EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20050401
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (Bekannt gegeben unter Aktenzeichen K(2001) 1539) (Text von Bedeutung für den EWR) (2001/497/EG)
Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (Bekannt gegeben unter Aktenzeichen K(2001) 1539) (Text von Bedeutung für den EWR) (2001/497/EG)
- Date of document:
- 01/04/2005
- Date of effect:
- 01/04/2005
- Author:
- Not available
- Form:
- Konsolidierter Text
- Additional information:
- LASTMODIN 32004D0915
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32001D0497
2001D0497 — DE — 01.04.2005 — 001.001
Dieses Dokument ist lediglich eine Dokumentationsquelle, für deren Richtigkeit die Organe der Gemeinschaften keine Gewähr übernehmen
|
ENTSCHEIDUNG DER KOMMISSION vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (Bekannt gegeben unter Aktenzeichen K(2001) 1539) (Text von Bedeutung für den EWR) (ABl. L 181, 4.7.2001, p.19) |
Geändert durch:
|
|
|
Amtsblatt |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
ENTSCHEIDUNG DER KOMMISSION
vom 15. Juni 2001
hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG
(Bekannt gegeben unter Aktenzeichen K(2001) 1539)
(Text von Bedeutung für den EWR)
(2001/497/EG)
DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —
gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,
gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ( 1 ), insbesondere auf Artikel 26 Absatz 4,
in Erwägung nachstehender Gründe:|
(1) |
Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Datenschutzniveau gewährleistet und Gesetze des Mitgliedstaates, die den anderen Bestimmungen der Richtlinie entsprechen, vor der Übermittlung berücksichtigt werden. |
|
(2) |
Artikel 26 Absatz 2 der Richtlinie 95/46/EG sieht jedoch vor, dass die Mitgliedstaaten sofern bestimmte Garantien vorliegen, eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, genehmigen können. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauseln ergeben. |
|
(3) |
Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ( 2 ) hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht ( 3 ). |
|
(4) |
Artikel 26 Absatz 2 der Richtlinie 95/46/EG, der einer Organisation, die Daten in Drittländer übermitteln will. Flexibilität bietet, und Artikel 26 Absatz 4 mit dem Hinweis auf Standardvertragsklauseln sind wesentlich, um den notwendigen Strom personenbezogener Daten zwischen der Europäischen Union und Drittländern ohne unnötige Belastung der Wirtschaftsakteure aufrechtzuerhalten. Beide Bestimmungen sind von besonderer Bedeutung angesichts der Tatsache, dass die Kommission kurz- oder mittelfristig wohl nur für eine begrenzte Zahl von Ländern die Angemessenheit des Schutzniveaus nach Artikel 25 Absatz 6 wird feststellen können. |
|
(5) |
Die Standardvertragsklauseln sind neben Artikel 25 und Artikel 26 Absätze 1 und 2 nur eine von mehreren Möglichkeiten im Rahmen der Richtlinie 95/46/EG für die rechtmäßige Übermittlung personenbezogener Daten in Drittländer; für die Organisationen wird es erheblich einfacher, personenbezogene Daten in Drittländer zu übermitteln, wenn sie die Standardvertragsklauseln in den Vertrag aufnehmen. Sie beziehen sich jedoch nur auf den Datenschutz. Datenexporteur und Datenimporteur ist es freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, z. B. Klauseln über gegenseitige Unterstützung bei Streitigkeiten mit einer betroffenen Person oder einer Kontrollstelle, die die Parteien für vertragsrelevant halten, sofern sie den Standardvertragsklauseln nicht widersprechen. |
|
(6) |
Diese Entscheidung sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Die Umstände einer bestimmten Übermittlung können es erforderlich machen, dass die für die Datenverarbeitung Verantwortlichen andere Garantien im Sinne von Artikel 26 Absatz 2 leisten müssen. Diese Entscheidung hat lediglich die Wirkung, dass die Mitgliedstaaten die hier beschriebenen Vertragsklauseln als ausreichende Garantien anerkennen müssen, und lässt daher andere Vertragsklauseln unberührt. |
|
(7) |
Die Entscheidung beschränkt sich darauf festzulegen, dass die im Anhang aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Gemeinschaft ansässig ist, angewandt werden können, um ausreichende Garantien nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG zu gewährleisten. Die Übermittlung personenbezogener Daten in Drittländer ist eine Verarbeitung in einem Mitgliedstaat, für deren Rechtmäßigkeit nationales Recht maßgeblich ist; die Kontrollstellen der Mitgliedstaaten sollten weiterhin dafür zuständig sein, im Rahmen ihrer Aufgaben und Befugnisse nach Artikel 28 der Richtlinie 95/46/EG zu prüfen, ob der Datenexporteur die nationalen Vorschriften zur Umsetzung der Bestimmungen der Richtlinie 95/46/EG einhält, insbesondere der spezifischen Bestimmungen über die Informationspflicht nach dieser Richtlinie. |
|
(8) |
Diese Entscheidung betrifft nicht die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet der Gemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden. Diese Übermittlungen erfordern nicht die gleichen Garantien, weil der Auftragsverarbeiter ausschließlich im Auftrag des für die Verarbeitung Verantwortlichen tätig ist. Die Kommission beabsichtigt diese Art der Übermittlung in einer späteren Entscheidung zu behandeln. |
|
(9) |
Es sollten die Mindestinformationen festgelegt werden, die von den Parteien im Übermittlungsvertrag bereitgestellt werden müssen. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationen im Einzelnen zu benennen, die von den Parteien zu liefern sind. Diese Entscheidung wird im Lichte der Erfahrung überprüft. |
|
(10) |
Die Kommission wird zukünftig ferner erwägen, ob Standardvertragsklauseln, die von Industrieverbänden oder anderen interessierten Parteien vorgelegt werden, ausreichende Garantien im Sinne der Richtlinie 95/46/EG bieten. |
|
(11) |
Zwar sollte es den Parteien freistehen, zu vereinbaren, welche Datenschutzregeln von dem Datenimporteur zu beachten sind, doch sollten bestimmte Datenschutzgrundsätze in allen Fällen anzuwenden sein. |
|
(12) |
Daten sollten nur für angegebene Zwecke verarbeitet und anschließend verwendet oder übermittelt werden und sollten nicht länger als notwendig aufbewahrt werden. |
|
(13) |
Gemäß Artikel 12 der Richtlinie 95/46/EG sollte die betroffene Person Anspruch auf alle sie betreffenden Daten und je nach Fall auf Berichtigung, Löschung und Sperrung bestimmter Daten haben. |
|
(14) |
Die Weiterübermittlung von personenbezogenen Daten an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, sollte nur unter bestimmten Voraussetzungen erlaubt werden, die insbesondere sicherstellen, dass die betroffenen Personen angemessen informiert werden und die Möglichkeit haben zu widersprechen oder in bestimmten Fällen ihre Zustimmung zu versagen. |
|
(15) |
Neben der Prüfung, ob Übermittlungen in Drittländer nationalem Recht entsprechen, sollten die Kontrollstellen eine Schlüsselrolle in diesem Vertragsmechanismus übernehmen, indem sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In bestimmten Fällen sollten die Kontrollstellen der Mitgliedstaaten weiterhin befugt sein, eine Datenübermittlung beziehungsweise eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder auszusetzen; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen. |
|
(16) |
Die Standardvertragsklauseln sollten durchsetzbar sein, und zwar nicht nur von den Organisationen, die Vertragsparteien sind, sondern auch von den betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht. |
|
(17) |
Auf den Vertrag sollte das Recht des Mitgliedstaates anwendbar sein, in dem der Datenexporteur ansässig ist, das es einem Drittbegünstigten ermöglicht, den Vertrag durchzusetzen. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, das Recht haben, sich von Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen. |
|
(18) |
Um die Schwierigkeiten der betroffenen Personen zu verringern, ihre Rechte nach diesen Standardvertragsklauseln geltend zu machen, sollten der Datenexporteur und der Datenimporteur gesamtschuldnerisch für Schäden aufgrund jeglicher Verletzung der Bestimmungen haftbar sein, die der Drittbegünstigtenklausel unterliegen. |
|
(19) |
Die betroffene Person hat das Recht, wegen Schäden, die durch Handlungen verursacht werden, die mit den in den Standardvertragsklauseln enthaltenen Verpflichtungen unvereinbar sind, gegen den Datenexporteur, den Datenimporteur oder beide gerichtlich vorzugehen und Schadensersatz zu erlangen; beide Parteien können von dieser Haftung ausgenommen werden, wenn sie beweisen, dass keiner von ihnen für diese Schäden verantwortlich ist. |
|
(20) |
Die gesamtschuldnerische Haftung betrifft nicht die Bestimmungen, die nicht unter die Drittbegünstigtenklausel fallen, und muss nicht dazu führen, dass eine Partei für Schäden aus der unrechtmäßigen Verarbeitung durch die andere Partei aufkommt. Die Bestimmung über einen gegenseitigen Ausgleichsanspruch zwischen den Parteien ist nicht Voraussetzung für die Angemessenheit des Schutzniveaus für die betroffenen Personen, und die Parteien können diese Bestimmung streichen. Sie wurde aber im Interesse der Klarheit in die Standardvertragsklauseln aufgenommen, und um es den Parteien zu ersparen, im Einzelfall Ausgleichsklauseln auszuhandeln. |
|
(21) |
Wird eine Auseinandersetzung der Parteien mit einer betroffenen Person, die sich auf die Drittbegünstigtenklausel beruft, nicht gütlich beigelegt, verpflichten sich die Parteien, der betroffenen Person die Wahlmöglichkeiten zwischen Schlichtung, Schieds- und Gerichtsverfahren anzubieten. Das Ausmaß der tatsächlichen Wahlmöglichkeiten der betroffenen Person hängt von dem Vorhandensein zuverlässiger und anerkannter Schlichtungs- und Schiedsgerichtssysteme ab. Schlichtung durch die Kontrollstellen eines Mitgliedstaats sollte eine Möglichkeit sein, sofern diese Stellen solche Leistungen erbringen. |
|
(22) |
Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die der Entscheidung beiliegenden Standvertragsklauseln bieten; die Stellungnahme wurde bei der Erarbeitung der vorliegenden Entscheidung ( 4 ) berücksichtigt. |
|
(23) |
Die in der vorliegenden Entscheidung enthaltenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde — |
HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:
Artikel 1
Die Standardvertragsklauseln im Anhang gelten als ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG.
Die für die Verarbeitung Verantwortlichen haben die Wahl zwischen Standardvertrag I und II im Anhang. Sie dürfen die Klauseln weder ändern noch Klauseln aus beiden Verträgen miteinander kombinieren.
Artikel 2
Diese Entscheidung betrifft ausschließlich die Angemessenheit des Schutzes, der bei der Übermittlung personenbezogener Daten durch die im Anhang aufgeführten Standardvertragsklauseln gewährleistet wird. Die Anwendung anderer nationaler Vorschriften zur Durchführung der Richtlinie 95/46/EG, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleibt davon unberührt.
Diese Entscheidung ist nicht anwendbar auf die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet der Gemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden.
Artikel 3
Im Rahmen dieser Entscheidung
a) gelten die Begriffsbestimmungen der Richtlinie 95/46/EG;
b) bezeichnet der Begriff „besondere Kategorien personenbezogener Daten“ die in Artikel 8 der Richtlinie genannten Daten;
c) bezeichnet der Begriff „Kontrollstelle“ die in Artikel 28 der Richtlinie genannte Stelle;
d) bezeichnet der Begriff „Datenexporteur“ den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;
e) bezeichnet der Begriff „Datenimporteur“ den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die weitere Verarbeitung gemäß den Bestimmungen dieser Entscheidung entgegenzunehmen.
Artikel 4
(1) Unbeschadet ihrer Befugnisse, tätig zu werden, um die Einhaltung nationaler Vorschriften, die gemäß den Kapiteln II, III, V und VI der Richtlinie 95/46/EG erlassen wurden, zu gewährleisten, können die zuständigen Kontrollstellen in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, um zum Schutz von Privatpersonen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung in Drittländer zu verbieten oder auszusetzen, wenn:
a) feststeht, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften Anforderungen unterliegt, die ihn zwingen, von den einschlägigen Datenschutzvorschriften in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind und dass sich diese Anforderungen wahrscheinlich sehr nachteilig auf die Garantien auswirken, die die Standardvertragsklauseln bieten sollen, oder
b) eine zuständige Kontrollstelle festgestellt hat, dass der Datenimporteur die Vertragsklauseln nicht einhält, oder
c) eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Standardvertragsklauseln derzeit oder künftig nicht eingehalten werden und die Fortsetzung der Übermittlung den betroffenen Personen einen nicht wieder gutzumachenden Schaden zufügen würde.
(2) Für die Zwecke von Absatz 1 können die zuständigen Kontrollstellen, sofern der für die Verarbeitung Verantwortliche angemessene Garantien auf der Grundlage des Standardvertrags II im Anhang geltend macht, im Rahmen ihrer Befugnisse Datenübermittlungen verbieten oder aussetzen, wenn
a) der Datenimporteur sich weigert, mit den Datenschutzkontrollstellen redlich zusammenzuarbeiten oder eindeutige Vertragspflichten zu erfüllen;
b) der Datenexporteur sich weigert, binnen der Regelfrist von einem Monat nach entsprechender Aufforderung durch die zuständige Kontrollstelle geeignete Maßnahmen zur Durchsetzung der Vertragspflichten gegenüber dem Datenimporteur zu ergreifen.
Eine Weigerung des Datenimporteurs zur redlichen Zusammenarbeit oder zur Durchsetzung der Vertragspflichten im Sinne von Unterabsatz 1 besteht nicht, wenn die Zusammenarbeit oder Durchsetzung zu einer Kollision mit nationalen, für den Datenimporteur verbindlichen Rechtsvorschriften führen würde und diese Vorschriften nicht über das hinausgehen, was in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; hierunter fallen insbesondere die Androhung von Sanktionen nach internationalem und/oder nationalem Recht, steuerrechtliche Anzeigepflichten oder Anzeigepflichten zur Bekämpfung der Geldwäsche.
Die Pflicht zur Zusammenarbeit im Sinne von Unterabsatz 1 Buchstabe a) beinhaltet für den Datenimporteur insbesondere die Bereitschaft, seine Datenverarbeitungseinrichtungen überprüfen zu lassen oder den Empfehlungen der Datenschutzkontrollstelle in der Gemeinschaft Folge zu leisten.
(3) Das Verbot oder die Aussetzung im Sinne der Absätze 1 und 2 wird aufgehoben, sobald die Gründe für das Verbot oder die Aussetzung nicht mehr vorliegen.
(4) Wenn die Mitgliedstaaten Maßnahmen gemäß den Absätzen 1, 2 und 3 ergreifen, informieren sie unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.
Artikel 5
►M1 Die Kommission bewertet drei Jahre, nachdem sie den Mitgliedstaaten diese Entscheidung und etwaige Änderungen an dieser Entscheidung bekannt gegeben hat, ihre Durchführung anhand der verfügbaren Informationen. ◄ Sie unterrichtet den durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über ihre Feststellungen. Sie fügt sämtliche Belege bei, die für die Beurteilung der Angemessenheit der Standardvertragsklauseln des Anhangs von Bedeutung sein könnten, sowie etwaige Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird.
Artikel 6
Diese Entscheidung ist anwendbar ab dem 3. September 2001.
Artikel 7
Diese Entscheidung ist an die Mitgliedstaaten gerichtet.
ANHANG
STANDARDVERTRAG I
Anlage 1
zu den Standardvertragsklauseln
Anlage 2
zu den Standardvertragsklauseln
Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 1
Diese Datenschutzgrundsätze sind im Lichte der Bestimmungen (Grundsätze und entsprechende Ausnahmen) der Richtlinie 95/46/EG auszulegen.
Sie gelten vorbehaltlich der nach den nationalen Rechtsvorschriften für den Datenimporteur geltenden zwingenden Anforderungen, die nicht weitergehen, als es in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; d. h. die Anforderungen müssen notwendig sein für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen oder den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.
1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden.
2. Datenqualität und -verhältnismäßigkeit: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Sie müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein.
3. Transparenz: Die betroffenen Personen müssen Informationen über die Zweckbestimmungen der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies erforderlich ist, um eine angemessene Verarbeitung sicherzustellen, und sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.
4. Sicherheit und Vertraulichkeit: Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung zu treffen, beispielsweise gegen den unzulässigen Zugriff auf Daten. Alle unter die Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.
5. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.
6. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlung), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist:
a) Die betroffenen Personen haben der Weiterübermittlung eindeutig zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen.
Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen:
— die Zwecke der Weiterübermittlung,
— die Identität des in der Gemeinschaft ansässigen Datenexporteurs,
— die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie
— eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder
b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht.
7. Besondere Datenkategorien: Werden Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben und Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen verarbeitet, so sollten zusätzliche Garantien entsprechend der Richtlinie 95/46/EG vorliegen, insbesondere angemessene Sicherheitsmaßnahmen wie die strenge Verschlüsselung für Übermittlungszwecke oder Aufzeichnungen über Zugriffe auf sensible Daten.
8. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, müssen wirksame Verfahren vorgesehen sein, die der betroffenen Person jederzeit die Möglichkeit des „Opt-out“ geben, so dass sie sich gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann.
9. Automatisierte Einzelentscheidungen: Die betroffenen Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die allein auf der automatisierten Datenverarbeitung beruht, wenn keine anderen Maßnahmen zur Wahrung der berechtigen Interessen der Person nach Artikel 15 Absatz 2 der Richtlinie 95/46/EG ergriffen werden. Erfolgt die Übermittlung mit dem Ziel eine automatisierte Einzelentscheidung im Sinne von Artikel 15 Richtlinie 95/46/EG, d. h. eine Entscheidung, die rechtliche Folgen für die Person nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens usw., zu treffen, so muss die natürliche Person das Recht haben, die Gründe für diese Entscheidung zu erfahren.
Anlage 3
zu den Standardvertragsklauseln
Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 2
1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden.
2. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.
3. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlungen), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist:
a) Die betroffenen Personen haben der Weiterübermittlung ausdrücklich zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen.
Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen:
— die Zwecke der Weiterübermittlung,
— die Identität des in der Gemeinschaft ansässigen Datenexporteurs,
— die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie
— eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder
b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht.
STANDARDVERTRAG II
Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Gemeinschaft in Drittländer (Übermittlung zwischen für die Datenverarbeitung Verantwortlichen)
Vereinbarung über die Datenübermittlung
zwischen
_ (Name)
_ (Adresse und Sitzland)
(nachstehend als „Datenexporteur“ bezeichnet,
und
_ (Name)
_ (Adresse und Sitzland)
nachstehend als „Datenimporteur“ bezeichnet,
beide nachstehend als „Partei“, zusammen als „Parteien“ bezeichnet
Begriffsbestimmungen
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
a) Die Begriffe „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten/sensible Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ werden entsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit „Kontrollstelle“ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist).
b) „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.
c) „Datenimporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen, und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet.
d) „Klauseln“ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungen beinhaltet, die von den Parteien im Rahmen getrennter geschäftlicher Vereinbarungen getroffen wurden.
Die Einzelheiten der Übermittlung (sowie die abgedeckten personenbezogenen Daten) sind in Anhang B aufgeführt, der integraler Bestandteil dieser Klauseln ist.
I. Pflichten des Datenexporteurs
Der Datenexporteur gibt folgende Zusicherungen:
a) Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen gesammelt, verarbeitet und übermittelt.
b) Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln zu erfüllen in der Lage ist.
c) Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechende Fundstellennachweise seines Sitzlandes zur Verfügung, erteilt aber keine Rechtsberatung.
d) Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Sie erfolgt innerhalb einer angemessenen Frist.
e) Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar der Klauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht, diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personen schriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, den betroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung der entfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle auf Antrag ein Exemplar der Klauseln zur Verfügung.
II. Pflichten des Datenimporteurs
Der Datenimporteur gibt folgende Zusicherungen:
a) Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenen Daten gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist ein Sicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird.
b) Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte, einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Daten beachten und wahren. Die unter der Verantwortung des Datenimporteurs tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die personenbezogenen Daten nur auf seine Anweisung verarbeiten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.
c) Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt.
d) Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.
e) Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seiner Organisation, die befugt ist, Anfragen bezüglich der Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, der betroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenen Frist beantwortet werden. Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendes vereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e).
f) Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungen aus Klausel III zu erfüllen (wozu auch Versicherungsschutz zählen kann).
g) Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitung benötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oder der Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüfer oder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dass die Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eine Regulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmung oder Genehmigung zügig zu erhalten.
h) Er verarbeitet die personenbezogenen Daten gemäß
i) den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oder
ii) den einschlägigen Bestimmungen ( 5 ) etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Datenimporteur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden ( 6 ), oder
iii) den Grundsätzen für die Datenverarbeitung in Anhang A.
Der Datenimporteur wählt die Möglichkeit: _
Paraphe des Datenimporteurs: _;
i) Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche Dritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt den Datenexporteur von der Übermittlung in Kenntnis und
i) der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang mit einer Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveau zuerkennt, oder
ii) der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einer zuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oder
iii) die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlung informiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland der Daten möglicherweise andere Datenschutzstandards aufweist, oder
iv) die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihre Zustimmung zu der Weiterübermittlung erteilt.
III. Haftung und Rechte Dritter
a) Jede Partei haftet gegenüber der anderen Partei für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche (d. h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber der betroffenen Person für Schäden, die sie durch die Verletzung von Rechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihn maßgeblichen Datenschutzvorschriften bleibt davon unberührt.
b) Die Parteien räumen den betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) und e), Klausel II Buchstaben a), c), d), e), h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VII als Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese im Hinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen sie die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem Datenimporteur Vertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber dem Datenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (im Regelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteur durchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich im Rahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungen aus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbaren Anstrengungen unternommen hat).
IV. Anwendbares Recht
Diese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sind die Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäß Klausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat.
V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle
a) Bei einer Streitigkeit oder einer Klage der betroffenen Person oder der Kontrollstelle gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung.
b) Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zu unterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an dem Verfahren, können sie dies auf dem Weg der Telekommunikation tun (z. B. per Telefon oder anderer elektronischer Mittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren, Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzes entwickelt werden.
c) Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland des Datenexporteurs oder der Kontrollstelle.
VI. Beendigung des Vertrags
a) Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigt oder der Vertrag beendet ist.
b) Tritt einer der folgenden Fälle ein:
i) Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabe a) länger als einen Monat ausgesetzt;
ii) die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes;
iii) der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichem Umfang oder fortdauernd;
iv) das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dass der Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen haben, oder
v) es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater oder geschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist abgewiesen wird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wird ein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um eine Privatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nach Rechtsordnung gleichwertigen Verfahren,
so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur, diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der in Ziffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen.
c) Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf das Land (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteur verarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dem betreffenden Landes unmittelbar zur Anwendung gelangt.
d) Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, der Umstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind.
VII. Änderung der Klauseln
Die Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfalls müssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfalls weitere Geschäftsklauseln hinzuzufügen.
VIII. Beschreibung der Übermittlung
Die Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien vereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Dritten offen legen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigen Regulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitere Anhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zu unterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt.
Datum: _
_
_
Für den DATENIMPORTEUR
Für den DATENEXPORTEUR
…
…
…
…
…
…
ANHANG A
GRUNDSÄTZE FÜR DIE DATENVERARBEITUNG
1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von der betroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden.
2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf dem neuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafür erheblich sein und dürfen nicht über das erforderliche Maß hinausgehen.
3. Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glauben gewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.
4. Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.
5. Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat die betroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Daten zu erhalten, die von einer Organisation vorgehalten werden; dies gilt nicht für Auskunftsersuchen, die aufgrund ihrer unzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder für Daten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlich der vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen, dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurch nicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeben werden, wenn dazu unzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffene Person muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn diese unzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an der Rechtmäßigkeit des Ersuchens kann die Organisation weitere Belege verlangen, bevor die Berichtigung, Änderung oder Löschung erfolgt. Dritte, gegenüber denen die Daten offen gelegt wurden, müssen von der Berichtigung, Änderung oder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt im Fall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelle anfechten.
6. Sensible Daten: Der Datenimporteur trifft die zusätzliche Vorkehrungen (beispielsweise sicherheitsbezogener Art), die entsprechend seinen Verpflichtungen nach Klausel II zum Schutz sensibler Daten erforderlich sind.
7. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen, damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann („Opt-out“).
8. Automatisierte Entscheidungen: „Automatisierte Entscheidungen“ im Sinne dieser Klauseln sind mit Rechtsfolgen behaftete Entscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die allein auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, es sei denn:
i) Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung eines Vertrags mit der betroffenen Person, und
ii) die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung mit einem Vertreter der entscheidungtreffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Partei abzugeben,
oder
b) die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor.
ANHANG B
BESCHREIBUNG DER ÜBERMITTLUNG
(von den Parteien auszufüllen)
VERANSCHAULICHENDE GESCHÄFTSKLAUSELN (FAKULTATIV)
Wechselseitige Entschädigung von Datenexporteur und Datenimporteur:
„Die Parteien entschädigen sich wechselseitig oder halten sich wechselseitig schadlos für alle Kosten, Ausgaben, Schäden, Auslagen oder Verluste, die die andere Partei durch Verletzung einer dieser Vertragsklauseln verursacht. Der Entschädigungsanspruch setzt voraus, dass a) die zu entschädigenden Parteien die entschädigenden Parteien unverzüglich von dem Bestehen einer Forderung in Kenntnis setzen und b) die entschädigenden Parteien allein dazu berechtigt sind, sich gegen einen solchen Anspruch zu verteidigen oder den Streit beizulegen und (c) die zu entschädigenden Parteien bei der Abwehr derartiger Rechtsansprüche redlich mit den entschädigenden Parteien zusammenarbeiten und diese unterstützen.“
Streitbeilegung zwischen Datenexporteur und Datenimporteur (die Parteien können selbstverständlich eine andere alternative Streitbeilegung oder die Zuständigkeit eines Gerichts vereinbaren):
„Alle Rechtsstreitigkeiten zwischen dem Datenimporteur und dem Datenexporteur aus dem vorliegenden Vertrag werden gemäß dem Schlichtungs- und Schiedsreglement der Internationalen Handelskammer endgültig durch einen oder mehrere Schiedsrichter entschieden, die in Übereinstimmung mit diesem Reglement ernannt werden. Ort des Schiedsverfahrens ist […]. Die Zahl der Schiedsrichter beträgt […].“
Kostenteilung:
„Jede Partei trägt die Kosten für die Erfüllung ihrer Vertragspflichten.“
Zusätzliche Beendigungsklausel:
„Bei Beendigung dieses Vertrags gibt der Datenimporteur alle personenbezogenen Daten sowie alle Kopien der personenbezogenen Daten, die Gegenstand dieser Klauseln sind, unverzüglich an den Datenexporteur zurück, oder aber der Datenimporteur vernichtet auf Antrag des Datenexporteurs alle Exemplare derselben und bescheinigt dem Datenexporteur die Vernichtung, es sei denn, der nationale Gesetzgeber oder die nationale Regulierungsbehörde verbietet die vollständige oder teilweise Rückübermittlung oder Zerstörung dieser Daten; in diesem Fall werden die Daten geheim gehalten und zu keinem weiteren Zweck aktiv verarbeitet. Auf Verlangen des Datenexporteurs erlaubt der Datenimporteur dem Datenexporteur oder einem vom Datenexporteur ausgewählten Prüfer, gegen den der Datenimporteur keine begründeten Einwände erhebt, den Zugang zu seinen Räumlichkeiten, damit die Ausführung dieser Bestimmungen überprüft werden kann; die Überprüfung ist rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen.“
( 1 ) ABl. L 281 vom 23.11.1995, S. 31.
( 2 ) Die Intemetadresse der Arbeitsgruppe lautet:
http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
( 3 ) WP4 (5020/97) „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer — Mögliche Ansätze für eine Bewertung der Angemessenheit“; Diskussionsgrundlage, von der Arbeitsgruppe angenommen am 26. Juni 1997.
WP7 (5057/97) „Beurteilung der Selbstkontrolle der Wirtschaft: wann ist sie ein sinnvoller Beitrag zum Niveau des Datenschutzes in einem Drittland?“ Arbeitsunterlage, von der Arbeitsgruppe angenommen am 14. Januar 1998.
WP9 (3005/98) „Erste Überlegungen zur Verwendung vertraglicher Bestimmungen im Rahmen der Übermittlungen personenbezogener Daten an Drittländer“, Arbeitsunterlage von der Arbeitsgruppe angenommen am 22. April 1998.
WP12: „Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU“; Arbeitsunterlage, von der Gruppe angenommen am 24. Juli 1998, verfügbar auf der Website der Europäischen Kommission: „europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/de“.
( 4 ) Stellungnahme Nr. 1/2001, angenommen von der Gruppe am 26. Januar 2001 (GD MARKT 5102/00 WP 38), verfügbar auf der „Europa“-Site der Europäischen Kommission.
( 5 ) „Einschlägige Bestimmungen“ sind sämtliche unter diese Klauseln fallende Genehmigungen oder Entscheidungen mit Ausnahme der Vollzugsbestimmungen.
( 6 ) Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.
