Nächste Schritte für Nutzer & FAQs

Data Transfers
 /  Fri, 24.07.2020 - 10:18
GDPR

Hier haben wir die Optionen für Nutzer zusammengefasst, wenn sie nach dem EuGH-Urteil in C-311/18 ("Schrems II") die Übermittlung ihrer Daten in die USA stoppen wollen. Zusätzlich haben wir eingige FAQs gesammelt, die dir helfen können, Fälle zu identifizieren, in denen du das Recht hast zu verlangen, dass deine Daten in Europa bleiben.

 

Was kann ich jetzt tun?

Die DSGVO gibt dir starke Informations- und Gestaltungsrecht - nutze sie!

SCHRITT 1: Frage nach, ob deine Daten außerhalb der EU verarbeitet werden!

Du kannst Organisation (z.B. ein Unternehmen, eine öffentliche Einrichtung), die deine Daten verarbeiten, fragen, ob sie deine Daten in ein Land außerhalb der EU übermitteln, wohin die Daten übermittelt werden, an wen und auf welcher Grundlage das passiert. Das ist Teil deines Rechts auf Auskunft und auf Information. Eine solche Anfrage kann per E-Mail an die betreffende Organisation gerichtet werden (hier gibt es meistens eine E-Mail oder ein Formular für Datenschutzanfragen, sonst an die allgemeine E-Mail). Da diese Antwort von der Organisation keine eingehende Analyse erfordert und da das Urteil des EuGH keine Schonfrist für illegale internationale Transfers vorsieht, solltest du hier eine recht schnelle Antwort bekommen.

Du kannst den folgenden Text für deine Anfrage verwenden:

Sehr geehrte Damen und Herren,

Ich bin einer Ihrer Kunden. In Übereinstimmung mit den Artikeln 12, 13, 14 und 15 DSGVO stelle ich folgenden Anfrage:

  • Übermitteln Sie Daten außerhalb der EU? Wenn ja, in welche Länder?
  • Auf welche Rechtsgrundlage stützt sich diese Übermittlungen (z. B. Entscheidung über die Angemessenheit, SCCs, BCRs, Ausnahmen...)? Wenn Sie SCCs oder BCRs verwendet haben, legen Sie bitte für jede Übertragung eine Kopie der verwendeten SCCs oder BCRs vor.
  • Wenn Sie personenbezogene Daten in die USA übermitteln, fällt einer Ihrer Partner unter 50 USC §1881a ("FISA 702") oder stellt er der US-Regierung Daten gemäß EO 12.333 zur Verfügung?
  • Falls Sie personenbezogene Daten in die USA senden, welche technischen Maßnahmen ergreifen Sie, damit meine personenbezogenen Daten während der Übermittlung nicht von der US-Regierung abgefangen werden?

Bitte antworten Sie innerhalb einer Woche, nachdem die DSGVO verlangt, dass Sie "unverzüglich" antworten. Dies ist eine einfache Anfrage, die keine umfangreiche Analyse meiner Daten erfordert. Eine weitere Identifizierung über meine E-Mail hinaus scheint nicht notwendig zu sein, da ich keine Kopie meiner persönlichen Daten verlange. Sollten Sie weitere Informationen benötigen, zögern Sie bitte nicht, mich zu kontaktieren.

Mit freundlichen Grüßen,

[Dein Name]

Wir freuen uns über weiterleitung der Antworten an info@noyb.eu

 

SCHRITT 2: Verlange, dass deine Daten nicht mehr in die USA übermittelt werden

Wenn dir das Unternehmen oder die Organisation mitteilt, dass deine Daten an ein US-Unternehmen gesendet werden, das unter die oben genannten Massenüberwachungsgesetze fällt, kannst du verlangen, dass das EU-Unternehmen die Übermittlung dieser Daten stoppt.

Du kannst den folgenden Text für deine Anfrage verwenden:

Sehr geehrte Damen und Herren,

Ich bin einer Ihrer Kunden. Ich habe Grund zu der Annahme, dass Sie meine persönlichen Daten illegal in die Vereinigten Staaten übermitteln.

Wenn Sie personenbezogene Daten an einen US "Electronic Communication Service Provider" gemäß der Definition in 18 U.S. Code §1881(4)(b) übermitteln, oder sollten Sie sich bei solchen Übermittlungen weiterhin nach dem "Privacy Shield" vornehmen, bitte ich Sie, die Übermittlung meiner personenbezogenen Daten unverzüglich einzustellen. Bitte teilen Sie mir innerhalb einer Woche mit, dass Sie die Übertragung stoppen werden, bzw ab wann Sie dies Übermittlung stoppen.

Sollten Sie weitere Informationen benötigen, zögern Sie bitte nicht, mich zu kontaktieren.

Mit freundlichen Grüßen,

[Dein Name]

Wir freuen uns über weiterleitung der Antworten an info@noyb.eu

 

SCHRITT 1+2: Antrag, dass deine Daten nicht mehr in die USA übertragen werden

Du kannst auch eine Informationsanfrage mit einer Anforderung zum Stoppen der Datenübertragungen kombinieren:

Du kannst den folgenden Text für deine Anfrage verwenden:

Sehr geehrte Damen und Herren,

Ich bin einer Ihrer Kunden. Nach Artikeln 12, 13, 14 und 15 der DSGVO stelle ich folgende Anfragen:

  • Übermitteln Sie Daten außerhalb der EU? Wenn ja, in welche Länder?
  • Auf welche Rechtsgrundlage stützt sich diese Übermittlungen (z. B. Entscheidung über die Angemessenheit, SCCs, BCRs, Ausnahmen...)? Wenn Sie SCCs oder BCRs verwendet haben, legen Sie bitte für jede Übertragung eine Kopie der verwendeten SCCs oder BCRs vor.
  • Wenn Sie personenbezogene Daten in die USA übermitteln, fällt einer Ihrer Partner unter 50 USC §1881a ("FISA 702") oder stellt er der US-Regierung Daten gemäß EO 12.333 zur Verfügung?
  • Falls Sie personenbezogene Daten in die USA senden, welche technischen Maßnahmen ergreifen Sie, damit meine personenbezogenen Daten während der Übermittlung nicht von der US-Regierung abgefangen werden?
  • Wenn Sie personenbezogene Daten an einen US "Electronic Communication Service Provider" gemäß der Definition in 18 U.S. Code §1881(4)(b) übermitteln, oder sollten Sie sich bei solchen Übermittlungen weiterhin nach dem "Privacy Shield" vornehmen, bitte ich Sie, die Übermittlung meiner personenbezogenen Daten unverzüglich einzustellen. Bitte teilen Sie mir innerhalb einer Woche mit, dass Sie die Übertragung stoppen werden, bzw ab wann Sie dies Übermittlung stoppen.

Bitte antworten Sie innerhalb einer Woche, da die DSGVO verlangt, dass Sie "ohne unnötige Verzögerung" antworten. Dies ist eine einfache Anfrage, die keine ausführliche Analyse erfordert. Eine weitere Identifizierung über meine E-Mail hinaus scheint nicht notwendig zu sein, da ich keine Kopie meiner persönlichen Daten verlange. Sollten Sie weitere Informationen benötigen, zögern Sie bitte nicht, mich zu kontaktieren

Mit freundlichen Grüßen,

[Ihr Name]

Wir freuen uns über weiterleitung der Antworten an info@noyb.eu

 

SCHRITT 3: Einreichung einer Beschwerde bei der Datenschutzbehörde, um die Übermittlung in die USA zu stoppen

Wenn eine Organisation unnötige Übertragungen in die USA nicht stoppt oder nicht reagiert, können Sie jederzeit eine Beschwerde bei der örtlichen Datenschutzbehörde einreichen

Auf dieser Seite findest du einen Link zu deiner lokalen Datenschutzbehörde https://edpb.europa.eu/about-edpb/board/members_en. Das genaue Verfahren für die Einreichung einer Beschwerde hängt von den Gesetzen des Landes ab, in dem du eine Beschwerde einreichst, aber das Verfahren ist im allgemeinen eher informell. Die meisten Behörden-Websites bieten ein Beschwerdeformular an, auf dem du deine Situation erklären kannst.

Du kannst den folgenden Text für deine Beschwerde verwenden:

Möglicherweise werden wir in Zukunft spezifischere Texte anbieten. Bitte vergesse nicht, diesem Text deiner jeweiligen Situation anzupassen.

Sehr geehrte Damen und Herren,

Ich bin ein Kunde von [Name und Adresse des Unternehmens]

Meine Kontodaten lauten [Kundennummer, E-Mail, etc].

Ich glaube, dass [Name des Unternehmens] meine persönlichen Daten weiterhin illegal in die USA übermittelt, weil [gib irgendeinen Hinweis an, z.B. die Datenschutzerklärung oder die Antwort die du bekommen hast].

Ich verweise auf das EuGH-Urteil in C-311/18 - Schrems II. In Anbetracht der Tatsache, dass [Name des Unternehmens] meine persönlichen Daten weiterhin ohne eine angemessene Rechtsgrundlage in die USA übermittelt, bitte ich Sie, die Angelegenheit zu untersuchen und eine Aussetzung oder ein Verbot der Übermittlung anzuordnen.

Mit freundlichen Grüßen,

[Dein Name]

Wir freuen uns über weiterleitung der Antworten an info@noyb.eu

 

FAQs für Nutzer

Warum war der EuGH der Ansicht, dass es Probleme mit EU-US-Datenübermittlungen gab?

Das europäische Recht gewährt jedermann ein Recht auf Privatsphäre, Datenschutz und Rechtsschutz vor Gericht. Der EuGH hat diese Rechte in Bezug auf Datenübermittlungen in die USA in seinem Urteil über das "Privacy Shield" und die SCCs bestätigt. Das Gericht befand, dass wegen der Massenüberwachung und dem fehlenden Rechtsschutz in den USA es für EU-Unternehmen oft (aber nicht immer) illegal ist, deine Daten weiter in die USA zu senden.

Welche Datentransfers sind noch legal?

Gemäß Artikel 49 DSGVO sind einige "notwendige" Transfers unter allen Umständen legal (z.B. wenn du ein Hotel in den USA buchst und die Buchung an das US-Hotel geschickt wird). Es ist nach wie vor legal, Daten zu übertragen, wenn du über die US-Gesetze informiert wurdest und du ausdrücklich und freiwillig zugestimmt hast. DU müssest hier aber in der Lage sein, diese Einwilligung jederzeit ohne negative Folgen zu widerrufen.

Du kannst auch jederzeit deine eigenen Daten in die USA senden (wenn Sie direkt einen US-Anbieter nutzen möchtest, der nur in den USA ansässig ist).

Welche Datentransfers sind illegal?

Transfers an US-Unternehmen, die unter ein US-Gesetz zur "Massenüberwachung" wie FISA 702 (auch 50 USC §1881a genannt) fallen, sind in der Regel illegal. Die betroffenen Unternehmen sind sogenannte "Electronic Communication Servcie Provider". Dies ist ein weit gefasster Begriff im US-Recht und umfasst die meisten IT- und Cloud-Provider.

Beispiele für diese Anbieter sind A&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon-Medien (bekannt als Oath & Yahoo) oder Verizon. Hier haben wir die jeweiligen Transparenzberichte dieser Unternehmen verlinkt, aus denen ersichtlich ist wie oft die US-Behörden auf die Daten dieser Anbieter zugreift. Das bedeutet, dass typische "Outsourcing"-Situationen (also wenn ein EU-Unternehmen Ihre Daten an ein US-Unternehmen weiterleitet, das wiederum Ihre Daten verarbeitet) in den meisten Fällen illegal sind.

Bedenke dabei, dass EU-Kunden häufig einen Vertrag mit einer EU-Tochtergesellschaft dieser US-Unternehmen haben (z.B. haben Facebook-Nutzer einen Vertrag mit Facebook Irland). Wenn diese EU-Tochtergesellschaften die Verarbeitung deiner Daten ganz oder teilweise an die US-Muttergesellschaft auslagern, ist die Übertragung ebenfalls illegal.

Was ist "Privacy Shield" und was sind "Standardvertragsklauseln" oder "SCCs"?

Unter der DSGVO dürfen personenbezogene Daten die EU generell nicht verlassen. Als Ausnahme von dieser Regel können Unternehmen bestimmte rechtliche Instrumente nutzen, um die Übermittlung zulässig zu machen. Zwei der gebräuchlichsten Instrumente, auf die Unternehmen zurückgreifen, um Ihre Daten aus der EU in die USA zu übermitteln, sind "Standardvertragsklauseln" (oder "SCCs") und das "Privacy Shield".

Das Privacy Shield wurde vom Gerichtshof für ungültig erklärt, so dass es nicht mehr existiert. Seit dem 16. Juli 2020 können Daten im Rahmen des Privacy Shield nicht mehr in die USA übermittelt werden

Fast dasselbe Verbot gilt für die Verwendung von SCC: Alle Unternehmen, die unter ein US-Gesetz zur "Massenüberwachung" fallen, können die SCC nicht mehr verwenden. Dies liegt daran, dass die SCCs das US-Recht nicht außer Kraft setzen können und dieses die SCCs daher überlagert.

Was bedeutet das im täglichen Leben?

Nachstehend findest du einige Beispiele für häufige Situationen und den jeweiligen Folgen für eine EU-US Datenübermittlung.

(A) Fälle, die typischerweise von dem Urteil betroffen sind:

Wenn du Kunde eines EU/EWR-Unternehmens bist, das:

  • eine integrierte Tochtergesellschaft eines US-Unternehmens ist (z.B. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo und ähnliche) oder
  • die Verarbeitung deiner Daten an ein US-Unternehmen ausgelagert hat (viele "durchschnittliche" EU-Unternehmen).

(B) Fälle, die typischerweise nicht von dem Urteil betroffen sind:

Einige Beispiele für "notwendige" Übertragungen, die meist weiterhin legal sind:

  • Eine Hotelbuchung direkt in den USA oder über ein Reisebüro in der EU (z.B. ein Zimmer in San Francisco);
  • Buchen eines Fluges in die USA;
  • Reservierung für einen Mietwagen in den USA;
  • Online-Bestellung von Waren bei einem in den USA ansässigen Unternehmen;
  • Nutzung von Online-Diensten, die von einem in den USA ansässigen Unternehmen (ohne Niederlassung in der EU) angeboten werden;
  • Senden einer E-Mail an einen Empfänger in den USA;
  • Das Senden deiner Daten an einen Anwalt in den USA im Rahmen eines Gerichtsverfahrens;
  • Kontaktaufnahme mit einem Facebook-Freund, der sich in den USA befindet;
  • Videoanrufe in die USA.