svrv-wp03-verbraucherdatenschutz-im-internet-der-dinge
Dieses Dokument ist Teil der Anfrage „Gutachten des Sachverständigenrats für Verbraucherfragen“
II. Export-Import-Standardvertrag
Vertragstext (Auszug)426:
Export-Import-Standardvertrag für personenbezogene Daten in Drittländer ohne
angemessenes Datenschutzniveau gemäß Artikel 26 Abs. 2 EG-DSRL bzw. 46 DSGVO
für den Datentransfer personenbezogener Daten an Stellen, die in Drittländern
niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist, zwischen
(Bezeichnung und Anschrift der Organisation – Exporteur in der EU) und (Bezeichnung und
Anschrift der Organisation – Importeur im Drittstaat)
Die Parteien Vereinbaren folgenden Vertrag:
Artikel 1 Begriffsdefinition und Bezeichnungen
[...]
Artikel 2 Gegenstand und Geltungsbereich
(1) Der vorliegende Vertrag soll für die in den Anhängen 1 und 2 näher bezeichnete
Verarbeitung personenbezogener Daten sicherstellen, dass die Persönlichkeitsrechte
der von dem Transfer in ein Drittland ohne angemessener Datenschutz betroffenen
Personen geschützt werden, indem die innerhalb des Geltungsbereiches der EG-
DSRL bzw. der DSGVO geltenden Schutzregeln zwischen dem Datenexporteur und
dem Datenimporteuer vereinbart werden.
(2) Der vorliegende Vertrag zielt ausschließlich darauf ab, beim Datentransfer ein
angemessenes Datenschutzniveau zu schaffen und ersetzt nicht die darüber hinaus
gehende Zulässigkeitsprüfung durch den Exporteur als verantwortliche Stelle. De
Exporteur garantiert im Falle von Transfers deren Zulässigkeit.
Artikel 3 Einzelheiten des Transfers
[...]
Artikel 4 Pflichten des Exporteurs
Der Exporteur garantiert, dass
a) Die Verarbeitung personenbezogener Daten einschließlich des Transfers
entsprechend die Bestimmungen des anwendbaren, in Europa geltende
Datenschutzrecht durchgeführt wurde und auch weiterhin durchgeführt wird;
b) Alle nötigen rechtlichen Voraussetzungen für die Zulässigkeit des Transfers (z.B. die
Durchführung der Mitbestimmung) vor Abschluss dieses Vertrages geschaffen sind;
c) Er sich davon überzeugt hat, dass der Importeur seine Rechtspflichten aus dem
vorliegenden Vertrag zu erfüllen in der Lage ist, dass dieser insbesondere
hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag
426
Volltext siehe Schuler/Weichert, „Ein „Export-Import-Standartvertrag“ für den Drittauslands-
Datentransfer“ (2016), Datenschutz und Datensicherheit, Heft 6, S. 388-390.
126
beschriebenen technischen und organisatorischen Maßnahmen und das Ergebnis
der Prüfung schriftlich dokumentiert ist. Die Prüfung ist während des Bestehens des
Vertrags in regelmäßigen Abständen zu wiederholen und ebenfalls zu
dokumentieren;
d) Er für die Einhaltung datenschutzrechtlicher Pflichten des Importeurs hinsichtlich der
transferierten Daten sorgt und diesen während der gesamten Vertragsdauer anweist,
wie die transferierten personenbezogenen Daten in Übereinstimmung mit den
Bestimmungen des für ihn selbst anwendbaren, in Europa geltenden
Datenschutzrechts zu verarbeiten sind, unabhängig davon, ob es sich um Daten der
Transferkategorie 1 oder 2 handelt
[...]
Artikel 5 Pflichten des Importeurs
Der Importeur garantiert, dass
a) Er die vom Exporteur transferierten personenbezogenen Daten entsprechend den
Bestimmungen des für den Exporteur anwendbaren in Europa geltenden
Datenschutzrechts und nur entsprechend dem in Anhang 1 vereinbarten Umfang und
zu den dort vereinbarten Zwecken verarbeitet;
[...]
Artikel 6 Haftung und Sanktionen
(1) Die Parteien vereinbaren, dass jede Person, die durch eine Verletzung der in Artikel 5
genannten Pflichten einen Schaden erlitten hat, berechtigt ist, vom Exporteur
Schadenersatz für den erlittenen Schaden zu erlangen. Erfolgt durch die unzulässige
Datenverarbeitung für eine Person eine schwerwiegende Beeinträchtigung ihres
Rechts auf Datenschutz, so hat sie darüber hinausgehend gegenüber dem Exporteur
einen Anspruch auf angemessene Geldentschädigung
[...]
Artikel 7 Drittbegünstigungsklausel
[...]
Artikel 8 Änderung des Vertrags
[...]
Artikel 9 Beendigung des Vertrags
[...]
Artikel 10 Anwendbares Recht
Für den vorliegenden Vertrag gilt das Recht des Mitgliedsstaats der EU, in dem der
Exporteur niedergelassen ist, nämlich (XY).
127
Anhang 1 Beschreibung der Datenverarbeitung
Allgemeine Angaben (XY)
Datenexporteur und fachverantwortliche Stelle (XY)
Datenimporteur und fachverantwortliche Stelle (XY)
Bezeichnung des Verfahrens, das den Transfer erforderlich macht (XY)
Beschreibung der Verarbeitungsschritte des Verfahrens, in denen die transferierten Daten
verarbeitet werden sollen (XY)
Beschreibung des generellen Zwecks, der durch den Transfer der Daten erreicht werden soll
(XY)
Beschreibung der Daten (XY)
(Gruppe) pbz. Daten (XY)
Transferkategorie (1/2) (XY)
Bez. Arten pbz. Daten
Betroffene Personen / Gruppen (XY)
Zulässige Verarbeitungsschritte für diese Daten (Transferkategorie 1) Zulässiger
Nutzungszweck für diese Daten (Transferkategorie 2) (XY)
Löschfrist (XY)
Behandlung bei Vertragsende (Rückgabe, Löschung, Entsorgung, Zeitpunkt) (XY)
Anhang 2 Technisch-organisatorische Maßnahmen
Der Importeur ergreift zur Verwirklichung der Schutzziele
• Datensparsamkeit
• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Nichtverkettbarkeit
• Transparenz
• Intervenierbarkeit
Folgende technisch-organisatorische Maßnahmen gemäß Art. 17 EG-DSRL bzw. Art. 32
DSGVO:
Zur Absicherung des Transfers der Daten zwischen Exporteur und Importeur (XY)
Zum Schutz der Daten auf den Systemen und im Zuständigkeitsbereich des Importeurs (XY)
128
Zur sicheren Umsetzung aller in dem vorliegenden Vertrag getroffenen Vereinbarungen und
resultierenden Pflichten (XY)
Anhang 3 Verträge zur Datenweitergabe durch den Importeur
[...]
Ob die Adressaten des Vorschlags wie die EU-Kommission, Unternehmen, die am
Datentransfer zwischen Europa und Drittländern beteiligt sind, Datenschutzbehörden,
Betriebsräte und Unternehmensverbände, den “Export-Import-Standartvertrag“ als
Grundlage für ihr weiteres Verhalten und Handeln nutzen, bleibt abzuwarten.
Zusammenfassend lässt sich sagen, dass die größten Probleme im Bereich der
Rechtsdurchsetzung das Unwissen der Bürger ist, wie sie sich im Falle einer
Datenschutzverletzung verhalten sollen, der Ressourcen- und Personalmangel in den
Aufsichtsbehörden und zum Teil auch nicht zu Ende durchdachte gesetzliche
Neuregelungen die zu erheblichen Unsicherheiten auf allen Ebenen führen.
129
Sachverständigenrat für Verbraucherfragen Der Sachverständigenrat für Verbraucherfragen ist ein Beratungsgremium des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV). Er wurde im November 2014 vom Bundesminister der Justiz und für Verbraucherschutz, Heiko Maas, eingerichtet. Der Sachverständigenrat für Ver- braucherfragen soll auf der Basis wissenschaftlicher Erkenntnisse und unter Berücksichtigung der Erfahrungen aus der Praxis das Bundesministerium der Justiz und für Verbraucherschutz bei der Gestaltung der Verbraucherpolitik unterstützen. Der Sachverständigenrat ist unabhängig und hat seinen Sitz in Berlin. Vorsitzende des Sachverständigenrats ist Prof. Dr. Lucia Reisch.