Stan­dard­ver­trags­klau­seln für die Daten­ver­ar­bei­tung im Aus­land

Die Euro­päi­sche Kom­mis­si­on hat einen Beschluss zur Ände­rung der "Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter in Dritt­län­dern" gefasst. Mit der Ände­rung der Stan­dard­ver­trags­klau­sel soll der Aus­wei­tung von Daten­ver­ar­bei­tungs­tä­tig­kei­ten und neu­en Geschäfts­mo­del­len für die inter­na­tio­na­le Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Rech­nung getra­gen wer­den. Der Beschluss ent­hält beson­de­re Bestim­mun­gen, wonach unter bestimm­ten Bedin­gun­gen sowie unter Wah­rung des Schut­zes per­so­nen­be­zo­ge­ner Daten die Aus­la­ge­rung von Ver­ar­bei­tungs­tä­tig­kei­ten an Unter­auf­trag­neh­mer zuläs­sig ist .

Stan­dard­ver­trags­klau­seln für die Daten­ver­ar­bei­tung im Aus­land

Die Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter in Dritt­län­dern wur­den durch die Ent­schei­dung 2002/​16/​EG der Kom­mis­si­on geneh­migt, damit Unter­neh­men bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter außer­halb der Euro­päi­schen Uni­on bzw. des Euro­päi­schen Wirt­schafts­raums ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­ten kön­nen.

In dem jetzt neu gefass­ten Beschluss wer­den die Emp­feh­lun­gen aus dem Bericht über die Durch­füh­rung der Ent­schei­dun­gen über Stan­dard­ver­trags­klau­seln sowie Vor­schlä­ge ver­schie­de­ner Betei­lig­ter berück­sich­tigt . Danach muss ein Daten­im­por­teur (Daten­ver­ar­bei­ter), der im Auf­trag eines in der EU ansäs­si­gen Daten­ex­por­teurs (für die Daten­ver­ar­bei­tung Ver­ant­wort­li­chen) durch­zu­füh­ren­de Ver­ar­bei­tun­gen wei­ter­ver­ge­ben möch­te, vor­her die schrift­li­che Ein­wil­li­gung des Daten­ex­por­teurs ein­ho­len. Dem Unter­auf­trags­ver­ar­bei­ter wer­den in einer schrift­li­chen Ver­ein­ba­rung die glei­chen Pflich­ten auf­er­legt, die der Daten­im­por­teur gemäß den Stan­dard­ver­trags­klau­seln erfül­len muss. Kommt der Unter­auf­trags­ver­ar­bei­ter sei­nen Daten­schutz­pflich­ten nicht nach, bleibt der Daten­im­por­teur gegen­über dem Daten­ex­por­teur für die Erfül­lung der Pflich­ten des Unter­auf­trags­ver­ar­bei­ters unein­ge­schränkt ver­ant­wort­lich. Dar­über hin­aus umfasst die Unter­auf­trags­ver­ar­bei­tung aus­schließ­lich die Ver­ar­bei­tungs­tä­tig­kei­ten, die im ursprüng­li­chen Ver­trag zwi­schen dem Daten­ex­por­teur aus der EU und dem Daten­im­por­teur ver­ein­bart wur­den. Bestehen­de Ver­trä­ge, die auf der Grund­la­ge der durch die Ent­schei­dung 2002/​16/​EG geneh­mig­ten Klau­seln geschlos­sen wur­den, blei­ben so lan­ge gül­tig, wie die Über­mitt­lung und die Daten­ver­ar­bei­tungs­tä­tig­kei­ten unver­än­dert fort­ge­führt wer­den.

Soll­ten die Ver­trags­par­tei­en Ände­run­gen vor­neh­men oder Ver­ein­ba­run­gen zur Unter­auf­trags­ver­ar­bei­tung ein­füh­ren wol­len, sind sie ver­pflich­tet, einen neu­en Ver­trag zu schlie­ßen, der die geän­der­ten Ver­trags­klau­seln berück­sich­tigt. Natio­na­le Daten­schutz­be­hör­den kön­nen auch ande­re Ad-hoc-Ver­ein­ba­run­gen über inter­na­tio­na­le Daten­über­mitt­lun­gen geneh­mi­gen , sofern sie der Auf­fas­sung sind, dass sol­che Ver­trä­ge aus­rei­chen­de Garan­tien für den Schutz der Grund­rech­te und Grund­frei­hei­ten, ins­be­son­de­re des Rechts auf Pri­vat­sphä­re, bie­ten. Bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten inner­halb des Euro­päi­schen Wirt­schafts­raums – also in den EU-Staa­ten sowie Island, Nor­we­gen und Liech­ten­stein – sowie in Län­der, denen die Kom­mis­si­on ein ange­mes­se­nes Daten­schutz­ni­veau beschei­nigt hat – der­zeit Argen­ti­ni­en, Schweiz, Kana­da, Isle of Man, Jer­sey und Guern­sey – oder an US-Unter­neh­men, die sich den Grund­sät­zen der vom US-Han­dels­mi­nis­te­ri­um getrof­fe­nen „Safe-Harbour“-Regelung ver­pflich­tet haben, sind dage­gen kei­ne beson­de­ren Ver­trags­klau­seln erfor­der­lich.