New Technologies

Austria: Data Under Control

When it comes to determining who the data controller is for international data transfers, many national data protection authorities look no further than their own borders and do not consider foreign parent companies. But does this make sense? It may be time to reconsider!

The subject of international data transfers has been under discussion since the European Court of Justice (“ECJ”) recent ruling in Case C-362/14 (Maximilian Schrems vs Data Protection Commissioner). Beyond this ruling, there are many additional international data transfer issues of significance to be considered, including the allocation of the role of the data controller.

International data transfers and role distribution

International data transfers that are outward bound from the European Union often require prior approval from the competent national data protection regulator. International groups of companies frequently need to share personal information such as human resources data and/or customer data within their corporate group. The question that arises is whether a national (ie, local) subsidiary should be seen as the data controller, and thus be held responsible for the legitimacy of the data transfer to the corporate group?

The controller definition – legal language vs legal practice

According to the Austrian Data Protection Act as well as the Data Protection Directive (95/46/EC), the data controller “shall mean the natural or legal person […] which alone, or jointly with others, determines the purpose and means of the processing of personal data.1

In reality, it is quite often the case that it is not a local entity but rather a parent company that actually determines how to use and transfer personal data on a corporate group level. Such demand is often driven by compliance or statutory obligations that apply to the parent company but not necessarily to the local entity (at least not to the same degree). In terms of data protection role allocation that means it is not the local entity but the parent company that makes up its mind for collecting and processing data in Austria – not purely in the interest of the local entity. In such instances the data processing is typically and primarily dominated by corporate group interests, not by the interests of the local entity. So, for example, the shipping of data from an Austrian subsidiary to a US based parent company could be seen as an initial collecting of personal data in Austria by that US company (as the data controller), and less as a transfer of personal data from one controller (the local, Austrian entity) to another controller (the US parent company). It is important to note that such interpretation would in no way create a regulatory deficit since the data collecting nevertheless has to satisfy the regulations as set out by national (in this scenario Austrian) data protection law.

Nonetheless, the argument that in such circumstances the foreign parent company effectively is the data controller for purposes of the Austrian Data Protection Act has not, to date, been accepted by the Austrian data protection authority. Instead, the Austrian regulator – like many of its equivalents in other jurisdictions – has taken the position that in all cases of international data transfers the Austrian local/national subsidiary is the controller. Recognising the (foreign) parent company as being the data controller would in no way limit their power to regulate and control conduct according to the recent ECJ ruling C-230/14.2

The data subject benchmark

The incoherence of the Austrian data protection authority’s position on this subject becomes even more obvious when contrasted with the Austrian Supreme Court’s rulings on Austrian data protection law, which are generally based on ensuring full informational self-determination on the part of the data subject. Logically, the counterpart to the data subject (the data controller) should provide the very same level of self-determination. So, if both data collecting and data processing are predominantly driven by the parent company, it makes sense to allocate the role of the data controller to that parent company even when a subsidiary is established in the country at question.

A data controller is the one in charge of the processing of data. When it comes to corporate group data flows, why shouldn't legal interpretation appropriately reflect the reality by allocating this role to the parent company?

1
Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data, L281, 23/11/1995, p 31 – 50, Article 2 (d).
2
ECJ, October 1st, 2015, Case C-230/14 (Weltimmo s.r.o v Nemzeti Adatvédelmi és Információszabadság Hatóság); addressing two aspects of EU data protection law (i) the applicable law and (ii) the scope of the territorial powers of data protection authorities.

Österreich: Daten unter Kontrolle

Geht es darum, die Position des datenschutzrechtlichen Auftraggebers bei einem internationalen Datentransfer zu bestimmen, so beurteilen die Datenschutzbehörden diese Frage meist sehr restriktiv und lassen dabei die Rolle der Konzernmutter außer acht. Dies erscheint kontraproduktiv, es ist Zeit diesen Ansatz zu überdenken.

Das Konzept der internationalen Datenübermittlungen wird seit der Entscheidung des Europäischen Gerichtshofes (“EuGH”) in der Rechtssache C-362/14 (Maximilian Schrems vs Data Protection Commissioner) heftig diskutiert. Abseits dieser Entscheidung gilt es bei internationalen Datentransfers aber auch andere maßgebliche Aspekte zu berücksichtigen, wie etwa die Zuordnung der datenschutzrechtlichen Auftraggeberrolle.

Internationale Datenübermittlung und Rollenverteilung

Internationale Datenübermittlungen, bei denen personenbezogene Daten aus der Europäischen Union exportiert werden, müssen in den meisten Ländern von den nationalen Datenschutzbehörden vorab genehmigt werden. Internationale Konzerne müssen jedoch regelmäßig personenbezogene Daten, wie etwa ihre Kunden- oder Mitarbeiterdaten, auf der Konzernebene gemeinschaftlich und damit grenzüberschreitend verarbeiten. Hierbei stellt sich die Frage, ob die nationale Konzerntochter tatsächlich als datenschutzrechtliche Auftraggeberin anzusehen ist und damit die rechtliche Verantwortung der Datentransfers an die Konzernmutter zu tragen hat?

Definition des datenschutzrechtlichen Auftraggebers – Recht vs Rechtspraxis

Nach dem österreichischen Datenschutzgesetz sowie der Europäischen Datenschutzrichtlinie (95/46/EG) gelten als datenschutzrechtliche Auftraggeber “natürliche oder juristische Personen, […] wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden […]1

In der Praxis ist es regelmäßig nicht die lokale Tochtergesellschaft sondern vielmehr die Konzernmutter, welche über die Art und Weise der Verarbeitung personenbezogener Daten (zumindest auf dem Konzernlevel) entscheidet. Der Zweck solcher Datenverarbeitungen dient oftmals der Einhaltung von Compliance-Bestimmungen oder von gesetzlichen Vorschriften, welche zwar die Muttergesellschaft, nicht aber notwendiger Weise (oder nicht im gleichen Ausmaß) die Tochtergesellschaft treffen. In der datenschutzrechtlichen Terminologie bedeutet dies, dass es nicht die nationale Tochtergesellschaft sondern die Konzernmutter ist welche die Entscheidung trifft personenbezogene Daten zu erheben und zu verarbeiten – ohne damit aber notwendiger Weise dem Interesse der Konzerntochter zu dienen. Vielmehr sind derartige Datenverarbeitungen regelmäßig vom Verarbeitungsinteresse der Konzernmutter getragen. Konsequenter Weise bedeutet dies aber, dass in vielen Fällen eher von einer originären Erhebung und Verarbeitung personenbezogener Daten durch die US-Konzernmutter (als datenschutzrechtliche Auftraggeberin) zu sprechen ist als von einer Datenübermittlung von einem lokalen datenschutzrechtlichen Auftraggeber (etwa einer österreichischen Tochtergesellschaft) an die US-Konzernmutter. An dieser Stelle sei besonders hervorgehoben dass diese Lesart kein datenschutzrechtliches Defizit begründet da die Datenerhebung und Datenverwendung durch die Konzernmutter in vollem Umfang den Anforderungen des nationalen (in unserem Fall: österreichischen) Datenschutzrechts genügen muss.

Nichtsdestotrotz wird diese Sichtweise von der österreichischen Datenschutzbehörde zurückhaltend beurteilt. So vertritt die Behörde – wie auch die meisten ihrer Pendants in den anderen europäischen Ländern – die Ansicht, dass in den Fällen internationaler Datenübermittlungen regelmäßig die österreichische Tochtergesellschaft als datenschutzrechtliche Auftraggeberin zu qualifizieren ist. Dabei würde aber auch die Anerkennung der fremden Konzernmutter als datenschutzrechtlicher Auftraggeberin die Behörde in ihren Aufsichtsbefugnissen nicht limitieren, wie einem jüngst ergangenen Urteils des EuGH C-230/14 entnommen werden kann.2

Die informationelle Selbstbestimmung als Gradmesser

Die Inkohärenz in dem Beharren auf der nationalen Konzerntochter als Auftraggeberin zeigt sich, wenn man die — durchgängig vom Gedanken der Wahrung der informationellen Selbstbestimmung des Betroffenen — getragene datenschutzrechtliche Judikatur des Obersten Gerichtshofes ins Kalkül zieht. Verfolgt man diesen Gedanken weiter, so muss dem datenschutzrechtlichen Auftraggeber, als Gegenpart des Betroffenen, denklogisch ein äquivalentes Maß an Selbstbestimmung zugestanden werden. Wenn daher sowohl eine Datenerhebung wie auch eine Datenverarbeitung vornehmlich von der Konzernmutter bestimmt wird, so muss in Fortführung des angesprochenen Selbstbestimmungsgedankens der Konzernmutter, nicht aber ihrer allfällig in Österreich eingerichteten Tochtergesellschaft die Auftraggeberrolle zugesprochen werden.

Als datenschutzrechtlicher Auftraggeber gilt, wer "Herr über die Datenverarbeitung" ist. Wenn es um konzerninterne Datenübermittlungen geht, so stellt sich die Frage, warum den tatsächlichen Gegebenheiten nicht auch aus rechtlicher Sicht Rechnung getragen und der Konzernmutter die Auftraggebereigenschaft zugeordnet werden sollte?

1
RICHTLINIE 95/46/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 2811995, 31 ff; Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 — DSG 2000), BGBl I 1999165 idF BGBl I 2015132.
2
EuGH, 01.10.2015, C-230/14 (Vorabentscheidungsersuchen der Kúria-Ungarn – Weltimmo s.r.o./Nemzeti Adatvédelmi és Információszabadság Hatóság) zur die Reichweite der territorialen Befugnis der nationalen Datenschutzbehörden.