II.      Export-Import-Standardvertrag
Vertragstext (Auszug)426:

Export-Import-Standardvertrag für personenbezogene Daten in Drittländer ohne
angemessenes Datenschutzniveau gemäß Artikel 26 Abs. 2 EG-DSRL bzw. 46 DSGVO
für den Datentransfer personenbezogener Daten an Stellen, die in Drittländern
niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist, zwischen
(Bezeichnung und Anschrift der Organisation – Exporteur in der EU) und (Bezeichnung und
Anschrift der Organisation – Importeur im Drittstaat)

Die Parteien Vereinbaren folgenden Vertrag:

Artikel 1 Begriffsdefinition und Bezeichnungen

[...]

Artikel 2 Gegenstand und Geltungsbereich

        (1) Der vorliegende Vertrag soll für die in den Anhängen 1 und 2 näher bezeichnete
            Verarbeitung personenbezogener Daten sicherstellen, dass die Persönlichkeitsrechte
            der von dem Transfer in ein Drittland ohne angemessener Datenschutz betroffenen
            Personen geschützt werden, indem die innerhalb des Geltungsbereiches der EG-
            DSRL bzw. der DSGVO geltenden Schutzregeln zwischen dem Datenexporteur und
            dem Datenimporteuer vereinbart werden.
        (2) Der vorliegende Vertrag zielt ausschließlich darauf ab, beim Datentransfer ein
            angemessenes Datenschutzniveau zu schaffen und ersetzt nicht die darüber hinaus
            gehende Zulässigkeitsprüfung durch den Exporteur als verantwortliche Stelle. De
            Exporteur garantiert im Falle von Transfers deren Zulässigkeit.

Artikel 3 Einzelheiten des Transfers

[...]

Artikel 4 Pflichten des Exporteurs

Der Exporteur garantiert, dass

        a) Die Verarbeitung personenbezogener Daten einschließlich des Transfers
           entsprechend die Bestimmungen des anwendbaren, in Europa geltende
           Datenschutzrecht durchgeführt wurde und auch weiterhin durchgeführt wird;
        b) Alle nötigen rechtlichen Voraussetzungen für die Zulässigkeit des Transfers (z.B. die
           Durchführung der Mitbestimmung) vor Abschluss dieses Vertrages geschaffen sind;
        c) Er sich davon überzeugt hat, dass der Importeur seine Rechtspflichten aus dem
           vorliegenden Vertrag zu erfüllen in der Lage ist, dass dieser insbesondere
           hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag

426
  Volltext siehe Schuler/Weichert, „Ein „Export-Import-Standartvertrag“ für den Drittauslands-
Datentransfer“ (2016), Datenschutz und Datensicherheit, Heft 6, S. 388-390.

                                                 126

beschriebenen technischen und organisatorischen Maßnahmen und das Ergebnis
           der Prüfung schriftlich dokumentiert ist. Die Prüfung ist während des Bestehens des
           Vertrags in regelmäßigen Abständen zu wiederholen und ebenfalls zu
           dokumentieren;
        d) Er für die Einhaltung datenschutzrechtlicher Pflichten des Importeurs hinsichtlich der
           transferierten Daten sorgt und diesen während der gesamten Vertragsdauer anweist,
           wie die transferierten personenbezogenen Daten in Übereinstimmung mit den
           Bestimmungen des für ihn selbst anwendbaren, in Europa geltenden
           Datenschutzrechts zu verarbeiten sind, unabhängig davon, ob es sich um Daten der
           Transferkategorie 1 oder 2 handelt
           [...]

Artikel 5 Pflichten des Importeurs

Der Importeur garantiert, dass

        a) Er die vom Exporteur transferierten personenbezogenen Daten entsprechend den
           Bestimmungen des für den Exporteur anwendbaren in Europa geltenden
           Datenschutzrechts und nur entsprechend dem in Anhang 1 vereinbarten Umfang und
           zu den dort vereinbarten Zwecken verarbeitet;
           [...]

Artikel 6 Haftung und Sanktionen

        (1) Die Parteien vereinbaren, dass jede Person, die durch eine Verletzung der in Artikel 5
            genannten Pflichten einen Schaden erlitten hat, berechtigt ist, vom Exporteur
            Schadenersatz für den erlittenen Schaden zu erlangen. Erfolgt durch die unzulässige
            Datenverarbeitung für eine Person eine schwerwiegende Beeinträchtigung ihres
            Rechts auf Datenschutz, so hat sie darüber hinausgehend gegenüber dem Exporteur
            einen Anspruch auf angemessene Geldentschädigung
            [...]

Artikel 7 Drittbegünstigungsklausel

[...]

Artikel 8 Änderung des Vertrags

[...]

Artikel 9 Beendigung des Vertrags

[...]

Artikel 10 Anwendbares Recht

Für den vorliegenden Vertrag gilt das Recht des Mitgliedsstaats der EU, in dem der
Exporteur niedergelassen ist, nämlich (XY).


                                                 127

Anhang 1 Beschreibung der Datenverarbeitung

Allgemeine Angaben (XY)

Datenexporteur und fachverantwortliche Stelle (XY)

Datenimporteur und fachverantwortliche Stelle (XY)

Bezeichnung des Verfahrens, das den Transfer erforderlich macht (XY)

Beschreibung der Verarbeitungsschritte des Verfahrens, in denen die transferierten Daten
verarbeitet werden sollen (XY)

Beschreibung des generellen Zwecks, der durch den Transfer der Daten erreicht werden soll
(XY)

Beschreibung der Daten (XY)

(Gruppe) pbz. Daten (XY)

Transferkategorie (1/2) (XY)

Bez. Arten pbz. Daten

Betroffene Personen / Gruppen (XY)

Zulässige Verarbeitungsschritte für diese Daten (Transferkategorie        1)    Zulässiger
Nutzungszweck für diese Daten (Transferkategorie 2) (XY)

Löschfrist (XY)

Behandlung bei Vertragsende (Rückgabe, Löschung, Entsorgung, Zeitpunkt) (XY)

Anhang 2 Technisch-organisatorische Maßnahmen

Der Importeur ergreift zur Verwirklichung der Schutzziele

   •   Datensparsamkeit
   •   Verfügbarkeit
   •   Integrität
   •   Vertraulichkeit
   •   Nichtverkettbarkeit
   •   Transparenz
   •   Intervenierbarkeit

Folgende technisch-organisatorische Maßnahmen gemäß Art. 17 EG-DSRL bzw. Art. 32
DSGVO:

Zur Absicherung des Transfers der Daten zwischen Exporteur und Importeur (XY)

Zum Schutz der Daten auf den Systemen und im Zuständigkeitsbereich des Importeurs (XY)

                                             128

Zur sicheren Umsetzung aller in dem vorliegenden Vertrag getroffenen Vereinbarungen und
resultierenden Pflichten (XY)

Anhang 3 Verträge zur Datenweitergabe durch den Importeur

[...]

Ob die Adressaten des Vorschlags wie die EU-Kommission, Unternehmen, die am
Datentransfer zwischen Europa und Drittländern beteiligt sind, Datenschutzbehörden,
Betriebsräte und Unternehmensverbände, den “Export-Import-Standartvertrag“ als
Grundlage für ihr weiteres Verhalten und Handeln nutzen, bleibt abzuwarten.

Zusammenfassend lässt sich sagen, dass die größten Probleme im Bereich der
Rechtsdurchsetzung das Unwissen der Bürger ist, wie sie sich im Falle einer
Datenschutzverletzung verhalten sollen, der Ressourcen- und Personalmangel in den
Aufsichtsbehörden und zum Teil auch nicht zu Ende durchdachte gesetzliche
Neuregelungen die zu erheblichen Unsicherheiten auf allen Ebenen führen.




                                         129

Sachverständigenrat für Verbraucherfragen
Der Sachverständigenrat für Verbraucherfragen ist ein Beratungsgremium des Bundesministeriums
der Justiz und für Verbraucherschutz (BMJV). Er wurde im November 2014 vom Bundesminister
der Justiz und für Verbraucherschutz, Heiko Maas, eingerichtet. Der Sachverständigenrat für Ver-
braucherfragen soll auf der Basis wissenschaftlicher Erkenntnisse und unter Berücksichtigung der
Erfahrungen aus der Praxis das Bundesministerium der Justiz und für Verbraucherschutz bei der
Gestaltung der Verbraucherpolitik unterstützen.

Der Sachverständigenrat ist unabhängig und hat seinen Sitz in Berlin.

Vorsitzende des Sachverständigenrats ist Prof. Dr. Lucia Reisch.