Datenübermittlung in Drittländer: Standardvertragsklauseln der Europäischen Kommission.



Ähnliche Dokumente
Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Vortragsunterlagen. Verfasst von Zehentmayer So:ware GmbH, Stand Mai 2012

Das Facebook Urteil des EuGH EuGH, Ut. v , Rs. C-352/14 (Schrems)

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Maklerauftrag für Vermieter

Newsletter Immobilienrecht Nr. 10 September 2012

Nutzung dieser Internetseite

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

GPA-Mitteilung Bau 5/2002

GRUNDSATZVEREINBARUNG. abgeschlossen am unten bezeichneten Tage zwischen

Fachanwältin für Familienrecht. Mietverhältnis

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Zusammenarbeitsvertrag (Aktionärs- und Optionsvertrag)

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

Fragen Übung 14,

.WIEN-Richtlinie zur Beilegung von Streitigkeiten betreffend Registrierungsvoraussetzungen (Eligibility Requirements Dispute Resolution Policy/ERDRP)

Internationaler Datenschutz / Europäischer Datenschutz - Schutzgefälle. IT-Anwaltskonferenz , Berlin RA Thomas Zerdick, LL.M.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Allgemeine Geschäftsbedingungen. der

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

ARTIKEL-29-DATENSCHUTZGRUPPE

Ocean24 verweist insofern auf die entsprechenden Allgemeinen Geschäftsbedingungen der Beförderer.

Änderung des IFRS 2 Anteilsbasierte Vergütung

Vertrag über ein Nachrangdarlehen

Rechtliche Neuerungen. Informationspflichten und Widerrufsrecht bei Architekten- und Planungsverträgen mit Verbrauchern

Familienrecht Vorlesung 6. Familienrecht

(Ver-)Pfändung und exekutive Verwertung von Domains Domainrechtstag der nic.at 15. Jänner 2009

Vertrag über ein Nachrangdarlehen

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

- 1 - Zwischen Ihnen und uns ist am... der Bilanzgruppenverantwortlichen ( BGV )-Vertrag abgeschlossen worden.

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Allgemeine Geschäftsbedingungen für Gebrauch vom Hotel-Spider

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

10. Keine Annahme weiterer Arbeiten

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Informationen für Enteignungsbetroffene

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165)

Verordnung zur Änderung medizinprodukterechtlicher Vorschriften vom 16. Februar 2007

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

EUROCERT. Rahmenvereinbarung

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Freier Mitarbeiter Vertrag

Antrag'auf'Hilfeleistungen'aus'dem'Fonds'Sexueller'' Missbrauch'im'familiären'Bereich' '' A)'Zweck'des'Fonds'Sexueller'Missbrauch'

Allgemeine Geschäftsbedingungen und Widerrufsbelehrung für Gewissen Erleichtern

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Haus und Grundstück im Erbrecht 7: Kündigung und Schönheitsreparaturen bei der Mietwohnung im Erbe

Wir, gewählter Oberster Souverän von Gottes Gnaden, Treuhänder des

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

312a Allgemeine Pflichten und Grundsätze bei Verbraucherverträgen; Grenzen der Vereinbarung von Entgelten

Covermount-Rahmenvertrag. Microsoft Deutschland GmbH, Konrad-Zuse-Straße 1, Unterschleißheim - nachfolgend Microsoft -

Bestandskauf und Datenschutz?

Bei Verträgen über Dienstleistungen beginnt die Widerrufsfrist mit jenem Tag des Vertragsabschlusses.

ratgeber Urlaub - Dein gutes Recht

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Nutzungsbedingungen und Datenschutzrichtlinie der Website

Allgemeine Geschäftsbedingungen. Onlineshop. Datenblatt. Stand 2015

(ABl. Nr. L 372 S. 31) EU-Dok.-Nr L 0577

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Name, Vorname/Firma (nachstehend Kunde) Strasse, Nr. PLZ, Ort

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. Oktober in der Patentnichtigkeitssache

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL

DE 1 DE EUROPÄISCHER VERHALTENSKODEX FÜR MEDIATOREN

Personalverleih im IT-Bereich


1 Geltungsbereich, Begriffsbestimmungen

Widerrufsbelehrung der redcoon GmbH

Der Ausgleich unter den Gesamtschuldnern Baurechtszirkel

Die grenzüberschreitende Durchsetzung von Datenschutz in Europa - der Blick aus Europa

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Beherrschungs- und Gewinnabführungsvertrag

wegen unentschuldigter Fehltage in der Berufsschule oder fehlender Bereitschaft zur Eingliederung in die betriebliche Ordnung

MERKBLATT ZUR RUNDFUNKGEBÜHRENPFLICHT (GEZ) insbesondere für internetfähige PCs ab dem

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Hinweise zur Erbengemeinschaft Stand: 1. Januar 2009

Primzahlen und RSA-Verschlüsselung

(1) Während der Probezeit kann das Berufsausbildungsverhältnis jederzeit ohne Einhalten einer Kündigungsfrist gekündigt werden.

Abmahnung erhalten Was tun?

Sommerakademie Arbeitnehmer Freiwild der Überwachung? Personalvertretung und Datenschutz im internationalen Kontext.

nach Uhr Mitteleuropäischer Zeit (MEZ)

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Urheberrecht in der Schule Was Lehrer, Eltern, Schüler, Medienzentren und Schulbehörden vom Urheberrecht wissen sollten

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

Inhalt. Einführung in das Gesellschaftsrecht

Angenommen am 14. April 2005

Übereinkommen über die zivilrechtliche Haftung bei der Beförderung von Kernmaterial auf See

1. Vertragsgegenstand

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Allgemeine Geschäftsbedingungen für den Beherbergungsvertrag

Transkript:

Erschienen in Anwaltsblatt 2001, 634 RA Dr. Rainer Knyrim, Wien Datenübermittlung in Drittländer: Standardvertragsklauseln der Europäischen Kommission. Mit Entscheidung vom 15.6.2001 1 schlägt die Europäische Kommission Standardvertragsklauseln vor, die eine Datenübermittlung in Drittländer ohne angemessenes Schutzniveau rechtlich ermöglichen sollen. Diese zwischen einem privaten Datenexporteur und einem privaten Datenimporteur abzuschließenden Standardvertragsklauseln hat die Kommission in einem Mustervertrag zusammengefasst. Der Mustervertrag ist so vollständig ausgearbeitet, dass lediglich die Daten der Vertragsparteien eingesetzt werden müssen sogar Felder für die Firmenstempel der Parteien sind schon vorgesehen. Man könnte ihn daher "ungeschaut" sofort unterschreiben. Wie der folgende Blick auf die einzelnen Vertragsklauseln zeigt, könnte dies später zu unangenehmen Überraschungen führen. I. Einleitung Nach Art 25 der DatenschutzRL 2 ist die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland nur dann zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. Welches Drittland ein angemessenes Schutzniveau, wird von der Kommission unter Mitwirkung der Mitgliedstaaten festgesetzt. Bislang hat die Kommission Ungarn und der Schweiz sowie allen Unternehmen der USA, die sich zu den sog "Safe Harbor" 3 - Bestimmungen des US-Handelsministeriums verpflichtet haben, ein angemessenes Datenschutzniveau attestiert. 4 Das bedeutet, dass eine Datenübermittlung nur zwischen EU-Mitgliedstaaten, Ungarn, der Schweiz und bestimmten US-Unternehmen zulässig ist. Art 26 DatenschutzRL sieht allerdings verschiedene Ausnahmen von den Einschränkungen des Art 25 vor: 5 So können nach Art 26 Abs 1 DatenschutzRL Daten zb dann in ein Drittland, das kein angemessenes Schutzniveau hat, übermittelt werden, wenn der, dessen Daten übermittelt werden ("betroffene Person"), dazu ohne jeden Zweifel seine Einwilligung gegeben hat, oder die Übermittlung für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen erforderlich ist. Art 26 Abs DatenschutzRL ermöglicht es den Mitgliedstaaten überdies, eine Übermittlung Schönherr Rechtsanwälte OEG. 1 E der Kommission v 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl L 181 v 4.7.2001 S 19. Die Entscheidung ist ab 3.9.2001 gültig. 2 RL 95/46/EG des Europäischen Parlaments und des Rates v 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 281 v 23.11.1995 S 31. 3 Amerikan "safe harbor", engl "safe harbour". 4 Entscheidungen der Kommission v 26.7.2000 nach der RL 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in Ungarn, der Schweiz sowie über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" gewährleisteten Schutzes und der diesbezüglichen "Häufig gestellten Fragen" (FAQ), vorgelegt vom Handelsministerium der USA, ABl L 215 v 25.8.2000. 5 Die Art 25 und 26 DatenschutzRL wurden durch 12 und 13 Datenschutzgesetz 2000, BGBl I 1999/165 ("DSG 2000") umgesetzt.

- 2 - oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland ohne angemessenes Schutzniveau zu genehmigen, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Diese Garantien können sich dabei insb aus entsprechenden Vertragsklauseln ergeben. Dazu sieht Art 26 Abs 4 DatenschutzRL vor, dass die Kommission befinden kann, dass bestimmte Standardvertragsklauseln ausreichende Garantien nach Abs 2 bieten können. Genau dies hat die Kommission in ihrer Entscheidung 6 hinsichtlich der Standardvertragsklauseln befunden. Die Standardvertragsklauseln sind allerdings nicht die einzige Möglichkeit, eine Datenübermittlung in Drittstaaten zu legalisieren. Dies ergibt sich aus Art 26 DatenschutzRL bzw 13 Abs 2 Z 2 DSG 2000, die eine vertragliche Vereinbarung nur beispielhaft als eine solche Möglichkeit ("insbesondere") hervorheben. Gelingt es dem Auftraggeber daher, der Datenschutzkommission glaubhaft zu machen, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenexport Betroffenen ausreichend gewahrt werden, weil zb im Drittstaat ein der EU entsprechendes oder fast entsprechendes Datenschutzniveau und gute Rechtsdurchsetzungsmöglichkeiten für die Betroffenen bestehen, benötigt er uu gar keinen Vertrag. Nach 13 Abs 2 Z 1 DSG 2000 kann die Datenschutzkommission überdies unter Berücksichtigung aller Umstände feststellen, dass im konkreten Einzelfall ein angemessener Datenschutz besteht. Ebenso muss eine vertragliche Regelung nicht unbedingt die Standardvertragsklauseln beinhalten. Die Kommission betont in ihrer Entscheidung, 7 dass die Standardvertragsklauseln lediglich den Zweck haben, dass Mitgliedstaaten (dh deren Datenschutzbehörden) diese, wenn sie vereinbart sind, als ausreichende Garantien anerkennen müssen. Die Standardvertragsklauseln sind daher nicht zwingend, der Datenexporteur kann mit seiner nationalen Behörde nach 13 Abs 2 Z 2 DSG 2000 auch andere Klauseln aushandeln. Je geringer allerdings das Datenschutzniveau und die Möglichkeit der Rechtsdurchsetzung in einem Drittstaat sind, desto mehr vertragliche Zusicherungen wird die Datenschutzkommission von den Vertragsparteien verlangen und desto mehr werden sich diese an den Standardvertragsklauseln der Kommission orientieren. Die Standardvertragsklauseln sind nur auf eine Datenübermittlung isd 4 Z 12 DSG 2000 anwendbar, nicht jedoch auf eine bloße Datenüberlassung an einen Dienstleister in einem Drittstaat isd 4 Z 11 DSG 2000, also zb im Falle des Auslagerns einer betrieblichen Datenverarbeitung in ein Drittland. Für solche Fälle ist eine eigene Entscheidung der Kommission in Vorbereitung. 8 Die Erwägungsgründe der Entscheidung 9 versuchen den Eindruck zu erwecken, dass die Standardvertragsklauseln ausschließlich den Federn der Kommission bzw der nach Art 29 DatenschutzRL eingesetzten Arbeitsgruppe entsprungen sind. 10 Tatsächlich sind die Standardvertragsklauseln zu einem Großteil den zum selben Thema von der Internationalen Handelskammer (ICC) bereits 1998 veröffentlichten Standardklauseln sehr ähnlich. 11 Bemerkenswert ist auch, dass die Kommission in einem früheren Entwurf der Standardver- 6 E der Kommission v 15.6.2001, ABl L 181 v 4.7.2001 S 22, Art 1. 7 E der Kommission, ABl L 181 v 4.7.2001 S 20, Erwägungsgrund 6 und S 22 Art 2. 8 Ein Entwurf dieser Entscheidung ist unter http://europa.eu.int/comm/internal_market/en/dataprot/news/sccprocessors.htm einsehbar. 9 E der Kommission, ABl L 181 v 4.7.2001 S 19, Erwägungsgrund 3. 10 Siehe insb die Erwägungsgründe 3, 22 und 23 der E der Kommission, ABl L 181 v 4.7.2001. 11 International Chamber of Commerce, Model clauses for use in contracts involving transborder data flows, 23.9.1998. Als Reaktion auf die E der Kommission hat die ICC mit anderen Organisationen gemeinsam am

- 3 - tragsklauseln 12 vorsah, dass die Vertragsparteien den Vertrag durch Ankreuzen von Kästchen ausfüllen sollten. Eine interessante Methode der Vertragserrichtung, die wohl kaum dazu beigetragen hätte, sich eingehender mit dem Vertragsinhalt auseinanderzusetzen. Die Kästchen wurden in der Endfassung wieder entfernt. 13 II. "Gewöhnliche" Klauseln 1. Definitionen, Inhalt der Übermittlung Datenexporteur ist nach den Begriffsbestimmungen in Klausel 1 der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt. Datenimporteur ist der für die Verarbeitung Verantwortliche, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung nach den Bestimmungen der Vereinbarung entgegenzunehmen und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet. Die Einzelheiten der Übermittlung sind in einer Anlage 1 der Standardvertragsklauseln anzuführen, ua der Tätigkeitsbereich des Datenexporteurs und des Datenimporteurs, die Kategorien der betroffenen Personen, auf die sich die Daten beziehen, die Datenkategorien, die übermittelt werden und der Zweck der Übermittlung. Werden sensible Daten übermittelt, sind diese gesondert anzuführen. Überdies muss angegeben werden, welchen Empfängern oder Kategorien von Empfängern die Daten bekannt gemacht werden und wie lange die übermittelten Daten aufbewahrt werden dürfen. 2. Pflichten Der Datenexporteur wird in Klausel 4 verpflichtet, die Daten rechtmäßig zu verarbeiten und bei der Übermittlung besonderer Datenkategorien (insb sensibler Daten) die betroffene Person davon in Kenntnis zu setzen. Weiters muss er Anfragen der betroffenen Person und der Kontrollstelle (Datenschutzkommission) beantworten und der betroffenen Person auf deren Anforderung eine Kopie des Vertrages zur Verfügung stellen. Der Datenimporteur garantiert in Klausel 5, dass er nicht durch nationale Gesetze an der Erfüllung der Vertragsverpflichtungen gehindert ist und im Falle einer nachteiligen Gesetzesänderung den Datenexporteur und die Kontrollstelle (Datenschutzkommission) des Landes, in dem der Datenexporteur ansässig ist, hierüber informieren wird. Weiters verpflichtet er sich, Anfragen des Datenexporteurs oder der betroffenen Person zur durchgeführten Verarbeitung zu beantworten, dem Datenexporteur seine Datenverarbeitungseinrichtungen zur Prüfung zur Verfügung zu stellen und der betroffenen Person auf Anfrage eine Kopie der Vertragsklauseln auszuhändigen. Überdies muss der Datenimporteur zwischen zwei Anlagen wählen, die jeweils unterschiedliche verbindliche Datenschutzgrundsätze enthalten. 3. Sonstige "gewöhnliche" Klauseln Nach Klausel 8 sind die Parteien auf Verlangen der Kontrollstelle (Datenschutzkommission) verpflichtet, eine Kopie des Vertrages bei dieser zu hinterlegen. 17.9.2001 neue Standardvertragsklauseln in einem Brief an Kommissar Frits Bolkestein vorgeschlagen. Siehe unter http://www.iccwbo.org/hone/statements_rules/statements/2001/contractual_clauses_for_transfer.asp 12 Entwurf vom 29.9.2000, http://europa.eu.int/comm/intenal_market/en/dataprot/news/callcom.htm. 13 Klausel 5 b) der Standardvertragsklauseln verweist irrtümlich noch immer auf solche Kästchen.

- 4 - Eine Vertragskündigung bewirkt nach Klausel 9 keine Befreiung der Vertragsparteien von den Verpflichtungen in Bezug auf die Verarbeitung der übermittelten Daten. Die Vertragsparteien dürfen nach Klausel 11 den Wortlaut der vereinbarten Klauseln nachträglich nicht abändern. III. "Ungewöhnliche" Klauseln 1. Drittbegünstigtenklausel Klausel 3 ist eine Drittbegünstigtenklausel, nach der die betroffenen Personen einen Großteil der im Mustervertrag enthaltenen Standardvertragsklauseln über die Pflichten des Datenexporteurs, des Datenimporteurs und die wechselseitige Haftung derselben als Drittbegünstigte geltend machen können. Die Idee zu dieser Drittbegünstigtenklausel wurde bereits in einer Arbeitsunterlage der zuständigen Arbeitsgruppe der Kommission erörtert. 14 In dieser Arbeitsunterlage wurde untersucht, welche Schutz- und Sorgfaltspflichten angewandt werden könnten, um den Rechtsschutz der betroffenen Personen gegenüber Datenimporteur und Datenexporteur im Datenverkehr mit Drittländern zu verbessern. Als ein "komplexer Mechanismus" wurde dort die Möglichkeit genannt, dass die betroffenen Personen selbst Vertragsrechte aus dem Vertrag zwischen Datenexporteur und Datenimporteur geltend machen könnten, soweit dies im jeweiligen Rechtssystem möglich ist. 15 Schon daraus lässt sich erkennen, dass die Drittbegünstigtenklausel nicht nur Schutz- und Sorgfaltspflichten is eines Vertrages mit Schutzwirkung zugunsten Dritter entfalten soll. Bei Einordnung der Klausel in das österreichische Rechtssystem zeigt sich, dass diese aus dem Mustervertrag einen echten Vertrag zugunsten Dritter isd 881 Abs 2 ABGB macht: Die betroffene Person soll die Möglichkeit haben, zb die Pflicht des Datenimporteurs zur Einhaltung der vertraglich in Anlage 2 der Standardvertragsklauseln vereinbarten Datenschutzgrundsätze selbst geltend zu machen. Bei dieser Einordnung kann me nicht einmal die Zweifelsregelung des 881 Abs 2 2. Satz ABGB angewandt werden, da die Klausel schon aufgrund ihrer eindeutigen Bezeichnung als "Drittbegünstigtenklausel" klar einen direkten Anspruch des Dritten an die Vertragspartner begründet, sodass 881 Abs 2 1. Satz ABGB vorgeht. 16 Die Drittbegünstigtenklausel ist sicher ungewöhnlich, für sich allein aber nicht so heikel, da sie ihre volle Wirkung erst in Zusammenhang mit den folgenden Haftungsbestimmungen entfaltet. 2. Haftungsklauseln Klausel 6 enthält "gefährliche" Haftungsbestimmungen. Zunächst vereinbaren die Parteien in Z 1, dass betroffene Personen, die durch die Verletzung der Bestimmungen in Klausel 3 Schaden erlitten haben, berechtigt sind, von den Parteien Schadenersatz zu verlangen. Dazu vereinbaren sie, dass sie nur von der Haftung befreit werden, wenn sie nachweisen, dass keine von ihnen für die Verletzung dieser Bestimmungen verantwortlich ist. In Z 2 wird ausdrücklich eine gesamtschuldnerische Haftung für Schäden der betroffenen Person festgelegt, wobei die betroffene Person gegen den Datenexporteur, den Datenimporteur oder beide gerichtlich vorgehen kann. Schließlich wird in Z 3 ein gegenseitiges Regressrecht der Parteien untereinander für ersetzte 14 Europäische Kommission, Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten, Arbeitsunterlage: Übermittlungen personenbezogener Daten an Drittländer; Anwendung von Art 25 und 26 der Datenschutzrichtlinie der EU, GD XV D/5025/98 WP 12. 15 Europäische Kommission, Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten, Arbeitsunterlage, S 20. 16 Rummel in Rummel, Kommentar zum ABGB 2, Rz 2 zu 881 ABGB; Spielbüchler, Der Dritte im Schuldverhältnis (1973) 19.

- 5 - Schäden je nach Haftungsumfang der jeweiligen Partei vereinbart. Die Verwendung der Z 3 ist den Parteien ausdrücklich freigestellt, Z 1 und Z 2 müssen vereinbart werden. Die Bestimmung in Klausel 6 Z 1, dass eine Haftungsbefreiung nur dann möglich ist, wenn die Vertragsparteien nachweisen, dass keine von ihnen für die Verletzung verantwortlich ist, geht me über Art 23 Abs 2 DatenschutzRL hinaus, der bestimmt, dass sich der für die Verarbeitung Verantwortliche von der Haftung freibeweisen kann. Nach der Richtlinie würde es somit genügen, wenn die Vertragspartei, die tatsächlich verantwortlich ist, sich freibeweist, während nach Klausel 6 Z 2 auch die nicht verantwortliche andere Partei den Nachweis ihrer Unschuld erbringen muss. Die Kommission möchte damit der betroffenen Person die schwierige Feststellung, wer genau für die Verletzung verantwortlich ist, ersparen. 17 Ebenso weit interpretiert Klausel 6 Z 2 die Bestimmungen der DatenschutzRL: Die dort vorgesehene gesamtschuldnerische Haftung ist der DatenschutzRL nicht zu entnehmen. Art 26 DatenschutzRL fordert, dass "ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte" geboten werden, damit ein Datentransfer genehmigt werden kann. Wie diese Garantien im Einzelnen ausgeformt sein sollen, lässt die Richtlinie völlig offen 18 und es gibt keinen Hinweis auf diese gesamtschuldnerische Haftung. Auch das Arbeitspapier der Kommission 19 oder die ICC-Modellklauseln 20 sehen eine solche nicht vor. Es mag schon Klausel 6 Z 1 ungewöhnlich, für die Vertragsparteien aber vielleicht noch akzeptabel sein, wenn die betroffenen Personen als Dritte aus ihrem Vertrag direkt Rechte ableiten können. Denn zumindest für den Datenexporteur gelten die Bestimmungen der DatenschutzRL und die nationalen Regelungen seines Mitgliedstaates, die Schadenersatzansprüche der betroffenen Personen vorsehen. 21 Dass der Datenexporteur aber nach Klausel 6 Z 2 gesamtschuldnerisch für die Schäden, die der Datenimporteur bei Dritten verursacht, mithaften soll, wird für diesen kaum vertretbar sein: Eine Verletzung der Rechte des Dritten wird im Normalfall mit einer Verletzung des Vertrages einhergehen. Der Datenexporteur müsste daher im Innenverhältnis gegen seinen Vertragspartner wegen Vertragsverletzung vorgehen, gleichzeitig sollte er sich aber aufgrund der gesamtschuldnerischen Haftung mit diesem gemeinsam nach außen gegen den Dritten verteidigen. Ist ein solcher Streit einmal losgebrochen, wird auch die Regressmöglichkeit der Klausel 6 Z 3 nur zu einer Verschärfung des Konflikts, und nicht zu dessen Lösung beitragen. Klausel 6 Z 3 sollte zur Absicherung der Regressansprüche der Parteien untereinander aber dennoch vereinbart werden. Der betroffenen Person hingegen bringt Klausel 6 eine wesentliche Erleichterung der Rechtsdurchsetzung. Sie kann bei einer Verletzung des Vertrages durch den in einem Drittstaat ansässigen Datenimporteur ihre Schadenersatzforderung anstatt gegen diesen gegen den in der EU ansässigen Datenexporteur stellen (s dazu auch 3. unten). Die Last, den Datenimporteur in einem Drittstaat zu klagen, liegt in diesem Fall beim Da- 17 Europäische Kommission, Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern Häufig gestellte Fragen (FAQ), 18.6.2001, http://www.europa.eu.int/comm/internal_market/de/dataprot/news/clauses2faq.htm. 18 Dammann/Simitis, EG-Datenschutzrichtlinie, Kommentar (1997) Rz 16 und 29 zu Art 26. 19 Europäische Kommission, Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten, Arbeitsunterlage S 20. 20 International Chamber of Commerce, Model clauses for use in contracts involving transborder data flows, Punkt 2. 21 ZB 33 DSG 2000 in Umsetzung des Art 23 DatenschutzRL.

- 6 - tenexporteur (sofern das Regressrecht der Klausel 6 Z 3 vereinbart wurde). Die Kommission hielt es für fairer, diese Last dem Datenexporteur aufzubürden, anstatt der betroffenen Person. 22 3. Anwendbares Recht und Gerichtsstand Zu beachten ist, dass Klausel 10 als anwendbares Recht das Recht des Mitgliedstaates vorgibt, in dem der Datenexporteur ansässig ist. Dieses ist im Vertrag einzusetzen und wird jedenfalls das Recht eines EU- Mitgliedstaates sein. Das Recht des Drittstaates, in dem der Datenimporteur ansässig ist, kann nicht vereinbart werden. Klausel 7 bestimmt, dass eine nach Klausel 3 drittbegünstigte Person nach deren Wahl ihre Rechte entweder vor einem Schiedsgericht oder vor den Gerichten des Mitgliedstaates, in dem der Datenexporteur ansässig ist, geltend machen kann. Ein österreichischer Datenexporteur kann daher von einer betroffenen Person für die Verletzung der in Klausel 3 genannten vertraglichen Bestimmungen durch den ausländischen Datenimporteur in Österreich nach österreichischem Recht 23 geklagt werden. IV. Ergebnis Die Standardvertragsklauseln enthalten ungewöhnliche Bestimmungen, die ua eine Drittbegünstigung der betroffenen Datensubjekte is eines Vertrages zugunsten Dritter und eine gesamtschuldnerische Haftung der Vertragsparteien konstituieren. Die Standardvertragsklauseln sollten daher nicht "blind" unterschrieben werden, auch wenn sie aufgrund ihrer äußeren Form dazu einladen. Möchte ein Unternehmen Daten an ein Unternehmen in einem Drittstaat 24 ohne angemessenen Datenschutz exportieren, die Standardvertragsklauseln aber nicht in diesem Umfang abschließen, so bleibt nur, entweder eine der gesetzlichen Ausnahmen des 12 Abs 3 DSG 2000 bzw Art 26 Abs 1 DatenschutzRL anzustreben (zb Einholung der Zustimmung des Betroffenen; Erfüllung eines im Interesse des Betroffenen geschlossenen Vertrages) oder den Datenexport nach 13 DSG 2000 mit der Datenschutzkommission im Einzelnen zu verhandeln. Im zweitgenannten Fall kann der Datenexporteur nach 13 Abs 2 Z 1 DSG 2000 der Datenschutzkommission darlegen, dass im konkreten Einzelfall ein angemessener Datenschutz besteht, der eine vertragliche Vereinbarung überflüssig macht. Oder er macht der Datenschutzkommission nach 13 Abs 2 Z 2 DSG 2000 glaubhaft, dass aufgrund der guten Datenschutzsituation im Drittstaat die schutzwürdigen Geheimhaltungsinteressen der betroffenen Person auch ohne oder durch eine selbst entworfene vertragliche Vereinbarung gewahrt bleiben. - * - Siehe zu diesem Thema auch Knyrim, Neuerungen im Datenverkehr mit Drittländern, ecolex 2002, 466. Knyrim, Checkliste Zulässigkeit eines internationalen Datentransfers nach DSG 2000, ecolex 2002, 470. 22 Europäische Kommission, Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern Häufig gestellte Fragen (FAQ). 23 Die entsprechenden Bestimmungen finden sich in 32 f DSG 2000. 24 Ausgenommen Unternehmen in der Schweiz, Ungarn und "safe harbor"-unternehmen.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback