Standardvertragsklauseln für die Datenverarbeitung im Ausland

Die Europäis­che Kom­mis­sion hat einen Beschluss zur Änderung der “Stan­dard­ver­tragsklauseln für die Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en an Auf­tragsver­ar­beit­er in Drit­tlän­dern” gefasst. Mit der Änderung der Stan­dard­ver­tragsklausel soll der Ausweitung von Daten­ver­ar­beitungstätigkeit­en und neuen Geschäftsmod­ellen für die inter­na­tionale Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en Rech­nung getra­gen wer­den. Der Beschluss enthält beson­dere Bes­tim­mungen, wonach unter bes­timmten Bedin­gun­gen sowie unter Wahrung des Schutzes per­so­n­en­be­zo­gen­er Dat­en die Aus­lagerung von Ver­ar­beitungstätigkeit­en an Unter­auf­trag­nehmer zuläs­sig ist .

Standardvertragsklauseln für die Datenverarbeitung im Ausland

Die Stan­dard­ver­tragsklauseln für die Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en an Auf­tragsver­ar­beit­er in Drit­tlän­dern wur­den durch die Entschei­dung 2002/16/EG der Kom­mis­sion genehmigt, damit Unternehmen bei der Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en an Auf­tragsver­ar­beit­er außer­halb der Europäis­chen Union bzw. des Europäis­chen Wirtschaft­sraums ein angemessenes Schutzniveau gewährleis­ten kön­nen.

In dem jet­zt neu gefassten Beschluss wer­den die Empfehlun­gen aus dem Bericht über die Durch­führung der Entschei­dun­gen über Stan­dard­ver­tragsklauseln sowie Vorschläge ver­schieden­er Beteiligter berück­sichtigt . Danach muss ein Daten­im­por­teur (Daten­ver­ar­beit­er), der im Auf­trag eines in der EU ansäs­si­gen Daten­ex­por­teurs (für die Daten­ver­ar­beitung Ver­ant­wortlichen) durchzuführende Ver­ar­beitun­gen weit­er­vergeben möchte, vorher die schriftliche Ein­willi­gung des Daten­ex­por­teurs ein­holen. Dem Unter­auf­tragsver­ar­beit­er wer­den in ein­er schriftlichen Vere­in­barung die gle­ichen Pflicht­en aufer­legt, die der Daten­im­por­teur gemäß den Stan­dard­ver­tragsklauseln erfüllen muss. Kommt der Unter­auf­tragsver­ar­beit­er seinen Daten­schutzpflicht­en nicht nach, bleibt der Daten­im­por­teur gegenüber dem Daten­ex­por­teur für die Erfül­lung der Pflicht­en des Unter­auf­tragsver­ar­beit­ers uneingeschränkt ver­ant­wortlich. Darüber hin­aus umfasst die Unter­auf­tragsver­ar­beitung auss­chließlich die Ver­ar­beitungstätigkeit­en, die im ursprünglichen Ver­trag zwis­chen dem Daten­ex­por­teur aus der EU und dem Daten­im­por­teur vere­in­bart wur­den. Beste­hende Verträge, die auf der Grund­lage der durch die Entschei­dung 2002/16/EG genehmigten Klauseln geschlossen wur­den, bleiben so lange gültig, wie die Über­mit­tlung und die Daten­ver­ar­beitungstätigkeit­en unverän­dert fort­ge­führt wer­den.

Soll­ten die Ver­tragsparteien Änderun­gen vornehmen oder Vere­in­barun­gen zur Unter­auf­tragsver­ar­beitung ein­führen wollen, sind sie verpflichtet, einen neuen Ver­trag zu schließen, der die geän­derten Ver­tragsklauseln berück­sichtigt. Nationale Daten­schutzbe­hör­den kön­nen auch andere Ad-hoc-Vere­in­barun­gen über inter­na­tionale Datenüber­mit­tlun­gen genehmi­gen , sofern sie der Auf­fas­sung sind, dass solche Verträge aus­re­ichende Garantien für den Schutz der Grun­drechte und Grund­frei­heit­en, ins­beson­dere des Rechts auf Pri­vat­sphäre, bieten. Bei der Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en inner­halb des Europäis­chen Wirtschaft­sraums – also in den EU-Staat­en sowie Island, Nor­we­gen und Liecht­en­stein – sowie in Län­der, denen die Kom­mis­sion ein angemessenes Daten­schutzniveau bescheinigt hat – derzeit Argen­tinien, Schweiz, Kana­da, Isle of Man, Jer­sey und Guernsey – oder an US-Unternehmen, die sich den Grund­sätzen der vom US-Han­delsmin­is­teri­um getrof­fe­nen „Safe-Harbour“-Regelung verpflichtet haben, sind dage­gen keine beson­deren Ver­tragsklauseln erforder­lich.

Standardvertragsklauseln für die Datenverarbeitung im Ausland