DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [1], insbesondere auf Artikel 26 Absatz 4,

nach Anhörung des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet und vor der Übermittlung die aufgrund der anderen Bestimmungen der Richtlinie erlassenen Vorschriften der Mitgliedstaaten beachtet werden.

(2) Artikel 26 Absatz 2 der Richtlinie 95/46/EG gestattet jedoch den Mitgliedstaaten, die Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, zu genehmigen, sofern bestimmte Garantien vorliegen. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauseln ergeben.

(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Reihe von Datenübermittlungen eine Rolle spielen. Die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht.

(4) Standardvertragsklauseln sollten sich nur auf den Datenschutz beziehen. Dem Datenexporteur und dem Datenimporteur ist es daher freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, die sie für vertragsrelevant halten, sofern diese nicht im Widerspruch zu den Standardvertragsklauseln stehen.

(5) Dieser Beschluss sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Dieser Beschluss sollte lediglich die Wirkung haben, dass die Mitgliedstaaten die darin aufgeführten Standardvertragsklauseln als angemessene Garantien anerkennen müssen; sie sollte daher andere Vertragsklauseln unberührt lassen.

(6) Die Entscheidung 2002/16/EG der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG [2] soll einem in der Europäischen Union niedergelassenen für die Datenverarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, das kein angemessenes Datenschutzniveau gewährleistet, erleichtern.

(7) Seit Erlass der Entscheidung 2002/16/EG wurden viele Erfahrungen gesammelt. Der Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer [3] zeigt darüber hinaus, dass ein wachsendes Interesse an solchen Standardvertragsklauseln für die internationale Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, besteht. Zudem wurden Vorschläge zur Aktualisierung der in der Entscheidung 2002/16/EG aufgeführten Standardvertragsklauseln gemacht, um der rasch expandierenden Datenverarbeitungstätigkeit weltweit Rechnung zu tragen und Aspekte zu erfassen, die in der Entscheidung bisher nicht geregelt worden sind [4].

(8) Dieser Beschluss sollte sich darauf beschränken festzulegen, dass die aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Europäischen Union niedergelassen ist, verwendet werden können, um angemessene Garantien im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, zu gewährleisten.

(9) Dieser Beschluss sollte daher nicht für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an für die Verarbeitung Verantwortliche außerhalb der Europäischen Union gelten, die in den Anwendungsbereich der Kommissionsentscheidung 2001/497/EG vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG fallen [5].

(10) Mit diesem Beschluss sollte die Verpflichtung gemäß Artikel 17 Absatz 3 der Richtlinie 95/46/EG umgesetzt werden; sie sollte den Inhalt eines solchen Vertrags beziehungsweise Rechtsakts unberührt lassen. Einige der Standardvertragsklauseln, vor allem diejenigen bezüglich der Pflichten des Datenexporteurs, sollten jedoch übernommen werden, um die Bestimmungen zu verdeutlichen, die in einen Vertrag zwischen einem für die Datenverarbeitung Verantwortlichen und einem Auftragsverarbeiter aufgenommen werden können.

(11) Die Kontrollstellen der Mitgliedstaaten spielen eine Schlüsselrolle in diesem Vertragsmechanismus, weil sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In Ausnahmefällen, in denen Datenexporteure es ablehnen oder nicht in der Lage sind, dem Datenimporteur angemessene Anweisungen zu geben, und in denen eine hohe Wahrscheinlichkeit besteht, dass den betroffenen Personen ein schwerwiegender Schaden entsteht, sollten die Standardvertragsklauseln es den Kontrollstellen ermöglichen, Datenimporteure und Unterauftragsverarbeiter einer Prüfung zu unterziehen und gegebenenfalls Entscheidungen zu treffen, denen Datenimporteure und Unterauftragsverarbeiter Folge leisten müssen. Die Kontrollstellen sollten befugt sein, eine Datenübermittlung oder eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder zurückzuhalten; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen.

(12) Standardvertragsklauseln sollten die technischen und organisatorischen Sicherheitsmaßnahmen vorsehen, die Datenverarbeiter in einem Drittland ohne angemessenes Schutzniveau anwenden sollten, um einen Schutz zu gewährleisten, der den durch die Verarbeitung entstehenden Risiken und der Art der zu schützenden Daten angemessen ist. Die Parteien sollten diejenigen technischen und organisatorischen Maßnahmen im Vertrag vorsehen, die unter Berücksichtigung des anwendbaren Datenschutzrechts, des Stands der Technik und der bei ihrer Durchführung entstehenden Kosten erforderlich sind, um personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen.

(13) Um den Datenstrom aus der Europäischen Union zu erleichtern, ist es wünschenswert, dass Auftragsverarbeiter, die Datenverarbeitungsleistungen für mehrere für die Verarbeitung Verantwortliche in der Europäischen Union erbringen, die Möglichkeit erhalten, ungeachtet des Mitgliedstaats, von dem die Datenübermittlung ausgeht, die gleichen technischen und organisatorischen Sicherheitsmaßnahmen anzuwenden, insbesondere wenn der Datenimporteur von verschiedenen Einrichtungen des in der Europäischen Union niedergelassenen Datenexporteurs Daten zur Weiterverarbeitung erhält; in diesem Fall sollte das Recht des Mitgliedstaats Anwendung finden, in dem der Datenexporteur niedergelassen ist.

(14) Es ist angebracht, die Informationen festzulegen, die von den Parteien in dem Vertrag über die Übermittlung unbedingt mitgeteilt werden sollten. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationen im Einzelnen festzulegen, die von den Parteien zu liefern sind. Die Wirkung dieses Beschlusses sollte im Lichte der Erfahrung geprüft werden.

(15) Der Datenimporteur sollte die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und entsprechend dessen Anweisungen sowie den in den Klauseln enthaltenen Pflichten verarbeiten. Ohne die vorherige schriftliche Einwilligung des Datenexporteurs sollte der Datenimporteur die personenbezogenen Daten nicht an Dritte weitergeben. Der Datenexporteur sollte den Datenimporteur während der Dauer der Datenverarbeitungsdienste anweisen, die Daten gemäß seinen Anweisungen, dem anwendbaren Datenschutzrecht und den in den Klauseln beschriebenen Pflichten zu verarbeiten.

(16) Im Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer wurde die Festlegung von Standardvertragsklauseln über die anschließende Weiterübermittlung von einem Datenverarbeiter in einem Drittland an einen anderen Datenverarbeiter (Vergabe eines Unterauftrags für die Verarbeitung) empfohlen, um dem Globalisierungstrend in den Geschäftspraktiken und Gepflogenheiten bei der Datenverarbeitung Rechnung zu tragen.

(17) Dieser Beschluss sollte spezifische Standardvertragsklauseln über die Vergabe eines Unterauftrags über Datenverarbeitungsdienste an in Drittländern niedergelassene Auftragsverarbeiter (Unterauftragsverarbeiter) durch einen in einem Drittland niedergelassenen Datenverarbeiter (den Datenimporteur) enthalten. Ferner sollte dieser Beschluss Bedingungen vorsehen, die bei der Vergabe von Unteraufträgen über Datenverarbeitungsdienste zu erfüllen sind, damit gewährleistet ist, dass die übermittelten personenbezogenen Daten auch bei einer Weiterübermittlung an einen Unterauftragsverarbeiter geschützt sind.

(18) Darüber hinaus sollte die Vergabe von Unteraufträgen über Datenverarbeitungsdienste ausschließlich Tätigkeiten betreffen, die in dem Vertrag zwischen dem Datenexporteur und dem Datenimporteur, der die Standardvertragsklauseln gemäß diesem Beschluss enthält, vereinbart worden sind, und keine anderen Verarbeitungstätigkeiten oder Verarbeitungszwecke, so dass das Zweckbindungsprinzip gemäß der Richtlinie 95/46/EG gewahrt bleibt. Sollte sich der Unterauftragsverarbeiter nicht an seine Datenverarbeitungspflichten nach dem Vertrag halten, sollte der Datenimporteur gegenüber dem Datenexporteur verantwortlich sein. Die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die außerhalb der Europäischen Union niedergelassen sind, sollte nicht die Tatsache berühren, dass für die Verarbeitungstätigkeiten das anwendbare Datenschutzrecht gilt.

(19) Standardvertragsklauseln müssen einklagbar sein, und zwar nicht nur durch die Organisationen, die Vertragsparteien sind, sondern auch durch die betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht.

(20) Die betroffene Person sollte berechtigt sein, gegen den Datenexporteur, der für die Verarbeitung der übermittelten personenbezogenen Daten verantwortlich ist, vorzugehen und von diesem gegebenenfalls Schadenersatz zu erlangen. In Ausnahmefällen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, sollte die betroffene Person auch berechtigt sein, gegen den Datenimporteur vorzugehen und von diesem wegen Verstoßes des Datenimporteurs oder eines seiner Unterauftragsverarbeiter gegen eine der in Klausel 3 Absatz 2 genannten Pflichten gegebenenfalls Schadenersatz zu erlangen. In Ausnahmefällen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, sollte die betroffene Person zudem berechtigt sein, gegen den Unterauftragsverarbeiter vorzugehen und von diesem gegebenenfalls Schadenersatz zu erlangen. Eine solche Haftpflicht des Unterauftragsverarbeiters sollte auf dessen Verarbeitungstätigkeiten nach den Vertragsklauseln beschränkt sein.

(21) Wird eine Streitigkeit zwischen einer betroffenen Person, die sich auf die Drittbegünstigtenklausel beruft, und dem Datenimporteur nicht gütlich beigelegt, sollte der Datenimporteur der betroffenen Person die Wahl lassen zwischen einem Schlichtungsverfahren oder einem Gerichtsverfahren. Inwieweit die betroffene Person tatsächlich wählen kann, hängt von dem Vorhandensein zuverlässiger und anerkannter Schlichtungsverfahren ab. Falls die Kontrollstelle des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, solche Schlichtungsverfahren vorsieht, sollte diese Möglichkeit angeboten werden.

(22) Auf den Vertrag sollte das Recht des Mitgliedstaats angewandt werden, in dem der Datenexporteur niedergelassen ist und in dem ein Drittbegünstigter die Einhaltung des Vertrags gerichtlich durchsetzen kann. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, berechtigt sein, sich von Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen. Das gleiche Recht sollte auch für sämtliche Datenschutzbestimmungen jedes Vertrags mit einem Unterauftragsverarbeiter über die Verarbeitung personenbezogener Daten gelten, die nach den Vertragsklauseln von einem Datenexporteur an einen Datenimporteur übermittelt worden sind.

(23) Da dieser Beschluss nur Anwendung findet, wenn ein in einem Drittland niedergelassener Datenverarbeiter einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit seinen Verarbeitungsdiensten beauftragt, sollte er keine Anwendung finden, wenn ein in der Europäischen Union niedergelassener Auftragsverarbeiter, der personenbezogene Daten im Auftrag eines in der Europäischen Union niedergelassenen für die Verarbeitung Verantwortlichen verarbeitet, einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit der Verarbeitung beauftragt. In diesem Fall steht es den Mitgliedstaaten frei zu entscheiden, ob sie die Tatsache berücksichtigen möchten, dass bei der Vergabe eines Verarbeitungsauftrags an einen in einem Drittland niedergelassenen Unterauftragsverarbeiter die in diesem Beschluss vorgesehenen und in Standardvertragsklauseln festzuschreibenden Grundsätze und Garantien mit dem Ziel zur Anwendung gebracht wurden, die Rechte der von der Datenübermittlung zwecks Unterauftragsverarbeitung betroffenen Person angemessen zu schützen.

(24) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die Standvertragsklauseln im Anhang zu diesem Beschluss bieten; die Stellungnahme wurde bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt.

(25) Die Entscheidung 2002/16/EG sollte aufgehoben werden.

(26) Die im vorliegenden Beschluss enthaltenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde —

HAT FOLGENDEN BESCHLUSS ERLASSEN: