Navigation path

Left navigation

Additional tools

Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern - Häufig Gestellte Fragen (FAQ)

European Commission - MEMO/01/228   18/06/2001

Other available languages: EN FR

MEMO/01/228

Brüssel, 18. Juni 2001

Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern - Häufig Gestellte Fragen (FAQ)

Gemäß der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn solche Daten dort angemessen geschützt werden, es sei denn, es handelt sich um einen der festgelegten Ausnahmefälle. Ist kein hinreichender Datenschutz gewährleistet und keine Ausnahmeregelung anwendbar, darf die Übermittlung nicht stattfinden.

Ohne solche Regelungen würde das durch die Richtlinie gewährleistete hohe Datenschutzniveau rasch ausgehöhlt, da Daten heute ohne weiteres über internationale Netze übermittelt werden können.

Nach Artikel 26 Absatz 4 der Richtlinie kann die Kommission mit Unterstützung eines Ausschusses, der sich aus Vertretern der Mitgliedstaaten zusammensetzt, Standardvertragsklauseln festlegen, um sicherzustellen, dass die Anforderungen aus der Richtlinie bei der Übermittlung von Daten in Nicht-EU-Staaten erfüllt werden.

Die nachfolgenden Häufig Gestellten Fragen (FAQ) fassen die wichtigsten Punkte der Entscheidung, die die Kommission gerade zu den Standardvertragsklauseln angenommen hat (siehe IP/01/851), zusammen und geben Privatpersonen wie Unternehmen Auskunft darüber, wie sie diese Klauseln optimal nutzen können.

Sind die Vertragsklauseln für Unternehmen, die Daten in Länder außerhalb der EU übermitteln wollen, zwingend?

Nein. Die Standardvertragsklauseln sind für die Unternehmen nicht zwingend vorgeschrieben, und sie sind auch nicht der einzig mögliche Rechtsrahmen für die Übermittlung von Daten in Drittländer.

Zunächst einmal brauchen Organisationen gar keine Vertragsklauseln, wenn sie personenbezogene Daten an Empfänger in Ländern übermitteln wollen, denen die Kommission bereits ein angemessenes Datenschutzniveau attestiert hat. Das gilt für Datenübermittlungen an Unternehmen in der Schweiz und in Ungarn sowie Unternehmen in den Vereinigten Staaten, die sich auf die Grundsätze des sicheren Hafens des US-Handelsministeriums verpflichtet haben (siehe IP/09/865).

Sodann können nach Artikel 26 Absatz 1 unter bestimmten Voraussetzungen Daten selbst dann übermittelt werden, wenn das Bestimmungsland kein angemessenes Datenschutzniveau bietet, nämlich sofern

    die betroffene Person ohne jeden Zweifel ihrer Einwilligung zu der geplanten Übermittlung gegeben hat oder

    die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder

    die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder

    die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder

    die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder

    die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Nach Artikel 26 Absatz 2 schließlich können die nationalen Behörden von Fall zu Fall bestimmte Übermittlungen in ein Drittland genehmigen, das kein angemessenes Schutzniveau gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Diese Garantien können sich beispielsweise aus Vertragsklauseln ergeben, die zwischen dem Datenexporteur und dem Datenimporteur vereinbart und zuvor von den nationalen Behörden genehmigt wurden.

Können sich Unternehmen weiterhin auf andere Verträge stützen, die auf nationaler Ebene gebilligt wurden?

Ja. Die Standardvertragsklauseln berühren weder bereits abgeschlossene noch künftige vertragliche Vereinbarungen, die von nationalen Datenschutzbehörden nach nationalem Recht genehmigt sind.

Können Mitgliedstaaten Datenübermittlungen aufgrund der Standardvertragsklauseln blockieren oder aussetzen?

Ja, aber nur in den Ausnahmefällen, die in Artikel 4 der Kommissionsentscheidung genannt sind, unter anderem wenn

    feststeht, dass das für den Datenimporteur geltende Recht von diesem fordert, von den einschlägigen Datenschutzvorschriften abzuweichen, und zwar in einem Maß, das über die in einer Demokratie erforderlichen Einschränkungen nach Artikel 13 der Richtlinie 95/46/EG hinausgeht; das gilt, wenn die Bestimmungen dieses Rechts geeignet sind, die Garantien, die die Vertragsklauseln bieten sollen, stark zu beeinträchtigen, oder

    eine zuständige Behörde festgestellt hat, dass der Datenimporteur die Vertragsklauseln nicht beachtet, oder

    eine hohe Wahrscheinlichkeit besteht, dass die Standardvertragsklauseln derzeit oder künftig nicht eingehalten werden und die fortgesetzte Übermittlung den betroffenen Personen einen nicht wieder gut zu machenden Schaden zufügen würde.

Diese Garantieklausel wird voraussichtlich nur sehr selten angewandt werden, da sie nur für Ausnahmefälle gedacht ist. Artikel 3 Absatz 3 der Kommissionsentscheidung sieht zudem vor, dass die Mitgliedstaaten die Kommission informieren, wenn sie in irgendeiner Form von dieser Klausel Gebrauch machen, und dass die Kommission ihrerseits die anderen Mitgliedstaaten davon unterrichtet. Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 der Richtlinie 95/46/EG geeignete Maßnahmen ergreifen.

Können Unternehmen die Standardvertragsklauseln in einen umfassenderen Vertrag aufnehmen und besondere Klauseln hinzufügen?

Ja. Die Vertragsparteien können vereinbaren, weitere Klauseln hinzuzufügen, sofern diese den von der Kommission festgelegten Standardvertragsklauseln weder direkt noch indirekt entgegenstehen und nicht die Grundrechte und freiheiten der betroffenen Personen beeinträchtigen. So ist es beispielsweise möglich, zusätzliche Garantien oder verfahrensbezogene Sicherheiten für natürliche Personen einzubeziehen (z. B. Online-Verfahren oder einschlägige Bestimmungen, die in einer Datenschutzpolitik verankert sind). All diese ergänzenden Klauseln, welche die Vertragsparteien unter Umständen zusätzlich vereinbaren, würden nicht unter die Drittbegünstigung fallen und ggf. vertraulich behandelt.

Die Mitgliedstaaten können auch den Anhang zum Vertrag weiter spezifizieren oder vervollständigen.

In jedem Fall müssen die Standardvertragsklauseln uneingeschränkt aufgenommen werden, wenn sie ihre Rechtswirksamkeit entfalten und bei der Übermittlung personenbezogener Daten einen angemessenen Schutz im Sinne der EU-Richtlinie gewährleisten sollen.

Kann ein Datenimporteur von der Anwendung der verbindlichen Grundsätze befreit werden, damit er den Verpflichtungen, nachkommen kann, die er nach nationalem Recht erfüllen muss?

Ja, gemäß dem letzten Absatz der verbindlichen Grundsätze kann der Datenimporteur von der Anwendung dieser Grundsätze befreit werden, aber nur wenn die fraglichen Maßnahmen nicht über das in einer demokratischen Gesellschaft erforderliche Maß hinausgehen, namentlich solange es sich um Maßnahmen handelt, die notwendig sind für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, den Schutz eines wichtigen wirtschaftlichen oder finanziellen Interesses des Staates oder den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

Was bedeutet gesamtschuldnerische Haftung?

Gesamtschuldnerische Haftung bedeutet, dass in den Fällen, in denen einer betroffenen Person infolge der Verletzung ihrer Rechte aus dem Vertrag ein Schaden entstanden ist, diese Person Anspruch auf Entschädigung durch den Datenexporteur oder den Datenimporteur oder beide hat.

Ohne eine gesamtschuldnerische Haftung wären die durch die Standardvertragsklauseln gebotenen Garantien für den Datenschutz erheblich gemindert. Wege zu finden, um sicherzustellen, dass die Rechte der betroffenen Personen die ja selbst nicht Vertragspartei sind angemessen geschützt werden, war die größte Herausforderung bei der Ausarbeitung der Kommissionsentscheidung.

Wenn eine betroffene Person ihre Rechte aus einem Vertrag durchsetzen will, der zwischen zwei für die Verarbeitung Verantwortlichen abgeschlossen wurde, von denen der eine in der EU und der andere außerhalb der EU ansässig ist, dann sieht sich diese Person zwei Hauptschwierigkeiten gegenüber. Zunächst ist es, wenn sich die betroffene Person bewusst wird, dass ihre Datenschutzrechte verletzt werden, äußerst schwierig festzustellen, wer genau für die Verletzung verantwortlich ist. Hat der Datenexporteur unrechtmäßig Daten weitergegeben, bevor die Übermittlung stattgefunden hat, oder hat der Datenimporteur nach der Übermittlung eine unrechtmäßige Handlung begangen? Die gesamtschuldnerische Haftung verhindert, dass diese Rechtsunsicherheit dazu führt, dass ein Schadensersatzanspruch nicht verfolgt wird.

Sodann ist es, selbst wenn die betroffene Person weiß, dass ihre Rechte verletzt werden, in der Praxis unter Umständen sehr schwierig, den Vertrag durchzusetzen und von dem außerhalb der EU ansässigen Datenimporteur Schadensersatz zu erwirken. Eine Klausel, die den Datenimporteur den europäischen Rechtsvorschriften unterwirft, ist keine hundertprozentige Lösung, denn die Anerkennung und Durchsetzung von Urteilen aus EU-Staaten wird im Sitzstaat des Datenimporteurs nicht immer möglich sein. In jedem Fall ist es aber sehr viel einfacher, einen Anspruch gegen den Datenexporteur durchzusetzen, der ja in der EU ansässig ist.

Aber ist das nicht eine unzumutbare Belastung für den Datenexporteur bzw. den Datenimporteur, der sich nichts hat zu Schulden kommen lassen?

Nein. Es wurden mehrere Vorkehrungen getroffen, damit das nicht geschieht. Insbesondere sind Umfang und Geltungsbereich der gesamtschuldnerischen Haftung genau eingegrenzt. Sie gilt nur im Falle eines Verstoßes gegen diejenigen Vertragsklauseln, aus denen sich Rechte für die betroffenen Personen ableiten lassen (siehe Drittbegünstigtenklausel, Klausel 3), und nur dann, wenn natürliche Personen für Schäden aus einer Verletzung entschädigt werden müssen.

Dementsprechend wurden verschiedene Szenarien, die manchen Industrieunternehmen bei der Ausarbeitung der Entscheidung Anlass zur Sorge gegeben hatten, von vornherein klar ausgeklammert. Beispielsweise haben einige Firmen aus Drittstaaten eingewandt, dass sie unter Umständen für Verletzungen nationaler Rechtsvorschriften (unrechtmäßige Verarbeitungen), die vor der Übermittlung durch den Datenexporteur stattgefunden haben, verantwortlich gemacht und vor einem Gericht in der EU verklagt werden könnten. Das ist aber nicht möglich, da Klausel 3 nur begrenzt anwendbar ist.

Andererseits befürchten Unternehmen aus der EU, man könnte von ihnen verlangen, dass sie betroffene Personen für Verletzungen ihrer Rechte durch den Datenimporteur entschädigen. Diese Wirkung wird durch die Klausel verhindert, in der eine gegenseitige Entschädigung vorgesehen ist. In dem Fall hätte nämlich der Exporteur das Recht, vom Importeur zu verlangen, dass dieser für sämtliche Schadensersatzzahlungen aufkommt, die der Exporteur an die betroffene Person leisten musste. Als allgemeine Regel gilt, dass jede Vertragspartei für ihre Handlungen gegenüber der betroffenen Person haftet.

Man könnte hier vorbringen, dass die Beanspruchung von Schadensersatz an sich bereits eine Belastung für den Datenexporteur darstellt. Das wird zwar zugestanden, aber man hält es für fairer, diese Last dem Exporteur aufzuerlegen und nicht der betroffenen Person, die häufig mit der Datenübermittlung überhaupt nichts zu tun hat. Und wenn die Datenexporteure im Bestreben, eine solche Belastung von vornherein zu vermeiden, ihre Datenimporteure sorgfältiger auswählen, dann ist dies ein äußerst willkommener Effekt.

Können in den USA ansässige Organisationen, die sich auf die Grundsätze des sicheren Hafens verpflichtet haben, die Standardvertragsklauseln anwenden, um Daten aus der EU zu empfangen?

Allgemein gilt, dass Standardvertragsklauseln nicht erforderlich sind, wenn der Datenempfänger einem System angeschlossen ist, das einen angemessenen Datenschutz bietet, wie z. B. der „Sichere Hafen". Wenn die Übermittlung jedoch Daten betrifft, die nicht durch die Verpflichtung auf die Grundsätze des sicheren Hafens abgedeckt sind, dann stellt die Anwendung der Standardvertragsklauseln eine Möglichkeit dar, die erforderlichen Datenschutzgarantien zu bieten.

Können in den USA ansässige Organisationen, die sich nicht auf die Grundsätze des sicheren Hafens verpflichtet haben, die relevanten Grundsätze des sicheren Hafens im Rahmen eines Vertrags mit einem EU-Unternehmen anwenden?

Ja, sofern sie auch die drei verbindlichen Datenschutzgrundsätze im Anhang (die für alle Bestimmungsländer gelten) anwenden: Beschränkung der Zweckbindung; Beschränkung der Weiterübermittlung; Auskunftsrecht und Recht auf Berichtigung, Löschung und Widerspruch.


Side Bar

My account

Manage your searches and email notifications


Help us improve our website