32002D0016

Entscheidung der Kommission

vom 27. Dezember 2001

hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG

(Bekannt gegeben unter Aktenzeichen K(2001) 4540)

(Text von Bedeutung für den EWR)

(2002/16/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(1), insbesondere auf Artikel 26 Absatz 4,

in Erwägung nachstehender Gründe:

(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet und Gesetze der Mitgliedstaaten, die den anderen Bestimmungen der Richtlinie entsprechen, vor der Übermittlung berücksichtigt werden.

(2) Artikel 26 Absatz 2 der Richtlinie 95/46/EG sieht jedoch vor, dass die Mitgliedstaaten, sofern bestimmte Garantien vorliegen, eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in Drittländer genehmigen können, die kein angemessenes Schutzniveau gewährleisten. Diese Garantien können insbesondere in einschlägigen Vertragsklauseln festgeschrieben werden.

(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten(2) hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht(3).

(4) Die Standardvertragsklauseln beziehen sich nur auf den Datenschutz. Dem Datenexporteur und dem Datenimporteur ist es freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, die sie für vertragsrelevant halten, sofern diese nicht im Widerspruch zu den Standardvertragsklauseln stehen.

(5) Diese Entscheidung sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Diese Entscheidung hat lediglich die Wirkung, dass die Mitgliedstaaten die hier aufgeführten Vertragsklauseln als angemessene Garantien anerkennen müssen, und lässt daher andere Vertragsklauseln unberührt.

(6) Diese Entscheidung beschränkt sich darauf festzulegen, dass die aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Gemeinschaft ansässig ist, angewandt werden können, um nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG angemessene Garantien für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland ansässig ist, zu gewährleisten.

(7) Diese Entscheidung sollte die Verpflichtung gemäß Artikel 17 Absatz 3 der Richtlinie 95/46/EG durchführen und lässt den Inhalt eines solchen Vertrags beziehungsweise Rechtsakts unberührt. Einige der Standardvertragsklauseln, vor allem diejenigen bezüglich der Pflichten des Datenexporteurs, sollten übernommen werden, um die Bestimmungen zu verdeutlichen, die in einem Vertrag zwischen einem für die Datenverarbeitung Verantwortlichen und einem Auftragsverarbeiter aufgenommen werden können.

(8) Die Kontrollstellen der Mitgliedstaaten spielen eine Schlüsselrolle in diesem Vertragsmechanismus, weil sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In Ausnahmefällen, in denen Datenexporteure es ablehnen oder nicht in der Lage sind, dem Datenimporteur angemessene Anweisungen zu geben und in denen eine hohe Wahrscheinlichkeit besteht, dass der betroffenen Person ein schwerwiegender Schaden entsteht, sollten die Standardvertragsklauseln es den Kontrollstellen ermöglichen, Datenimporteure zu prüfen und gegebenenfalls Entscheidungen zu treffen, denen Datenimporteure Folge leisten müssen. Die Kontrollstellen sollten befugt sein, eine Datenübermittlung oder eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder zurückzuhalten; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen.

(9) Die Kommission könnte zukünftig ferner überlegen, ob Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten und die von Industrieverbänden oder anderen interessierten Parteien vorgelegt werden, angemessene Garantien im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG bieten.

(10) Die Weitergabe personenbezogener Daten an einen Datenverarbeiter, der außerhalb der Gemeinschaft ansässig ist, stellt eine internationale Datenübermittlung dar, die nach Kapitel IV der Richtlinie 95/46/EG geschützt ist. Diese Entscheidung betrifft nicht die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an für die Verarbeitung Verantwortliche außerhalb der Gemeinschaft, die nach der Richtlinie 95/46/EG in den Anwendungsbereich der Kommissionsentscheidung 2001/497/EG vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer fallen(4).

(11) Die Standardvertragsklauseln sollten die technischen und organisatorischen Sicherheitsmaßnahmen vorsehen, die einen Schutz gewährleisten, der den durch die Verarbeitung entstehenden Risiken und der Art der zu schützenden Daten angemessen ist, und die ein Datenverarbeiter in einem Drittland ohne angemessenes Schutzniveau anwenden muss. Die Parteien sollten diejenigen technischen und organisatorischen Maßnahmen vertraglich vorsehen, die unter Berücksichtigung des anwendbaren Datenschutzrechts, des Stands der Technik und der bei ihrer Durchführung entstehenden Kosten erforderlich sind, um personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen.

(12) Zur Erleichterung des Datenflusses aus der Gemeinschaft ist es wünschenswert, dass Auftragsverarbeiter, die Dienstleistungen der Datenverarbeitung für mehrere für die Verarbeitung Verantwortliche in der Gemeinschaft erbringen, die Möglichkeit erhalten, ungeachtet des Mitgliedstaats, von dem die Datenübermittlung ausgeht, die gleichen technischen und organisatorischen Sicherheitsmaßnahmen anzuwenden, insbesondere wenn der Datenimporteur von verschiedenen Einrichtungen des Datenexporteurs in der Gemeinschaft Daten zur Weiterverarbeitung erhält; in diesem Fall sollte das Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist, Anwendung finden.

(13) Es ist angebracht, die Mindestinformationen festzulegen, die von den Parteien in dem Vertrag über die Übermittlung mitgeteilt werden müssen. Die Mitgliedstaaten sollten weiterhin befugt sein, die Informationen im Einzelnen zu benennen, die von den Parteien vorgelegt werden müssen. Die Umsetzung dieser Entscheidung sollte im Lichte der Erfahrung geprüft werden.

(14) Der Datenimporteur sollte die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und entsprechend dessen Anweisungen sowie den in den Klauseln enthaltenen Pflichten verarbeiten. Der Datenimporteur sollte die personenbezogenen Daten nur unter bestimmten Bedingungen an Dritte weitergeben. Der Datenexporteur sollte den Datenimporteur während der Dauer der Datenverarbeitungsdienste anweisen, die Daten gemäß seinen Anweisungen, dem anwendbaren Datenschutzrecht und den in den Klauseln beschriebenen Pflichten zu verarbeiten. Die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die außerhalb der Gemeinschaft ansässig sind, berührt nicht die Tatsache, dass die Verarbeitung in jedem Fall unter das anwendbare Datenschutzrecht fällt.

(15) Die Standardvertragsklauseln sollten durchsetzbar sein, und zwar nicht nur von den Organisationen, die Vertragsparteien sind, sondern auch von den betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht.

(16) Die betroffene Person sollte berechtigt sein, gegen den Datenexporteur, der für die Verarbeitung der übermittelten personenbezogenen Daten verantwortlich ist, Schritte einzuleiten und von diesem gegebenenfalls Schadensersatz zu verlangen. In Ausnahmefällen sollte die betroffene Person auch berechtigt sein, Schritte gegen den Datenimporteur einzuleiten und von diesem gegebenenfalls Schadensersatz zu verlangen wegen Verstoßes des Datenimporteurs gegen dessen in Klausel 3 Absatz 2 genannte Pflichten, und zwar wenn das Unternehmen des Datenexporteurs sich tatsächlich aufgelöst hat oder rechtlich aufgehört hat zu bestehen.

(17) Wird eine Auseinandersetzung zwischen einem Datenimporteur, der sich auf die Drittbegünstigtenklausel beruft, und dem Datenimporteur nicht gütlich beigelegt, sollte sich der Datenimporteur verpflichten, der betroffenen Person die Wahl zwischen einem Schlichtungs- oder Schiedsverfahren oder einem Gerichtsverfahren anzubieten. Die tatsächlichen Wahlmöglichkeiten der betroffenen Person hängen von dem Vorhandensein zuverlässiger und anerkannter Schlichtungs- und Schiedssysteme ab. Falls die Kontrollstelle des Mitgliedstaats, in dem der Datenexporteur ansässig ist, zur Schlichtung bereit ist, sollte diese Möglichkeit angeboten werden.

(18) Auf den Vertrag ist das Recht des Mitgliedstaats anzuwenden, in dem der Datenexporteur ansässig ist und das es einem Drittbegünstigten ermöglicht, die Einhaltung des Vertrags durchzusetzen. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, von Vereinigungen oder sonstigen Einrichtungen vertreten werden können.

(19) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die der Entscheidung beiliegenden Standardvertragsklauseln bieten; die Stellungnahme wurde bei der Erarbeitung dieser Entscheidung berücksichtigt(5).

(20) Die in dieser Entscheidung enthaltenen Maßnahmen stimmen mit der Stellungnahme des Ausschusses überein, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde -

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Artikel 1

Die Standardvertragsklauseln im Anhang gelten als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG.

Artikel 2

Diese Entscheidung betrifft ausschließlich die Angemessenheit des Schutzes, der durch die im Anhang aufgeführten Standardvertragsklauseln bei der Übermittlung personenbezogener Daten gewährleistet wird. Die Anwendung anderer nationaler Vorschriften zur Durchführung der Richtlinie 95/46/EG, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleibt davon unberührt.

Die vorliegende Entscheidung betrifft die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger außerhalb der Gemeinschaft, die nur als Auftragsverarbeiter fungieren.

Artikel 3

In Rahmen dieser Entscheidung

a) gelten die Begriffsbestimmungen der Richtlinie 95/46/EG;

b) bezeichnet der Begriff "besondere Datenkategorien" die in Artikel 8 dieser Richtlinie genannten Daten;

c) bezeichnet der Begriff "Kontrollstelle" die in Artikel 28 dieser Richtlinie genannte Stelle;

d) bezeichnet der Begriff "Datenexporteur" den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;

e) bezeichnet der Begriff "Datenimporteur" den in einem Drittland ansässigen Verarbeiter, der sich bereit erklärt, vom Datenexporteur dessen Anweisungen und den Vorschriften dieser Entscheidung entsprechend Daten entgegenzunehmen, die nach der Übermittlung in dessen Auftrag verarbeitet werden sollen, und der nicht dem System eines Drittlands unterliegt, das ein angemessenes Schutzniveau bietet;

f) bezeichnet der Begriff "anwendbares Datenschutzrecht" die Vorschriften zum Schutz der Grundrechte und -freiheiten natürlicher Personen, insbesondere des Rechts auf Schutz der Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Land, in dem der Datenexporteur ansässig ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

g) bezeichnet der Begriff "technische und organisatorische Sicherheitsmaßnahmen" Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und gegen jede andere Form der unrechtmäßigen Verarbeitung schützen sollen.

Artikel 4

(1) Unbeschadet ihrer Befugnisse, tätig zu werden, um die Einhaltung nationaler Vorschriften gemäß den Kapiteln II, III, V und VI der Richtlinie 95/46/EG zu gewährleisten, können die zuständigen Kontrollstellen in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, indem sie zum Schutz von Privatpersonen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung in Drittländer verbieten oder aussetzen, wenn

a) feststeht, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften Anforderungen unterliegt, die ihn zwingen, vom anwendbaren Datenschutzrecht in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind, und dass sich diese Anforderungen wahrscheinlich sehr nachteilig auf die Garantien auswirken würden, die das anwendbare Datenschutzrecht und die Standardvertragsklauseln bieten, oder

b) eine zuständige Behörde festgestellt hat, dass der Datenimporteur die Vertragsklauseln im Anhang nicht einhält, oder

c) eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Standardvertragsklauseln derzeit oder künftig nicht eingehalten werden und die Fortsetzung der Übermittlung den betroffenen Personen einen schwerwiegenden Schaden zufügen würde.

(2) Das Verbot oder die Aussetzung gemäß Absatz 1 wird aufgehoben, sobald die Gründe für das Verbot oder die Aussetzung nicht mehr vorliegen.

(3) Sobald die Mitgliedstaaten Maßnahmen gemäß den Absätzen 1 und 2 ergreifen, informieren sie unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 5

Die Kommission bewertet drei Jahre, nachdem sie den Mitgliedstaaten diese Entscheidung bekannt gegeben hat, anhand der verfügbaren Informationen ihre Durchführung. Sie legt dem durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss einen Bericht über ihre Feststellungen vor. Hierzu gehören auch sämtliche Erkenntnisse, die die Beurteilung der Angemessenheit der im Anhang enthaltenen Standardvertragsklauseln berühren könnten sowie etwaige Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird.

Artikel 6

Diese Entscheidung gilt ab dem 3. April 2002.

Artikel 7

Diese Entscheidung ist an alle Mitgliedstaaten gerichtet.

Brüssel, den 27. Dezember 2001

Für die Kommission

Frederik Bolkestein

Mitglied der Kommission

(1) ABl. L 281 vom 23.11.1995, S. 31.

(2) Die Internet-Adresse der Gruppe lautet:

http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97): Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer - Mögliche Ansätze für eine Bewertung der Angemessenheit; Diskussionsgrundlage von der Arbeitgruppe angenommen am 26. Juni 1997.

WP 7 (5057/97): Arbeitsunterlage: Beurteilung der Selbstkontrolle der Wirtschaft: Wann ist sie ein sinnvoller Beitrag zum Niveau des Datenschutzes in einem Drittland? Von der Arbeitsgruppe angenommen am 22. April 1998.

WP 9 (5005/98): Arbeitsunterlage: Erste Überlegungen zur Verwendung vertraglicher Bestimmungen im Rahmen der Übermittlungen personenbezogener Daten an Drittländer; von der Arbeitsgruppe angenommen am 22. April 1998.

WP 12: Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU; von der Gruppe angenommen am 24. Juli 1998, verfügbar auf der Web-Site der Europäischen Kommission:

http://www.europa.eu.int/comm/internal_markt/en/dataprot/wpdocs/wp12/de.

(4) ABl. L 181 vom 4.7.2001, S. 19.

(5) Stellungnahme Nr. 7/2001, von der Gruppe angenommen am 13. September 2001 (GD MARKT ...), verfügbar auf der "Europa-"Site der Europäischen Kommission.

ANHANG

>PIC FILE= "L_2002006DE.005702.TIF">

>PIC FILE= "L_2002006DE.005801.TIF">

>PIC FILE= "L_2002006DE.005901.TIF">

>PIC FILE= "L_2002006DE.006001.TIF">

Anlage 1

>PIC FILE= "L_2002006DE.006102.TIF">

Anlage 2

>PIC FILE= "L_2002006DE.006202.TIF">