EUR-Lex Access to European Union law


Whether the Federal Trade Commission acted within its authority by seeking injunctive and monetary relief against petitioners in district court under the FDCPA and the Federal Trade Commission Act (FTC Act), 15 U.S.C. 41 et seq.

Top What will I need to do to get a payment?

com·mis·sion

obtained prior to the issuance of the Commission's cease and desist or-der.0 In defending this practice, the Commission has had to counter arguments that such a refund provision was beyond its cease and de-sist power because it was retroactive, punitive, or an award of private 7. See Curtis Publishing Co., 78 F.T.C. , (). The FTC complaint in Curtis attacked the company's failure.

Wie aber wiederholt vom Europäischen Gerichtshof unterstrichen wurde, kommt es für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre nicht darauf an, ob die Betroffenen durch den Eingriff Nachteile erlitten haben.

Siehe auch Erwägungsgründe Mai , Antrag Nr. California, U, S. United States v Wilson , F. Im letztgenannten Fall muss allerdings die betroffene Person darüber unterrichtet werden und hat somit die Möglichkeit, das Auskunftsbegehren vor Gericht anzufechten.

The Stored Communications Act, S. Nach dem Wiretap Act 18 U. Zur Erhebung von Adressen oder anderen nichtinhaltlichen Informationen z. Dem Computer Fraud and Abuse Act zufolge kann jedermann eine Person, unter bestimmten Umständen auch einen einzelnen Regierungsbeamten, wegen eines vorsätzlichen nicht autorisierten Zugriffs oder wegen Überschreitung der Zugriffsbefugnisse verklagen, der darauf zielt, Informationen von einem Finanzinstitut, einem Computersystem der US-Regierung oder einem genau bezeichneten Computer zu erlangen.

Nach dem Right to Financial Privacy Act können Privatpersonen unter bestimmten Umständen die Vereinigten Staaten wegen der gesetzwidrigen Erlangung oder Offenlegung geschützter Finanzunterlagen verklagen.

Der Fair Credit Reporting Act räumt die Möglichkeit ein, gegen jede Person und unter bestimmten Voraussetzungen auch gegen eine staatliche Behörde rechtliche Schritte einzuleiten, die bei der Erstellung, Verbreitung und Verwendung von Verbraucherkreditauskünften nicht die Anforderungen insbesondere an die rechtliche Ermächtigung erfüllt. Privacy Shield draft adequacy decision, angenommen am Meines Erachtens können wir auf beiden Seiten stolz auf die erzielten Verbesserungen der Regelung sein.

Der Datenschutzschild stützt sich auf Grundsätze, über die beiderseits des Atlantiks ein breiter Konsens besteht und denen wir zu mehr Wirksamkeit verholfen haben. Dank unserer Zusammenarbeit bietet sich uns eine wirkliche Gelegenheit, weltweit zur Stärkung des Datenschutzes beizutragen.

Die Materialsammlung zum Datenschutzschild umfasst die Datenschutzgrundsätze sowie ein in Anlage 1 beigefügtes Schreiben der für die Programmverwaltung zuständigen International Trade Administration ITA des US-Handelsministeriums, in dem die Verpflichtungen erläutert werden, die unser Ministerium mit Blick auf eine wirksame Umsetzung des Datenschutzschildes eingegangen ist.

Die Sammlung umfasst ferner Anlage 2 mit den Zusagen des Ministeriums zum neuen Schiedssystem, das im Rahmen des Datenschutzschildes zur Verfügung steht. Wir freuen uns auf unsere Zusammenarbeit bei der Umsetzung des Datenschutzschildes und der Einleitung der nächsten Phase in diesem Prozess.

Mit dem Abschluss dieser historischen Regelung sind wichtige Fortschritte für den Datenschutz und für Unternehmen auf beiden Seiten des Atlantiks verknüpft. EU-Bürgern bietet sie die Gewissheit, dass ihre Daten geschützt werden und sie bei etwaigen Bedenken über Rechtsmittel verfügen. Gemeinsam mit der Kommission haben wir uns darum bemüht, den Datenschutzschild so zu gestalten, dass in den USA niedergelassene Organisationen die Möglichkeit haben, die Angemessenheitsanforderungen an den Datenschutz nach dem EU-Recht einzuhalten.

Mit dem neuen Rahmen sind zahlreiche grundlegende Vorteile sowohl für Privatpersonen als auch für Unternehmen verbunden. Der Datenschutzschild orientiert sich an gemeinsamen Datenschutzgrundsätzen, mit denen die Unterschiede zwischen unseren beiden Rechtssystemen überbrückt werden, und trägt zur Förderung des Handels und der wirtschaftlichen Ziele sowohl in Europa als auch in den USA bei.

Die Entscheidung eines Unternehmens, sich mittels einer Selbstzertifizierung für diese neue Regelung zu registrieren, ist zwar freiwillig, sobald sich ein Unternehmen jedoch öffentlich zur Einhaltung des Datenschutzschildes verpflichtet hat, ist diese Zusage nach US-Recht entweder durch die Federal Trade Commission oder das Verkehrsministerium durchsetzbar, je nachdem welche Behörde die Zuständigkeit für die jeweilige Organisation übernimmt.

Positive Effekte der Grundsätze des Datenschutzschilds. Klarstellung, dass dem Datenschutzschild angehörende Organisationen personenbezogene Informationen auf diejenigen Daten beschränken müssen, die für den beabsichtigten Verwendungszweck erheblich sind;. Anforderung an eine Organisation, jährlich beim Ministerium eine Zertifizierung ihrer Verpflichtung zur Einhaltung der Grundsätze für alle Informationen vorzunehmen, die während ihrer Teilnahme am Datenschutzschild bei ihr eingegangen sind, nachdem sie den Datenschutzschild verlassen hat und sich für die Speicherung dieser Daten entscheidet;.

Erfordernis der Bereitstellung von für den Einzelnen kostenfreien unabhängigen Beschwerdestellen;. Anforderung an Organisationen und ihre jeweiligen unabhängigen Beschwerdestellen, rasch auf Anfragen und Auskunftsbegehren des Handelsministeriums zu reagieren, die mit dem Datenschutzschild im Zusammenhang stehen;.

Anforderung an Organisationen, auf Beschwerden im Zusammenhang mit der Einhaltung der Grundsätze, die von den Behörden der EU-Mitgliedstaaten an das Ministerium übermittelt wurden, mit der gebotenen Eile zu reagieren und.

Anforderung an eine dem Datenschutzschild angehörende Organisation, jene Teile eines der FTC vorgelegten Compliance- oder Sachstandsberichts, die den Datenschutzschild betreffen, öffentlich zu machen, wenn Anordnungen der FTC oder Gerichtsbeschlüsse wegen Nichteinhaltung gegen sie ergehen. Verwaltung und Überwachung des Datenschutzschild-Programms durch das Handelsministerium. Das Ministerium muss die Gründe für den Ausschluss der einzelnen Organisationen benennen.

Darüber hinaus verpflichtet sich das Ministerium, Verbesserungen bei der Verwaltung und Überwachung des Datenschutzschildes vorzunehmen. Die Bereitstellung zusätzlicher Informationen auf der Website des Datenschutzschilds;. Aufnahme einer Erläuterung an deutlich sichtbarer Stelle, in der klargestellt wird, dass alle von der Datenschutzschild-Liste gestrichenen Organisationen zwar keinen Anspruch mehr auf die Vorteile des Datenschutzschilds haben, jedoch mit Blick auf die personenbezogenen Informationen, die sie während ihrer Beteiligung am Datenschutzschild erhalten haben, weiterhin ihren Verpflichtungen nachkommen müssen, solange sie diese Informationen speichern und.

In Zusammenarbeit mit den unabhängigen Beschwerdestellen ist zu prüfen, ob sich die Organisationen tatsächlich für die jeweiligen Mechanismen registriert haben, die in ihren Anträgen auf Selbstzertifizierung angegeben sind, sofern eine solche Registrierung erforderlich ist. Verstärkte Bemühungen um eine Weiterbehandlung der Fälle von Organisationen, die von der Datenschutzschild-Liste gestrichen wurden. Übermittlung von Fragebögen an Organisationen, deren Selbstzertifizierung ausläuft oder die freiwillig aus dem Datenschutzschild ausgeschieden sind, um zu prüfen, ob die Organisation die personenbezogenen Daten, die sie während der Beteiligung am Datenschutzschild empfangen hat, zurückgibt, löscht oder auf sie weiterhin die Datenschutzgrundsätze anwendet, und um festzustellen, falls die Organisation die personenbezogenen Daten behält, wer innerhalb der Organisation als ständiger Ansprechpartner für Fragen im Zusammenhang mit dem Datenschutzschild fungieren wird.

Aufdeckung und Handhabung von Fällen, in denen zu Unrecht eine Beteiligung an der Regelung geltend gemacht wird. Prüfung der Datenschutzbestimmungen von Organisationen, die sich bereits am Datenschutzschild beteiligt haben, jedoch von der Datenschutzschild-Liste gestrichen wurden, um mögliche Fälle zu ermitteln, in denen falsche Angaben zur Beteiligung am Datenschutzschild gemacht werden.

Stellt das Ministerium fest, dass diese Bezugnahmen nicht entfernt wurden, weist es die Organisation eindringlich darauf hin, dass sie die Angelegenheit einer anderen zuständigen Behörde zuzuleiten gedenkt, damit diese gegebenenfalls tätig wird, sofern die Angaben zur Beteiligung am Datenschutzschild nicht entfernt werden.

Das Ministerium prüft die Datenschutzbestimmungen von Organisationen, um falsche Angaben zur Beteiligung am Datenschutzschild wirksamer aufdecken und dagegen vorgehen zu können.

Diese Prüfung betrifft insbesondere die Datenschutzbestimmungen von Organisationen, deren Selbstzertifizierung ausgelaufen ist, weil sie es versäumt haben, ihren Betritt zu den Grundsätzen erneut zertifizieren zu lassen.

Mit Hilfe dieser Prüfungen will das Ministerium feststellen, ob die Organisationen aus ihren relevanten veröffentlichten Datenschutzbestimmungen alle Bezugnahmen entfernt haben, die auf ihre weitere aktive Beteiligung am Datenschutzschild hindeuten.

Die genannten Einhaltungskontrollen sind insbesondere dann durchzuführen, wenn: Das Ministerium stimmt diese Einhaltungskontrollen bei Bedarf mit den zuständigen Datenschutzbehörden ab, und.

Das Ministerium hat die Mittel für die Verwaltung und Überwachung des Datenschutzschild-Programms aufgestockt und darüber hinaus die Zahl der für die Verwaltung und Überwachung zuständigen Mitarbeiter verdoppelt. Überarbeitung der Website des Datenschutzschilds mit Blick auf ausgewählte Zielgruppen. Das Ministerium überarbeitet die Website des Datenschutzschilds, um sie auf drei Zielgruppen auszurichten: Für EU-Bürger werden folgende Punkte klar erläutert: Für EU-Unternehmen werden folgende Kontrollen erleichtert: Für den Ausbau der Kooperationsmöglichkeiten mit den Datenschutzbehörden richtet das Ministerium eine spezielle Kontaktstelle ein, die als Bindeglied zu den Datenschutzbehörden fungiert.

Sollte eine Datenschutzbehörde, auch aufgrund einer Beschwerde durch einen EU-Bürger, den Verdacht hegen, dass eine Organisation die Grundsätze nicht einhält, kann sie sich an die spezielle Kontaktstelle im Ministerium wenden, um eine weitere Kontrolle der Organisation zu veranlassen. An die Kontaktstelle können auch Fälle überwiesen werden, in denen Organisationen falsche Angaben zu ihrer Beteiligung am Datenschutzschild machen, obgleich sie ihren Beitritt zu den Grundsätzen niemals selbst bescheinigt haben.

Die Kontaktstelle unterstützt Datenschutzbehörden bei der Erfassung von Informationen zur Selbstzertifizierung oder zum bisherigen Beitritt einer Organisation zum Programm und beantwortet Anfragen der Datenschutzbehörden zur Umsetzung der spezifischen Datenschutzschild-Anforderungen. Darüber hinaus stellt das Ministerium den Datenschutzbehörden Material zum Datenschutzschild zur Verfügung, das sie auf ihre eigenen Websites stellen können, um für mehr Transparenz zugunsten von EU-Bürgern und EU-Unternehmen zu sorgen.

Erleichterung der Lösungsfindung bei Beschwerden wegen Verletzung der Datenschutzvorschriften. An das Ministerium gerichtete Beschwerden einer Datenschutzbehörde über die Nichteinhaltung der Grundsätze durch eine dem Datenschutzschild angehörende Organisation gehen dem Ministerium über die spezielle Kontaktstelle zu.

Nach Eingang ist das Ministerium nach besten Kräften um eine Klärung der Beschwerde mit der dem Datenschutzschild angehörenden Organisation bemüht. Um die Einreichung derartiger Beschwerden zu erleichtern, erstellt das Ministerium ein Standardformular für Datenschutzbehörden, das bei der speziellen Kontaktstelle im Ministerium eingereicht werden kann.

In der speziellen Kontaktstelle werden alle von den Datenschutzbehörden an das Ministerium übermittelten Fälle erfasst, und das Ministerium erstellt bei der jährlichen Überprüfung einen Bericht, der in aggregierter Form die im Laufe des Jahres bei ihm eingegangenen Beschwerden enthält. Das Handelsministerium, die FTC und andere Stellen werden bei Bedarf jährliche Sitzungen mit der Kommission, betroffenen Datenschutzbehörden und gegebenenfalls auch Vertretern der ArtikelDatenschutzgruppe organisieren, auf denen das Ministerium über den aktuellen Sachstand mit Blick auf das Datenschutzschild-Programm informiert.

Bei den jährlichen Sitzungen werden aktuelle Probleme im Zusammenhang mit der Funktionsweise, Durchführung, Überwachung und Durchsetzung des Datenschutzschilds, darunter die von den Datenschutzbehörden an das Ministerium übermittelten Fälle, die Ergebnisse der von Amts wegen durchgeführten Kontrollen einer Einhaltung der Grundsätze sowie möglicherweise relevante Gesetzesänderungen, erörtert.

In diesen Schreiben werden unter anderem die Strategien, Garantien und Beschränkungen erläutert, die für signalerfassende Aufklärung in den USA gelten. Darüber hinaus enthalten diese Schreiben Erläuterungen zur Transparenz, die von den Nachrichtendiensten in dieser Hinsicht geschaffen wurde.

Wir gehen davon aus, dass Sie bei der jährlichen Überprüfung der Datenschutzschild-Regelung künftig auf von den Nachrichtendiensten öffentlich gemachte Informationen sowie auf weitere Informationen zurückgreifen werden. In dieser Anlage I sind die Bedingungen aufgeführt, unter denen dem Datenschutz angehörende Organisationen zur Behandlung von Ansprüchen im Schiedsverfahren nach dem Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung verpflichtet sind.

Mit dem Schiedsverfahren können Privatpersonen bei Restansprüchen feststellen lassen, ob eine dem Datenschutzschild angehörende Organisation ihre Pflichten im Rahmen der Grundsätze gegenüber der betreffenden Person verletzt hat und ob diese Verletzung vollständig oder teilweise ungeahndet bleibt.

Im Rahmen dieses Schiedsverfahrens ist das Datenschutzschild-Panel bestehend aus einem oder drei von den Parteien ausgewählten Schiedsrichtern befugt, einzelfallabhängige nichtmonetäre billigkeitsrechtliche Ansprüche wie z. Jede Partei muss selbst für die anfallenden Anwaltsgebühren aufkommen.

Voraussetzungen für das Schiedsverfahren. Die Entscheidung einer Einzelperson, dieses verbindliche Schiedsverfahren in Anspruch zu nehmen, ist vollkommen freiwillig. Die Schiedssprüche sind für alle beteiligten Parteien verbindlich. Derartige Fälle müssen bei dem Bundesbezirksgericht eingereicht werden, dessen territoriale Zuständigkeit sich auf den Hauptgeschäftsort der dem Datenschutzschild angehörenden Organisation erstreckt.

Die Parteien wählen die Schiedsrichter aus dem im Folgenden erörterten Verzeichnis der Schiedsrichter aus. Nach geltendem Recht erstellen das US-Handelsministerium und die Europäische Kommission ein Verzeichnis mit mindestens 20 Schiedsrichtern, die aufgrund ihrer Unabhängigkeit, Integrität und Sachkenntnis ausgewählt werden.

Eine Person kann vorbehaltlich der vorstehend aufgeführten Voraussetzungen ein verbindliches Schiedsverfahren einleiten, indem sie der Organisation eine Mitteilung zukommen lässt. Ort des Schiedsverfahrens sind die Vereinigten Staaten, und die betroffene Person kann sich für eine Teilnahme per Video oder Telefonkonferenz entscheiden, die für sie mit keinen Kosten verbunden ist.

Eine persönliche Anwesenheit ist nicht erforderlich. Verfahrenssprache ist Englisch, wenn von den Parteien nicht anders vereinbart. Den Schiedsrichtern vorgelegte Unterlagen werden vertraulich behandelt und nur in Verbindung mit dem Schiedsverfahren genutzt. Wenn erforderlich, kann eine die Person betreffende Offenlegung zugelassen werden, wobei diese Offenlegung von den Parteien vertraulich behandelt und nur in Verbindung mit dem Schiedsverfahren genutzt wird.

Rechtsanwaltsgebühren sind von dieser Bestimmung oder einem anderen Fonds im Rahmen dieser Bestimmung nicht erfasst. Juni , 21 U. Weiter ist im FAA festgelegt: Die Vereinigten Staaten und die Europäische Union haben beide das Ziel, den Datenschutz zu verstärken, wobei die Vereinigten Staaten jedoch einen anderen Ansatz verfolgen als die Europäische Gemeinschaft. Angesichts dieser Unterschiede und um Organisationen in den Vereinigten Staaten einen zuverlässigen Mechanismus für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten bereitzustellen und dabei gleichzeitig sicherzustellen, dass betroffene EU-Bürger weiter in den Genuss wirksamer Garantien und eines wirksamen Schutzes bei der Verarbeitung ihrer personenbezogenen Daten nach deren Übermittlung in Nicht-EU-Länder kommen, legt das Handelsministerium im Rahmen seiner gesetzlichen Befugnis, internationalen Handel zu pflegen, zu fördern und zu entwickeln 15 U.

Die Grundsätze wurden in Absprache mit der Europäischen Kommission sowie mit der Industrie und anderen Interessenträgern entwickelt, um den Handel zwischen der Europäischen Union und den Vereinigten Staaten zu erleichtern. Ebenso wenig schränken die Prinzipien ansonsten nach US-Recht geltende Datenschutzverpflichtungen ein. Obwohl Entscheidungen von Organisationen, so dem Datenschutzschild beizutreten, vollkommen freiwillig sind, ist die wirksame Einhaltung der Grundsätze obligatorisch: Organisationen, die dem Ministerium eine Selbstzertifizierung bekanntgeben und öffentlich erklären, dass sie die Grundsätze befolgen, müssen diese vollständig einhalten.

Das Ministerium wird eine Organisation von der Datenschutzschild-Liste streichen, wenn sie freiwillig aus dem Datenschutzschild ausscheidet oder wenn sie es versäumt, ihre jährlich fällige Zertifizierung gegenüber dem Ministerium zu erneuern. Die Streichung einer Organisation von der Datenschutz-Liste bedeutet, dass sie nicht mehr in den Genuss des Angemessenheitsbeschlusses der Europäischen Kommission zum Empfang personenbezogener Daten aus der EU kommen kann.

Das Ministerium wird zudem jene Organisationen von der Datenschutzschild-Liste streichen, die die Grundsätze fortgesetzt missachten; diese Organisationen verlieren die mit dem Datenschutzschild verbundenen Vorteile und müssen die personenbezogenen Daten zurückgeben oder löschen, die sie im Rahmen des Datenschutzschilds erhalten haben. Das Ministerium wird ferner ein verbindliches Verzeichnis der US-Organisationen führen und der Öffentlichkeit zugänglich machen, die ehemals eine Selbstzertifizierung gegenüber dem Ministerium abgegeben haben, aber von der Datenschutzschild-Liste gestrichen wurden.

Das Ministerium wird deutlich auf Folgendes hinweisen: Die Einhaltung dieser Grundsätze kann begrenzt sein: Die Organisationen sind verpflichtet, die Grundsätze nach ihrem Beitritt zum Datenschutzschild auf alle personenbezogenen Daten anzuwenden, die im Vertrauen auf den Datenschutzschild übermittelt werden.

Eine Organisation, die sich für eine Ausdehnung der Vorteile des Datenschutzschilds auf Personaldaten entscheidet, die im Rahmen eines Beschäftigungsverhältnisses aus der EU übermittelt werden, muss darauf hinweisen, wenn sie sich dem Ministerium gegenüber auf die Grundsätze verpflichtet, und sie muss die in den Zusatzgrundsätzen zur Selbstzertifizierung beschriebenen Anforderungen erfüllen.

Für Fragen der Auslegung und der Einhaltung der Grundsätze sowie der einschlägigen Datenschutzbestimmungen durch Organisationen, die dem Datenschutzschild angehören, gilt das US-Recht; es gilt nicht, wenn sich diese Organisationen zur Zusammenarbeit mit europäischen Datenschutzbehörden verpflichtet haben. Sofern nicht anderweitig festgelegt, finden sämtliche Bestimmungen der Grundsätze in allen Fällen, in denen sie relevant sind, Anwendung.

Der Tag des Wirksamwerdens der Grundsätze ist der Tag, an dem der Angemessenheitsbeschluss der Kommission endgültig genehmigt wird. Diese Angaben sind den Betroffenen unmissverständlich und deutlich erkennbar zu machen, wenn sie erstmalig ersucht werden, der Organisation personenbezogene Daten zu liefern, oder so bald wie möglich danach, auf jeden Fall aber bevor die Organisation die Daten zu anderen Zwecken verwendet als denen, für die sie von der übermittelnden Organisation ursprünglich erhoben oder verarbeitet wurden, oder bevor sie die Daten erstmalig an einen Dritten weitergibt.

Der betroffenen Person muss die Ausübung ihres Wahlrechts durch leicht erkennbare, verständliche und leicht zugängliche Verfahren ermöglicht werden. Abweichend vom vorstehenden Absatz unterliegt die Übermittlung solcher Daten an einen Dritten nicht dem Grundsatz der Wahlmöglichkeit, wenn dieser im Auftrag oder auf Anweisung der Organisation tätig ist.

Bei sensiblen Daten d. Darüber hinaus sollen die Organisationen alle ihnen von Dritten übermittelten personenbezogenen Daten als sensibel behandeln, die der Übermittler als sensibel einstuft und behandelt. Verantwortlichkeit für die Weitergabe. Eine Organisation darf personenbezogene Daten nur dann an Dritte, die als für die Verarbeitung Verantwortliche tätig sind, weitergeben, wenn sie die Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet.

Bei der Weitergabe von personenbezogenen Daten an einen Dritten, der in ihrem Auftrag und auf ihre Anweisung tätig ist, gilt für eine Organisation Folgendes: Die Organisation muss die Grundsätze so lange einhalten, wie sie diese Informationen aufbewahrt. Diese Verpflichtung hindert Organisationen nicht daran, personengebundene Informationen über längere Zeiträume zu verarbeiten, solange und soweit diese Verarbeitung hinreichend den Zwecken einer Archivierung im öffentlichen Interesse, des Journalismus, der Literatur und Kunst, der wissenschaftlichen oder historischen Forschung und der statistischen Analyse dient.

Privatpersonen müssen Zugang zu den personenbezogenen Daten haben, die eine Organisation über sie besitzt, und sie müssen die Möglichkeit haben, diese zu korrigieren, zu ändern oder zu löschen, wenn sie falsch sind oder unter Missachtung der Grundsätze verarbeitet wurden, es sei denn, die Belastung oder die Kosten für die Gewährung des Zugangs würden in dem jeweiligen Fall in einem Missverhältnis zu den Nachteilen für den Betroffenen stehen, oder Rechte anderer Personen als des Betroffenen würden verletzt.

Rechtsschutz, Durchsetzung und Haftung. Für einen effektiven Schutz der Privatsphäre müssen belastbare Mechanismen geschaffen werden, die die Einhaltung der Grundsätze gewährleisten, Rechtsbehelfe für Betroffene vorsehen, bei deren Daten die Grundsätze nicht eingehalten wurden, sowie Sanktionen für die Organisation, die die Grundsätze nicht befolgt.

Diese Mechanismen müssen mindestens Folgendes umfassen:. Verpflichtungen zur Lösung von Problemen, die daraus resultieren, dass Organisationen die Einhaltung der Grundsätze zwar erklärt, sich aber trotzdem nicht daran gehalten haben, sowie entsprechende Sanktionen für diese Organisationen.

Die Sanktionen müssen hinreichend streng sein, um sicherzustellen, dass die Organisationen die Grundsätze einhalten. Organisationen und die von ihnen gewählten unabhängigen Beschwerdestellen werden rasch auf Anfragen und Auskunftsbegehren des Ministeriums reagieren, die mit dem Datenschutzschild im Zusammenhang stehen. Alle Organisationen müssen zügig auf von Behörden der EU-Mitgliedstaaten über das Ministerium weitergeleitete Beschwerden bezüglich der Einhaltung der Grundsätze reagieren.

Organisationen sind verpflichtet, Ansprüche im Schiedsverfahren zu regeln und die in Anlage I aufgeführten Bedingungen einzuhalten, sofern eine Privatperson durch Benachrichtigung der betreffenden Organisation und entsprechend den Verfahren und Bedingungen nach Anlage I ein verbindliches Schiedsverfahren beantragt hat. Die dem Datenschutzschild angehörende Organisation bleibt nach den Grundsätzen haftbar, wenn ihr Beauftragter diese personenbezogenen Daten auf eine Art und Weise verarbeitet, die nicht im Einklang mit den Grundsätzen steht, es sei denn, sie weist nach, dass sie für das Ereignis, das den Schaden bewirkt hat, nicht verantwortlich ist.

Das Ministerium hat eine spezielle Kontaktstelle eingerichtet, an die sich Datenschutzbehörden bei Compliance-Problemen von dem Datenschutzschild angehörenden Organisationen wenden können. Die FTC wird Fälle der Missachtung der Grundsätze, die ihr vom Ministerium und Behörden der EU-Mitgliedstaaten zugeleitet wurden, vorrangig behandeln und vorbehaltlich der geltenden Geheimhaltungsvorschriften zeitnah mit den vorlegenden staatlichen Behörden Informationen zu diesen Fällen austauschen.

Eine Organisation muss keine ausdrückliche Zustimmung Opt-in für die Verarbeitung sensibler Daten einholen, wenn die Verarbeitung. Ausnahmen für den journalistischen Bereich.

Die Grundsätze des Datenschutzschilds gelten nicht für personenbezogene Daten, die zur Veröffentlichung, zur Verbreitung über Rundfunk und Fernsehen oder für andere Formen öffentlicher Kommunikation gesammelt werden, unabhängig davon, ob sie tatsächlich genutzt werden oder nicht, ebenso nicht für früher veröffentlichtes Material, das aus Medienarchiven stammt. Wie auch die Richtlinie selbst begründet der Datenschutzschild keine hilfsweise Haftung. Soweit eine Organisation personenbezogene Daten Dritter nur weiterleitet und weder Mittel noch Zweck ihrer Verarbeitung bestimmt, ist sie nicht haftbar.

Bei der Tätigkeit von Investmentbanken und Wirtschaftsprüfern kann es vorkommen, dass personenbezogene Daten ohne Wissen und Einwilligung des Betroffenen verarbeitet werden. Dies ist unter den nachfolgend aufgeführten Voraussetzungen mit den Grundsätzen der Informationspflicht, des Wahlrechts und des Auskunftsrechts vereinbar. Diese Prüfungen, vor allem wenn damit ein potenzielles Fehlverhalten untersucht wird, können in Gefahr geraten, wenn sie vorzeitig bekannt werden.

Eine dem Datenschutzschild angehörende Organisation, bei der eine Fusion oder Übernahme ansteht, muss zudem eine Due-Diligence-Prüfung durchführen oder ist Gegenstand einer derartigen Prüfung. Dabei werden oft personenbezogene Daten erhoben und verarbeitet, wie z. Informationen über Führungskräfte und andere Leistungsträger.

Investmentbanken und Rechtsanwälte, die eine Due-Diligence-Prüfung durchführen, oder Wirtschaftsprüfer können personenbezogene Daten ohne Wissen des Betroffenen nur verarbeiten, soweit und solange das aufgrund gesetzlicher oder im öffentlichen Interesse liegender Erfordernisse notwendig ist, und können das auch in anderen Fällen, wenn die Anwendung der Grundsätze ihren legitimen Interessen zuwiderlaufen würde.

Die Rolle der Datenschutzbehörden. Die Organisationen werden ihre Verpflichtung zur Zusammenarbeit mit Datenschutzbehörden der Europäischen Union wie nachfolgend dargelegt umsetzen.

Nach den Grundsätzen des Datenschutzschilds müssen in den USA ansässige Organisationen, die personenbezogene Daten aus der EU erhalten, mit geeigneten Mitteln dafür sorgen, dass diese Grundsätze gewahrt werden.

Den Punkten a i und a iii des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung können Organisationen dadurch entsprechen, dass sie die hier festgelegten Anforderungen zur Zusammenarbeit mit den Datenschutzbehörden einhalten. Die Beratung übernimmt ein informelles Gremium, in dem europäische Datenschutzbehörden vertreten sind, so dass u.

Das Gremium berät die betreffenden US-amerikanischen Organisationen bei ungeklärten Beschwerden von Einzelpersonen über den Umgang mit personenbezogenen Daten, die aus der EU im Rahmen des Datenschutzschilds übermittelt wurden. Dabei ermutigt es die betroffenen Einzelpersonen zunächst, die verfügbaren internen Verfahren zur Behandlung von Beschwerden, die die Organisation bereitstellt, zu nutzen, und unterstützt sie erforderlichenfalls dabei.

Grundsätzlich wird das Gremium sich bemühen, die Beratung binnen sechzig Tagen nach Eingang einer Beschwerde oder dem Ersuchen einer Organisation anzubieten, und falls möglich noch rascher. Soweit es ihm angemessen erscheint, veröffentlicht das Gremium die Ergebnisse der Beschwerdeprüfungen. Die Beratung ist weder für das Gremium selbst noch für eine der beteiligten Datenschutzbehörden mit irgendeiner Form der Haftung verbunden. Organisationen, die sich für diese Form der Streitbeilegung entscheiden, müssen sich verpflichten, den Empfehlungen der Datenschutzbehörden zu folgen.

Durchsetzungsgewalt in Fällen von Irreführung oder unrichtiger Erklärung besitzt. Oder es teilt mit, dass es zu dem Schluss gelangt ist, dass eine gravierende Verletzung der Kooperationsvereinbarung vorliegt und diese mithin null und nichtig ist.

In diesem Fall unterrichtet das Gremium das Handelsministerium, so dass die Datenschutzschild-Liste entsprechend geändert werden kann. Organisationen, die sich für diese Option entscheiden, zahlen eine Jahresgebühr, die dazu bestimmt ist, die laufenden Kosten des Gremiums der Datenschutzbehörden zu decken; ferner können sie zur Begleichung der Kosten für alle erforderlichen Übersetzungen herangezogen werden, die sich aus der Beratungstätigkeit des Gremiums im Zusammenhang mit Beschwerden gegenüber den Organisationen ergeben.

In den Genuss der Vorteile des Datenschutzschilds kommt eine Organisation ab dem Tag, an dem das Ministerium ihren Selbstzertifizierungsantrag nach Feststellung der Vollständigkeit in die Datenschutzschild-Liste aufgenommen hat. Um sich für den Datenschutzschild selbst zu zertifizieren, muss die Organisation dem Ministerium einen von einem leitenden Mitarbeiter im Namen der Organisation unterzeichneten Selbstzertifizierungsantrag einreichen, der mindestens folgende Angaben enthält:.

Beschreibung der Datenschutzbestimmungen der Organisation, die folgende Angaben umfassen muss:. Kontaktstelle, die für die Bearbeitung von Beschwerden, Auskunftsersuchen und anderen Angelegenheiten des Datenschutzschilds zuständig ist;. Wenn die Organisation wünscht, dass ihr die Vorteile des Datenschutzschilds auch bei Personaldaten zuteilwerden, die zur Verwendung im Rahmen von Beschäftigungsverhältnissen aus der EU übermittelt werden, so ist dies möglich, wenn eine in den Grundsätzen oder in einem künftigen Anhang zu den Grundsätzen aufgeführte gesetzliche Aufsichtsbehörde befugt ist, Beschwerden gegen die Organisation aufgrund der Verarbeitung von Personaldaten entgegenzunehmen.

Diese Selbstzertifizierungsanträge sind mindestens jährlich neu vorzulegen, andernfalls wird die Organisation von der Datenschutzschild-Liste gestrichen, und die Vorteile des Datenschutzschilds sind nicht mehr garantiert. Die Datenschutzschild-Liste und die von den Organisationen vorgelegten Selbstzertifizierungsanträge werden der Öffentlichkeit zugänglich gemacht.

Alle Organisationen, die vom Ministerium auf die Datenschutzschild-Liste gesetzt werden, müssen in ihren relevanten veröffentlichten Datenschutzbestimmungen auch erklären, dass sie sich an die Grundsätze des Datenschutzschilds halten. Wenn die Datenschutzbestimmungen einer Organisation online verfügbar sind, müssen sie mit einem Hyperlink zur Website des Datenschutzschilds beim Ministerium versehen sein sowie mit einem Hyperlink zur Website oder dem Beschwerdeformular der unabhängigen Beschwerdestelle, die ungeklärte Beschwerden prüft.

Die Datenschutzgrundsätze werden bei Zertifizierung unverzüglich wirksam. In Anbetracht der Tatsache, dass sich die Grundsätze auf die Geschäftsbeziehungen zu Dritten auswirken, werden Organisationen, die sich innerhalb der ersten zwei Monate nach Inkrafttreten der Datenschutzschild-Regelung dafür zertifizieren, ihre bestehenden Geschäftsbeziehungen zu Dritten so bald wie möglich, spätestens jedoch neun Monate nach ihrer Zertifizierung gegenüber dem Datenschutzschild, mit dem Grundsatz der Verantwortlichkeit für die Weitergabe in Übereinstimmung bringen.

In diesem Übergangszeitraum werden die Organisationen bei der Übermittlung von Daten an einen Dritten i die Grundsätze der Informationspflicht und der Wahlmöglichkeit anwenden und sich ii bei Übergabe personenbezogener Daten an einen Dritten, der in ihrem Auftrag und auf ihre Anweisung tätig ist, vergewissern, dass der Beauftragte mindestens das Schutzniveau gewährleistet, das in den Grundsätzen gefordert wird.

Eine Organisation muss die Grundsätze des Datenschutzschilds auf alle unter Bezugnahme auf den Datenschutzschild aus der EU empfangenen personenbezogenen Daten anwenden.

Die Verpflichtung auf die Grundsätze des Datenschutzschilds gilt ohne zeitliche Begrenzung für personenbezogene Daten, die der Organisation übermittelt wurden, während sie in den Genuss der Vorteile des Datenschutzschilds gelangte. Diese Daten unterliegen den Grundsätzen so lange, wie die Organisation sie speichert, verarbeitet oder weitergibt, und das auch dann noch, wenn sie aus welchem Grund auch immer den Datenschutzschild verlässt.

Eine Organisation, die aus dem Datenschutzschild ausscheidet, muss aus den relevanten Datenschutzbestimmungen jede Bezugnahme auf den Datenschutzschild entfernen, die darauf hindeutet, dass sich die Organisationen weiterhin aktiv am Datenschutzschild beteiligt und Anspruch auf die damit verbundenen Vorteile hat.

Eine Organisation, die aufgrund einer Fusion oder einer Übernahme ihren Status als selbstständige rechtliche Einheit verliert, muss dies dem Ministerium vorher mitteilen.

In dieser Mitteilung sollte auch darauf hingewiesen werden, ob die übernehmende Einheit bzw. Ist weder i noch ii der Fall, müssen alle Daten, die im Rahmen des Datenschutzschilds gesammelt wurden, unverzüglich gelöscht werden. Wenn eine Organisation aus welchem Grund auch immer den Datenschutzschild verlässt, muss sie alle Erklärungen entfernen, die darauf hindeuten, dass sie sich weiter am Datenschutzschild beteiligt oder Ansprüche auf die damit verbundenen Vorteile hat. Bei falschen Angaben über die Einhaltung der Datenschutzgrundsätze, die die Organisation gegenüber der Öffentlichkeit macht, können die FTC oder andere zuständige staatliche Stellen gegen sie vorgehen.

Organisationen müssen sich anhand von Kontrollverfahren vergewissern, dass der von ihnen zugesicherte Datenschutz im Rahmen des Datenschutzschilds tatsächlich besteht und dass ihre Datenschutzpolitik tatsächlich umgesetzt worden ist und den Grundsätzen des Datenschutzschilds entspricht.

We use cookies to deliver our online services. Details and instructions on how to disable those cookies are set out at nortonrosefulbright.

By continuing to use this website you agree to our use of our cookies unless you have disabled them. Technical resources Stay connected. Unsere Einschätzung Der Abschluss des Abkommens ist ein positives Zeichen für alle Unternehmen, die personenbezogene Daten aus dem Europäischen Wirtschaftsraum exportieren.

Data protection, privacy and cybersecurity. Bleiben Sie auf dem Laufenden mit den neuesten rechtlichen nachrichten und events A blank form is available here. The Department of Justice does not charge fees for you to participate in the remission process. Frequently Asked Questions What is this case about?

Who is eligible to file a Petition for Remission, and how? If I qualify, how much money will I get back? What will I need to do to get a payment? How do I file a Petition for Remission? What should I do if I disagree with the loss amount printed on my petition? Which Western Union transfers qualify? When will I get a payment?

What will happen if I do nothing? Can an attorney file a Petition on behalf of their client? Why am I required to provide my Social Security Number? What if the amount I transferred is not in U. Can I file a petition on behalf of an estate?

What if I need to change the name on the petition? How can I print a blank petition form? Do I need an attorney to file a petition? Is there a fee for filing a petition? Where can I get more information? What is this case about? Top Who is eligible to file a Petition for Remission, and how? Top If I qualify, how much money will I get back? Top What is remission?