Datenschutzbehörde  Datenschutz Europa privacy service
 
2007/07/18 Intenationaler Datenverkehr - Prüft Datenschutzkommission in Trinidad und Tobago?
Bedeutung des internationalen Datenverkehrs steigt - zulässige Übermittlungen sind an Hand der konkreten Sachlage zu bewilligen - ein angemessenes Datenschutzniveau ist glaubhaft zu machen - Übermittlungen in Dittländer (Nicht-EU-Länder) können auf Basis der Standardvertragsklauseln genehmigt werden - DSK bewilligt Übermittlung von kreditbezogenen Kundendaten an ausländische Konzerngesellschaften ohne Auflagen

Gerade im Zeitalter der Globalisierung wird die Frage, wie internationale Konzerne, die über Gesellschaften in Staaten ohne angemessenes Datenschutzniveau verfügen, mit personenbezogenen Daten ihrer Kunden umgehen, immer wesentlicher. Grundsätzlich kann die Frage, ob eine entsprechende Datenübermittlung zu bewilligen ist, nur ausgehend vom jeweiligen Einzelfall entschieden werden. Eine neue Entscheidung der DSK (K178.234/0008-DSK/2007) dehnt die Möglichkeit zur Übermittlung von kreditrelevanten, personenbezogenen Daten im Konzernverhältnis sehr weit aus.


Grundlagen

Prinzipiell unterliegt die konzerninterne Übermittlung personenbezogener Daten an verbundene Gesellschaften im Ausland denselben Regelungen wie jede andere Datenübermittlung in ausländische Staaten. Während die Datenübermittlung innerhalb der Mitgliedsstaaten der Europäischen Union genehmigungsfrei möglich ist, ist bei Drittstaaten nach § 13 DSG 2000 bei einer Übermittlung von Daten ins Ausland die Genehmigung der Datenschutzkommission einzuholen. Die Erteilung der Genehmigung hat sich danach zu richten, ob im entsprechenden Empfängerstaat ein "angemessenes Datenschutzniveau" vorliegt bzw. ausreichende Garantien glaubhaft gemacht werden, dass die Betroffenenrechte gewahrt werden. Eine entsprechende Genehmigung kann auch unter Bedingungen und Auflagen erfolgen.


Anlassfall

Eine in Österreich ansässige Gesellschaft stellte einen Antrag auf Übermittlung von personenbezogenen Daten aus den Bereichen Rechnungswesen und Customer Relationship an verbundene Konzerngesellschaften in insgesamt gut dreißig außereuropäischen Staaten, darunter Russland, USA, Indien, China aber auch in "Exotenstaaten" wie die Jungferninseln oder Trinidad und Tobago. Als jeweilige Zwecke der Datenübermittlung wurden unter anderem angegeben: Marktbearbeitung und Werbung; vorvertragliche Gründe, insbesondere Beurteilung von Kreditrisken; Vertragserfüllung; Leistungsmanagement sowie finanzielle und betriebswirtschaftliche Analyse.


Entscheidung der DSK

Bezüglich der Glaubhaftmachung des angemessenen Datenschutzes wurde seitens der DSK darauf verwiesen, dass zwischen dem Antragsteller und den jeweiligen Empfängern Standardverträge existierten, welche den Vorgaben der EG zu entsprechenden Standardvertragsklauseln entsprechen würden. Eine weitere Überprüfung des Datenschutzniveaus in den Empfängerländern erfolgte nicht. Wesentlich ist die Entscheidung der DSK weiters dort, wo es um die Übermittlung von personenbezogenen Daten zur Beurteilung des Kreditrisikos spezifischer Kunden geht. In diesem Zusammenhang wurde die Übermittlung von Daten betreffend das bisherige Kundenverhalten gegenüber anderen Konzerngesellschaften aufgrund des "überwiegenden Interesses an einem entsprechenden Informationsaustausch" durch die DSK ohne weitere Auflagen bewilligt.


Angemessenes Datenschutzniveau in Drittländern?

Das jeweilige Datenschutzniveau in den insgesamt gut dreißig Empfängerstaaten wurde von der DSK unter Verweis auf die Entscheidungen 2001/497/EG sowie 2004/915/EG der EU-Kommission nicht überprüft. Im Rahmen dieser EU-Entscheidungen wurden Standardvertragsklauseln entworfen, deren Unterzeichnung durch die am Datentransfer Beteiligten ein angemessenes Schutzniveau gewährleisten soll. Als datenschutzrechtliche Absicherung können solche Vereinbarungen durchaus sinnvoll sein, um Betroffenen zu einem entsprechenden Schutz zu verhelfen. Der hier besprochene Fall zeigt aber die Problematik der Vorgehensweise: Bei einer Übermittlung in insgesamt fast dreißig Drittstaaten, die teilweise kein unabhängiges Justizsystem in unserem Sinne kennen, ist der DSK bei der Überprüfung der Einhaltung der Vertragsbestimmungen viel Glück zu wünschen. Letztlich lässt sich ein derartiger Fall auf das Motto "Papier ist geduldig" zusammenfassen. Ausgehend von Art. 26 Abs.2 der EU-Datenschutzrichtlinie handelt es sich bei den Regelungen zur Genehmigung derartiger Datenübermittlung auf Basis von Standardvertragsklauseln jedenfalls um eine "kann-Bestimmungen". Das Vorliegen entsprechender Klauseln verpflichtet die DSK somit nicht zur Genehmigung, im Gegenteil wäre es sehr wohl möglich gewesen, auch zu überprüfen, ob realistischerweise die Einhaltung entsprechender Datenschutzbestimmungen in den Zielländern überhaupt kontrolliert bzw. durchgesetzt werden kann. Zumindest diese Prüfungen hätte die DSK im Sinne des DSG machen müssen, insbesondere hätte dies zur Folge haben müssen, die Datenübermittlung an jeweils für das entsprechende Land spezifische Bedingungen und Auflagen zur Rechtsdurchsetzung und Kontrolle zu binden.


Berechtigtes Interesse zur Übermittlung kreditrelevanter Kundendaten an Konzerngesellschaften?

Erstaunlich scheint, dass seitens der DSK die Übermittlung von kreditrelevanten Kundendaten im Rahmen des Konzernverhältnisses undifferenziert als gerechtfertigtes Interesse betrachtet wird. Begründet wird dies mit dem konzerneigenen Anspruch einer konsolidierten Betrachtung der Gesamtverpflichtungen aller Tochtergesellschaften. Ob dies allerdings tatsächlich schon ein ausreichender Grund sein kann, konzernverbundenen Gesellschaften eine Sonderstellung bei der Datenübermittlung zuzubilligen ist fragwürdig. Letztendlich handelt es sich bei den einzelnen Gesellschaften eines Konzerns um selbständige juristische Personen, die jeweilige Konstruktion wurde durch die Verantwortlichen bewusst gewählt. Insofern ist nicht einsichtig, warum die Tatsache, dass eine Gesellschaft mit einer anderen - möglicherweise über den Umweg mehrerer weiterer Rechtsträger - in der Eigentümerstruktur verbunden ist, eine Übermittlung von Kundendaten zur Beurteilung von Kreditrisken rechtfertigen sollte. Grundsätzlich ist so gut wie jede Kundenbeziehung für ein Unternehmen mit einem gewissen Kreditrisiko behaftet.


Fazit

Die vorliegende Entscheidung macht die Problematik deutlich, dass anhand der Unterzeichnung sogenannter Standardverträge ein "Freibrief" für Datenübermittlungen in Staaten ohne Datenschutzniveau erworben werden kann. Somit werden - mangels Kontroll- und Durchsetzungsmöglichkeiten - die Bestimmungen zur Genehmigungspflicht internationaler Datenübermittlungen zum Papiertiger. Die Genehmigung zur konzernweiten Übermittlung kreditrelevanter Kundendaten ist in Hinblick auf die Betroffeninteressen ebenso kritisch zu betrachten.

Wir wünschen der DSK jednefalls viel Erfolg und Spaß bei der Durchsetzung der datenschutzrechte in Trinidad und Tobago.

mehr --> http://ftp.freenet.at/beh/K178.234_0008-DSK_2007.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster