Änderung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern

Am 5. Februar 2010 hat die Europäische Kommission einen Beschluss zur Änderung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländern gefasst.

Ausgangspunkt war die Entscheidung 2002/16/EG der Kommisssion, wonach Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern genehmigt wurden. Ziel war dabei ein angemessenes Schutzniveau gewährleisten zu können.

Der Beschluss basiert auf Empfehlungen aus dem Bericht über die Durchführung der Entscheidungen über Standardklauseln, sowie auf Vorschlägen verschiedener Beteiligter. Nach dem Beschluss muss nun ein Datenimporteur (Datenverarbeiter), der im Auftrag des in der EU ansässigen Datenexporteurs durchzuführende Verarbeitungen weitergeben möchte, vorher die schriftliche Einwilligung des Datenexporteurs einholen. Dem Unterauftragsverarbeiter werden durch schriftliche Vereinbarung die gleichen Pflichten auferlegt, die auch der Datenimporteur gemäß den Standardvertragsklauseln erfüllen muss.

Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Datenimporteur dem Datenexporteur gegenüber uneingeschränkt verantwortlich. Die Unterauftragsverarbeitung umfasst ausschließlich die Verarbeitungstätigkeiten, die ursprünglich zwischen dem Datenexporteur und dem Datenimporteur vereinbart wurden.

Auf Grundlage der Entscheidung 2002/16/EG geschlossene Verträge bleiben unbeschadet der Änderung so lange gültig, wie die Übermittlung und die Datenverarbeitungstätigkeiten unverändert fortgeführt werden. Nehmen die Vertragsparteien Änderungen vor, oder wollen sie Vereinbarungen zur Unterauftragsverarbeitung einführen, so sind sie verpflichtet die geänderten Vertragsklauseln in dem dann neu zu schließenden Vertrag zu berücksichtigen.

Den nationalen Datenschutzbehörden steht es frei, auch andere Ad-hoc-Vereinbarungen über internationale Datenübermittlung zu genehmigen, sofern sie der Meinung sind, dass diese ausreichende Garantien für den Schutz der Grundrechte und der Grundfreiheiten bieten.

Keine besonderen Vertragsklauseln sind innerhalb der EWG und bei US-Unternehmen, die sich der „Safe-Harbour“- Regelung unterworfen haben, erforderlich.

Der Vizepräsident der EU-Kommisssion Jacques Barrot erklärte, die Änderung habe aufgrund der zunehmenden Globalisierung und der damit verbundenen Auslagerung von Datenverarbeitungstätigkeiten zu ergehen. Der internationale Handel und der Schutz personenbezogener Daten von EU-Bürgern finde somit ausgewogen Berücksichtigung.