Navigation path

Left navigation

Additional tools

Datenschutz: Die Kommission nimmt Standardvertragsklauseln zur Übermittlung von Daten in Drittländer an

European Commission - IP/01/851   18/06/2001

Other available languages: EN FR

IP/01/851

Brüssel, 18. Juni 2001

Datenschutz: Die Kommission nimmt Standardvertragsklauseln zur Übermittlung von Daten in Drittländer an

Die Europäische Kommission hat eine Entscheidung über Standardvertragsklauseln angenommen, die angemessene Garantien für die Übermittlung personenbezogener Daten von der EU in Drittländer gewährleisten. Die Entscheidung verpflichtet die Mitgliedstaaten anzuerkennen, dass Unternehmen oder Organisationen, die solche Standardklauseln in Verträgen über die Übermittlung personenbezogener Daten in Drittländer anwenden einen "angemessenen Schutz" der Daten bieten. Die Datenschutzrichtlinie der EU (95/46/EG) verlangt, dass alle personenbezogenen Daten, die in Länder außerhalb der Union übermittelt werden, "angemessen geschützt" werden müssen. Die Anwendung dieser Standardvertragsklauseln ist zwar freiwillig, sie bietet den Unternehmen und Organisationen aber eine einfache Möglichkeit, um ihre Pflicht zu erfüllen und personenbezogene Daten angemessen zu schützen, die in Drittländer übermittelt werden, die von der Kommission nicht als Länder mit einem entsprechenden Schutzsystem anerkannt wurden. Bisher sind nur die Schweiz, Ungarn sowie die Vereinbarung über den sicheren Hafen mit den USA als Systeme anerkannt worden, die einen angemessenen Schutz gewähren (vgl. IP/00/865).

Das für den Binnenmarkt zuständige Kommissionsmitglied Frits Bolkestein sagte: "Diese neue praktische Maßnahme wird es den Unternehmen und Organisationen leichter machen, ihrer Verpflichtung nachzukommen, einen "angemessenen Schutz" für personenbezogene Daten zu gewährleisten, die aus der Gemeinschaft in die übrige Welt übermittelt werden und gleichzeitig das Recht des Einzelnen auf den Schutz der Privatsphäre zu garantieren."

Die Standardvertragsklauseln enthalten eine rechtlich durchsetzbare Erklärung ("Garantie"), nach der sowohl der "Datenexporteur" als auch der "Datenimporteur" sich verpflichten, die Daten grundlegenden Datenschutzbestimmungen gemäß zu verarbeiten und vereinbaren, dass betroffene Personen ihre Rechte nach dem Vertrag geltend machen können.

Die Entscheidung der Kommission verpflichtet die Mitgliedstaaten, die im Anhang zu der Entscheidung enthaltenen Vertragsklauseln sind, als angemessene Garantien anzuerkennen, die den Anforderungen der Richtlinie für die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau entsprechen. Allerdings sind die Unternehmen nicht verpflichtet, die Standardvertragsklauseln anzuwenden noch bieten sie die einzige Möglichkeit zur rechtmäßigen Übermittlung personenbezogener Daten in Drittländer.

Sie erweitern die gemäß der Datenschutzrichtlinie bereits vorhandenen Möglichkeiten; diese Richtlinie nennt mehrere Fälle, in denen Daten auch dann in Länder übermittelt werden dürfen, wenn diese kein angemessenes Datenschutzsystem aufweisen. Hierzu gehören Fälle, in denen Personen ihre uneingeschränkte Zustimmung zur Übermittlung von Daten in Drittländer erteilt haben und die Übermittlung für den Abschluss oder die Erfüllung eines Vertrages im Interesse der betroffenen Personen erforderlich ist. Darüber hinaus können die Datenschutzbehörden der Mitgliedstaaten solche Übermittlungen von Fall zu Fall genehmigen, wenn sie sich vergewissert haben, dass die Daten "angemessen geschützt" werden.

Für die Datenübermittlung in die Schweiz und nach Ungarn sind keine Standardvertragsklauseln erforderlich; die Datenschutzsysteme dieser Länder sind von der Kommission als Systeme anerkannt worden, die einen angemessenen Schutz bieten; dies gilt auch für die Übermittlung an US-Unternehmen, die sich auf die Grundsätze des sicheren Hafens des US-Handelsministeriums verpflichtet haben.

Die Datenschutzbehörden der Mitgliedstaaten sind befugt, in Ausnahmefällen Datenströme zu verbieten oder auszusetzen; diese Entscheidung bewirkt jedoch, dass sie Datenübermittlungen nicht untersagen können, die im Rahmen von Verträgen erfolgen, die die von der Kommission genehmigten Standardvertragsklauseln enthalten. Die Entscheidung hindert die nationalen Datenschutzbehörden auch nicht daran, andere vertragliche Ad-hoc-Vereinbarungen für den Export von Daten aus der EU zu genehmigen, die auf nationalen Rechtsvorschriften basieren, solange diese Behörden sicher sind, dass die betreffenden Verträge einen angemessenen Datenschutz gewährleisten.

Diese Entscheidung ist nur der erste Schritt bei der Entwicklung von maßgeschneiderten vertraglichen Lösungen für die weltweite Übermittlung personenbezogener Daten. Die Kommission beabsichtigt, Entscheidungen anzunehmen, die sich auf spezifische Übermittlungsformen und -situationen beziehen. Die Kommission konsultiert derzeit die Mitgliedstaaten und die Datenschutzbehörden zu dem Entwurf einer Entscheidung über Standardvertragsklauseln für die Übermittlung personenbezogener Daten von für die Verarbeitung Verantwortlichen (d. i. eine Person oder Einrichtung, die die Zwecke und Mittel der Verarbeitung bestimmt) in der Gemeinschaft an Verarbeiter (d. i. ein Auftragnehmer, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet) in einem Drittland.

Durch die Harmonisierung der Datenschutzvorschriften in der EU soll der freie Verkehr von Informationen (einschließlich personenbezogener Daten) zwischen den Mitgliedstaaten sichergestellt werden und gleichzeitig ein hohes Schutzniveau für alle betroffenen Personen gewährleistet werden. Im Falle von Drittländern müssen die Mitgliedstaaten der Richtlinie 95/46/EG zufolge die Übermittlung personenbezogener Daten nur dann zulassen, wenn ein "angemessener Schutz" für solche Daten gegeben ist, sofern nicht eine der wenigen spezifischen Ausnahmen vorliegt. Ohne derartige Regeln könnten die durch die Richtlinie geschaffenen hohen Datenschutzstandards schnell untergraben werden, weil es so leicht ist, Daten über internationale Netze zu übermitteln.

Der Richtlinie zufolge müssen folgende allgemeinen Grundsätze angewandt werden:

  • Personenbezogene Daten dürfen nur für festgelegte eindeutige und rechtmäßige Zwecke erhoben werden;

  • Die betroffenen Personen muss über diese Zweckbestimmungen und über die Identität des für die Verarbeitung Verantwortlichen informiert werden;

  • Die betroffenen Personen müssen das Recht haben, auf ihre Daten zuzugreifen und unrichtige Daten berichtigen oder löschen zu lassen und

  • Falls etwas schief geht, müssen angemessene Abhilfemöglichkeiten gegeben sein, darunter die Geltendmachung von Schadenersatz über die zuständigen Gerichte.

Weitere Auskünfte zu dieser Entscheidung und den Standardvertragsklauseln einschließlich des Briefwechsels mit Wirtschaftsverbänden und den Handels- und Finanzministerien der USA finden Sie auf der Europa-Site:

http://ec.europa.eu/internal_market/de/media/dataprot/wpdocs/index.htm

Im MEMO/01/228 finden Sie darüber hinaus Antworten auf häufig gestellte Fragen zu den Standardvertragsklauseln.


Side Bar

My account

Manage your searches and email notifications


Help us improve our website