Informationen zu den Betroffenenrechten

Der EU-US Privacy Shield gewährt Ihnen bestimmte Rechte für den Fall, dass Ihre personenbezogenen Daten aus der Europäischen Union (z.B. aus Deutschland) an Privacy-Shield-zertifizierte US-Unternehmen übermittelt werden. Die Europäische Kommission hat einen Leitfaden zum Privacy Shield veröffentlicht, in dem diese Rechte ausführlich dargestellt werden.

Ob ein in den USA ansässiges Unternehmen gemäß dem Privacy Shield zertifiziert ist und Ihnen somit gegenüber dem Unternehmen die im Privacy Shield geregelten Rechte zustehen, können Sie auf der offiziellen Liste des US-Handelsministeriums überprüfen. Sollten Sie feststellen, dass ein Transfer Ihrer Daten auf den Privacy Shield gestützt wird, das Unternehmen, das Ihre Daten in den USA empfängt, aber nicht auf der Liste zu finden ist, melden Sie dies bitte formlos der LDI NRW.


Welche Rechte stehen Ihnen nach dem EU-US Privacy Shield zu?

Wenn personenbezogene Daten zu Ihrer Person auf der Grundlage des Privacy Shield an ein zertifiziertes US-Unternehmen übermittelt wurden, stehen Ihnen gegenüber dem US-Unternehmen u. a. folgende Rechte hinsichtlich Ihrer Daten zu:

  • Recht auf Information
  • ggf. Recht auf Widerspruch gegen eine Datenverarbeitung
  • Recht auf Auskunft
  • Recht auf Berichtigung unrichtiger Daten
  • ggf. Recht auf Löschung
  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren
  • Recht auf Einreichung eines Antrags zur Anrufung der so genannten Ombudsperson.

Falls Sie Fragen zu Ihren Daten haben, die an ein zertifiziertes US-Unternehmen auf der Grundlage des Privacy Shield übermittelt wurden, oder falls Sie eines Ihrer o. g. Rechte ausüben wollen, sollten Sie sich zunächst direkt an das US-Unternehmen wenden. Hierzu ist auf der Liste der zertifizierten US-Unternehmen bei jedem Unternehmen unter einem Link „Questions or Complaints“ eine Kontaktstelle angeboten.

Das US-Unternehmen ist verpflichtet, Ihre Anfrage binnen 45 Tagen zu beantworten.



Wie kann ich eine Beschwerde einreichen?

Hat das US-Unternehmen Ihre Fragen nicht beantwortet oder Ihre Bedenken im Hinblick auf die Verarbeitung Ihrer Daten nicht ausgeräumt, können Sie sich an die so genannten unabhängigen Beschwerdestellen (in der Regel Streitschlichtungsstellen in den USA) wenden. Jedes zertifizierte US-Unternehmen muss - unter „Recourse Mechanism“ die jeweils zuständige unabhängige Beschwerdestelle nennen, an die kostenlos Beschwerden gerichtet werden können (zu finden ebenfalls unter dem Link „Questions or Complaints“ auf dem Unternehmenseintrag in der Liste.

Wenn eine Beschwerde auf diesem Weg nicht vollständig geklärt werden konnte, besteht als letzte Instanz noch die Möglichkeit eines Schiedsverfahrens (binding arbitration) in den USA. Nähere Informationen zum Schiedsverfahren entnehmen Sie bitte dem Leitfaden für Betroffene der Europäischen Kommission oder der Webseite des US-Handelsministeriums.

Sie können sich mit Ihrer Beschwerde auch direkt an die LDI NRW wenden, wenn Sie der Meinung sind, dass ein Privacy-Shield-zertifiziertes US-Unternehmen gegen seine Pflichten aus dem EU-US Privacy Shield verstoßen hat oder die Rechte, die Ihnen nach dem Privacy Shield zustehen, verletzt hat. Bitte nutzen Sie dafür das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular. So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen.

Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch US-amerikanische Geheimdienste oder Sicherheitsbehörden nutzen Sie bitte das von den Datenschutzbehörden der EU-Mitgliedstaaten gesondert erstellte Beschwerdeformular.

 

Wie werden Beschwerden bearbeitet?

Die LDI NRW wird die Bearbeitung Ihrer Beschwerde auf dem für den konkreten Fall vorgesehenen Weg anstoßen. Sie findet je nach Beschwerdegegenstand und Art der Daten auf verschiedenen Wegen statt:

  • Für die Bearbeitung von Beschwerden im Falle von Beschäftigtendaten („HR-Data“) ist ein so genanntes informelles Gremium aus Datenschutzbehörden der EU-Mitgliedstaaten („informal panel of EU DPAs“) eingerichtet. Das Gremium ist befugt, gegenüber dem zertifizierten US-Unternehmen eine Empfehlung mit verbindlichem Charakter auszusprechen. Das informelle Gremium arbeitet auf Grundlage einer eigenen Geschäftsordnung. Eine von der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) erstellte vorläufige deutsche Arbeitsübersetzung der Geschäftsordnung finden Sie hier.

  • Für andere personenbezogenen Daten (d.h. nicht Beschäftigtendaten) kann die LDI NRW die Beschwerde an die Federal Trade Commission (US-Wettbewerbsaufsichtsbehörde) oder das Department of Commerce (US-Handelsministerium) weiterleiten. Diese sind für die Aufsicht über die zertifizierten US-Unternehmen zuständig.

  • Beschwerden mit Blick auf etwaige Zugriffe auf aus Europa übermittelte personenbezogene Daten durch US-amerikanische Geheimdienst- und Sicherheitsbehörden werden zunächst einem eigens dafür eingerichteten Gremium aus Datenschutzaufsichtsbehörden (die so genannte „EU-Zentralstelle“) zugeleitet, das auf Grundlage einer eigenen Geschäftsordnung tätig wird. Eine von der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) erstelle vorläufige deutsche Arbeitsübersetzung der Geschäftsordnung der EU-Zentralstelle finden sie hier. Die EU-Zentralstelle leitet die Beschwerde an eine Ombudsperson im US-Außenministerium weiter, die die Beschwerde überprüft und das Ergebnis der EU-Zentralstelle mitteilt.

 

Die LDI NRW wird Sie in allen Fällen über das Ergebnis der Überprüfung Ihrer Beschwerde informieren.


zurück zur Übersicht