E 2001/497/EG

Entscheidung der Kommission hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (E 2001/497/EG)

v. 15.6.2001 (ABl Nr. L 181 S. 19) mit späteren Änderungen
Nichtamtliche Fassung

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [1], insbesondere auf Artikel 26 Absatz 4,

in Erwägung nachstehender Gründe:

(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Datenschutzniveau gewährleistet und Gesetze des Mitgliedstaates, die den anderen Bestimmungen der Richtlinie entsprechen, vor der Übermittlung berücksichtigt werden.

(2) Artikel 26 Absatz 2 der Richtlinie 95/46/EG sieht jedoch vor, dass die Mitgliedstaaten sofern bestimmte Garantien vorliegen, eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, genehmigen können. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauseln ergeben.

(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten [2] hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht [3].

(4) Artikel 26 Absatz 2 der Richtlinie 95/46/EG, der einer Organisation, die Daten in Drittländer übermitteln will. Flexibilität bietet, und Artikel 26 Absatz 4 mit dem Hinweis auf Standardvertragsklauseln sind wesentlich, um den notwendigen Strom personenbezogener Daten zwischen der Europäischen Union und Drittländern ohne unnötige Belastung der Wirtschaftsakteure aufrechtzuerhalten. Beide Bestimmungen sind von besonderer Bedeutung angesichts der Tatsache, dass die Kommission kurz- oder mittelfristig wohl nur für eine begrenzte Zahl von Ländern die Angemessenheit des Schutzniveaus nach Artikel 25 Absatz 6 wird feststellen können.

(5) Die Standardvertragsklauseln sind neben Artikel 25 und Artikel 26 Absätze 1 und 2 nur eine von mehreren Möglichkeiten im Rahmen der Richtlinie 95/46/EG für die rechtmäßige Übermittlung personenbezogener Daten in Drittländer; für die Organisationen wird es erheblich einfacher, personenbezogene Daten in Drittländer zu übermitteln, wenn sie die Standardvertragsklauseln in den Vertrag aufnehmen. Sie beziehen sich jedoch nur auf den Datenschutz. Datenexporteur und Datenimporteur ist es freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, z. B. Klauseln über gegenseitige Unterstützung bei Streitigkeiten mit einer betroffenen Person oder einer Kontrollstelle, die die Parteien für vertragsrelevant halten, sofern sie den Standardvertragsklauseln nicht widersprechen.

(6) Diese Entscheidung sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Die Umstände einer bestimmten Übermittlung können es erforderlich machen, dass die für die Datenverarbeitung Verantwortlichen andere Garantien im Sinne von Artikel 26 Absatz 2 leisten müssen. Diese Entscheidung hat lediglich die Wirkung, dass die Mitgliedstaaten die hier beschriebenen Vertragsklauseln als ausreichende Garantien anerkennen müssen, und lässt daher andere Vertragsklauseln unberührt.

(7) Die Entscheidung beschränkt sich darauf festzulegen, dass die im Anhang aufgeführten Vertragsklauseln von einem für die Datenverarbeitung Verantwortlichen, der in der Gemeinschaft ansässig ist, angewandt werden können, um ausreichende Garantien nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG zu gewährleisten. Die Übermittlung personenbezogener Daten in Drittländer ist eine Verarbeitung in einem Mitgliedstaat, für deren Rechtmäßigkeit nationales Recht maßgeblich ist; die Kontrollstellen der Mitgliedstaaten sollten weiterhin dafür zuständig sein, im Rahmen ihrer Aufgaben und Befugnisse nach Artikel 28 der Richtlinie 95/46/EG zu prüfen, ob der Datenexporteur die nationalen Vorschriften zur Umsetzung der Bestimmungen der Richtlinie 95/46/EG einhält, insbesondere der spezifischen Bestimmungen über die Informationspflicht nach dieser Richtlinie.

(8) Diese Entscheidung betrifft nicht die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet der Gemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden. Diese Übermittlungen erfordern nicht die gleichen Garantien, weil der Auftragsverarbeiter ausschließlich im Auftrag des für die Verarbeitung Verantwortlichen tätig ist. Die Kommission beabsichtigt diese Art der Übermittlung in einer späteren Entscheidung zu behandeln.

(9) Es sollten die Mindestinformationen festgelegt werden, die von den Parteien im Übermittlungsvertrag bereitgestellt werden müssen. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationen im Einzelnen zu benennen, die von den Parteien zu liefern sind. Diese Entscheidung wird im Lichte der Erfahrung überprüft.

(10) Die Kommission wird zukünftig ferner erwägen, ob Standardvertragsklauseln, die von Industrieverbänden oder anderen interessierten Parteien vorgelegt werden, ausreichende Garantien im Sinne der Richtlinie 95/46/EG bieten.

(11) Zwar sollte es den Parteien freistehen, zu vereinbaren, welche Datenschutzregeln von dem Datenimporteur zu beachten sind, doch sollten bestimmte Datenschutzgrundsätze in allen Fällen anzuwenden sein.

(12) Daten sollten nur für angegebene Zwecke verarbeitet und anschließend verwendet oder übermittelt werden und sollten nicht länger als notwendig aufbewahrt werden.

(13) Gemäß Artikel 12 der Richtlinie 95/46/EG sollte die betroffene Person Anspruch auf alle sie betreffenden Daten und je nach Fall auf Berichtigung, Löschung und Sperrung bestimmter Daten haben.

(14) Die Weiterübermittlung von personenbezogenen Daten an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, sollte nur unter bestimmten Voraussetzungen erlaubt werden, die insbesondere sicherstellen, dass die betroffenen Personen angemessen informiert werden und die Möglichkeit haben zu widersprechen oder in bestimmten Fällen ihre Zustimmung zu versagen.

(15) Neben der Prüfung, ob Übermittlungen in Drittländer nationalem Recht entsprechen, sollten die Kontrollstellen eine Schlüsselrolle in diesem Vertragsmechanismus übernehmen, indem sie sicherstellen, dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. In bestimmten Fällen sollten die Kontrollstellen der Mitgliedstaaten weiterhin befugt sein, eine Datenübermittlung beziehungsweise eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauseln zu untersagen oder auszusetzen; dies gilt für jene Ausnahmefälle, für die feststeht, dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantien auswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen.

(16) Die Standardvertragsklauseln sollten durchsetzbar sein, und zwar nicht nur von den Organisationen, die Vertragsparteien sind, sondern auch von den betroffenen Personen, insbesondere wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht.

(17) Auf den Vertrag sollte das Recht des Mitgliedstaates anwendbar sein, in dem der Datenexporteur ansässig ist, das es einem Drittbegünstigten ermöglicht, den Vertrag durchzusetzen. Betroffene Personen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, das Recht haben, sich von Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen.

(18) Um die Schwierigkeiten der betroffenen Personen zu verringern, ihre Rechte nach diesen Standardvertragsklauseln geltend zu machen, sollten der Datenexporteur und der Datenimporteur gesamtschuldnerisch für Schäden aufgrund jeglicher Verletzung der Bestimmungen haftbar sein, die der Drittbegünstigtenklausel unterliegen.

(19) Die betroffene Person hat das Recht, wegen Schäden, die durch Handlungen verursacht werden, die mit den in den Standardvertragsklauseln enthaltenen Verpflichtungen unvereinbar sind, gegen den Datenexporteur, den Datenimporteur oder beide gerichtlich vorzugehen und Schadensersatz zu erlangen; beide Parteien können von dieser Haftung ausgenommen werden, wenn sie beweisen, dass keiner von ihnen für diese Schäden verantwortlich ist.

(20) Die gesamtschuldnerische Haftung betrifft nicht die Bestimmungen, die nicht unter die Drittbegünstigtenklausel fallen, und muss nicht dazu führen, dass eine Partei für Schäden aus der unrechtmäßigen Verarbeitung durch die andere Partei aufkommt. Die Bestimmung über einen gegenseitigen Ausgleichsanspruch zwischen den Parteien ist nicht Voraussetzung für die Angemessenheit des Schutzniveaus für die betroffenen Personen, und die Parteien können diese Bestimmung streichen. Sie wurde aber im Interesse der Klarheit in die Standardvertragsklauseln aufgenommen, und um es den Parteien zu ersparen, im Einzelfall Ausgleichsklauseln auszuhandeln.

(21) Wird eine Auseinandersetzung der Parteien mit einer betroffenen Person, die sich auf die Drittbegünstigtenklausel beruft, nicht gütlich beigelegt, verpflichten sich die Parteien, der betroffenen Person die Wahlmöglichkeiten zwischen Schlichtung, Schieds- und Gerichtsverfahren anzubieten. Das Ausmaß der tatsächlichen Wahlmöglichkeiten der betroffenen Person hängt von dem Vorhandensein zuverlässiger und anerkannter Schlichtungs- und Schiedsgerichtssysteme ab. Schlichtung durch die Kontrollstellen eines Mitgliedstaats sollte eine Möglichkeit sein, sofern diese Stellen solche Leistungen erbringen.

(22) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveau abgegeben, das die der Entscheidung beiliegenden Standvertragsklauseln bieten; die Stellungnahme wurde bei der Erarbeitung der vorliegenden Entscheidung [4] berücksichtigt.

(23) Die in der vorliegenden Entscheidung enthaltenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde —

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Änderungsdokumentation: Die Entscheidung der Kommission hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG v. 15.6.2001 (ABl Nr. L 181 S. 19) ist geändert worden durch Art. 1 Entscheidung der Kommission zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer v. (ABl Nr. L 385 S. 74) ; Art. 1 Durchführungsbeschluss (EU) 2016/2297 zur Änderung der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. (ABl Nr. L 344 S. 100).

Fundstelle(n):
YAAAG-90634

1Amtl. Anm.: ABl L 281 vom , S. 31.

2Amtl. Anm.: Die Internetadresse der Arbeitsgruppe lautet: http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

3Amtl. Anm.: WP4 (5020/97) „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer — Mögliche Ansätze für eine Bewertung der Angemessenheit“; Diskussionsgrundlage, von der Arbeitsgruppe angenommen am .
WP7 (5057/97) „Beurteilung der Selbstkontrolle der Wirtschaft: wann ist sie ein sinnvoller Beitrag zum Niveau des Datenschutzes in einem Drittland?“ Arbeitsunterlage, von der Arbeitsgruppe angenommen am .
WP9(3005/9 8) „Erste Überlegungen zur Verwendung vertraglicher Bestimmungen im Rahmen der Übermittlungen personenbezogener Daten an Drittländer“, Arbeitsunterlage von der Arbeitsgruppe angenommen am .
WP12: „Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU“; Arbeitsunterlage, von der Gruppe angenommen am , verfügbar auf der Website der Europäischen Kommission: „europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/de“.

4Amtl. Anm.: Stellungnahme Nr. 1/2001, angenommen von der Gruppe am (GD MARKT 5102/00 WP 38), verfügbar auf der „Europa“-Site der Europäischen Kommission.