Für einen individuellen Ausdruck passen Sie bitte dieEinstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2010, Verwaltung/Datenschutz - EU Bund
| Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2010, Verwaltung/Datenschutz - EU Bund |
|
Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
(Bekannt gegeben unter Aktenzeichen K(2010) 593)
(Text von Bedeutung für den EWR)
(ABl. Nr. L 39 vom 12.02.2010 S. 5;
Beschl. (EU) 2016/2297 - ABl. Nr. L 344 vom 17.12.2016 S. 100;
Beschl. (EU) 2021/914 - ABl. L 199 vom 07.06.2021 S. 31 Inkrafttretenaufgehoben)
aufgehoben/ersetzt gem. Art. 4 des Beschl.'es (EU) 2021/914 - Ausnahme
Neufassung -Ersetzt Entsch. 2002/16/EG
Die Europäische Kommission -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 1, insbesondere auf Artikel 26 Absatz 4,
nach Anhörung des Europäischen Datenschutzbeauftragten,
in Erwägung nachstehender Gründe:
(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet und vor der Übermittlung die aufgrund der anderen Bestimmungen der Richtlinie erlassenen Vorschriften der Mitgliedstaaten beachtet werden.
(4) Standardvertragsklauseln sollten sich nur auf den Datenschutz beziehen. Dem Datenexporteur und dem Datenimporteur ist es daher freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, die sie für vertragsrelevant halten, sofern diese nicht im Widerspruch zu den Standardvertragsklauseln stehen.
(5) Dieser Beschluss sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Dieser Beschluss sollte lediglich die Wirkung haben, dass die Mitgliedstaaten die darin aufgeführten Standardvertragsklauseln als angemessene Garantien anerkennen müssen; sie sollte daher andere Vertragsklauseln unberührt lassen.
(6) Die Entscheidung 2002/16/EG der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG 2 soll einem in der Europäischen Union niedergelassenen für die Datenverarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, das kein angemessenes Datenschutzniveau gewährleistet, erleichtern.
(2) Artikel 26 Absatz 2 der Richtlinie 95/46/EG gestattet jedoch den Mitgliedstaaten, die Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, zu genehmigen, sofern bestimmte Garantien vorliegen. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauseln ergeben.
(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Reihe von Datenübermittlungen eine Rolle spielen. Die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht.
(7) Seit Erlass der Entscheidung 2002/16/EG wurden viele Erfahrungen gesammelt. Der Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer 3 zeigt darüber hinaus, dass ein wachsendes Interesse an solchen Standardvertragsklauseln für die internationale Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, besteht. Zudem wurden Vorschläge zur Aktualisierung der in der Entscheidung 2002/16/EG aufgeführten Standardvertragsklauseln gemacht, um der rasch expandierenden Datenverarbeitungstätigkeit weltweit Rechnung zu tragen und Aspekte zu erfassen, die in der Entscheidung bisher nicht geregelt worden sind 4.
(8) Dieser Beschluss sollte sich darauf beschränken festzulegen, dass die aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Europäischen Union niedergelassen ist, verwendet werden können, um angemessene Garantien im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, zu gewährleisten.
(9) Dieser Beschluss sollte daher nicht für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an für die Verarbeitung Verantwortliche außerhalb der Europäischen Union gelten, die in den Anwendungsbereich der Kommissionsentscheidung 2001/497/EG vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG fallen 5.
(10) Mit diesem Beschluss sollte die Verpflichtung gemäß Artikel 17 Absatz 3 der Richtlinie 95/46/EG umgesetzt werden; sie sollte den Inhalt eines solchen Vertrags beziehungsweise Rechtsakts unberührt lassen. Einige der Standardvertragsklauseln, vor allem diejenigen bezüglich der Pflichten des Datenexporteurs, sollten jedoch übernommen werden, um die Bestimmungen zu verdeutlichen, die in einen Vertrag zwischen einem für die Datenverarbeitung Verantwortlichen und einem Auftragsverarbeiter aufgenommen werden können.
(11) Die Kontrollstellen der Mitgliedstaaten spielen eine Schlüsselrolle in diesem Vertragsmechanismus, weil sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In Ausnahmefällen, in denen Datenexporteure es ablehnen oder nicht in der Lage sind, dem Datenimporteur angemessene Anweisungen zu geben, und in denen eine hohe Wahrscheinlichkeit besteht, dass den betroffenen Personen ein schwerwiegender Schaden entsteht, sollten die Standardvertragsklauseln es den Kontrollstellen ermöglichen, Datenimporteure und Unterauftragsverarbeiter einer Prüfung zu unterziehen und gegebenenfalls Entscheidungen zu treffen, denen Datenimporteure und Unterauftragsverarbeiter Folge leisten müssen. Die Kontrollstellen sollten befugt sein, eine Datenübermittlung oder eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder zurückzuhalten; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen.
(12) Standardvertragsklauseln sollten die technischen und organisatorischen Sicherheitsmaßnahmen vorsehen, die Datenverarbeiter in einem Drittland ohne angemessenes Schutzniveau anwenden sollten, um einen Schutz zu gewährleisten, der den durch die Verarbeitung entstehenden Risiken und der Art der zu schützenden Daten angemessen ist. Die Parteien sollten diejenigen technischen und organisatorischen Maßnahmen im Vertrag vorsehen, die unter Berücksichtigung des anwendbaren Datenschutzrechts, des Stands der Technik und der bei ihrer Durchführung entstehenden Kosten erforderlich sind, um personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen.
(13) Um den Datenstrom aus der Europäischen Union zu erleichtern, ist es wünschenswert, dass Auftragsverarbeiter, die Datenverarbeitungsleistungen für mehrere für die Verarbeitung Verantwortliche in der Europäischen Union erbringen, die Möglichkeit erhalten, ungeachtet des Mitgliedstaats, von dem die Datenübermittlung ausgeht, die gleichen technischen und organisatorischen Sicherheitsmaßnahmen anzuwenden, insbesondere wenn der Datenimporteur von verschiedenen Einrichtungen des in der Europäischen Union niedergelassenen Datenexporteurs Daten zur Weiterverarbeitung erhält; in diesem Fall sollte das Recht des Mitgliedstaats Anwendung finden, in dem der Datenexporteur niedergelassen ist.
(14) Es ist angebracht, die Informationen festzulegen, die von den Parteien in dem Vertrag über die Übermittlung unbedingt mitgeteilt werden sollten. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationen im Einzelnen festzulegen, die von den Parteien zu liefern sind. Die Wirkung dieses Beschlusses sollte im Lichte der Erfahrung geprüft werden.
(15) Der Datenimporteur sollte die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und entsprechend dessen Anweisungen sowie den in den Klauseln enthaltenen Pflichten verarbeiten. Ohne die vorherige schriftliche Einwilligung des Datenexporteurs sollte der Datenimporteur die personenbezogenen Daten nicht an Dritte weitergeben. Der Datenexporteur sollte den Datenimporteur während der Dauer der Datenverarbeitungsdienste anweisen, die Daten gemäß seinen Anweisungen, dem anwendbaren Datenschutzrecht und den in den Klauseln beschriebenen Pflichten zu verarbeiten.
(16) Im Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer wurde die Festlegung von Standardvertragsklauseln über die anschließende Weiterübermittlung von einem Datenverarbeiter in einem Drittland an einen anderen Datenverarbeiter (Vergabe eines Unterauftrags für die Verarbeitung) empfohlen, um dem Globalisierungstrend in den Geschäftspraktiken und Gepflogenheiten bei der Datenverarbeitung Rechnung zu tragen.
(17) Dieser Beschluss sollte spezifische Standardvertragsklauseln über die Vergabe eines Unterauftrags über Datenverarbeitungsdienste an in Drittländern niedergelassene Auftragsverarbeiter (Unterauftragsverarbeiter) durch einen in einem Drittland niedergelassenen Datenverarbeiter (den Datenimporteur) enthalten. Ferner sollte dieser Beschluss Bedingungen vorsehen, die bei der Vergabe von Unteraufträgen über Datenverarbeitungsdienste zu erfüllen sind, damit gewährleistet ist, dass die übermittelten personenbezogenen Daten auch bei einer Weiterübermittlung an einen Unterauftragsverarbeiter geschützt sind.
(18) Darüber hinaus sollte die Vergabe von Unteraufträgen über Datenverarbeitungsdienste ausschließlich Tätigkeiten betreffen, die in dem Vertrag zwischen dem Datenexporteur und dem Datenimporteur, der die Standardvertragsklauseln gemäß diesem Beschluss enthält, vereinbart worden sind, und keine anderen Verarbeitungstätigkeiten oder Verarbeitungszwecke, so dass das Zweckbindungsprinzip gemäß der Richtlinie 95/46/EG gewahrt bleibt. Sollte sich der Unterauftragsverarbeiter nicht an seine Datenverarbeitungspflichten nach dem Vertrag halten, sollte der Datenimporteur gegenüber dem Datenexporteur verantwortlich sein. Die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die außerhalb der Europäischen Union niedergelassen sind, sollte nicht die Tatsache berühren, dass für die Verarbeitungstätigkeiten das anwendbare Datenschutzrecht gilt.
(19) Standardvertragsklauseln müssen einklagbar sein, und zwar nicht nur durch die Organisationen, die Vertragsparteien sind, sondern auch durch die betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht.
(20) Die betroffene Person sollte berechtigt sein, gegen den Datenexporteur, der für die Verarbeitung der übermittelten personenbezogenen Daten verantwortlich ist, vorzugehen und von diesem gegebenenfalls Schadenersatz zu erlangen. In Ausnahmefällen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, sollte die betroffene Person auch berechtigt sein, gegen den Datenimporteur vorzugehen und von diesem wegen Verstoßes des Datenimporteurs oder eines seiner Unterauftragsverarbeiter gegen eine der in Klausel 3 Absatz 2 genannten Pflichten gegebenenfalls Schadenersatz zu erlangen. In Ausnahmefällen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, sollte die betroffene Person zudem berechtigt sein, gegen den Unterauftragsverarbeiter vorzugehen und von diesem gegebenenfalls Schadenersatz zu erlangen. Eine solche Haftpflicht des Unterauftragsverarbeiters sollte auf dessen Verarbeitungstätigkeiten nach den Vertragsklauseln beschränkt sein.
(21) Wird eine Streitigkeit zwischen einer betroffenen Person, die sich auf die Drittbegünstigtenklausel beruft, und dem Datenimporteur nicht gütlich beigelegt, sollte der Datenimporteur der betroffenen Person die Wahl lassen zwischen einem Schlichtungsverfahren oder einem Gerichtsverfahren. Inwieweit die betroffene Person tatsächlich wählen kann, hängt von dem Vorhandensein zuverlässiger und anerkannter Schlichtungsverfahren ab. Falls die Kontrollstelle des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, solche Schlichtungsverfahren vorsieht, sollte diese Möglichkeit angeboten werden.
(22) Auf den Vertrag sollte das Recht des Mitgliedstaats angewandt werden, in dem der Datenexporteur niedergelassen ist und in dem ein Drittbegünstigter die Einhaltung des Vertrags gerichtlich durchsetzen kann. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, berechtigt sein, sich von Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen. Das gleiche Recht sollte auch für sämtliche Datenschutzbestimmungen jedes Vertrags mit einem Unterauftragsverarbeiter über die Verarbeitung personenbezogener Daten gelten, die nach den Vertragsklauseln von einem Datenexporteur an einen Datenimporteur übermittelt worden sind.
(23) Da dieser Beschluss nur Anwendung findet, wenn ein in einem Drittland niedergelassener Datenverarbeiter einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit seinen Verarbeitungsdiensten beauftragt, sollte er keine Anwendung finden, wenn ein in der Europäischen Union niedergelassener Auftragsverarbeiter, der personenbezogene Daten im Auftrag eines in der Europäischen Union niedergelassenen für die Verarbeitung Verantwortlichen verarbeitet, einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit der Verarbeitung beauftragt. In diesem Fall steht es den Mitgliedstaaten frei zu entscheiden, ob sie die Tatsache berücksichtigen möchten, dass bei der Vergabe eines Verarbeitungsauftrags an einen in einem Drittland niedergelassenen Unterauftragsverarbeiter die in diesem Beschluss vorgesehenen und in Standardvertragsklauseln festzuschreibenden Grundsätze und Garantien mit dem Ziel zur Anwendung gebracht wurden, die Rechte der von der Datenübermittlung zwecks Unterauftragsverarbeitung betroffenen Person angemessen zu schützen.
(24) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die Standvertragsklauseln im Anhang zu diesem Beschluss bieten; die Stellungnahme wurde bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt.
(25) Die Entscheidung 2002/16/EG sollte aufgehoben werden.
(26) Die im vorliegenden Beschluss enthaltenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde
- hat folgenden Beschluss erlassen:
Die Standardvertragsklauseln im Anhang gelten als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG.
Dieser Beschluss betrifft ausschließlich den Schutz, der durch die im Anhang aufgeführten Standardvertragsklauseln bei der Übermittlung personenbezogener Daten an Auftragsverarbeiter gewährleistet wird. Die Anwendung anderer nationaler Vorschriften zur Durchführung der Richtlinie 95/46/EG, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleibt davon unberührt.
Der vorliegende Beschluss gilt für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an Empfänger außerhalb der Europäischen Union, die ausschließlich als Auftragsverarbeiter fungieren.
Für die Zwecke dieses Beschlusses gelten die folgenden Begriffsbestimmungen:
Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Drittstaaten aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, informiert der betreffende Mitgliedstaat unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.
Die Kommission bewertet die Umsetzung des Beschlusses drei Jahre nach seiner Erlassung anhand der verfügbaren Informationen. Sie legt dem durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss einen Bericht über ihre Erkenntnisse vor. Sie fügt sämtliche Belege bei, die für die Beurteilung der Angemessenheit der Standardvertragsklauseln des Anhangs von Bedeutung sein könnten, sowie etwaige Belege dafür, dass der Beschluss in diskriminierender Weise angewandt wird.
Dieser Beschluss gilt ab dem 15. Mai 2010.
(1) Die Entscheidung 2002/16/EG wird ab dem 15. Mai 2010 aufgehoben.
(2) Ein vor dem 15. Mai 2010 gemäß der Entscheidung 2002/16/EG geschlossener Vertrag zwischen einem Datenexporteur und einem Datenimporteur bleibt so lange in Kraft, wie die Übermittlungen und die Datenverarbeitung aufgrund dieses Vertrags unverändert weiterlaufen und von diesem Beschluss erfasste personenbezogene Daten weiterhin zwischen den Vertragsparteien übermittelt werden. Beschließen die Vertragsparteien diesbezügliche Änderungen oder vergeben sie einen Unterauftrag über Verarbeitungsvorgänge, die unter den Vertrag fallen, sind sie verpflichtet, einen neuen Vertrag zu schließen, in dem die Standardvertragsklauseln im Anhang berücksichtigt sind.
Dieser Beschluss ist an die Mitgliedstaaten gerichtet.
Brüssel, den 5. Februar 2010
2) ABl. L 6 vom 10.01.2002 S. 52.
3) SEK(2006) 95 vom 20.01.2006.
4) Vonseiten der Internationalen Handelskammer (ICC), des Japan Business Council in Europe (JBCE), des EU-Ausschusses der Amerikanischen Handelskammer in Belgien (Amcham) und der Federation of European Direct Marketing Associations (FEDMA).
5) ABl. L 181 vom 04.07.2001 S. 19.
| Standardvertragsklauseln (Auftragsverarbeiter) | Anhang |
| gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist | ||
| Bezeichnung der Organisation (Datenexporteur): .................................................................................................................................... | ||
| Anschrift: .............................................................................................................................................................................................. | ||
| Tel.: ................................................. | Fax .................................................. | E-Mail: ........................................ |
| Weitere Angaben zur Identifizierung der Organisation
............................................................................................................................................................................................................. |
||
| ("Daten exporteur") | ||
| und | ||
| Bezeichnung der Organisation (Datenimporteur): ..................................................................................................................................... | ||
| Anschrift: .................................................................................................................................................................. | ||
| Tel.: .................................................. | Fax .................................................. | E-Mail: .......................................... |
| Weitere Angaben zur Identifizierung der Organisation:
............................................................................................................................................................................................................. |
||
|
("Daten importeur") |
||
| (die "Partei", wenn eine dieser Organisationen gemeint ist, die "Parteien", wenn beide gemeint sind) | ||
| VEREINBAREN folgende Vertragsklauseln ("Klauseln"), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten. | ||
Klausel 1 Begriffsbestimmungen
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
Klausel 2 Einzelheiten der Übermittlung
Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.
Klausel 3 Drittbegünstigtenklausel
(1) Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
(2) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
(3) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
(4) Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.
Klausel 4 Pflichten des Datenexporteurs
Der Datenexporteur erklärt sich bereit und garantiert, dass:
Klausel 5 Pflichten des Datenimporteurs 2
Der Datenimporteur erklärt sich bereit und garantiert, dass:
Klausel 6 Haftung
(1) Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
(2) Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.
Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.
(3) Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.
Klausel 7 Schlichtungsverfahren und Gerichtsstand
(1) Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
(2) Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.
Klausel 8 Zusammenarbeit mit Kontrollstellen
(1) Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
(2) Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.
(3) Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.
Klausel 9 Anwendbares Recht
Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist,
nämlich: ................................................................................................................................................
Klausel 10 Änderung des Vertrags
Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.
Klausel 11 Vergabe eines Unterauftrags
(1) Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss 3. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.
(2) Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
(3) Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist,
nämlich: ................................................................................................................................................
(4) Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.
Klausel 12 Pflichten nach Beendigung der Datenverarbeitungsdienste
(1) Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.
(2) Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.
Für den Datenexporteur:
| Name(ausgeschrieben): ...................................................................................................................................................................... | |
| Funktion: ........................................................................................................................................................................................... | |
| Anschrift: .......................................................................................................................................................................................... | |
| Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen: | |
(Stempel der Organisation) |
Unterschrift ........................................................... |
| Für den Datenimporteur: | |
| Name(ausgeschrieben): ................................................................................................................................................................... | |
| Funktion: ........................................................................................................................................................................................ | |
| Anschrift: ....................................................................................................................................................................................... | |
| Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen: | |
|
(Stempel der Organisation) |
Unterschrift ............................................................. |
_____________
1) Die Parteien können die Begriffsbestimmungen der Richtlinie 95/46/EG in diese Klausel aufnehmen, wenn nach ihrem Dafürhalten der Vertrag für sich allein stehen sollte.
2) Zwingende Erfordernisse des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist, widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staates, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche.
3) Dies kann dadurch gewährleistet werden, dass der Unterauftragsverarbeiter den nach diesem Beschluss geschlossenen Vertrag zwischen dem Datenexporteur und dem Datenimporteur mitunterzeichnet.
| zu den Standardvertragsklauseln | Anhang 1 |
Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden
Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen
| Datenexporteur
Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): ........................................................................................................................................................................... ........................................................................................................................................................................... ........................................................................................................................................................................... |
| Datenimporteur
Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind): ........................................................................................................................................................................... ........................................................................................................................................................................... ........................................................................................................................................................................... |
| Betroffene Personen
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben): ........................................................................................................................................................................... ........................................................................................................................................................................... ........................................................................................................................................................................... |
| Kategorien von Daten
Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben): ........................................................................................................................................................................... ........................................................................................................................................................................... ........................................................................................................................................................................... |
| Besondere Datenkategorien (falls zutreffend)
Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben): ........................................................................................................................................................................... ........................................................................................................................................................................... ........................................................................................................................................................................... |
| Verarbeitung
Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben): ........................................................................................................................................................................... ........................................................................................................................................................................... ........................................................................................................................................................................... |
| DATENEXPORTEUR
Name: ................................................................................................ Unterschrift des/der Bevollmächtigten: ............................................. |
| DATENIMPORTEUR
Name: ................................................................................................ Unterschrift des/der Bevollmächtigten: ............................................. |
| zu den Standardvertragsklauseln | Anhang 2 |
| Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden |
| Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):
........................................................................................................................................................................................................................................................................................... ........................................................................................................................................................................................................................................................................................... ........................................................................................................................................................................................................................................................................................... ........................................................................................................................................................................................................................................................................................... |
BEISPIEL FÜR EINE ENTSCHÄDIGUNGSKLAUSEL (FAKULTATIV)
Haftung
Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist.
Die Entschädigung ist abhängig davon, dass
_____________-
1) Der Absatz über die Haftung ist fakultativ.
 |
ENDE | |
(Stand: 21.02.2022)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion