DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), insbesondere auf Artikel 28 Absatz 7 und Artikel 46 Absatz 2 Buchstabe c,
in Erwägung nachstehender Gründe:
(1) Technologische Entwicklungen erleichtern den grenzüberschreitenden Datenverkehr, der für den Ausbau der internationalen Zusammenarbeit und des internationalen Handels erforderlich ist. Gleichzeitig muss bei der Übermittlung personenbezogener Daten an Drittländer, einschließlich im Falle von Weiterübermittlungen, sichergestellt werden, dass das durch die Verordnung (EU) 2016/679 gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Die Bestimmungen über Datenübermittlungen in Kapitel V der Verordnung (EU) 2016/679 sollen den Fortbestand dieses hohen Schutzniveaus bei der Übermittlung personenbezogener Daten an ein Drittland gewährleisten.
(2) Gemäß Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 darf ein Verantwortlicher oder ein Auftragsverarbeiter — wenn kein Angemessenheitsbeschluss der Kommission nach Artikel 45 Absatz 3 vorliegt — personenbezogene Daten an ein Drittland nur übermitteln, sofern er geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Solche Garantien können in Standarddatenschutzklauseln bestehen, die von der Kommission gemäß Artikel 46 Absatz 2 Buchstabe c erlassen werden.
(3) Die Rolle von Standardvertragsklauseln beschränkt sich auf die Gewährleistung angemessener Datenschutzgarantien für internationale Datenübermittlungen. Daher steht es dem Verantwortlichen oder dem Auftragsverarbeiter, der die personenbezogenen Daten an ein Drittland übermittelt ("Datenexporteur"), und dem die personenbezogenen Daten annehmenden Verantwortlichen oder Auftragsverarbeiter ("Datenimporteur") frei, diese Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter werden ermutigt, mittels vertraglicher Verpflichtungen, die die Standardvertragsklauseln ergänzen, zusätzliche Garantien zu bieten. Der Rückgriff auf die Standardvertragsklauseln erfolgt unbeschadet der vertraglichen Pflichten des Datenexporteurs und/oder des Datenimporteurs, die Einhaltung der geltenden Vorrechte und Befreiungen zu gewährleisten.
(4) Über den Rückgriff auf Standardvertragsklauseln (mit dem Ziel, geeignete Garantien für Datenübermittlungen nach Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 zu bieten) hinaus muss der Datenexporteur seinen allgemeinen Pflichten als Verantwortlicher oder Auftragsverarbeiter gemäß der Verordnung (EU) 2016/679 nachkommen. Diese Pflichten schließen die Pflicht des Verantwortlichen ein, die betroffenen Personen nach Artikel 13 Absatz 1 Buchstabe f und Artikel 14 Absatz 1 Buchstabe f Verordnung (EU) 2016/679 über die beabsichtigte Übermittlung personenbezogener Daten an ein Drittland zu informieren. Im Falle von Datenübermittlungen gemäß Artikel 46 der Verordnung (EU) 2016/679 muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt werden kann, oder wo sie verfügbar sind, umfassen.
(5) Die Entscheidung 2001/497/EG der Kommission und der Beschluss 2010/87/EU der Kommission enthalten Standardvertragsklauseln, um die Übermittlung personenbezogener Daten von einem in der Union niedergelassenen Verantwortlichen an einen Verantwortlichen oder einen Auftragsverarbeiter zu erleichtern, der in einem Drittland niedergelassen ist, das kein angemessenes Schutzniveau bietet. Diese Entscheidung und dieser Beschluss beruhten auf der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates.
(6) Gemäß Artikel 46 Absatz 5 der Verordnung (EU) 2016/679 bleiben die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU so lange in Kraft, bis sie erforderlichenfalls mit einem nach Artikel 46 Absatz 2 besagter Verordnung erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. Die Standardvertragsklauseln in dieser Entscheidung bzw. in diesem Beschluss mussten im Lichte der neuen Anforderungen der Verordnung (EU) 2016/679 aktualisiert werden. Darüber hinaus haben sich seit dem Erlass der genannten Entscheidung und des genannten Beschlusses wichtige Entwicklungen in der digitalen Wirtschaft vollzogen, in deren Rahmen neue und komplexere Verarbeitungsvorgänge, an denen häufig mehrere Datenimporteure und Datenexporteure beteiligt s...