DSB K178.253/0005-DSK/2007

[Anmerkung Bearbeiter: Namen (Firmen), (Internet‑)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. KOTSCHY, Dr. BLAHA, Dr. ROSENMAYR-KLEMENZ, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. FLENDROVSKY in ihrer Sitzung vom 4. Mai 2007 folgenden Beschluss gefasst:

S p r u c h

I. Der H**** GmbH in Wien wird aufgrund ihres Antrags vom 1. Feber 2007 gemäß § 13 Abs. 1 und 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, die Genehmigung erteilt, folgende Daten aus der unter der DVR-Nummer xxxxxxx im Datenverarbeitungsregister gemeldeten Datenanwendung "IT System Management (ISAM) – Information über Hardware und Software des Unternehmens" (Datenanwendungs-Nummer xxxxxxx/yyy) zum Zweck der Verwaltung von Hard- und Software an die H**** Company, USA, zu übermitteln:

Von Mitarbeitern der Antragstellerin:

1. 1.

   Name

2. 2. Direkte Telefonnummer
3. 3. Interne Telefonnummer
4. 4. E-Mail Adresse
5. 5.

   Funktion

6. 6.

   Stellenbezeichnung

7. 7. Ordnungsnummer (Die "Single Sign on ID" ist eine zufällig intern generierte Ordnungsnummer, die die Identifizierung des Mitarbeiters durch den Auftraggeber ermöglicht.)
8. 8. Ordnungsnummer des Vorgesetzten ("Manager´s single sign on ID")
9. 9. Kostenstelle (cost center)
10. 10. Bezeichnung des Rechners
11. 11. Seriennummer des Rechners
12. 12.

    Modell

13. 13. Verkäufer des Rechners
14. 14. Type (Desktop oder Laptop)
15. 15. Besitzer (User)
16. 16. Hardware Konfiguration
17. 17. Kauf / Miet Information
18. 18. Bezeichnung der installierten Software

II. Gemäß § 78 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), BGBl Nr. 51/1991 idF. BGBl I Nr. 65/2002, iVm §§ 1, 3 Abs. 1 und TP 1 Bundesverwaltungsabgabenverordnung 1983, BGBl Nr. 24 i.d.F. BGBl II Nr. 460/2002 (BVwAbgV), hat die Antragstellerin eine Verwaltungsabgabe in Höhe von

Euro 6,50

zu entrichten.

B e g r ü n d u n g

1. Sachverhalt:

Mit Schriftsatz vom 1. Feber 2007 hat die H**** GmbH (in weiterer Folge "Antragstellerin") bei der Datenschutzkommission einen Antrag gemäß § 13 DSG 2000 auf Übermittlung von personenbezogenen Daten von Mitarbeitern an die H**** Company, USA, gestellt. Die Daten stammen aus der Datenanwendung "IS Asset Management (ISAM) – Information über Hardware und Software des Unternehmens" (in der Folge "ISAM"), die beim Datenverarbeitungsregister gemeldet ist.

Die Übermittlung dient dazu, die Verwaltung von Software und Hardware zu vereinfachen und zu verbessern, Hardware und Software weltweit aufzufinden und deren Status zu ermitteln sowie Sicherheitslücken zu identifizieren und Sicherheitsupdates zu verteilen. Weiters soll auch generell Software zugeteilt werden. ISAM soll einen Überblick verschaffen, welche Hard- und Software sich wo im Unternehmen befindet und welchen Status diese aktuell hat. Damit kann das Unternehmen entsprechend im Bereich des Managements von Hard- und Software reagieren, wenn z.B. Inkompatibilitäten zwischen einzelnen Hard- und Softwareelementen untereinander auftreten.

2. Anzuwendende Rechtsvorschriften:

§ 13 Abs. 1 und 2 DSG 2000 lautet unter der Überschrift "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland" wie folgt:

"§ 13. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12

genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzkommission (§§ 35 ff) einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

1. 1. für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; dies ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung eine Rolle spielen, wie insbesondere die Art der verwendeten Daten, die Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und das Endbestimmungsland und die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards; oder
2. 2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche Zusicherungen des Empfängers an den Antragsteller über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein."

3. Rechtlich war zu erwägen:

3.1 Gemäß § 12 Abs. 5 DSG 2000 ist Voraussetzung für die Rechtmäßigkeit einer geplanten Übermittlung, dass die Bedingungen des § 7 Abs. 2 DSG 2000 erfüllt sind. Danach dürfen Daten nur dann übermittelt werden, wenn sie

• aus einer zulässigen Datenanwendung stammen und wenn
• die rechtliche Befugnis des Empfängers für eine derartige Übermittlung ausreichend glaubhaft ist und wenn
• die Übermittlung im Sinne der §§ 8 bzw. 9 DSG 2000 ihrer Art nach auch im Inland zulässig wäre.

3.2 Der Antrag bezieht sich auf Daten, die in Österreich rechtmäßig verarbeitet werden. Diesbezüglich liegt eine Meldung des Antragstellers für eine Datenanwendung "IS Asset Management (ISAM) – Information über Hardware und Software des Unternehmens" (Datenanwendungs-Nummer xxxxxxx/yyy) beim Datenverarbeitungsregister vor.

3.3 Die vorgesehene Übermittlung betrifft ausschließlich Daten, die die Benutzung einschließlich Berechtigung eines Mitarbeiters zur Verwendung bestimmter Hard- oder Software betreffen. Sie umfasst keine personenbezogenen Daten, die eingriffsintensiv - etwa durch Bezug zur Privatsphäre – wären oder besonderes Nachteilspotential hätten. Da die Übermittlung dieser Daten für die Optimierung der Hard- und Softwareausstattung des Konzerns angesichts der gegebenen Organisationsstruktur erforderlich ist und besondere Gefahren für die Betroffenen angesichts der Natur der zu übermittelnden Datenarten nicht bestehen, ist vom Vorliegen eines überwiegenden berechtigten Interesses an der Datenübermittlung auszugehen, womit die Voraussetzung des § 8 Abs. 1 Z 4 DSG 2000 für die Zulässigkeit der vorliegenden Übermittlung erfüllt sind.

3.4 Zur Glaubhaftmachung des angemessenen Datenschutzes beim Empfänger im Ausland haben der Auftraggeber und der Empfänger einen Vertrag abgeschlossen, der den in der Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II), Amtsblatt Nr. L 385 S. 74–84, CELEX:

32004D0915, vorgesehenen Standardvertragsklauseln entspricht. Der Nachweis ausreichenden Datenschutzes beim ausländischen Datenempfänger gilt daher als erbracht im Sinne des § 13 Abs. 2 Z 2 DSG 2000.

3.5. Die Verwaltungsabgabe war gemäß § 78 Abs. 1 AVG iVm §§ 13, 53 Abs. 1 DSG 2000 vorzuschreiben. Demnach ist für Anträge nach § 13 DSG 2000 keine Befreiung von Verwaltungsabgaben normiert.