ISSN 1977-0642

Amtsblatt

der Europäischen Union

L 199

European flag  

Ausgabe in deutscher Sprache

Rechtsvorschriften

64. Jahrgang
7. Juni 2021


Inhalt

 

II   Rechtsakte ohne Gesetzescharakter

Seite

 

 

VERORDNUNGEN

 

*

Durchführungsverordnung (EU) 2021/909 der Kommission vom 31. Mai 2021 zur Einreihung bestimmter Waren in die Kombinierte Nomenklatur

1

 

*

Durchführungsverordnung (EU) 2021/910 der Kommission vom 31. Mai 2021 zur Einreihung bestimmter Waren in die Kombinierte Nomenklatur

4

 

*

Durchführungsverordnung (EU) 2021/911 der Kommission vom 31. Mai 2021 zur Einreihung bestimmter Waren in die Kombinierte Nomenklatur

7

 

*

Durchführungsverordnung (EU) 2021/912 der Kommission vom 4. Juni 2021 zur Genehmigung von Änderungen der Spezifikationen des neuartigen Lebensmittels Lacto-N-neotetraose (mikrobiell) und zur Änderung der Durchführungsverordnung (EU) 2017/2470 ( 1 )

10

 

 

BESCHLÜSSE

 

*

Durchführungsbeschluss (EU) 2021/913 der Kommission vom 3. Juni 2021 über die harmonisierten Normen für Haushaltsgeschirrspüler zur Unterstützung der Verordnung (EU) 2019/2022 und der Delegierten Verordnung (EU) 2019/2017

13

 

*

Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates ( 1 )

18

 

*

Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ( 1 )

31

 


 

(1)   Text von Bedeutung für den EWR.

DE

Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben.

Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte.


II Rechtsakte ohne Gesetzescharakter

VERORDNUNGEN

7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/1


DURCHFÜHRUNGSVERORDNUNG (EU) 2021/909 DER KOMMISSION

vom 31. Mai 2021

zur Einreihung bestimmter Waren in die Kombinierte Nomenklatur

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates vom 9. Oktober 2013 zur Festlegung des Zollkodex der Union (1), insbesondere auf Artikel 57 Absatz 4 und Artikel 58 Absatz 2,

in Erwägung nachstehender Gründe:

(1)

Um die einheitliche Anwendung der Kombinierten Nomenklatur im Anhang der Verordnung (EWG) Nr. 2658/87 des Rates (2) zu gewährleisten, sind Vorschriften für die Einreihung der im Anhang der vorliegenden Verordnung aufgeführten Waren zu erlassen.

(2)

In der Verordnung (EWG) Nr. 2658/87 sind allgemeine Vorschriften für die Auslegung der Kombinierten Nomenklatur festgelegt. Diese Vorschriften gelten auch für die Auslegung jeder anderen Nomenklatur, die die Kombinierte Nomenklatur — auch nur teilweise oder unter etwaiger Hinzufügung von Unterteilungen — übernimmt und die aufgrund besonderer Regelungen der Union aufgestellt wurde, um tarifliche oder sonstige Maßnahmen im Rahmen des Warenverkehrs anzuwenden.

(3)

In Anwendung dieser allgemeinen Vorschriften sind die in Spalte 1 der Tabelle im Anhang dieser Verordnung genannten Waren mit den in Spalte 3 genannten Begründungen in den in Spalte 2 der Tabelle angegebenen KN-Code einzureihen.

(4)

Es ist angemessen vorzusehen, dass die verbindlichen Zolltarifauskünfte, die für die von dieser Verordnung betroffenen Waren erteilt wurden und mit dieser Verordnung nicht übereinstimmen, während eines bestimmten Zeitraums von dem Inhaber gemäß Artikel 34 Absatz 9 der Verordnung (EU) Nr. 952/2013 weiterhin verwendet werden können. Dieser Zeitraum sollte auf drei Monate festgelegt werden.

(5)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses für den Zollkodex —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Die in Spalte 1 der Tabelle im Anhang beschriebenen Waren werden in die Kombinierte Nomenklatur unter den in Spalte 2 der Tabelle genannten KN-Code eingereiht.

Artikel 2

Verbindliche Zolltarifauskünfte, die mit dieser Verordnung nicht übereinstimmen, können gemäß Artikel 34 Absatz 9 der Verordnung (EU) Nr. 952/2013 für einen Zeitraum von drei Monaten ab Inkrafttreten dieser Verordnung weiterhin verwendet werden.

Artikel 3

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 31. Mai 2021

Für die Kommission,

im Namen der Präsidentin,

Gerassimos THOMAS

Generaldirektor

Generaldirektion Steuern und Zollunion


(1)   ABl. L 269 vom 10.10.2013, S. 1.

(2)  Verordnung (EWG) Nr. 2658/87 des Rates vom 23. Juli 1987 über die zolltarifliche und statistische Nomenklatur sowie den Gemeinsamen Zolltarif (ABl. L 256 vom 7.9.1987, S. 1).


ANHANG

Warenbezeichnung

Einreihung (KN-Code)

Begründung

(1)

(2)

(3)

Eine biegsame Ware (sogenannte Schwimmnudel) aus Zellkunststoff (Schaumkunststoff) in Form eines hohlen Rohrs mit einer Länge von etwa 1 m und einem Durchmesser von etwa 8 cm. Die Ware schwimmt auf dem Wasser und ist dazu bestimmt, als Auftriebshilfe entsprechend einer europäischen Norm für Auftriebshilfen für das Schwimmenlernen (EN 13138-2: 2014) verwendet zu werden. Die Ware wirkt außerdem stoßdämpfend und wärmeisolierend.

Siehe Abbildungen  (*1)

3926 90 97

Einreihung gemäß den Allgemeinen Vorschriften 1 und 6 für die Auslegung der Kombinierten Nomenklatur sowie nach dem Wortlaut der KN-Codes 3926 , 3926 90 und 3926 90 97 .

Eine Einreihung der Ware in die Position 9506 als Gerät oder Ausrüstungsgegenstand für die allgemeine körperliche Ertüchtigung, Gymnastik, Leicht- und Schwerathletik, andere Sportarten oder Freiluftspiele ist ausgeschlossen, da sie aufgrund der einfachen und gängigen Form nicht als ein für die körperliche Ertüchtigung oder Sport bestimmtes Gerät der Position 9506 erkennbar ist, obwohl die Ware aufgrund ihrer Schwimmfähigkeit der Norm für Auftriebshilfen für das Schwimmenlernen entspricht. Zudem könnte die Ware aufgrund ihrer einfachen Form und ihres gängigen Materials für verschiedene Zwecke (beispielsweise als stoßdämpfende Umhüllung von Stangen, zur Wärmedämmung von Rohren oder als Ware zur Unterhaltung von Kindern) verwendet werden.

Genauso ist eine Einreihung in die Position 9503 als anderes Spielzeug ausgeschlossen, da die Ware aufgrund ihrer Machart nicht eindeutig als Ware zur Unterhaltung von Kindern oder Erwachsenen erkennbar ist.

Folglich ist die Ware nach ihrer stofflichen Beschaffenheit (Kunststoff) einzureihen.

Die Ware ist daher in den KN-Code 3926 90 97 als andere Ware aus Kunststoffen einzureihen.


(*1)  Die Abbildungen dienen lediglich der Information.

Image 1


7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/4


DURCHFÜHRUNGSVERORDNUNG (EU) 2021/910 DER KOMMISSION

vom 31. Mai 2021

zur Einreihung bestimmter Waren in die Kombinierte Nomenklatur

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates vom 9. Oktober 2013 zur Festlegung des Zollkodex der Union (1), insbesondere auf Artikel 57 Absatz 4 und Artikel 58 Absatz 2,

in Erwägung nachstehender Gründe:

(1)

Um die einheitliche Anwendung der Kombinierten Nomenklatur im Anhang der Verordnung (EWG) Nr. 2658/87 des Rates (2) zu gewährleisten, sind Vorschriften für die Einreihung der im Anhang der vorliegenden Verordnung aufgeführten Waren zu erlassen.

(2)

In der Verordnung (EWG) Nr. 2658/87 sind allgemeine Vorschriften für die Auslegung der Kombinierten Nomenklatur festgelegt. Diese Vorschriften gelten auch für die Auslegung jeder anderen Nomenklatur, die die Kombinierte Nomenklatur — auch nur teilweise oder unter etwaiger Hinzufügung von Unterteilungen — übernimmt und die aufgrund besonderer Regelungen der Union aufgestellt wurde, um tarifliche oder sonstige Maßnahmen im Rahmen des Warenverkehrs anzuwenden.

(3)

In Anwendung dieser allgemeinen Vorschriften sind die in Spalte 1 der Tabelle im Anhang dieser Verordnung genannten Waren mit den in Spalte 3 genannten Begründungen in den in Spalte 2 der Tabelle angegebenen KN-Code einzureihen.

(4)

Es ist angemessen vorzusehen, dass die verbindlichen Zolltarifauskünfte, die für die von dieser Verordnung betroffenen Waren erteilt wurden und mit dieser Verordnung nicht übereinstimmen, während eines bestimmten Zeitraums von dem Inhaber gemäß Artikel 34 Absatz 9 der Verordnung (EU) Nr. 952/2013 weiterhin verwendet werden können. Dieser Zeitraum sollte auf drei Monate festgelegt werden.

(5)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses für den Zollkodex —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Die in Spalte 1 der Tabelle im Anhang beschriebenen Waren werden in die Kombinierte Nomenklatur unter den in Spalte 2 der Tabelle genannten KN-Code eingereiht.

Artikel 2

Verbindliche Zolltarifauskünfte, die mit dieser Verordnung nicht übereinstimmen, können gemäß Artikel 34 Absatz 9 der Verordnung (EU) Nr. 952/2013 für einen Zeitraum von drei Monaten ab Inkrafttreten dieser Verordnung weiterhin verwendet werden.

Artikel 3

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 31. Mai 2021

Für die Kommission

im Namen der Präsidentin,

Gerassimos THOMAS

Generaldirektor

Generaldirektion Steuern und Zollunion


(1)   ABl. L 269 vom 10.10.2013, S. 1.

(2)  Verordnung (EWG) Nr. 2658/87 des Rates vom 23. Juli 1987 über die zolltarifliche und statistische Nomenklatur sowie den Gemeinsamen Zolltarif (ABl. L 256 vom 7.9.1987, S. 1).


ANHANG

Warenbezeichnung

Einreihung

(KN-Code)

Begründung

(1)

(2)

(3)

Cermet-Stäbchen mit gleichförmigem, rundem Querschnitt. Die Waren mit unterschiedlichen Längen und Durchmessern können entweder massiv oder gelocht und mit Kühlkanälen versehen sein; die Enden sind stumpf. Manche der Waren sind auch gefast.

Die Waren bestehen aus Cermet, und zwar aus gesintertem Hartmetall auf der Grundlage von Wolframcarbid und Cobalt als Bindemittel.

Aufgrund ihres geringen Verarbeitungsgrades sowie der einfachen Form und Gestaltung können die Waren für eine Vielzahl von Verwendungszwecken eingesetzt werden, etwa als Verstärkungselemente. Weitergehend verarbeitet können die Waren für Werkzeuge und als Werkzeuge verwendet werden.

8113 00 90

Einreihung gemäß den Allgemeinen Vorschriften 1 und 6 für die Auslegung der Kombinierten Nomenklatur, Anmerkung 4 zu Abschnitt XV sowie dem Wortlaut der KN-Codes 8113 00 und 8113 00 90 .

Eine Einreihung in den KN-Code 8209 00 80 als Stäbchen und ähnliche Formstücke für Werkzeuge, nicht gefasst, aus Cermets, ist ausgeschlossen, weil die Waren nur dann für Werkzeuge und als Werkzeuge verwendet werden können, wenn sie weiterverarbeitet werden, und auch für andere Zwecke geeignet sind.

Die Waren fallen unter die Position 8113 , die Cermets in Rohformen oder als Waren, die von anderen Positionen nicht erfasst werden, umfasst (siehe auch HS-Erläuterungen zu Position 8113 , Absatz 6).

Die Waren sind daher als Cermets und Waren daraus in den KN-Code 8113 00 90 einzureihen.


7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/7


DURCHFÜHRUNGSVERORDNUNG (EU) 2021/911 DER KOMMISSION

vom 31. Mai 2021

zur Einreihung bestimmter Waren in die Kombinierte Nomenklatur

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates vom 9. Oktober 2013 zur Festlegung des Zollkodex der Union (1), insbesondere auf Artikel 57 Absatz 4 und Artikel 58 Absatz 2,

in Erwägung nachstehender Gründe:

(1)

Um die einheitliche Anwendung der Kombinierten Nomenklatur im Anhang der Verordnung (EWG) Nr. 2658/87 des Rates (2) zu gewährleisten, sind Vorschriften für die Einreihung der im Anhang der vorliegenden Verordnung aufgeführten Waren zu erlassen.

(2)

In der Verordnung (EWG) Nr. 2658/87 sind allgemeine Vorschriften für die Auslegung der Kombinierten Nomenklatur festgelegt. Diese Vorschriften gelten auch für die Auslegung jeder anderen Nomenklatur, die die Kombinierte Nomenklatur — auch nur teilweise oder unter etwaiger Hinzufügung von Unterteilungen — übernimmt und die aufgrund besonderer Regelungen der Union aufgestellt wurde, um tarifliche oder sonstige Maßnahmen im Rahmen des Warenverkehrs anzuwenden.

(3)

In Anwendung dieser allgemeinen Vorschriften sind die in Spalte 1 der Tabelle im Anhang dieser Verordnung genannten Waren mit den in Spalte 3 genannten Begründungen in den in Spalte 2 der Tabelle angegebenen KN-Code einzureihen.

(4)

Es ist angemessen vorzusehen, dass die verbindlichen Zolltarifauskünfte, die für die von dieser Verordnung betroffenen Waren erteilt wurden und mit dieser Verordnung nicht übereinstimmen, während eines bestimmten Zeitraums von dem Inhaber gemäß Artikel 34 Absatz 9 der Verordnung (EU) Nr. 952/2013 weiterhin verwendet werden können. Dieser Zeitraum sollte auf drei Monate festgelegt werden.

(5)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses für den Zollkodex —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Die in Spalte 1 der Tabelle im Anhang beschriebenen Waren werden in die Kombinierte Nomenklatur unter den in Spalte 2 der Tabelle genannten KN-Code eingereiht.

Artikel 2

Verbindliche Zolltarifauskünfte, die mit dieser Verordnung nicht übereinstimmen, können gemäß Artikel 34 Absatz 9 der Verordnung (EU) Nr. 952/2013 für einen Zeitraum von drei Monaten ab Inkrafttreten dieser Verordnung weiterhin verwendet werden.

Artikel 3

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 31. Mai 2021

Für die Kommission

im Namen der Präsidentin,

Gerassimos THOMAS

Generaldirektor

Generaldirektion Steuern und Zollunion


(1)   ABl. L 269 vom 10.10.2013, S. 1.

(2)  Verordnung (EWG) Nr. 2658/87 des Rates vom 23. Juli 1987 über die zolltarifliche und statistische Nomenklatur sowie den Gemeinsamen Zolltarif (ABl. L 256 vom 7.9.1987, S. 1).


ANHANG

Warenbezeichnung

Einreihung

(KN-Code)

Begründung

(1)

(2)

(3)

Transportroller für Möbel bestehend aus:

einer Holzwerkstoffplatte (Faserplatte mit abgerundeten Ecken und Kanten);

Antirutschpads aus Kunststoff auf der Oberseite der Platte;

Kunststoffrollen;

Metallhalterungen zur Befestigung der Kunststoffrollen an der Unterseite der Platten.

Die Ware verfügt über eine Griffaussparung, um sie — z. B. mit der Hand — tragen oder an der Wand aufhängen zu können.

Die Ware ist zum Transport verschiedener Gegenstände, insbesondere von Möbeln und anderen schweren Gegenständen, bestimmt.

(Siehe Abbildung)  (*1).

4421 99 10

Einreihung gemäß den Allgemeinen Vorschriften 1, 3 b) und 6 für die Auslegung der Kombinierten Nomenklatur, Anmerkung 3 zu Kapitel 44 sowie nach dem Wortlaut der KN-Codes 4421 , 4421 99 und 4421 99 10 .

Eine Einreihung in den KN-Code 8716 80 00 als andere nicht selbstfahrende Fahrzeuge ist ausgeschlossen, da die objektiven Merkmale und Eigenschaften der Ware nicht vollständig mit dem Wortlaut der Position 8716 und des KN-Codes 8716 80 00 übereinstimmen.

Aufgrund ihrer objektiven Merkmale und Eigenschaften, einschließlich einer Griffaussparung, die nicht dazu dient, die Ware mit dem Fuß anzuschieben oder mit der Hand zu schieben, und ihrer Aufmachung für die Beförderung schwerer Gegenstände wie Möbel durch Schieben der Gegenstände, ist die Ware nicht dazu bestimmt, von anderen Fahrzeugen gezogen, mit der Hand geschoben oder gezogen, mit dem Fuß angeschoben oder von Tieren gezogen zu werden (siehe auch HS-Erläuterungen zu Position 8716 , Absatz 2).

Die Ware kann nicht als Fahrzeug angesehen werden, da ihr einige Merkmale und Eigenschaften eines „Fahrzeugs zum Ziehen oder Schieben mit der Hand oder mit dem Fuß angeschoben“ der Position 8716 fehlen, da sie weder ein Wagen, Karren, Handwagen oder Handtransportkarren ist, noch aus einem bestimmten Teil eines Fahrzeugs wie einem Fahrgestell besteht.

Folglich ist die Ware nach ihrer stofflichen Beschaffenheit einzureihen.

Bei der Ware handelt es sich um eine zusammengesetzte Ware, die aus verschiedenen Materialien (Holz, Kunststoff und Metall) besteht. Der Bestandteil, der der Ware ihren wesentlichen Charakter verleiht, ist Holz, da die Holzplatte den Hauptteil der zusammengesetzten Ware darstellt und für die vorgesehene Verwendung der Ware von größter Bedeutung ist.

Die Ware ist daher als andere Ware aus Faserplatten in den KN-Code 4421 99 10 einzureihen.

Image 2


(*1)  Die Abbildung dient nur zur Information.


7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/10


DURCHFÜHRUNGSVERORDNUNG (EU) 2021/912 DER KOMMISSION

vom 4. Juni 2021

zur Genehmigung von Änderungen der Spezifikationen des neuartigen Lebensmittels Lacto-N-neotetraose (mikrobiell) und zur Änderung der Durchführungsverordnung (EU) 2017/2470

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2015/2283 des Europäischen Parlaments und des Rates vom 25. November 2015 über neuartige Lebensmittel, zur Änderung der Verordnung (EU) Nr. 1169/2011 des Europäischen Parlaments und des Rates und zur Aufhebung der Verordnung (EG) Nr. 258/97 des Europäischen Parlaments und des Rates und der Verordnung (EG) Nr. 1852/2001 der Kommission (1), insbesondere auf Artikel 12,

in Erwägung nachstehender Gründe:

(1)

Gemäß der Verordnung (EU) 2015/2283 dürfen in der Union nur zugelassene und in die Unionsliste aufgenommene neuartige Lebensmittel in Verkehr gebracht werden.

(2)

Gemäß Artikel 8 der Verordnung (EU) 2015/2283 wurde die Durchführungsverordnung (EU) 2017/2470 der Kommission (2) erlassen, mit der eine Unionsliste der zugelassenen neuartigen Lebensmittel erstellt wurde.

(3)

Gemäß Artikel 12 der Verordnung (EU) 2015/2283 übermittelt die Kommission den Entwurf eines Durchführungsrechtsakts zur Genehmigung des Inverkehrbringens eines neuartigen Lebensmittels in der Union und zur Aktualisierung der Unionsliste.

(4)

Mit dem Durchführungsbeschluss (EU) 2016/375 der Kommission (3) wurde das Inverkehrbringen von chemisch synthetisierter Lacto-N-neotetraose als neuartige Lebensmittelzutat im Sinne der Verordnung (EG) Nr. 258/97 des Europäischen Parlaments und des Rates (4) genehmigt.

(5)

Am 1. September 2016 informierte das Unternehmen Glycom A/S die Kommission gemäß Artikel 5 der Verordnung (EG) Nr. 258/97 von seiner Absicht, mikrobielle Lacto-N-neotetraose, hergestellt mit Escherichia coli (Stamm K-12), in Verkehr zu bringen.

(6)

In der Mitteilung an die Kommission übermittelte Glycom A/S auch einen Bericht, der von der zuständigen Behörde Irlands gemäß Artikel 3 Absatz 4 der Verordnung (EG) Nr. 258/97 vorgelegt wurde und der auf der Grundlage der von diesem Unternehmen vorgelegten wissenschaftlichen Daten zu dem Schluss gekommen war, dass Lacto-N--neotetraose, hergestellt mit Escherichia coli (Stamm K-12), der mit dem Durchführungsbeschluss (EU) 2016/375 genehmigten synthetischen Lacto-N-neotetraose im Wesentlichen gleichwertig ist. Deshalb wurde Lacto-N-neotetraose mikrobiellen Ursprungs in die Unionsliste der neuartigen Lebensmittel aufgenommen.

(7)

Am 23. Juni 2019 stellte das Unternehmen Chr. Hansen A/S (im Folgenden der „Antragsteller“) bei der Kommission gemäß Artikel 10 Absatz 1 der Verordnung (EU) 2015/2283 einen Antrag auf Zulassung von Lacto-N-neotetraose (mikrobiell), hergestellt durch die kombinierte Aktivität der abgeleiteten Stämme PS-LNnT-JBT und DS-LNnT-JBT von Escherichia coli Stamm BL21(DE3), als neuartiges Lebensmittel unter denselben Verwendungsbedingungen wie sie derzeit für Lacto-N-neotetraose synthetischen und mikrobiellen Ursprungs zugelassen sind. Der Antragsteller beantragte eine Aktualisierung der Unionsliste in Bezug auf die neue Quelle dieses neuartigen Lebensmittels.

(8)

Darüber hinaus schlug der Antragsteller vor, einige der Spezifikationen für Lacto-N-neotetraose (mikrobiell) aus dieser neuen Quelle zu aktualisieren, da sie sich von den Spezifikationen der zugelassenen mit Escherichia coli (Stamm K-12) hergestellten Lacto-N-neotetraose insofern unterscheiden, als sie einen von ≤ 0,4 % auf ≤ 1,0 % erhöhten Aschegehalt, einen von den derzeit ≤ 10 koloniebildenden Einheiten („KBE“)/g des neuartigen Lebensmittels für jede Art von Mikroorganismus auf ≤ 50 KBE/g für die Kombination aus beiden erhöhten Gehalt an Hefen und Schimmelpilzen sowie das Nichtvorhandensein von Methanol (im Vergleich zu den derzeitigen ≤ 100 mg/kg) und von Lacto-N-neotetraose-Fructose-Isomer (im Vergleich zum derzeitigen Gehalt von ≤ 1,0 %) vorsehen.

(9)

Am 17. Januar 2020 ersuchte die Kommission die Europäische Behörde für Lebensmittelsicherheit (im Folgenden die „Behörde“), Lacto-N-neotetraose, hergestellt durch die kombinierte Aktivität der abgeleiteten Stämme PS-LNnT-JBT und DS-LNnT-JBT von Escherichia coli Stamm BL21(DE3), gemäß den Anforderungen von Artikel 11 der Verordnung (EU) 2015/2283 zu bewerten.

(10)

Am 22. Oktober 2020 nahm die Behörde ihr wissenschaftliches Gutachten „Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283“ („Sicherheit von Lacto-N-neotetraose (LNnT), hergestellt aus abgeleiteten Stämmen von E. coli BL21 als neuartiges Lebensmittel gemäß der Verordnung (EU) 2015/2283“) (5) an.

(11)

In ihrem wissenschaftlichen Gutachten kam die Behörde zu dem Schluss, dass Lacto-N-neotetraose (LNnT), hergestellt durch die kombinierte Aktivität der abgeleiteten Stämme PS-LNnT-JBT und DS-LNnT-JBT von Escherichia coli Stamm BL21(DE3) als neuartiges Lebensmittel gemäß der Verordnung (EU) 2015/2283, für die derzeit zugelassenen Verwendungsbedingungen sicher ist. Dieses wissenschaftliche Gutachten bietet daher hinreichende Gründe für die Feststellung, dass Lacto-N-neotetraose (LNnT), hergestellt durch die kombinierte Aktivität der abgeleiteten Stämme PS-LNnT-JBT und DS-LNnT-JBT von Escherichia coli Stamm BL21(DE3), Artikel 12 Absatz 1 der Verordnung (EU) 2015/2283 entspricht.

(12)

Es ist daher angezeigt, die Spezifikationen von Lacto-Nneotetraose mikrobiologischen Ursprungs zu ändern, die abgeleiteten Stämme PS-LNnT-JBT und DS-LNnT-JBT von Escherichia coli Stamm BL21(DE3) zusätzlich zu dem zugelassenen Escherichia coli (Stamm K-12) als Quelle des neuartigen Lebensmittels aufzunehmen und die vorgeschlagenen Gehalte an Asche sowie an Schimmelpilzen und Hefen zu ändern.

(13)

Der Anhang der Verordnung (EU) 2017/2470 sollte daher entsprechend geändert werden.

(14)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ständigen Ausschusses für Pflanzen, Tiere, Lebensmittel und Futtermittel —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Der Eintrag in die Unionsliste der zugelassenen neuartigen Lebensmittel gemäß Artikel 6 der Verordnung (EU) 2015/2283, der sich auf den Stoff Lacto-N-neotetraose (mikrobiell) bezieht, wird gemäß dem Anhang der vorliegenden Verordnung geändert.

Artikel 2

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 4. Juni 2021

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN


(1)   ABl. L 327 vom 11.12.2015, S. 1.

(2)  Durchführungsverordnung (EU) 2017/2470 der Kommission vom 20. Dezember 2017 zur Erstellung der Unionsliste der neuartigen Lebensmittel gemäß der Verordnung (EU) 2015/2283 des Europäischen Parlaments und des Rates über neuartige Lebensmittel (ABl. L 351 vom 30.12.2017, S. 72).

(3)  Durchführungsbeschluss (EU) 2016/375 der Kommission vom 11. März 2016 zur Genehmigung des Inverkehrbringens von Lacto-N-neotetraose als neuartige Lebensmittelzutat im Sinne der Verordnung (EG) Nr. 258/97 des Europäischen Parlaments und des Rates (ABl. L 70 vom 16.3.2016, S. 22).

(4)  Verordnung (EG) Nr. 258/97 des Europäischen Parlaments und des Rates über neuartige Lebensmittel und neuartige Lebensmittelzutaten (ABl. L 43 vom 14.2.1997, S. 1).

(5)  EFSA Journal 2020;18(11):6305.


ANHANG

In Tabelle 2 (Spezifikationen) der Durchführungsverordnung (EU) 2017/2470 erhält der Eintrag für „Lacto-N-neotetraose (mikrobiell)“ folgende Fassung:

Lacto-N-neotetraose

(mikrobiell)

Definition:

Chemische Bezeichnung: β-d-Galactopyranosyl-(1→4)-2-acetamido-2-desoxy-β-d-glucopyranosyl-(1→3)-β-d-galactopyranosyl-(1→4)-D-glucopyranose

Chemische Formel: C26H45NO21

CAS-Nr.: 13007-32-4

Molmasse: 707,63 g/mol

Quelle:

Genetisch veränderter Stamm von Escherichia coli K-12 oder

eine Kombination der genetisch veränderten Stämme PS-LNnT-JBT und DS-LNnT-JBT von Escherichia coli BL21(DE3)

Beschreibung:

Lacto-N-neotetraose ist ein weißes bis cremefarbenes Pulver, das durch einen mikrobiologischen Prozess gewonnen wird.

Reinheit:

Gehalt (wasserfrei): ≥ 80 %

D-Lactose: ≤ 10,0 %

Lacto-N-triose II: ≤ 3,0 %

para-Lacto-N-neohexaose: ≤ 5,0 %

Lacto-N-neotetraose-Fructose-Iisomer: ≤ 1,0 %

Summe der Saccharide (Lacto-N-neotetraose, D-Lactose, Lacto-N-triose II, para-Lacto-N-neohexaose, Lacto-N-neotetraose-Fructose-Isomer): ≥ 92 % (% Massenanteil Trockenmasse)

pH (20 °C, 5%ige Lösung): 4,0-7,0

Wasser: ≤ 9,0 %

Sulfatasche: ≤ 1,0 %

Restgehalt an Lösungsmitteln (Methanol): ≤ 100 mg/kg

Restproteingehalt: ≤ 0,01 %

Mikrobiologische Kriterien:

Aerobe mesophile Gesamtkeimzahl: ≤ 500 KBE/g

Hefen und Schimmelpilze: ≤ 50 KBE/g

Restgehalt an Endotoxinen: ≤ 10 EU/mg

KBE: koloniebildende Einheiten; EU: Endotoxineinheiten (Endotoxin Units)“


BESCHLÜSSE

7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/13


DURCHFÜHRUNGSBESCHLUSS (EU) 2021/913 DER KOMMISSION

vom 3. Juni 2021

über die harmonisierten Normen für Haushaltsgeschirrspüler zur Unterstützung der Verordnung (EU) 2019/2022 und der Delegierten Verordnung (EU) 2019/2017

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (1), insbesondere auf Artikel 10 Absatz 6,

in Erwägung nachstehender Gründe:

(1)

Wurde ein Produkt nach harmonisierten Normen hergestellt, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, so müssen die Mitgliedstaaten gemäß Artikel 9 Absatz 2 der Richtlinie 2009/125/EG des Europäischen Parlaments und des Rates (2) davon ausgehen, dass es allen einschlägigen Anforderungen der geltenden Durchführungsmaßnahme entspricht, auf die sich diese Normen beziehen. In Artikel 4 und Anhang III der Verordnung (EU) 2019/2022 (3) sind die einschlägigen Anforderungen an die Messung und Berechnung für Haushaltsgeschirrspüler festgelegt.

(2)

Gemäß Artikel 13 der Verordnung (EU) 2017/1369 des Europäischen Parlaments und des Rates (4) veröffentlicht die Kommission nach dem Erlass eines delegierten Rechtsakts gemäß Artikel 16 jener Verordnung, in dem spezifische Anforderungen an die Energieverbrauchskennzeichnung festgelegt werden, im Amtsblatt der Europäischen Union Verweise auf die harmonisierten Normen, die die einschlägigen Anforderungen des delegierten Rechtsakts an die Messung und Berechnung erfüllen. Werden bei der Bewertung der Konformität eines Produkts solche harmonisierten Normen angewendet, muss davon ausgegangen werden, dass das Modell die einschlägigen Anforderungen des delegierten Rechtsakts an die Messung und Berechnung erfüllt. In Artikel 3 und Anhang IV der Delegierten Verordnung (EU) 2019/2017 der Kommission (5) sind Anforderungen an die Messung und Berechnung für Haushaltsgeschirrspüler festgelegt.

(3)

Mit dem Durchführungsbeschluss C(2020) 4329 (6) beauftragte die Kommission das Europäische Komitee für Normung (CEN), das Europäische Komitee für elektrotechnische Normung (Cenelec) und das Europäische Institut für Telekommunikationsnormen (ETSI) mit der Überarbeitung geltender harmonisierter Normen für Haushaltsgeschirrspüler, Haushaltswaschmaschinen und Haushaltswaschtrockner zur Unterstützung der Verordnungen (EU) 2019/2022 und (EU) 2019/2023 sowie der Delegierten Verordnungen (EU) 2019/2017 und (EU) 2019/2014.

(4)

Auf der Grundlage des im Durchführungsbeschluss C(2020) 4329 festgelegten Auftrags erarbeitete Cenelec die harmonisierte Norm EN 60436:2020, um dem technischen und wissenschaftlichen Fortschritt Rechnung zu tragen. Cenelec nahm ferner die Änderung EN 60436:2020/A11:2020 und die Berichtigung EN 60436:2020/AC:2020-6 dieser Norm an.

(5)

Die Kommission hat gemeinsam mit Cenelec geprüft, ob die harmonisierte Norm EN 60436:2020, geändert durch EN 60436:2020/A11:2020 und berichtigt durch EN 60436:2020/AC:2020-6, dem im Durchführungsbeschluss C(2020) 4329 festgelegten Auftrag entspricht.

(6)

Die harmonisierte Norm EN 60436:2020, geändert durch EN 60436:2020/A11:2020 und berichtigt durch EN 60436:2020/AC:2020-6, erfüllt die Anforderungen, die sie abdecken soll und die in der Verordnung (EU) 2019/2022 und der Delegierten Verordnung (EU) 2019/2017 festgelegt sind.

(7)

Es muss geklärt werden, welche der unter „3 Änderung von 2 ‚Normative Verweise‘“ genannten Fassungen der Norm EN 60436:2020 für die Zwecke der Konformitätsvermutung anzuwenden ist.

(8)

Für die Zwecke der Delegierten Verordnung (EU) 2019/2017 sollten die Spalte „Anmerkungen/Hinweise*“ der Tabelle ZZA.1 in der Norm EN 60436:2020 und für die Zwecke der Verordnung (EU) 2019/2022 die Spalte „Anmerkungen/Hinweise*“ der Tabelle ZZB.1. in der Norm EN 60436:2020 von der Veröffentlichung ausgenommen werden, weil diese Spalten nicht mit den Anforderungen im normsetzenden Hauptteil der Norm vereinbar sind und die Auslegung der rechtlichen Wirkung der Konformitätsvermutung in der Fußnote zu diesen Spalten zu Rechtsunsicherheit führt.

(9)

Daher ist es angezeigt, die Referenz der harmonisierten Norm EN 60436:2020, geändert durch EN 60436:2020/A11:2020 und berichtigt durch EN 60436:2020/AC:2020-6, im Amtsblatt der Europäischen Union mit Einschränkungen zu veröffentlichen.

(10)

Die harmonisierte Norm EN 60436:2020 ersetzt die mit der Kommissionsmitteilung 2016/C 416/05 (7) veröffentlichte harmonisierte Norm EN 50242:2016. Daher ist es angezeigt, die genannte Mitteilung aufzuheben.

(11)

Die Einhaltung einer harmonisierten Norm begründet die Konformitätsvermutung in Bezug auf die entsprechenden Anforderungen, die in den Harmonisierungsrechtsvorschriften der Union festgelegt sind, ab dem Datum der Veröffentlichung der Fundstelle dieser Norm im Amtsblatt der Europäischen Union. Dieser Beschluss sollte daher am Tag seiner Veröffentlichung in Kraft treten —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Die Referenz der harmonisierten Norm für die Energieverbrauchskennzeichnung von Haushaltsgeschirrspülern zur Unterstützung der Delegierten Verordnung (EU) 2019/2017, die in Anhang I dieses Beschlusses aufgeführt ist, wird hiermit mit Einschränkungen im Amtsblatt der Europäischen Union veröffentlicht.

Die Referenz der harmonisierten Norm für die umweltgerechte Gestaltung von Haushaltsgeschirrspülern zur Unterstützung der Delegierten Verordnung (EU) 2019/2022, die in Anhang II dieses Beschlusses aufgeführt sind, wird hiermit mit Einschränkungen im Amtsblatt der Europäischen Union veröffentlicht.

Artikel 2

Die Mitteilung 2016/C 416/05 wird aufgehoben.

Artikel 3

Dieser Beschluss tritt am Tag seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Brüssel, den 3. Juni 2021

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN


(1)   ABl. L 316 vom 14.11.2012, S. 12.

(2)  Richtlinie 2009/125/EG des Europäischen Parlaments und des Rates vom 21. Oktober 2009 zur Schaffung eines Rahmens für die Festlegung von Anforderungen an die umweltgerechte Gestaltung energieverbrauchsrelevanter Produkte (ABl. L 285 vom 31.10.2009, S. 10).

(3)  Verordnung (EU) 2019/2022 der Kommission vom 1. Oktober 2019 zur Festlegung von Ökodesign-Anforderungen an Haushaltsgeschirrspüler gemäß der Richtlinie 2009/125/EG des Europäischen Parlaments und des Rates, zur Änderung der Verordnung (EG) Nr. 1275/2008 der Kommission und zur Aufhebung der Verordnung (EU) Nr. 1016/2010 der Kommission (ABl. L 315 vom 5.12.2019, S. 267).

(4)  Verordnung (EU) 2017/1369 des Europäischen Parlaments und des Rates vom 4. Juli 2017 zur Festlegung eines Rahmens für die Energieverbrauchskennzeichnung und zur Aufhebung der Richtlinie 2010/30/EU (ABl. L 198 vom 28.7.2017, S. 1).

(5)  Delegierte Verordnung (EU) 2019/2017 der Kommission vom 11. März 2019 zur Ergänzung der Verordnung (EU) 2017/1369 des Europäischen Parlaments und des Rates in Bezug auf die Energieverbrauchskennzeichnung von Haushaltsgeschirrspülern und zur Aufhebung der Delegierten Verordnung (EU) Nr. 1059/2010 der Kommission (ABl. L 315 vom 5.12.2019, S. 134).

(6)  Durchführungsbeschluss C(2020) 4329 der Kommission vom 1. Juli 2020 über einen Normungsauftrag an das Europäische Komitee für Normung, das Europäische Komitee für elektrotechnische Normung und das Europäische Institut für Telekommunikationsnormen in Bezug auf Anforderungen an das Ökodesign und die Energieverbrauchskennzeichnung von Haushaltsgeschirrspülern, Haushaltswaschmaschinen und Haushaltswaschtrocknern zur Unterstützung der Verordnungen (EU) 2019/2022 und (EU) 2019/2023 der Kommission sowie der Delegierten Verordnungen (EU) 2019/2017 und (EU) 2019/2014 der Kommission.

(7)  Mitteilung der Kommission im Rahmen der Durchführung der Verordnung (EU) Nr. 1016/2010 der Kommission zur Durchführung der Richtlinie 2009/125/EG des Europäischen Parlaments und des Rates im Hinblick auf die Festlegung von Anforderungen an die umweltgerechte Gestaltung von Haushaltsgeschirrspülern sowie der Delegierten Verordnung (EU) Nr. 1059/2010 der Kommission zur Ergänzung der Richtlinie 2010/30/EU des Europäischen Parlaments und des Rates im Hinblick auf die Kennzeichnung von Haushaltsgeschirrspülern in Bezug auf den Energieverbrauch (Veröffentlichung der Titel und der Bezugsnummern der harmonisierten Normen im Sinne der Harmonisierungsrechtsvorschriften der EU) (ABl. C 416 vom 11.11.2016, S. 14).


ANHANG I

Referenz der harmonisierten Norm zur Unterstützung der Delegierten Verordnung (EU) 2019/2017

EN 60436:2020

Elektrische Geschirrspülmaschinen für den Hausgebrauch — Messverfahren für Gebrauchseigenschaften

EN 60436:2020/A11:2020

EN 60436:2020/AC:2020-6

Einschränkungen:

a)

Für die Zwecke von „2 Normative Verweise“ gelten die folgenden Fassungen harmonisierter Normen:

i)

EN 50564:2011;

ii)

EN 50643:2018, geändert durch EN 50643:2018/A1:2020;

iii)

EN 60704-2-3:2019;

iv)

EN 60704-2-3:2019, geändert durch EN 60704-2-3:2019/A11:2019;

v)

EN 60705:2015, geändert durch EN 60705:2015/A2:2018;

vi)

EN 60734:2012;

vii)

ISO 607:1980.

b)

Diese Veröffentlichung umfasst nicht die Spalte „Anmerkungen/Hinweise*“ der Tabelle ZZA.1.


ANHANG II

Referenz der harmonisierten Norm zur Unterstützung der Verordnung (EU) 2019/2022

EN 60436:2020

Elektrische Geschirrspülmaschinen für den Hausgebrauch — Messverfahren für Gebrauchseigenschaften

EN 60436:2020/A11:2020

EN 60436:2020/AC:2020-6

Einschränkungen:

a)

Für die Zwecke von „2 Normative Verweise“ gelten die folgenden Fassungen harmonisierter Normen:

i)

EN 50564:2011;

ii)

EN 50643:2018, geändert durch EN 50643:2018/A1:2020;

iii)

EN 60704-2-3:2019;

iv)

EN 60704-2-3:2019, geändert durch EN 60704-2-3:2019/A11:2019;

v)

EN 60705:2015, geändert durch EN 60705:2015/A2:2018;

vi)

EN 60734:2012;

vii)

ISO 607:1980.

b)

Diese Veröffentlichung umfasst nicht die Spalte „Anmerkungen/Hinweise*“ der Tabelle ZZB.1.


7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/18


DURCHFÜHRUNGSBESCHLUSS (EU) 2021/915 DER KOMMISSION

vom 4. Juni 2021

über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) (1), insbesondere auf Artikel 28 Absatz 7,

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (EU-DSVO) (2), insbesondere auf Artikel 29 Absatz 7,

in Erwägung nachstehender Gründe:

(1)

Die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ spielen eine entscheidende Rolle bei der Anwendung der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725. Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Für die Zwecke der Verordnung (EU) 2018/1725 bezeichnet der Ausdruck „Verantwortlicher“ das Organ oder die Einrichtung der Union oder die Generaldirektion oder sonstige Organisationseinheit, das beziehungsweise die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt. Sind die Zwecke und Mittel dieser Verarbeitung durch einen besonderen Rechtsakt der Union bestimmt, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien für seine Benennung nach dem Unionsrecht vorgesehen werden. Ein Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(2)

Für die Beziehung zwischen Verantwortlichen und Auftragsverarbeitern, die der Verordnung (EU) 2016/679 unterliegen, sollten dieselben Standardvertragsklauseln gelten – auch in dem Fall, wenn Verantwortliche und Auftragsverarbeiter unter die Verordnung (EU) 2018/1725 fallen. Grund ist, dass zur Gewährleistung einer einheitlichen Herangehensweise beim Schutz personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union die Datenschutzbestimmungen in der Verordnung (EU) 2016/679, die für den öffentlichen Dienst in den Mitgliedstaaten gelten, und die Datenschutzbestimmungen in der Verordnung (EU) 2018/1725, die für die Organe, Einrichtungen und sonstigen Stellen der Union anwendbar sind, so weit wie möglich angeglichen wurden.

(3)

Damit die Anforderungen der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 bei der Betrauung eines Auftragsverarbeiters mit Verarbeitungstätigkeiten eingehalten werden, sollte der Verantwortliche nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 genügen.

(4)

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 oder die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten Elemente festgelegt sind. Der Vertrag oder das Rechtsinstrument ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(5)

Gemäß Artikel 28 Absatz 6 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 6 der Verordnung (EU) 2018/1725 können der Verantwortliche und der Auftragsverarbeiter entweder einen individuellen Vertrag aushandeln, der die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 bzw. die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten obligatorischen Elemente enthält, oder Standardvertragsklauseln insgesamt oder teilweise verwenden, die von der Kommission gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 erlassen wurden.

(6)

Dem Verantwortlichen und dem Auftragsverarbeiter sollte es freistehen, die in diesem Beschluss dargelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Anwendung der Standardvertragsklauseln gilt ungeachtet der vertraglichen Verpflichtungen des Verantwortlichen und/oder des Auftragsverarbeiters, die Einhaltung der geltenden Vorrechte und Befreiungen zu gewährleisten.

(7)

Die Standardvertragsklauseln sollten sowohl materielle Rechte als auch Verfahrensrechte umfassen. Im Einklang mit Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 sollten die Standardvertragsklauseln den Verantwortlichen und den Auftragsverarbeiter auch verpflichten, den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der betreffenden personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegen.

(8)

Gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, wenn er der Auffassung ist, dass eine Anweisung des Verantwortlichen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

(9)

Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter zur Durchführung bestimmter Tätigkeiten in Anspruch nimmt, sollten die in Artikel 28 Absätze 2 und 4 der Verordnung (EU) 2016/679 oder in Artikel 29 Absätze 2 und 4 der Verordnung (EU) 2018/1725 verankerten speziellen Anforderungen Anwendung finden. Insbesondere ist eine vorherige gesonderte oder allgemeine schriftliche Genehmigung erforderlich. Unabhängig davon, ob es sich um eine gesonderte oder allgemeine Genehmigung handelt, sollte der erste Auftragsverarbeiter eine jeweils aktuelle Liste der anderen Auftragsverarbeiter führen.

(10)

Zur Erfüllung der Anforderungen gemäß Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 hat die Kommission Standardvertragsklauseln gemäß Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 erlassen. Diese Klauseln erfüllen auch die Anforderungen gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 für Datenübermittlungen von Verantwortlichen, die der Verordnung (EU) 2016/679 unterliegen, an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von Auftragsverarbeitern, die der Verordnung (EU) 2016/679 unterliegen, an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung. Diese Standardvertragsklauseln können nicht als Standardvertragsklauseln im Sinne von Kapitel V der Verordnung (EU) 2016/679 verwendet werden.

(11)

Dritte sollten die Möglichkeit haben, den Standardvertragsklauseln während der gesamten Laufzeit des Vertrags als Partei beizutreten.

(12)

Die Anwendung der Standardvertragsklauseln sollte im Rahmen der nach Artikel 97 der Verordnung (EU) 2016/679 erforderlichen regelmäßigen Bewertung dieser Verordnung geprüft werden.

(13)

Gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 wurden der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss konsultiert; diese haben am 14. Januar 2021 eine gemeinsame Stellungnahme (3) abgegeben, die bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt wurde.

(14)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 93 der Verordnung (EU) 2016/679 und Artikel 96 Absatz 2 der Verordnung (EU) 2018/1725 eingesetzten Ausschusses —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Die im Anhang aufgeführten Standardvertragsklauseln erfüllen die Anforderungen an Verträge zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725.

Artikel 2

Die im Anhang aufgeführten Standardvertragsklauseln können in Verträgen zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, verwendet werden.

Artikel 3

Die Kommission prüft die praktische Anwendung der im Anhang aufgeführten Standardvertragsklauseln auf der Grundlage aller verfügbaren Informationen im Rahmen der gemäß Artikel 97 der Verordnung (EU) 2016/679 vorgesehenen regelmäßigen Bewertung.

Artikel 4

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Brüssel, den 4. Juni 2021

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN


(1)   ABl. L 119 vom 4.5.2016, S. 1.

(2)   ABl. L 295 vom 21.11.2018, S. 39.

(3)  Gemeinsame Stellungnahme 1/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern für die in Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 genannten Angelegenheiten.


ANHANG

Standardverstragsklauseln

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

a)

Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von [zutreffende Option auswählen: OPTION 1: Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)] oder [OPTION 2: Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG] sichergestellt werden.

b)

Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.

c)

Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d)

Die Anhänge I bis IV sind Bestandteil der Klauseln.

e)

Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

f)

Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln

a)

Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b)

Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

a)

Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b)

Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

c)

Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 – fakultativ

Kopplungsklausel

a)

Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

b)

Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

c)

Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II

PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1.   Weisungen

a)

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b)

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2.   Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3.   Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4.   Sicherheit der Verarbeitung

a)

Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b)

Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5.   Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6.   Dokumentation und Einhaltung der Klauseln

a)

Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b)

Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c)

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d)

Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e)

Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7.   Einsatz von Unterauftragsverarbeitern

a)

OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG: Der Auftragsverarbeiter darf keinen seiner Verarbeitungsvorgänge, die er im Auftrag des Verantwortlichen gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Auftragsverarbeiter reicht den Antrag auf die gesonderte Genehmigung mindestens [ZEITRAUM ANGEBEN] vor der Beauftragung des betreffenden Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter findet sich in Anhang IV. Die Parteien halten Anhang IV jeweils auf dem neuesten Stand.

OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens [ZEITRAUM ANGEBEN] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b)

Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

c)

Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d)

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e)

Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8.   Internationale Datenübermittlungen

a)

Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

b)

Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen

a)

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b)

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c)

Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

1)

Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

2)

Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

3)

Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

4)

Verpflichtungen gemäß [OPTION 1: Artikel 32 der Verordnung (EU) 2016/679] oder [OPTION 2: Artikel 33 und Artikel 36 bis 38 der Verordnung (EU) 2018/1725].

d)

Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1.   Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a)

bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b)

bei der Einholung der folgenden Informationen, die gemäß [OPTION 1: Artikel 33 Absatz 3 der Verordnung (EU) 2016/679] oder [OPTION 2: Artikel 34 Absatz 3 der Verordnung (EU) 2018/1725] in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

1)

die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

2)

die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

3)

die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c)

bei der Einhaltung der Pflicht gemäß [OPTION 1: Artikel 34 der Verordnung (EU) 2016/679] oder [OPTION 2: Artikel 35 der Verordnung (EU) 2018/1725], die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2.   Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a)

eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b)

Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c)

die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß [OPTION 1: Artikel 33 und 34 der Verordnung (EU) 2016/679] oder [OPTION 2: Artikel 34 und 35 der Verordnung (EU) 2018/1725] zu unterstützen.

ABSCHNITT III

SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

a)

Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b)

Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

1)

der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

2)

der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;

3)

der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

c)

Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d)

Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.


ANHANG I

Liste der Parteien

Verantwortliche(r): [Name und Kontaktdaten des/der Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten des Verantwortlichen]

1.

Name: …

 

Anschrift: …

 

Name, Funktion und Kontaktdaten der Kontaktperson: …

 

Unterschrift und Beitrittsdatum: …

2.

 

Auftragsverarbeiter: [Name und Kontaktdaten des/der Auftragsverarbeiter/s und gegebenenfalls des Datenschutzbeauftragten des Auftragsverarbeiters]

1.

Name: …

 

Anschrift: …

 

Name, Funktion und Kontaktdaten der Kontaktperson: …

 

Unterschrift und Beitrittsdatum: …

2.

 


ANHANG II

Beschreibung der Verarbeitung

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden

Kategorien personenbezogener Daten, die verarbeitet werden

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

Art der Verarbeitung

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Dauer der Verarbeitung

Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.


ANHANG III

Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten

ERLÄUTERUNG:

Die technischen und organisatorischen Maßnahmen müssen konkret beschrieben werden; eine allgemeine Beschreibung ist nicht ausreichend.

Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen Beispiele für mögliche Maßnahmen:

 

Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

 

Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

 

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

 

Maßnahmen zur Identifizierung und Autorisierung der Nutzer

 

Maßnahmen zum Schutz der Daten während der Übermittlung

 

Maßnahmen zum Schutz der Daten während der Speicherung

 

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

 

Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

 

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

 

Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit

 

Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten

 

Maßnahmen zur Gewährleistung der Datenminimierung

 

Maßnahmen zur Gewährleistung der Datenqualität

 

Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung

 

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

 

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.

Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss


ANHANG IV

Liste der Unterauftragsverarbeiter

ERLÄUTERUNG:

Dieser Anhang muss im Falle einer gesonderten Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 7.7 Buchstabe a, Option 1).

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

1.

Name: …

 

Anschrift: …

 

Name, Funktion und Kontaktdaten der Kontaktperson: …

 

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): …

2.


7.6.2021   

DE

Amtsblatt der Europäischen Union

L 199/31


DURCHFÜHRUNGSBESCHLUSS (EU) 2021/914 DER KOMMISSION

vom 4. Juni 2021

über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (1), insbesondere auf Artikel 28 Absatz 7 und Artikel 46 Absatz 2 Buchstabe c,

in Erwägung nachstehender Gründe:

(1)

Technologische Entwicklungen erleichtern den grenzüberschreitenden Datenverkehr, der für den Ausbau der internationalen Zusammenarbeit und des internationalen Handels erforderlich ist. Gleichzeitig muss bei der Übermittlung personenbezogener Daten an Drittländer, einschließlich im Falle von Weiterübermittlungen, sichergestellt werden, dass das durch die Verordnung (EU) 2016/679 gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (2). Die Bestimmungen über Datenübermittlungen in Kapitel V der Verordnung (EU) 2016/679 sollen den Fortbestand dieses hohen Schutzniveaus bei der Übermittlung personenbezogener Daten an ein Drittland gewährleisten (3).

(2)

Gemäß Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 darf ein Verantwortlicher oder ein Auftragsverarbeiter — wenn kein Angemessenheitsbeschluss der Kommission nach Artikel 45 Absatz 3 vorliegt — personenbezogene Daten an ein Drittland nur übermitteln, sofern er geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Solche Garantien können in Standarddatenschutzklauseln bestehen, die von der Kommission gemäß Artikel 46 Absatz 2 Buchstabe c erlassen werden.

(3)

Die Rolle von Standardvertragsklauseln beschränkt sich auf die Gewährleistung angemessener Datenschutzgarantien für internationale Datenübermittlungen. Daher steht es dem Verantwortlichen oder dem Auftragsverarbeiter, der die personenbezogenen Daten an ein Drittland übermittelt („Datenexporteur“), und dem die personenbezogenen Daten annehmenden Verantwortlichen oder Auftragsverarbeiter („Datenimporteur“) frei, diese Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter werden ermutigt, mittels vertraglicher Verpflichtungen, die die Standardvertragsklauseln ergänzen, zusätzliche Garantien zu bieten (4). Der Rückgriff auf die Standardvertragsklauseln erfolgt unbeschadet der vertraglichen Pflichten des Datenexporteurs und/oder des Datenimporteurs, die Einhaltung der geltenden Vorrechte und Befreiungen zu gewährleisten.

(4)

Über den Rückgriff auf Standardvertragsklauseln (mit dem Ziel, geeignete Garantien für Datenübermittlungen nach Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 zu bieten) hinaus muss der Datenexporteur seinen allgemeinen Pflichten als Verantwortlicher oder Auftragsverarbeiter gemäß der Verordnung (EU) 2016/679 nachkommen. Diese Pflichten schließen die Pflicht des Verantwortlichen ein, die betroffenen Personen nach Artikel 13 Absatz 1 Buchstabe f und Artikel 14 Absatz 1 Buchstabe f Verordnung (EU) 2016/679 über die beabsichtigte Übermittlung personenbezogener Daten an ein Drittland zu informieren. Im Falle von Datenübermittlungen gemäß Artikel 46 der Verordnung (EU) 2016/679 muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt werden kann, oder wo sie verfügbar sind, umfassen.

(5)

Die Entscheidung 2001/497/EG der Kommission (5) und der Beschluss 2010/87/EU der Kommission (6) enthalten Standardvertragsklauseln, um die Übermittlung personenbezogener Daten von einem in der Union niedergelassenen Verantwortlichen an einen Verantwortlichen oder einen Auftragsverarbeiter zu erleichtern, der in einem Drittland niedergelassen ist, das kein angemessenes Schutzniveau bietet. Diese Entscheidung und dieser Beschluss beruhten auf der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (7).

(6)

Gemäß Artikel 46 Absatz 5 der Verordnung (EU) 2016/679 bleiben die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU so lange in Kraft, bis sie erforderlichenfalls mit einem nach Artikel 46 Absatz 2 besagter Verordnung erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. Die Standardvertragsklauseln in dieser Entscheidung bzw. in diesem Beschluss mussten im Lichte der neuen Anforderungen der Verordnung (EU) 2016/679 aktualisiert werden. Darüber hinaus haben sich seit dem Erlass der genannten Entscheidung und des genannten Beschlusses wichtige Entwicklungen in der digitalen Wirtschaft vollzogen, in deren Rahmen neue und komplexere Verarbeitungsvorgänge, an denen häufig mehrere Datenimporteure und Datenexporteure beteiligt sind, lange und komplexe Verarbeitungsketten sowie geänderte Geschäftsbeziehungen allgemein Anwendung finden. Dadurch war eine Modernisierung der Standardvertragsklauseln notwendig, um diese Realitäten besser widerzuspiegeln, indem zusätzliche Verarbeitungs- und Übermittlungsszenarien erfasst werden und ein flexiblerer Ansatz möglich ist, beispielsweise in Bezug auf die Anzahl der Parteien, die dem Vertrag beitreten können.

(7)

Unbeschadet der Auslegung des Begriffs der internationalen Datenübermittlung gemäß der Verordnung (EU) 2016/679 können die im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln von einem Verantwortlichen oder einem Auftragsverarbeiter verwendet werden, um geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an einen in einem Drittland niedergelassenen Auftragsverarbeiter oder Verantwortlichen zu gewährleisten. Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt. Dies schließt auch die Übermittlung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter ein, soweit die Verarbeitung Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 unterliegt, da die Datenübermittlung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder das Verhalten betroffener Personen zu beobachten, soweit dieses in der Union erfolgt.

(8)

Angesichts der allgemeinen Angleichung der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (8) sollte es möglich sein, die Standardvertragsklauseln auch im Zusammenhang mit einem Vertrag gemäß Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 für die Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland durch einen Auftragsverarbeiter zu verwenden, bei dem es sich nicht um ein Organ oder eine Einrichtung der Union handelt, der aber an die Verordnung (EU) 2016/679 gebunden ist und personenbezogene Daten im Auftrag eines Organs oder einer Einrichtung der Union gemäß Artikel 29 der Verordnung (EU) 2018/1725 verarbeitet. Sofern der Vertrag dieselben Datenschutzpflichten widerspiegelt, die im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 festgelegt sind, insbesondere indem hinreichende Garantien für technische und organisatorische Maßnahmen geboten werden, die eine Verarbeitung im Einklang mit den Anforderungen dieser Verordnung gewährleisten, wird dadurch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 sichergestellt. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die Standardvertragsklauseln im Durchführungsbeschluss der Kommission über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (9) stützen.

(9)

Umfasst die Verarbeitung Datenübermittlungen von der Verordnung (EU) 2016/679 unterliegenden Verantwortlichen an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von der Verordnung (EU) 2016/679 unterliegenden Auftragsverarbeitern an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung, so sollten die Standardvertragsklauseln im Anhang dieses Beschlusses auch die Erfüllung der Anforderungen in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 ermöglichen.

(10)

In den im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln werden allgemeine Klauseln mit einem modularen Ansatz kombiniert, um verschiedenen Datenübermittlungsszenarien und der Komplexität moderner Verarbeitungsketten Rechnung zu tragen. Zusätzlich zu den allgemeinen Klauseln sollten Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen; auf diese Weise können sie ihre Pflichten gemäß den Standardvertragsklauseln auf ihre jeweilige Rolle und jeweiligen Verantwortlichkeiten hinsichtlich der betreffenden Datenverarbeitung zuschneiden. Mehr als zwei Parteien sollten sich an die Standardvertragsklauseln halten können. Darüber hinaus sollten weitere Verantwortliche und Auftragsverarbeiter den Standardvertragsklauseln während der gesamten Laufzeit des Vertrags, der diese Klauseln als Bestandteile enthält, als Datenexporteure oder Datenimporteure beitreten dürfen.

(11)

Um geeignete Garantien zu bieten, sollten die Standardvertragsklauseln gewährleisten, dass für die auf dieser Grundlage übermittelten personenbezogenen Daten ein Schutzniveau besteht, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (10). Um die Transparenz der Verarbeitung zu gewährleisten, sollten die betroffenen Personen eine Kopie der Standardvertragsklauseln erhalten und insbesondere über die Kategorien der verarbeiteten personenbezogenen Daten, das Recht auf Erhalt einer Kopie der Standardvertragsklauseln und jede Weiterübermittlung informiert werden. Weiterübermittlungen durch den Datenimporteur an einen Dritten in einem anderen Drittland sollten nur zulässig sein, wenn dieser Dritte den Standardvertragsklauseln beitritt oder wenn der Fortbestand des Schutzes auf andere Weise gewährleistet ist, oder in bestimmten Situationen, zum Beispiel auf der Grundlage der ausdrücklichen Zustimmung der betroffenen Person nach Inkenntnissetzung.

(12)

Von einigen Ausnahmen abgesehen, insbesondere in Bezug auf bestimmte Pflichten, die ausschließlich die Beziehung zwischen dem Datenexporteur und dem Datenimporteur betreffen, sollten betroffene Personen die Standardvertragsklauseln als Drittbegünstigte geltend machen und erforderlichenfalls durchsetzen können. Daher sollten die Parteien zwar die Möglichkeit haben, das Recht eines der Mitgliedstaaten als geltendes Recht für die Standardvertragsklauseln zu wählen, doch müssen in diesem Recht Rechte als Drittbegünstigte zulässig sein. Zur Erleichterung des individuellen Rechtsbehelfs sollte der Datenimporteur durch die Standardvertragsklauseln verpflichtet werden, den betroffenen Personen eine Anlaufstelle mitzuteilen und Beschwerden oder Anträge unverzüglich zu bearbeiten. Bei Streitigkeiten zwischen dem Datenimporteur und einer betroffenen Person, die ihre Rechte als Drittbegünstigte geltend macht, sollte die betroffene Person in der Lage sein, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen oder die Streitigkeit an die zuständigen Gerichte in der EU zu verweisen.

(13)

Um eine wirksame Durchsetzung zu gewährleisten, sollte sich der Datenimporteur der Zuständigkeit der betreffenden Behörde und Gerichte unterwerfen und sich zur Befolgung der verbindlichen Entscheidungen nach dem geltenden Recht des Mitgliedstaats verpflichten müssen. Insbesondere sollte sich der Datenimporteur damit einverstanden erklären, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Darüber hinaus sollte der Datenimporteur die Möglichkeit haben, betroffenen Personen anzubieten, sich an eine unabhängige Streitbeilegungsstelle zu wenden, ohne dass ihnen Kosten entstehen. Im Einklang mit Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 sollte es betroffenen Personen gestattet sein, sich bei Streitigkeiten mit dem Datenimporteur durch Vereinigungen oder andere Einrichtungen vertreten zu lassen, wenn sie dies wünschen.

(14)

Die Standardvertragsklauseln sollten Vorschriften über die Haftung zwischen den Parteien und in Bezug auf betroffene Personen sowie Entschädigungsregelungen zwischen den Parteien vorsehen. Wenn der betroffenen Person infolge einer Verletzung der ihr nach den Standardvertragsklauseln zugestandenen Rechte als Drittbegünstigte ein materieller oder immaterieller Schaden entsteht, sollte sie Anspruch auf Entschädigung haben. Eine etwaige Haftung gemäß der Verordnung (EU) 2016/679 sollte davon unberührt bleiben.

(15)

Im Falle einer Datenübermittlung an einen Datenimporteur, der als Auftragsverarbeiter oder Unterauftragsverarbeiter fungiert, sollten gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 spezielle Anforderungen gelten. In den Standardvertragsklauseln sollte vorgesehen werden, den Datenimporteur dazu zu verpflichten, alle erforderlichen Informationen zum Nachweis der Einhaltung der in den Klauseln festgelegten Pflichten zur Verfügung zu stellen und dem Datenexporteur die Prüfung seiner Verarbeitungstätigkeiten zu ermöglichen und zu einer solchen Prüfung beizutragen. Im Hinblick auf die Beauftragung eines Unterauftragsverarbeiters durch den Datenimporteur gemäß Artikel 28 Absätze 2 und 4 der Verordnung (EU) 2016/679 sollten in den Standardvertragsklauseln speziell das Verfahren für die allgemeine oder gesonderte Genehmigung seitens des Datenexporteurs sowie die Anforderung festgelegt werden, dass ein schriftlicher Vertrag mit dem Unterauftragsverarbeiter zu schließen ist, der das gleiche Schutzniveau wie die Klauseln gewährleistet.

(16)

Es ist angebracht, in den Standardvertragsklauseln unterschiedliche Garantien vorzusehen, die den spezifischen Fall abdecken, dass ein in der Union ansässiger Auftragsverarbeiter personenbezogene Daten an seinen in einem Drittland ansässigen Verantwortlichen übermittelt, und die die begrenzten eigenständigen Pflichten der Auftragsverarbeiter gemäß der Verordnung (EU) 2016/679 widerspiegeln. Insbesondere sollte der Auftragsverarbeiter gemäß den Standardvertragsklauseln verpflichtet sein, den Verantwortlichen zu informieren, wenn er dessen Anweisungen nicht befolgen kann, einschließlich in dem Fall, wenn diese Anweisungen gegen das Datenschutzrecht der Union verstoßen; außerdem sollten die Standardvertragsklauseln den Verantwortlichen verpflichten, alle Handlungen zu unterlassen, die den Auftragsverarbeiter daran hindern würden, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen. Ferner sollten die Parteien durch die Klauseln verpflichtet werden, sich gegenseitig bei der Beantwortung von Anfragen und Anträgen zu unterstützen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder — bei der Datenverarbeitung in der Union — gemäß der Verordnung (EU) 2016/679 gestellt werden. Zusätzliche Anforderungen sollten gelten, um etwaige Auswirkungen der Rechtsvorschriften des Bestimmungsdrittlandes auf die Einhaltung der Klauseln durch den Verantwortlichen zu berücksichtigen, insbesondere in Bezug auf den Umgang mit bindenden Ersuchen von Behörden im Drittland um Offenlegung der übermittelten personenbezogenen Daten, wenn der in der Union ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der Union erhoben wurden. Dagegen sind solche Anforderungen nicht gerechtfertigt, wenn die Auslagerung lediglich die Verarbeitung und die Rückübertragung der vom Verantwortlichen erhaltenen personenbezogener Daten umfasst und der Verantwortliche in jedem Fall der Gerichtsbarkeit des betreffenden Drittlandes unterliegt und weiterhin unterliegen wird.

(17)

Die Parteien sollten in der Lage sein, die Einhaltung der Standardvertragsklauseln nachzuweisen. Insbesondere sollte der Datenimporteur verpflichtet sein, geeignete Nachweise für die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten aufzubewahren und den Datenexporteur unverzüglich in Kenntnis zu setzen, wenn er aus welchen Gründen auch immer nicht in der Lage ist, die Klauseln einzuhalten. Der Datenexporteur sollte seinerseits die Datenübermittlung aussetzen und in besonders schweren Fällen das Recht haben, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß Standardvertragsklauseln geht, wenn der Datenimporteur gegen die Standardvertragsklauseln verstößt oder diese nicht einhalten kann. Wenn sich lokale Rechtsvorschriften auf die Einhaltung der Klauseln auswirken, sollten besondere Vorschriften gelten. Personenbezogene Daten, die vor Beendigung des Vertrags übermittelt wurden, sowie Kopien davon sollten nach Wahl des Datenexporteurs an diesen zurückgegeben oder vollständig vernichtet werden.

(18)

Die Standardvertragsklauseln sollten — insbesondere im Lichte der Rechtsprechung des Gerichtshofs (11) — spezifische Garantien vorsehen, um etwaige Auswirkungen der Rechtsvorschriften des Bestimmungsdrittlandes auf die Einhaltung der Klauseln durch den Datenimporteur zu berücksichtigen, speziell in Bezug auf den Umgang mit bindenden Ersuchen von Behörden in diesem Land um Offenlegung der übermittelten personenbezogenen Daten.

(19)

Die Übermittlung und Verarbeitung personenbezogener Daten im Rahmen von Standardvertragsklauseln sollten nicht erfolgen, wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern. In diesem Zusammenhang sollten Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht als im Widerspruch zu den Standardvertragsklauseln stehend betrachtet werden. Die Parteien sollten zusichern, dass sie zum Zeitpunkt der Zustimmung zu den Standardvertragsklauseln keinen Grund zu der Annahme haben, dass die für den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten diesen Anforderungen nicht entsprechen.

(20)

Die Partien sollten insbesondere den besonderen Umständen der Übermittlung (wie Inhalt und Dauer des Vertrags, Art der zu übermittelnden Daten, Art des Empfängers, Zweck der Verarbeitung), den Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes, die angesichts der Umstände der Übermittlung relevant sind, und etwaigen Garantien zur Ergänzung der Garantien gemäß den Standardvertragsklauseln (einschließlich der einschlägigen vertraglichen, technischen und organisatorischen Maßnahmen, die für die Übermittlung und die Verarbeitung der personenbezogenen Daten im Bestimmungsland gelten) Rechnung tragen. Was die Auswirkungen solcher Rechtsvorschriften und Gepflogenheiten auf die Einhaltung der Standardvertragsklauseln betrifft, so können im Rahmen einer Gesamtbeurteilung verschiedene Aspekte betrachtet werden, darunter zuverlässige Informationen über die Anwendung der Rechtsvorschriften in der Praxis (z. B. Rechtsprechung und Berichte unabhängiger Aufsichtsgremien), das Vorliegen oder Nichtvorliegen von Anträgen innerhalb desselben Sektors und, unter strengen Voraussetzungen, die dokumentierte praktische Erfahrung des Datenexporteurs und Datenimporteurs.

(21)

Der Datenimporteur sollte den Datenexporteur darüber informieren, wenn er nach Zustimmung zu den Standardvertragsklauseln Grund zu der Annahme hat, dass er nicht in der Lage ist, die Standardvertragsklauseln einzuhalten. Erhält der Datenexporteur eine solche Mitteilung oder erhält er auf andere Weise Kenntnis davon, dass der Datenimporteur nicht mehr in der Lage ist, die Standardvertragsklauseln einzuhalten, sollte er geeignete Abhilfemaßnahmen ermitteln, erforderlichenfalls in Abstimmung mit der zuständigen Aufsichtsbehörde. Diese Maßnahmen können ergänzende Maßnahmen des Datenexporteurs und/oder des Datenimporteurs umfassen, zum Beispiel technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit. Der Datenexporteur sollte verpflichtet werden, die Datenübermittlung auszusetzen, wenn er der Auffassung ist, dass keine angemessenen Garantien gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird.

(22)

Soweit möglich, sollte der Datenimporteur den Datenexporteur und die betroffene Person benachrichtigen, wenn er von einer Behörde (auch einer Justizbehörde) ein nach dem Recht des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß den Standardvertragsklauseln übermittelt wurden. Gleichermaßen sollte der Datenimporteur den Datenexporteur und die betroffene Person benachrichtigen, wenn er davon Kenntnis erhält, dass eine Behörde nach dem Recht des Bestimmungsdrittlandes direkten Zugang zu diesen personenbezogenen Daten hat. Ist der Datenimporteur trotz aller Anstrengungen nicht in der Lage, den Datenexporteur und/oder die betroffene Person über spezifische Offenlegungsersuchen zu informieren, sollte er dem Datenexporteur möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung stellen. Darüber hinaus sollte der Datenimporteur dem Datenexporteur in regelmäßigen Abständen aggregierte Informationen bereitstellen. Der Datenimporteur sollte außerdem verpflichtet sein, alle eingegangenen Offenlegungsersuchen und die übermittelten Antworten zu dokumentieren und diese Informationen dem Datenexporteur oder der zuständigen Aufsichtsbehörde oder beiden auf Verlangen zur Verfügung zu stellen. Kommt der Datenimporteur nach einer Prüfung der Rechtmäßigkeit eines solchen Ersuchens nach den Rechtsvorschriften des Bestimmungslandes zu dem Schluss, dass hinreichende Gründe für die Annahme bestehen, dass der Antrag nach den Rechtsvorschriften des Bestimmungsdrittlandes rechtswidrig ist, sollte er das Ersuchen anfechten und gegebenenfalls die verfügbaren Rechtsmittel ausschöpfen. Ist der Datenimporteur nicht mehr in der Lage, die Standardvertragsklauseln einzuhalten, sollte er den Datenexporteur in jedem Fall entsprechend informieren, auch dann, wenn dies die Folge eines Offenlegungsersuchens ist.

(23)

Da sich die Bedürfnisse der Interessenträger, die Technologie und die Verarbeitungsvorgänge ändern können, sollte die Kommission im Rahmen der nach Artikel 97 der Verordnung (EU) 2016/679 erforderlichen regelmäßigen Bewertung dieser Verordnung die Funktion der Standardvertragsklauseln vor dem Hintergrund der gesammelten Erfahrungen prüfen.

(24)

Die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU sollten drei Monate nach Inkrafttreten des vorliegenden Beschlusses aufgehoben werden. Allerdings sollten die Datenexporteure und Datenimporteure innerhalb dieses Zeitraums die Standardvertragsklauseln der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU für die Zwecke des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 weiterhin verwenden können. Für einen weiteren Zeitraum von 15 Monaten sollten sich Datenexporteure und Datenimporteure für die Zwecke des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 weiterhin auf die Standardvertragsklauseln der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU stützen können, um vor dem Datum der Aufhebung dieser Entscheidung und dieses Beschlusses zwischen ihnen geschlossene Verträge zu erfüllen, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung der Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 unterliegt. Im Falle relevanter Vertragsänderungen sollte der Datenexporteur verpflichtet sein, sich auf einen neuen Grund für Datenübermittlungen im Rahmen des Vertrags zu stützen, insbesondere indem er die bestehenden Standardvertragsklauseln durch die im Anhang des vorliegenden Beschlusses aufgeführten Standardvertragsklauseln ersetzt. Gleiches sollte für jede Unterauftragsvergabe von Verarbeitungsvorgängen, die Gegenstand des Vertrags sind, an einen (Unter-)Auftragsverarbeiter gelten.

(25)

Gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 wurden der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss konsultiert; diese haben am 14. Januar 2021 eine gemeinsame Stellungnahme (12) abgegeben, die bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt wurde.

(26)

Die in diesem Beschluss vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des gemäß Artikel 93 der Verordnung (EU) 2016/679 eingesetzten Ausschusses —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

(1)   Die im Anhang aufgeführten Standardvertragsklauseln gelten als geeignete Garantien im Sinne des Artikels 46 Absatz 1 und des Artikels 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 für die Übermittlung von gemäß dieser Verordnung verarbeiteten personenbezogenen Daten durch einen Verantwortlichen oder einen Auftragsverarbeiter (Datenexporteur) an einen Verantwortlichen oder einen (Unter-)Auftragsverarbeiter, dessen Verarbeitung der Daten nicht dieser Verordnung unterliegt (Datenimporteur).

(2)   In den Standardvertragsklauseln sind auch die Rechte und Pflichten der Verantwortlichen und der Auftragsverarbeiter in Bezug auf die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 genannten Fragen im Hinblick auf die Übermittlung personenbezogener Daten von einem Verantwortlichen an einen Auftragsverarbeiter oder von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter festgelegt.

Artikel 2

Wenn die zuständigen Behörden der Mitgliedstaaten ihre Abhilfebefugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 ausüben, weil in den Rechtsvorschriften oder in der Praxis des Bestimmungsdrittlands Bestimmungen gelten oder gelten werden, die den Datenimporteur daran hindern, die im Anhang aufgeführten Standardvertragsklauseln einzuhalten — was zur Aussetzung oder Untersagung von Datenübermittlungen an Drittländer führt —, so unterrichtet der betreffende Mitgliedstaat unverzüglich die Kommission, die die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 3

Die Kommission prüft die praktische Anwendung der im Anhang aufgeführten Standardvertragsklauseln auf der Grundlage aller verfügbaren Informationen im Rahmen der gemäß Artikel 97 der Verordnung (EU) 2016/679 erforderlichen regelmäßigen Bewertung.

Artikel 4

(1)   Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Die Entscheidung 2001/497/EG wird mit Wirkung vom 27. September 2021 aufgehoben.

(3)   Der Beschluss 2010/87/EU wird mit Wirkung vom 27. September 2021 aufgehoben.

(4)   In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses 2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Brüssel, den 4. Juni 2021

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN


(1)   ABl. L 119 vom 4.5.2016, S. 1.

(2)  Artikel 44 der Verordnung (EU) 2016/679.

(3)  Siehe auch das Urteil des Gerichtshofs vom 16. Juli 2020, Data Protection Commissioner/Facebook Ireland Ltd und Maximilian Schrems (im Folgenden „Schrems II“), Rechtssache C-311/18, ECLI:EU:C:2020:559, Rn. 93.

(4)  Erwägungsgrund 109 der Verordnung (EU) 2016/679.

(5)  Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (ABl. L 181 vom 4.7.2001, S. 19).

(6)  Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. L 39 vom 12.2.2010, S. 5).

(7)  Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

(8)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39); siehe Erwägungsgrund 5.

(9)  C(2021)  3701.

(10)  Schrems II, Rn. 96 und 103. Siehe auch Verordnung (EU) 2016/679, Erwägungsgründe 108 und 114.

(11)  Schrems II.

(12)  Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer für die in Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 genannten Angelegenheiten.


ANHANG

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

a)

Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.

b)

Die Parteien:

i)

die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und

ii)

die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),

haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.

c)

Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

d)

Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

a)

Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

b)

Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

a)

Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

i)

Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7

ii)

Klausel 8 — Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b

iii)

Klausel 9 — Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e

iv)

Klausel 12 — Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f

v)

Klausel 13

vi)

Klausel 15.1 Buchstaben c, d und e

vii)

Klausel 16 Buchstabe e

viii)

Klausel 18 — Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18

b)

Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.

Klausel 4

Auslegung

a)

Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

b)

Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.

c)

Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.

Klausel 5

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 — fakultativ

Kopplungsklausel

a)

Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.

b)

Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.

c)

Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.

ABSCHNITT II — PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

8.1.   Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e) der Übermittlung. Er darf die personenbezogenen Daten nur dann für einen anderen Zweck verarbeiten,

i)

wenn er die vorherige Einwilligung der betroffenen Person eingeholt hat,

ii)

wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder

iii)

wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

8.2.   Transparenz

a)

Damit betroffene Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, teilt der Datenimporteur ihnen entweder direkt oder über den Datenexporteur Folgendes mit:

i)

seinen Namen und seine Kontaktdaten,

ii)

die Kategorien der verarbeiteten personenbezogenen Daten,

iii)

das Recht auf Erhalt einer Kopie dieser Klauseln,

iv)

wenn er eine Weiterübermittlung der personenbezogenen Daten an Dritte beabsichtigt, den Empfänger oder die Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), den Zweck und den Grund einer solchen Weiterübermittlung gemäß Klausel 8.7.

b)

Buchstabe a findet keine Anwendung, wenn die betroffene Person bereits über die Informationen verfügt, einschließlich in dem Fall, wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als nicht möglich erweist oder einen unverhältnismäßigen Aufwand für den Datenimporteur mit sich bringen würde. Im letzteren Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.

c)

Die Parteien stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln, einschließlich der von ihnen ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, können die Parteien Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; sie legen jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.

d)

Die Buchstaben a bis c gelten unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.3.   Richtigkeit und Datenminimierung

a)

Jede Partei stellt sicher, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind. Der Datenimporteur trifft alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

b)

Stellt eine der Parteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet sie unverzüglich die andere Partei.

c)

Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen und erheblich sowie auf das für den/die Zweck(e) ihrer Verarbeitung notwendige Maß beschränkt sind.

8.4.   Speicherbegrenzung

Der Datenimporteur speichert die personenbezogenen Daten nur so lange, wie es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist. Er trifft geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung sicherzustellen; hierzu zählen auch die Löschung oder Anonymisierung (2) der Daten und aller Sicherungskopien am Ende der Speicherfrist.

8.5.   Sicherheit der Verarbeitung

a)

Der Datenimporteur und — während der Datenübermittlung — auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.

b)

Die Parteien haben sich auf die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

c)

Der Datenimporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

d)

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

e)

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, meldet der Datenimporteur die Verletzung unverzüglich sowohl dem Datenexporteur als auch der gemäß Klausel 13 festgelegten zuständigen Aufsichtsbehörde. Diese Meldung enthält i) eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), ii) ihre wahrscheinlichen Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und iv) die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen zur gleichen Zeit bereitzustellen, kann er diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

f)

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Datenimporteur ebenfalls die jeweiligen betroffenen Personen unverzüglich von der Verletzung des Schutzes personenbezogener Daten und der Art der Verletzung, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, unter Angabe der unter Buchstabe e Ziffern ii bis iv genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu mindern, oder die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. Im letzteren Fall gibt der Datenimporteur stattdessen eine öffentliche Bekanntmachung heraus oder ergreift eine vergleichbare Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.

g)

Der Datenimporteur dokumentiert alle maßgeblichen Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und etwaiger ergriffener Abhilfemaßnahmen, und führt Aufzeichnungen darüber.

8.6.   Sensible Daten

Sofern die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur spezielle Beschränkungen und/oder zusätzliche Garantien an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann die Beschränkung des Personals, das Zugriff auf die personenbezogenen Daten hat, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung umfassen.

8.7.   Weiterübermittlungen

Der Datenimporteur darf die personenbezogenen Daten nicht an Dritte weitergeben, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (3) ansässig sind (im Folgenden „Weiterübermittlung“), es sei denn, der Dritte ist im Rahmen des betreffenden Moduls an diese Klauseln gebunden oder erklärt sich mit der Bindung daran einverstanden. Andernfalls ist eine Weiterübermittlung durch den Datenimporteur nur in folgenden Fällen zulässig:

i)

Sie erfolgt an ein Land, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,

ii)

der Dritte gewährleistet auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung,

iii)

der Dritte geht mit dem Datenimporteur ein bindendes Instrument ein, mit dem das gleiche Datenschutzniveau wie gemäß diesen Klauseln gewährleistet wird, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Garantien zur Verfügung,

iv)

die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich,

v)

die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder

vi)

– falls keine der anderen Bedingungen erfüllt ist — der Datenimporteur hat die ausdrückliche Einwilligung der betroffenen Person zu einer Weiterübermittlung in einem speziellen Fall eingeholt, nachdem er sie über den/die Zweck(e), die Identität des Empfängers und die ihr mangels geeigneter Datenschutzgarantien aus einer solchen Übermittlung möglicherweise erwachsenden Risiken informiert hat. In diesem Fall unterrichtet der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Verlangen eine Kopie der Informationen, die der betroffenen Person bereitgestellt wurden.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.8.   Verarbeitung unter der Aufsicht des Datenimporteurs

Der Datenimporteur stellt sicher, dass jede ihm unterstellte Person, einschließlich eines Auftragsverarbeiters, diese Daten ausschließlich auf der Grundlage seiner Weisungen verarbeitet.

8.9.   Dokumentation und Einhaltung der Klauseln

a)

Jede Partei muss nachweisen können, dass sie ihre Pflichten gemäß diesen Klauseln erfüllt. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten.

b)

Der Datenimporteur stellt der zuständigen Aufsichtsbehörde diese Aufzeichnungen auf Verlangen zur Verfügung.

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

8.1.   Weisungen

a)

Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.

b)

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.

8.2.   Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.

8.3.   Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4.   Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5.   Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6.   Sicherheit der Verarbeitung

a)

Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

b)

Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

c)

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

d)

Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.

8.7.   Sensible Daten

Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8.   Weiterübermittlungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (4) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls

i)

die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,

ii)

der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,

iii)

die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder

iv)

die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9.   Dokumentation und Einhaltung der Klauseln

a)

Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.

b)

Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

c)

Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.

d)

Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e)

Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

8.1.   Weisungen

a)

Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen fungiert, und der Datenexporteur stellt dem Datenimporteur diese Weisungen vor der Verarbeitung zur Verfügung.

b)

Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die Datenverarbeitung erteilen.

c)

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Weisungen des Verantwortlichen zu befolgen, setzt der Datenexporteur den Verantwortlichen unverzüglich davon in Kenntnis.

d)

Der Datenexporteur sichert zu, dass er dem Datenimporteur dieselben Datenschutzpflichten auferlegt hat, die im Vertrag oder in einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind. (5)

8.2.   Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Übermittlungszweck(e), sofern keine weiteren Weisungen seitens des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder seitens des Datenexporteurs bestehen.

8.3.   Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.

8.4.   Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.

8.5.   Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6.   Sicherheit der Verarbeitung

a)

Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

b)

Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

c)

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

d)

Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann.

8.7.   Sensible Daten

Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B angegebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8.   Weiterübermittlungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (6) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls

i)

die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,

ii)

der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 gewährleistet,

iii)

die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder

iv)

die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9.   Dokumentation und Einhaltung der Klauseln

a)

Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.

b)

Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

c)

Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum dem Verantwortlichen bereit.

d)

Der Datenimporteur ermöglicht dem Datenexporteur die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Gleiches gilt, wenn der Datenexporteur eine Prüfung auf Weisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.

e)

Wird die Prüfung auf Weisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung.

f)

Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

g)

Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

8.1.   Weisungen

a)

Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert.

b)

Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, u. a. wenn eine solche Weisung gegen die Verordnung (EU) 2016/679 oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt.

c)

Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäß der Verordnung (EU) 2016/679 hindern würde, einschließlich im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.

d)

Nach Wahl des Datenimporteurs löscht der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass dies erfolgt ist, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.

8.2.   Sicherheit der Verarbeitung

a)

Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten, auch während der Übermittlung, sowie den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art der personenbezogenen Daten (7), der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung und ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.

b)

Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten gemäß Buchstabe a. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten meldet der Datenexporteur dem Datenimporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde, und unterstützt den Datenimporteur bei der Behebung der Verletzung.

c)

Der Datenexporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8.3.   Dokumentation und Einhaltung der Klauseln

a)

Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b)

Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht Prüfungen und trägt zu diesen bei.

Klausel 9

Einsatz von Unterauftragsverarbeitern

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

a)

OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG. Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Datenexporteurs an einen Unterauftragsverarbeiter untervergeben. Der Datenimporteur reicht den Antrag auf die gesonderte Genehmigung mindestens [Zeitraum angeben] vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Datenexporteur benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Datenexporteur bereits genehmigten Unterauftragsverarbeiter findet sich in Anhang III. Die Parteien halten Anhang III jeweils auf dem neuesten Stand.

OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens [Zeitraum angeben] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b)

Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. (8) Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

c)

Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d)

Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

e)

Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

a)

OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG. Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Datenimporteur reicht den Antrag auf die gesonderte Genehmigung mindestens [Zeitraum angeben] vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Er informiert den Datenexporteur über eine solche Beauftragung. Die Liste der vom Verantwortlichen bereits genehmigten Unterauftragsverarbeiter findet sich in Anhang III. Die Parteien halten Anhang III jeweils auf dem neuesten Stand.

OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Verantwortlichen mindestens [Zeitraum angeben] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter/s.

b)

Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. (9) Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

c)

Auf Verlangen des Datenexporteurs oder des Verantwortlichen stellt der Datenimporteur eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d)

Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

e)

Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte betroffener Personen

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

a)

Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. (10) Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen und Anträge und die Ausübung der Rechte betroffener Personen zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form vorliegen und in einer klaren und einfachen Sprache abgefasst sein.

b)

Insbesondere unternimmt der Datenimporteur auf Antrag der betroffenen Person folgende Handlungen, wobei der betroffenen Person keine Kosten entstehen:

i)

Er legt der betroffenen Person eine Bestätigung darüber vor, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, stellt er ihr eine Kopie der sie betreffenden Daten und die in Anhang I enthaltenen Informationen zur Verfügung; er stellt, falls personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über die Empfänger oder Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weiterübermittelt wurden oder werden, sowie über den Zweck dieser Weiterübermittlung und deren Grund gemäß Klausel 8.7 bereit; er informiert die betroffene Person über ihr Recht, gemäß Klausel 12 Buchstabe c Ziffer i bei einer Aufsichtsbehörde Beschwerde einzulegen;

ii)

er berichtigt unrichtige oder unvollständige Daten über die betroffene Person;

iii)

er löscht personenbezogene Daten, die sich auf die betroffene Person beziehen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte als Drittbegünstigte gewährleisten, verarbeitet werden oder wurden oder wenn die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützt, widerruft.

c)

Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch dagegen einlegt.

d)

Der Datenimporteur trifft keine Entscheidung, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“), welche rechtliche Wirkung für die betroffene Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat hierzu ihre ausdrückliche Einwilligung gegeben oder eine solche Verarbeitung ist nach den Rechtsvorschriften des Bestimmungslandes zulässig und in diesen sind angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person festgelegt. In diesem Fall muss der Datenimporteur, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur,

i)

die betroffene Person über die geplante automatisierte Entscheidung, die angestrebten Auswirkungen und die damit verbundene Logik unterrichten und

ii)

geeignete Garantien umsetzen, die mindestens bewirken, dass die betroffene Person die Entscheidung anfechten, ihren Standpunkt darlegen und eine Überprüfung durch einen Menschen erwirken kann.

e)

Bei exzessiven Anträgen einer betroffenen Person — insbesondere im Fall von häufiger Wiederholung — kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Erledigung des Antrags verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

f)

Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Rechtsvorschriften des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.

g)

Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und über die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder einen gerichtlichen Rechtsbehelf einzulegen.

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

a)

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

b)

Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

c)

Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

a)

Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jeden Antrag, den er von einer betroffenen Person erhält; er beantwortet diesen Antrag erst dann, wenn er vom Verantwortlichen dazu ermächtigt wurde.

b)

Der Datenimporteur unterstützt den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

c)

Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Verantwortlichen, die ihm vom Datenexporteur übermittelt wurden.

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder — bei der Datenverarbeitung durch den Datenexporteur in der Union — gemäß der Verordnung (EU) 2016/679 gestellt werden.

Klausel 11

Rechtsbehelf

a)

Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.

[OPTION: Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen eine Beschwerde auch bei einer unabhängigen Streitbeilegungsstelle (11) einreichen können, ohne dass für die betroffene Person Kosten entstehen. Er unterrichtet die betroffenen Personen in der unter Buchstabe a beschriebenen Weise über einen solchen Rechtsbehelfsmechanismus sowie darüber, dass sie nicht verpflichtet sind, davon Gebrauch zu machen oder bei der Einlegung eines Rechtsbehelfs eine bestimmte Reihenfolge einzuhalten.]

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

b)

Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

c)

Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,

i)

eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,

ii)

den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

d)

Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.

e)

Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.

f)

Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.

Klausel 12

Haftung

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

a)

Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

b)

Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.

c)

Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.

d)

Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.

e)

Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

a)

Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

b)

Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.

c)

Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.

d)

Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

e)

Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.

f)

Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.

g)

Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung entziehen.

Klausel 13

Aufsicht

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

a)

[Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

b)

Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III — LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche (wenn der in der EU ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)

a)

Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

b)

Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

i)

die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

ii)

die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien, (12)

iii)

alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

c)

Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

d)

Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

e)

Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. [In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]

f)

Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen, [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche (wenn der in der EU ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)

15.1.   Benachrichtigung

a)

Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,

i)

wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder

ii)

wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.

[In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]

b)

Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

c)

Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). [In Bezug auf Modul drei: Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter.]

d)

Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

e)

Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2.   Überprüfung der Rechtmäßigkeit und Datenminimierung

a)

Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.

b)

Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. [In Bezug auf Modul drei: Der Datenexporteur stellt die Beurteilung dem Verantwortlichen zur Verfügung.]

c)

Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.

ABSCHNITT IV — SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrags

a)

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b)

Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.

c)

Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

i)

der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,

ii)

der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder

iii)

der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde [in Bezug auf Modul drei: und den Verantwortlichen] über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

d)

[In Bezug auf die Module eins, zwei und drei: Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten.] [In Bezug auf Modul vier: Von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien.] Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.

e)

Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Anwendbares Recht

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

[OPTION 1: Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Mitgliedstaat angeben) ist.]

[OPTION 2 (in Bezug auf die Module zwei und drei): Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Rechte als Drittbegünstigte zulässt, unterliegen diese Klauseln dem Recht eines anderen EU-Mitgliedstaats, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Mitgliedstaat angeben) ist.]

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

Diese Klauseln unterliegen dem Recht eines Landes, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Land angeben) ist.

Klausel 18

Gerichtsstand und Zuständigkeit

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

a)

Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

b)

Die Parteien vereinbaren, dass dies die Gerichte von _____ (Mitgliedstaat angeben) sind.

c)

Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.

d)

Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

 

Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von _____ (Land angeben) beigelegt.


(1)  Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen.

(2)  Die Daten müssen in einer Weise anonymisiert werden, dass eine Person im Einklang mit Erwägungsgrund 26 der Verordnung (EU) 2016/679 nicht mehr identifizierbar ist; außerdem muss dieser Vorgang unumkehrbar sein.

(3)  Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

(4)  Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

(5)  Siehe Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 und, wenn es sich bei dem Verantwortlichen um ein Organ oder eine Einrichtung der Union handelt, Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725.

(6)  Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

(7)  Hierzu zählt, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten.

(8)  Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.

(9)  Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.

(10)  Diese Frist kann um höchstens zwei weitere Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Datenimporteur unterrichtet die betroffene Person ordnungsgemäß und unverzüglich über eine solche Verlängerung.

(11)  Der Datenimporteur darf eine unabhängige Streitbeilegung über eine Schiedsstelle nur dann anbieten, wenn er in einem Land niedergelassen ist, das das New Yorker Übereinkommen über die Anerkennung und Vollstreckung ausländischer Schiedssprüche ratifiziert hat.

(12)  Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.


ANLAGE

ERLÄUTERUNG:

Es muss möglich sein, die für jede Datenübermittlung oder jede Kategorie von Datenübermittlungen geltenden Informationen klar voneinander zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(e) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend, dass für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen und/oder für jedes Vertragsverhältnis getrennte Anlagen ausgefüllt und unterzeichnet werden müssen, sofern die geforderte Transparenz bei Verwendung einer einzigen Anlage erzielt werden kann. Erforderlichenfalls sollten getrennte Anlagen verwendet werden, um ausreichende Klarheit zu gewährleisten.


ANHANG I

A.   LISTE DER PARTEIEN

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

Datenexporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenexporteure und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

1.

Name: …

Anschrift: …

Name, Funktion und Kontaktdaten der Kontaktperson: …

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: …

Unterschrift und Datum: …

Rolle (Verantwortlicher/Auftragsverarbeiter): …

2.

Datenimporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenimporteure, einschließlich jeder für den Datenschutz zuständigen Kontaktperson]

1.

Name: …

Anschrift: …

Name, Funktion und Kontaktdaten der Kontaktperson: …

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: …

Unterschrift und Datum: …

Rolle (Verantwortlicher/Auftragsverarbeiter): …

2.

B.   BESCHREIBUNG DER DATENÜBERMITTLUNG

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden

Kategorien der übermittelten personenbezogenen Daten

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden)

Art der Verarbeitung

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.

C.   ZUSTÄNDIGE AUFSICHTSBEHÖRDE

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13


ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

ERLÄUTERUNG:

Die technischen und organisatorischen Maßnahmen müssen konkret (nicht allgemein) beschrieben werden. Beachten Sie hierzu bitte auch die allgemeine Erläuterung auf der ersten Seite der Anlage; insbesondere ist klar anzugeben, welche Maßnahmen für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen gelten.

Beschreibung der von dem/den Datenimporteur(en) ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen

[Beispiele für mögliche Maßnahmen:

Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Maßnahmen zur Identifizierung und Autorisierung der Nutzer

Maßnahmen zum Schutz der Daten während der Übermittlung

Maßnahmen zum Schutz der Daten während der Speicherung

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit

Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten

Maßnahmen zur Gewährleistung der Datenminimierung

Maßnahmen zur Gewährleistung der Datenqualität

Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen und (bei Datenübermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter) zur Unterstützung des Datenexporteurs ergreifen muss.


ANHANG III

LISTE DER UNTERAUFTRAGSVERARBEITER

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

ERLÄUTERUNG:

Dieser Anhang muss für die Module zwei und drei im Falle einer gesonderten Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 9 Buchstabe a, Option 1).

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

1.

Name: …

Anschrift: …

Name, Funktion und Kontaktdaten der Kontaktperson: …

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): …

2.