, China, Ägypten, Indien, Israel, Japan, Malaysia, Mexiko, Neuseeland, Puerto Rico, Russland, Singapur, Süd Afrika, Süd Korea, Taiwan, Thailand, Türkei und die USA) erteilt.

Die folgenden Datenarten sind hiervon umfasst:

4. Gemäß Paragraph 78, des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), Bundesgesetzblatt Nr. 51 aus 1991, in der Fassung Bundesgesetzblatt Teil eins, Nr. 65 aus 2002, in Verbindung mit Paragraphen eins,, 3 Absatz eins und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 in der Fassung Bundesgesetzblatt Teil 2, Nr. 460 aus 2002, (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

Begründung

Die Antragstellerin begehrt die Erteilung einer Genehmigung zur Datenübermittlung an F****-Konzerngesellschaften in die in den Spruchpunkten 1. bis 3. bezeichneten Länder zum Zweck der Karriereplanung und des Projekteinsatzes von Mitarbeitern innerhalb des F****-Konzerns.

Der folgende Sachverhalt steht fest:

Die Antragstellerin ist eine Tochtergesellschaft der F**** Corporation mit Sitz in Texas, USA, die eine sog. „Skillsdatenbank“ zur Benützung durch ihre Tochtergesellschaften betreibt. Mitarbeiter des Bereichs „Projektmanagement“ geben ihre Daten durch eine webbasierte Applikation selbst ein. Dadurch können sowohl Projektchancen und konkrete Projekte als auch die Qualifikationen der weltweit tätigen Mitarbeiter des F****-Konzerns erfasst und schließlich Projekte und Mitarbeiter gegenübergestellt werden, sodass Mitarbeiter mit den entsprechenden freien Kapazitäten und Qualifikationen bestimmten Projekten zugeteilt werden können. Eine Zuteilung erfolgt entweder durch eine Bewerbung des Mitarbeiters für ein bestimmtes Projekt oder durch eine Anfrage des zuständigen Projektmanagers an den Mitarbeiter. Eingegebene Daten können durch die Mitarbeiter jederzeit selbst wieder gelöscht und geändert werden.

Dem Betriebsrat der Antragstellerin wurden Unterlagen zur Struktur, Funktionsweise und Datenübermittlung vorgelegt. Dieser hat nach deren Prüfung mittels Betriebsvereinbarung am 29.7.2005 der Systemeinführung gem. Paragraph 96 a, Absatz eins, Ziffer eins, ArbVG zugestimmt.

Zwischen der F**** Corporation als Mutterkonzern und den Konzerntöchtern wurden weiters der “F****-Unternehmensvertrag über den Schutz des Persönlichkeitsrechtes und den Datenschutz” abgeschlossen. Dieser basiert auf den „Globalen Verfahrensgrundsätzen von F**** über den Schutz des Persönlichkeitsrechts und den Datenschutz“, welche den Konzerngesellschaften als Anleitung und verbindliche Vorgabe bei der Verarbeitung von personenbezogenen Daten dient. Beide Vereinbarungen binden alle Konzerngesellschaften an die Einhaltung der darin definierten Datenschutzgrundsätze.

Beweiswürdigung: Diese Feststellungen beruhen auf dem schlüssigen Vorbringen der Antragstellerin sowie der vorgelegten Betriebsvereinbarung vom 29.7.2005 (diese gilt seit 1.1.2006 als unbefristet abgeschlossen), dem „F****-Unternehmensvertrag über den Schutz des Persönlichkeitsrechtes und den Datenschutz“ sowie der „Globalen Verfahrensgrundsätze über den Schutz des Persönlichkeitsrechts und des Datenschutzes“.

In rechtlicher Hinsicht folgt daraus:

a) Der Antrag war hinsichtlich der begehrten Genehmigung zum Datenexport nach Norwegen zurückzuweisen, weil dieser gem. Paragraph 12, Absatz eins, DSG 2000 in Länder des EWR keiner Genehmigung bedarf vergleiche Dohr/Pollirer/Weiss, DSG 2. Auflage Paragraph 12, Anmerkung 2).

Nach dem Wortlaut des Antrags war davon auszugehen, dass nach Auffassung der Antragstellerin von der begehrten Genehmigung auch der Datenexport nach Norwegen umfasst sein sollte („Datenübermittlung gem. Paragraph 13, DSG in die genehmigungspflichtigen Länder“; dem Antrag war eine Länderliste angeschlossen, die im Punkt „Datenübermittlungen gem. Paragraph 13, DSG“ auch Norwegen anführt).

b) Der Antrag war hinsichtlich der begehrten Genehmigung zum Datenexport nach Argentinien und Kanada zurückzuweisen, weil dieser gem. Paragraph 12, Absatz 2, DSG 2000 ebenfalls keiner Genehmigung bedarf vergleiche Dohr/Pollirer/Weiss, DSG 2. Auflage Paragraph 12, Anmerkung 6 in Verbindung mit Anhang VI/11 und VI/15).

Nach dem Wortlaut des Antrags war auch hier davon auszugehen, dass von der begehrten Genehmigung Datenexporte nach Kanada und Argentinien umfasst sein sollen („Datenübermittlung gem. Paragraph 13, DSG in die genehmigungspflichtigen Länder“; dem Antrag war eine Länderliste angeschlossen, die im Punkt „Datenübermittlungen gem. Paragraph 13, DSG“ auch Kanada und Argentinien anführt).

c) Die Übermittlung von Daten eines österreichischen Auftraggebers in ein Drittland ist im Übrigen gemäß Paragraph 13, Absatz eins und 2 Datenschutzgesetz 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 13 aus 2005,, genehmigungspflichtig.

Der Antrag auf Genehmigung zur Übermittlung betrifft Daten, die gemäß Paragraph 12, Absatz 5, DSG 2000 in Österreich rechtmäßig verarbeitet werden. Die Daten stammen aus einer Datenanwendung, die beim Datenverarbeitungsregister gemeldet wurden und deren Registrierung kein Hindernis entgegensteht.

Gemäß Paragraph 12, Absatz 3, Zif 5 DSG 2000 sind Datenübermittlungen ins Ausland dann genehmigungsfrei, wenn der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung seiner Daten ins Ausland gegeben hat. Paragraph 4, Zif 14 DSG 2000 definiert diese als „gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt“.

Eine wirksame Zustimmung liegt demnach nur dann vor, wenn die Willensbekundung das Produkt einer freien Entscheidung ist. Die Freiheit der Entscheidung kann in einem Abhängigkeitsverhältnis (wie z. B. im Rahmen von Arbeitsverhältnissen) so stark eingeschränkt sein, dass eine Einwilligung als unwirksam anzusehen ist vergleiche Dammann/Simitis, EG-Datenschutzrichtlinie, Rz 23 zu Artikel 2h).

Im vorliegenden Fall bestimmen die Arbeitnehmer zwar selbst, welche Daten in die Datenbank aufgenommen werden und können diese auch wieder löschen oder ändern. Doch wird angesichts des Zwecks der Datenbank, nämlich dem Arbeitseinsatz der Mitarbeiter, davon auszugehen sein, dass eine faktische Notwendigkeit besteht, Eintragungen vorzunehmen, sodass von echter Freiwilligkeit nicht auszugehen ist. Folglich kann die Tatsache alleine, dass Mitarbeiter in eine vom Arbeitgeber zum Zwecke der Arbeitskoordinierung betriebenen Datenbank ihre Daten selbst eingeben und auch diese wieder zu ändern und zu löschen berechtigt sind, noch keine rechtswirksame Zustimmung iSv Paragraph 12, Absatz 3, Zif 5 in Verbindung mit Paragraph 4, Zif 14 DSG 2000 begründen.

Als Rechtsgrundlage für die Zulässigkeit der Datenübermittlung wird jedoch ein berechtigtes überwiegendes Interesse des Arbeitgebers an optimalen Ressourceneinsatz seiner Mitarbeiter angenommen werden dürfen. Geeignete Garantien zur Wahrung der schutzwürdigen Geheimhaltungsinteressen der Betroffenen sind im gegenständlichen Fall mehrfach eingerichtet: Die Antragstellerin hat eine Betriebsvereinbarung über die „Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten der Arbeitnehmer“ abgeschlossen, mittels derer der Betriebsrat der Einführung des o.a. Systems gem. Paragraph 96 a, Absatz eins, ArbVG zugestimmt hat. Die Betriebsvereinbarung gilt seit 1.1.2006 als unbefristet abgeschlossen.

Weiters hat die Antragstellerin „Globale Verfahrensgrundsätze über den Schutz des Persönlichkeitsrechts und den Datenschutz“ erarbeitet, die von allen F****-Konzerngesellschaften einzuhalten sind. Letzteres erfolgt in Erfüllung der Verpflichtung jeder F****- Konzerngesellschaft gemäß dem „F****-Unternehmensvertrag über den Schutz des Persönlichkeitsrechts und den Datenschutz“ (gemeinsam: „Datenschutz-Policies“).

Im gegenständlichen Fall besteht daher eine ausreichende Rechtsgrundlage für die Übermittlung von Mitarbeiterdaten der österr. Antragstellerin an andere Konzernunternehmen in den im Antrag aufgezählten Staaten, wobei durch den Umstand, dass die Mitarbeiter ihre Daten selbst eingeben und auch löschen können sowie die dem Antrag beigelegte Betriebsvereinbarung dafür vorgesorgt ist, dass die Übermittlung in verhältnismäßiger und schonender Art und Weise durchgeführt wird.

Für den adäquaten Schutz der übermittelten Daten bei den Empfängern ist durch die dem Antrag ebenfalls beigeschlossenen, für alle Konzernfirmen geltenden „Globalen Verfahrensgrundsätze“ und die Datenschutz-Policies vorgesorgt.

Da die Voraussetzungen des Paragraph 13, DSG 2000 somit erfüllt sind, war spruchgemäß zu entscheiden.

Klargestellt wird, dass die Genehmigung unter den Voraussetzungen des Bestehens der Betriebsvereinbarung und der Vereinbarung des „Data Transfer Agreement as Annex to the F****-Intercompany Agreement on Data Protection“ samt Anhängen A und B erteilt wird.

d) Die Verwaltungsabgabe war gemäß Paragraph 78, Absatz eins, AVG in Verbindung mit Paragraphen 13,, 53 Absatz eins, DSG 2000 vorzuschreiben. Demnach ist für Anträge nach Paragraph 13, DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.