Übermittlung personenbezogener Daten in Nicht-EU-Länder: Standardvertragsklauseln

 

ZUSAMMENFASSUNG DER DOKUMENTE:

Beschluss 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG

WAS IST DER ZWECK DIESES BESCHLUSSES?

Er enthält Standardvertragsklauseln, die von den für die Datenverarbeitung Verantwortlichen* (Datenexporteure) in der EU verwendet werden können, die personenbezogene Daten* an die Datenverarbeiter* (Datenemporteure) übermitteln, die außerhalb der EU oder des EWR gegründet wurden, um angemessene Datenschutzgarantien zu bieten und damit die Anforderungen der EU-Datenschutzgesetze zu erfüllen (allgemeine Datenschutzverordnung – Verordnung (EU) 2016/679 – siehe Zusammenfassung).

WICHTIGE ECKPUNKTE

Die Standardvertragsklauseln sind im Anhang des Beschlusses wie folgt aufgeführt. Standardvertragsklauseln beziehen sich nur auf den Datenschutz und können von den Parteien in einen umfassenderen Vertrag aufgenommen oder durch andere Klauseln oder zusätzliche Schutzmaßnahmen ergänzt werden, sofern sie nicht direkt oder indirekt den in dieser Entscheidung festgelegten Standardvertragsklauseln widersprechen.

Klausel 1: Begriffsbestimmungen

Die Definitionen der in den Standardvertragsklauseln verwendeten Schlüsselbegriffe werden dargelegt.

Klausel 2: Einzelheiten zur Übermittlung

Die Parteien sollten in einem Anhang zu den Vertragsklauseln die Einzelheiten zur Übermittlungen auflisten, einschließlich der relevanten Aktivitäten des Datenimporteurs und -exporteurs, der Kategorien der übertragenen personenbezogenen Daten und der Verarbeitungsvorgänge, denen die personenbezogenen Daten nach der Übermittlung unterliegen.

Klausel 3: Drittbegünstigtenklausel

Die Klausel ermöglicht es den betroffenen Personen, mehrere der Klauseln gegen den Datenexporteur, Datenimporteur oder Unterauftragsverarbeiter als Drittbegünstigten durchzusetzen. Es sieht ferner vor, dass die Parteien keine Einwände gegen die Vertretung einer betroffenen Person durch einen Verein oder eine andere Einrichtung erheben, sofern dies nach nationalem Recht zulässig ist.

Klausel 4: Pflichten des Datenexporteurs

Diese Klausel legt die vertraglichen Verpflichtungen für den Datenexporteur fest, der zustimmen und garantieren muss:

• die personenbezogenen Daten nur in Übereinstimmung mit dem Datenschutzgesetz zu verarbeiten;
• den Datenimporteur anzuweisen, die Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem Datenschutzgesetz und den Klauseln zu verarbeiten;
• ausreichende Garantien zu bieten (und einzuhalten) in Bezug auf technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unzugänglichem Zugriff, insbesondere wenn die Verarbeitung über ein Netzwerk erfolgt;
• die betroffene Person zu informieren, wenn spezielle Datenkategorien an ein Nicht-EU-Land mit unzureichendem Datenschutz übermittelt werden könnten;
• die Mitteilung, die er vom Datenimporteur über dessen Unfähigkeit erhalten hat, die Klauseln einzuhalten, an die zuständige Aufsichtsbehörde weiterzuleiten, wenn er beschließt, die Übermittlung fortzusetzen;
• den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit einer zusammenfassenden Beschreibung der Sicherheitsmaßnahmen zur Verfügung zu stellen;
• im Falle einer Unterauftragsverarbeitung muss der Unterauftragsverarbeiter mindestens das gleiche Maß an Schutz personenbezogener Daten bieten wie der Datenimporteur.

Klausel 5: Pflichten des Datenimporteurs

Diese Klausel legt die vertraglichen Verpflichtungen für den Datenimporteur fest, der zustimmen und garantieren muss:

• die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit seinen Anweisungen und den Klauseln zu verarbeiten;
• dass es keinen Grund zu der Annahme gibt, dass die dafür geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine vertraglichen Verpflichtungen zu erfüllen;
• Änderungen dieser Rechtsvorschriften unverzüglich mitzuteilen, die sich erheblich nachteilig auf die in den Klauseln enthaltenen Garantien und Verpflichtungen auswirken können. In diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen;
• vor der Verarbeitung der übermittelten personenbezogenen Daten bestimmte technische und organisatorische Sicherheitsmaßnahmen zu ergreifen;
• den Datenexporteur unverzüglich über Anfragen zur Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, über versehentlichen oder nicht autorisierten Zugriff und über Anfragen, die direkt von den betroffenen Personen eingehen, zu informieren, ohne auf die Anfrage zu antworten, sofern nicht anders genehmigt;
• alle Anfragen des Datenexporteurs unverzüglich zu bearbeiten und den Rat der Aufsichtsbehörde einzuhalten;
• auf Ersuchen des Datenexporteurs, seine Datenverarbeitungsanlagen zur Prüfung der von den Klauseln erfassten Verarbeitungsaktivitäten vorzulegen;
• den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit einer zusammenfassenden Beschreibung der Sicherheitsmaßnahmen zur Verfügung zu stellen;
• einen Unterauftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Datenexporteurs zu beauftragen.

Klausel 6: Haftung

Die Klauseln verpflichten die Parteien zu vereinbaren, dass jede betroffene Person, die infolge eines Verstoßes gegen die Verpflichtungen einen Schaden erlitten hat, Anspruch auf eine Entschädigung des Datenexporteurs für den erlittenen Schaden hat.

Klausel 7: Schlichtungsverfahren und gerichtliche Zuständigkeit

Der Datenimporteur muss zustimmen, dass die betroffene Person, wenn sie gegen ihn die Rechte Dritter geltend macht und/oder Schadensersatzansprüche geltend macht, die Entscheidung der betroffenen Person akzeptiert, den Streit an eine unabhängige Mediation oder an die Gerichte in dem EU-Land weiterzuleiten, in dem der Datenexporteur ansässig ist (mit dem Recht, nach anderen nationalen oder internationalen Gesetzen Rechtsmittel einzulegen).

Klausel 8: Zusammenarbeit mit Kontrollstellen

Diese Klausel regelt die Zusammenarbeit mit der zuständigen Aufsichtsbehörde, indem sie Folgendes vorsieht:

• Die Aufsichtsbehörde hat das Recht, eine Prüfung des Datenimporteurs und eines Unterauftragsverarbeiters durchzuführen;
• der Datenimporteur verpflichtet sich, den Datenexporteur über alle Rechtsvorschriften zu informieren, die eine Prüfung des Datenimporteurs verhindern. In diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen oder den Vertrag zu kündigen.

Klausel 9: Anwendbares Recht

Die Klauseln sollten dem nationalen Recht des EU-Landes unterliegen, in dem der Datenexporteur ansässig ist.

Klausel 10: Änderung des Vertrags

Die Parteien dürfen die Klauseln nicht ändern, modifizieren oder ihnen widersprechen.

Klausel 11: Unterauftragsverarbeitung

Die Bestimmungen zur Unterverarbeitung sollten dem Recht des EU-Landes unterliegen, in dem der Datenexporteur ansässig ist.

Klausel 12: Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

Diese Klausel regelt die Verpflichtungen der Parteien nach Beendigung der Datenverarbeitung. Insbesondere sollten die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter am Ende der Datenverarbeitungsdienste alle übertragenen personenbezogenen Daten zurückgeben (oder auf Anfrage vernichten) müssen, sofern dies nicht gesetzlich verhindert wird.

WANN IST DER BESCHLUSS IN KRAFT GETRETEN?

Er ist am 15. Mai 2010 in Kraft getreten.

HINTERGRUND

• Anmerkung: Dieser Beschluss war Gegenstand eines Antrags auf Vorabentscheidung, der zum Urteil des Gerichts der EU (Fall C-311/18) vom 16. Juli 2020 führte, in dem der Gerichtshof die Gültigkeit des Beschlusses bestätigte.
• Die Europäische Kommission hat außerdem zwei Sätze von Standardvertragsklauseln für Datenübertragungen von für die Verarbeitung Verantwortlichen in der EU an für die Verarbeitung Verantwortliche außerhalb der EU oder des EWR herausgegeben.
• Siehe auch:
  • Datenschutz (Europäische Kommission).

SCHLÜSSELBEGRIFFE

HAUPTDOKUMENT

Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. L 39 vom 12.2.2010, S. 5-18)

Nachfolgende Änderungen des Beschlusses 2010/87/EU wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

VERBUNDENE DOKUMENTE

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88)

Siehe konsolidierte Fassung.

Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (ABl. L 385 vom 29.12.2004, S. 74-84)

Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (ABl. L 181 vom 4.7.2001, S. 19-31)

Siehe konsolidierte Fassung.

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31-50)

Siehe konsolidierte Fassung.

Letzte Aktualisierung: 07.10.2020