Update: Mit Urteil vom 16. Juli 2020 hat der EuGH das EU-U.S. Privacy Shield für ungültig erklärt ( Rechtssache C-311/18; sog. Schrems IIÖffnet sich in einem neuen Fenster). Damit sind Datentransfers auf der Grundlage des EU-U.S. Privacy Shields ab sofort nicht mehr zulässig ( Statement des EDSA zum UrteilÖffnet sich in einem neuen Fenster)
Mit dem AngemessenheitsbeschlussÖffnet sich in einem neuen Fenster der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S. Privacy Shield stand seit dem 1. August 2016 eine neue Grundlage für Datenübermittlungen in die USA zur Verfügung. Damit wurde die Lücke, die durch die Nichtigerklärung der Safe Harbor EntscheidungÖffnet sich in einem neuen Fenster durch den EuGH (Urteil vom 06. Oktober 2015 in der Rechtssache C-362/14; sog. Schrems I) entstanden ist, geschlossen.
Aber Achtung: Zwischenzeitlich hat der EuGH das EU-U.S. Privacy Shield mit Urteil vom 16. Juli 2020 für ungültig erklärt (Rechtssache C-311/18; sog. Schrems II). Damit sind Datentransfers auf der Grundlage des EU-U.S. Privacy Shields ab sofort nicht mehr zulässig.
Informationen für Betroffene
Der EU-U.S. Privacy Shield gewährte Ihnen für den Fall, dass Ihre personenbezogenen Daten aus der Europäischen Union (zum Beispiel aus Deutschland) an Privacy Shield-zertifizierte U.S.-Unternehmen übermittelt wurden, bestimmte Rechte. Die Europäische Kommission hat einen Leitfaden zum Privacy ShieldÖffnet sich in einem neuen Fenster veröffentlicht, in dem diese Rechte ausführlich dargestellt werden.
Ob ein in den USA ansässiges Unternehmen gemäß dem Privacy Shield zertifiziert ist und Ihnen somit gegenüber dem Unternehmen die im Privacy Shield geregelten Rechte zustehen, können Sie auf der offiziellen Liste des U.S.-Handelsministeriums Öffnet sich in einem neuen Fensterüberprüfen. Sollten Sie feststellen, dass ein Transfer Ihrer Daten auf den Privacy Shield gestützt wird, das Unternehmen, das Ihre Daten in den USA empfängt aber nicht auf der Liste zu finden ist, melden Sie dies bitte formlos dem Hessischen Datenschutzbeauftragten.
Welche Rechte stehen Ihnen nach dem EU-U.S. Privacy Shield zu?
Wenn personenbezogenen Daten zu Ihrer Person auf der Grundlage des Privacy Shield an ein zertifiziertes U.S.-Unternehmen übermittelt wurden, stehen Ihnen gegenüber dem U.S.-Unternehmen unter anderem folgende Rechte hinsichtlich Ihrer Daten zu:
- Recht auf Information
- Gegebenenfalls Recht auf Widerspruch gegen eine Datenverarbeitung
- Recht auf Auskunft
- Recht auf Berichtigung unrichtiger Daten
- Gegebenenfalls Recht auf Löschung
- Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren
- Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson
Falls Sie Fragen zu Ihren Daten haben, die an ein zertifiziertes U.S.-Unternehmen auf der Grundlage des Privacy Shield übermittelt wurden, oder falls Sie eines Ihrer oben genannten Rechte ausüben wollen, sollten Sie sich zunächst direkt an das U.S.-Unternehmen wenden. Hierzu ist auf der
Liste der zertifizierten U.S.-Unternehmen Öffnet sich in einem neuen Fensterbei jedem Unternehmen unter einem Link "Questions or Complaints" eine Kontaktstelle angeboten.
Das U.S.-Unternehmen ist verpflichtet, Ihre Anfrage binnen 45 Tagen zu beantworten.
Wie kann ich eine Beschwerde einreichen?
Wenn das U.S.-Unternehmen Ihre Fragen nicht beantwortet oder Ihre Bedenken im Hinblick auf die Verarbeitung Ihrer Daten nicht ausgeräumt hat, steht Ihnen die Möglichkeit einer Beschwerde bei sog. unabhängigen Beschwerdestellen (in der Regel Streitschlichtungsstellen in den USA) zur Verfügung. Jedes zertifizierte U.S.-Unternehmen muss unter "Recourse Mechanism" (zu finden ebenfalls unter dem Link "Questions or Complaints" auf dem Unternehmenseintrag in der Liste der zertifizierten U.S.-UnternehmenÖffnet sich in einem neuen Fenster) die jeweils zuständige unabhängige Beschwerdestelle nennen, an die kostenlos Beschwerden gerichtet werden können.
Wenn eine Beschwerde auf diesem Weg nicht vollständig geklärt werden konnte, steht als letzte Instanz noch die Möglichkeit eines Schiedsverfahrens (binding arbitration) in den USA zur Verfügung. Nähere Informationen zum Schiedsverfahren entnehmen Sie dem Leitfaden für Betroffene der Europäischen Kommission oder der Webseite des U.S.-HandelsministeriumsÖffnet sich in einem neuen Fenster.
Wenn Sie der Meinung sind, dass ein Privacy Shield-zertifiziertes U.S.-Unternehmen, an welches Ihre Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-U.S. Privacy Shield verstoßen hat oder die Rechte, die Ihnen nach dem Privacy Shield zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde auch direkt an den Hessischen Datenschutzbeauftragten wenden. Bitte nutzen Sie dafür das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular (siehe unten). So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen.
Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch U.S.-amerikanische Geheimdienste oder Sicherheitsbehörden wurde von den Datenschutzbehörden der EU-Mitgliedstaaten ein gesondertes Formular entwickelt.
Wie werden Beschwerden bearbeitet?
Der Hessische Datenschutzbeauftragte wird die Bearbeitung Ihrer Beschwerde auf dem für den konkreten Fall vorgesehenen Weg anstoßen. Die Bearbeitung von Beschwerden findet je nach Beschwerdegegenstand und Art der Daten auf verschiedenen Wegen statt:
- Für die Bearbeitung von Beschwerden im Falle von Beschäftigtendaten ("HR-Data") ist ein sogenanntes informelles Gremium aus Datenschutzbehörden der EU-Mitgliedstaaten ("informal panel of EU DPAs") eingerichtet. Das Gremium ist befugt, gegenüber dem zertifizierten U.S.-Unternehmen eine Empfehlung mit verbindlichem Charakter auszusprechen. Es arbeitet auf Grundlage einer eigenen Geschäftsordnung, die Sie am Ende dieses Beitrages in englischer und deutscher Sprache finden.
- Für andere personenbezogene Daten (das heißt nicht Beschäftigtendaten) kann der Hessische Datenschutzbeauftragte die Beschwerde an die für die Aufsicht über die zertifizierten U.S.-Unternehmen zuständigen U.S.-Behörden weiterleiten (Federal Trade Commission = U.S.-Wettbewerbsaufsichtsbehörde; Department of Commerce = U.S.-Handelsministerium).
- Beschwerden mit Blick auf etwaige Zugriffe auf aus Europa übermittelte personenbezogene Daten durch U.S.-amerikanische Geheimdienst- und Sicherheitsbehörden werden zunächst einem eigens dafür eingerichteten Gremium aus Datenschutzaufsichtsbehörden (sogenannte "EU-Zentralstelle") zugeleitet, das auf Grundlage einer eigenen Geschäftsordnung gebildet wurde, die Sie am Ende dieses Beitrages in englischer und deutscher Sprache finden.
- Die EU-Zentralstelle leitet die Beschwerde an eine eigens geschaffene Ombudsperson im U.S.-Außenministerium weiter, die über Möglichkeiten zur Überprüfung der Beschwerde verfügt und nach Abschluss der Überprüfung das Ergebnis an die EU-Zentralstelle mitteilt.
Der Hessische Datenschutzbeauftragte wird Sie in allen Fällen über das Ergebnis der Überprüfung Ihrer Beschwerde informieren.
Stand: