Die Europäische Kommission hat nun den bereits angekündigten Leitfaden zum EU-US Datenschutzschild herausgegeben. Dieser soll dabei helfen das Abkommen zu verstehen, zu erfahren welche Verpflichtungen sich daraus für die dem Datenschutzschild angeschlossenen Unternehmen ergeben und welche Rechte Betroffene im Zusammenhang mit der Verwendung ihrer personenbezogenen Daten haben.

RECHT AUF INFORMATION, BESCHWERDE UND ZUGANG ZU IHREN DATEN

Wie der Leitfaden erklärt, genießt man als betroffener Bürger eine Reihe von Rechten während die Unternehmen verpflichtet sind, die personenbezogenen Daten zu schützen. Daraus ergibt sich für die beteiligten Unternehmen die Pflicht, die Betroffenen über allerhand zu informieren. Dies betrifft z. B. welche Arten von personenbezogenen Daten es verarbeitet und warum, ob es beabsichtigt, Ihre personenbezogenen Daten an ein anderes Unternehmen weiterzugeben, und falls ja, aus welchen Gründen und vieles mehr.
Auch was den Zugang zu den gespeicherten Daten angeht, haben die Betroffenen Rechte: „Sie haben das Recht, von dem am Datenschutzschild beteiligten Unternehmen Zugang zu Ihren personenbezogenen Daten zu verlangen. Mit anderen Worten haben Sie das Recht, sich Ihre Daten mitteilen zu lassen und auch Informationen über den Zweck, zu dem die Daten verarbeitet werden, die Kategorien der fraglichen personenbezogenen Daten und die Empfänger, an die die Daten weitergegeben werden, zu erhalten. Sie können das Unternehmen dann auffordern, die Daten zu berichtigen, zu ändern oder zu löschen, wenn sie nicht genau oder veraltet sind oder unter Verletzung der Datenschutzschild-Vorschriften verarbeitet wurden. Außerdem muss das Unternehmen bestätigen, ob es Ihre personenbezogenen Daten besitzt oder verarbeitet.“
Natürlich haben die Betroffenen auch ein Recht auf Beschwerde, wenn sich das Unternehmen nicht an die Vorschriften des Privacy Shield halten sollte. Auch steht dem Betroffenen dann ein unentgeltlicher Rechtsschutz zu: „Am Datenschutzschild beteiligte Unternehmen sind verpflichtet, unabhängige Beschwerdeverfahren zur Untersuchung ungeklärter Beschwerden anzubieten. Die Unternehmen können sich beispielsweise für die alternative Streitbeilegung (ADR) entscheiden oder sich der Aufsicht einer nationalen Datenschutzbehörde (DPA) unterstellen.“

VERPFLICHTUNGEN DER UNTERNEHMEN

Der Leitfaden geht aber auch auf die verschiedenen Verpflichtungen und Beschränkungen ein, die für die dem Schild unterworfenen Unternehmen bestehen. Zu diesen Pflichten zählt die Datenminimierung und auch, dass die Daten nur für die wirklich erforderliche Zeit gespeichert werden. Auch sind die dem Schild unterworfenen Unternehmen verpflichtet die Daten für diesen Zeitraum zu sichern – und zwar vor Verlust, missbräuchlicher Nutzung, unbefugtem Zugriff, unbefugter Weitergabe sowie vor Veränderung und Vernichtung.
Ein am Datenschutzschild beteiligtes Unternehmen darf Ihre Daten unter bestimmten Bedingungen und unter Berücksichtigung des ursprünglichen Verwendungszwecks an ein anderes Unternehmen (z. B. ein Auftragsdatenverarbeiter) weitergeben. Aber die Unternehmen sind in diesem Fall verpflichtet einen klassischen Auftragsdatenverarbeitungsvertrag  mit diesem Dienstleister abzuschließen.