Nachdem wir erst kürzlich an anderer Stelle in unserem Blog über den Unterschied zwischen den Zertifizierungsarten „HR Data“ und „Non-HR Data“ nach dem EU-US Data Privacy Framework (DPF) berichtet und die unterschiedlichen Sichtweisen aufgezeigt haben, möchten wir Ihnen nachfolgend die Beschwerdemöglichkeiten, welche betroffenen Personen nach dem EU-US DPF zustehen, aufzeigen und darlegen, welche Schritte dabei zu beachten sind. Hierzu hatte auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) einen Fachbeitrag mit hilfreichen Informationen sowie (Muster-)Antragsformularen veröffentlicht.

Welche Betroffenenrechte stehen Betroffenen zu?

Das EU-US DPF gewährt betroffenen EU-Bürger*innen Beschwerderechte, wenn diese der Auffassung sind, dass eine Verarbeitung ihrer Daten entgegen den Anforderungen des Datenschutzrahmens erfolgt. Hierbei handelt es sich um:

  • Ein Recht auf Zugang zu den Daten,
  • ein Recht auf Berichtigung bzw. Löschung der Daten, sofern diese falsch oder unrechtmäßig verarbeitet werden,
  • einen Anspruch auf kostenlose, unabhängige Streitbeilegungsmechanismen sowie eine Schiedsstelle zur Streitbeilegung und Durchsetzung der Rechte.

Diese Rechte können zum einen gegenüber US-Organisationen/-Unternehmen und zum anderen gegenüber US-Behörden, wie z. B. Geheim- und Nachrichtendiensten, geltend gemacht werden. Betroffene EU-Bürger*innen können sich mit ihrem Anliegen – insbesondere bei geheimdienstlichen Aktivitäten gegen ihre Person – auch an das neu eingerichtete Data Protection Review Court wenden und dort ihre Beschwerde platzieren. Diese Institution hat die Befugnis inne, ad hoc Maßnahmen, wie die Einschränkung von Verarbeitungstätigkeiten oder auch die Löschung von Daten, anzuordnen.

Beschwerdeverfahren nach dem EU-US DPF

Sofern betroffene EU-Bürger*innen von ihren Rechten Gebrauch machen möchten, müssen die Betroffenen zunächst prüfen, welche Institution der korrekte Beschwerdegegner ist, da diese ein zertifiziertes Unternehmen bzw. eine zertifizierte Organisation, aber auch eine staatliche Institution, wie ein Nachrichtendienst, sein kann. Der vom BfDI aufgezeigte Beschwerdeweg ist jedoch in beiden Fällen grundsätzlich derselbe. Sofern eine betroffene Person Beschwerde einlegen möchte, ist zunächst ein Antrag bei einer (europäischen) Datenschutzaufsichtsbehörde zu stellen. Im Rahmen der Beschwerdebearbeitung kann durch die zuständige Aufsichtsbehörde – abhängig nach Sachlage – das sog. informelle Gremium der EU-Datenschutzbehörden und/oder das beteiligte US-Unternehmen oder die zuständigen US-Behörden beteiligt werden. Die Arbeitsweise des Gremiums ist in einer Geschäftsordnung festgelegt. So können bspw. betroffene US-Unternehmen bei ungelösten EU-US DPF-Beschwerden von Privatpersonen über den Umgang mit personenbezogenen Daten um Konsultation ersuchen, um den Vorgang abzuschließen.

Betroffene EU-Bürger*innen können auf unterschiedlichem Wege – per Kontaktformular (steht zum Download u. a. auf der Website des BfDI bereit), per E-Mail oder postalisch – gegenüber jeder Datenschutzaufsichtsbehörde ihre Beschwerde einreichen. Anzuraten ist jedoch, die Beschwerde direkt an die für den eigenen Wohnort zuständige Aufsichtsbehörde zu richten, da sich die Zuständigkeit in diesen Fällen nach dem Wohnort der Betroffenen richtet.

Besonderheit bei Beschwerden gegen Aktivitäten der US-Nachrichtendienste

Der Beschwerdeweg bei Beschwerden gegen Datenverarbeitungsvorgänge von US-Nachrichtendiensten ist grundsätzlich identisch mit dem oben beschriebenen. Der einzige Unterschied besteht darin, dass in derartigen Fällen der Europäische Datenschutzausschuss (EDSA) beteiligt wird. Dieser leitet die Beschwerden nach Kenntnisnahme an die zuständigen Stellen in den Vereinigten Staaten weiter, wo diese geprüft und entschieden werden. Weitere Informationen sind hier auf der Website des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zu finden.

Mögliche Folgen einer Nichtberücksichtigung von Rechtsbehelfen

Die Frage nach möglichen Konsequenzen für die Nichtberücksichtigung von eingegangenen Beschwerden kann zum jetzigen Stand nicht abschließend beantwortet werden, da uns keine einschlägigen Fälle bekannt sind. Es ist jedoch zu erwarten, dass säumige US-Unternehmen eine Entziehung der Zertifizierung nach dem US-EU DPF drohen könnte, da die Beantwortung einen Verstoß gegen die Anforderungen bedeuten würde. Eine Sanktionierung von US-Unternehmen durch eine europäische Aufsichtsbehörde gemäß Art. 83 der DSGVO ist hingegen nicht möglich, da Unternehmen mit Sitz in den USA grundsätzlich nicht in den sachlichen Anwendungsbereich der DSGVO fallen.

Fazit

Es bleibt abzuwarten, wie sich die im EU-US DPF verankerten Rechtsbehelfe in der Praxis durchsetzen lassen und wie die Entscheidungen von US-Behörden bzw. dem Data Protection Review Court bspw. in Fällen von Beschwerden gegen geheimdienstliche Aktivitäten ausfallen werden. Gerade in derart sensiblen Bereichen kann es gut sein, dass Informationen und getroffene Entscheidungen unter Verschluss gehalten und nicht an die Betroffenen zurückgespielt werden. Trotz dieser Vermutung führt das Zugeständnis von Betroffenenrechten grundsätzlich zu mehr Transparenz im Hinblick auf die Übermittlung und Verarbeitung von Daten und damit schließlich zu einer grundsätzlichen Stärkung der Grundrechte von EU-Bürger*innen.