Internationaler Datenverkehr

Die Verarbeitung personenbezogener Daten macht in der digitalisierten, globalen Weltwirtschaft an keiner Landesgrenze und auch an der Außengrenze der Europäischen Union nicht Halt. Jeden Tag werden Kundendaten, Beschäftigtendaten oder die personenbezogenen Daten von social-media-Nutzern an Firmen außerhalb Europas übermittelt. Das hat auch die Europäische-Datenschutz-Grundverordnung (DS-GVO) erkannt und deshalb in einem eigenen Kapitel V die Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen geregelt (Art. 44 – Art. 50 DS-GVO).

Eine Datenübermittlung in Drittstaaten, wie z. B. in die Vereinigten Staaten von Amerika (USA), ist dabei nicht frei von Rechtsproblemen: Bereits zwei Mal musste der Europäische Gerichtshof (EuGH) hier Recht sprechen. Im Jahr 2015 (EuGH Urt. Vom 6.10.20215 – C-362/14) erklärte er das Safe-Harbor-Abkommen, das die Datenübermittlung zwischen der europäischen Union und den USA regelte, für unwirksam. Grund dafür war, dass die EU-Kommission seinerzeit die Sicherheit der übermittelten personenbezogenen Daten im Hinblick auf den Zugriff durch us-amerikanische öffentliche Stellen nicht ausreichend in den Fokus genommen hatte. Auch das Nachfolge-Abkommen, das EU/US Privacy Shield und den darauf gründenden Beschluss 2016/1250 erklärte der EuGH 2016 für ungültig (EuGH Urt. V. 16.07.2020- C 311/18), weil die us-amerikanischen Überwachungsprogramme und ihre rechtlichen Grundlagen nicht auf das zwingend erforderliche Maß beschränkt waren und daher gegen den unionsrechtlichen Grundsatz der Verhältnismäßigkeit verstießen.

Seit dem Jahr 2022 verhandelten die US-Administration und die EU-Kommission erneut für ein Nachfolgeabkommen: Einen Entwurf für einen solchen Angemessenheitsbeschluss hat die die EU-Kommission am 13. Dezember 2022 veröffentlicht. Trotz der deutlich geäußerten Kritik ist der Angemessenheitsbeschluss am 10. Juli 2023 unter dem Namen EU-U.S. Data Privacy Framework („EU-U.S. DPF“) in Kraft getreten ist.

• FAQ für Privatpersonen zum EU-U.S. DPF
• FAQ für Unternehmen zum EU-U.S. DPF

Wenn ein EU-U.S. DPF zertifiziertes US-Unternehmen, an das Ihre personenbezogenen Daten übermittelt wurden, Ihrer Meinung nach gegen seine Pflichten aus diesem Data Privacy Framework verstößt oder Rechte, die Ihnen nach dem EU-U.S. DPF zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde an den TLfDI wenden. Bitte nutzen Sie hierfür das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular und übersenden es dem TLfDI. So wird sichergestellt, dass alle Informationen, die für eine Bearbeitung Ihres Anliegens erforderlich sind, zur Verfügung stehen. Das Beschwerdeformular können Sie auch dann nutzen, wenn es noch um Übermittlungen personenbezogener Daten unter dem Vorgängerabkommen EU-U.S. Privacy Shield geht.

Bei ungelösten DPF-Beschwerden von Privatpersonen über den Umgang mit personenbezogenen Daten, die gem. der DS-GVO aus der EU übermittelt wurden, ist das Informelle Gremium der EU-Datenschutzbehörden für die Beratung dieser U.S.-Unternehmen zuständig. Dessen Arbeitsweise ist in einer Geschäftsordnung niedergelegt.

• Beschwerdeformular für die Einreichung von Beschwerden im Zusammenhang mit gewerblichen Angelegenheiten bei EU-Datenschutzbehörden
• Geschäftsordnung für das „Informelle Gremium der EU-Datenschutzbehörden“ gemäß dem Datenschutzrahmen EU-USA (EU-US Data Privacy Framework)

Für Beschwerden in Hinblick auf mögliche Zugriffe Ihrer personenbezogenen Daten durch US-amerikanische Geheimdienste oder Sicherheitsbehörden nutzen Sie bitte dieses gesonderte Beschwerdeformular. Es wurde zusammen mit ergänzenden Hinweise vom Europäischen Datenschutzausschuss erarbeitet.

• Beschwerdeformular
• ergänzende Hinweise zum Beschwerdeverfahren Nachrichtendienste