[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 4. Mai 2007 folgenden Beschluss gefasst:
S p r u c h
I. Der B**** Bank GmbH in Salzburg, wird aufgrund ihres Antrags vom 7. November 2006, ergänzt mit Schreiben vom 1. März 2007, gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, die Genehmigung erteilt, Daten von Kreditkunden aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Kreditkundendatenverarbeitung" (Datenanwendungsnummer xxxxxxx/yyy), an die B**** Banking Company in USA, zum Zweck der Dienstleistungsverarbeitung (Zusammenführung und Verwaltung von Daten eines Kunden zur Beurteilung seines Kreditrisikos, insbesondere nach Basel II Kriterien) zu überlassen.
II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Mit Schriftsatz vom 7. November 2006 hat die B**** Bank GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Überlassung von personenbezogenen Daten von Kreditkunden an die B**** Banking Company, USA, gestellt. Die Daten stammen aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Kreditkundendatenverarbeitung" (Datenanwendungsnummer xxxxxxx/yyy).
Die Überlassung dient zur Dienstleistung in Form der Speicherung und Datenaufbereitung für eine Risikobeurteilung der Kunden des österreichischen Auftraggebers gemäß Basel II Richtlinien (Zusammenführung von Daten desselben Kunden, Bearbeitung betreffend Kredit- und operationelle Betriebsrisiken und Rückgabe der Bearbeitungsergebnisse an den inländischen Auftraggeber).
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lautet unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
" § 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1. Die beantragte Überlassung von Daten eines Auftraggebers in Österreich an einen Dienstleister in den USA ist gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, genehmigungspflichtig.
3.2. Die zugrunde liegende Datenanwendung "Kreditkundendatenverarbeitung" (Datenanwendungsnummer xxxxxxx/yyy) liegt dem Datenverarbeitungsregister vor. Von der Rechtmäßigkeit jener Datenanwendung im Inland, aus der die Überlassung erfolgen soll, ist ab der Meldung bis zu einem negativen Abschluss des Registrierungsverfahrens auszugehen (vgl. § 18 Abs. 1 DSG 2000). Ein negativer Ausgang des Registrierungsverfahrens ist nach den bisherigen Ergebnissen des Registrierungsverfahrens nicht zu erwarten.
3.3 Die Überlassung selbst ist gemäß § 10 DSG 2000 zulässig, da kein Anlass besteht daran zu zweifeln, dass der Dienstleister ausreichende Gewähr für die rechtmäßige und sichere Datenverwendung bietet.
3.4. Zur Glaubhaftmachung des angemessenen Datenschutzes beim Dienstleister im Ausland haben der Auftraggeber und sein Dienstleister einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG (CELEX: 32002D0016, Amtsblatt Nr. L 006 vom 10/01/2002 S. 52 - 62) vorgesehenen Standardvertragsklauseln entspricht. Dies konnte der Antragsteller im Verfahren nachweisen (vgl. etwa GZ K178.245/0003-DSK/2007 vom 1. März 2007). Das vorgelegte Vertragswerk erfüllt somit die Anforderungen von § 13 Abs. 2 Z 2 DSG 2000.
Da im Übrigen antragsgemäß entschieden wurde, kann eine weitere Begründung der Entscheidung gemäß § 58 Abs. 2 AVG entfallen.
3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Nach diesen Bestimmungen ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.
Rückverweise
Keine Verweise gefunden
