Hinweis zum folgenden Beitrag: Am 16. Juli 2020 erklärte der Europäische Gerichtshof das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam. Damit ist es ab sofort nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten. Weitere Informationen finden Sie hier. Die Orientireungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ finden Sie hier.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S.-Privacy Shield steht nunmehr – effektiv seit 1. August 2016 – eine neue Grundlage für Datenübermittlungen in die USA zur Verfügung.

Der EU-U.S. Privacy Shield kann allerdings nicht für alle Übermittlungen personenbezogener Daten in die USA verwendet werden, sondern bietet nur eine Grundlage für Übermittlungen an solche U.S.-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung besitzen.

Da die oben genannten Entscheidung der Europäischen Kommission bindend ist, kann das EU-U.S. Privacy Shield nun trotz der von den Datenschutzbehörden geäußerten Kritik als Grundlage genutzt werden, um personenbezogene Daten aus Europa an solche U.S.-Unternehmen zu transferieren, die sich gemäß dem Privacy Shield zertifiziert haben1.

Informationen für europäische Unternehmen

Das U.S.-Handelsministerium führt die offizielle Liste der U.S.-Unternehmen, die eine Privacy-Shield-Zertifizierung erworben haben. Unternehmen und andere Akteure aus der Europäischen Union, die auf Grundlage des Privacy Shield personenbezogene Daten in die USA übermitteln wollen, müssen darauf achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden sollen, auch tatsächlich in der oben genannten Liste des U.S.-Handelsministeriums eingetragen ist. Ferner muss das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasst, die übermittelt werden sollen (Beschäftigtendaten = „HR“ oder sonstige Daten, zum Beispiel (personenbezogene) Kundendaten = „Non HR“).

Die Artikel-29-Gruppe der Datenschutzbehörden der EU-Mitgliedstaaten hat „Fragen und Antworten“> (FAQs) für EU-Unternehmen zum EU-U.S. Privacy Shield veröffentlicht, die personenbezogene Daten auf der Grundlage des Privacy Shield an U.S.-Unternehmen übermitteln wollen. Eine vorläufige deutsche (Arbeits-)Übersetzung dieser FAQ finden Sie hier.

Informationen für Betroffene

Der EU-U.S. Privacy Shield gewährt Ihnen für den Fall, dass Ihre personenbezogenen Daten aus der Europäischen Union (zum Beispiel aus Deutschland) an Privacy-Shield-zertifizierte U.S.-Unternehmen übermittelt werden, bestimmte Rechte. Die Europäische Kommission hat einen Leitfaden zum Privacy Shield veröffentlicht, in dem diese Rechte ausführlich dargestellt werden.

Ob ein in den USA ansässiges Unternehmen gemäß dem Privacy Shield zertifiziert ist und Ihnen somit gegenüber dem Unternehmen die im Privacy Shield geregelten Rechte zustehen, können Sie auf der offiziellen Liste des U.S.-Handelsministeriums unter https://www.privacyshield.gov/list überprüfen. Sollten Sie feststellen, dass ein Transfer Ihrer Daten auf den Privacy Shield gestützt wird, das Unternehmen, das Ihre Daten in den USA empfängt aber nicht auf der Liste zu finden ist, melden Sie dies bitte formlos dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Welche Rechte stehen Ihnen nach dem EU-U.S. Privacy Shield zu?

Wenn personenbezogenen Daten zu Ihrer Person auf der Grundlage des Privacy Shield an ein zertifiziertes U.S.-Unternehmen übermittelt wurden, stehen Ihnen gegenüber dem U.S.-Unternehmen unter anderem folgende Rechte hinsichtlich Ihrer Daten zu:

  • Recht auf Information
  • gegebenenfalls Recht auf Widerspruch gegen eine Datenverarbeitung
  • Recht auf Auskunft
  • Recht auf Berichtigung unrichtiger Daten
  • gegebenenfalls Recht auf Löschung
  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren  und
  • Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson.

Falls Sie Fragen zu Ihren Daten haben, die an ein zertifiziertes U.S.-Unternehmen auf der Grundlage des Privacy Shield übermittelt wurden, oder falls Sie eines Ihrer oben genannten Rechte ausüben wollen, sollten Sie sich zunächst direkt an das U.S.-Unternehmen wenden. Hierzu ist auf der Liste der zertifizierten U.S.-Unternehmen (https://www.privacyshield.gov/list) bei jedem Unternehmen unter einem Link „Questions or Complaints“ eine Kontaktstelle angeboten.

Das U.S.-Unternehmen ist verpflichtet, Ihre Anfrage binnen 45 Tagen zu beantworten.

Wie kann ich eine Beschwerde einreichen?

Wenn das U.S.-Unternehmen Ihre Fragen nicht beantwortet oder Ihre Bedenken im Hinblick auf die Verarbeitung Ihrer Daten nicht ausgeräumt hat, steht Ihnen die Möglichkeit einer Beschwerde bei sog. unabhängigen Beschwerdestellen (in der Regel Streitschlichtungsstellen in den USA) zur Verfügung. Jedes zertifizierte U.S.-Unternehmen muss – unter „Recourse Mechanism“ (zu finden ebenfalls unter dem Link „Questions or Complaints“ auf dem Unternehmenseintrag in der Liste https://www.privacyshield.gov/list) – die jeweils zuständige unabhängige Beschwerdestelle nennen, an die kostenlos Beschwerden gerichtet werden können.

Wenn eine Beschwerde auf diesem Weg nicht vollständig geklärt werden konnte, steht als letzte Instanz noch die Möglichkeit eines Schiedsverfahrens (binding arbitration) in den USA zur Verfügung. Nähere Informationen zum Schiedsverfahren entnehmen Sie dem Leitfaden für Betroffene der Europäischen Kommission oder der Webseite des U.S. Handelsministeriums.

Wenn Sie der Meinung sind, dass ein Privacy-Shield-zertifiziertes U.S.-Unternehmen, an welches Ihre Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-U.S. Privacy Shield verstoßen hat oder die Rechte, die Ihnen nach dem Privacy Shield zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde auch direkt an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wenden. Bitte nutzen Sie dafür das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular (DOCX-Datei, 40 kB). So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen.

Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch U.S.-amerikanische Geheimdienste oder Sicherheitsbehörden wurde von den Datenschutzbehörden der EU-Mitgliedstaaten ein gesondertes Formular (DOCX-Datei, 43 kB) entwickelt, das wir Sie zu benutzen bitten.

Wie werden Beschwerden bearbeitet?

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird die Bearbeitung Ihrer Beschwerde auf dem für den konkreten Fall vorgesehenen Weg anstoßen. Die Bearbeitung von Beschwerden findet je nach Beschwerdegegenstand und Art der Daten auf verschiedenen Wegen statt:

  • Für die Bearbeitung von Beschwerden im Falle von Beschäftigtendaten („HR-Data“) ist ein sogenannter informelles Gremium aus Datenschutzbehörden der EU-Mitgliedstaaten („informal panel of EU DPAs“) eingerichtet. Das Gremium ist befugt, gegenüber dem zertifizierten U.S.-Unternehmen eine Empfehlung mit verbindlichem Charakter auszusprechen. Es arbeitet auf Grundlage einer eigenen Geschäftsordnung (eine vorläufige deutsche Arbeitsübersetzung der Geschäftsordnung findet sich hier (PDF-Datei, 101 kB)).
  • Für andere personenbezogenen Daten (das heißt nicht Beschäftigtendaten) kann der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg die Beschwerde an die für die Aufsicht über die zertifizierten U.S.-Unternehmen zuständigen U.S.-Behörden weiterleiten (Federal Trade Commission = U.S.-Wettbewerbsaufsichtsbehörde; Department of Commerce = U.S.-Handelsministerium).
  • Beschwerden mit Blick auf etwaige Zugriffe auf aus Europa übermittelte personenbezogene Daten durch U.S.-amerikanische Geheimdienst- und Sicherheitsbehörden werden zunächst einem eigens dafür eingerichteten Gremium aus Datenschutzaufsichtsbehörden (die sogenannte „EU-Zentralstelle“) zugeleitet, das auf Grundlage einer eigenen Geschäftsordnung tätig wird (eine vorläufige deutsche Arbeitsübersetzung der Geschäftsordnung der EU-Zentralstelle finden sie hier (PDF-Datei, 78 kB)).
    Die EU-Zentralstelle leitet die Beschwerde an eine eigens geschaffene Ombudsperson im U.S.-Außenministerium weiter, die über Möglichkeiten zur Überprüfung der Beschwerde verfügt und nach Abschluss der Überprüfung das Ergebnis an die EU-Zentralstelle mitteilt.

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird Sie über das Ergebnis der Überprüfung Ihrer Beschwerde informieren.

1 Bitte beachten Sie, dass es außer dem EU-US Privacy Shield auch noch andere Grundlagen für die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA gibt, darunter die Entscheidungen der Europäischen Kommission zu Standardvertragsklauseln, sog. verbindliche Unternehmensregelungen (Binding Corporate Rules – BCR) oder – bei Vorliegen der entsprechenden Voraussetzungen – die Ausnahmetatbestände gemäß § 4 c Absatz 1 BDSG.