31. Juli 2008 - Andere Länder, ...

Datentransfers zwischen Österreich und Deutschland, Teil 1

Viele deutsche Unternehmen haben Geschäftspartner in Österreich. Oder sie haben sogar Tochter- oder Schwestergesellschaften im Nachbarland. Zwischen den Partnern findet meist ein reger Datentransfer statt. Dabei wird sowohl in Deutschland als auch in Österreich oft übersehen, dass einige Besonderheiten des österreichischen Datenschutzrechts zu beachten sind, wenn fleißig Daten von Österreich nach Deutschland transferiert werden.

datentransfers-zwischen-osterreich-und-deutschland-teil-1.jpeg
Beim Nachbarn Österreich ist vieles vertraut – das gilt allerdings nur bedingt für den Datenschutz (Bild: Thinkstock)

Zum Verständnis ist es zunächst wichtig, sich einen Überblick über das österreichische Recht zu verschaffen.

Die Zuständigkeit für den Vollzug des österreichischen Datenschutzgesetzes – genannt „DSG 2000“ – teilen sich in Österreich im Wesentlichen die ordentlichen Gerichte und die Datenschutzkommission.

Datenschutzkommission ist zuständig von der Durchsetzung bis zur Kontrolle

Die Datenschutzkommission ist für die Durchsetzung des DSG 2000 gegenüber Auftraggebern des öffentlichen sowie für die Durchsetzung des Auskunftsanspruchs gegenüber Auftraggebern des privaten Bereichs zuständig.

Daneben kommen ihr nach § 30 DSG 2000 relativ umfassende Kontrollrechte gegenüber Auftraggebern und Dienstleistern zu, ebenso Genehmigungskompetenzen für den internationalen Datenverkehr.

Zur Datenschutzkommission gehört noch das Datenverarbeitungsregister

Der Datenschutzkommission angegliedert ist das Datenverarbeitungsregister zur Registrierung von Datenanwendungen („DVR“).

Gerichte kümmern sich um dieAnsprüche der Betroffenen

Für Widerspruchs-, Löschungs- und Richtigstellungsansprüche gegen private Unternehmen sind die ordentlichen Gerichte zuständig.

Ein DSB ist die Ausnahme in Österreich

Der Art. 18 Abs. 2 der EU-Datenschutzrichtlinie lässt es den Mitgliedstaaten offen, ob sie sich für ein System der betrieblichen Datenschutzbeauftragten entscheiden oder für ein Regi-strierungs- und Ausnahmesystem.

Im Gegensatz zu Deutschland, das den betrieblichen Datenschutzbeauftragten eingeführt hat, gibt es diesen in Österreich von Gesetz wegen nicht. Es herrscht stattdessen ein Registrierungs- und Ausnahmesystem.

Gelegentlich gibt es in größeren Betrieben in Österreich dennoch einen betrieblichen Datenschutzbeauftragten, dem innerbetriebliche Funktionsbereiche übertragen werden. Dabei handelt es sich aber nur um eine betriebliche Beauftragung.

Praxistipp 1
Da das Registrierungsverfahren viel Zeit in Anspruch nimmt, empfiehlt sich bei besonders dringlichen Verfahren ein regelmäßiger persönlicher Kontakt zu den zuständigen Sachbearbeitern des DVR (telefonisch, E-Mail, persönliche Vorsprache), um Probleme und Fragen möglichst rasch gemeinsam lösen zu können.

 

 

Die Folge ist ein geringes Wissen über Datenschutzprobleme

Das Fehlen der Datenschutzbeauftragten führt in vielen österreichischen Betrieben dazu, dass das Wissen über (mögliche) Datenschutzprobleme sowohl bei den Mitarbeitern als auch bei der Geschäftsführung, ja selbst in der Rechtsabteilung sehr gering bis gar nicht vorhanden ist.

Eine weitere Folge ist die Meldepflicht

Eine weitere Konsequenz aus dem Fehlen des betrieblichen Datenschutzbeauftragten in Österreich ist, dass grundsätzlich eine direkte Meldepflicht für alle Datenverarbeitungen beim Datenverarbeitungsregister besteht.

Bestimmte Standardanwendungen sind von der Meldepflicht befreit

Einige Ausnahmen sind jedoch von der Meldung freigestellt. Die Ausnahmen gelten für sogenannte Standardanwendungen, die durch die „Standard- und Musterverordnung“ festgelegt wurden. Derzeit ist die Standard- und Musterverordnung 2004 (StMV 2004), BGBl II 312/2004, in Kraft.

Auch beim Outsourcing besteht keine Meldepflicht

Die Meldepflicht gilt auch nicht für die Überlassung zur Dienstleistung. Dafür ist aber ein Dienstleistungsvertrag abzuschließen.

Einige Beispiele, in denen eine Meldepflicht beim Datenverarbeitungsregister (DVR) besteht

Typische Praxisfälle, bei denen trotz der Ausnahmen der Standard- und Musterverordnung eine Meldepflicht vorliegt, sind die Übermittlung von Kleinkunden- oder Konsumentendaten an die Konzernleitung des Auftraggebers – etwa nach Deutschland – oder die Übermittlung von Arbeitnehmerdaten von Österreich an eine deutsche Schwester- oder Muttergesellschaft.

Die Meldung erfolgt mit standardisierten Formularen

Besteht eine Meldepflicht, so ist ihr mit einem standardisierten Meldeformular nachzukommen.

Darin müssen im Detail der Zweck, die Betroffenen, die Datenarten und die Übermittlungsempfänger der Datenanwendung angegeben werden. Die Meldung ist beim Datenverarbeitungsregister einzureichen.

Bis zur eigentlichen Registrierung beim DVR vergehen oft Monate

Schon ab dem Tag der Einreichung darf die Datenanwendung durchgeführt werden. Das DVR hat aber eine Frist von zwei Monaten, um die Zulässigkeit der Datenanwendung zu prüfen.

Meist erhalten die Unternehmen kurz vor Ende der Zweimonatsfrist einen Verbesserungsauftrag des DVR, den sie beantworten müssen. Danach vergehen oft noch Monate, bis sie die offizielle Registrierungsbestätigung des DVR erhalten.

Eine Ausnahme bilden sensible oder strafrechtlich relevante Daten

Entsprechend den Vorgaben der EU-Datenschutzrichtlinie besteht eine Ausnahme für Datenanwendungen, die sensible oder strafrechtlich relevante Daten enthalten oder die als Informationsverbundsystem geführt werden.

Sie unterliegen einer Vorabgenehmigungspflicht, d.h. sie dürfen nicht sofort bei Einreichung, sondern erst nach der Genehmigung begonnen werden.

Internationaler Datenverkehr – ein kompliziertes Verfahren

DVR-Meldungen einzureichen zählt noch zu den relativ leichten Übungen, wenn die notwendigen Informationen über die Datenanwendung vorliegen.

Wirklich kompliziert ist es, Daten von Österreich direkt oder auch über Deutschland – ohne Verarbeitung in Deutschland – in ein Land außerhalb der EU zu transferieren.

Sowohl Datenüberlassungen an Dienstleister als auch Datenübermittlungen an Verarbeiter außerhalb der EU (z.B. in die USA) sind nämlich unabhängig von ihrer Meldepflicht in Österreich zusätzlich vorabgenehmigungspflichtig durch die Datenschutzkommission.

Praxistipp 2
Berücksichtigen Sie den Zeitaufwand von Wochen oder Monaten bei Datentransferprojekten. Dies gilt schon für die bloße Zentralisierung oder Spiegelung von Daten aus Österreich auf einem (Konzern-)Server im EU-Ausland!

Davon gibt es nur wenige Ausnahmen wie die Safe-Harbor-Zertifizierung

 

Dies gilt nicht, wenn die Zustimmung jedes Betroffenen vorliegt oder die unbedingte Notwendigkeit zur Vertragserfüllung argumentiert werden kann. Beides ist meist nicht der Fall, insbesondere nicht bei Mitarbeiterdaten.

Eine Ausnahme besteht auch, wenn eine Safe-Harbor-Zertifizierung des Empfängers vorliegt. Dies ist allerdings nur in den USA möglich.

Auch hier können gar Monate bis zur Genehmigung vergehen

Im Genehmigungsverfahren werden oft die Standardvertragsklauseln der EU-Kommission herangezogen. Im Unterschied zu den meisten anderen EU-Staaten sind diese aber nicht bloß zu unterzeichnen, sondern aufgrund der Vorabgenehmigungspflicht bei der österreichischen Datenschutzkommission zur Genehmigung einzureichen.

Bis die Genehmigung erteilt wird, können je nach Komplexität des Falls viele Wochen oder auch Monate vergehen.

Unternehmen in Österreich nehmen es mit der Meldepflicht oft nicht so genau

Die Praxis zeigt, dass österreichische Unternehmen sich ihrer Melde- und Genehmigungspflichten nicht bewusst sind oder diese ignorieren. Nicht selten finden sich Unternehmen, deren letzte Meldungen fünf, zehn oder 15 (!) Jahre zurückliegen.

Sprechen Sie österreichische Partner aktiv auf Datenschutz an!

Dies kann nicht nur für diese selbst das Risiko von Geldstrafen oder auch einer Untersagung der Datenanwendung oder -übermittlung mit sich bringen.

Auch ihre Geschäftspartner oder Konzerngesellschaften in Deutschland können unerfreuliche Überraschungen im Hinblick auf einen reibungslosen Datentransfer erleben.

Dies sollten deutsche Datenschutzbeauftragte im Kontakt mit österreichischen Unternehmen berücksichtigen und das Thema aktiv ansprechen.

Nutzen Sie das DVR!

Da das österreichische DVR von Gesetz wegen öffentlich und jedermann kostenlos zugänglich ist, kann man bei Unklarheiten über den Stand der Registrierung eines österreichischen Unternehmens dessen Registerauszug auch als Deutscher direkt beim DVR nachfragen. Dies geht einfach per E-Mail an: dvr@dsk.gv.at oder per Telefon unter 0043 1 53115-4043.

Lesen Sie auch den 2. Teil der Reihe!

Dr. Rainer Knyrim
RA Dr. Knyrim ist Partner bei Preslmayr Rechtsanwälte OEG, Wien, wo er in und ausländische Unternehmen im Datenschutzrecht berät. Kontakt unter knyrim@preslmayr.at.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln