Standardvertragsklauseln

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Beschluss 2010/87/EU)
Flagge der Europäischen Union

Durchführungsbeschluss (EU) 2021/914

Titel: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 4. Juni 2021
Anzuwenden ab: 27. Juni 2021
Fundstelle: ABl. L 199, 7. Juni 2021, S. 31
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten!

Flagge der Europäischen Union

Beschluss 2010/87/EU

Titel: Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 12. Februar 2010
Anzuwenden ab: 15. Mai 2010
Außerkrafttreten: 27. September 2021
Fundstelle: ABl. L 39, 12. Februar 2010, S. 5
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist außer Kraft getreten.
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten!

Flagge der Europäischen Union

Entscheidung 2004/915/EG

Titel: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 27. Dezember 2004
Anzuwenden ab: 1. April 2005
Außerkrafttreten: 27. September 2021
Fundstelle: ABl. L 385, 29. Dezember 2004, S. 74
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist außer Kraft getreten.
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten!

Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer sind von der Europäischen Kommission vorgegebene Vertragstexte, welche die Datenverarbeitung in einem Land außerhalb des Europäischen Wirtschaftsraums absichern und auf ein Schutzniveau heben, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist.[1]

Funktionsweise

Standarddatenschutzklauseln werden zwischen zwei, oder seit 2021 auch zwischen mehreren Vertragspartnern geschlossen. Dabei befindet sich eine Seite im räumlichen Anwendungsbereich des europäischen Datenschutzrechts („Datenexporteur“). Die andere Seite außerhalb des räumlichen Anwendungsbereichs („Datenimporteur“).[2] Beide Parteien vereinbaren jedoch im Rahmen der Vertragsfreiheit die weitgehende Anwendung Europäischen Datenschutzrechts. Die Inhaltsfreiheit ist insofern eingeschränkt, als dass nur eine weitere Verbesserung des Datenschutzniveaus für die betroffene Person zulässig ist.[3]

Die Verwendung von Standardvertragsklauseln ist nach der Meinung von Datenschutz-Aktivisten mit der Produktion von Bio-Lebensmitteln im außereuropäischen Ausland vergleichbar.[4] Hierbei unterwirft sich ein Herstellerunternehmen im Ausland vollständig den Regelungen der Öko-Verordnung, um ein Bio-Siegel auf seinen Produkten anbringen zu können.

Drittbegünstigung betroffener Personen

Die von der Datenverarbeitung betroffenen Personen sind stets Drittbegünstigte der Standardvertragsklauseln. Ihnen steht so beispielsweise das Recht zu, die unterschriebene Version der Standardvertragsklauseln zu erhalten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, welche zur Absicherung der ihn betreffenden personenbezogenen Daten unternommen werden, zu erhalten.

Durchführungsbeschluss (EU) 2021/914

Der Durchführungsbeschluss (EU) 2021/914 stellt die aktuellste Fassung der von der Europäischen Kommission vorgeschriebenen Standardvertragsklauseln dar. Verträge, die die Vorgängerversionen der Standardvertragsklauseln als Grundlage haben sollen, konnten noch bis zum 27. September 2021 abgeschlossen werden.[5][6] Soll eine Datenübertragung über den 27. Dezember 2022 hinaus auf Grundlage von Standardvertragsklauseln stattfinden, müssen diese ab diesem Zeitpunkt nach der neuen Rechtsgrundlage stattfinden.[7]

Die im Durchführungsbeschluss definierten Standardvertragsklauseln bestehen aus einem allgemeinen Teil und Klauseln für vier unterschiedliche Vertragskonstellationen („Module“). Datenexporteure und -importeure, die die Standarddatenschutzklauseln dieses Kommissionsbeschlusses nutzen wollen, müssen das für ihre jeweilige Situation passende Modul auswählen und können die nicht einschlägigen Module streichen.[8]

Allgemeiner Teil

Im allgemeinen Teil bestimmen die Klauseln den Zweck und Anwendungsbereich (Klausel 1), die Wirkung und die Unabänderbarkeit der Klauseln (Klausel 2), die Drittbegünstigung der betroffenen Person (Klausel 3), die Auslegung (Klausel 4), den Vorrang der Klauseln vor allen weiteren vertraglichen Verpflichtungen (Klausel 5), die Beschreibung der Datenübermittlung (Klausel 6) und fakultativ den Beitritt weiterer Vertragsparteien (Klausel 7).

Darüber hinaus verpflichtet Klausel 8 jeden Datenexporteur, „sich im Rahmen des Zumutbaren davon überzeugt zu haben, […] dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten […] nachzukommen.“

Modul eins – Übertragung von Verantwortlichen an andere Verantwortliche

Modul eins regelt die Übertragung zwischen zwei oder mehr Verantwortlichen.

Zweckbindung

Datenimportierende Verantwortliche verpflichten sich die im Rahmen der Übermittlung übertragenen personenbezogenen Daten nur zu den in einer Anlage zu den Standardvertragsklauseln bestimmten Zwecken zu verwenden.

Transparenz

Die betroffene Person muss über eine Datenübermittlung an den Verantwortlichen informiert werden. Dabei muss insbesondere der Verantwortliche und eine Kontaktmöglichkeit mitgeteilt werden. Außerdem muss der betroffenen Person mitgeteilt werden sofern der Datenimporteur weitere Datenübermittlungen durchführt. In diesem Fall sind der betroffenen Person auch die weiteren Empfänger in der Kette zu nennen.

Ferner ist jeder betroffenen Person auf Anfrage eine Kopie der unterschriebenen Version der Standardvertragsklauseln zur Verfügung zu stellen.

Richtigkeit, Datenminimierung und Speicherbegrenzung

Die Daten sind sachlich richtig und – sofern dies erforderlich – aktuell zu halten. Sofern Daten nicht benötigt werden, sind diese nicht zu erheben, falls sie nicht mehr benötigt werden, sind sie zu löschen.

Datenübertragung in Drittländer mit gegenläufigen Rechtsbestimmungen

Der Europäische Gerichtshof stellte in seinen Urteilen vom 6. Oktober 2015[9] und 16. Juli 2020[10] fest, dass die Rechtsordnung von Ländern der Verwendung von Standardvertragsklauseln widersprechen kann. Dies ist insbesondere der Fall, wenn Vertragspartner in diesen Ländern die Zusicherungen, die sie gegeben haben, nicht einhalten können. Ein Beispiel für diese Länder sind die Vereinigten Staaten.

Einzelnachweise

  1. Erwäggrund 11 des Durchführungsbeschluss (EU) 2021/914.
  2. Durchführungsbeschluss (EU) 2021/914. Erwäggrund 7, Satz 1 , abgerufen am 13. April 2022 „Unbeschadet der Auslegung des Begriffs der internationalen Datenübermittlung gemäß der Verordnung (EU) 2016/679 können die im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln von einem Verantwortlichen oder einem Auftragsverarbeiter verwendet werden, um geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an einen in einem Drittland niedergelassenen Auftragsverarbeiter oder Verantwortlichen zu gewährleisten.“
  3. Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). Ewäggrund 109, Satz 2, abgerufen am 13. April 2022 „Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Schutzklauseln ergänzen, zusätzliche Garantien zu bieten.“
  4. Max Schrems: "Schrems II". Privacy Week 2020. In: media.ccc.de. Chaos Computer Club, 27. Oktober 2020, abgerufen am 24. Juni 2021.
  5. Durchführungsbeschluss (EU) 2021/914. Artikel 4 Absatz 2 , abgerufen am 13. April 2022 „Die Entscheidung 2001/497/EG wird mit Wirkung vom 27. September 2021 aufgehoben.“
  6. Durchführungsbeschluss (EU) 2021/914. Artikel 4 Absatz 3 , abgerufen am 13. April 2022„Der Beschluss 2010/87/EU wird mit Wirkung vom 27. September 2021 aufgehoben.“
  7. Durchführungsbeschluss (EU) 2021/914. Artikel 4 Absatz 4 , abgerufen am 13. April 2022 „In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses 2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.“
  8. Lisa-Marie Lange, Alexander Filip: Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien. In: Stefan Brink, Heinrich Amadeus Wolff (Hrsg.): BeckOK Datenschutzrecht. 39. Auflage. Verlag C. H. Beck, München 1. Februar 2022, Rn. 36 (beck.de – Paywall).
  9. EuGH, Urteil vom 6. Oktober 2015, Maximillian Schrems gegen Data Protection Commissioner, C-362/14, EU:C:2015:650.
  10. EuGH, Urteil vom 16. Juli 2020, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, C-311/18, EU:C:2020:559.