| 12.2.2010 | DE | Amtsblatt der Europäischen Union | L 39/5 | 12.2.2010 | EN | Official Journal of the European Union | L 39/5 |
| BESCHLUSS DER KOMMISSION | COMMISSION DECISION |
| vom 5. Februar 2010 | of 5 February 2010 |
| über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates | on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council |
| (Bekannt gegeben unter Aktenzeichen K(2010) 593) | (notified under document C(2010) 593) |
| (Text von Bedeutung für den EWR) | (Text with EEA relevance) |
| (2010/87/EU) | (2010/87/EU) |
| DIE EUROPÄISCHE KOMMISSION — | THE EUROPEAN COMMISSION, |
| gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, | Having regard to the Treaty on the Functioning of the European Union, |
| gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1), insbesondere auf Artikel 26 Absatz 4, | Having regard to Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1), and in particular Article 26(4) thereof, |
| nach Anhörung des Europäischen Datenschutzbeauftragten, | After consulting the European Data Protection Supervisor, |
| in Erwägung nachstehender Gründe: | Whereas: |
| (1) | Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet und vor der Übermittlung die aufgrund der anderen Bestimmungen der Richtlinie erlassenen Vorschriften der Mitgliedstaaten beachtet werden. | (1) | Pursuant to Directive 95/46/EC Member States are required to provide that a transfer of personal data to a third country may only take place if the third country in question ensures an adequate level of data protection and the Member States’ laws, which comply with the other provisions of the Directive, are respected prior to the transfer. |
| (2) | Artikel 26 Absatz 2 der Richtlinie 95/46/EG gestattet jedoch den Mitgliedstaaten, die Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, zu genehmigen, sofern bestimmte Garantien vorliegen. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauseln ergeben. | (2) | However, Article 26(2) of Directive 95/46/EC provides that Member States may authorise, subject to certain safeguards, a transfer or a set of transfers of personal data to third countries which do not ensure an adequate level of protection. Such safeguards may in particular result from appropriate contractual clauses. |
| (3) | Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Reihe von Datenübermittlungen eine Rolle spielen. Die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht. | (3) | Pursuant to Directive 95/46/EC the level of data protection should be assessed in the light of all the circumstances surrounding the data transfer operation or set of data transfer operations. The Working Party on the protection of individuals with regard to the processing of personal data established under that Directive has issued guidelines to aid with the assessment. |
| (4) | Standardvertragsklauseln sollten sich nur auf den Datenschutz beziehen. Dem Datenexporteur und dem Datenimporteur ist es daher freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, die sie für vertragsrelevant halten, sofern diese nicht im Widerspruch zu den Standardvertragsklauseln stehen. | (4) | Standard contractual clauses should relate only to data protection. Therefore, the data exporter and the data importer are free to include any other clauses on business related issues which they consider as being pertinent for the contract as long as they do not contradict the standard contractual clauses. |
| (5) | Dieser Beschluss sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Dieser Beschluss sollte lediglich die Wirkung haben, dass die Mitgliedstaaten die darin aufgeführten Standardvertragsklauseln als angemessene Garantien anerkennen müssen; sie sollte daher andere Vertragsklauseln unberührt lassen. | (5) | This Decision should be without prejudice to national authorisations Member States may grant in accordance with national provisions implementing Article 26(2) of Directive 95/46/EC. This Decision should only have the effect of requiring the Member States not to refuse to recognise, as providing adequate safeguards, the standard contractual clauses set out in it and should not therefore have any effect on other contractual clauses. |
| (6) | Die Entscheidung 2002/16/EG der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG (2) soll einem in der Europäischen Union niedergelassenen für die Datenverarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, das kein angemessenes Datenschutzniveau gewährleistet, erleichtern. | (6) | Commission Decision 2002/16/EC of 27 December 2001 on standard contractual clauses for the transfer of personal data to processors established in third countries, under Directive 95/46/EC (2) was adopted in order to facilitate the transfer of personal data from a data controller established in the European Union to a processor established in a third country which does not offer adequate level of protection. |
| (7) | Seit Erlass der Entscheidung 2002/16/EG wurden viele Erfahrungen gesammelt. Der Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (3) zeigt darüber hinaus, dass ein wachsendes Interesse an solchen Standardvertragsklauseln für die internationale Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, besteht. Zudem wurden Vorschläge zur Aktualisierung der in der Entscheidung 2002/16/EG aufgeführten Standardvertragsklauseln gemacht, um der rasch expandierenden Datenverarbeitungstätigkeit weltweit Rechnung zu tragen und Aspekte zu erfassen, die in der Entscheidung bisher nicht geregelt worden sind (4). | (7) | Much experience has been gained since the adoption of Decision 2002/16/EC. In addition, the report on the implementation of Decisions on standard contractual clauses for the transfers of personal data to third countries (3) has shown that there is an increasing interest in promoting the use of the standard contractual clauses for international transfers of personal data to third countries not providing an adequate level of protection. In addition, stakeholders have submitted proposals with a view to updating the standard contractual clauses set out in Decision 2002/16/EC in order to take account of the rapidly expanding scope of data-processing activities in the world and to address some issues that were not covered by that Decision (4). |
| (8) | Dieser Beschluss sollte sich darauf beschränken festzulegen, dass die aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Europäischen Union niedergelassen ist, verwendet werden können, um angemessene Garantien im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, zu gewährleisten. | (8) | The scope of this Decision should be limited to establishing that the clauses which it sets out may be used by a data controller established in the European Union in order to adduce adequate safeguards within the meaning of Article 26(2) of Directive 95/46/EC for the transfer of personal data to a processor established in a third country. |
| (9) | Dieser Beschluss sollte daher nicht für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an für die Verarbeitung Verantwortliche außerhalb der Europäischen Union gelten, die in den Anwendungsbereich der Kommissionsentscheidung 2001/497/EG vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG fallen (5). | (9) | This Decision should not apply to the transfer of personal data by controllers established in the European Union to controllers established outside the European Union which fall within the scope of Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (5). |
| (10) | Mit diesem Beschluss sollte die Verpflichtung gemäß Artikel 17 Absatz 3 der Richtlinie 95/46/EG umgesetzt werden; sie sollte den Inhalt eines solchen Vertrags beziehungsweise Rechtsakts unberührt lassen. Einige der Standardvertragsklauseln, vor allem diejenigen bezüglich der Pflichten des Datenexporteurs, sollten jedoch übernommen werden, um die Bestimmungen zu verdeutlichen, die in einen Vertrag zwischen einem für die Datenverarbeitung Verantwortlichen und einem Auftragsverarbeiter aufgenommen werden können. | (10) | This Decision should implement the obligation provided for in Article 17(3) of Directive 95/46/EC and should not prejudice the content of the contracts or legal acts established pursuant to that provision. However, some of the standard contractual clauses, in particular as regards the data exporter’s obligations, should be included in order to increase clarity as to the provisions which may be contained in a contract between a controller and a processor. |
| (11) | Die Kontrollstellen der Mitgliedstaaten spielen eine Schlüsselrolle in diesem Vertragsmechanismus, weil sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In Ausnahmefällen, in denen Datenexporteure es ablehnen oder nicht in der Lage sind, dem Datenimporteur angemessene Anweisungen zu geben, und in denen eine hohe Wahrscheinlichkeit besteht, dass den betroffenen Personen ein schwerwiegender Schaden entsteht, sollten die Standardvertragsklauseln es den Kontrollstellen ermöglichen, Datenimporteure und Unterauftragsverarbeiter einer Prüfung zu unterziehen und gegebenenfalls Entscheidungen zu treffen, denen Datenimporteure und Unterauftragsverarbeiter Folge leisten müssen. Die Kontrollstellen sollten befugt sein, eine Datenübermittlung oder eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder zurückzuhalten; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen. | (11) | Supervisory authorities of the Member States play a key role in this contractual mechanism in ensuring that personal data are adequately protected after the transfer. In exceptional cases where data exporters refuse or are unable to instruct the data importer properly, with an imminent risk of grave harm to the data subjects, the standard contractual clauses should allow the supervisory authorities to audit data importers and sub-processors and, where appropriate, take decisions which are binding on data importers and sub-processors. The supervisory authorities should have the power to prohibit or suspend a data transfer or a set of transfers based on the standard contractual clauses in those exceptional cases where it is established that a transfer on contractual basis is likely to have a substantial adverse effect on the warranties and obligations providing adequate protection for the data subject. |
| (12) | Standardvertragsklauseln sollten die technischen und organisatorischen Sicherheitsmaßnahmen vorsehen, die Datenverarbeiter in einem Drittland ohne angemessenes Schutzniveau anwenden sollten, um einen Schutz zu gewährleisten, der den durch die Verarbeitung entstehenden Risiken und der Art der zu schützenden Daten angemessen ist. Die Parteien sollten diejenigen technischen und organisatorischen Maßnahmen im Vertrag vorsehen, die unter Berücksichtigung des anwendbaren Datenschutzrechts, des Stands der Technik und der bei ihrer Durchführung entstehenden Kosten erforderlich sind, um personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen. | (12) | Standard contractual clauses should provide for the technical and organisational security measures to be applied by data processors established in a third country not providing adequate protection, in order to ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected. Parties should make provision in the contract for those technical and organisational measures which, having regard to applicable data protection law, the state of the art and the cost of their implementation, are necessary in order to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access or any other unlawful forms of processing. |
| (13) | Um den Datenstrom aus der Europäischen Union zu erleichtern, ist es wünschenswert, dass Auftragsverarbeiter, die Datenverarbeitungsleistungen für mehrere für die Verarbeitung Verantwortliche in der Europäischen Union erbringen, die Möglichkeit erhalten, ungeachtet des Mitgliedstaats, von dem die Datenübermittlung ausgeht, die gleichen technischen und organisatorischen Sicherheitsmaßnahmen anzuwenden, insbesondere wenn der Datenimporteur von verschiedenen Einrichtungen des in der Europäischen Union niedergelassenen Datenexporteurs Daten zur Weiterverarbeitung erhält; in diesem Fall sollte das Recht des Mitgliedstaats Anwendung finden, in dem der Datenexporteur niedergelassen ist. | (13) | In order to facilitate data flows from the European Union, it is desirable for processors providing data-processing services to several data controllers in the European Union to be allowed to apply the same technical and organisational security measures irrespective of the Member State from which the data transfer originates, in particular in those cases where the data importer receives data for further processing from different establishments of the data exporter in the European Union, in which case the law of the designated Member State of establishment should apply. |
| (14) | Es ist angebracht, die Informationen festzulegen, die von den Parteien in dem Vertrag über die Übermittlung unbedingt mitgeteilt werden sollten. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationen im Einzelnen festzulegen, die von den Parteien zu liefern sind. Die Wirkung dieses Beschlusses sollte im Lichte der Erfahrung geprüft werden. | (14) | It is appropriate to lay down the minimum information that the parties should specify in the contract dealing with the transfer. Member States should retain the power to particularise the information the parties are required to provide. The operation of this Decision should be reviewed in the light of experience. |
| (15) | Der Datenimporteur sollte die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und entsprechend dessen Anweisungen sowie den in den Klauseln enthaltenen Pflichten verarbeiten. Ohne die vorherige schriftliche Einwilligung des Datenexporteurs sollte der Datenimporteur die personenbezogenen Daten nicht an Dritte weitergeben. Der Datenexporteur sollte den Datenimporteur während der Dauer der Datenverarbeitungsdienste anweisen, die Daten gemäß seinen Anweisungen, dem anwendbaren Datenschutzrecht und den in den Klauseln beschriebenen Pflichten zu verarbeiten. | (15) | The data importer should process the transferred personal data only on behalf of the data exporter and in accordance with his instructions and the obligations contained in the clauses. In particular the data importer should not disclose the personal data to a third party without the prior written consent of the data exporter. The data exporter should instruct the data importer throughout the duration of the data-processing services to process the data in accordance with his instructions, the applicable data protection laws and the obligations contained in the clauses. |
| (16) | Im Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer wurde die Festlegung von Standardvertragsklauseln über die anschließende Weiterübermittlung von einem Datenverarbeiter in einem Drittland an einen anderen Datenverarbeiter (Vergabe eines Unterauftrags für die Verarbeitung) empfohlen, um dem Globalisierungstrend in den Geschäftspraktiken und Gepflogenheiten bei der Datenverarbeitung Rechnung zu tragen. | (16) | The report on the implementation of Decisions on standard contractual clauses for the transfers of personal data to third countries recommended the establishment of appropriate standard contractual clauses on subsequent onwards transfers from a data processor established in a third country to another data processor (sub-processing), in order to take account of business trends and practices for more and more globalised processing activity. |
| (17) | Dieser Beschluss sollte spezifische Standardvertragsklauseln über die Vergabe eines Unterauftrags über Datenverarbeitungsdienste an in Drittländern niedergelassene Auftragsverarbeiter (Unterauftragsverarbeiter) durch einen in einem Drittland niedergelassenen Datenverarbeiter (den Datenimporteur) enthalten. Ferner sollte dieser Beschluss Bedingungen vorsehen, die bei der Vergabe von Unteraufträgen über Datenverarbeitungsdienste zu erfüllen sind, damit gewährleistet ist, dass die übermittelten personenbezogenen Daten auch bei einer Weiterübermittlung an einen Unterauftragsverarbeiter geschützt sind. | (17) | This Decision should contain specific standard contractual clauses on the sub-processing by a data processor established in a third country (the data importer) of his processing services to other processors (sub-processors) established in third countries. In addition, this Decision should set out the conditions that the sub-processing should fulfil to ensure that the personal data being transferred continue to be protected notwithstanding the subsequent transfer to a sub-processor. |
| (18) | Darüber hinaus sollte die Vergabe von Unteraufträgen über Datenverarbeitungsdienste ausschließlich Tätigkeiten betreffen, die in dem Vertrag zwischen dem Datenexporteur und dem Datenimporteur, der die Standardvertragsklauseln gemäß diesem Beschluss enthält, vereinbart worden sind, und keine anderen Verarbeitungstätigkeiten oder Verarbeitungszwecke, so dass das Zweckbindungsprinzip gemäß der Richtlinie 95/46/EG gewahrt bleibt. Sollte sich der Unterauftragsverarbeiter nicht an seine Datenverarbeitungspflichten nach dem Vertrag halten, sollte der Datenimporteur gegenüber dem Datenexporteur verantwortlich sein. Die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die außerhalb der Europäischen Union niedergelassen sind, sollte nicht die Tatsache berühren, dass für die Verarbeitungstätigkeiten das anwendbare Datenschutzrecht gilt. | (18) | In addition, the sub-processing should only consist of the operations agreed in the contract between the data exporter and the data importer incorporating the standard contractual clauses provided for in this Decision and should not refer to different processing operations or purposes so that the purpose limitation principle set out by Directive 95/46/EC is respected. Moreover, where the sub-processor fails to fulfil his own data-processing obligations under the contract, the data importer should remain liable toward the data exporter. The transfer of personal data to processors established outside the European Union should not prejudice the fact that the processing activities should be governed by the applicable data protection law. |
| (19) | Standardvertragsklauseln müssen einklagbar sein, und zwar nicht nur durch die Organisationen, die Vertragsparteien sind, sondern auch durch die betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht. | (19) | Standard contractual clauses should be enforceable not only by the organisations which are parties to the contract, but also by the data subjects, in particular where the data subjects suffer damage as a consequence of a breach of the contract. |
| (20) | Die betroffene Person sollte berechtigt sein, gegen den Datenexporteur, der für die Verarbeitung der übermittelten personenbezogenen Daten verantwortlich ist, vorzugehen und von diesem gegebenenfalls Schadenersatz zu erlangen. In Ausnahmefällen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, sollte die betroffene Person auch berechtigt sein, gegen den Datenimporteur vorzugehen und von diesem wegen Verstoßes des Datenimporteurs oder eines seiner Unterauftragsverarbeiter gegen eine der in Klausel 3 Absatz 2 genannten Pflichten gegebenenfalls Schadenersatz zu erlangen. In Ausnahmefällen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, sollte die betroffene Person zudem berechtigt sein, gegen den Unterauftragsverarbeiter vorzugehen und von diesem gegebenenfalls Schadenersatz zu erlangen. Eine solche Haftpflicht des Unterauftragsverarbeiters sollte auf dessen Verarbeitungstätigkeiten nach den Vertragsklauseln beschränkt sein. | (20) | The data subject should be entitled to take action and, where appropriate, receive compensation from the data exporter who is the data controller of the personal data transferred. Exceptionally, the data subject should also be entitled to take action, and, where appropriate, receive compensation from the data importer in those cases, arising out of a breach by the data importer or any sub-processor under it of any of its obligations referred to in the paragraph 2 of Clause 3, where the data exporter has factually disappeared or has ceased to exist in law or has become insolvent. Exceptionally, the data subject should be also entitled to take action, and, where appropriate, receive compensation from a sub-processor in those situations where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent. Such third-party liability of the sub-processor should be limited to its own processing operations under the contractual clauses. |
| (21) | Wird eine Streitigkeit zwischen einer betroffenen Person, die sich auf die Drittbegünstigtenklausel beruft, und dem Datenimporteur nicht gütlich beigelegt, sollte der Datenimporteur der betroffenen Person die Wahl lassen zwischen einem Schlichtungsverfahren oder einem Gerichtsverfahren. Inwieweit die betroffene Person tatsächlich wählen kann, hängt von dem Vorhandensein zuverlässiger und anerkannter Schlichtungsverfahren ab. Falls die Kontrollstelle des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, solche Schlichtungsverfahren vorsieht, sollte diese Möglichkeit angeboten werden. | (21) | In the event of a dispute between a data subject, who invokes the third-party beneficiary clause, and the data importer, which is not amicably resolved, the data importer should offer the data subject a choice between mediation or litigation. The extent to which the data subject will have an effective choice will depend on the availability of reliable and recognised systems of mediation. Mediation by the data protection supervisory authorities of the Member State in which the data exporter is established should be an option where they provide such a service. |
| (22) | Auf den Vertrag sollte das Recht des Mitgliedstaats angewandt werden, in dem der Datenexporteur niedergelassen ist und in dem ein Drittbegünstigter die Einhaltung des Vertrags gerichtlich durchsetzen kann. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, berechtigt sein, sich von Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen. Das gleiche Recht sollte auch für sämtliche Datenschutzbestimmungen jedes Vertrags mit einem Unterauftragsverarbeiter über die Verarbeitung personenbezogener Daten gelten, die nach den Vertragsklauseln von einem Datenexporteur an einen Datenimporteur übermittelt worden sind. | (22) | The contract should be governed by the law of the Member State in which the data exporter is established enabling a third-party beneficiary to enforce a contract. Data subjects should be allowed to be represented by associations or other bodies if they so wish and if authorised by national law. The same law should also govern the provisions on data protection of any contract with a sub-processor for the sub-processing of the processing activities of the personal data transferred by the data exporter to the data importer under the contractual clauses. |
| (23) | Da dieser Beschluss nur Anwendung findet, wenn ein in einem Drittland niedergelassener Datenverarbeiter einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit seinen Verarbeitungsdiensten beauftragt, sollte er keine Anwendung finden, wenn ein in der Europäischen Union niedergelassener Auftragsverarbeiter, der personenbezogene Daten im Auftrag eines in der Europäischen Union niedergelassenen für die Verarbeitung Verantwortlichen verarbeitet, einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit der Verarbeitung beauftragt. In diesem Fall steht es den Mitgliedstaaten frei zu entscheiden, ob sie die Tatsache berücksichtigen möchten, dass bei der Vergabe eines Verarbeitungsauftrags an einen in einem Drittland niedergelassenen Unterauftragsverarbeiter die in diesem Beschluss vorgesehenen und in Standardvertragsklauseln festzuschreibenden Grundsätze und Garantien mit dem Ziel zur Anwendung gebracht wurden, die Rechte der von der Datenübermittlung zwecks Unterauftragsverarbeitung betroffenen Person angemessen zu schützen. | (23) | Since this Decision applies only to subcontracting by a data processor established in a third country of his processing services to a sub-processor established in a third country, it should not apply to the situation by which a processor established in the European Union and performing the processing of personal data on behalf of a controller established in the European Union subcontracts his processing operations to a sub-processor established in a third country. In such situations, Member States are free whether to take account of the fact that the principles and safeguards of the standard contractual clauses set out in this Decision have been used to subcontract to a sub-processor established in a third country with the intention of providing adequate protection for the rights of data subjects whose personal data are being transferred for sub-processing operations. |
| (24) | Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die Standvertragsklauseln im Anhang zu diesem Beschluss bieten; die Stellungnahme wurde bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt. | (24) | The Working Party on the protection of individuals with regard to the processing of personal data established under Article 29 of Directive 95/46/EC has delivered an opinion on the level of protection provided under the standard contractual clauses annexed to this Decision, which has been taken into account in the preparation of this Decision. |
| (25) | Die Entscheidung 2002/16/EG sollte aufgehoben werden. | (25) | Decision 2002/16/EC should be repealed. |
| (26) | Die im vorliegenden Beschluss enthaltenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde — | (26) | The measures provided for in this Decision are in accordance with the opinion of the Committee established under Article 31 of Directive 95/46/EC, |
| HAT FOLGENDEN BESCHLUSS ERLASSEN: | HAS ADOPTED THIS DECISION: |
| Artikel 1 | Article 1 |
| Die Standardvertragsklauseln im Anhang gelten als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG. | The standard contractual clauses set out in the Annex are considered as offering adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights as required by Article 26(2) of Directive 95/46/EC. |
| Artikel 2 | Article 2 |
| Dieser Beschluss betrifft ausschließlich den Schutz, der durch die im Anhang aufgeführten Standardvertragsklauseln bei der Übermittlung personenbezogener Daten an Auftragsverarbeiter gewährleistet wird. Die Anwendung anderer nationaler Vorschriften zur Durchführung der Richtlinie 95/46/EG, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleibt davon unberührt. | This Decision concerns only the adequacy of protection provided by the standard contractual clauses set out in the Annex for the transfer of personal data to processors. It does not affect the application of other national provisions implementing Directive 95/46/EC that pertain to the processing of personal data within the Member States. |
| Der vorliegende Beschluss gilt für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an Empfänger außerhalb der Europäischen Union, die ausschließlich als Auftragsverarbeiter fungieren. | This Decision shall apply to the transfer of personal data by controllers established in the European Union to recipients established outside the territory of the European Union who act only as processors. |
| Artikel 3 | Article 3 |
| Für die Zwecke dieses Beschlusses gelten die folgenden Begriffsbestimmungen: | For the purposes of this Decision the following definitions shall apply: |
| a) | Der Begriff „besondere Datenkategorien“ bezeichnet die in Artikel 8 der Richtlinie 95/46/EG genannten Daten; | (a) | ‘special categories of data’ means the data referred to in Article 8 of Directive 95/46/EC; |
| b) | der Begriff „Kontrollstelle“ bezeichnet die Behörde gemäß Artikel 28 der Richtlinie 95/46/EG; | (b) | ‘supervisory authority’ means the authority referred to in Article 28 of Directive 95/46/EC; |
| c) | der Begriff „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt; | (c) | ‘data exporter’ means the controller who transfers the personal data; |
| d) | der Begriff „Datenimporteur“ bezeichnet den in einem Drittland niedergelassenen Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur nach dessen Anweisungen und den Vorschriften dieses Beschlusses personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung in dessen Auftrag zu verarbeiten, und der nicht dem System eines Drittlands unterliegt, das ein angemessenes Schutzniveau im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG bietet; | (d) | ‘data importer’ means the processor established in a third country who agrees to receive from the data exporter personal data intended for processing on the data exporter’s behalf after the transfer in accordance with his instructions and the terms of this Decision and who is not subject to a third country’s system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC; |
| e) | der Begriff „Unterauftragsverarbeiter“ bezeichnet den Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Standardvertragsklauseln im Anhang und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten; | (e) | ‘sub-processor’ means any processor engaged by the data importer or by any other sub-processor of the data importer and who agrees to receive from the data importer or from any other sub-processor of the data importer personal data exclusively intended for the processing activities to be carried out on behalf of the data exporter after the transfer in accordance with the data exporter’s instructions, the standard contractual clauses set out in the Annex, and the terms of the written contract for sub-processing; |
| f) | der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, für den für die Verarbeitung Verantwortlichen gelten; | (f) | ‘applicable data protection law’ means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established; |
| g) | der Ausdruck „technische und organisatorische Sicherheitsmaßnahmen“ bezeichnet Maßnahmen zum Schutz personenbezogener Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung. | (g) | ‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing. |
| Artikel 4 | Article 4 |
| (1) Unbeschadet ihrer Befugnisse, tätig zu werden, um die Einhaltung nationaler Vorschriften gemäß den Kapiteln II, III, V und VI der Richtlinie 95/46/EG zu gewährleisten, können die zuständigen Kontrollstellen in den Mitgliedstaaten ihre Befugnisse ausüben und zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung in Drittländer verbieten oder aussetzen, wenn | 1. Without prejudice to their powers to take action to ensure compliance with national provisions adopted pursuant to Chapters II, III, V and VI of Directive 95/46/EC, the competent authorities in the Member States may exercise their existing powers to prohibit or suspend data flows to third countries in order to protect individuals with regard to the processing of their personal data in cases where: |
| a) | feststeht, dass der Datenimporteur oder Unterauftragsverarbeiter nach den für ihn geltenden Rechtsvorschriften Anforderungen unterliegt, die ihn zwingen, vom anwendbaren Datenschutzrecht in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind, und dass sich diese Anforderungen wahrscheinlich sehr nachteilig auf die Garantien auswirken würden, die das anwendbare Datenschutzrecht und die Standardvertragsklauseln bieten, | (a) | it is established that the law to which the data importer or a sub-processor is subject imposes upon him requirements to derogate from the applicable data protection law which go beyond the restrictions necessary in a democratic society as provided for in Article 13 of Directive 95/46/EC where those requirements are likely to have a substantial adverse effect on the guarantees provided by the applicable data protection law and the standard contractual clauses; |
| b) | eine zuständige Behörde festgestellt hat, dass der Datenimporteur oder ein Unterauftragsverarbeiter die Standardvertragsklauseln im Anhang nicht eingehalten hat, oder | (b) | a competent authority has established that the data importer or a sub-processor has not respected the standard contractual clauses in the Annex; or |
| c) | eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Standardvertragsklauseln derzeit oder künftig nicht eingehalten werden und die Fortsetzung der Übermittlung den betroffenen Personen einen schwerwiegenden Schaden zufügen könnte. | (c) | there is a substantial likelihood that the standard contractual clauses in the Annex are not being or will not be complied with and the continuing transfer would create an imminent risk of grave harm to the data subjects. |
| (2) Das Verbot oder die Aussetzung gemäß Absatz 1 wird aufgehoben, sobald die Gründe für das Verbot oder die Aussetzung nicht mehr vorliegen. | 2. The prohibition or suspension pursuant to paragraph 1 shall be lifted as soon as the reasons for the suspension or prohibition no longer exist. |
| (3) Wenn die Mitgliedstaaten Maßnahmen gemäß den Absätzen 1 und 2 ergreifen, informieren sie unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet. | 3. When Member States adopt measures pursuant to paragraphs 1 and 2, they shall, without delay, inform the Commission which will forward the information to the other Member States. |
| Artikel 5 | Article 5 |
| Die Kommission bewertet die Umsetzung des Beschlusses drei Jahre nach seiner Erlassung anhand der verfügbaren Informationen. Sie legt dem durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss einen Bericht über ihre Erkenntnisse vor. Sie fügt sämtliche Belege bei, die für die Beurteilung der Angemessenheit der Standardvertragsklauseln des Anhangs von Bedeutung sein könnten, sowie etwaige Belege dafür, dass der Beschluss in diskriminierender Weise angewandt wird. | The Commission shall evaluate the operation of this Decision on the basis of available information three years after its adoption. It shall submit a report on the findings to the Committee established under Article 31 of Directive 95/46/EC. It shall include any evidence that could affect the evaluation concerning the adequacy of the standard contractual clauses in the Annex and any evidence that this Decision is being applied in a discriminatory way. |
| Artikel 6 | Article 6 |
| Dieser Beschluss gilt ab dem 15. Mai 2010. | This Decision shall apply from 15 May 2010. |
| Artikel 7 | Article 7 |
| (1) Die Entscheidung 2002/16/EG wird ab dem 15. Mai 2010 aufgehoben. | 1. Decision 2002/16/EC is repealed with effect from 15 May 2010. |
| (2) Ein vor dem 15. Mai 2010 gemäß der Entscheidung 2002/16/EG geschlossener Vertrag zwischen einem Datenexporteur und einem Datenimporteur bleibt so lange in Kraft, wie die Übermittlungen und die Datenverarbeitung aufgrund dieses Vertrags unverändert weiterlaufen und von diesem Beschluss erfasste personenbezogene Daten weiterhin zwischen den Vertragsparteien übermittelt werden. Beschließen die Vertragsparteien diesbezügliche Änderungen oder vergeben sie einen Unterauftrag über Verarbeitungsvorgänge, die unter den Vertrag fallen, sind sie verpflichtet, einen neuen Vertrag zu schließen, in dem die Standardvertragsklauseln im Anhang berücksichtigt sind. | 2. A contract concluded between a data exporter and a data importer pursuant to Decision 2002/16/EC before 15 May 2010 shall remain in force and effect for as long as the transfers and data-processing operations that are the subject matter of the contract remain unchanged and personal data covered by this Decision continue to be transferred between the parties. Where contracting parties decide to make changes in this regard or subcontract the processing operations that are the subject matter of the contract they shall be required to enter into a new contract which shall comply with the standard contractual clauses set out in the Annex. |
| Artikel 8 | Article 8 |
| Dieser Beschluss ist an die Mitgliedstaaten gerichtet. | This Decision is addressed to the Member States. |
| Brüssel, den 5. Februar 2010 | Done at Brussels, 5 February 2010. |
| Für die Kommission | For the Commission |
| Jacques BARROT | Jacques BARROT |
| Vizepräsident | Vice-President |
| (1) ABl. L 281 vom 23.11.1995, S. 31. | (1)
OJ L 281, 23.11.1995, p. 31. |
| (2) ABl. L 6 vom 10.1.2002, S. 52. | (2)
OJ L 6, 10.1.2002, p. 52. |
| (3) SEK(2006) 95 vom 20.1.2006. | (3) SEC(2006) 95, 20.1.2006. |
| (4) Vonseiten der Internationalen Handelskammer (ICC), des Japan Business Council in Europe (JBCE), des EU-Ausschusses der Amerikanischen Handelskammer in Belgien (Amcham) und der Federation of European Direct Marketing Associations (FEDMA). | (4) The International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce in Belgium (Amcham), and the Federation of European Direct Marketing Associations (FEDMA). |
| (5) ABl. L 181 vom 4.7.2001, S. 19. | (5)
OJ L 181, 4.7.2001, p. 19. |
| ANHANG | ANNEX |
| STANDARDVERTRAGSKLAUSELN (AUFTRAGSVERARBEITER) | STANDARD CONTRACTUAL CLAUSES (PROCESSORS) |
| gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist | For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection |
| Bezeichnung der Organisation (Datenexporteur): … | Name of the data exporting organisation: … |
| Anschrift: … | Address: … |
| Tel.: … Fax … E-Mail: … | Tel. …; fax …; e-mail: … |
| Weitere Angaben zur Identifizierung der Organisation | Other information needed to identify the organisation |
| … | … |
| („Datenexporteur“) | (the data exporter) |
| und | And |
| Bezeichnung der Organisation (Datenimporteur): … | Name of the data importing organisation: … |
| Anschrift: … | Address: … |
| Tel.: … Fax … E-Mail: … | Tel. …; fax …; e-mail: … |
| Weitere Angaben zur Identifizierung der Organisation: | Other information needed to identify the organisation: |
| … | … |
| („Datenimporteur“) | (the data importer) |
| (die „Partei“, wenn eine dieser Organisationen gemeint ist, die „Parteien“, wenn beide gemeint sind) | each a ‘party’; together ‘the parties’, |
| VEREINBAREN folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten. | HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1. |
| Klausel 1 | Clause 1 |
| Begriffsbestimmungen | Definitions |
| Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: | For the purposes of the Clauses: |
| a) | die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1); | (a) | ‘personal data’, ‘special categories of data’, ‘process/processing’, ‘controller’, ‘processor’, ‘data subject’ and ‘supervisory authority’ shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1); |
| b) | der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt; | (b) | ‘the data exporter’ means the controller who transfers the personal data; |
| c) | der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; | (c) | ‘the data importer’ means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country’s system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC; |
| d) | der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten; | (d) | ‘the sub-processor’ means any processor engaged by the data importer or by any other sub-processor of the data importer who agrees to receive from the data importer or from any other sub-processor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract; |
| e) | der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind; | (e) | ‘the applicable data protection law’ means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established; |
| f) | die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen. | (f) | ‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing. |
| Klausel 2 | Clause 2 |
| Einzelheiten der Übermittlung | Details of the transfer |
| Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist. | The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses. |
| Klausel 3 | Clause 3 |
| Drittbegünstigtenklausel | Third-party beneficiary clause |
| (1) | Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen. | 1. | The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary. |
| (2) | Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. | 2. | The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. |
| (3) | Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. | 3. | The data subject can enforce against the sub-processor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses. |
| (4) | Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird. | 4. | The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law. |
| Klausel 4 | Clause 4 |
| Pflichten des Datenexporteurs | Obligations of the data exporter |
| Der Datenexporteur erklärt sich bereit und garantiert, dass: | The data exporter agrees and warrants: |
| a) | die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt; | (a) | that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State; |
| b) | er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten; | (b) | that it has instructed and throughout the duration of the personal data-processing services will instruct the data importer to process the personal data transferred only on the data exporter’s behalf and in accordance with the applicable data protection law and the Clauses; |
| c) | der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen; | (c) | that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract; |
| d) | die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind; | (d) | that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation; |
| e) | er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt; | (e) | that it will ensure compliance with the security measures; |
| f) | die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet; | (f) | that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC; |
| g) | er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben; | (g) | to forward any notification received from the data importer or any sub-processor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension; |
| h) | er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; | (h) | to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information; |
| i) | bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und | (i) | that, in the event of sub-processing, the processing activity is carried out in accordance with Clause 11 by a sub-processor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and |
| j) | er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt. | (j) | that it will ensure compliance with Clause 4(a) to (i). |
| Klausel 5 | Clause 5 |
| Pflichten des Datenimporteurs (2) | Obligations of the data importer
(2) |
| Der Datenimporteur erklärt sich bereit und garantiert, dass: | The data importer agrees and warrants: |
| a) | er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; | (a) | to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract; |
| b) | er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; | (b) | that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract; |
| c) | er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat; | (c) | that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred; |
| d) | er den Datenexporteur unverzüglich informiert über | i) | alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen; | ii) | jeden zufälligen oder unberechtigten Zugang und | iii) | alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt; | (d) | that it will promptly notify the data exporter about: | (i) | any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation; | (ii) | any accidental or unauthorised access; and | (iii) | any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so; |
| e) | er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt; | (e) | to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred; |
| f) | er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind; | (f) | at the request of the data exporter to submit its data-processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority; |
| g) | er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann; | (g) | to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter; |
| h) | er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat; | (h) | that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent; |
| i) | der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt; | (i) | that the processing services by the sub-processor will be carried out in accordance with Clause 11; |
| j) | er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat. | (j) | to send promptly a copy of any sub-processor agreement it concludes under the Clauses to the data exporter. |
| Klausel 6 | Clause 6 |
| Haftung | Liability |
| (1) | Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen. | 1. | The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or sub-processor is entitled to receive compensation from the data exporter for the damage suffered. |
| (2) | Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. | Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft. | 2. | If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his sub-processor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity. | The data importer may not rely on a breach by a sub-processor of its obligations in order to avoid its own liabilities. |
| (3) | Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt. | 3. | If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the sub-processor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the sub-processor agrees that the data subject may issue a claim against the data sub-processor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the sub-processor shall be limited to its own processing operations under the Clauses. |
| Klausel 7 | Clause 7 |
| Schlichtungsverfahren und Gerichtsstand | Mediation and jurisdiction |
| (1) | Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder: | a) | die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder | b) | die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen. | 1. | The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject: | (a) | to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority; | (b) | to refer the dispute to the courts in the Member State in which the data exporter is established. |
| (2) | Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt. | 2. | The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law. |
| Klausel 8 | Clause 8 |
| Zusammenarbeit mit Kontrollstellen | Cooperation with supervisory authorities |
| (1) | Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht. | 1. | The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law. |
| (2) | Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste. | 2. | The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any sub-processor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law. |
| (3) | Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen. | 3. | The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any sub-processor preventing the conduct of an audit of the data importer, or any sub-processor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5(b). |
| Klausel 9 | Clause 9 |
| Anwendbares Recht | Governing law |
| Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: … | The Clauses shall be governed by the law of the Member State in which the data exporter is established, namely … |
| Klausel 10 | Clause 10 |
| Änderung des Vertrags | Variation of the contract |
| Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen. | The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause. |
| Klausel 11 | Clause 11 |
| Vergabe eines Unterauftrags | Sub-processing |
| (1) | Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss (3). Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich. | 1. | The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the sub-processor which imposes the same obligations on the sub-processor as are imposed on the data importer under the Clauses (3). Where the sub-processor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the sub-processor’s obligations under such agreement. |
| (2) | Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. | 2. | The prior written contract between the data importer and the sub-processor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses. |
| (3) | Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: … | 3. | The provisions relating to data protection aspects for sub-processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established, namely … |
| (4) | Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt. | 4. | The data exporter shall keep a list of sub-processing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5(j), which shall be updated at least once a year. The list shall be available to the data exporter’s data protection supervisory authority. |
| Klausel 12 | Clause 12 |
| Pflichten nach Beendigung der Datenverarbeitungsdienste | Obligation after the termination of personal data-processing services |
| (1) | Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet. | 1. | The parties agree that on the termination of the provision of data-processing services, the data importer and the sub-processor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore. |
| (2) | Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen. | 2. | The data importer and the sub-processor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data-processing facilities for an audit of the measures referred to in paragraph 1. |
| Für den Datenexporteur: | On behalf of the data exporter: |
| Name (ausgeschrieben): … | Name (written out in full): … |
| Funktion: … | Position: … |
| Anschrift: … | Address: … |
| Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen: | Other information necessary in order for the contract to be binding (if any): |
| Unterschrift … | Signature … |
| Für den Datenimporteur: | On behalf of the data importer: |
| Name (ausgeschrieben): … | Name (written out in full): … |
| Funktion: … | Position: … |
| Anschrift: … | Address: … |
| Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen: | Other information necessary in order for the contract to be binding (if any): |
| Unterschrift … | Signature … |
| (1) Die Parteien können die Begriffsbestimmungen der Richtlinie 95/46/EG in diese Klausel aufnehmen, wenn nach ihrem Dafürhalten der Vertrag für sich allein stehen sollte. | (1) Parties may reproduce definitions and meanings contained in Directive 95/46/EC within this Clause if they considered it better for the contract to stand alone. |
| (2) Zwingende Erfordernisse des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist, widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staates, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche. | (2) Mandatory requirements of the national legislation applicable to the data importer which do not go beyond what is necessary in a democratic society on the basis of one of the interests listed in Article 13(1) of Directive 95/46/EC, that is, if they constitute a necessary measure to safeguard national security, defence, public security, the prevention, investigation, detection and prosecution of criminal offences or of breaches of ethics for the regulated professions, an important economic or financial interest of the State or the protection of the data subject or the rights and freedoms of others, are not in contradiction with the standard contractual clauses. Some examples of such mandatory requirements which do not go beyond what is necessary in a democratic society are, inter alia, internationally recognised sanctions, tax-reporting requirements or anti-money-laundering reporting requirements. |
| (3) Dies kann dadurch gewährleistet werden, dass der Unterauftragsverarbeiter den nach diesem Beschluss geschlossenen Vertrag zwischen dem Datenexporteur und dem Datenimporteur mitunterzeichnet. | (3) This requirement may be satisfied by the sub-processor co-signing the contract entered into between the data exporter and the data importer under this Decision. |
| Anhang 1 | Appendix 1 |
| zu den Standardvertragsklauseln | to the Standard Contractual Clauses |
| Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden | This Appendix forms part of the Clauses and must be completed and signed by the parties |
| Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen | The Member States may complete or specify, according to their national procedures, any additional necessary information to be contained in this Appendix |
| Datenexporteur | Data exporter |
| Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): | The data exporter is (please specify briefly your activities relevant to the transfer): |
| … | … |
| … | … |
| … | … |
| Datenimporteur | Data importer |
| Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind): | The data importer is (please specify briefly activities relevant to the transfer): |
| … | … |
| … | … |
| … | … |
| Betroffene Personen | Data subjects |
| Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben): | The personal data transferred concern the following categories of data subjects (please specify): |
| … | … |
| … | … |
| … | … |
| Kategorien von Daten | Categories of data |
| Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben): | The personal data transferred concern the following categories of data (please specify): |
| … | … |
| … | … |
| … | … |
| Besondere Datenkategorien (falls zutreffend) | Special categories of data (if appropriate) |
| Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben): | The personal data transferred concern the following special categories of data (please specify): |
| … | … |
| … | … |
| … | … |
| Verarbeitung | Processing operations |
| Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben): | The personal data transferred will be subject to the following basic processing activities (please specify): |
| … | … |
| … | … |
| … | … |
| | DATENEXPORTEUR | Name: … | Unterschrift des/der Bevollmächtigten: … | | DATA EXPORTER | Name: … | Authorised Signature … |
| | DATENIMPORTEUR | Name: … | Unterschrift des/der Bevollmächtigten: … | | DATA IMPORTER | Name: … | Authorised Signature … |
| Anhang 2 | Appendix 2 |
| zu den Standardvertragsklauseln | to the Standard Contractual Clauses |
| Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden | This Appendix forms part of the Clauses and must be completed and signed by the parties. |
| Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt): | Description of the technical and organisational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c) (or document/legislation attached): |
| … | … |
| … | … |
| … | … |
| … | … |
| BEISPIEL FÜR EINE ENTSCHÄDIGUNGSKLAUSEL (FAKULTATIV) | ILLUSTRATIVE INDEMNIFICATION CLAUSE (OPTIONAL) |
| Haftung | Liability |
| Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist. | The parties agree that if one party is held liable for a violation of the clauses committed by the other party, the latter will, to the extent to which it is liable, indemnify the first party for any cost, charge, damages, expenses or loss it has incurred. |
| Die Entschädigung ist abhängig davon, dass | Indemnification is contingent upon: |
| a) | der Datenexporteur den Datenimporteur unverzüglich von einem Schadenersatzanspruch in Kenntnis setzt und | (a) | the data exporter promptly notifying the data importer of a claim; and |
| b) | der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadenersatzsache bzw. der Einigung über die Höhe des Schadenersatzes zusammenzuarbeiten (1). | (b) | the data importer being given the possibility to cooperate with the data exporter in the defence and settlement of the claim (1). |
| (1) Der Absatz über die Haftung ist fakultativ. | (1) Paragraph on liabilities is optional. |
