Startseite

EU-Kommission nimmt Standardvertragsklauseln für den Drittlandtransfer an

 
Die Europäische Kommission hat Standardvertragsklauseln verabschiedet, die ihrer Einschätzung nach angemessene Garantien bei der Übermittlung personenbezogener Daten von der EU in Drittländer gewährleisten.

Eine entsprechende Kommissionsentscheidung verpflichtet die Mitgliedstaaten anzuerkennen, dass Unternehmen oder Organisationen, welche die Standardklauseln verwenden, einen "angemessenen Schutz" der Daten bieten. Die EG-Datenschutzrichtlinie (95/46/EG) und das neue Bundesdatenschutzgesetz (BDSG) verlangen, dass alle personen-bezogenen Daten, die in Länder außerhalb der Union übermittelt werden, grundsätzlich "angemessen geschützt" werden müssen. Die Anwendung der nunmehr vorgelegten Standardvertragsklauseln ist zwar freiwillig, sie bietet den Unternehmen und Organisationen aber eine einfache Möglichkeit zur Schaffung angemessener Schutzgarantien beim Transfer personenbezogener Daten in sog. unsichere Drittländer.

Bislang hat die Kommission lediglich in Bezug auf die Schweiz und Ungarn festgestellt, dass in den betreffenden Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Mit der sog. Safe-Harbor-Vereinbarung wurde für die USA ein Sonderweg zur Gewährleistung eines angemessenen Schutzniveaus beschritten, der im Wesentlichen durch eine Selbstverpflichtung der Datenempfänger in den USA gekennzeichnet ist (vgl. RDV 2000, 212 ff.).

Die Standardvertragsklauseln enthalten eine rechtlich durchsetzbare Erklärung ("Garantie"), nach der sowohl der "Datenexporteur" als auch der "Datenimporteur" sich verpflichten, die Daten nach Maßgabe bestimmter Datenschutzgrundsätze zu verarbeiten. Ferner beinhaltet der Vertragstext eine gesamtschuldnerische Haftung gegenüber dem Betroffenen. Den Unternehmen ist es freigestellt, zusätzliche Garantien oder Sicherheiten in die Verträge einzubeziehen.

Die Datenschutzbehörden der Mitgliedstaaten sind befugt, in Ausnahmefällen Datenströme zu untersagen oder auszusetzen. Die Kommissionsentscheidung hindert die nationalen Datenschutzbehörden auch nicht daran, andere vertragliche Vereinbarungen für den Export von Daten aus der EU nach Maßgabe nationaler Rechtsvorschriften zu genehmigen, solange die Kontrollstellen sicher sind, dass die betreffenden Verträge einen angemessenen Datenschutz gewährleisten. Dies entspricht einer vorangegangenen Stellungnahme der GDD, wonach die von der Kommission verabschiedeten Standardvertragsklauseln keinen abschließenden Charakter haben (vgl. GDD-Mitteilungen 5/2000, S. 3 f.).

Die Kommissionsentscheidung ist der erste Schritt bei der Entwicklung von maßgeschneiderten vertraglichen Lösungen für die weltweite Übermittlung personenbezogener Daten. Die Kommission beabsichtigt weitere Entscheidungen anzunehmen, die sich auf spezifische Übermittlungsformen und -situationen (z. B. Auftragsdatenverarbeitung) beziehen.