11

Kernpunkte:

  • Datenübermittlung in die USA
  • Europäische Prüfung zum Auskunftsrecht

 

11  Europa  und Internationales

11.1        Beschwerdemöglichkeit bei Datenübermittlung in die USA

Alle europäischen Datenschutzaufsichtsbehörden informieren auf ihren Websites seit 2024 über die Möglichkeit, sich bei Datenschutzverstößen durch US-Unternehmen oder US-Organisationen und bei der Verarbeitung personenbezogener Daten durch US-Nachrichtendienste zu beschweren. Wir erklären hier auf unserer Website, wie dies funktioniert:

https://www.datenschutzzentrum.de/meldungen/datenuebermittlung_usa/
Kurzlink: https://uldsh.de/tb43-11-1a

Zum Hintergrund (siehe auch 42. TB, Tz. 2.4): Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss für das „EU-US Data Privacy Framework“ (EU-US DPF) verabschiedet.

Angemessenheitsbeschluss
 Es handelt sich dabei um einen Beschluss, der von der Europäischen Kommission gemäß Artikel 45 DSGVO angenommen und durch den festgestellt wird, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Im Rahmen dieses Beschlusses werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt.

Dies führt dazu, dass personenbezogene Daten aus der EU wieder an die USA übermittelt werden dürfen, ohne dass – vorbehaltlich einer Rechtsgrundlage für die Datenübermittlung – weitere Übermittlungsinstrumente (z. B. Standarddatenschutzklauseln) oder zusätzliche Maßnahmen erforderlich sind. Neben den allgemeingültigen Anforderungen der DSGVO an Datenverarbeitungen, insbesondere dem Vorhandensein einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO, gilt die Voraussetzung, dass der jeweilige US-Datenempfänger unter dem EU-US DPF beim US Department of Commerce zertifiziert ist. Dies müssen Datenexporteure in der EU vorab prüfen.

Anders als bei anderen Zertifizierungen (Tz. 9.2) handelt es sich nicht um eine Prüfung durch Dritte, sondern hier reicht eine Selbstzertifizierung aus, die aussagt, dass die Regeln des EU-US DPF beachtet werden. Das US Department of Commerce veröffentlicht eine Liste über alle nach dem EU-US DPF zertifizierten Unternehmen und Organisationen, die unter dem folgenden Link zu finden ist:

https://www.dataprivacyframework.gov/s/participant-search
Kurzlink: https://uldsh.de/tb43-11-1b

Wenn eine betroffene Person nun der Meinung ist, dass ein unter dem EU-US DPF zertifiziertes US-Unternehmen, an das personenbezogene Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-US DPF verstoßen hat oder die Rechte, die betroffenen Personen nach dem EU-US DPF zustehen, verletzt hat, kann sie sich mit einer Beschwerde direkt an das ULD wenden. Der Europäische Datenschutzausschuss (EDSA) hat dafür ein Beschwerdeformular entwickelt:

https://www.datenschutzzentrum.de/uploads/meldungen/eu-us_dpf_beschwerdeformular_gewerbliche_angelegenheiten.pdf
Kurzlink: https://uldsh.de/tb43-11-1c

Die Nutzung dieses Formulars wird ausdrücklich empfohlen, damit sichergestellt werden kann, dass alle für die Bearbeitung wesentlichen Informationen enthalten sind. Je nach Fallgestaltung kann es sodann erforderlich sein, dass das ULD die Beschwerde an das „Informelle Gremium der EU-Datenschutzbehörden“ oder an US-Unternehmen/US-Organisationen oder die zuständigen US-Behörden weiterleitet. Wie das Informelle Gremium der EU-Datenschutzbehörden arbeitet, ist in einer Geschäftsordnung beschrieben:

https://www.datenschutzzentrum.de/uploads/meldungen/eu-us_dpf_geschaeftsordnung_informelles_gremium_der_eu-datenschutzbehoerden.pdf
Kurzlink: https://uldsh.de/tb43-11-1d

Es gibt darüber hinaus die Möglichkeit der Beschwerde in Bezug auf die Verarbeitung personenbezogener Daten durch US-Nachrichtendienste – wenn nämlich eine betroffene Person annimmt, dass US-amerikanische Geheimdienste oder Sicherheitsbehörden auf ihre personenbezogenen Daten für Zwecke der nationalen Sicherheit zugegriffen und dabei die rechtlichen Vorgaben verletzt haben. Dieses Beschwerdeverfahren unterscheidet sich ein wenig vom oben beschriebenen Beschwerdeverfahren in gewerblichen Angelegenheiten: Es beruht auf US-amerikanischem Recht und dient der Untersuchung, ob US-Nachrichtendienste bei einem etwaigen Zugriff auf ihre Daten gegen die hierfür geltenden Vorgaben des US-amerikanischen Rechts verstoßen haben.

Damit Personen in der Europäischen Union dieses neue Beschwerdeverfahren möglichst einfach nutzen können, nehmen die Datenschutzbehörden der EU-Mitgliedstaaten entsprechende Beschwerden entgegen und leiten diese anschließend über das Sekretariat des Europäischen Datenschutzausschusses an die zuständigen Stellen in den Vereinigten Staaten weiter. Dort werden die Beschwerden geprüft und entschieden. Auch für dieses Verfahren gibt es ein gesondertes Beschwerdeformular:

https://www.datenschutzzentrum.de/uploads/meldungen/eu_us_dpf_beschwerdeformular_nachrichtendienste.pdf
Kurzlink: https://uldsh.de/tb43-11-1e

 

11.2        CEF-Aktion: Koordinierte Prüfung zum Auskunftsrecht

Das ULD beteiligte sich 2024 neben insgesamt 27 weiteren europäischen Datenschutzaufsichtsbehörden an einer koordinierten Prüfung im Rahmen des Coordinated Enforcement Framework (CEF) des Europäischen Datenschutzausschusses (EDSA), die sich auf die Umsetzung des Auskunftsrechts konzentriert.

Art. 15 Abs. 1 DSGVO
 Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in der Norm genannten Informationen.

Das Auskunftsrecht nach Artikel 15 DSGVO kann Einzelpersonen eine Überprüfung ermöglichen, ob ihre personenbezogenen Daten von den verantwortlichen Stellen gesetzeskonform verarbeitet werden. Es ist eines der wichtigsten und am häufigsten ausgeübten Rechte und fungiert regelmäßig als eine Art Türöffner für die Ausübung weiterer Betroffenenrechte, wie etwa des Rechts auf Berichtigung oder des Rechts auf Löschung. Oftmals münden die entsprechenden Vorgänge in Beschwerden bei den Datenschutzaufsichtsbehörden.

Ziel der koordinierten Aktion im Berichtsjahr war es zu beurteilen, wie Organisationen das Auskunftsrecht in der Praxis umsetzen und inwiefern zu konkreten Aspekten Anpassungen oder Klarstellungen der EDSA-Leitlinien oder eine weitere Sensibilisierung von Verantwortlichen oder betroffenen Personen durch die Datenschutzbehörden sinnvoll sein könnten.

EDSA-Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht, Version 2.1, nach öffentlicher Konsultation angenommen am 28. März 2023:

https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_de
Kurzlink: https://uldsh.de/tb43-11-2a

Kernelement der koordinierten Prüfung war ein strukturierter Fragebogen zur Umsetzung des Rechts auf Auskunft durch Verantwortliche, den alle teilnehmenden Datenschutzaufsichtsbehörden in den verschiedenen Mitgliedstaaten verwendeten. Seitens des ULD wurden im Rahmen der Prüfung mehrere Stellen aus dem öffentlichen und nichtöffentlichen Sektor angeschrieben. Aus den eingegangenen Antworten der Verantwortlichen konnten Erkenntnisse dahin gehend gewonnen werden, wie mit Auskunftsersuchen umgegangen wird und welche internen Abläufe und Standards zur Bearbeitung dieser Ersuchen implementiert wurden. In der Prüfung des ULD konnten keine gravierenden datenschutzrechtlichen Verstöße festgestellt werden. In einem Fall haben wir Hinweise hinsichtlich der Möglichkeit erteilt, die internen Prozesse zur Bearbeitung von Auskunftsersuchen effektiver auszugestalten.

Die koordinierte Aktion zum Auskunftsrecht war die dritte Initiative im Rahmen des CEF, die darauf abzielt, die Durchsetzung der Datenschutz-Grundverordnung und die Zusammenarbeit zwischen Datenschutzbehörden innerhalb der EU zu optimieren. Die Ergebnisse der gemeinsamen Initiative werden in einem Bericht des EDSA veröffentlicht.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel