Die Europäische Kommission hat einen Beschluss zur Änderung der “Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern” gefasst. Mit der Änderung der Standardvertragsklausel soll der Ausweitung von Datenverarbeitungstätigkeiten und neuen Geschäftsmodellen für die internationale Verarbeitung personenbezogener Daten Rechnung getragen werden. Der Beschluss enthält besondere Bestimmungen, wonach unter bestimmten Bedingungen sowie unter Wahrung des Schutzes personenbezogener Daten die Auslagerung von Verarbeitungstätigkeiten an Unterauftragnehmer zulässig ist .
Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern wurden durch die Entscheidung 2002/16/EG der Kommission genehmigt, damit Unternehmen bei der Übermittlung personenbezogener Daten an Auftragsverarbeiter außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums ein angemessenes Schutzniveau gewährleisten können.
In dem jetzt neu gefassten Beschluss werden die Empfehlungen aus dem Bericht über die Durchführung der Entscheidungen über Standardvertragsklauseln sowie Vorschläge verschiedener Beteiligter berücksichtigt . Danach muss ein Datenimporteur (Datenverarbeiter), der im Auftrag eines in der EU ansässigen Datenexporteurs (für die Datenverarbeitung Verantwortlichen) durchzuführende Verarbeitungen weitervergeben möchte, vorher die schriftliche Einwilligung des Datenexporteurs einholen. Dem Unterauftragsverarbeiter werden in einer schriftlichen Vereinbarung die gleichen Pflichten auferlegt, die der Datenimporteur gemäß den Standardvertragsklauseln erfüllen muss. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich. Darüber hinaus umfasst die Unterauftragsverarbeitung ausschließlich die Verarbeitungstätigkeiten, die im ursprünglichen Vertrag zwischen dem Datenexporteur aus der EU und dem Datenimporteur vereinbart wurden. Bestehende Verträge, die auf der Grundlage der durch die Entscheidung 2002/16/EG genehmigten Klauseln geschlossen wurden, bleiben so lange gültig, wie die Übermittlung und die Datenverarbeitungstätigkeiten unverändert fortgeführt werden.
Sollten die Vertragsparteien Änderungen vornehmen oder Vereinbarungen zur Unterauftragsverarbeitung einführen wollen, sind sie verpflichtet, einen neuen Vertrag zu schließen, der die geänderten Vertragsklauseln berücksichtigt. Nationale Datenschutzbehörden können auch andere Ad-hoc-Vereinbarungen über internationale Datenübermittlungen genehmigen , sofern sie der Auffassung sind, dass solche Verträge ausreichende Garantien für den Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre, bieten. Bei der Übermittlung personenbezogener Daten innerhalb des Europäischen Wirtschaftsraums – also in den EU-Staaten sowie Island, Norwegen und Liechtenstein – sowie in Länder, denen die Kommission ein angemessenes Datenschutzniveau bescheinigt hat – derzeit Argentinien, Schweiz, Kanada, Isle of Man, Jersey und Guernsey – oder an US-Unternehmen, die sich den Grundsätzen der vom US-Handelsministerium getroffenen „Safe-Harbour“-Regelung verpflichtet haben, sind dagegen keine besonderen Vertragsklauseln erforderlich.
