Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 12.10.2018

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

EU-US Privacy Shield

Zusammenfassung

Die Angemessenheitsentscheidung der Europäischen Kommission (2016/1250) erlaubt im Rahmen des EU-US Privacy Shield (Privacy Shield) die Übermittlung personenbezogener Daten in die USA, da die Entscheidung gemäß Art. 45 Abs. 1 DSGVO grundsätzlich bindend ist. Daneben sind allerdings die allgemeinen datenschutzrechtlichen Voraussetzungen zu prüfen). Sofern diese vorliegen und der Empfänger in den USA im Privacy Shield registriert ist, können die Daten übermittelt werden. Der Privacy Shield kann auch für Datenübermittlungen bayerischer öffentlicher Stellen relevant sein.

1. Historie und Überblick

Datenübermittlungen in die USA kommen häufig vor, da US-Anbieter weltweit führend Kommunikations- und Datenverarbeitungsdienste vertreiben. Ein allgemeines Verbot der Datenverarbeitung existiert auf US-Bundesebene nicht (vgl. Determann, NVwZ 2016, 561 (563)). Das US-Handelsministerium entwickelte zwischen 1998 und 2000 das Safe-Harbor-Verfahren, um US-Unternehmen den Nachweis über die Einhaltung der Datenschutzrichtlinie (95/46/EG) für Kunden aus Europa zu ermöglichen. Der EuGH erklärte mit Urteil vom 6. Oktober 2015 (C-362/14) – Rechtssache Maximillian Schrems - diesen Angemessenheitsbeschluss der Europäischen Kommission (2000/ 520/EG) für ungültig. Danach hätte die Kommission trotz der freiwilligen Selbstverpflichtung im Rahmen von Safe Harbor das Datenschutzniveau in den USA prüfen müssen. Kritisch wurde u.a. die extensive Überwachung durch die US-Sicherheitsbehörden gesehen. Es ist daher nicht mehr möglich, sich im Zusammenhang mit Datenübermittlungen in die USA auf Safe Harbor zu berufen.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 (externer Link) wird nunmehr unter den Voraussetzungen des Nachfolgemodells, dem Privacy Shield, die Angemessenheit des Datenschutzniveaus in den USA festgestellt. Dieser Angemessenheitsbeschluss ist beschränkt auf Unternehmen, die sich den Privacy Shield Regelungen unterwerfen und entsprechend registriert sind. Seit dem 1. August 2016 können sich US-amerikanische Unternehmen beim dortigen Handelsministerium (Department of Commerce – DoC) registrieren und eine Zertifizierung beantragen. Auf der Website der International Trade Administration (ITA), einer nachgeordneten Behörde des US-Handelsministeriums, ist neben zahlreichen Informationen zum Privacy Shield eine Liste der US-Unternehmen mit abgeschlossener Zertifizierung (externer Link) zu finden .

Am 18.10.2017 veröffentlichte die Europäische Kommission den ersten jährlichen Prüfbericht und hält an ihrer Angemessenheitsentscheidung fest (COM(2017) 611 final). Die Artikel 29-Datenschutzgruppe (Arbeitsgruppe der Datenschutzaufsichtsbehörden aller Mitgliedstaaten, Vorgänger des Europäischen Datenschutzausschusses) sieht Verbesserungen gegenüber Safe Harbor und gegenüber der bisherigen Praxis. Sie äußert in Ihrem Bericht vom 28. November 2017 (WP 255) (externer Link) aber weiterhin Bedenken. Diese Bedenken sollen nach Wunsch der Artikel 29-Datenschutzgruppe grundsätzlich bis zum 25. Mai 2018 ausgeräumt werden, spätestens jedoch bis zur zweiten gemeinsamen Überprüfung Ende 2018. Ansonsten sei eine Klage vor dem EuGH denkbar (Vgl. hierzu die Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (externer Link).

Dem EuGH soll vom Irischen High Court im Verfahren Schrems II auch die Frage vorgelegt werden, ob die Privacy Shield Entscheidung bindende Wirkung für die Aufsichtsbehörden entfalte.

Die Artikel 29-Datenschutzgruppe hat weitere Informationen zum Privacy Shield für europäische Unternehmen und Betroffene zusammengestellt. Die deutsche Arbeitsübersetzung der Informationsdokumente für europäische Unternehmen und für europäische Bürger steht auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (externer Link) zur Verfügung.

Es handelt sich um Arbeitsübersetzungen, die keinen offiziellen, verbindlichen Charakter haben und lediglich dem besseren Verständnis dienen sollen.

2. Informationen für öffentliche Stellen in Bayern

Auch wenn sich Medienberichte zum Privacy Shield durchgängig auf Datenübermittlungen durch Unternehmen beziehen, kann der Privacy Shield für bayerische Behörden relevant werden. Datenübermittlungen durch bayerische öffentliche Stellen in die USA stehen insbesondere im Raum, wenn bayerische Behörden im Wege der Auftragsverarbeitung Dienstleister (Auftragsverarbeiter) mit Sitz in den USA nutzen wollen. Der Privacy Shield ändert nichts daran, dass eine bayerische öffentliche Stelle anhand der für sie geltenden Datenschutzbestimmungen prüfen muss, ob die beabsichtigte Datenverarbeitung zulässig ist.

Ausgangspunkt einer Zulässigkeitsprüfung ist nicht der Privacy Shield als solcher, sondern das für die jeweilige Behörde geltende Datenschutzgesetz. Die Zulässigkeitsprüfung erfolgt in 2 Prüfungsschritten.

Auf Grundlage des bindenden Beschlusses der Europäischen Kommission kann der Privacy Shield genutzt werden, um personenbezogene Daten aus der Europäischen Union an bereits zertifizierte Unternehmen in den USA zu transferieren. Die für den Datenexport verantwortlichen Stellen haben dabei stets darauf zu achten, dass das datenempfangende US-Unternehmen auch tatsächlich auf der Liste des US-Handelsministeriums (externer Link) geführt wird.

3. Informationen für betroffene Personen  

Der EU-U.S. Privacy Shield gewährt für den Fall, dass Ihre personenbezogenen Daten aus der Europäischen Union (zum Beispiel aus Deutschland) an Privacy-Shield-zertifizierte U.S.-Unternehmen übermittelt werden, der betroffenen Person bestimmte Rechte. Die Europäische Kommission hat einen Leitfaden zum Privacy Shield (externer Link) veröffentlicht, in dem diese Rechte ausführlich dargestellt werden.

Ob ein in den USA ansässiges Unternehmen gemäß dem Privacy Shield zertifiziert ist und Ihnen somit gegenüber dem Unternehmen die im Privacy Shield geregelten Rechte zustehen, können Sie auf der offiziellen Liste des U.S.-Handelsministeriums unter https://www.privacyshield.gov/list (externer Link) überprüfen. Sollten Sie feststellen, dass ein Transfer Ihrer Daten auf den Privacy Shield gestützt wird, das Unternehmen, das Ihre Daten in den USA empfängt aber nicht auf der Liste zu finden ist, melden Sie mir dies bitte formlos.

Welche Rechte stehen Ihnen nach dem EU-U.S. Privacy Shield zu?

Wenn personenbezogenen Daten zu Ihrer Person auf der Grundlage des Privacy Shield an ein zertifiziertes U.S.-Unternehmen übermittelt wurden, stehen Ihnen gegenüber dem U.S.-Unternehmen unter anderem folgende Rechte hinsichtlich Ihrer Daten zu:

  • Recht auf Information
  • gegebenenfalls Recht auf Widerspruch gegen eine Datenverarbeitung
  • Recht auf Auskunft
  • Recht auf Berichtigung unrichtiger Daten
  • gegebenenfalls Recht auf Löschung
  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren und
  • Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson.

Falls Sie Fragen zu Ihren Daten haben, die an ein zertifiziertes U.S.-Unternehmen auf der Grundlage des Privacy Shield übermittelt wurden, oder falls Sie eines Ihrer oben genannten Rechte ausüben wollen, sollten Sie sich zunächst direkt an das U.S.-Unternehmen wenden. Hierzu ist auf der Liste der zertifizierten U.S.-Unternehmen https://www.privacyshield.gov/list (externer Link) bei jedem Unternehmen unter einem Link "Questions or Complaints" eine Kontaktstelle angeboten.

Das U.S.-Unternehmen ist verpflichtet, Ihre Anfrage binnen 45 Tagen zu beantworten.

Wie kann ich eine Beschwerde einreichen?

Wenn das U.S.-Unternehmen Ihre Fragen nicht beantwortet oder Ihre Bedenken im Hinblick auf die Verarbeitung Ihrer Daten nicht ausgeräumt hat, steht Ihnen die Möglichkeit einer Beschwerde bei sog. unabhängigen Beschwerdestellen (in der Regel Streitschlichtungsstellen in den USA) zur Verfügung. Jedes zertifizierte U.S.-Unternehmen muss - unter "Recourse Mechanism" (zu finden ebenfalls unter dem Link "Questions or Complaints" auf dem Unternehmenseintrag in der Liste https://www.privacyshield.gov/list (externer Link) - die jeweils zuständige unabhängige Beschwerdestelle nennen, an die kostenlos Beschwerden gerichtet werden können.

Wenn eine Beschwerde auf diesem Weg nicht vollständig geklärt werden konnte, steht als letzte Instanz noch die Möglichkeit eines Schiedsverfahrens (binding arbitration) in den USA zur Verfügung. Nähere Informationen zum Schiedsverfahren entnehmen Sie dem Leitfaden für Betroffene der Europäischen Kommission (externer Link) oder der Webseite des U.S. Handelsministeriums (externer Link).

Wenn Sie der Meinung sind, dass ein Privacy-Shield-zertifiziertes U.S.-Unternehmen, an welches Ihre Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-U.S. Privacy Shield verstoßen hat oder die Rechte, die Ihnen nach dem Privacy Shield zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde auch direkt an mich wenden. Bitte nutzen Sie dafür das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular (DOCX-Datei, 40 kB). So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen.

Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch U.S.-amerikanische Geheimdienste oder Sicherheitsbehörden wurde von den Datenschutzbehörden der EU-Mitgliedstaaten ein gesondertes Formular (DOCX-Datei, 43 kB) entwickelt, das wir Sie zu benutzen bitten.

Wie werden Beschwerden bearbeitet?

Ich werde die Bearbeitung Ihrer Beschwerde auf dem für den konkreten Fall vorgesehenen Weg anstoßen. Die Bearbeitung von Beschwerden findet je nach Beschwerdegegenstand und Art der Daten auf verschiedenen Wegen statt:

  • Grundsätzlich kann ich die Beschwerde an die für die Aufsicht über die zertifizierten U.S.-Unternehmen zuständigen U.S.-Behörden weiterleiten (Federal Trade Commission = U.S.-Wettbewerbsaufsichtsbehörde; Department of Commerce = U.S.-Handelsministerium). Für "Beschäftigtendaten" gilt ein gesondertes Verfahren, dieser Fall betrifft öffentliche Stellen in Bayern nicht.
  • Beschwerden mit Blick auf etwaige Zugriffe auf aus Europa übermittelte personenbezogene Daten durch U.S.-amerikanische Geheimdienst- und Sicherheitsbehörden werden zunächst einem eigens dafür eingerichteten Gremium aus Datenschutzaufsichtsbehörden (die sogenannte "EU-Zentralstelle") zugeleitet, das auf Grundlage einer eigenen Geschäftsordnung tätig wird (eine vorläufige deutsche Arbeitsübersetzung der Geschäftsordnung der EU-Zentralstelle finden sie hier (PDF-Datei, 78 kB (externer Link))).
    Die EU-Zentralstelle leitet die Beschwerde an eine eigens geschaffene Ombudsperson im U.S.-Außenministerium weiter, die über Möglichkeiten zur Überprüfung der Beschwerde verfügt und nach Abschluss der Überprüfung das Ergebnis an die EU-Zentralstelle mitteilt.

Ich werde Sie in allen Fällen über das Ergebnis der Überprüfung Ihrer Beschwerde informieren.

Für weitergehende Fragen oder Anregungen zu diesem Thema wenden Sie sich bitte unter Bezugnahme auf diesen Artikel an mich.