Privacy Shield

Die Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S. Privacy Shield soll eine Grundlage für Datenübermittlungen in die USA schaffen. Sie stellt fest, dass bei der Verarbeitung personenbezogener Daten durch Unternehmen in den USA, die sich dem Privacy Shield und dessen Mechanismen unterworfen haben, ein vergleichbares Datenschutzniveau besteht, wie bei Unternehmen in Europa. Diese Unternehmen werden durch die Behörden in den USA geprüft und nach dem Privacy Shield zertifiziert.

Die Entscheidung der Europäischen Kommission zum Privacy Shield ist jedoch anhaltender Kritik ausgesetzt. Datenschutzrechtler von Digital Rights Watch Ireland haben Klage gegen die Entscheidung der Europäischen Kommission zum Privacy Shield erhoben und auch das Europäische Parlament hat sich in einer sog. "non-legislative Resolution" kritisch zum Privacy Shield geäußert.

Informationen für europäische Unternehmen

Das Handelsministerium in den USA führt die offizielle Liste der U.S.-Unternehmen, die eine Privacy Shield-Zertifizierung erworben haben. Unternehmen und andere Akteure aus der Europäischen Union, die auf Grundlage des Privacy Shield personenbezogene Daten in die USA übermitteln wollen, müssen darauf achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden sollen, auch tatsächlich in der oben genannten Liste eingetragen ist. Ferner muss das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasst, die übermittelt werden sollen (Beschäftigtendaten = "HR" oder sonstige Daten, zum Beispiel (personenbezogene) Kundendaten = "Non HR").

Die offizielle Liste der nach dem Privacy Shield zertifizierten Unternehmen finden Sie hier

Eine Arbeitsgruppe aus Vertretern der Datenschutzbehörden der EU-Mitgliedstaaten hat "Fragen und Antworten“ für EU-Unternehmen zum EU-U.S. Privacy Shield veröffentlicht. Eine vorläufige deutsche (Arbeits-)Übersetzung dieser FAQ finden Sie auf der Internetseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Wie werden Beschwerden bearbeitet?

Die Bearbeitung von Beschwerden findet je nach Beschwerdegegenstand und Art der Daten auf verschiedenen Wegen statt:

Für die Bearbeitung von Beschwerden im Falle von Beschäftigtendaten ("HR-Data") ist ein sogenannter informeller Ausschuss aus Datenschutzbehörden der EU-Mitgliedstaaten ("informal panel of EU DPAs") eingerichtet. Der Ausschuss ist befugt, gegenüber dem zertifizierten U.S.-Unternehmen eine Empfehlung mit verbindlichem Charakter auszusprechen. Der informelle Ausschuss arbeitet auf Grundlage einer eigenen Geschäftsordnung, die Sie hier nachlesen können.
Für andere personenbezogenen Daten (das heißt Nicht-Beschäftigtendaten) kann der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern die Beschwerde an die für die Aufsicht über die zertifizierten U.S.-Unternehmen zuständigen Behörden in den USA weiterleiten, die nach eigenem Ermessen tätig werden.

Beschwerden mit Blick auf etwaige Zugriffe auf aus Europa übermittelte personenbezogene Daten durch Geheimdienst- und Sicherheitsbehörden in den USA werden zunächst an die EU-Zentralstelle übermittelt und von dort weiter an eine Ombudsperson (Ombudsverfahren) im Außenministerium der USA.

Sofern Sie sich mit Ihrer Beschwerde an den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern gewandt haben, werden Sie in allen Fällen über das Ergebnis der Überprüfung Ihrer Beschwerde in Kenntnis gesetzt.

Für weitergehende Fragen oder Anregungen zu diesem Thema wenden Sie sich bitte unter Bezugnahme auf diesen Artikel an info@datenschutz-mv.de.

Informationen für Betroffene

Um ein mit Europa vergleichbares Datenschutzniveau zu gewährleisten, räumt der EU-U.S. Privacy Shield Ihnen bestimmte Rechte ein, wenn Ihre personenbezogenen Daten an ein Unternehmen in den USA übermittelt werden, das Privacy Shield zertifiziert ist. Eine ausführliche Darstellung finden sie auf der offiziellen Website zum Privacy Shield.

Sie haben ein Recht darauf zu wissen, wer was wann über Sie weiß! Zu diesem Auskunftsrecht kommen Ihre Rechte auf Korrektur oder Löschung, falls Ihre Daten unrechtmäßig oder falsch verarbeitet werden, sowie die Möglichkeit, sich über die Praxis des betreffenden U.S.-Unternehmens oder die einer Behörde zu beschweren.

Wie mache ich meine Rechte geltend?

Falls Sie Fragen zu Ihren Daten haben, die an ein zertifiziertes U.S.-Unternehmen auf der Grundlage des Privacy Shield übermittelt wurden, sollten Sie sich zunächst direkt an das U.S.-Unternehmen wenden. Die entsprechenden Kontaktdaten finden Sie auf der Liste der zertifizierten U.S.-Unternehmen, zu jedem Unternehmen unter dem Link „Questions or Complaints".

Sollten Sie feststellen, dass das U.S.-Unternehmen, an das ihre personenbezogenen Daten auf Grundlage des EU-U.S. Privacy Shield übermittelt werden, auf dieser Liste nicht geführt wird, wenden Sie sich bitte an den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern.

Das U.S.-Unternehmen ist verpflichtet, Ihre Anfrage binnen 45 Tagen zu beantworten. Wird Ihre Anfrage innerhalb der Frist nicht beantwortet, können Sie gegen das betreffende Unternehmen im Rahmen einer Beschwerde vorgehen.

Wie kann ich eine Beschwerde einreichen?

Wenn das U.S.-Unternehmen Ihre Fragen nicht beantwortet oder Ihre Bedenken im Hinblick auf die Verarbeitung Ihrer Daten nicht ausgeräumt hat, steht Ihnen die Möglichkeit einer Beschwerde bei sog. unabhängigen Beschwerdestellen (in der Regel Streitschlichtungsstellen in den USA) zur Verfügung. Jedes zertifizierte U.S.-Unternehmen nennt in der offiziellen Privacy Shield Liste unter dem Link „Questions or Complaints" und dort weiter unter dem Link „Dispute Resolution“ die jeweils zuständige unabhängige Beschwerdestelle, an die Sie sich kostenlos mit Beschwerden wenden können.

Darüber hinaus können Sie Ihre Beschwerde auch in einem behördlichen Verfahren anbringen. Wenden Sie sich dazu bitte direkt an den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. Sofern Ihre Beschwerde das Fehlverhalten von Unternehmen zum Gegenstand hat, verwenden Sie bitte das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular.
Für Beschwerden wegen von Ihnen angenommenen Zugriffen auf Ihre Daten durch Geheimdienste oder Sicherheitsbehörden in den USA verwenden Sie bitte dieses Formular. (Anmerkung: Das Formular wird derzeit überarbeitet. Bitte kontaktieren Sie den Landesbeauftragten für Datenschutz und Informationsfreiheit zunächst formlos).