Anhang II
GRUNDSÄTZE DES EU-US-DATENSCHUTZSCHILDS VORGELEGT VOM AMERIKANISCHEN HANDELSMINISTERIUM
I. ÜBERBLICK
Die Vereinigten Staaten und die Europäische Union haben beide das Ziel, den Datenschutz zu verstärken, wobei die Vereinigten Staaten jedoch einen anderen Ansatz verfolgen als die Europäische Gemeinschaft. Die USA verfolgen einen sektoralen Ansatz, der auf einer Mischung von Rechtsvorschriften, Verordnungen und freiwilliger Selbstkontrolle basiert. Angesichts dieser Unterschiede und um Organisationen in den Vereinigten Staaten einen zuverlässigen Mechanismus für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten bereitzustellen und dabei gleichzeitig sicherzustellen, dass betroffene EU-Bürger weiter in den Genuss wirksamer Garantien und eines wirksamen Schutzes bei der Verarbeitung ihrer personenbezogenen Daten nach deren Übermittlung in Nicht-EU-Länder kommen, legt das Handelsministerium im Rahmen seiner gesetzlichen Befugnis, internationalen Handel zu pflegen, zu fördern und zu entwickeln (15 U.S.C. § 1512), diese Grundsätze des Datenschutzschilds, einschließlich der Zusatzgrundsätze (im Folgenden insgesamt „Grundsätze“) vor. Die Grundsätze wurden in Absprache mit der Europäischen Kommission sowie mit der Industrie und anderen Interessenträgern entwickelt, um den Handel zwischen der Europäischen Union und den Vereinigten Staaten zu erleichtern. Sie sind ausschließlich für den Gebrauch durch Organisationen in den Vereinigten Staaten bestimmt, die personenbezogene Daten aus der Europäischen Union erhalten, um sich für den Datenschutzschild zu qualifizieren und so vom Angemessenheitsbeschluss der Europäischen Kommission zu profitieren [1]. Die Grundsätze berühren nicht die Anwendung nationaler Rechtsvorschriften über die Verarbeitung personenbezogener Daten in den Mitgliedstaaten, mit denen die Richtlinie 95/46/EG (im Folgenden „Richtlinie“) umgesetzt wird. Ebenso wenig schränken die Prinzipien ansonsten nach US-Recht geltende Datenschutzverpflichtungen ein.
Um sich auf den Datenschutzschild zur Übermittlung personenbezogener Daten aus der EU stützen zu können, muss eine Organisation gegenüber dem Handelsministerium (oder einer von ihm benannten Stelle) (im Folgenden „Ministerium“) durch Selbstzertifizierung erklären, dass sie sich an die Grundsätze hält. Obwohl Entscheidungen von Organisationen, so dem Datenschutzschild beizutreten, vollkommen freiwillig sind, ist die wirksame Einhaltung der Grundsätze obligatorisch: Organisationen, die dem Ministerium eine Selbstzertifizierung bekanntgeben und öffentlich erklären, dass sie die Grundsätze befolgen, müssen diese vollständig einhalten. Um dem Datenschutzschild beizutreten, muss eine Organisation a) den Untersuchungs- und Durchsetzungsbefugnissen der Federal Trade Commission (im Folgenden „FTC“), des Verkehrsministeriums oder anderer gesetzlicher Organe, die die Einhaltung der Grundsätze effektiv gewährleisten, unterliegen (andere von der EU anerkannte Behörden der Vereinigten Staaten können künftig als Anhang beigefügt werden), b) öffentlich seine Bereitschaft erklären, die Grundsätze einzuhalten, c) ihre Datenschutzbestimmungen im Einklang mit diesen Grundsätzen offenlegen und d) diese vollständig umsetzen. Ein Verstoß der Organisation gegen diese Grundsätze ist gemäß Abschnitt 5 des Federal Trade Commission Act zur Verhinderung unlauterer und irreführender Praktiken, die im Handel erfolgen oder den Handel beeinträchtigen (15 U.S.C. § 45(a)), oder ähnlichen Rechtsvorschriften verfolgbar.
Das Handelsministerium wird eine verbindliche Liste der US-Organisationen führen und der Öffentlichkeit zugänglich machen, die sich gegenüber dem Ministerium selbst zertifiziert und zugesichert haben, die Grundsätze zu befolgen (im Folgenden „Datenschutzschild-Liste“). Das Ministerium wird eine Organisation von der Datenschutzschild-Liste streichen, wenn sie freiwillig aus dem Datenschutzschild ausscheidet oder wenn sie es versäumt, ihre jährlich fällige Zertifizierung gegenüber dem Ministerium zu erneuern. Die Streichung einer Organisation von der Datenschutz-Liste bedeutet, dass sie nicht mehr in den Genuss des Angemessenheitsbeschlusses der Europäischen Kommission zum Empfang personenbezogener Daten aus der EU kommen kann. Die Organisation muss die Grundsätze für personenbezogene Daten, die sie während der Zeit ihrer Teilnahme am Datenschutzschild erhalten hat, weiter einhalten, solange sie diese Daten speichert, und gegenüber dem Ministerium jährlich die Einhaltung zusichern; ansonsten muss die Organisation die Daten zurückgeben oder löschen oder für sie einen „angemessenen“ Schutz bieten. Das Ministerium wird zudem jene Organisationen von der Datenschutzschild-Liste streichen, die die Grundsätze fortgesetzt missachten; diese Organisationen verlieren die mit dem Datenschutzschild verbundenen Vorteile und müssen die personenbezogenen Daten zurückgeben oder löschen, die sie im Rahmen des Datenschutzschilds erhalten haben.
Das Ministerium wird ferner ein verbindliches Verzeichnis der US-Organisationen führen und der Öffentlichkeit zugänglich machen, die ehemals eine Selbstzertifizierung gegenüber dem Ministerium abgegeben haben, aber von der Datenschutzschild-Liste gestrichen wurden. Das Ministerium wird deutlich auf Folgendes hinweisen: diese Organisationen nehmen nicht am Datenschutzschild teil; die Streichung von der Datenschutzschild-Liste bedeutet, dass diese Organisationen nicht geltend machen können, dass sie den Datenschutzschild einhalten, und sie alle Aussagen oder irreführende Praktiken vermeiden müssen, die auf eine Teilnahme am Datenschutzschild hindeuten; und diese Organisationen können nicht mehr die sich aus dem Angemessenheitsbeschluss der Europäischen Kommission ergebenden Vorteile in Anspruch nehmen, die ihnen den Empfang personenbezogene Daten aus der EU ermöglichen. Gegen eine Organisation, die nach ihrer Streichung von der Datenschutzschild-Liste weiter eine Teilnahme am Datenschutzschild behauptet oder sonstige falsche Angaben zum Datenschutzschild macht, können von der FTC, vom Verkehrsministerium oder anderen Behörden entsprechende Durchsetzungsmaßnahmen eingeleitet werden.
Die Einhaltung dieser Grundsätze kann begrenzt sein: a) insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss, b) durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, aus denen sich widersprüchliche Verpflichtungen oder ausdrückliche Ermächtigungen ergeben, vorausgesetzt, die Organisation kann in Wahrnehmung einer derartigen Ermächtigung nachweisen, dass die Grundsätze nur insoweit nicht eingehalten werden, als die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung dies erfordert, oder c) wenn die Richtlinie oder das nationale Recht Ausnahmeregelungen vorsieht, sofern diese Ausnahmeregelungen unter vergleichbaren Voraussetzungen getroffen werden. Im Hinblick auf das Ziel eines wirksameren Schutzes der Privatsphäre sollen die Organisationen die Grundsätze in vollem Umfang und in transparenter Weise anwenden, unter anderem indem sie angeben, in welchen Fällen Abweichungen von den Grundsätzen, die nach b) zulässig sind, bei ihren Datenschutzmaßnahmen regelmäßig Anwendung finden werden. Aus demselben Grund wird, wenn die Wahlmöglichkeit nach den Grundsätzen und/oder nach dem US-Recht besteht, von den Organisationen erwartet, dass sie sich, sofern möglich, für das höhere Schutzniveau entscheiden.
Die Organisationen sind verpflichtet, die Grundsätze nach ihrem Beitritt zum Datenschutzschild auf alle personenbezogenen Daten anzuwenden, die im Vertrauen auf den Datenschutzschild übermittelt werden. Eine Organisation, die sich für eine Ausdehnung der Vorteile des Datenschutzschilds auf Personaldaten entscheidet, die im Rahmen eines Beschäftigungsverhältnisses aus der EU übermittelt werden, muss darauf hinweisen, wenn sie sich dem Ministerium gegenüber auf die Grundsätze verpflichtet, und sie muss die in den Zusatzgrundsätzen zur Selbstzertifizierung beschriebenen Anforderungen erfüllen.
Für Fragen der Auslegung und der Einhaltung der Grundsätze sowie der einschlägigen Datenschutzbestimmungen durch Organisationen, die dem Datenschutzschild angehören, gilt das US-Recht; es gilt nicht, wenn sich diese Organisationen zur Zusammenarbeit mit europäischen Datenschutzbehörden verpflichtet haben. Sofern nicht anderweitig festgelegt, finden sämtliche Bestimmungen der Grundsätze in allen Fällen, in denen sie relevant sind, Anwendung.
Begriffsbestimmungen:
„Personenbezogene Daten“ sind in beliebiger Form aufgezeichnete Daten über eine identifizierte oder identifizierbare Person, die unter die Richtlinie fallen und aus der Europäischen Union an eine Organisation in den Vereinigten Staaten übermittelt werden.
„Verarbeitung“ personenbezogener Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe oder die Verbreitung sowie das Löschen oder Vernichten.
„Für die Verarbeitung Verantwortlicher“ bezeichnet eine Person oder Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Der Tag des Wirksamwerdens der Grundsätze ist der Tag, an dem der Angemessenheitsbeschluss der Kommission endgültig genehmigt wird.
II. GRUNDSÄTZE
Informationspflicht
Die Organisation muss Privatpersonen über Folgendes informieren:
ihre Teilnahme am Datenschutzschild mit einem Link zur Datenschutzschild-Liste oder der Webanschrift der Liste,
die Arten der erfassten personenbezogenen Daten und gegebenenfalls die Einrichtungen oder Tochterunternehmen der Organisation, die die Grundsätze ebenfalls einhalten,
ihre Verpflichtung, die Grundsätze auf alle aus der EU empfangenen personenbezogenen Daten unter Zugrundelegung des Datenschutzschilds anzuwenden,
zu welchem Zweck sie die personenbezogenen Daten über sie erhebt und verwendet,
wie sie die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können, wozu auch Angaben zu einer relevanten Einrichtung in der EU gehören, die auf derartige Nachfragen oder Beschwerden eingehen kann,
die Kategorie und Identität von Dritten, an die die Daten weitergegeben werden, sowie der Zweck der Weitergabe,
das Recht von Privatpersonen auf Zugang zu ihren personenbezogenen Daten,
welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die Verwendung und Weitergabe ihrer personenbezogenen Daten einzuschränken,
das zur Bearbeitung von Beschwerden und für einen kostenlosen Rechtsschutz für die Privatperson benannte unabhängige Streitbeilegungsgremium, und ob es sich 1) um das von Datenschutzbehörden eingerichtete Gremium, 2) um einen in der EU ansässigen Anbieter für alternative Streitbeilegung oder 3) um einen in den Vereinigten Staaten ansässigen Anbieter für alternative Streitbeilegung handelt,
die für die Organisation geltenden Ermittlungs- und Durchsetzungsbefugnisse der FTC, des Verkehrsministeriums oder einer anderen bevollmächtigten US-Behörde,
die Möglichkeit, unter bestimmten Bedingungen ein verbindliches Schiedsverfahren anzustrengen,
die Bestimmung, personenbezogene Daten auf rechtmäßige Anfrage von Behörden offenzulegen, um Erfordernissen der nationalen Sicherheit oder der Strafverfolgung nachzukommen, und
die Haftung der Organisation bei Weitergabe an Dritte.
Diese Angaben sind den Betroffenen unmissverständlich und deutlich erkennbar zu machen, wenn sie erstmalig ersucht werden, der Organisation personenbezogene Daten zu liefern, oder so bald wie möglich danach, auf jeden Fall aber bevor die Organisation die Daten zu anderen Zwecken verwendet als denen, für die sie von der übermittelnden Organisation ursprünglich erhoben oder verarbeitet wurden, oder bevor sie die Daten erstmalig an einen Dritten weitergibt.
Wahlmöglichkeit
Die Organisation muss Privatpersonen die Möglichkeit geben zu wählen („Opt-out“), ob ihre personenbezogenen Daten i) an Dritte weitergegeben werden sollen oder ii) für einen Zweck verwendet werden sollen, der sich von dem ursprünglichen oder dem nachträglich von der betreffenden Person genehmigten Erhebungszweck wesentlich unterscheidet. Der betroffenen Person muss die Ausübung ihres Wahlrechts durch leicht erkennbare, verständliche und leicht zugängliche Verfahren ermöglicht werden.
Abweichend vom vorstehenden Absatz unterliegt die Übermittlung solcher Daten an einen Dritten nicht dem Grundsatz der Wahlmöglichkeit, wenn dieser im Auftrag oder auf Anweisung der Organisation tätig ist. Die Organisation schließt jedoch stets einen Vertrag mit dem Beauftragten.
Bei sensiblen Daten (d. h. Angaben über den Gesundheitszustand, über Rassen- oder ethnische Zugehörigkeit, über politische, religiöse oder weltanschauliche Überzeugungen, über die Mitgliedschaft in einer Gewerkschaft oder über das Sexualleben) benötigen die Organisationen die ausdrückliche Zustimmung („Opt-in“) der betroffenen Personen, wenn diese Daten i) an Dritte weitergegeben oder ii) für einen anderen als den ursprünglichen Erhebungszweck oder den Zweck verwendet werden sollen, dem die betroffene Person nachträglich durch Ausübung des Wahlrechts zugestimmt hat. Darüber hinaus sollen die Organisationen alle ihnen von Dritten übermittelten personenbezogenen Daten als sensibel behandeln, die der Übermittler als sensibel einstuft und behandelt.
Verantwortlichkeit für die Weitergabe
Eine Organisation darf personenbezogene Daten nur dann an Dritte, die als für die Verarbeitung Verantwortliche tätig sind, weitergeben, wenn sie die Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Die Organisation muss auch einen Vertrag mit dem als für die Verarbeitung Verantwortlichen tätigen Dritten schließen, in dem festgelegt ist, dass diese Daten nur in begrenztem Rahmen für bestimmte Zwecke im Einklang mit der von der betroffenen Person erteilten Zustimmung verarbeitet werden dürfen und dass der Empfänger das gleiche Schutzniveau vorsieht wie die Grundsätze und er die Organisation entsprechend unterrichten muss, wenn er feststellt, dass er diese Verpflichtung nicht mehr erfüllen kann. Der Vertrag muss festlegen, dass im Falle einer derartigen Festlegung der als Verantwortlicher tätige Dritte die Verarbeitung einstellt oder mit anderen sinnvollen und geeigneten Maßnahmen Abhilfe schafft.
Bei der Weitergabe von personenbezogenen Daten an einen Dritten, der in ihrem Auftrag und auf ihre Anweisung tätig ist, gilt für eine Organisation Folgendes: i) sie darf diese Daten nur in begrenztem Rahmen für bestimmte Zwecke weitergeben; ii) sie muss sich vergewissern, dass der Beauftragte verpflichtet ist, zumindest das Maß an Schutz personenbezogener Daten zu gewährleisten, das in den Grundsätzen gefordert wird; iii) sie muss mit angemessenen und geeigneten Schritten sicherstellen, dass der Beauftragte die weitergegebenen personenbezogenen Daten in einer den Verpflichtungen der Organisation im Rahmen der Grundsätze konformen Weise verarbeitet; iv) sie muss vom Beauftragten verlangen, dass er sie unterrichtet, wenn er feststellt, dass er seine Verpflichtung, das gleiche Schutzniveau vorzusehen wie in den Grundsätzen gefordert, nicht mehr erfüllen kann, v) sie muss auf entsprechenden Hinweis, einschließlich nach iv), sinnvolle und geeignete Schritte unternehmen, um eine unbefugte Verarbeitung zu unterbinden; vi) sie muss dem Ministerium auf Verlangen eine Zusammenfassung oder ein Exemplar der einschlägigen Datenschutzbestimmungen ihres Vertrags mit diesem Beauftragten vorlegen.
Sicherheit
Organisationen, die personenbezogene Daten erstellen, verwalten, verwenden oder verbreiten, müssen angemessene und geeignete Maßnahmen ergreifen, um sie vor Verlust, Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen; dabei sind insbesondere die Risiken bei der Verarbeitung und die Art der personenbezogenen Daten zu berücksichtigen.
Datenintegrität und Zweckbindung
In Übereinstimmung mit den Grundsätzen müssen personenbezogene Daten auf die Informationen beschränkt sein, die für den Verarbeitungszweck erheblich sind [2]. Eine Organisation darf personenbezogene Daten nicht in einer Weise verarbeiten, die mit dem ursprünglichen Erhebungszweck oder mit dem Zweck unvereinbar ist, dem der Betroffene nachträglich zugestimmt hat. In dem für diese Zwecke notwendigen Umfang muss die Organisation durch angemessene Maßnahmen gewährleisten, dass die personenbezogenen Daten für den vorgesehenen Zweck hinreichend zuverlässig, genau, vollständig und aktuell sind. Die Organisation muss die Grundsätze so lange einhalten, wie sie diese Informationen aufbewahrt.
Die Daten dürfen nur so lange in einer Form aufbewahrt werden, die eine Person identifiziert oder identifizierbar macht [3], wie damit ein Verarbeitungszweck im Sinne von 5a erfüllt wird. Diese Verpflichtung hindert Organisationen nicht daran, personengebundene Informationen über längere Zeiträume zu verarbeiten, solange und soweit diese Verarbeitung hinreichend den Zwecken einer Archivierung im öffentlichen Interesse, des Journalismus, der Literatur und Kunst, der wissenschaftlichen oder historischen Forschung und der statistischen Analyse dient. In diesen Fällen unterliegt die Verarbeitung den anderen Grundsätzen und Bestimmungen der Regelung. Die Organisationen sollen zur Einhaltung dieser Bestimmung angemessene und geeignete Maßnahmen ergreifen.
Auskunftsrecht
Privatpersonen müssen Zugang zu den personenbezogenen Daten haben, die eine Organisation über sie besitzt, und sie müssen die Möglichkeit haben, diese zu korrigieren, zu ändern oder zu löschen, wenn sie falsch sind oder unter Missachtung der Grundsätze verarbeitet wurden, es sei denn, die Belastung oder die Kosten für die Gewährung des Zugangs würden in dem jeweiligen Fall in einem Missverhältnis zu den Nachteilen für den Betroffenen stehen, oder Rechte anderer Personen als des Betroffenen würden verletzt.
Rechtsschutz, Durchsetzung und Haftung
Für einen effektiven Schutz der Privatsphäre müssen belastbare Mechanismen geschaffen werden, die die Einhaltung der Grundsätze gewährleisten, Rechtsbehelfe für Betroffene vorsehen, bei deren Daten die Grundsätze nicht eingehalten wurden, sowie Sanktionen für die Organisation, die die Grundsätze nicht befolgt. Diese Mechanismen müssen mindestens Folgendes umfassen:
leicht zugängliche, von unabhängigen Stellen durchgeführte Verfahren, nach denen Beschwerden, die betroffene Personen unter Berufung auf die Grundsätze erhoben haben, ohne Kosten für den Betroffenen untersucht und zügig behandelt werden und nach denen Schadenersatz geleistet wird, wenn das geltende Recht oder private Regelungen dies vorsehen;
Kontrollmaßnahmen, um zu überprüfen, ob die Bescheinigungen und Behauptungen der Organisationen über ihre Datenschutzmaßnahmen der Wahrheit entsprechen und ob diese Maßnahmen wie angegeben durchgeführt werden, und insbesondere in Bezug auf Verstöße;
Verpflichtungen zur Lösung von Problemen, die daraus resultieren, dass Organisationen die Einhaltung der Grundsätze zwar erklärt, sich aber trotzdem nicht daran gehalten haben, sowie entsprechende Sanktionen für diese Organisationen. Die Sanktionen müssen hinreichend streng sein, um sicherzustellen, dass die Organisationen die Grundsätze einhalten.
Organisationen und die von ihnen gewählten unabhängigen Beschwerdestellen werden rasch auf Anfragen und Auskunftsbegehren des Ministeriums reagieren, die mit dem Datenschutzschild im Zusammenhang stehen. Alle Organisationen müssen zügig auf von Behörden der EU-Mitgliedstaaten über das Ministerium weitergeleitete Beschwerden bezüglich der Einhaltung der Grundsätze reagieren. Organisationen, die sich für eine Zusammenarbeit mit Datenschutzbehörden entschieden haben, einschließlich Organisationen, die Personaldaten verarbeiten, müssen im Zusammenhang mit der Untersuchung und Bearbeitung von Beschwerden unmittelbar auf diese Behörden eingehen.
Organisationen sind verpflichtet, Ansprüche im Schiedsverfahren zu regeln und die in Anlage I aufgeführten Bedingungen einzuhalten, sofern eine Privatperson durch Benachrichtigung der betreffenden Organisation und entsprechend den Verfahren und Bedingungen nach Anlage I ein verbindliches Schiedsverfahren beantragt hat.
Im Zusammenhang mit einer Weitergabe ist eine dem Datenschutzschild angehörende Organisation für die Verarbeitung der personenbezogenen Daten, die sie im Rahmen des Datenschutzschilds erhält und anschließend an einen Dritten weitergibt, der in ihrem Auftrag und auf ihre Anweisung tätig ist, verantwortlich. Die dem Datenschutzschild angehörende Organisation bleibt nach den Grundsätzen haftbar, wenn ihr Beauftragter diese personenbezogenen Daten auf eine Art und Weise verarbeitet, die nicht im Einklang mit den Grundsätzen steht, es sei denn, sie weist nach, dass sie für das Ereignis, das den Schaden bewirkt hat, nicht verantwortlich ist.
Ist gegen eine Organisation eine Anordnung der FTC oder ein Gerichtsbeschluss wegen eines Verstoßes ergangen, macht die Organisation jene Teile eines der FTC vorgelegten Compliance- oder Sachstandsberichts, die den Datenschutzschild betreffen, öffentlich, soweit dies mit den Verpflichtungen zur Geheimhaltung im Einklang steht. Das Ministerium hat eine spezielle Kontaktstelle eingerichtet, an die sich Datenschutzbehörden bei Compliance-Problemen von dem Datenschutzschild angehörenden Organisationen wenden können. Die FTC wird Fälle der Missachtung der Grundsätze, die ihr vom Ministerium und Behörden der EU-Mitgliedstaaten zugeleitet wurden, vorrangig behandeln und vorbehaltlich der geltenden Geheimhaltungsvorschriften zeitnah mit den vorlegenden staatlichen Behörden Informationen zu diesen Fällen austauschen.
III. ZUSATZGRUNDSÄTZE
Sensible Daten
Eine Organisation muss keine ausdrückliche Zustimmung (Opt-in) für die Verarbeitung sensibler Daten einholen, wenn die Verarbeitung
im lebenswichtigen Interesse der betroffenen Person oder einer anderen Person liegt;
zur Geltendmachung von Rechtsansprüchen oder für die Rechtsverteidigung notwendig ist;
für eine medizinische Behandlung oder Diagnose erforderlich ist;
durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Körperschaft, die keinen Erwerbszweck verfolgt, im Rahmen rechtmäßiger Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder der Organisation oder Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, beziehen und die Daten nicht ohne Einwilligung der betroffenen Person an Dritte weitergegeben werden;
zur Erfüllung der arbeitsrechtlichen Pflichten der Organisation notwendig ist;
sich auf Daten bezieht, die von der Person nachweislich veröffentlicht worden sind.
Ausnahmen für den journalistischen Bereich
Da die Pressefreiheit durch die amerikanische Verfassung geschützt ist und die Richtlinie Ausnahmen für den Fall vorsieht, dass personenbezogene Daten zu journalistischen Zwecken verarbeitet werden, ist für die Interessenabwägung, wenn die im ersten Zusatzartikel zur Verfassung der Vereinigten Staaten verankerte Pressefreiheit mit dem Recht auf Schutz der Privatsphäre kollidiert, der erste Zusatzartikel maßgeblich, soweit es um die Tätigkeit natürlicher oder juristischer Personen in den USA geht.
Die Grundsätze des Datenschutzschilds gelten nicht für personenbezogene Daten, die zur Veröffentlichung, zur Verbreitung über Rundfunk und Fernsehen oder für andere Formen öffentlicher Kommunikation gesammelt werden, unabhängig davon, ob sie tatsächlich genutzt werden oder nicht, ebenso nicht für früher veröffentlichtes Material, das aus Medienarchiven stammt.
Hilfsweise Haftung
Internetdienstanbieter (Internet Service Providers, „ISP“), Telekommunikationsunternehmen und andere Organisationen sind nicht nach den Grundsätzen haftbar, wenn sie im Namen einer anderen Organisation Daten lediglich übermitteln, weiterleiten oder zwischenspeichern. Wie auch die Richtlinie selbst begründet der Datenschutzschild keine hilfsweise Haftung. Soweit eine Organisation personenbezogene Daten Dritter nur weiterleitet und weder Mittel noch Zweck ihrer Verarbeitung bestimmt, ist sie nicht haftbar.
Due-Diligence-Prüfung und Wirtschaftsprüfung
Bei der Tätigkeit von Investmentbanken und Wirtschaftsprüfern kann es vorkommen, dass personenbezogene Daten ohne Wissen und Einwilligung des Betroffenen verarbeitet werden. Dies ist unter den nachfolgend aufgeführten Voraussetzungen mit den Grundsätzen der Informationspflicht, des Wahlrechts und des Auskunftsrechts vereinbar.
Aktiengesellschaften und personenbezogene Aktiengesellschaften, einschließlich dem Datenschutzschild angehörende Organisationen, werden regelmäßig einer Wirtschaftsprüfung unterzogen. Diese Prüfungen, vor allem wenn damit ein potenzielles Fehlverhalten untersucht wird, können in Gefahr geraten, wenn sie vorzeitig bekannt werden. Eine dem Datenschutzschild angehörende Organisation, bei der eine Fusion oder Übernahme ansteht, muss zudem eine Due-Diligence-Prüfung durchführen oder ist Gegenstand einer derartigen Prüfung. Dabei werden oft personenbezogene Daten erhoben und verarbeitet, wie z. B. Informationen über Führungskräfte und andere Leistungsträger. Eine vorzeitige Bekanntgabe könnte den Abschluss behindern oder gegen geltende Wertpapiervorschriften verstoßen. Investmentbanken und Rechtsanwälte, die eine Due-Diligence-Prüfung durchführen, oder Wirtschaftsprüfer können personenbezogene Daten ohne Wissen des Betroffenen nur verarbeiten, soweit und solange das aufgrund gesetzlicher oder im öffentlichen Interesse liegender Erfordernisse notwendig ist, und können das auch in anderen Fällen, wenn die Anwendung der Grundsätze ihren legitimen Interessen zuwiderlaufen würde. Legitim sind u. a. die Kontrolle von Organisationen auf Erfüllung ihrer gesetzlichen Pflichten, die Prüfung ihrer Rechnungslegung und die Wahrung der Vertraulichkeit von Informationen betreffend mögliche Übernahmen, Fusionen und Joint Ventures sowie ähnliche Vorgänge, die von Investmentbanken oder Wirtschaftsprüfern abgewickelt werden.
Die Rolle der Datenschutzbehörden
Die Organisationen werden ihre Verpflichtung zur Zusammenarbeit mit Datenschutzbehörden der Europäischen Union wie nachfolgend dargelegt umsetzen. Nach den Grundsätzen des Datenschutzschilds müssen in den USA ansässige Organisationen, die personenbezogene Daten aus der EU erhalten, mit geeigneten Mitteln dafür sorgen, dass diese Grundsätze gewahrt werden. Wie im Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung beschrieben, gehören zu diesen Mitteln a)i) Rechtsbehelfe für Personen, über die die Organisationen Daten besitzen, a)ii) Verfahren, mit denen sie überprüfen, ob ihre Aussagen und Zusicherungen betreffend ihre Datenschutzpraxis den Tatsachen entsprechen; a)iii) die Pflicht der Organisationen, Abhilfe zu schaffen, falls es zu Problemen kommt, weil die Grundsätze bei ihnen nicht gewahrt werden, sowie Sanktionen für Verstöße gegen diese Grundsätze. Den Punkten a)i) und a)iii) des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung können Organisationen dadurch entsprechen, dass sie die hier festgelegten Anforderungen zur Zusammenarbeit mit den Datenschutzbehörden einhalten.
Eine Organisation verpflichtet sich zur Zusammenarbeit mit den Datenschutzbehörden, indem sie in der Mitteilung über die Selbstzertifizierung gegenüber dem Handelsministerium (siehe Zusatzgrundsatz „Selbstzertifizierung“) Folgendes erklärt:
dass sie den Bestimmungen der Punkte a)i) und a)iii) des Datenschutzschild-Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung entsprechen will, indem sie sich zur Zusammenarbeit mit den entsprechenden Datenschutzbehörden verpflichtet;
dass sie mit den entsprechenden Datenschutzbehörden bei der Untersuchung und Behandlung von Beschwerden zusammenarbeiten will, die unter Berufung auf die Grundsätze des Datenschutzschilds erhoben werden;
dass sie sich an die Empfehlung der entsprechenden Datenschutzbehörden hält, wenn diese der Organisation aufgeben, spezifische Maßnahmen zu treffen, um den Grundsätzen des Datenschutzschilds zu entsprechen; hierzu gehören auch Rechtsmittel und Entschädigungsleistungen zugunsten von Personen, die infolge Nichteinhaltung der Grundsätze Nachteile erlitten haben; ferner, dass sie den entsprechenden Datenschutzbehörden schriftlich die Durchführung dieser Maßnahmen bestätigt.
Tätigkeit von Gremien der Datenschutzbehörden
Die Kooperation der Datenschutzbehörden erfolgt über Information und Beratung:
Die Beratung übernimmt ein informelles Gremium, in dem europäische Datenschutzbehörden vertreten sind, so dass u. a. ein einheitlicher schlüssiger Ansatz gewährleistet wird.
Das Gremium berät die betreffenden US-amerikanischen Organisationen bei ungeklärten Beschwerden von Einzelpersonen über den Umgang mit personenbezogenen Daten, die aus der EU im Rahmen des Datenschutzschilds übermittelt wurden. Diese Beratung soll gewährleisten, dass die Grundsätze des Datenschutzschilds korrekt angewendet werden; sie schließt die Rechtsmittel für die betroffene(n) Einzelperson(en) ein, die die Datenschutzbehörden für angemessen erachten.
Das Gremium erbringt derartige Beratungsleistungen auf Anfrage der betreffenden US-Organisationen und/oder auf direkt eingegangene Beschwerden von Einzelpersonen gegen Organisationen, die sich auf die Grundsätze des Datenschutzschilds und zur Zusammenarbeit mit den Datenschutzbehörden verpflichtet haben. Dabei ermutigt es die betroffenen Einzelpersonen zunächst, die verfügbaren internen Verfahren zur Behandlung von Beschwerden, die die Organisation bereitstellt, zu nutzen, und unterstützt sie erforderlichenfalls dabei.
Das Gremium gibt erst dann eine Empfehlung ab, wenn beide Parteien hinreichend Gelegenheit zur Stellungnahme oder zum Vorlegen von Beweisen hatten. Es wird sich bemühen, die Empfehlung so rasch zur Verfügung zu stellen, wie ein ordnungsgemäßes Vorgehen dies erlaubt. Grundsätzlich wird das Gremium sich bemühen, die Beratung binnen sechzig Tagen nach Eingang einer Beschwerde oder dem Ersuchen einer Organisation anzubieten, und falls möglich noch rascher.
Soweit es ihm angemessen erscheint, veröffentlicht das Gremium die Ergebnisse der Beschwerdeprüfungen.
Die Beratung ist weder für das Gremium selbst noch für eine der beteiligten Datenschutzbehörden mit irgendeiner Form der Haftung verbunden.
Organisationen, die sich für diese Form der Streitbeilegung entscheiden, müssen sich verpflichten, den Empfehlungen der Datenschutzbehörden zu folgen. Kommt die Organisation den Empfehlungen des Gremiums nicht binnen 25 Tagen nach und hat sie keine befriedigende Erklärung für die Verzögerung gegeben, so teilt das Gremium seine Absicht mit, die Angelegenheit an die Federal Trade Commission, das Verkehrsministerium oder eine andere Stelle zu verweisen, die Zuständigkeit bzw. Durchsetzungsgewalt in Fällen von Irreführung oder unrichtiger Erklärung besitzt. Oder es teilt mit, dass es zu dem Schluss gelangt ist, dass eine gravierende Verletzung der Kooperationsvereinbarung vorliegt und diese mithin null und nichtig ist. In diesem Fall unterrichtet das Gremium das Handelsministerium, so dass die Datenschutzschild-Liste entsprechend geändert werden kann. Jede Unterlassung der Zusammenarbeit und jeder Verstoß gegen die Grundsätze des Datenschutzschilds können als Irreführung gemäß § 5 des FTC Act oder anderen vergleichbaren Gesetzen rechtlich verfolgt werden.
Wünscht eine Organisation, dass ihr die Vorteile des Datenschutzschilds auch bei Personaldaten zuteilwerden, die zur Verwendung im Rahmen von Beschäftigungsverhältnissen aus der EU übermittelt werden, muss es sich in Bezug auf diese Daten zur Zusammenarbeit mit den Datenschutzbehörden verpflichten (siehe Zusatzgrundsatz „Personaldaten“).
Organisationen, die sich für diese Option entscheiden, zahlen eine Jahresgebühr, die dazu bestimmt ist, die laufenden Kosten des Gremiums der Datenschutzbehörden zu decken; ferner können sie zur Begleichung der Kosten für alle erforderlichen Übersetzungen herangezogen werden, die sich aus der Beratungstätigkeit des Gremiums im Zusammenhang mit Beschwerden gegenüber den Organisationen ergeben. Die Jahresgebühr beträgt höchstens 500 USD und ist für kleinere Organisationen geringer.
Selbstzertifizierung
In den Genuss der Vorteile des Datenschutzschilds kommt eine Organisation ab dem Tag, an dem das Ministerium ihren Selbstzertifizierungsantrag nach Feststellung der Vollständigkeit in die Datenschutzschild-Liste aufgenommen hat.
Um sich für den Datenschutzschild selbst zu zertifizieren, muss die Organisation dem Ministerium einen von einem leitenden Mitarbeiter im Namen der Organisation unterzeichneten Selbstzertifizierungsantrag einreichen, der mindestens folgende Angaben enthält:
Name der Organisation, Postanschrift, E-Mail-Adresse, Telefon- und Faxnummer;
Beschreibung der Tätigkeit der Organisation im Zusammenhang mit personenbezogenen Daten aus der EU;
Beschreibung der Datenschutzbestimmungen der Organisation, die folgende Angaben umfassen muss:
ob die Organisation über eine öffentliche Website verfügt, die entsprechende Webadresse, unter der diese Beschreibung eingesehen kann, oder, wenn die Organisation nicht über eine öffentliche Website verfügt, der Ort, an dem diese Beschreibung von der Öffentlichkeit eingesehen werden kann;
Tag, an dem diese Vorkehrungen in Kraft gesetzt wurden;
Kontaktstelle, die für die Bearbeitung von Beschwerden, Auskunftsersuchen und anderen Angelegenheiten des Datenschutzschilds zuständig ist;
die gesetzliche Aufsichtsbehörde, die über Beschwerden gegen die Organisation wegen unlauteren oder irreführenden Geschäftsgebarens und wegen Verletzung von datenschutzrechtlichen Vorschriften entscheidungsbefugt ist (und in den Grundsätzen oder in einem künftigen Anhang zu den Grundsätzen aufgeführt ist);
die Bezeichnungen aller Datenschutzprogramme, an denen die Organisation teilnimmt;
die Art der anlassunabhängigen Kontrolle (z. B. intern oder extern) (siehe Zusatzgrundsatz „Anlassunabhängige Kontrolle“);
die unabhängige Beschwerdestelle zur Behandlung ungeklärter Beschwerdefälle.
Wenn die Organisation wünscht, dass ihr die Vorteile des Datenschutzschilds auch bei Personaldaten zuteilwerden, die zur Verwendung im Rahmen von Beschäftigungsverhältnissen aus der EU übermittelt werden, so ist dies möglich, wenn eine in den Grundsätzen oder in einem künftigen Anhang zu den Grundsätzen aufgeführte gesetzliche Aufsichtsbehörde befugt ist, Beschwerden gegen die Organisation aufgrund der Verarbeitung von Personaldaten entgegenzunehmen. Darüber hinaus muss die Organisation darauf in ihrem Selbstzertifizierungsantrag hinweisen und sich bereit erklären, gemäß den Zusatzgrundsätzen „Personaldaten“ und „Rolle der Datenschutzbehörden“, soweit anwendbar, mit der (den) Datenschutzbehörde(n) in der EU zusammenzuarbeiten und den Empfehlungen dieser Behörden nachzukommen. Außerdem muss die Organisation dem Ministerium ihre Datenschutzbestimmungen für Personaldaten sowie Angaben dazu übermitteln, wo die Datenschutzbestimmungen von den betroffenen Mitarbeitern eingesehen werden können.
Das Ministerium führt die Datenschutzschild-Liste der Organisationen, die Selbstzertifizierungsanträge eingereicht haben und denen damit die Vorteile des Datenschutzschilds zustehen; die Liste wird anhand der jährlich eingereichten Selbstzertifizierungsanträge und der Meldungen aktualisiert, die gemäß dem Zusatzgrundsatz „Beschwerdeverfahren und Durchsetzung“ eingehen. Diese Selbstzertifizierungsanträge sind mindestens jährlich neu vorzulegen, andernfalls wird die Organisation von der Datenschutzschild-Liste gestrichen, und die Vorteile des Datenschutzschilds sind nicht mehr garantiert. Die Datenschutzschild-Liste und die von den Organisationen vorgelegten Selbstzertifizierungsanträge werden der Öffentlichkeit zugänglich gemacht. Alle Organisationen, die vom Ministerium auf die Datenschutzschild-Liste gesetzt werden, müssen in ihren relevanten veröffentlichten Datenschutzbestimmungen auch erklären, dass sie sich an die Grundsätze des Datenschutzschilds halten. Wenn die Datenschutzbestimmungen einer Organisation online verfügbar sind, müssen sie mit einem Hyperlink zur Website des Datenschutzschilds beim Ministerium versehen sein sowie mit einem Hyperlink zur Website oder dem Beschwerdeformular der unabhängigen Beschwerdestelle, die ungeklärte Beschwerden prüft.
Die Datenschutzgrundsätze werden bei Zertifizierung unverzüglich wirksam. In Anbetracht der Tatsache, dass sich die Grundsätze auf die Geschäftsbeziehungen zu Dritten auswirken, werden Organisationen, die sich innerhalb der ersten zwei Monate nach Inkrafttreten der Datenschutzschild-Regelung dafür zertifizieren, ihre bestehenden Geschäftsbeziehungen zu Dritten so bald wie möglich, spätestens jedoch neun Monate nach ihrer Zertifizierung gegenüber dem Datenschutzschild, mit dem Grundsatz der Verantwortlichkeit für die Weitergabe in Übereinstimmung bringen. In diesem Übergangszeitraum werden die Organisationen bei der Übermittlung von Daten an einen Dritten i) die Grundsätze der Informationspflicht und der Wahlmöglichkeit anwenden und sich ii) bei Übergabe personenbezogener Daten an einen Dritten, der in ihrem Auftrag und auf ihre Anweisung tätig ist, vergewissern, dass der Beauftragte mindestens das Schutzniveau gewährleistet, das in den Grundsätzen gefordert wird.
Eine Organisation muss die Grundsätze des Datenschutzschilds auf alle unter Bezugnahme auf den Datenschutzschild aus der EU empfangenen personenbezogenen Daten anwenden. Die Verpflichtung auf die Grundsätze des Datenschutzschilds gilt ohne zeitliche Begrenzung für personenbezogene Daten, die der Organisation übermittelt wurden, während sie in den Genuss der Vorteile des Datenschutzschilds gelangte. Diese Daten unterliegen den Grundsätzen so lange, wie die Organisation sie speichert, verarbeitet oder weitergibt, und das auch dann noch, wenn sie aus welchem Grund auch immer den Datenschutzschild verlässt. Eine Organisation, die aus dem Datenschutzschild ausscheidet, diese Daten aber behalten möchte, muss sich dem Handelsministerium gegenüber jährlich dazu verpflichten, die Grundsätze weiterhin anzuwenden, oder für den „angemessenen“ Schutz der Daten durch andere zulässige Mittel sorgen (z. B. durch einen Vertrag, der den Anforderungen der von der Europäischen Kommission gebilligten einschlägigen Standardklauseln vollauf genügt); andernfalls muss die Organisation die Daten zurückgeben oder löschen. Eine Organisation, die aus dem Datenschutzschild ausscheidet, muss aus den relevanten Datenschutzbestimmungen jede Bezugnahme auf den Datenschutzschild entfernen, die darauf hindeutet, dass sich die Organisationen weiterhin aktiv am Datenschutzschild beteiligt und Anspruch auf die damit verbundenen Vorteile hat.
Eine Organisation, die aufgrund einer Fusion oder einer Übernahme ihren Status als selbstständige rechtliche Einheit verliert, muss dies dem Ministerium vorher mitteilen. In dieser Mitteilung sollte auch darauf hingewiesen werden, ob die übernehmende Einheit bzw. die Einheit, die aus der Fusion hervorgeht, i) weiterhin nach dem Gesetz, das für die Fusion oder Übernahme maßgeblich war, an die Grundsätze des Datenschutzschilds gebunden ist oder ii) entscheidet, ihren Beitritt zu den Grundsätzen des Datenschutzschildes selbst zu zertifizieren, bzw. andere Garantien, beispielsweise durch schriftliche Vereinbarungen, schafft, die die Einhaltung der Grundsätze des Datenschutzschilds gewährleisten. Ist weder i) noch ii) der Fall, müssen alle Daten, die im Rahmen des Datenschutzschilds gesammelt wurden, unverzüglich gelöscht werden.
Wenn eine Organisation aus welchem Grund auch immer den Datenschutzschild verlässt, muss sie alle Erklärungen entfernen, die darauf hindeuten, dass sie sich weiter am Datenschutzschild beteiligt oder Ansprüche auf die damit verbundenen Vorteile hat. Wurde das Gütesiegel des EU-US-Datenschutzschilds verwendet, ist auch dies zu entfernen. Bei falschen Angaben über die Einhaltung der Datenschutzgrundsätze, die die Organisation gegenüber der Öffentlichkeit macht, können die FTC oder andere zuständige staatliche Stellen gegen sie vorgehen. Falsche Angaben gegenüber dem Ministerium unterliegen dem False Statements Act (18 U.S.C. § 1001).
Anlassunabhängige Kontrolle
Organisationen müssen sich anhand von Kontrollverfahren vergewissern, dass der von ihnen zugesicherte Datenschutz im Rahmen des Datenschutzschilds tatsächlich besteht und dass ihre Datenschutzpolitik tatsächlich umgesetzt worden ist und den Grundsätzen des Datenschutzschilds entspricht.
Die nach dem Grundsatz des Rechtschutzes, der Durchsetzung und der Haftung erforderliche anlassunabhängige Kontrolle muss eine Organisation entweder selbst durchführen oder von einer externen Stelle durchführen lassen.
Im Falle der Selbstkontrolle muss die Organisation in einer Erklärung feststellen, dass ihre veröffentlichten Datenschutzbestimmungen betreffend personenbezogene Daten aus der EU sachgerecht, umfassend, an auffälliger Stelle bekannt gemacht, vollständig umgesetzt und für jedermann zugänglich sind. Sie muss ferner feststellen, dass ihre Datenschutzbestimmungen den Grundsätzen des Datenschutzschilds entsprechen, dass betroffene Personen über interne Beschwerdeverfahren und Beschwerdeverfahren bei unabhängigen Schiedsstellen informiert werden, dass sie ihre Beschäftigten systematisch in der Praxis des Datenschutzes unterweist und Verstöße gegen die Datenschutzregeln ahndet und dass es bei ihr interne Verfahren gibt, nach denen die Einhaltung der Datenschutzvorschriften regelmäßig und objektiv überprüft wird. Die Selbstkontrolle muss mindestens einmal jährlich stattfinden, eine Erklärung über ihre Durchführung ist von einem leitenden Angestellten oder einem bevollmächtigten Vertreter der Organisation zu unterzeichnen; sie ist vorzulegen auf Verlangen von Einzelpersonen, im Rahmen einer Untersuchung oder bei einer Beschwerde wegen Nichteinhaltung von Datenschutzvorschriften.
Bei externer anlassunabhängiger Kontrolle ist nachzuweisen, dass die Bestimmungen der Organisation für den Schutz personenbezogener Daten aus der EU den Grundsätzen des Datenschutzschilds entsprechen, dass diese Regeln eingehalten werden und dass betroffene Personen über die Beschwerdewege informiert werden, die ihnen offenstehen. Dazu können ohne Einschränkung Buchprüfungen und Zufallskontrollen durchgeführt sowie „Köder“ und jede Art von technischen Hilfsmitteln eingesetzt werden. Die externe Kontrolle muss mindestens einmal jährlich stattfinden, eine Erklärung über ihre Durchführung ist entweder vom Prüfer oder von einem leitenden Angestellten bzw. einem bevollmächtigten Vertreter der Organisation zu unterzeichnen; sie ist vorzulegen auf Verlangen von Einzelpersonen, im Rahmen einer Untersuchung oder bei einer Beschwerde wegen Nichteinhaltung von Datenschutzvorschriften.
Organisationen müssen die Umsetzung ihrer nach den Grundsätzen des Datenschutzschilds konzipierten Datenschutzbestimmungen dokumentieren und im Fall einer Untersuchung oder einer Beschwerde wegen Verletzung der Datenschutzvorschriften ihre Unterlagen der unabhängigen Schiedsstelle übergeben, die für die Prüfung von Beschwerden zuständig ist, oder der gesetzlichen Aufsichtsbehörde, die bei unlauterem und irreführendem Geschäftsgebaren entscheidungsbefugt ist. Die Organisationen müssen zudem unverzüglich auf Anfragen und andere Auskunftsbegehren des Ministeriums reagieren, die sich auf die Einhaltung der Grundsätze beziehen.
Auskunftsrecht
Das Auskunftsrecht in der Praxis
Nach den Grundsätzen des Datenschutzschilds ist das Auskunftsrecht grundlegend für den Schutz der Privatsphäre. Es ermöglicht dem Einzelnen, die Richtigkeit von Daten zu überprüfen, die über ihn gespeichert sind. Das Auskunftsrecht bedeutet, dass Privatpersonen einen Anspruch darauf haben,
von einer Organisation bestätigt zu bekommen, ob diese personengebundene Daten der betroffenen Person verarbeitet oder nicht [4];
dass ihnen diese Daten übermittelt werden, damit sie deren Richtigkeit und die Rechtmäßigkeit der Verarbeitung überprüfen können;
die Daten korrigieren, ändern oder löschen zu lassen, wenn sie falsch sind oder unter Verletzung der Grundsätze verarbeitet wurden.
Wer Zugang zu den ihn betreffenden Daten verlangt, muss das nicht begründen. Verlangt jemand Zugang zu den über ihn gespeicherten Daten, sollte sich die angesprochene Organisation zunächst fragen, welche Gründe die Person dazu veranlassen. Ist beispielsweise eine Anfrage vage formuliert oder betrifft sie einen sehr weiten Bereich, so kann die Organisation mit der Person in Dialog treten, um die Gründe für die Anfrage besser zu verstehen und die gewünschten Daten zu ermitteln. Die Organisation kann sich danach erkundigen, mit welchen Teilen der Organisation die Person Kontakt hatte oder um welche Art von Daten bzw. deren Nutzung es geht.
Wegen seines grundlegenden Charakters sollen Organisationen das Auskunftsrecht nie ohne Not beschränken. Müssen z. B. bestimmte Daten geschützt werden und lassen sie sich leicht von den personenbezogenen Daten trennen, zu denen Zugang verlangt wird, sollte die Organisation die geschützten Daten unkenntlich machen und die übrigen zur Verfügung stellen. Beschließt eine Organisation in einem bestimmten Fall, den Zugang einzuschränken, sollte sie der Person, die um Zugang ersucht hat, ihre Entscheidung begründen und ihr eine Kontaktstelle nennen, die weitere Auskünfte erteilt.
Aufwand oder Kosten für die Gewährung des Zugangs
Das Recht auf Zugang zu personenbezogenen Daten darf nur in Ausnahmefällen eingeschränkt werden, wenn legitime Rechte Dritter verletzt würden oder wenn die Zugangsgewährung mit Kosten oder Aufwand verbunden ist, die im Einzelfall in keinem Verhältnis zum Nachteil für die Privatsphäre des Betroffenen stehen. Zwar sind bei der Beurteilung der Zumutbarkeit die Kosten und der Aufwand zu berücksichtigen, die die Gewährung des Zugangs erfordert, sie sind aber nicht entscheidend.
Bilden die personenbezogenen Daten etwa die Grundlage für Entscheidungen, die für die Person von großer Tragweite sind (z. B. die Gewährung oder Versagung erheblicher Vorteile wie eine Versicherung, einen Kredit oder einen Arbeitsplatz), dann ist es der Organisation im Einklang mit den anderen Bestimmungen dieser Zusatzgrundsätze zumutbar, über diese Daten Auskunft zu geben, selbst wenn das einen relativ hohen Kosten- und Arbeitsaufwand erfordert. Wenn die angeforderten personenbezogenen Daten nicht sensibel sind oder nicht für Entscheidungen verwendet werden, die für die Person von großer Tragweite sind, die Daten aber leicht zugänglich sind und kostengünstig zur Verfügung gestellt werden können, muss die Organisation Zugang zu diesen Daten gewähren.
Vertrauliche Geschäftsdaten
Vertrauliche Geschäftsdaten sind Daten, die ihr Inhaber durch besondere Vorkehrungen vor unbefugtem Zugriff geschützt hat, weil ihre Kenntnis Konkurrenten Vorteile verschaffen würde. Eine Organisation kann den Zugang zu personenbezogenen Daten verwehren oder einschränken, wenn durch einen vollständigen Zugang eigene vertrauliche Geschäftsdaten, wie z. B. von der Organisation erarbeitete Marketingkonzepte und Klassifikationen, oder aber Geschäftsdaten anderer, die einer vertraglichen Geheimhaltungspflicht unterliegen, offenbart würden.
Können vertrauliche Geschäftsdaten leicht von den personengebundenen Daten getrennt werden, zu denen Zugang verlangt wird, sollte die Organisation die vertraulichen Daten unkenntlich machen und die nichtvertraulichen zur Verfügung stellen.
Datenbanken von Organisationen
Es genügt, wenn Organisationen der betreffenden Person mitteilen, welche personenbezogenen Daten über sie gespeichert sind; der Person muss kein Zugang zur Datenbank der Organisation gewährt werden.
Die Organisation muss nur Auskunft über die von ihr gespeicherten personenbezogenen Daten geben. Das Auskunftsrecht begründet keine Pflicht, Dateien mit personenbezogenen Daten aufzubewahren, zu pflegen oder erforderlichenfalls umzustrukturieren.
Wann eine Beschränkung des Zugangs möglich ist
Da Organisationen sich immer redlich bemühen müssen, Privatpersonen Zugang zu ihren personenbezogenen Daten zu verschaffen, ist eine Beschränkung des Zugangs nur in wenigen Fällen möglich und muss stets konkret begründet werden. Wie entsprechend der Richtlinie kann eine Organisation den Zugang zu personenbezogenen Daten insoweit beschränken, als ihre Bekanntgabe wesentliche öffentliche Belange gefährden würde wie die nationale Sicherheit, die Verteidigung oder die öffentliche Sicherheit. Außerdem kann der Zugang verwehrt werden, wenn personenbezogene Daten ausschließlich für wissenschaftliche oder statistische Zwecke verarbeitet werden sollen. Weitere Gründe für die Verweigerung oder Beschränkung des Zugangs sind:
Beeinträchtigung des Rechtsvollzugs oder der Rechtsvollstreckung oder eines zivilrechtlichen Verfahrens, einschließlich der Abwehr, Untersuchung und Verfolgung von Straftaten, oder des Rechts auf einen fairen Prozess;
die Bekanntgabe der Daten würde die legitimen Rechte oder wichtigen Interessen anderer verletzen;
gesetzliche oder andere berufliche Rechte und Pflichten werden verletzt;
die Sicherheitsprüfung von Arbeitnehmern oder ein Beschwerdeverfahren oder die Vertraulichkeit im Zusammenhang mit der Neubesetzung von Stellen oder der Umstrukturierung von Organisationen werden beeinträchtigt; oder
die Vertraulichkeit ist gefährdet, die bei der Überwachung, bei der Prüfung und bei sonstigen gesetzlich vorgeschriebenen Ordnungsfunktionen im Zusammenhang mit der ordnungsgemäßen Wirtschaftsführung oder bei künftigen oder laufenden Verhandlungen über die Organisation erforderlich ist.
Eine Organisation, die sich auf einen dieser Ausnahmefälle beruft, muss nachweisen, dass er tatsächlich vorliegt, und der anfragenden Person die Gründe für die Beschränkung des Zugangs sowie eine Anlaufstelle für weitere Fragen mitteilen.
Recht auf Erhalt einer Bestätigung sowie Erhebung einer Gebühr zur Deckung der Kosten der Zugangserteilung
Personen haben das Recht, eine Bestätigung darüber zu erhalten, ob die Organisation sie betreffende personenbezogene Daten besitzt. Ebenso haben Personen ein Recht darauf, dass ihnen die sie betreffenden personenbezogenen Daten mitgeteilt werden. Eine Organisation kann eine Gebühr erheben, die nicht überhöht sein darf.
Die Erhebung einer Gebühr kann beispielsweise gerechtfertigt sein, wenn das Auskunftsbegehren offenkundig überzogen ist, insbesondere bei ständiger Wiederholung.
Der Zugang darf nicht aus Kostengründen verwehrt werden, wenn die Personen, die den Zugang verlangen, bereit sind, diese Kosten zu übernehmen.
Wiederholte oder belästigende Auskunftsbegehren
Eine Organisation kann die Zahl der Anfragen einer Person innerhalb eines bestimmten Zeitraums angemessen begrenzen. Bei der Festlegung dieser Grenze sind Faktoren zu berücksichtigen wie die Häufigkeit, mit der Daten aktualisiert werden, der Zweck, für den die Daten verwendet werden, und die Art der Daten.
Auskunftserschleichung
Eine Organisation muss nur Auskunft erteilen, wenn die anfragende Person ihre Identität zweifelsfrei nachweist.
Frist für die Auskunftserteilung
Eine Organisation soll innerhalb angemessener Frist auf angemessene und eine für die anfragenden Personen leicht verständliche Weise auf Auskunftsbegehren antworten. Organisationen, die betroffene Personen regelmäßig informieren, können einem einzelnen Auskunftsbegehren im Rahmen ihrer regelmäßigen Auskünfte nachkommen, wenn es dadurch nicht zu einer übermäßigen Verzögerung kommt.
Personaldaten
Abdeckung durch den Datenschutzschild
Übermittelt eine in der EU ansässige Organisation im Rahmen des Beschäftigungsverhältnisses erhobene personenbezogene Daten über ihre (früheren oder derzeitigen) Beschäftigten an eine Mutterorganisation, eine verbundene Organisation oder eine nicht verbundene Dienstleistungsorganisation in den USA, die sich auf die Grundsätze des Datenschutzschilds verpflichtet hat, so fällt diese Übermittlung in den Anwendungsbereich der Grundsätze des Datenschutzschilds. In einem solchen Fall gelten für die Erhebung der Daten und ihre Verarbeitung vor der Übermittlung die Rechtsvorschriften des EU-Mitgliedstaats, aus dem sie stammen; sämtliche nach diesen Rechtsvorschriften geltende Bedingungen und Beschränkungen der Übermittlung müssen beachtet werden.
Die Grundsätze des Datenschutzschilds gelten nur für die Übermittlung von und den Zugriff auf Daten über identifizierte oder identifizierbare Einzelpersonen. Die Verwendung von statistischen Informationen, die auf aggregierten Beschäftigungsdaten beruhen und keine personenbezogenen Daten enthalten, oder von anonymisierten Daten ist unter dem Datenschutzaspekt unbedenklich.
Anwendung der Grundsätze der Informationspflicht und des Wahlrechts
Eine Organisation in den USA, die unter Anwendung der Grundsätze des Datenschutzschilds Personaldaten aus der EU empfangen hat, darf diese Dritten nur offenlegen oder diese nur für andere Zwecke nutzen, wenn das mit den Grundsätzen der Informationspflicht und der Wahlmöglichkeit vereinbar ist. Will beispielsweise eine Organisation in den USA Personaldaten einer Organisation in der EU für Zwecke wie Direktmarketing nutzen, muss sie zuvor den betroffenen Personen die Wahlmöglichkeit geben, es sei denn, diese haben bereits der Nutzung der Daten für die jeweiligen Zwecke zugestimmt. Diese Nutzung darf nicht mit den Zwecken unvereinbar sein, zu denen die personengebundenen Daten erhoben wurden oder denen der Betroffene nachträglich zugestimmt hat. Macht ein Beschäftigter von seinem Recht Gebrauch, die Erlaubnis zu versagen, darf das keine Minderung seiner Berufschancen und keine Sanktionen gegen ihn zur Folge haben.
Es ist darauf hinzuweisen, dass aufgrund einiger allgemeingültiger Bedingungen für die Übermittlung von Daten durch bestimmte EU-Mitgliedstaaten die Nutzung der Daten für andere Zwecke auch nach der Übermittlung in Länder außerhalb der EU ausgeschlossen werden kann; solche Bedingungen müssen eingehalten werden.
Außerdem ist den individuellen Datenschutzbedürfnissen der Arbeitnehmer angemessen Rechnung zu tragen. Auf Wunsch könnte etwa der Zugriff auf bestimmte personenbezogene Daten beschränkt werden oder Daten könnten anonymisiert oder Codes/Pseudonymen zugeordnet werden, wenn der tatsächliche Name für den vorgesehenen Zweck nicht benötigt wird.
Die Organisation ist in dem Maß und so lange von der Pflicht zur Information und zur Beachtung der Wahlmöglichkeit befreit, wie es für Beförderungen, Ernennungen und ähnliche Personalentscheidungen notwendig ist.
Anwendung des Auskunftsrechts
Im Zusatzgrundsatz „Auskunftsrecht“ wird ausgeführt, aus welchen Gründen der Zugang zu Personaldaten beschränkt oder verwehrt werden kann. Selbstverständlich müssen Arbeitgeber in der Europäischen Union Arbeitnehmern aus der EU nach den Rechtsvorschriften ihres Landes Zugang zu Personaldaten gewähren, unabhängig davon, wo diese Daten verarbeitet oder gespeichert werden. Nach den Grundsätzen des Datenschutzschilds muss eine Organisation, die solche Daten in den USA verarbeitet, diesen Zugang direkt oder unter Einschaltung des EU-Arbeitgebers gewährleisten.
Rechtsdurchsetzung
Soweit personenbezogene Daten nur im Rahmen des Beschäftigungsverhältnisses verwendet werden, bleibt gegenüber dem Arbeitnehmer in erster Linie die in der EU ansässige Organisation verantwortlich. Folglich ist ein europäischer Arbeitnehmer, der gegen die Verwendung der ihn betreffenden Daten Beschwerde erhoben hat (organisationsintern, bei einer externen Stelle oder nach einem tarifvertraglich vorgesehenen Verfahren) und mit dem Ergebnis nicht zufrieden ist, an den zuständigen Datenschutzbeauftragten oder die für arbeitsrechtliche Fragen zuständige Behörde des Landes zu verweisen, in dem er beschäftigt ist. Das gilt auch, wenn für den als unzulässig betrachteten Umgang mit den personenbezogenen Daten die US-Organisation verantwortlich ist, die die Informationen von dem Arbeitgeber erhalten hat, und somit ein Verstoß gegen die Grundsätze des Datenschutzschilds vorliegt. So lässt sich am ehesten klären, wie die einander überschneidenden Bestimmungen des Arbeitsrechts, der Tarifverträge und des Datenschutzrechts miteinander in Einklang zu bringen sind.
Eine auf die Grundsätze des Datenschutzschilds verpflichtete amerikanische Organisation, die Personaldaten, die im Rahmen eines Beschäftigungsverhältnisses aus der Europäischen Union übermittelt wurden, verwendet und wünscht, dass auf solche Übermittlungen die Grundsätze des Datenschutzschilds angewandt werden, muss sich also verpflichten, gegebenenfalls bei Untersuchungen der in der EU jeweils zuständigen Behörden mitzuwirken und deren Empfehlungen zu befolgen.
Anwendung des Grundsatzes der Verantwortlichkeit für die Weitergabe
Bei gelegentlichen beschäftigungsbezogenen operativen Erfordernissen der dem Datenschutzschild angehörenden Organisation im Hinblick auf im Rahmen des Datenschutzschilds übertragene personenbezogene Daten, wie z. B. die Buchung von Flügen, Hotelzimmern oder den Abschluss von Versicherungen, kann die Übertragung personenbezogener Daten einer geringen Zahl von Arbeitnehmern an für die Verarbeitung Verantwortliche ohne Anwendung des Auskunftsrechtgrundsatzes oder Abschluss eines Vertrags mit dem als für die Verarbeitung Verantwortlicher tätigen Dritten erfolgen, wie es ansonsten entsprechend dem Grundsatz der Verantwortlichkeit für die Weitergabe notwendig wäre, vorausgesetzt, die dem Datenschutzschild angehörende Organisation hat die Grundsätze der Informationspflicht und der Wahlmöglichkeit eingehalten.
Obligatorische Verträge bei Weitergabe
Datenverarbeitung im Auftrag
Wenn personenbezogene Daten aus der EU in den USA im Auftrag verarbeitet werden sollen, muss dafür ein Vertrag geschlossen werden unabhängig davon, ob der Auftragsverarbeiter der Vereinbarung zum Datenschutzschild beigetreten ist oder nicht.
Werden Daten lediglich zur Verarbeitung im Auftrag übermittelt, muss der in der Europäischen Union für die Verarbeitung Verantwortliche darüber stets einen Vertrag schließen, gleich ob die Verarbeitung in oder außerhalb der EU stattfindet und ob der Auftragsverarbeiter dem Datenschutzschild angehört oder nicht. Mit dem Vertrag soll sichergestellt werden, dass der Auftragsverarbeiter
nur auf Weisung des für die Verarbeitung Verantwortlichen handelt;
die geeigneten technischen und organisatorischen Mittel bereitstellt, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang erforderlich sind und weiß, ob eine Weitergabe zulässig ist;
unter Berücksichtigung der Art der Verarbeitung den für die Verarbeitung Verantwortlichen dabei unterstützt, auf Privatpersonen einzugehen, die ihre Rechte im Rahmen der Grundsätze wahrnehmen.
Da die dem Datenschutzschild angehörenden Organisationen einen angemessenen Schutz gewähren, ist bei reinen Verarbeitungsverträgen mit diesen Organisationen keine vorherige Genehmigung erforderlich (oder die Genehmigung wird von dem jeweiligen EU-Mitgliedstaat automatisch erteilt), wie sie bei Verträgen mit Empfängern, die sich nicht auf die Grundsätze des Datenschutzschilds verpflichtet haben bzw. nicht auf andere Weise einen angemessenen Schutz bieten, erforderlich wäre.
Datenübermittlung innerhalb einer kontrollierten Gruppe von Unternehmen
Werden personengebundene Daten zwischen zwei für die Verarbeitung Verantwortlichen innerhalb einer kontrollierten Gruppe von Unternehmen übermittelt, ist ein Vertrag nach dem Grundsatz der Vertraulichkeit der Weitergabe nicht immer erforderlich. Für die Verarbeitung Verantwortliche innerhalb einer kontrollierten Gruppe von Unternehmen können für diese Übermittlungen andere Instrumente zugrunde legen, wie z. B. verbindliche unternehmensinterne Vorschriften der EU oder andere konzerninterne Instrumente (z. B. Compliance- und Kontrollprogramme), um die Kontinuität des Schutzes personenbezogener Daten im Rahmen der Grundsätze zu sichern. Bei einer derartigen Übermittlung bleibt die dem Datenschutzschild angehörende Organisation für die Einhaltung der Grundsätze verantwortlich.
Datenübermittlung zwischen für die Verarbeitung Verantwortlichen
Bei der Übermittlung von Daten zwischen für die Verarbeitung Verantwortlichen muss der Empfänger keine dem Datenschutzschild angehörende Organisation sein oder über eine unabhängige Beschwerdestelle verfügen. Die dem Datenschutz angehörende Organisation muss einen Vertrag mit dem empfangenden externen für die Verarbeitung Verantwortlichen schließen, der das gleiche Schutzniveau wie im Rahmen des Datenschutzschilds vorsieht, wobei es nicht erforderlich ist, dass der als für die Verarbeitung Verantwortlicher tätige Dritte eine dem Datenschutzschild angehörende Organisation ist oder über eine unabhängige Beschwerdestelle verfügen muss, vorausgesetzt, er stellt ein gleichwertiges Beschwerdeverfahren zur Verfügung.
Beschwerdeverfahren und Durchsetzung
Im Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung ist festgelegt, wie dem Datenschutzschild Geltung zu verschaffen ist. Wie Punkt a)ii) des Grundsatzes zu entsprechen ist, wird im Zusatzgrundsatz „Anlassunabhängige Kontrolle“ ausgeführt. Der vorliegende Zusatzgrundsatz befasst sich mit den Punkten a)i) und a)iii), die beide die Forderung nach unabhängigen Beschwerdestellen enthalten. Das Beschwerdeverfahren kann auf verschiedene Weise ausgestaltet werden, es muss aber die im Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung genannten Anforderungen erfüllen. Organisationen erfüllen die Anforderungen wie folgt: i) indem sie von der Privatwirtschaft entwickelte Datenschutzprogramme befolgen, in deren Regeln die Grundsätze des Datenschutzschilds integriert sind und die wirksame Durchsetzungsmechanismen vorsehen, wie sie im Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung beschrieben sind; ii) indem sie sich gesetzlich oder durch Rechtsverordnung vorgesehenen Kontrollorganen unterwerfen, die Beschwerden von Einzelpersonen nachgehen und Streitigkeiten schlichten; iii) indem sie sich verpflichten, mit den Datenschutzbehörden in der Europäischen Union oder mit deren bevollmächtigten Vertretern zusammenzuarbeiten.
Die hier angeführten Möglichkeiten sind Beispiele, es handelt sich nicht um eine abschließende Aufzählung. Die Privatwirtschaft kann auch andere Durchsetzungsmechanismen einführen, sie müssen nur die Forderungen erfüllen, die im Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung und in den Zusatzgrundsätzen niedergelegt sind. Zu beachten ist, dass die Forderungen des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung die Forderung ergänzen, wonach auch bei freiwilliger Selbstkontrolle Verstöße gegen die Grundsätze gemäß § 5 des Federal Trade Commission Act oder einem ähnlichen Gesetz verfolgbar sein müssen.
Um die Einhaltung ihrer Verpflichtungen im Rahmen des Datenschutzschilds zu gewährleisten und die Verwaltung des Programms zu unterstützen, müssen Organisationen sowie deren unabhängige Beschwerdestellen dem Ministerium auf Anfrage Informationen zum Datenschutzschild übermitteln. Darüber hinaus müssen die Organisationen umgehend auf von den Datenschutzbehörden über das Ministerium an sie weitergeleitete Beschwerden bezüglich ihrer Einhaltung der Grundsätze antworten. In der Antwort soll darauf eingegangen werden, ob die Beschwerde begründet ist, und wenn ja, wie die Organisation den Missstand zu beheben gedenkt. Das Ministerium wird die Vertraulichkeit der bei ihm eingegangenen Informationen gemäß dem US-Recht wahren.
Anrufung unabhängiger Beschwerdestellen
Die Verbraucher sollen dazu angehalten werden, Beschwerden zunächst an die Organisation zu richten, die ihre Daten verarbeitet, ehe sie eine unabhängige Beschwerdestelle anrufen. Organisationen müssen dem Verbraucher innerhalb von 45 Tagen nach Eingang einer Beschwerde antworten. Die Unabhängigkeit einer Beschwerdestelle ist an verschiedenen Merkmalen erkennbar wie Unparteilichkeit, transparente Besetzung und Finanzierung oder nachweisbare einschlägige Tätigkeit. Wie im Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung gefordert, müssen einem Beschwerdeführer kostenlose Rechtsbehelfe ohne Weiteres zur Verfügung stehen. Eine Beschwerdestelle muss jede von einer Einzelperson vorgetragene Beschwerde prüfen, es sei denn, sie ist offensichtlich unbegründet oder nicht ernsthaft. Der Betreiber der Beschwerdestelle kann allerdings Kriterien für die Zulässigkeit von Beschwerden festlegen. Diese Kriterien sollen transparent und einsichtig sein (z. B. Ausschluss von Beschwerden, die nicht unter das jeweilige Datenschutzprogramm fallen oder die in die Zuständigkeit einer anderen Stelle fallen) und sollen nicht zu einer Lockerung der Pflicht führen, berechtigten Beschwerden nachzugehen. Beschwerdestellen sollen Beschwerdeführer zudem umfassend und in leicht zugänglicher Form über den Ablauf des Verfahrens informieren. Zu diesen Informationen gehören auch Angaben über die Datenschutzpraxis der Beschwerdestelle im Einklang mit den Grundsätzen des Datenschutzschilds. Ferner sind die Stellen gehalten, sich an der Erarbeitung von Hilfsmitteln, die das Verfahren vereinfachen, wie z. B. Standardformularen für Beschwerden, zu beteiligen.
Unabhängige Beschwerdestellen müssen auf ihren öffentlichen Websites Informationen zu den Grundsätzen des Datenschutzschilds und zu den von ihnen in diesem Rahmen erbrachten Dienstleistungen veröffentlichen. Diese Informationen müssen Folgendes umfassen: 1) Angaben über die Anforderungen an unabhängige Beschwerdestellen in den Grundsätzen des Datenschutzschilds oder einen Link zu diesen Anforderungen; 2) einen Link zur Datenschutzschild-Website des Ministeriums; 3) einen Hinweis, dass das Beschwerdeverfahren im Rahmen des Datenschutzschilds für Privatpersonen kostenlos ist; 4) eine Beschreibung, wie eine Beschwerde im Zusammenhang mit dem Datenschutzschild eingereicht werden kann; 5) Bearbeitungsfristen für Beschwerden im Zusammenhang mit dem Datenschutzschild; 6) eine Beschreibung der Palette möglicher Abhilfemaßnahmen.
Die unabhängigen Beschwerdestellen müssen alljährlich einen Bericht vorlegen, der zusammengefasste statistische Angaben zu ihren Dienstleistungen beinhaltet. Der Jahresbericht muss folgende Angaben enthalten: 1) die Gesamtzahl der im Berichtsjahr eingegangen Beschwerden, die den Datenschutzschild betreffen; 2) die eingegangen Beschwerden nach Kategorien; 3) qualitative Angaben zur Streitbeilegung, z. B. die Bearbeitungsdauer von Beschwerden; 4) die Ergebnisse der eingegangenen Beschwerden, namentlich Anzahl und Art der verfügten Abhilfemaßnahmen oder Sanktionen.
Wie in Anlage I ausgeführt, steht Privatpersonen ein Schiedsverfahren offen, anhand dessen bei Restansprüchen festgestellt wird, ob eine dem Datenschutzschild angehörende Organisation ihre Pflichten im Rahmen der Grundsätze gegenüber der betreffenden Person verletzt hat und ob diese Verletzung vollständig oder teilweise ungeahndet bleibt. Diese Option steht nur für diese Zwecke zur Verfügung, nicht jedoch beispielsweise bei den geregelten Abweichungen von den Grundsätzen [5] oder im Hinblick auf eine Behauptung zur Angemessenheit des Datenschutzschilds. Im Rahmen dieses Schiedsverfahrens ist das Datenschutzschild-Panel (bestehend aus einem oder drei von den Parteien ausgewählten Schiedsrichtern) befugt, einzelfallabhängige nichtmonetäre billigkeitsrechtliche Ansprüche (wie z. B. Zugang, Korrektur, Löschung oder Rückgabe der betreffenden Daten der Person) anzuerkennen, um die Verstöße gegen die Grundsätze abzustellen. Privatpersonen und dem Datenschutzschild angehörende Organisationen können eine gerichtliche Überprüfung und Durchsetzung der Schiedsentscheidungen nach US-Recht gemäß Federal Arbitration Act beantragen.
Rechtsbehelfe und Sanktionen
Die Inanspruchnahme eines Rechtsbehelfs soll dazu führen, dass die Organisation, gegen die sich die Beschwerde richtet, die Folgen ihres Verstoßes gegen die Grundsätze soweit möglich abstellt oder rückgängig macht und die den Beschwerdeführer betreffenden Daten künftig entweder im Einklang mit den Grundsätzen schützt oder nicht mehr verarbeitet. Sanktionen müssen so empfindlich sein, dass sie die Einhaltung der Grundsätze gewährleisten. Den Beschwerdestellen stehen Sanktionen von abgestufter Strenge zur Verfügung, mit denen sie gegen Verstöße von unterschiedlicher Schwere angemessen vorgehen können. Als Sanktionen kommen in Frage die öffentliche Bekanntmachung des Verstoßes, in bestimmten Fällen die Anordnung der Löschung der betreffenden Daten [6], der vorübergehende oder dauernde Entzug der Zugehörigkeit zur Zuständigkeit einer Beschwerdestelle, Entschädigungen für Personen, denen durch die Nichteinhaltung der Grundsätze ein Schaden entstanden ist, und Auflagen. Beschwerdestellen und Einrichtungen der freiwilligen Selbstkontrolle des privaten Sektors müssen bei Missachtung ihrer Entscheidungen die Gerichte anrufen oder die zuständige entscheidungsbefugte Behörde verständigen und das Ministerium unterrichten.
Befassung der FTC
Die FTC will Beschwerden wegen Verletzung der Grundsätze, die an sie verwiesen wurden i) von Einrichtungen der Selbstkontrolle für den Datenschutz und anderen unabhängigen Beschwerdestellen, ii) von EU-Mitgliedstaaten, iii) vom Ministerium, vorrangig behandeln und feststellen, ob gegen § 5 des FTC Act verstoßen wurde, der unlautere und irreführende Geschäftspraktiken verbietet. Hat die FTC Grund zu der Annahme, dass ein solcher Verstoß vorliegt, kann sie eine behördliche Anordnung erwirken, die die beanstandete Praxis untersagt, oder sie kann vor einem Bezirksgericht klagen. Entscheidet das Gericht in ihrem Sinne, kann ein Bundesgericht eine Anordnung mit gleicher Wirkung erlassen. Dazu gehören falsche Angaben zur Einhaltung der Grundsätze des Datenschutzschilds oder zur Beteiligung am Datenschutzschild von Organisationen, die entweder nicht mehr auf der Datenschutzschild-Liste stehen oder nie eine Selbstzertifizierung gegenüber dem Ministerium abgegeben haben. Gegen die Missachtung einer behördlichen Unterlassungsanordnung kann die FTC Geldstrafen verhängen; gegen die Missachtung der Anordnung eines Bundesgerichts kann sie zivil- und strafrechtlich vorgehen. Die FTC unterrichtet das Ministerium über von ihr unternommene Schritte. Andere Behörden sind angehalten, dem Ministerium das abschließende Ergebnis in solchen Fällen und sonstige Entscheidungen über die Beachtung der Grundsätze des Datenschutzschilds mitzuteilen.
Fortgesetzte Missachtung der Grundsätze
Missachtet eine Organisation fortgesetzt die Grundsätze, verliert sie die mit dem Datenschutzschild verbundenen Vorteile. Organisationen, die fortwährend gegen die Grundsätze verstoßen haben, werden vom Ministerium von der Datenschutzschild-Liste gestrichen und müssen die im Rahmen des Datenschutzschilds empfangenen personenbezogenen Daten zurückgeben oder löschen.
Eine fortgesetzte Missachtung liegt vor, wenn sich eine Organisation, die sich gegenüber dem Ministerium selbst zertifiziert hat, weigert, der endgültigen Entscheidung einer Einrichtung der freiwilligen Selbstkontrolle, einer unabhängigen Beschwerdestelle oder eines staatlichen Kontrollorgans zu folgen, oder wenn von einer solchen Stelle festgestellt wird, dass die Organisation so häufig gegen die Grundsätze verstößt, die es einzuhalten vorgibt, dass diese Behauptung nicht mehr glaubwürdig ist. In diesen Fällen muss die Organisation das dem Ministerium unverzüglich mitteilen. Die Unterlassung dieser Mitteilung kann nach dem False Statements Act strafrechtlich verfolgt werden (18 U.S.C § 1001). Beteiligt sich eine Organisation nicht mehr an einem Programm der freiwilligen Selbstkontrolle für den Datenschutz oder an der unabhängigen Streitbeilegung, liegt eine fortgesetzte Missachtung der Grundsätze vor, da die Verpflichtung zur Einhaltung fortbesteht.
Bei Eingang einer Mitteilung über die fortgesetzte Missachtung der Grundsätze wird das Ministerium die betreffende Organisation von der Datenschutzschild-Liste streichen, unabhängig davon, ob die Mitteilung durch die Organisation selbst, durch eine Einrichtung der freiwilligen Selbstkontrolle für den Datenschutz bzw. eine andere unabhängige Beschwerdestelle oder durch ein staatliches Kontrollorgan erfolgt. Das geschieht jedoch erst, nachdem die 30-tägige Frist abgelaufen ist, in der die betroffene Organisation Gelegenheit hat zu reagieren. Aus der Datenschutzschild-Liste des Ministeriums lässt sich also ersehen, welche Organisationen als Beteiligte am Datenschutzschild anerkannt sind und welche diese Anerkennung verloren haben.
Eine Organisation, die sich einer Einrichtung der freiwilligen Selbstkontrolle anschließt, um sich erneut für den Datenschutzschild zu qualifizieren, muss dieser Einrichtung ihre frühere Teilnahme am Datenschutzschild vollständig offenbaren.
Wahlmöglichkeit – Zeitpunkt des Widerspruchs
Allgemein soll der Grundsatz der Wahlmöglichkeit gewährleisten, dass personenbezogene Daten in einer Weise genutzt und weitergegeben werden, die mit den Erwartungen und Entscheidungen des Betroffenen übereinstimmt. Dementsprechend sollte der Betroffene zu jeder Zeit entscheiden können, ob seine personenbezogenen Daten für das Direktmarketing verwendet werden dürfen oder nicht; hierfür können die Organisationen aber eine angemessene Frist festlegen, die sie zur effektiven Berücksichtigung eines Widerspruchs („Opt-out“) benötigen. Daneben kann die Organisation hinreichende Informationen anfordern, die die Identität der Person bestätigen, die Widerspruch einlegt. In den Vereinigten Staaten können Betroffene von der Wahlmöglichkeit Gebrauch machen, indem sie auf ein zentrales „Widerspruchsprogramm“ zurückgreifen, wie dem Mail Preference Service der Direct Marketing Association. Organisationen, die an dem Mail Preference Service teilnehmen, sollten Verbraucher, die keine kommerziellen Informationen erhalten möchten, auf diesen Dienst hinweisen. Auf jeden Fall sollte den Betroffenen ein leicht zugänglicher und erschwinglicher Mechanismus zur Verfügung gestellt werden, um diese Möglichkeit nutzen zu können.
Gleichermaßen kann eine Organisation Daten für bestimmte Zwecke des Direktmarketing verwenden, wenn es unmöglich ist, dem Betroffenen vor Nutzung der Daten eine Widerspruchsmöglichkeit einzuräumen, sofern die Organisation dem Betroffenen unmittelbar danach (und auf Verlangen jederzeit) die Möglichkeit einräumt, den Erhalt weiterer Direktwerbung (ohne Kosten für den Verbraucher) abzulehnen, und die Organisation den Wünschen des Betroffenen nachkommt.
Reisedaten
Flugreservierungsdaten und andere Reisedaten wie Daten über Vielflieger, über Hotelreservierungen und über spezielle Bedürfnisse wie religiös begründete besondere Speisewünsche oder die Notwendigkeit pflegerischer Betreuung dürfen in bestimmten Fällen an Organisationen außerhalb der EU weitergegeben werden. Nach Artikel 26 der Richtlinie dürfen personenbezogene Daten in ein Drittland übermittelt werden, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, wenn i) die Übermittlung für die Erfüllung eines Vertrags wie der Vielflieger-Vereinbarung notwendig ist oder ii) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat. US-Organisationen, die sich den Grundsätzen des Datenschutzschilds angeschlossen haben, gewährleisten einen angemessenen Schutz personenbezogener Daten und können deshalb solche Daten aus der EU empfangen, ohne dass diese Voraussetzungen oder die in Artikel 26 der Datenschutzrichtlinie genannten Voraussetzungen erfüllt sein müssen. Da das Konzept des Datenschutzschilds besondere Regeln für den Umgang mit sensiblen Daten vorsieht, können auch solche Daten (die etwa für die pflegerische Betreuung eines Kunden benötigt werden) an Organisationen übermittelt werden, die am Datenschutzschild teilnehmen. Allerdings ist die übermittelnde Organisation stets dem Recht des EU-Mitgliedstaats unterworfen, in dem sie tätig ist, und das kann unter anderem bedeuten, dass sie im Umgang mit sensiblen Daten besondere Vorschriften zu beachten hat.
Arzneimittel und Medizinprodukte
Anwendung des Rechts der EU-Mitgliedstaaten oder der Grundsätze des Datenschutzschilds
Das Recht der EU-Mitgliedstaaten gilt für die Erhebung der personenbezogenen Daten und für ihre Verarbeitung vor der Übermittlung in die USA. Die Grundsätze des Datenschutzschilds gelten, nachdem die Daten in die USA übermittelt worden sind. Daten, die für die pharmazeutische Forschung oder sonstige Zwecke benutzt werden, sollten gegebenenfalls anonymisiert werden.
Künftige Forschungsarbeiten
In medizinischen und pharmazeutischen Studien gewonnene personenbezogene Daten sind oft sehr wertvoll für künftige Forschungsarbeiten. Wenn für ein Forschungsvorhaben erhobene personenbezogene Daten an eine dem Datenschutzschild beigetretene US-Organisation übermittelt werden, darf die Organisation diese Daten für ein anderes Forschungsvorhaben verwenden, wenn das dem Betroffenen schon zu Anfang ordnungsgemäß mitgeteilt und wenn ihm eine Wahlmöglichkeit eingeräumt wurde. Eine Mitteilung muss Angaben über die künftige Verwendung der Daten enthalten wie Angaben über regelmäßige Folgeuntersuchungen, ähnliche Forschungsvorhaben, für die sie verwendet werden sollen, oder ihre kommerzielle Nutzung.
Es versteht sich, dass dabei nicht jede künftige Verwendung der Daten angegeben werden kann. Die Verwendung für einen anderen Forschungszweck kann sich aus neuen Erkenntnissen über die ursprünglichen Daten, aus neuen medizinischen Entdeckungen und Fortschritten sowie aus Entwicklungen im Gesundheitswesen und in der Gesetzgebung ergeben. Gegebenenfalls ist in der Mitteilung darauf hinzuweisen, dass personenbezogene Daten für künftige medizinische und pharmazeutische Forschungsarbeiten verwendet werden können, die nicht vorauszusehen sind. Entspricht die neue Verwendung nicht dem allgemeinen Forschungszweck, für den die personenbezogenen Daten ursprünglich erhoben wurden oder in den der Betroffene später eingewilligt hat, muss erneut seine Einwilligung eingeholt werden.
Rückzug aus einem klinischen Versuch
Ein Teilnehmer kann sich jederzeit aus einem klinischen Versuch zurückziehen oder dazu aufgefordert werden. Personenbezogene Daten, die vor seinem Rückzug erhoben wurden, können jedoch weiterhin verarbeitet werden wie die übrigen im Rahmen des Versuchs erhobenen Daten, wenn er darauf hingewiesen wurde, als er seine Bereitschaft zur Teilnahme erklärte.
Übermittlung von Daten an Aufsichtsbehörden zur Überprüfung
Hersteller von Arzneimitteln und Medizinprodukten dürfen in klinischen Versuchen in der EU gewonnene personenbezogene Daten zur Überprüfung an Aufsichtsbehörden in den USA übermitteln. Unter Beachtung der Grundsätze der Informationspflicht und der Wahlmöglichkeit dürfen sie die Daten auch an andere Stellen wie Organisationen und Wissenschaftler übermitteln.
Blindversuche
Zur Wahrung der Objektivität dürfen bei klinischen Versuchen die Teilnehmer und oft auch die Forscher selbst nicht erfahren, wer wie behandelt wird, denn das würde die Aussagefähigkeit der Ergebnisse in Frage stellen. Teilnehmern an solchen sogenannten Blindversuchen muss kein Zugang zu Daten über ihre Behandlung während des Versuchs gewährt werden, wenn ihnen diese Beschränkung vor ihrer Teilnahme erklärt wurde und die Offenlegung der Daten den Nutzen der Forschungsarbeit gefährden würde.
Wer sich dennoch zur Teilnahme an dem Versuch entschließt, muss hinnehmen, dass die ihn betreffenden Daten unter Verschluss gehalten werden. Nach Abschluss des Versuchs und Auswertung der Ergebnisse müssen die Teilnehmer allerdings auf Verlangen Zugang zu ihren Daten erhalten. Dafür sollten sie sich in erster Linie an den Arzt oder an anderes medizinisches Personal wenden, von dem sie während des Versuchs behandelt wurden, hilfsweise an die Organisation, in deren Auftrag der Versuch durchgeführt wurde.
Überwachung der Sicherheit und Wirksamkeit von Produkten
Wenn ein Hersteller von Arzneimitteln oder Medizinprodukten Maßnahmen zur Überwachung der Sicherheit und Wirksamkeit seiner Produkte trifft und u. a. über Zwischenfälle berichtet und laufend Daten über Patienten/ Versuchspersonen erhebt, die bestimmte Arzneimittel oder Medizinprodukte nutzen, muss er die im Datenschutzschild verankerten Grundsätze der Informationspflicht, der Wahlmöglichkeit, der Weiterübermittlung und des Auskunftsrechts nicht beachten, soweit die Grundsätze mit gesetzlichen Pflichten kollidieren. Das gilt sowohl für Berichte von Dienstleistern des Gesundheitswesens an Arzneimittel- und Medizinprodukthersteller als auch für Berichte von Arzneimittel- und Medizinproduktherstellern an Behörden wie die amerikanische Food and Drug Administration.
Verschlüsselte Daten
Forschungsdaten werden stets an der Quelle verschlüsselt, damit aus ihnen nicht die Identität einzelner Personen zu ersehen ist. Den Pharmaorganisationen, also den Projektträgern, wird der Schlüssel nicht ausgehändigt, er verbleibt beim Forscher, so dass er unter bestimmten Umständen (z. B. wenn eine nachträgliche Überwachung notwendig ist) einzelne Versuchspersonen identifizieren kann. Die Übermittlung derart verschlüsselter Daten von der EU in die USA ist nicht als Übermittlung personenbezogener Daten anzusehen, die den Grundsätzen des Datenschutzschilds unterliegt.
Daten aus öffentlichen Registern und öffentlich zugängliche Daten
Eine Organisation muss die im Datenschutzschild verankerten Grundsätze der Sicherheit, Datenintegrität und Zweckbindung sowie des Rechtschutzes, der Durchsetzung und der Haftung auf personenbezogene Daten aus öffentlich zugänglichen Quellen anwenden. Diese Grundsätze gelten auch für personenbezogene Daten, die aus öffentlichen Datenbeständen erhoben werden, d. h. aus Datenbeständen, die von Ämtern aller Ebenen geführt werden und der Öffentlichkeit zur Einsichtnahme offen stehen.
Die Grundsätze der Informationspflicht, der Wahlmöglichkeit und der Verantwortlichkeit für die Weitergabe sind nicht auf Daten in öffentlichen Registern anzuwenden, wenn diese nicht mit nichtöffentlichen Daten kombiniert sind und solange die von der zuständigen Behörde festgelegten Bedingungen für ihre Abfrage beachtet werden. Im Allgemeinen gelten die Grundsätze der Informationspflicht, der Wahlmöglichkeit und der Verantwortlichkeit für die Weitergabe auch nicht für öffentlich verfügbare Daten, es sei denn, der europäische Übermittler weist darauf hin, dass diese Daten Beschränkungen unterliegen, aufgrund derer die Organisation die genannten Grundsätze im Hinblick auf die von ihr geplanten Verwendung anwenden muss. Organisationen haften nicht dafür, wie diese Daten von denen genutzt werden, die sie aus veröffentlichtem Material entnommen haben.
Wird festgestellt, dass eine Organisation unter Missachtung der Grundsätze absichtlich personenbezogene Daten offengelegt hat, so dass diese Ausnahme von der Regel für die Organisation selbst oder aber für andere von Nutzen ist, verliert sie ihre Vorteile aufgrund des Datenschutzschilds.
Das Auskunftsrecht gilt für Daten in öffentlichen Registern nur, wenn sie mit anderen personenbezogenen Daten kombiniert sind (außer bei kleinen Mengen, die verwendet wurden, um die öffentlichen Daten zu indexieren oder zu ordnen). Die Bestimmungen der einschlägigen Rechtsvorschriften über die Einsichtnahme in Datenbestände sind jedoch einzuhalten. Sind dagegen Daten aus öffentlichen Beständen mit anderen als den genannten Datenmengen aus nichtöffentlichen Quellen kombiniert, muss die Organisation Zugang zu allen personenbezogenen Daten gewähren, sofern nicht einer der genannten Ausnahmefälle vorliegt.
Wie bei Daten, die aus öffentlichen Beständen gewonnen wurden, ist das Auskunftsrecht nicht auf Daten anzuwenden, die bereits der Öffentlichkeit zur Verfügung stehen, sofern sie mit nicht öffentlich verfügbaren Daten kombiniert sind. Organisationen, die öffentlich zugängliche Information gegen Entgelt anbieten, können ihre üblichen Gebühren erheben. Alternativ können Personen Zugang zu sie betreffenden Daten von der Organisation verlangen, die sie ursprünglich erhoben hat.
Anträge von Behörden auf Datenzugriff
Um für Transparenz bei rechtmäßige Anträgen von Behörden auf Zugang zu personenbezogenen Daten zu sorgen, können dem Datenschutzschild angehörende Organisationen freiwillig in regelmäßigen Abständen Transparenzberichte über die Anzahl der Anträge von Behörden auf Datenzugriff aus Gründen der Strafverfolgung oder nationalen Sicherheit veröffentlichen, soweit diese Offenlegungen nach geltendem Recht zulässig sind.
Die von den Organisationen in diesen Berichten aufgeführten Angaben können zusammen mit veröffentlichten nachrichtendienstlichen sowie mit sonstigen Informationen in die gemeinsame jährliche Überprüfung der Funktionsweise des Datenschutzschilds im Einklang mit den Grundsätzen einfließen.
Auch wenn keine Information gemäß Punkt a)xii) des Grundsatzes der Informationspflicht erfolgt ist, behindert oder beeinträchtigt dies nicht die Möglichkeiten einer Organisation, rechtmäßigen Anfragen nachzukommen.
Anlage I
Schiedsmodell
In dieser Anlage I sind die Bedingungen aufgeführt, unter denen dem Datenschutz angehörende Organisationen zur Behandlung von Ansprüchen im Schiedsverfahren nach dem Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung verpflichtet sind. Die im Folgenden beschriebene Möglichkeit des verbindlichen Schiedsverfahrens bezieht sich auf bestimmte „Restansprüche“ in Bezug auf Daten, die unter den EU-US-Datenschutzschild fallen. Damit soll Privatpersonen ein zeitnaher, unabhängiger und fairer Mechanismus bereitgestellt werden, der sich mit geltend gemachten Verstößen gegen die Grundsätze befasst, die nicht von einem der gegebenenfalls in Anspruch genommenen anderen Mechanismen des Datenschutzschilds geklärt werden konnten.
A. Anwendungsbereich
Mit dem Schiedsverfahren können Privatpersonen bei Restansprüchen feststellen lassen, ob eine dem Datenschutzschild angehörende Organisation ihre Pflichten im Rahmen der Grundsätze gegenüber der betreffenden Person verletzt hat und ob diese Verletzung vollständig oder teilweise ungeahndet bleibt. Diese Option steht nur für diese Zwecke zur Verfügung, nicht jedoch beispielsweise bei den geregelten Abweichungen von den Grundsätzen [7] oder im Hinblick auf eine Behauptung zur Angemessenheit des Datenschutzschilds.
B. Verfügbare Abhilfemaßnahmen
Im Rahmen dieses Schiedsverfahrens ist das Datenschutzschild-Panel (bestehend aus einem oder drei von den Parteien ausgewählten Schiedsrichtern) befugt, einzelfallabhängige nichtmonetäre billigkeitsrechtliche Ansprüche (wie z. B. Zugang, Korrektur, Löschung oder Rückgabe der betreffenden Daten der Person) anzuerkennen, um die Verstöße gegen die Grundsätze abzustellen. Dieses sind die einzigen Befugnisse des Schiedsforums in Bezug auf Abhilfemaßnahmen. Bei der Prüfung von Abhilfemaßnahmen muss das Schiedsforum andere bereits von anderen Mechanismen im Rahmen des Datenschutzschilds verhängte Abhilfemaßnahmen berücksichtigen. Schadenersatz, Kosten, Gebühren oder andere derartige Maßnahmen sind nicht verfügbar. Jede Partei muss selbst für die anfallenden Anwaltsgebühren aufkommen.
C. Voraussetzungen für das Schiedsverfahren
Wer das Schiedsverfahren in Anspruch nehmen möchte, muss vor der Einleitung einer Schiedsklage 1) den behaupteten Verstoß direkt bei der Organisation geltend machen und der Organisation Gelegenheit geben, die Angelegenheit innerhalb der in Abschnitt III.11 d)i) der Grundsätze aufgeführten Frist zu klären, 2) das kostenlose unabhängige Beschwerdeverfahren im Rahmen der Grundsätze in Anspruch nehmen und 3) die Angelegenheit kostenlos über seine zuständige Datenschutzbehörde dem Handelsministerium zuleiten und dem Handelsministerium die Gelegenheit geben, die Angelegenheit nach Möglichkeit innerhalb der im Schreiben der International Trade Administration des Handelsministeriums gesetzten Frist zu klären.
Das Schiedsverfahren kann nicht in Anspruch genommen werden, wenn der von der Person geltend gemachte Verstoß 1) bereits Gegenstand eines verbindlichen Schiedsverfahrens war, 2) Gegenstand eines rechtskräftigen Urteils in einem Gerichtsverfahren mit der Person als Prozesspartei war oder 3) von den Parteien bereits geregelt wurde. Darüber hinaus kann das Schiedsverfahren nicht in Anspruch genommen werden, wenn eine EU-Datenschutzbehörde 1) gemäß Abschnitt III.5 oder III.9 der Grundsätze zuständig ist oder 2) befugt ist, den geltend gemachten Verstoß direkt mit der Organisation zu klären. Die Befugnis einer Datenschutzbehörde, den gleichen Anspruch gegen einen für die Verarbeitung Verantwortlichen in der EU geltend zu machen, schließt die Inanspruchnahme des Schiedsverfahrens gegen eine nicht an die Befugnis der Datenschutzbehörde gebundene andere rechtliche Einheit allein nicht aus.
D. Verbindlichkeit von Schiedssprüchen
Die Entscheidung einer Einzelperson, dieses verbindliche Schiedsverfahren in Anspruch zu nehmen, ist vollkommen freiwillig. Die Schiedssprüche sind für alle beteiligten Parteien verbindlich. Mit der Inanspruchnahme verzichtet die betreffende Person auf die Möglichkeit, ein anderes Forum mit der Klärung des geltend gemachten Verstoßes zu befassen; wenn jedoch diesem Verstoß mit der Anerkennung nichtmonetärer Ansprüche nicht vollständig abgeholfen wird, kann die betreffende Person dennoch Schadensersatzansprüche vor Gericht geltend machen.
E. Überprüfung und Durchsetzung
Privatpersonen und dem Datenschutzschild angehörende Organisationen können eine gerichtliche Überprüfung und Durchsetzung der Schiedsentscheidungen nach US-Recht gemäß Federal Arbitration Act beantragen [8]. Derartige Fälle müssen bei dem Bundesbezirksgericht eingereicht werden, dessen territoriale Zuständigkeit sich auf den Hauptgeschäftsort der dem Datenschutzschild angehörenden Organisation erstreckt.
Mit diesem Schiedsverfahren sollen individuelle Streitigkeiten geklärt werden, und die Schiedsentscheidungen sollen nicht als zur Nachahmung empfohlener oder verbindlicher Präzedenzfall bei Angelegenheiten anderer Parteien dienen, einschließlich bei künftigen Schiedsverfahren oder an Gerichten der EU oder der USA oder in Verfahren der FTC.
F. Das Schiedsforum
Die Parteien wählen die Schiedsrichter aus dem im Folgenden erörterten Verzeichnis der Schiedsrichter aus.
Nach geltendem Recht erstellen das US-Handelsministerium und die Europäische Kommission ein Verzeichnis mit mindestens 20 Schiedsrichtern, die aufgrund ihrer Unabhängigkeit, Integrität und Sachkenntnis ausgewählt werden. Dafür gilt Folgendes:
Die Schiedsrichter
verbleiben für einen Zeitraum von 3 Jahren in dem Verzeichnis, sofern keine außergewöhnlichen Umstände oder wichtigen Gründe vorliegen; dieser Zeitraum kann um weitere drei Jahre verlängert werden;
sind gegenüber einer der Parteien oder einer dem Datenschutzschild angehörigen Organisation bzw. gegenüber den USA, der EU oder einem EU-Mitgliedstaat oder einer anderen Regierungsbehörde, öffentlichen Behörde oder Strafverfolgungsbehörde weder weisungsgebunden noch anderweitig verpflichtet;
müssen als Rechtsanwalt in den USA zugelassen und im US-Privatrecht bewandert sein und Sachkenntnis im EU-Datenschutzrecht aufweisen.
G. Schiedsverfahren
Im Einklang mit dem geltenden Recht vereinbaren das Handelsministerium und die Europäische Kommission innerhalb von 6 Monaten nach Annahme des Angemessenheitsbeschlusses die Übernahme einer Reihe von bestehenden, etablierten US-Schiedsverfahren (wie z. B. AAA oder JAMS) zur Regelung des Verfahrens vor dem Datenschutzschild-Panel, wobei die folgenden Aspekte zugrunde gelegt werden:
Eine Person kann vorbehaltlich der vorstehend aufgeführten Voraussetzungen ein verbindliches Schiedsverfahren einleiten, indem sie der Organisation eine Mitteilung zukommen lässt. Die Mitteilung enthält eine Zusammenfassung der gemäß Abschnitt C unternommenen Schritte zur Klärung einer Beschwerde, eine Beschreibung des geltend gemachten Verstoßes und, nach eigener Wahl, Belegunterlagen und -materialien und/oder eine Rechtserörterung mit Bezug zum geltend gemachten Verstoß.
Es werden Verfahren entwickelt, die sicherstellen, dass für einen geltend gemachten Verstoß nicht mehrere Verfahren geführt oder mehrere Abhilfemaßnahmen getroffen werden.
Die FTC kann parallel zum Schiedsverfahren tätig werden.
An den Schiedsverfahren dürfen keine Vertreter der USA, der EU oder eines EU-Mitgliedstaats oder einer anderen Regierungsbehörde, staatlichen Behörde oder Strafverfolgungsbehörde teilnehmen, wobei auf Antrag einer Person aus der EU die EU-Datenschutzbehörden Hilfe bei der Erstellung ausschließlich der Mitteilung leisten können, jedoch keinen Zugang zu Offenlegungen und anderen Materialien in Bezug auf diese Schiedsverfahren haben dürfen.
Ort des Schiedsverfahrens sind die Vereinigten Staaten, und die betroffene Person kann sich für eine Teilnahme per Video oder Telefonkonferenz entscheiden, die für sie mit keinen Kosten verbunden ist. Eine persönliche Anwesenheit ist nicht erforderlich.
Verfahrenssprache ist Englisch, wenn von den Parteien nicht anders vereinbart. Auf einen begründeten Antrag hin und unter Berücksichtigung dessen, ob sich die Person von einem Anwalt vertreten lässt, werden Dolmetscher für die mündliche Verhandlung sowie Übersetzungen der Verfahrensunterlagen bereitgestellt, ohne dass sich daraus Kosten für die Person ergeben, es sei denn, das Panel gelangt in einem konkreten Fall zu dem Schluss, dass eine Kostenübernahme nicht gerechtfertigt oder unverhältnismäßig wäre.
Den Schiedsrichtern vorgelegte Unterlagen werden vertraulich behandelt und nur in Verbindung mit dem Schiedsverfahren genutzt.
Wenn erforderlich, kann eine die Person betreffende Offenlegung zugelassen werden, wobei diese Offenlegung von den Parteien vertraulich behandelt und nur in Verbindung mit dem Schiedsverfahren genutzt wird.
Schiedsverfahren sollen innerhalb von 90 Tagen nach Zustellung der Mitteilung an die betreffende Organisation abgeschlossen werden, sofern von den Parteien nicht anderweitig vereinbart.
H. Kosten
Die Schiedsrichter sollen angemessene Maßnahmen zur Minimierung der Kosten oder Gebühren der Schiedsverfahren ergreifen.
Nach Maßgabe des geltenden Rechts wird das Handelsministerium in Abstimmung mit der Europäischen Kommission die Einrichtung eines Fonds ermöglichen, in den die dem Datenschutzschild angehörenden Organisationen einen Jahresbeitrag einzahlen, der sich zum Teil nach der Größe der Organisation richtet und die Schiedskosten, einschließlich Schiedsrichtergebühren, bis zu einer Obergrenze deckt. Der Fonds wird von einem Dritten verwaltet, der regelmäßig über die Tätigkeit des Fonds Bericht erstattet. Bei der jährlichen Überprüfung werden das Handelsministerium und die Europäische Kommission die Tätigkeit des Fonds, einschließlich der Notwendigkeit einer Anpassung des Beitrags oder der Obergrenze, kontrollieren und unter anderem die Anzahl der Schiedsverfahren sowie deren Kosten und Dauer prüfen, und zwar im gegenseitigen Einvernehmen, dass den am Datenschutzschild teilnehmenden Organisationen keine übermäßige finanzielle Belastung auferlegt wird. Rechtsanwaltsgebühren sind von dieser Bestimmung oder einem anderen Fonds im Rahmen dieser Bestimmung nicht erfasst.
Fundstelle(n):
zur Änderungsdokumentation
KAAAG-88638
1Amtl. Anm.: Unter der Voraussetzung, dass der Beschluss über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für Island, Liechtenstein und Norwegen gilt, wird die Materialsammlung zum Datenschutzschild sowohl die Europäische Union als auch diese drei Länder abdecken. Demzufolge sind bei Bezugnahmen auf die EU und ihre Mitgliedstaaten auch Island, Liechtenstein und Norwegen eingeschlossen.
2Amtl. Anm.: Je nach Sachlage kommt als zulässiger Zweck für die Verarbeitung beispielsweise Folgendes in Frage: Pflege von Kundenbeziehungen, Compliance-Erwägungen und rechtliche Erwägungen, Wirtschaftsprüfung, Sicherheit und Betrugsprävention, Erhaltung oder Wahrung der Rechte der Organisation oder andere Zwecke, die nach vernünftigem Ermessen den Erwartungen im Zusammenhang mit der Erhebung entsprechen.
3Amtl. Anm.: In diesem Zusammenhang gilt eine Person als „identifizierbar“, wenn sie in Anbetracht der mit hinreichender Wahrscheinlichkeit genutzten Mittel der Identifizierung (z. B. unter Berücksichtigung des Kosten- und Zeitaufwands für die Identifizierung und der zum Zeitpunkt der Verarbeitung verfügbaren Technik) und der Aufbewahrungsform der Daten nach vernünftigem Ermessen von der Organisation oder von einem Dritten mit Zugriff auf die Daten identifiziert werden kann.
4Amtl. Anm.: Die Organisation sollte Anfragen von Privatpersonen zum Zweck der Verarbeitung, zu den Datenkategorien, die verarbeitet werden, sowie zu den Empfängern oder Kategorien der Empfänger der personenbezogenen Daten beantworten.
5Amtl. Anm.: Abschnitt I.5 der Grundsätze.
6Amtl. Anm.: Beschwerdestellen können Sanktionen nach eigenem Ermessen verhängen. Die Sensibilität der Daten ist ein maßgebendes Kriterium, wenn zu entscheiden ist, ob Daten zu löschen sind oder ob eine Organisation mit der Erhebung, Nutzung oder Weitergabe von Daten die Grundsätze des Datenschutzschilds in eklatanter Weise verletzt hat.
7Amtl. Anm.: Abschnitt I.5 der Grundsätze.
8Amtl. Anm.: In Kapitel 2
des Federal Arbitration Act („FAA“) heißt es: „Eine
Schiedsvereinbarung oder ein Schiedsspruch aus einem vertraglichen oder nicht
vertraglichen Rechtsverhältnis, das als kommerziell gilt, einschließlich einer
Transaktion, eines Vertrags oder einer Vereinbarung nach [§ 2 des FAA], fällt
unter das Übereinkommen über die Anerkennung und Vollstreckung ausländischer
Schiedssprüche vom
, 21 U.S.T. 2519, T.I.A.S. No. 6997 („New Yorker
Übereinkommen“).“ 9 U.S.C. § 202. Weiter ist im FAA festgelegt:
„Eine Schiedsvereinbarung oder ein Schiedsspruch aus einem derartigen
Verhältnis, das ausschließlich zwischen Bürgern der Vereinigten Staaten
besteht, fällt nur dann unter das [New Yorker] Übereinkommen, wenn dieses
Verhältnis im Ausland befindliche Immobilien umfasst, eine Leistung oder
Rechtsdurchsetzung im Ausland anstrebt oder in einer anderweitigen
hinreichenden Beziehung zu einem oder mehreren anderen Staaten steht.“
Ebenda. Nach Kapitel 2 kann „jede Partei des Schiedsverfahrens einen
Antrag bei einem nach diesem Kapitel zuständigen Gericht auf eine Anordnung zur
Bestätigung des Schiedspruchs gegen eine andere Partei des Schiedsverfahrens
stellen. Das Gericht bestätigt den Schiedsspruch, sofern es keinen der Gründe
für eine Verweigerung oder einen Aufschub der Anerkennung oder Durchsetzung des
Schiedsspruchs gemäß dem besagten [New Yorker] Übereinkommen findet.“
Ebenda § 207. Weiter heißt es in Kapitel 2: „Die Bezirksgerichte der
Vereinigten Staaten … haben ungeachtet des Streitwerts die ursprüngliche
Zuständigkeit für … eine Klage oder ein Verfahren [im Rahmen des New
Yorker Übereinkommens].“ Ebenda § 203.
Außerdem heißt es
in Kapitel 2: „Kapitel 1 gilt für Klagen und Verfahren nach diesem
Kapitel, soweit jenes Kapitel nicht mit diesem Kapitel oder dem [New Yorker]
Übereinkommen, wie von den Vereinigten Staaten ratifiziert, kollidiert.“
Ebenda § 208. In Kapitel 1 heißt es wiederum: „Eine schriftliche
Bestimmung in einem Vertrag über eine geschäftliche Transaktion, wonach ein
Streit aufgrund dieses Vertrags oder dieser Transaktion oder die Weigerung,
diesen bzw. diese ganz oder teilweise zu erfüllen, im Schiedsverfahren
beizulegen ist, oder eine schriftliche Vereinbarung, wonach ein bestehender
Streit aufgrund dieses Vertrags, dieser Transaktion oder dieser Weigerung an
ein Schiedsgericht zu verweisen ist, ist gültig, unwiderruflich und
vollstreckbar, sofern nicht Gründe nach Recht oder Billigkeit für den Rücktritt
von einem Vertrag vorliegen.“ Ebenda § 2. Weiter heißt es in Kapitel 1:
„Jede Partei im Schiedsverfahren kann bei einem angegebenen Gericht eine
Anordnung zur Bestätigung des Schiedsspruchs beantragen, woraufhin das Gericht
eine derartige Anordnung erlassen muss, sofern der Schiedsspruch nicht gemäß §
10 und 11 des [FAA] aufgegeben, geändert oder korrigiert wird.“ Ebenda §
9.