Dieses Dokument ist ein Auszug aus dem Durchführungsbeschluss (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates. Brüssel stellt hierzu auch MS-Word-Dokumente in verschiedenen Sprachen zur Verfügung (hier als zip-Download, allerdings OHNE die vier Module in separate Vertragstexte zu splitten, wie dies unten von uns erarbeitet wurde).
ACHTUNG: Dieses Dokument wurde von Hr. Nicholas Vollmer manuell erstellt. Es ist keine offizielle EU-Version. Brüssel liefert hier ein Vertragswerk mit fast bizarrer Komplexität; das hier vorliegende Dokument beschränkt sich aber nur auf jene Klauseln, die für das Szenario "EU-Auftragsverarbeiter zu Drittland-Verantwortliche" gelten (also "Modul VIER").
Dieses
Modul VIER ist ein absoluter Ausnahmefall, der im Erwägungsgrund
16 dieses Durchführungsbeschlusses erläutert wird. Es ist kompliziert:
Der Drittland-Verantwortliche ("Importeur") lässt über einen
EU-Auftragsverarbeiter ("Exporteur") personenbezogene Daten innerhalb
der EU erheben. Hier in diesem Fall kann/wird der EU-Auftragsverarbeiter in
einen datenschutzrechtlichen Konflikt geraten: Er erhebt weisungsgebunden die
personenbezogenen Daten in Europa für die Verarbeitung in einem (möglicherweise
"unsicheren") Drittland.
Die EU-Kommission wendet hier einen "Kunstgriff" an und lässt
den EU-Auftragsverarbeiter als Verantwortlichen fungieren (siehe Klausel
8.1a).
Dieses Dokument
dient nur Ihrer Information und Orientierung; bitte nutzen Sie es nicht ungeprüft
als Vertragsvorlage. Wir übernehmen keine Haftung für die Richtigkeit/Vollständigkeit
des Textes.
Leider verwendet die EU-Kommission die Bezeichnung "Standardvertragsklauseln"
statt richtigerweise "Standarddatenschutzklauseln", wie es der Artikel 46
(2c) und der EuGH vorgeben.
Möglicherweise wollte die EU-Kommission hier nur den sprachlichen Bezug
zu den "alten Standardvertragsklauseln" gemäß Artikel
26 (4) der EU-Datenschutzrichtlinie 95/46/EG herstellen;
doch es wäre wohl konsequenter gewesen auf das "neue Wording"
der DS-GVO umzuschwenken. Dies ist umsowichtiger, als dass die EU-Kommission
im Beschluss
2021/915 TATSÄCHLICH Standardvertragsklauseln
gemäß Artikel
28 (7) erlassen hat.
Letztlich ist diese Website eine Ergänzung zu unserem Datenschutz-Praxisleitfaden PrivazyPlan®, den Sie für 295 € (brutto, inkl. 3 Updates) bei uns lizenzieren können. Im Kapitel 7.6 des PrivazyPlan® liefern wir ausführliche Informationen zu der Pflicht [GVO_044], die sich mit der Reglementierung von Drittland-Datentransfers beschäftigt. Im Kapitel 12.20.5 des PrivazyPlan® liefern wir ab Juli 2021 eine ausführliche Checkliste zur "Beurteilung eines Drittland-Datenempfängers hinsichtlich der EU-Standardvertragsklauseln (vom Juni 2021)".
[Anmerkungen von Nicholas Vollmer: • Die besonders
wichtigen Passagen zu "lokalen Rechtsvorschriften und Gepflogenheiten"
wurden gelb hervorgehoben. • Es gibt einige "Optionen", die wir
grün hervorgehoben haben. • Unsere Anmerkungen machen wir mit dem Bild
deutlich; dies ist
nicht Bestandteil der offiziellen Texte. Wichtige Textpassagen haben wir in
roter Schrift hervorgehoben.]
Klausel 1: Zweck und Anwendungsbereich
Klausel
2: Wirkung und Unabänderbarkeit der Klauseln
Klausel
3: Drittbegünstigte
Klausel 4: Auslegung
Klausel
5: Vorrang
Klausel 6: Beschreibung der Datenübermittlung(en)
Klausel
7: Kopplungsklausel OPTIONAL
Abschnitt II - Pflichten der Parteien
Klausel 8: Datenschutzgarantien
Klausel
9: IRRELEVANT
Klausel 10:
Rechte betroffener Personen
Klausel 11: Rechtsbehelf
Klausel
12: Haftung
Klausel 13: IRRELEVANT
Klausel 14: Lokale Rechtsvorschriften und Gepflogenheiten,
die sich auf die Einhaltung der Klauseln auswirken [nur
in speziellen Fällen]
Klausel
15: Pflichten des Datenimporteurs im Falle des Zugangs von Behörden
zu den Daten [nur in speziellen
Fällen]
Abschnitt IV - Schlussbestimmungen
Klausel 16: Verstöße gegen die Klauseln und
Beendigung des Vertrags
Klausel 17: Anwendbares Recht
Klausel
18: Gerichtsstand
a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) (siehe Fußnote 1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n)
Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im
Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n
(im Folgenden jeweils „Datenexporteur“)
Hier im Modul VIER ist der EU-Auftragsverarbeiter der
weisungsgebundene Auftragsverarbeiter des Drittland-Verantwortlichen,
und
ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland,
die die personenbezogenen Daten direkt oder indirekt über eine andere
Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten
(im Folgenden jeweils „Datenimporteur“),
Hier im Modul VIER ist der Drittland-Verantwortliche
der Aufttraggeber der Auftragsvearbeitung. Er importiert die Daten, die
der EU-Auftragsverarbeiter für ihn erhebt.
haben sich mit diesen Standardvertragsklauseln
(im Folgenden „Klauseln“) einverstanden erklärt.
c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen
ist Bestandteil dieser Klauseln.
Die Anhänge sind elementarer Bestandteil dieses Vertrags.
Fußnote 1: Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen.
a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
ii) Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
iii) Klausel 15.1 Buchstaben c, d und e
iv) Klausel 16 Buchstabe e
v) Klausel 18
b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.
Da es hier im Modul VIER keinen "Anhang II" hinsichtlich der technisch-organisatorischen Maßnahmen
gibt, kann man davon ausgehen, dass der EU-Auftragsverarbeiter keine Dokumentations-
bzw. Nachweispflicht hat.
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur - durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen - in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
ACHTUNG: Die EU-Kommission wendet hier einen "Kunstgriff" an und
lässt den EU-Auftragsverarbeiter in gewisser Hinsicht als Verantwortlichen
fungieren (sofern
es um personenbezogene Daten geht, die er innerhalb der EU-Daten erhebt).
a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert.
b) Der Datenexorteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, u. a. wenn eine solche Weisung gegen die Verordnung (EU) 2016/679 oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt.
c) Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäß der Verordnung (EU) 2016/679 hindern würde, einschließlich im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
d) Nach Wahl des Datenimporteurs löscht der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass dies erfolgt ist, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.
a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten, auch während der Übermittlung, sowie den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art der personenbezogenen Daten (siehe Fussnote 7), der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung und ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
Fussnote 7: Hierzu zählt, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten.
b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung
einer angemessenen Sicherheit der Daten gemäß Buchstabe a.
Im Falle
einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den
vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen
Daten meldet der Datenexporteur dem Datenimporteur die Verletzung unverzüglich,
nachdem sie ihm bekannt wurde, und unterstützt den Datenimporteur bei der
Behebung der Verletzung.
c) Der Datenexporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht Prüfungen und trägt zu diesen bei.
Irrelevant für den MODUS VIER ("EU-Auftragsverarbeiter
an Drittland-Verantwortliche"). Trotzdem wird dies im letzten Punkt des
Anhang I.B
erwähnt...
Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder — bei der Datenverarbeitung durch den Datenexporteur in der Union — gemäß der Verordnung (EU) 2016/679 gestellt werden.
a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
[OPTION: Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen eine Beschwerde auch bei einer unabhängigen Streitbeilegungsstelle (siehe Fußnote 11) einreichen können, ohne dass für die betroffene Person Kosten entstehen. Er unterrichtet die betroffenen Personen in der unter Buchstabe a beschriebenen Weise über einen solchen Rechtsbehelfsmechanismus sowie darüber, dass sie nicht verpflichtet sind, davon Gebrauch zu machen oder bei der Einlegung eines Rechtsbehelfs eine bestimmte Reihenfolge einzuhalten.]
Fußnote 11: Der Datenimporteur darf eine unabhängige Streitbeilegung über eine Schiedsstelle nur dann anbieten, wenn er in einem Land niedergelassen ist, das das New Yorker Übereinkommen über die Anerkennung und Vollstreckung ausländischer Schiedssprüche ratifiziert hat.
a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
c) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
d) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
Irrelevant für den MODUS VIER ("EU-Auftragsverarbeiter
an Drittland-Verantwortliche").
Dieser Abschnitt ist der Wichtigste überhaupt. Hier reagiert die
EU-Kommission auf das EuGH-Urteil "Schrems II" vom 16.07.2020 (Az.
C311/18). Im Gegensatz zu den früheren
EU-Standardvertragsklauseln kann nun (überhaupt) nicht mehr übergangen
werden, dass in einem außereuropäischen Drittland eigene Rechtsvorschriften
und Gepflogenheiten gelten, die mit dem europäischen (Datenschutz-) Rechtsverständnis möglicherweise
nicht vereinbar sind.
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
ii) die angesichts der besonderen Umstände der Übermittlung
relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes
(einschließlich solcher, die die Offenlegung von Daten gegenüber
Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten
gestatten) sowie die geltenden Beschränkungen und Garantien, (siehe
Fußnote 12)
iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht.
f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Fußnote 12: Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.
a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel14 Buchstabe e.
b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.
a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
d) Von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn
i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder
ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Land angeben) ist.
Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von _______
(Land angeben) beigelegt.
Nur hier im "Modul VIER" darf es ein Gericht
außerhalb Europas sein.
ERLÄUTERUNG: Es muss möglich sein, die für jede Datenübermittlung oder jede Kategorie von Datenübermittlungen geltenden Informationen klar voneinander zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(e) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend, dass für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen und/oder für jedes Vertragsverhältnis getrennte Anlagen ausgefüllt und unterzeichnet werden müssen, sofern die geforderte Transparenz bei Verwendung einer einzigen Anlage erzielt werden kann. Erforderlichenfalls sollten getrennte Anlagen verwendet werden, um ausreichende Klarheit zu gewährleisten.
Die Anhänge sind gemäß Klausel
1d elementarer Bestandteil der EU-Standardvertragsklauseln.
Sie müssen gemäß Klausel
8.3 den betroffenen Personen auf Anfrage
zur Verfügung gestellt werden!
Datenexporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenexporteure und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]
Hier im Modul VIER ist der EU-Auftragsverarbeiter der
Auftragsverarbeiter des Drittland-Verantwortlichen.
1. Name: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anschrift: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Name, Funktion und Kontaktdaten der Kontaktperson: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Unterschrift und Datum: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rolle (Verantwortlicher/Auftragsverarbeiter): . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
2. ... falls es mehrere Datenexporteure gibt, so wird die Liste mit obigen Angaben hier fortgesetzt....
Datenimporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenimporteure, einschließlich jeder für den Datenschutz zuständigen Kontaktperson]
Hier im Modul VIER ist der Drittland-Verantwortliche der
Aufttraggeber der Auftragsvearbeitung. Er importiert die Daten, die der EU-Auftragsverarbeiter
für ihn innerhalb Europas erhebt.
Es ist verwunderlich, warum hier nicht auch die Kontaktdaten
des EU-Vertreters angegeben werden müssen; immerhin unterliegt er dem räumlichen
Anwendungsbereich der Verordnung (EU) 2016/679 gemäß
Artikel 3 Absatz 2.
1. Name: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anschrift: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Name, Funktion und Kontaktdaten der Kontaktperson: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Unterschrift und Datum: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rolle (Verantwortlicher/Auftragsverarbeiter): . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
2. ... falls es mehrere Datenimporteure gibt, so wird die Liste mit obigen Angaben hier fortgesetzt....
Hier wird nur die Datenübermittlung des EU-Auftragsverarbeiters
an seinen Drittland-Verantwortlichen thematisiert. Die "eigentliche"
Auftragsverarbeitung ist hiermit nicht beschrieben. Daher bedarf es eines separaten
Vertrags zur Auftragsverarbeitung gemäß Artikel
28.
Die Zwecke müssen vollständig und abschließend beschrieben werden.
Siehe Klausel 8.2.
Das überrascht, weil der Drittland-Verantwortliche nicht der Klausel
9 unterliegt; hat die EU-Kommission
vergessen diesen Punkt im Modus VIER auszuklammern?
Stand: 04.01.2022 (Hyperlink zur MS-Word-Dokumenten eingefügt)
© Das Copyright dieser Webseite liegt bei Nicholas Vollmer hinsichtlich der Auswahl, Kommentierung und Formatierung der Texte. Sie sind nicht befugt diese Inhalte zu kopieren bzw. unter eigenem Namen zu publizieren. Die hier vorliegende Webseite hat einen ganzen Arbeitstag gefordert... bitte respektieren Sie diese Arbeit. Danke!