[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. GUNDACKER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 21. Oktober 2011 folgenden Beschluss gefasst:
S p r u c h
I. Der W**** GmbH wird auf Grund ihres Antrags vom 20. Mai 2011, modifiziert mit Schreiben vom 22. September 2011, gemäß § 13 Abs. 1 und 2 DSG 2000 die Genehmigung erteilt, aus der beim Datenverarbeitungsregister gemeldeten Datenanwendung "Whistleblower Hotline ("Ethics Line")" im Wege einer hiefür eigens eingerichteten Telefon–Hotline und Website, die von der N**** Inc als Dienstleisterin der Antragstellerin betrieben wird, an die W**** Corporation, USA
A ) die folgenden Daten zu übermitteln:
1) von Personen, die im Wege über die Telefon–Hotline oder Website eine Meldung erstatten und ihre Identität offengelegt haben:
2) Entscheidungsträger der Antragstellerin (Angehörige des "Senior Managements"), die eines maßgeblichen Verstoßes (oder der Teilnahme daran) gegen die konzernintern verbindlichen Regelungen ("Code of Conduct") betreffend Rechnungswesen, Controlling und Buchprüfung, Korruption, Urkundenverfälschung und Urkundenfälschung, Insiderhandel und Geheimnisverrat - unter Benutzung der Telefon– Hotline oder Website - bezichtigt werden:
3) Sonstige Personen, die als Zeugen oder Auskunftspersonen in einer Meldung genannt werden
B. Die Genehmigung wird unter der Auflage erteilt, dass im internen Verfahren für die Behandlung von Missbrauchsmeldungen folgende Maßnahmen garantiert sind:
C. Die Genehmigung ist an die Bedingung geknüpft, dass die Mitarbeiter im Arbeitsvertrag oder sonst durch generelle Weisung zur Einhaltung des der Datenschutzkommission vorgelegten "Code of Conduct" und zur Meldung an den Arbeitgeber über wahrgenommene Verstöße gegen diesen Code in den im Spruch genannten Bereichen verpflichtet wurden.
D. Die Genehmigung wird weiters unter der aufschiebenden Bedingung erteilt, dass die Antragstellerin vor Aufnahme der Übermittlungen an die W**** Corporation (USA) die Behandlung der an die Hotline gemeldeten Daten mit der Betreiberin der Hotline, N**** Inc (USA), vertraglich geregelt hat. In dieser Vereinbarung ist festzulegen, dass die Betreiberin der Hotline als Dienstleisterin der Antragstellerin nur Meldungen mit den in Spruchpunkt 1.A bezeichneten Inhalten an die W**** Corporation (USA) übermittelt, während die restlichen über die Hotline allenfalls eingebrachten Meldungen nur der Antragstellerin zugänglich gemacht werden. Weiters ist zu vereinbaren, dass der Inhalt von Meldungen nach ihrer Übermittlung an die W***** Corporation bzw. nach ihrer Rück-Überlassung an die Antragstellerin beim Dienstleister umgehend gelöscht wird.
II. Im Übrigen wird der vorliegende Antrag auf Genehmigung der Übermittlung von Daten an die W**** Corporation, USA, mangels Vorliegens eines überwiegendes berechtigten Interesses an der Übermittlung gemäß § 13 Abs. 2 iVm § 12 Abs. 5 DSG 2000 abgewiesen.
III. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 idgF (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von
Euro 6,50
zu entrichten.
B e g r ü n d u n g
1. Sachverhalt:
Die W**** GmbH (in weiterer Folge "Antragstellerin") hat mit Schreiben vom 20. Mai 2011 eine Genehmigung zur Übermittlung von personenbezogenen Daten der Mitarbeiter in einem "Whistleblowing" Verfahren an die Konzernmutter in den USA beantragt.
Die Übermittlung dient zur Einrichtung eines internen Verfahrens zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungswesen, Controlling und Buchprüfung, Korruption, Urkundenverfälschung und Urkundenfälschung, Insiderhandel und Geheimnisverrat. Derartige Verfahren sind in den US im Zusammenhang mit amerikanischen Anti-Korruptionsgesetzen wie dem Sarbanes-Oxley Act (Pub. L. No. 107-204, 116 Stat. 745), gesetzlich vorgesehen. Die beantragten Datenübermittlungen orientieren sich an diesen US-amerikanischen Vorschriften.
Betroffen sollen Fälle von Wirtschaftskriminalität oder schwerem Fehlverhalten gegen unternehmensinterne Verhaltenvorschriften sein, zu deren Bekämpfung - neben anderen Kommunikationskanälen - auch eine telefonische Melde-Hotline eingerichtet wird. Diese Hotline wird von dem amerikanischen Unternehmen N**** Inc. im Auftrag der Konzernleitung als Dienstleister angeboten. Die N**** Inc. hat sich zur Einhaltung der Regeln des "Safe Harbor" verpflichtet.
2. Anzuwendende Rechtsvorschriften:
§ 13 Abs. 1 und 2 DSG 2000 lauten unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:
"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
3. Rechtlich war zu erwägen:
3.1 Zur Genehmigungsfreiheit:
Hinsichtlich der Überlassung von Daten an die mit der Führung der Hotline beauftragte N**** Inc. besteht Genehmigungsfreiheit, da dieses Unternehmen Mitglied im "Safe Harbor" ist, sodass angemessener Datenschutz bei diesem in den USA ansässigen Dienstleister besteht.
Die beantragte Übermittlung von Daten an W**** Corporation (USA) ist hingegen gemäß § 13 Abs. 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genehmigungspflichtig , da die Empfängerin weder in einem Staat mit angemessenem Datenschutzniveau im Sinne des § 12 Abs. 2 DSG 2000 ansässig ist, noch dem Safe Harbor beigetreten ist und auch kein Fall eines gemäß § 12 Abs. 3 DSG 2000 genehmigungsfreien Datenverkehrs vorliegt.
Bedingung für die Erteilung einer Genehmigung für genehmigungspflichtige Datentransfers ins Ausland ist das Vorliegen der Voraussetzungen des § 12 Abs. 5 DSG 2000 und der Nachweis des Bestehens eines angemessenen Datenschutzniveaus beim ausländischen Datenempfänger.
3.2 Vorliegen der Voraussetzungen nach § 12 Abs. 5 DSG 2000:
Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie
Der Genehmigungsantrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden: Diesbezüglich liegt eine registrierungsfähige Meldung der Antragstellerin für die Datenanwendung "Whistleblower Hotline ("Ethics Line")" (Datenanwendungsnummer xxxxxxx/yyy) beim Datenverarbeitungsregister vor.
3.3 Zur ausreichenden Rechtsgrundlage der Übermittlungen im Sinne der §§ 8 bzw. 9 DSG 2000:
a) Die vom Antrag umfassten Datenflüsse werden wie folgt gewertet:
Es erfolgt eine Ermittlung von Daten durch die Antragstellerin, wenn ihre Mitarbeiter wahrgenommene Missstände in Verfolg der generellen Empfehlung ihres Arbeitgebers melden und diese Meldungen - sei es von der Antragstellerin selbst oder auch in ihrem Auftrag von einem Dienstleister - elektronisch aufgezeichnet werden. Da die Mitarbeiter bei derartigen Meldungen letztlich in Erfüllung der für sie verpflichtenden unternehmensinternen Verhaltensregeln tätig werden, sind ihnen derartige Meldungen nicht als Privatperson sondern als Organ des Unternehmens zuzurechnen, sodass datenschutzrechtlich handelndes Rechtssubjekt das Unternehmen ist. Der Antragstellerin ist daher die Eigenschaft eines Auftraggebers für die Verwendung von gemeldeten Missbrauchsdaten zuzuerkennen – die (elektronischen) Aufzeichnungen stellen eine Datenanwendung der Antragstellerin dar, die im Übrigen von ihr auch beim Datenverarbeitungsregister zur Registrierung gemeldet wurde.
Wenn nun Missbrauchsdaten im Wege der hiefür eigens eingerichteten Hotline ermittelt werden, geschieht auch dies nach dem vorstehend dargestellten Verständnis des Sachverhalts "für die Antragstellerin", da ihre Mitarbeiter als ihre Organe handeln. Die Aufzeichnung der Meldungen durch den Hotline-Betreiber ist daher – in dieser ersten Phase – als Dienstleistung für die Antragstellerin zu begreifen. Dementsprechend bedarf es besonderer Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt ist im Bescheidspruch als aufschiebende Bedingung der Genehmigungserteilung für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft enthalten – erst wenn ein Vertrag abgeschlossen wurde zur Überlassung der mit Hilfe der Hotline ermittelten Daten an den als Dienstleister fungierenden Hotline-Betreiber, darf die Antragstellerin von der vorliegenden Genehmigung zur Übermittlung von Daten an die W**** Corporation Gebrauch machen.
b) Zur Rechtsgrundlage der beantragten Übermittlungen:
aa) Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden "Missbrauch" die konzerninternen Verhaltensregeln, die in ihrem bilanz- und finanzrelevanten Teil den Verpflichtungen des Sarbanes-Oxley Act nachgebildet sind. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch ihren Arbeitsvertrag oder sonst durch generelle Weisung (siehe Punkt I.C des Spruches), in dem die Verpflichtung zur Einhaltung der konzerninternen Verhaltensregeln als Weisungen des Arbeitgebers bedungen wurde. Verstöße gegen diese Verhaltensregeln werden daher zumindest arbeitsrechtlich nicht irrelevant sein, sodass dem Arbeitgeber ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen ist.
Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Eine sachliche Rechtfertigung für die Übermittlung von Missbrauchsdaten zum Zweck der Aufklärung und Untersuchung von Vorfällen, wird nur dann anzunehmen sein, wenn dieser Zweck bei der Antragstellerin selbst nicht zweifelsfrei erreicht werden kann: Im Umfang der Meldung von maßgeblichen Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden (Angehörige des "Senior Managements" in der Meldung zum Datenverarbeitungsregister), anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive und vollständige Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Mitarbeiter betreffen, war abzuweisen, weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann.
In dem Fall, dass ein Mitarbeiter von geringerem Einfluss auf die Unternehmensführung einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze dann zulässig, wenn die Vorgesetzten ihre Aufsichtspflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.
bb) Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art. 29 Gruppe für eine datenschutzkompatible Führung einer "whistle blowing hotline" verlangt werden. Da diese Begleitmaßnahmen wesentlich sind für die Zulässigkeit der Datenanwendung, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.
3.3 Glaubhaftmachung des angemessenen Datenschutzes beim Übermittlungsempfänger im Ausland :
Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:
32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.
3.4 Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.
Rückverweise
Keine Verweise gefunden
