Home / Aktuelles & Termine / it.sec blog

Die Übermittlung personenbezogener Daten aus Europa in die USA ist in Zeiten von Cloud-Diensten und internationalen Unternehmen ein wichtiges Thema.

Gemäß dem Durchführungsbeschluss (EU) 2016/1250 der Europäischen Kommission vom 12.07.2016 bieten US-Unternehmen, die eine Privacy Shield-Zertifizierung besitzen, ein angemessenes Datenschutzniveau. Eine Übermittlung personenbezogener Daten ist dann gemäß Art. 45 DSGVO zulässig. Diese Zertifizierung muss erst durch die Unternehmen erworben werden, somit ist nicht jedes Unternehmen aus den USA zwingend auch nach den Richtlinien des Privacy-Shields zertifiziert.

Unter dem folgenden Link kann geprüft werden, ob das US-Unternehmen, dem man Daten übermitteln möchte, eine Privacy-Shield-Zertifizierung aufweist: https://www.privacyshield.gov/list.

Aufgrund der Abreden zum EU-US Privacy Shield müssen diese US-Unternehmen den betroffenen Personen verschiedene Rechte einräumen, welche dann direkt gegenüber den zertifizierten Unternehmen geltend gemacht werden können.

Bei vermuteten Datenschutzverstößen kann man sich auch an die nationalen Aufsichtsbehörden wenden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat hierzu ein Beschwerdeformular veröffentlich, welches mit den anderen europäischen Datenschutzbehörden abgestimmt wurde. Auch die Aufsichtsbehörden von Bayern, NRW und Baden-Württemberg haben ebenfalls entsprechende Formulare veröffentlicht. Dieses gilt allerdings nur für Beschwerden gegenüber privaten Unternehmen. Sollte eine betroffene Person befürchten, dass auf ihre personenbezogenen Daten durch US-amerikanische Sicherheitsbehörden oder Nachrichtendienste zugegriffen wurde, kann auch dies einer Prüfung unterzogen werden. Für ein solches Vorgehen steht ein separates Formular zur Verfügung. Entsprechende Fälle werden dann durch eine Ombudsperson des US-Außenministeriums bearbeitet.

Die entsprechenden Formulare sind u.a. auf der Internetseite der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter https://datenschutz-berlin.de/content/eu-us-privacy-shield-informationen-und-beschwerdemoeglichkeiten abrufbar.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Widerspruchsrecht der betroffenen Person:

Die betroffene Person hat gemäß Art. 21 Abs. 1 DSGVO das Recht,

  • der weiteren Verarbeitung ihrer personenbezogenen Daten oder einem Profiling
  • auf Grundlage von Art. 6 Abs. 1 lit. f) oder e) DSGVO

jederzeit zu widersprechen, sofern sich hierfür

  • aus der besonderen persönlichen Situation der betroffenen Person schutzwürdige Interessen am Ausschluss der Datenverarbeitung oder des Profilings ergeben und
  • der Verantwortliche keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung oder das Profiling nachweisen kann.

Ebenso hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO jederzeit das Recht, der Verarbeitung ihrer Daten oder dem Profiling zum Zwecke der Direktwerbung zu widersprechen.

Der Verantwortliche muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das ihr zustehende Widerspruchsrecht hinweisen gemäß Art. 21 Abs. 4, Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO.

Widerrufsrecht der betroffenen Person:

Der betroffenen Person steht gemäß Art. 7 Abs. 3 S. 1 DSGVO ein Widerrufsrecht mit Wirkung für die Zukunft gemäß Art. 7 Abs. 3 S. 2 DSGVO zu aufgrund ihrer freiwillig im Rahmen einer Einwilligung i.S.v. gemäß Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 a) DSGVO abgegebenen personenbezogenen Daten.

Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht vor Abgabe ihrer Einwilligung in Kenntnis setzen gemäß Art. 7 Abs. 3 S. 3, Art. 13 Abs. 2 lit. c), Art. 14 Abs. 2 lit. d) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kundenbindung Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST Nutzungsbedingungen One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Software Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30