Wie das Bayerische Landesamt für Datenschutzaufsicht auf seiner Homepage verkündet, können Betroffene ihre Beschwerden hinsichtlich der Einhaltung der Pflichten aus dem EU-U.S. Privacy Shield jetzt auch an das BayLDA senden.

INFORMATIONEN FÜR EUROPÄISCHE UNTERNEHMEN

Das U.S.-Handelsministerium führt die offizielle Liste der U.S.-Unternehmen, die eine Privacy-Shield-Zertifizierung erworben haben. Unternehmen und andere Akteure aus der Europäischen Union, die auf Grundlage des Privacy Shield personenbezogene Daten in die USA übermitteln wollen, müssen darauf achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden sollen, auch tatsächlich in der o.g. Liste des U.S.-Handelsministeriums eingetragen ist. Ferner muss das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasst, die übermittelt werden sollen (Beschäftigtendaten = „HR“ oder sonstige Daten, z.B. (personenbezogene) Kundendaten = „Non HR“).
Die Artikel-29-Gruppe der Datenschutzbehörden der EU-Mitgliedstaaten hat „Fragen und Antworten“ (FAQs) für EU-Unternehmen zum EU-U.S. Privacy Shield veröffentlicht, die personenbezogene Daten auf der Grundlage des Privacy Shield an U.S.-Unternehmen übermitteln wollen. Eine vorläufige deutsche (Arbeits-)Übersetzung dieser FAQ finden Sie hier.

INFORMATIONEN FÜR BETROFFENE

Der EU-U.S. Privacy Shield gewährt Betroffenen für den Fall, dass ihre personenbezogenen Daten aus der Europäischen Union (z.B. aus Deutschland) an Privacy-Shield-zertifizierte U.S.-Unternehmen übermittelt werden, bestimmte Rechte. Die Europäische Kommission hat einen Leitfaden zum Privacy Shield veröffentlicht, in dem diese Rechte ausführlich dargestellt werden. Ob ein in den USA ansässiges Unternehmen gemäß dem Privacy Shield zertifiziert ist und Ihnen somit gegenüber dem Unternehmen die im Privacy Shield geregelten Rechte zustehen, können Sie auf der offiziellen Liste des U.S.-Handelsministeriums unter https://www.privacyshield.gov/list überprüfen.
Sollten Sie feststellen, dass ein Transfer Ihrer Daten auf den Privacy Shield gestützt wird, das Unternehmen, das Ihre Daten in den USA empfängt aber nicht auf der Liste zu finden ist, können Sie das BayLDA, jederzeit darüber informieren.

RECHTE NACH PRIVACY SHIELD

Wenn personenbezogenen Daten zu einer Person auf der Grundlage des Privacy Shield an ein zertifiziertes U.S.-Unternehmen übermittelt wurden, stehen dieser gegenüber dem U.S.-Unternehmen u.a. folgende Rechte hinsichtlich ihrer Daten zu:

• Recht auf Information
• ggf. Recht auf Widerspruch gegen eine Datenverarbeitung
• Recht auf Auskunft
• Recht auf Berichtigung unrichtiger Daten
• ggf. Recht auf Löschung
• Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren
• Recht auf Einreichung eines Antrags zur Anrufung der sog. Ombudsperson

Falls Sie Fragen zu Ihren Daten haben, die an ein zertifiziertes U.S.-Unternehmen auf der Grundlage des Privacy Shield übermittelt wurden, oder falls Sie eines Ihrer o.g. Rechte ausüben wollen, sollten Sie sich zunächst direkt an das U.S.-Unternehmen wenden. Hierzu ist auf der Liste der zertifizierten U.S.-Unternehmen bei jedem Unternehmen unter einem Link „Questions or Complaints“ eine Kontaktstelle angeboten. Das U.S.-Unternehmen ist verpflichtet, Ihre Anfrage binnen 45 Tagen zu beantworten.

WIE BESCHWERT MAN SICH?

Wenn das U.S.-Unternehmen die Fragen nicht beantwortet oder Bedenken im Hinblick auf die Verarbeitung der Daten nicht ausgeräumt hat, steht einem die Möglichkeit einer Beschwerde bei sog. unabhängigen Beschwerdestellen (in der Regel Streitschlichtungsstellen in den USA) zur Verfügung. Jedes zertifizierte U.S.-Unternehmen muss – unter „Recourse Mechanism“ (zu finden ebenfalls unter dem Link „Questions or Complaints“ auf dem Unternehmenseintrag in der Liste) – die jeweils zuständige unabhängige Beschwerdestelle nennen, an die kostenlos Beschwerden gerichtet werden können.
Wenn eine Beschwerde auf diesem Weg nicht vollständig geklärt werden konnte, steht als letzte Instanz noch die Möglichkeit eines Schiedsverfahrens (binding arbitration) in den USA zur Verfügung. Nähere Informationen zum Schiedsverfahren entnehmen Sie dem Leitfaden für Betroffene der Europäischen Kommission oder der Webseite des U.S. Handelsministeriums.
Wenn man der Meinung ist, dass ein Privacy-Shield-zertifiziertes U.S.-Unternehmen, an welches Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-U.S. Privacy Shield verstoßen hat oder die Rechte, die einem nach dem Privacy Shield zustehen, verletzt hat, kann man sich mit seiner Beschwerde auch direkt an das BayLDA wenden. Die Aufsichtsbehörde bereitet aktuell hierzu einen sicheren und komfortablen Online-Service vor. Bis dieser genutzt werden kann, ist noch das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular als Dokument zu nutzen. Dieses kann man auf den Seiten des BayLDA herunterladen und ausgefüllt an die Behörde zurücksenden. Für Beschwerden mit Blick auf angenommene Zugriffe auf Ihre Daten durch U.S.-amerikanische Geheimdienste oder Sicherheitsbehörden wird es demnächst ein gesondertes Beschwerdeformular geben, das dann vom BayLDA noch über eine entsprechende Verlinkung bereitgestellt wird.

WERTVOLLE HILFE

Das BayLDA fungiert hier als eine wertvolle Hilfe, denn es stößt die Bearbeitung der Beschwerde auf dem für den konkreten Fall vorgesehenen Weg für Sie an. Die Bearbeitung von Beschwerden findet dann je nach Beschwerdegegenstand und Art der Daten auf verschiedenen Wegen statt, die Sie auf den Seiten der Aufsichtsbehörde einsehen können. Man wird aber in allen Fällen über das Ergebnis der Überprüfung der Beschwerde durch das Landesamt informiert. Diese Vorgehensweise wird sicher einige Hürden nehmen, die Privatpersonen vielleicht sehen, wenn sie sich sonst vor einem „Papierkrieg“ mit US-amerikanischen Behörden – ganz auf sich alleine gestellt – scheuen würden.