29.12.2004   

DE

Amtsblatt der Europäischen Union

L 385/74

ENTSCHEIDUNG DER KOMMISSION

vom 27. Dezember 2004

zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer

(Bekannt gegeben unter Aktenzeichen K(2004) 5271)

(Text von Bedeutung für den EWR)

(2004/915/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1), insbesondere auf Artikel 26 Absatz 4,

in Erwägung nachstehender Gründe:

(1)

Um die Aufrechterhaltung der Datenströme aus der Gemeinschaft zu erleichtern, ist es wünschenswert, dass die für die Verarbeitung Verantwortlichen in der Gemeinschaft Daten weltweit auf der Grundlage derselben Datenschutzregeln übermitteln können. Solange es keine globalen Datenschutznormen gibt, sind Standardvertragsklauseln ein wichtiges Instrument, das die Übermittlung personenbezogener Daten aus allen Mitgliedstaaten nach denselben Regeln ermöglicht. Die Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (2) legt daher Standardvertragsklauseln fest, die angemessene Garantien für die Übermittlung von Daten in Drittländer bieten.

(2)

Seit Verabschiedung dieser Entscheidung wurden viele Erfahrungen gesammelt. Darüber hinaus haben mehrere Wirtschaftsverbände (3) gemeinsam alternative Standardvertragsklauseln entworfen, die ein Datenschutzniveau gewährleisten sollen, das dem Niveau der Standardvertragsklauseln in der Entscheidung 2001/497/EG vergleichbar ist, auch wenn dabei andere Instrumente eingesetzt werden.

(3)

Da die Verwendung von Standardvertragsklauseln bei internationalen Datenübermittlungen freiwillig erfolgt und nur eine Möglichkeit gemäß der Richtlinie 95/46/EG darstellt, personenbezogene Daten auf rechtlich zulässige Weise in ein Drittland zu übermitteln, sollte es Datenexporteuren in der Gemeinschaft und Datenimporteuren in Drittländern freistehen, Daten unter Verwendung eines der Standardverträge zu übermitteln oder aber sich auf eine andere Rechtsgrundlage zu stützen. Da jeder Standardvertrag in sich geschlossen ist, sollte es den Datenexporteuren allerdings nicht erlaubt werden, die Standardverträge zu ändern bzw. verschiedene Standardverträge miteinander zu kombinieren.

(4)

Die Standardvertragsklauseln der Wirtschaftsverbände sollen die Wirtschaftsteilnehmer zur intensiveren Nutzung von Vertragsklauseln veranlassen; zu diesem Zweck setzen sie auf Instrumente wie flexiblere Prüfungspflichten oder präzisere Regelung des Auskunftsrechts.

(5)

Als Alternative zur gesamtschuldnerischen Haftung gemäß der Entscheidung 2001/497/EG beinhaltet der nun vorgelegte Standardvertrag außerdem ein auf die Sorgfaltspflicht abstellendes Haftungssystem, das Datenexporteur und Datenimporteur gegenüber der betroffenen Person für die Verletzung ihrer jeweiligen Vertragspflichten haftbar macht; ebenso ist der Datenexporteur haftbar, wenn er sich nicht im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus den Klauseln zu erfüllen in der Lage ist (Auswahlverschulden — culpa in eligendo), in welchem Fall die betroffene Person gerichtlich gegen den Datenexporteur vorgehen kann. Die Durchsetzung von Klausel I Buchstabe b) des neuen Standardvertrags ist in dieser Hinsicht besonders wichtig, vor allem im Hinblick auf das Recht des Datenexporteurs, Prüfungen in den Räumlichkeiten des Datenimporteurs durchzuführen oder Nachweise zu verlangen, dass dieser über genügend Finanzmittel verfügt, um seinen Verpflichtungen nachzukommen.

(6)

Für den Fall, dass die betroffene Person ihre Rechte als Drittbegünstigte ausübt, wird der Datenexporteur bei der Beschwerdeabhilfe stärker zur Verantwortung gezogen; der Datenexporteur ist nämlich verpflichtet, Kontakt zum Datenimporteur aufzunehmen und die Einhaltung der Vertragspflichten nötigenfalls innerhalb der Standardfrist von einem Monat durchzusetzen. Falls der Datenexporteur sich weigert, die Einhaltung der Vertragspflichten durchzusetzen, und der Datenimporteur seine Vertragspflichten weiter verletzt, kann die betroffene Person die Einhaltung der Klauseln gegenüber dem Datenimporteur erzwingen und ihn in einem Mitgliedstaat gerichtlich belangen. Die Anerkennung einer gerichtlichen Zuständigkeit und der Entscheidung des zuständigen Gerichts oder einer Kontrollstelle schmälert in keiner Weise die prozessualen Rechte des in einem Drittland ansässigen Datenimporteurs, z. B. sein Recht auf Einlegung von Rechtsmitteln.

(7)

Damit diese zusätzliche Flexibilität jedoch nicht missbraucht wird, erscheint es angebracht, dass die Datenschutzkontrollstellen auf der Grundlage des neuen Standardvertragsklauseltyps Datenübermittlungen leichter verbieten oder aussetzen können, falls sich der Datenexporteur weigert, gegenüber dem Datenimporteur geeignete Maßnahmen zur Durchsetzung der Vertragspflichten zu ergreifen, oder der Datenimporteur sich weigert, redlich mit den zuständigen Datenschutzkontrollstellen zusammenzuarbeiten.

(8)

Die aufgrund der Richtlinie 95/46/EG oder der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (4) erlassenen Vorschriften bleiben von den Standardvertragsklauseln unberührt, insbesondere was den Versand kommerzieller Kommunikation für Direktmarketingzwecke betrifft.

(9)

Auf dieser Grundlage können die Garantien, die die vorgelegten Standardvertragsklauseln beinhalten, als angemessen im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG angesehen werden.

(10)

Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die nach Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme (5) zu dem Schutzniveau abgegeben, das die vorgelegten Standardvertragsklauseln bieten; diese Stellungnahme wurde bei der Ausarbeitung dieser Entscheidung berücksichtigt.

(11)

Um die Anwendung der Änderungen an der Entscheidung 2001/497/EG bewerten zu können, sollte die Kommission diese drei Jahre, nachdem sie die Mitgliedstaaten davon in Kenntnis gesetzt hat, bewerten.

(12)

Die Entscheidung 2001/497/EG sollte entsprechend geändert werden.

(13)

Die in dieser Entscheidung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der gemäß Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde —

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Artikel 1

Die Entscheidung 2001/497/EG wird wie folgt geändert:

1.

In Artikel 1 wird folgender Absatz hinzugefügt:

„Die für die Verarbeitung Verantwortlichen haben die Wahl zwischen Standardvertrag I und II im Anhang. Sie dürfen die Klauseln weder ändern noch Klauseln aus beiden Verträgen miteinander kombinieren.“

2.

Artikel 4 Absätze 2 und 3 erhalten folgende Fassung:

„(2)   Für die Zwecke von Absatz 1 können die zuständigen Kontrollstellen, sofern der für die Verarbeitung Verantwortliche angemessene Garantien auf der Grundlage des Standardvertrags II im Anhang geltend macht, im Rahmen ihrer Befugnisse Datenübermittlungen verbieten oder aussetzen, wenn

a)

der Datenimporteur sich weigert, mit den Datenschutzkontrollstellen redlich zusammenzuarbeiten oder eindeutige Vertragspflichten zu erfüllen;

b)

der Datenexporteur sich weigert, binnen der Regelfrist von einem Monat nach entsprechender Aufforderung durch die zuständige Kontrollstelle geeignete Maßnahmen zur Durchsetzung der Vertragspflichten gegenüber dem Datenimporteur zu ergreifen.

Eine Weigerung des Datenimporteurs zur redlichen Zusammenarbeit oder zur Durchsetzung der Vertragspflichten im Sinne von Unterabsatz 1 besteht nicht, wenn die Zusammenarbeit oder Durchsetzung zu einer Kollision mit nationalen, für den Datenimporteur verbindlichen Rechtsvorschriften führen würde und diese Vorschriften nicht über das hinausgehen, was in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; hierunter fallen insbesondere die Androhung von Sanktionen nach internationalem und/oder nationalem Recht, steuerrechtliche Anzeigepflichten oder Anzeigepflichten zur Bekämpfung der Geldwäsche.

Die Pflicht zur Zusammenarbeit im Sinne von Unterabsatz 1 Buchstabe a) beinhaltet für den Datenimporteur insbesondere die Bereitschaft, seine Datenverarbeitungseinrichtungen überprüfen zu lassen oder den Empfehlungen der Datenschutzkontrollstelle in der Gemeinschaft Folge zu leisten.

(3)   Das Verbot oder die Aussetzung im Sinne der Absätze 1 und 2 wird aufgehoben, sobald die Gründe für das Verbot oder die Aussetzung nicht mehr vorliegen.

(4)   Wenn die Mitgliedstaaten Maßnahmen gemäß den Absätzen 1, 2 und 3 ergreifen, informieren sie unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.“.

3.

Artikel 5 Satz 1 erhält folgende Fassung:

„Die Kommission bewertet drei Jahre, nachdem sie den Mitgliedstaaten diese Entscheidung und etwaige Änderungen an dieser Entscheidung bekannt gegeben hat, ihre Durchführung anhand der verfügbaren Informationen.“.

4.

Der Anhang wird wie folgt geändert:

1.

Nach der Überschrift wird „STANDARDVERTRAG I“ eingefügt.

2.

Der Wortlaut des Anhangs zu dieser Entscheidung wird angefügt.

Artikel 2

Diese Entscheidung gilt ab dem 1. April 2005.

Artikel 3

Diese Entscheidung ist an die Mitgliedstaaten gerichtet.

Brüssel, den 27. Dezember 2004

Für die Kommission

Charlie McCREEVY

Mitglied der Kommission

(1)  ABl. L 281 vom 23.11.1995, S. 31. Richtlinie geändert durch die Verordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003, S. 1).

(2)  ABl. L 181 vom 4.7.2001, S. 19.

(3)  Internationale Handelskammer (ICC), Japan Business Council in Europe (JBCE), Europäische Verband der informations- und kommunikationstechnischen Industrie (EICTA), EU-Ausschuss der Amerikanischen Handelskammer in Belgien (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT), Federation of European Direct Marketing Associations (FEDMA).

(4)  ABl. L 201 vom 31.7.2002, S. 37.

(5)  Stellungnahme 8/2003, siehe http://europa.eu.int/comm/privacy/

ANHANG

STANDARDVERTRAG II

Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Gemeinschaft in Drittländer (Übermittlung zwischen für die Datenverarbeitung Verantwortlichen)

Vereinbarung über die Datenübermittlung

zwischen

_ (Name)

_ (Adresse und Sitzland)

(nachstehend als ‚Datenexporteur‘ bezeichnet,

und

_ (Name)

_ (Adresse und Sitzland)

nachstehend als ‚Datenimporteur‘ bezeichnet,

beide nachstehend als ‚Partei‘, zusammen als ‚Parteien‘ bezeichnet

Begriffsbestimmungen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

a)

Die Begriffe ‚personenbezogene Daten‘, ‚besondere Kategorien personenbezogener Daten/sensible Daten‘, ‚verarbeiten/Verarbeitung‘, ‚für die Verarbeitung Verantwortlicher‘, ‚Auftragsverarbeiter‘, ‚betroffene Person‘ und ‚Kontrollstelle‘ werden entsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit ‚Kontrollstelle‘ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist).

b)

‚Datenexporteur‘ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.

c)

‚Datenimporteur‘ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen, und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet.

d)

‚Klauseln‘ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungen beinhaltet, die von den Parteien im Rahmen getrennter geschäftlicher Vereinbarungen getroffen wurden.

Die Einzelheiten der Übermittlung (sowie die abgedeckten personenbezogenen Daten) sind in Anhang B aufgeführt, der integraler Bestandteil dieser Klauseln ist.

I.   Pflichten des Datenexporteurs

Der Datenexporteur gibt folgende Zusicherungen:

a)

Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen gesammelt, verarbeitet und übermittelt.

b)

Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln zu erfüllen in der Lage ist.

c)

Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechende Fundstellennachweise seines Sitzlandes zur Verfügung, erteilt aber keine Rechtsberatung.

d)

Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Sie erfolgt innerhalb einer angemessenen Frist.

e)

Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar der Klauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht, diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personen schriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, den betroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung der entfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle auf Antrag ein Exemplar der Klauseln zur Verfügung.

II.   Pflichten des Datenimporteurs

Der Datenimporteur gibt folgende Zusicherungen:

a)

Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenen Daten gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist ein Sicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird.

b)

Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte, einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Daten beachten und wahren. Die unter der Verantwortung des Datenimporteurs tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die personenbezogenen Daten nur auf seine Anweisung verarbeiten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.

c)

Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt.

d)

Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.

e)

Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seiner Organisation, die befugt ist, Anfragen bezüglich der Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, der betroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenen Frist beantwortet werden. Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendes vereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e).

f)

Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungen aus Klausel III zu erfüllen (wozu auch Versicherungsschutz zählen kann).

g)

Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitung benötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oder der Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüfer oder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dass die Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eine Regulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmung oder Genehmigung zügig zu erhalten.

h)

Er verarbeitet die personenbezogenen Daten gemäß

i)

den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oder

ii)

den einschlägigen Bestimmungen (1) etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Datenimporteur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden (2), oder

iii)

den Grundsätzen für die Datenverarbeitung in Anhang A.

Der Datenimporteur wählt die Möglichkeit: _

Paraphe des Datenimporteurs: _;

i)

Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche Dritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt den Datenexporteur von der Übermittlung in Kenntnis und

i)

der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang mit einer Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveau zuerkennt, oder

ii)

der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einer zuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oder

iii)

die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlung informiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland der Daten möglicherweise andere Datenschutzstandards aufweist, oder

iv)

die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihre Zustimmung zu der Weiterübermittlung erteilt.

III.   Haftung und Rechte Dritter

a)

Jede Partei haftet gegenüber der anderen Partei für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche (d. h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber der betroffenen Person für Schäden, die sie durch die Verletzung von Rechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihn maßgeblichen Datenschutzvorschriften bleibt davon unberührt.

b)

Die Parteien räumen den betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) und e), Klausel II Buchstaben a), c), d), e), h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VII als Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese im Hinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen sie die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem Datenimporteur Vertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber dem Datenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (im Regelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteur durchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich im Rahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungen aus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbaren Anstrengungen unternommen hat).

IV.   Anwendbares Recht

Diese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sind die Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäß Klausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat.

V.   Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle

a)

Bei einer Streitigkeit oder einer Klage der betroffenen Person oder der Kontrollstelle gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung.

b)

Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zu unterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an dem Verfahren, können sie dies auf dem Weg der Telekommunikation tun (z. B. per Telefon oder anderer elektronischer Mittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren, Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzes entwickelt werden.

c)

Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland des Datenexporteurs oder der Kontrollstelle.

VI.   Beendigung des Vertrags

a)

Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigt oder der Vertrag beendet ist.

b)

Tritt einer der folgenden Fälle ein:

i)

Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabe a) länger als einen Monat ausgesetzt;

ii)

die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes;

iii)

der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichem Umfang oder fortdauernd;

iv)

das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dass der Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen haben, oder

v)

es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater oder geschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist abgewiesen wird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wird ein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um eine Privatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nach Rechtsordnung gleichwertigen Verfahren,

so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur, diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der in Ziffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen.

c)

Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf das Land (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteur verarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dem betreffenden Landes unmittelbar zur Anwendung gelangt.

d)

Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, der Umstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind.

VII.   Änderung der Klauseln

Die Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfalls müssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfalls weitere Geschäftsklauseln hinzuzufügen.

VIII.   Beschreibung der Übermittlung

Die Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien vereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Dritten offen legen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigen Regulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitere Anhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zu unterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt.

Datum: _

_

_

Für den DATENIMPORTEUR

Für den DATENEXPORTEUR

ANHANG A

GRUNDSÄTZE FÜR DIE DATENVERARBEITUNG

1.

Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von der betroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden.

2.

Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf dem neuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafür erheblich sein und dürfen nicht über das erforderliche Maß hinausgehen.

3.

Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glauben gewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.

4.

Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

5.

Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat die betroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Daten zu erhalten, die von einer Organisation vorgehalten werden; dies gilt nicht für Auskunftsersuchen, die aufgrund ihrer unzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder für Daten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlich der vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen, dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurch nicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeben werden, wenn dazu unzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffene Person muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn diese unzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an der Rechtmäßigkeit des Ersuchens kann die Organisation weitere Belege verlangen, bevor die Berichtigung, Änderung oder Löschung erfolgt. Dritte, gegenüber denen die Daten offen gelegt wurden, müssen von der Berichtigung, Änderung oder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt im Fall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelle anfechten.

6.

Sensible Daten: Der Datenimporteur trifft die zusätzliche Vorkehrungen (beispielsweise sicherheitsbezogener Art), die entsprechend seinen Verpflichtungen nach Klausel II zum Schutz sensibler Daten erforderlich sind.

7.

Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen, damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann (‚Opt-out‘).

8.

Automatisierte Entscheidungen: ‚Automatisierte Entscheidungen‘ im Sinne dieser Klauseln sind mit Rechtsfolgen behaftete Entscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die allein auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, es sei denn:

a)

i)

Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung eines Vertrags mit der betroffenen Person, und

ii)

die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung mit einem Vertreter der entscheidungtreffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Partei abzugeben,

oder

b)

die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor.

ANHANG B

BESCHREIBUNG DER ÜBERMITTLUNG

(von den Parteien auszufüllen)

Image

VERANSCHAULICHENDE GESCHÄFTSKLAUSELN (FAKULTATIV)

Wechselseitige Entschädigung von Datenexporteur und Datenimporteur:

‚Die Parteien entschädigen sich wechselseitig oder halten sich wechselseitig schadlos für alle Kosten, Ausgaben, Schäden, Auslagen oder Verluste, die die andere Partei durch Verletzung einer dieser Vertragsklauseln verursacht. Der Entschädigungsanspruch setzt voraus, dass a) die zu entschädigenden Parteien die entschädigenden Parteien unverzüglich von dem Bestehen einer Forderung in Kenntnis setzen und b) die entschädigenden Parteien allein dazu berechtigt sind, sich gegen einen solchen Anspruch zu verteidigen oder den Streit beizulegen und (c) die zu entschädigenden Parteien bei der Abwehr derartiger Rechtsansprüche redlich mit den entschädigenden Parteien zusammenarbeiten und diese unterstützen.‘

Streitbeilegung zwischen Datenexporteur und Datenimporteur (die Parteien können selbstverständlich eine andere alternative Streitbeilegung oder die Zuständigkeit eines Gerichts vereinbaren):

‚Alle Rechtsstreitigkeiten zwischen dem Datenimporteur und dem Datenexporteur aus dem vorliegenden Vertrag werden gemäß dem Schlichtungs- und Schiedsreglement der Internationalen Handelskammer endgültig durch einen oder mehrere Schiedsrichter entschieden, die in Übereinstimmung mit diesem Reglement ernannt werden. Ort des Schiedsverfahrens ist […]. Die Zahl der Schiedsrichter beträgt […].‘

Kostenteilung:

‚Jede Partei trägt die Kosten für die Erfüllung ihrer Vertragspflichten.‘

Zusätzliche Beendigungsklausel:

‚Bei Beendigung dieses Vertrags gibt der Datenimporteur alle personenbezogenen Daten sowie alle Kopien der personenbezogenen Daten, die Gegenstand dieser Klauseln sind, unverzüglich an den Datenexporteur zurück, oder aber der Datenimporteur vernichtet auf Antrag des Datenexporteurs alle Exemplare derselben und bescheinigt dem Datenexporteur die Vernichtung, es sei denn, der nationale Gesetzgeber oder die nationale Regulierungsbehörde verbietet die vollständige oder teilweise Rückübermittlung oder Zerstörung dieser Daten; in diesem Fall werden die Daten geheim gehalten und zu keinem weiteren Zweck aktiv verarbeitet. Auf Verlangen des Datenexporteurs erlaubt der Datenimporteur dem Datenexporteur oder einem vom Datenexporteur ausgewählten Prüfer, gegen den der Datenimporteur keine begründeten Einwände erhebt, den Zugang zu seinen Räumlichkeiten, damit die Ausführung dieser Bestimmungen überprüft werden kann; die Überprüfung ist rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen.‘

“.

(1)  ‚Einschlägige Bestimmungen‘ sind sämtliche unter diese Klauseln fallende Genehmigungen oder Entscheidungen mit Ausnahme der Vollzugsbestimmungen.

(2)  Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.