Sie möchten gerne wissen, was ein US-Unternehmen mit ihren Daten macht? Dann fragen Sie doch mal nach. Jetzt sagen Sie sich vielleicht: „Ach, die machen doch, was sie wollen; da kann man eh nichts machen.“ Doch, man kann!
Aller Anfang ist … gar nicht so schwer
Zu diesem Zweck gibt es den sog. EU-US Privacy Shield. Dieses zwischen EU und USA ausgehandelte Abkommen gewährt den einzelnen Personen, deren Daten an ein US-Unternehmen übermittelt wurden, bestimmte Rechte. Im Ergebnis soll damit ein – zumindest annähernd – vergleichbares Datenschutzniveau wie im EU-Raum hergestellt werden. Wie in jedem anderen Fall auch kommen einem diese Rechten aber nicht von selbst zugeflogen, sondern man muss sie selbst in die Hand nehmen. Das Vorgehen als solches ist im Grunde recht einfach.
Grundlage für eine Inanspruchnahme dieser Rechte ist, dass sich das betreffende Unternehmen den Regelungen des Privacy Shields unterwirft und sich danach zertifizieren lässt. Die Zertifizierung wird erteilt und überwacht durch das amerikanische Handelsministerium. Ob ein Unternehmen zu den Zertifikatsinhabern gehört, lässt sich durch einen Blick auf die offizielle Webseite überprüfen. Das geht schnell, da die Seite sehr übersichtlich aufgebaut und auf die wesentlichen Inhalte beschränkt ist.
Bemängelt wurde bislang unter anderem, dass die Durchsetzung der durch das Abkommen verliehenen Rechte umständlich und wenig wirksam sei; wir berichteten darüber schon in einem früheren Beitrag. Oftmals ist es für die betroffenen Personen schwierig herauszufinden, an wen sie sich überhaupt wenden können und welche Angaben zu machen sind, damit Beschwerden vernünftig geprüft und entsprechend an die zuständigen Stellen weitergeleitet werden können. Um in diesem Punkt mehr „Leben in die Bude“ zu bringen, haben nun die bayrische und die hessische Aufsichtsbehörde ein einheitliches Beschwerdeformular veröffentlicht.
Und wie funktioniert das nun?
Bevor man aber eine behördliche Beschwerde einreicht, sollte man sich mit dem jeweiligen Unternehmen direkt in Verbindung setzen. Dafür haben die Unternehmen einen Ansprechpartner zu benennen, der zusammen mit den Kontaktdaten ebenfalls auf der o.g. Liste zu finden ist. Geht über diesen Kanal eine Anfrage bei dem Unternehmen ein, so ist es verpflichtet, diese innerhalb von 45 Tagen zu beantworten.
Lässt das Unternehmen die Frist verstreichen oder ist die Auskunft unzureichend, so kann man (kostenlos) Beschwerde bei der jeweiligen unabhängigen Beschwerdestelle einreichen; wer das im Einzelfall ist, kann man ebenso der eingangs erwähnten Liste (unter dem Punkt „Dispute Resolution“ -> Ressource Mechanism) entnehmen.
Parallel dazu steht immer auch der Weg über die nationalen Aufsichtsbehörden offen. Ist man also der Meinung, dass einem Unrecht widerfahren ist durch eine Übermittlung von Daten in die USA bzw. eine Weitergabe von Daten innerhalb der USA, kann man auch hier eine Eingabe starten. Idealerweise verwendet man hierzu das obige neue Formular. In jedem Fall erhält man eine Rückmeldung, was aus der Beschwerde geworden ist.
Wenn Sie also wirklich wissen wollen, was mit Ihren Daten in der Welt so alles geschieht, probieren Sie es aus!