Datenschutzkommission
20.10.2006
K178.215/0008-DSK/2006
[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E römisch eins D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. MAITZ-STRASSNIG, Mag. HUTTERER, Dr. SOUHRADA-KIRCHMAYER, Dr. STAUDIGL und Mag. ZIMMER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 20. Oktober 2006 folgenden Beschluss gefasst:
S p r u c h
römisch eins. Aufgrund des Antrages vom 17. Jänner 2006, modifiziert mit E-Mail vom 26. Juni 2006, wird der B**** GmbH in Wien, gemäß Paragraph 13, Absatz eins und 2 Ziffer 2, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 13 aus 2005,, die Genehmigung erteilt, folgende in Österreich verarbeitete personenbezogene Daten an die B**** Inc, USA, zu übermitteln:
1. Zum Zweck der Zuerkennung und Auszahlung von Zuwendungen und Vergütungen dürfen
betreffend folgende Mitarbeiter der B**** GmbH
(1) Name
(2) Personalnummer
(3) Informationen zum Dienstverhältnis (Status und Art des Dienstverhältnisses, Zuordnung im Betrieb, Eintrittsdatum, Austrittsdatum und Gründe, Funktion, etc.)
(4) Zuwendungen und Vergütungen
(5) interne Zuordnung des Mitarbeiters (z.B. Abteilung, Management, Kostenstelle, etc)
(6) Adresse des Arbeitsplatzes
(7) Private und berufliche Adresse zwecks Zusendung von Unterlagen
(8) bereits bisher bezogene Zuwendungen und Vergütungen
(9) Besondere Leistungen des Mitarbeiters, die Grund für die Zuerkennung (Änderung) von Zuwendungen und Vergütungen wie etwa Aktienoptionen oder Bonuszahlungen sind
2. Zum Zweck der Kontaktaufnahme im Notfall dürfen von Mitarbeitern der B**** GmbH, die für Auslandsverwendungen vorgesehen sind und einen Notfallkontakt bekannt gegeben haben, sowie von den als Notfallkontakt angegebenen Personen die folgenden personenbezogenen Daten an die Personalabteilung von B**** Inc.
USA übermittelt werden:
(1) Name des Mitarbeiters
(2) Name der Kontaktperson
(3) Daten zur Erreichbarkeit der Kontaktperson im Notfall
Die Genehmigung zur Übermittlung wird unter der Auflage erteilt, dass von den betroffenen Mitarbeitern die schriftliche Erklärung eingeholt wurde, dass sie die Kontaktpersonen von der beabsichtigten Übermittlung ihrer Daten an B**** Inc, USA, informiert haben, und diese zugestimmt haben.
3. Zum Zweck der Personalbeschaffung und Stellenbesetzung im Konzern, der Leistungsbeurteilung, persönlichen Entwicklung und des Karrieremanagements dürfen betreffend folgende Mitarbeiter der B**** Austria GmbH
(1) Name
(2) Personalnummer
(3) Funktion
(4) Lebenslauf
(5) Vergütungen und Zuwendungen
(6) Ziele und Zielsetzungen
(7) Erfolge
(8) Leistungsbeurteilung
(9) Entwicklungswünsche
(10) Informationen zum Dienstverhältnis und zum Dienstvertrag (relevante Zeitpunkte, Vertragstyp, Arbeitsstunden, Probezeit, Kündigungsfrist, Arbeitgeber, Funktion, Status, Abwesenheiten, Gründe für Änderungen und Beendigung, etc)
(11) Offizielle und interne Klassifikation
(12) Adresse des Arbeitsplatzes und dienstliche Kontaktdaten
(13) Interne Zuordnung im Betrieb (z.B. Abteilung, Kostenstelle, etc)
(14) Schulungsinformationen
Die Genehmigung wird unter der Auflage erteilt, dass nur solche Dateninhalte übermittelt werden, die vom Betroffenen selbst und freiwillig zwecks Übermittlung an B**** Inc., USA, angegeben wurden.
4. Zum Zweck von Planung, Statistik und Controlling dürfen betreffend folgende Mitarbeiter der B**** Austria GmbH :
alle Mitarbeiter
an folgende Stellen von B**** Inc., USA,
jene Mitarbeitern der Personalabteilung, Controlling- und Rechtsabteilung, die Berichte und Statistiken (ohne Anführung von Namen) für das Senior-Management und leitende Angestellte (Executives) in aggregierter Form zu erstellen haben
folgende personenbezogenen Daten übermittelt werden:
(1) Arbeitgeber
(2) verschlüsselte Personalnummer
(3) Geschlecht
(4) Beschäftigungsstatus: Aktiv/in Pension (Daten von pensionierten Mitarbeitern werden nur verarbeitet, wenn diese eine Firmenpension erhalten)
(5) Organisatorische Zuordnung im Betrieb (Abteilung, Management, Kostenstelle, Zuständige Personalabteilung)
(6) Adresse des Arbeitsplatzes
(7) „Expatriate“ (ja/nein) und relevante Informationen
(8) Vertragsart (befristet/unbefristet)
(9) Arbeitszeit (Vollzeit/Halbzeit)
(10) Beginn, Art und Dauer des Dienstverhältnisses
(11) Art und Grund der Beendigung des Dienstverhältnisses
(12) Bezeichnung der Tätigkeit
(13) Zugehörigkeit Ingenieur/Manager (ja/nein)
(14) Vergütungen und Zuwendungen
(15) Mobilität (ja/nein)
(16) Beförderungen
(17) Entwicklung/Leistung
(18) Entgelt
Die Genehmigung zur Übermittlung wird unter der Auflage erteilt, dass
5. Zum Zweck der Planung von Schulungen dürfen betreffend folgende Mitarbeiter der B**** GmbH:
alle Mitarbeiter
an folgende Stellen von B**** Inc., USA
(1) Personalnummer
(2) Name
(3) Organisatorische Zuordnung im Betrieb (einschließlich Beginn und Ende)
(4) Adresse des Arbeitsplatzes
(5) Bezeichnung der Tätigkeit, Funktion
(6) Daten zu Schulungen (Ausbildungswünsche, Anmeldung, Anwesenheit, Kurs, Ergebnisse, Sprachen, etc)
6. Zum Zweck der Durchführung und Auswertung von Umfragen zur Mitarbeiterzufriedenheit dürfen
betreffend folgende Mitarbeiter der B**** GmbH:
A. Daten des von der Umfrage jeweils betroffenen Managers:
(1) Name,
(2) Tätigkeit
(3) Adresse des Arbeitsplatzes (einschließlich Land)
(4) Aktionsplan zur Steigerung der Mitarbeiterzufriedenheit
B. Daten seines Vorgesetzten:
Interne Personalnummer
C. Daten des an der Umfrage teilnehmenden Mitarbeiters:
(1) Name
(2) Tätigkeit
(3) Adresse des Arbeitsplatzes (einschließlich Land)
(4) Sprache
(5) gegebene Antworten zur Umfrage
Die Genehmigung zur Übermittlung wird unter der Auflage erteilt, dass
7. Zum Zweck der Verwaltung des Zugangs zu Netzwerken, Anwendungen und EDV-Betriebsmitteln dürfen
betreffend folgende Mitarbeiter der B**** GmbH :
alle Mitarbeiter
an folgende Stellen von B**** Inc., USA:
(1) Personalnummer
(2) Vor- und Familienname, akademischer Grad/Titel
(3) Berufliche Kontaktdetails
(4) Status
(5) Tätigkeit
(6) Adresse des Arbeitsplatzes
(7) Interne Zuordnung im Betrieb
(8) Gegenstand der Zugangsgewährung oder Genehmigung von Betriebsmitteln
römisch II. Die Genehmigung zur Übermittlung von Daten nach Pkt. 1 – 7 wird unter der generellen Auflage erteilt, dass bei der Heranziehung von Dienstleistern durch B**** Inc. zur Verwendung der übermittelten Daten diese von B**** Inc. zur vertraulichen Behandlung aller im Zuge der Dienstleistung erlangten Informationen über die Dienstnehmer von B**** GmbH verpflichtet werden.
römisch III. Der Antrag betreffend die Übermittlung von Daten auch über das Verhältnis der Kontaktperson zum betreffenden Mitarbeiter im Zusammenhang mit Notfallskontaktdaten (siehe Spruchpunkt römisch eins.2) wird abgewiesen.
römisch IV. Gemäß Paragraph 78, des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), Bundesgesetzblatt Nr. 51 aus 1991, in der Fassung Bundesgesetzblatt Teil eins, Nr. 65 aus 2002,, in Verbindung mit Paragraphen eins,, 3 Absatz eins und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. Bundesgesetzblatt Teil 2, Nr. 460 aus 2002, (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
Die B**** GmbH (in der Folge: Antragstellerin) hat mit Schreiben vom 17. Jänner 2006 einen Antrag auf Genehmigung zur Übermittlung von Mitarbeiterdaten an die Konzernmutter B**** Inc. in den USA gestellt. Der Antrag wurde mit E-Mail vom 26. Juni 2006 modifiziert und durch mehrere telefonische und schriftliche Äußerungen erläutert bzw. ergänzt. Die Übermittlungen dienen zur Personalverwaltung innerhalb des Konzerns.
Auf die Genehmigung von internationalem Datenverkehr ist Paragraph 13, DSG 2000 anzuwenden, welcher lautet wie folgt:
„§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß Paragraph 12,
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (Paragraphen 35, ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß Paragraph 55, Ziffer 2, ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des Paragraph 12, Absatz 5, vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
Eine Genehmigung für den Datentransfer ins Ausland kann gemäß Paragraph 13, DSG 2000 nur dann erteilt werden, wenn die Rechtmäßigkeit der Datenweitergabe im Sinne des Paragraph 12, Absatz 5, DSG 2000 gegeben ist und weiters angemessener Datenschutz beim Empfänger gewährleistet ist.
1. Zur Rechtmäßigkeit der geplanten Datenübermittlungen:
Gemäß Paragraph 12, Absatz 5, DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des Paragraph 7, Absatz 2, DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie
a) Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegt eine Meldung des Antragstellers für eine Datenanwendung „Personalverwaltung für privatrechtliche Dienstverhältnisse“ unter der Nummer 0400564/001 beim Datenverarbeitungsregister vor, der zur Registrierungsfähigkeit nur noch die Genehmigung der Datenschutzkommission für die gemeldeten Übermittlungen ins Ausland fehlt.
b) Die grundsätzliche rechtliche Befugnis zur Verarbeitung von Personaldaten von Tochtergesellschaften ist bei der Konzernspitze gegeben.
c) Die Zulässigkeit der gemeldeten Übermittlungen ins Ausland im Sinne der Paragraphen 8, bzw. 9 DSG 2000 ergibt sich aus Folgendem:
aa) Zu Spruchpunkt 1:
Dass die Konzernspitze ein Mitspracherecht bei der Zuteilung von Belohnungen an Konzernmitarbeiter beansprucht, dem durch entsprechende Information (durch Übermittlung von Daten) Rechnung zu tragen ist, kann als berechtigtes Interesse anerkannt werden, solang hiemit keine unverhältnismäßigen Überwachungs- und Kontrollmaßnahmen verbunden sind. Die Zuerkennung und Auszahlung von Zuwendungen und Vergütungen für leitende Angestellte und die Verwaltung von Aktienkaufplänen oder Bonusprogrammen ist darüber hinaus ein Zweck, der regelmäßig im Interesse des Betroffenen liegt, sodass schon aus diesem Grund eine Verletzung von schutzwürdigen Geheimhaltungsrechten auszuschließen ist. Die Teilnahme am Aktienkaufplan und den Bonusprogrammen ist freiwillig, wie im Antrag vom 17. Jänner 2006 dargelegt wurde. Die dementsprechende Bedingung im Bescheid wiederholt nur dieses Vorbringen.
Die beantragten Datenarten „Mitarbeiterbeurteilung“ und „Besondere Leistungen und Gründe für die Änderung von Zuwendungen und Vergütungen“ wurden zu einer Datenart „Besondere Leistungen des Mitarbeiters, die Grund für die Zuerkennung (Änderung) von Zuwendungen und Vergütungen wie etwa Aktienoptionen oder Bonuszahlungen sind“ zusammengefasst, um zum Ausdruck zu geben, dass diese Daten in engem sachlichem Zusammenhang mit den Zuwendungen und Vergütungen stehen müssen.
bb) Zu Spruchpunkt 2:
Dieser Spruchpunkt betrifft die Verwendung von Daten zur Kontaktaufnahme im Notfall. Die Übermittlung soll nur Personen betreffen, die möglicherweise im Ausland für den Konzern tätig sein werden. Die Mitarbeiter geben die Daten selbst freiwillig an.
Die Datenschutzrechte der Kontaktperson sollen durch die im Spruch enthaltene Bedingung für die Zulässigkeit der Übermittlung gewahrt werden.
cc) Zu Spruchpunkt 3:
Dieser Punkt betrifft die Übermittlung von Daten einer Anzahl von Mitarbeitern, die entweder in leitender Funktion tätig sind, oder die an Vorgesetzte bei der Konzernmutter berichten, oder die als „High Potential“- Mitarbeiter geführt werden. Die „High Potential“- Mitarbeiter sind Mitarbeiter aus dem höheren Management mit hohem Karrierepotential. Andere Arbeitnehmer sind nicht betroffen. Die Übermittlung dient zur Stellenbesetzung innerhalb des Konzerns sowie dem beruflichen Fortkommen der Betroffenen und ist daher in ihrem Interesse, aber auch im Interesse des Unternehmens und der Konzernmutter. Durch die im Spruch enthaltene Auflage, dass nur von den Betroffenen selbst freiwillig angegebene Daten für diese Zwecke übermittelt werden dürfen, ist sichergestellt, dass Datenübermittlungen nur hinsichtlich von solchen Personen erfolgen, die selbst an ihrer Karriere arbeiten wollen, und daher ihr Interesse an Karrieremanagement durch die Konzernspitze in den USA bekunden.
Diese Auflage ist aus dem Vorbringen der Antragstellerin übernommen.
dd) Zu Spruchpunkt 4:
Diese Übermittlungen dienen zur Erstellung von Berichten und Statistiken in aggregierter Form. Die Daten dürfen nur ohne Namen und nur mit einer verschlüsselten Personalnummer übermittelt werden. Da eine Identifizierbarkeit der Daten für den Empfänger angesichts der relativ geringen Mitarbeiterzahl von B**** in Österreich nicht ausgeschlossen werden kann, sind die Daten nicht als nur indirekt personenbezogen zu werten. Es besteht daher keine Ausnahme von der Genehmigungspflicht gemäß Paragraph 12, Absatz 3, Ziffer 2, DSG 2000.
Da andrerseits ein berechtigtes Interesse der Konzernspitze an der Planung und Erfüllung von Controlling-Aufgaben, wofür die Übermittlung von Datenmaterial Voraussetzung ist, nicht geleugnet werden kann, verstößt die gegenständliche Übermittlung angesichts der vorgesehenen besonderen Schutzmaßnahmen nicht gegen schutzwürdige Geheimhaltungsinteressen. Dies wird zusätzlich durch die Zusage der Konzernmutter, die Daten nur aggregiert verwenden zu wollen, und durch die Einschränkungen hinsichtlich der Datenarten abgesichert.
ee) Zu Spruchpunkt 5:
Diese Übermittlung dient zur Planung von Mitarbeiterschulungen. Als Rechtsgrundlage für die Zulässigkeit der Datenübermittlung kann ein überwiegendes berechtigtes Interesse des Arbeitgebers an der optimalen Ausbildung seiner Mitarbeiter angenommen werden, wozu im vorliegenden Fall jedenfalls die Inanspruchnahme der von der Konzernleitung gebotenen Möglichkeiten notwendig ist.
ff) Zu Spruchpunkt 6:
Dieser Punkt betrifft die Befragung von Mitarbeitern über ihre Zufriedenheit mit ihrem Arbeitsumfeld und insbesondere mit ihrem Vorgesetzten.
Die Befragungen erfolgen insofern zunächst personenbezogen im Hinblick auf die Mitarbeiter als sichergestellt werden muss, dass ein Mitarbeiter jeweils nur einen beantworteten Fragebogen absendet und dass er tatsächlich Mitarbeiter des betroffenen Managers ist. Durch die Auswertung bei einem Dienstleister, der die Daten entsprechend anonymisiert – so werden z.B. keine Auswertungen für Manager mit weniger als 5 Mitarbeitern gemacht - , und sie in dieser aggregierten Form an die Konzernspitze weiterleitet, ist Vorsorge dafür getroffen, dass die Geheimhaltungsrechte der Mitarbeiter insgesamt gewahrt werden.
Hinsichtlich des bewerteten Managers ist ein überwiegendes berechtigtes Interesse an der Übermittlung der Bewertungsdaten in der Organisations- und Führungshoheit der Konzernspitze zu sehen.
gg) Zu Spruchpunkt 7:
Diese Übermittlung dient zur Verwaltung von Netzwerkzugängen, EDV-Anwendungen und Betriebsmitteln auf Konzernebene. Die vorgesehenen Übermittlungen sind notwendig für das Funktionieren des Konzerns und daher von überwiegenden berechtigten Interessen des Übermittelnden und des Übermittlungsempfängers gedeckt.
hh) Zu Spruchpunkt III:
Während die Übermittlung von Daten von Kontaktpersonen für Notfälle im Umfang der Genehmigung nach Spruchpunkt 1.2 als sinnvoll und angemessen zu betrachten ist, stellt die Übermittlung auch der Daten über das Verhältnis der Kontaktperson zum betreffenden Mitarbeiter eine nicht notwendige und unverhältnismäßige Maßnahme dar. Da aus einer derartigen Angabe im Einzelfall durchaus auch Rückschlüsse auf die intimen Lebensverhältnisse des Mitarbeiters aber auch der Kontaktperson (z.B. gleichgeschlechtliche Lebenspartnerschaft) gezogen werden können, kann es sich um sensible Daten handeln, deren Verwendung besonders geschützt wird und nach Paragraph 9, DSG 2000 nur in taxativ aufgezählten Fällen zulässig ist.
2. Zum angemessenen Datenschutz beim Empfänger im Ausland:
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2001/497/EG vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, CELEX: 32001D0497, Amtsblatt Nr. L 181 vom 4. Juli 2001 Sitzung 19 – 31 vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des Paragraph 13, Absatz 2, Ziffer 2, DSG 2000.
Da im Übrigen antragsgemäß entschieden wurde, konnte eine weitere Begründung der Entscheidung gemäß Paragraph 58, Absatz 2, AVG entfallen.
Die Verwaltungsabgabe war gemäß Paragraph 78, Absatz eins, AVG in Verbindung mit Paragraphen 13,, 53 Absatz eins, DSG 2000 vorzuschreiben. Demnach ist für Anträge nach Paragraph 13, DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.