- Info
Die Europäische Kommission hat Standardvertragsklauseln verabschiedet,
die ihrer Einschätzung nach angemessene Garantien bei der Übermittlung
personenbezogener Daten von der EU in Drittländer gewährleisten.
Eine entsprechende Kommissionsentscheidung verpflichtet die
Mitgliedstaaten anzuerkennen, dass Unternehmen oder Organisationen,
welche die Standardklauseln verwenden, einen "angemessenen Schutz" der
Daten bieten. Die EG-Datenschutzrichtlinie (95/46/EG) und das neue
Bundesdatenschutzgesetz (BDSG) verlangen, dass alle personen-bezogenen
Daten, die in Länder außerhalb der Union übermittelt werden,
grundsätzlich "angemessen geschützt" werden müssen. Die Anwendung der
nunmehr vorgelegten Standardvertragsklauseln ist zwar freiwillig, sie
bietet den Unternehmen und Organisationen aber eine einfache
Möglichkeit zur Schaffung angemessener Schutzgarantien beim Transfer
personenbezogener Daten in sog. unsichere Drittländer.
Bislang hat die Kommission lediglich in Bezug auf die Schweiz und
Ungarn festgestellt, dass in den betreffenden Ländern ein angemessenes
Datenschutzniveau gewährleistet ist. Mit der sog.
Safe-Harbor-Vereinbarung wurde für die USA ein Sonderweg zur
Gewährleistung eines angemessenen Schutzniveaus beschritten, der im
Wesentlichen durch eine Selbstverpflichtung der Datenempfänger in den
USA gekennzeichnet ist (vgl. RDV 2000, 212 ff.).
Die Standardvertragsklauseln enthalten eine rechtlich durchsetzbare
Erklärung ("Garantie"), nach der sowohl der "Datenexporteur" als auch
der "Datenimporteur" sich verpflichten, die Daten nach Maßgabe
bestimmter Datenschutzgrundsätze zu verarbeiten. Ferner beinhaltet der
Vertragstext eine gesamtschuldnerische Haftung gegenüber dem
Betroffenen. Den Unternehmen ist es freigestellt, zusätzliche Garantien
oder Sicherheiten in die Verträge einzubeziehen.
Die Datenschutzbehörden der Mitgliedstaaten sind befugt, in
Ausnahmefällen Datenströme zu untersagen oder auszusetzen. Die
Kommissionsentscheidung hindert die nationalen Datenschutzbehörden auch
nicht daran, andere vertragliche Vereinbarungen für den Export von
Daten aus der EU nach Maßgabe nationaler Rechtsvorschriften zu
genehmigen, solange die Kontrollstellen sicher sind, dass die
betreffenden Verträge einen angemessenen Datenschutz gewährleisten.
Dies entspricht einer vorangegangenen Stellungnahme der GDD, wonach die
von der Kommission verabschiedeten Standardvertragsklauseln keinen
abschließenden Charakter haben (vgl. GDD-Mitteilungen 5/2000, S. 3
f.).
Die Kommissionsentscheidung ist der erste Schritt bei der Entwicklung
von maßgeschneiderten vertraglichen Lösungen für die weltweite
Übermittlung personenbezogener Daten. Die Kommission beabsichtigt
weitere Entscheidungen anzunehmen, die sich auf spezifische
Übermittlungsformen und -situationen (z. B. Auftragsdatenverarbeitung)
beziehen.