32001D0497

2001/497/EG: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (Text von Bedeutung für den EWR) (Bekannt gegeben unter Aktenzeichen K(2001) 1539)

Amtsblatt Nr. L 181 vom 04/07/2001 S. 0019 - 0031


Entscheidung der Kommission

vom 15. Juni 2001

hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG

(Bekannt gegeben unter Aktenzeichen K(2001) 1539)

(Text von Bedeutung für den EWR)

(2001/497/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(1), insbesondere auf Artikel 26 Absatz 4,

in Erwägung nachstehender Gründe:

(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Datenschutzniveau gewährleistet und Gesetze des Mitgliedstaates, die den anderen Bestimmungen der Richtlinie entsprechen, vor der Übermittlung berücksichtigt werden.

(2) Artikel 26 Absatz 2 der Richtlinie 95/46/EG sieht jedoch vor, dass die Mitgliedstaaten sofern bestimmte Garantien vorliegen, eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, genehmigen können. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauseln ergeben.

(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten(2) hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht(3).

(4) Artikel 26 Absatz 2 der Richtlinie 95/46/EG, der einer Organisation, die Daten in Drittländer übermitteln will. Flexibilität bietet, und Artikel 26 Absatz 4 mit dem Hinweis auf Standardvertragsklauseln sind wesentlich, um den notwendigen Strom personenbezogener Daten zwischen der Europäischen Union und Drittländern ohne unnötige Belastung der Wirtschaftsakteure aufrechtzuerhalten. Beide Bestimmungen sind von besonderer Bedeutung angesichts der Tatsache, dass die Kommission kurz- oder mittelfristig wohl nur für eine begrenzte Zahl von Ländern die Angemessenheit des Schutzniveaus nach Artikel 25 Absatz 6 wird feststellen können.

(5) Die Standardvertragsklauseln sind neben Artikel 25 und Artikel 26 Absätze 1 und 2 nur eine von mehreren Möglichkeiten im Rahmen der Richtlinie 95/46/EG für die rechtmäßige Übermittlung personenbezogener Daten in Drittländer; für die Organisationen wird es erheblich einfacher, personenbezogene Daten in Drittländer zu übermitteln, wenn sie die Standardvertragsklauseln in den Vertrag aufnehmen. Sie beziehen sich jedoch nur auf den Datenschutz. Datenexporteur und Datenimporteur ist es freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, z. B. Klauseln über gegenseitige Unterstützung bei Streitigkeiten mit einer betroffenen Person oder einer Kontrollstelle, die die Parteien für vertragsrelevant halten, sofern sie den Standardvertragsklauseln nicht widersprechen.

(6) Diese Entscheidung sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Die Umstände einer bestimmten Übermittlung können es erforderlich machen, dass die für die Datenverarbeitung Verantwortlichen andere Garantien im Sinne von Artikel 26 Absatz 2 leisten müssen. Diese Entscheidung hat lediglich die Wirkung, dass die Mitgliedstaaten die hier beschriebenen Vertragsklauseln als ausreichende Garantien anerkennen müssen, und lässt daher andere Vertragsklauseln unberührt.

(7) Die Entscheidung beschränkt sich darauf festzulegen, dass die im Anhang aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Gemeinschaft ansässig ist, angewandt werden können, um ausreichende Garantien nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG zu gewährleisten. Die Übermittlung personenbezogener Daten in Drittländer ist eine Verarbeitung in einem Mitgliedstaat, für deren Rechtmäßigkeit nationales Recht maßgeblich ist; die Kontrollstellen der Mitgliedstaaten sollten weiterhin dafür zuständig sein, im Rahmen ihrer Aufgaben und Befugnisse nach Artikel 28 der Richtlinie 95/46/EG zu prüfen, ob der Datenexporteur die nationalen Vorschriften zur Umsetzung der Bestimmungen der Richtlinie 95/46/EG einhält, insbesondere der spezifischen Bestimmungen über die Informationspflicht nach dieser Richtlinie.

(8) Diese Entscheidung betrifft nicht die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet der Gemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden. Diese Übermittlungen erfordern nicht die gleichen Garantien, weil der Auftragsverarbeiter ausschließlich im Auftrag des für die Verarbeitung Verantwortlichen tätig ist. Die Kommission beabsichtigt diese Art der Übermittlung in einer späteren Entscheidung zu behandeln.

(9) Es sollten die Mindestinformationen festgelegt werden, die von den Parteien im Übermittlungsvertrag bereitgestellt werden müssen. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationen im Einzelnen zu benennen, die von den Parteien zu liefern sind. Diese Entscheidung wird im Lichte der Erfahrung überprüft.

(10) Die Kommission wird zukünftig ferner erwägen, ob Standardvertragsklauseln, die von Industrieverbänden oder anderen interessierten Parteien vorgelegt werden, ausreichende Garantien im Sinne der Richtlinie 95/46/EG bieten.

(11) Zwar sollte es den Parteien freistehen, zu vereinbaren, welche Datenschutzregeln von dem Datenimporteur zu beachten sind, doch sollten bestimmte Datenschutzgrundsätze in allen Fällen anzuwenden sein.

(12) Daten sollten nur für angegebene Zwecke verarbeitet und anschließend verwendet oder übermittelt werden und sollten nicht länger als notwendig aufbewahrt werden.

(13) Gemäß Artikel 12 der Richtlinie 95/46/EG sollte die betroffene Person Anspruch auf alle sie betreffenden Daten und je nach Fall auf Berichtigung, Löschung und Sperrung bestimmter Daten haben.

(14) Die Weiterübermittlung von personenbezogenen Daten an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, sollte nur unter bestimmten Voraussetzungen erlaubt werden, die insbesondere sicherstellen, dass die betroffenen Personen angemessen informiert werden und die Möglichkeit haben zu widersprechen oder in bestimmten Fällen ihre Zustimmung zu versagen.

(15) Neben der Prüfung, ob Übermittlungen in Drittländer nationalem Recht entsprechen, sollten die Kontrollstellen eine Schlüsselrolle in diesem Vertragsmechanismus übernehmen, indem sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In bestimmten Fällen sollten die Kontrollstellen der Mitgliedstaaten weiterhin befugt sein, eine Datenübermittlung beziehungsweise eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder auszusetzen; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen.

(16) Die Standardvertragsklauseln sollten durchsetzbar sein, und zwar nicht nur von den Organisationen, die Vertragsparteien sind, sondern auch von den betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht.

(17) Auf den Vertrag sollte das Recht des Mitgliedstaates anwendbar sein, in dem der Datenexporteur ansässig ist, das es einem Drittbegünstigten ermöglicht, den Vertrag durchzusetzen. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, das Recht haben, sich von Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen.

(18) Um die Schwierigkeiten der betroffenen Personen zu verringern, ihre Rechte nach diesen Standardvertragsklauseln geltend zu machen, sollten der Datenexporteur und der Datenimporteur gesamtschuldnerisch für Schäden aufgrund jeglicher Verletzung der Bestimmungen haftbar sein, die der Drittbegünstigtenklausel unterliegen.

(19) Die betroffene Person hat das Recht, wegen Schäden, die durch Handlungen verursacht werden, die mit den in den Standardvertragsklauseln enthaltenen Verpflichtungen unvereinbar sind, gegen den Datenexporteur, den Datenimporteur oder beide gerichtlich vorzugehen und Schadensersatz zu erlangen; beide Parteien können von dieser Haftung ausgenommen werden, wenn sie beweisen, dass keiner von ihnen für diese Schäden verantwortlich ist.

(20) Die gesamtschuldnerische Haftung betrifft nicht die Bestimmungen, die nicht unter die Drittbegünstigtenklausel fallen, und muss nicht dazu führen, dass eine Partei für Schäden aus der unrechtmäßigen Verarbeitung durch die andere Partei aufkommt. Die Bestimmung über einen gegenseitigen Ausgleichsanspruch zwischen den Parteien ist nicht Voraussetzung für die Angemessenheit des Schutzniveaus für die betroffenen Personen, und die Parteien können diese Bestimmung streichen. Sie wurde aber im Interesse der Klarheit in die Standardvertragsklauseln aufgenommen, und um es den Parteien zu ersparen, im Einzelfall Ausgleichsklauseln auszuhandeln.

(21) Wird eine Auseinandersetzung der Parteien mit einer betroffenen Person, die sich auf die Drittbegünstigtenklausel beruft, nicht gütlich beigelegt, verpflichten sich die Parteien, der betroffenen Person die Wahlmöglichkeiten zwischen Schlichtung, Schieds- und Gerichtsverfahren anzubieten. Das Ausmaß der tatsächlichen Wahlmöglichkeiten der betroffenen Person hängt von dem Vorhandensein zuverlässiger und anerkannter Schlichtungs- und Schiedsgerichtssysteme ab. Schlichtung durch die Kontrollstellen eines Mitgliedstaats sollte eine Möglichkeit sein, sofern diese Stellen solche Leistungen erbringen.

(22) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die der Entscheidung beiliegenden Standvertragsklauseln bieten; die Stellungnahme wurde bei der Erarbeitung der vorliegenden Entscheidung(4) berücksichtigt.

(23) Die in der vorliegenden Entscheidung enthaltenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde -

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Artikel 1

Die Standardvertragsklauseln im Anhang gelten als ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG.

Artikel 2

Diese Entscheidung betrifft ausschließlich die Angemessenheit des Schutzes, der bei der Übermittlung personenbezogener Daten durch die im Anhang aufgeführten Standardvertragsklauseln gewährleistet wird. Die Anwendung anderer nationaler Vorschriften zur Durchführung der Richtlinie 95/46/EG, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleibt davon unberührt.

Diese Entscheidung ist nicht anwendbar auf die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet der Gemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden.

Artikel 3

Im Rahmen dieser Entscheidung

a) gelten die Begriffsbestimmungen der Richtlinie 95/46/EG;

b) bezeichnet der Begriff "besondere Kategorien personenbezogener Daten" die in Artikel 8 der Richtlinie genannten Daten;

c) bezeichnet der Begriff "Kontrollstelle" die in Artikel 28 der Richtlinie genannte Stelle;

d) bezeichnet der Begriff "Datenexporteur" den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;

e) bezeichnet der Begriff "Datenimporteur" den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die weitere Verarbeitung gemäß den Bestimmungen dieser Entscheidung entgegenzunehmen.

Artikel 4

(1) Unbeschadet ihrer Befugnisse, tätig zu werden, um die Einhaltung nationaler Vorschriften, die gemäß den Kapiteln II, III, V und VI der Richtlinie 95/46/EG erlassen wurden, zu gewährleisten, können die zuständigen Kontrollstellen in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, um zum Schutz von Privatpersonen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung in Drittländer zu verbieten oder auszusetzen, wenn:

a) feststeht, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften Anforderungen unterliegt, die ihn zwingen, von den einschlägigen Datenschutzvorschriften in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind und dass sich diese Anforderungen wahrscheinlich sehr nachteilig auf die Garantien auswirken, die die Standardvertragsklauseln bieten sollen, oder

b) eine zuständige Kontrollstelle festgestellt hat, dass der Datenimporteur die Vertragsklauseln nicht einhält, oder

c) eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Standardvertragsklauseln derzeit oder künftig nicht eingehalten werden und die Fortsetzung der Übermittlung den betroffenen Personen einen nicht wieder gutzumachenden Schaden zufügen würde.

(2) Das Verbot oder die Aussetzung im Sinne von Absatz 1 wird aufgehoben, sobald die Gründe für das Verbot oder die Aussetzung nicht mehr vorliegen.

(3) Sobald die Mitgliedstaaten Maßnahmen gemäß Absatz 1 und 2 ergreifen, informieren sie unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 5

Die Kommission bewertet drei Jahre, nachdem sie den Mitgliedstaaten diese Entscheidung bekannt gegeben hat, anhand der verfügbaren Informationen ihre Durchführung. Sie unterrichtet den durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über ihre Feststellungen. Sie fügt sämtliche Belege bei, die für die Beurteilung der Angemessenheit der Standardvertragsklauseln des Anhangs von Bedeutung sein könnten, sowie etwaige Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird.

Artikel 6

Diese Entscheidung ist anwendbar ab dem 3. September 2001.

Artikel 7

Diese Entscheidung ist an die Mitgliedstaaten gerichtet.

Brüssel, den 15. Juni 2001

Für die Kommission

Frederik Bolkestein

Mitglied der Kommission

(1) ABl. L 281 vom 23.11.1995, S. 31.

(2) Die Intemetadresse der Arbeitsgruppe lautet:

http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) WP4 (5020/97) "Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer - Mögliche Ansätze für eine Bewertung der Angemessenheit"; Diskussionsgrundlage, von der Arbeitsgruppe angenommen am 26. Juni 1997.

WP7 (5057/97) "Beurteilung der Selbstkontrolle der Wirtschaft: wann ist sie ein sinnvoller Beitrag zum Niveau des Datenschutzes in einem Drittland?" Arbeitsunterlage, von der Arbeitsgruppe angenommen am 14. Januar 1998.

WP9 (3005/98) "Erste Überlegungen zur Verwendung vertraglicher Bestimmungen im Rahmen der Übermittlungen personenbezogener Daten an Drittländer", Arbeitsunterlage von der Arbeitsgruppe angenommen am 22. April 1998.

WP12: "Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU"; Arbeitsunterlage, von der Gruppe angenommen am 24. Juli 1998, verfügbar auf der Website der Europäischen Kommission: "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/de".

(4) Stellungnahme Nr. 1/2001, angenommen von der Gruppe am 26. Januar 2001 (GD MARKT 5102/00 WP 38), verfügbar auf der "Europa"-Site der Europäischen Kommission.

ANHANG

>PIC FILE= "L_2001181DE.002402.TIF">

>PIC FILE= "L_2001181DE.002501.TIF">

>PIC FILE= "L_2001181DE.002601.TIF">

>PIC FILE= "L_2001181DE.002701.TIF">

Anlage 1

zu den Standardvertragsklauseln

>PIC FILE= "L_2001181DE.002802.TIF">

>PIC FILE= "L_2001181DE.002901.TIF">

Anlage 2

zu den Standardvertragsklauseln

Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 1

Diese Datenschutzgrundsätze sind im Lichte der Bestimmungen (Grundsätze und entsprechende Ausnahmen) der Richtlinie 95/46/EG auszulegen.

Sie gelten vorbehaltlich der nach den nationalen Rechtsvorschriften für den Datenimporteur geltenden zwingenden Anforderungen, die nicht weitergehen, als es in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; d. h. die Anforderungen müssen notwendig sein für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen oder den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden.

2. Datenqualität und -verhältnismäßigkeit: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Sie müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein.

3. Transparenz: Die betroffenen Personen müssen Informationen über die Zweckbestimmungen der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies erforderlich ist, um eine angemessene Verarbeitung sicherzustellen, und sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.

4. Sicherheit und Vertraulichkeit: Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung zu treffen, beispielsweise gegen den unzulässigen Zugriff auf Daten. Alle unter die Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

5. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.

6. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlung), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfuellt ist:

a) Die betroffenen Personen haben der Weiterübermittlung eindeutig zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen.

Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen:

- die Zwecke der Weiterübermittlung,

- die Identität des in der Gemeinschaft ansässigen Datenexporteurs,

- die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie

- eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder

b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht.

7. Besondere Datenkategorien: Werden Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben und Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen verarbeitet, so sollten zusätzliche Garantien entsprechend der Richtlinie 95/46/EG vorliegen, insbesondere angemessene Sicherheitsmaßnahmen wie die strenge Verschlüsselung für Übermittlungszwecke oder Aufzeichnungen über Zugriffe auf sensible Daten.

8. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, müssen wirksame Verfahren vorgesehen sein, die der betroffenen Person jederzeit die Möglichkeit des "Opt-out" geben, so dass sie sich gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann.

9. Automatisierte Einzelentscheidungen: Die betroffenen Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die allein auf der automatisierten Datenverarbeitung beruht, wenn keine anderen Maßnahmen zur Wahrung der berechtigen Interessen der Person nach Artikel 15 Absatz 2 der Richtlinie 95/46/EG ergriffen werden. Erfolgt die Übermittlung mit dem Ziel eine automatisierte Einzelentscheidung im Sinne von Artikel 15 Richtlinie 95/46/EG, d. h. eine Entscheidung, die rechtliche Folgen für die Person nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens usw., zu treffen, so muss die natürliche Person das Recht haben, die Gründe für diese Entscheidung zu erfahren.

Anlage 3

zu den Standardvertragsklauseln

Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 2

1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden.

2. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.

3. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlungen), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfuellt ist:

a) Die betroffenen Personen haben der Weiterübermittlung ausdrücklich zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen.

Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen:

- die Zwecke der Weiterübermittlung,

- die Identität des in der Gemeinschaft ansässigen Datenexporteurs,

- die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie

- eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder

b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht.