Beschwerdeformular an den U.S. Office of the Director of National Intelligence’s Civil Liberties Protection Officer (ODNI CLPO)
Rechtsbehelfsverfahren für Personen aus der Schweiz im Zusammenhang mit angeblichen Verstössen gegen US-Recht betreffend Daten, die von den für die nationale Sicherheit zuständigen US-Behörden erhoben wurden.
vom 15. September 2024
Vorbemerkungen
Mit diesem Formular können Personen aus der Schweiz Beschwerden über den angeblich unrechtmässigen Zugriff auf und die Verwendung von Daten durch US-Nachrichtendienste für ihre aus der Schweiz an Unternehmen in den USA übermittelten Personendaten einreichen. Dieser Rechtsbehelfsmechanismus gilt für alle von der Schweiz an die USA übermittelten Personendaten2 und nicht nur für Übermittlungen, die auf dem Swiss-U.S. Data Privacy Framework ("DPF")3 beruhen. Es gilt jedoch nur für Daten, die nach dem 15. September 2024 übermittelt werden4. Dieses Formular gilt nur für Beschwerden im Bereich der nachrichtendienstlichen Tätigkeiten im Bereich der nationalen Sicherheit. Es kann nicht verwendet werden, um eine Beschwerde über den Zugriff auf Daten durch US-Behörden zu anderen als nationalen Sicherheitszwecken einzureichen. Für Beschwerden im Zusammenhang mit den kommerziellen Aspekten des DPF verwenden Sie bitte das entsprechende Formular.
Bitte beachten Sie, dass, sobald Sie Ihre Beschwerde bei dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingereicht haben, dieser ihre Vollständigkeit überprüft, d. h. ob Ihre Beschwerde die in Abschnitt 4(k)(i)-(iv) der Executi-ve Order 14086 festgelegten Bedingungen erfüllt5. Sobald der EDÖB Ihre Beschwerde für vollständig qualifiziert, wird er eine Übersetzung Ihrer Anfrage ins Englische zur Verfügung stellen, wenn und soweit dies erforderlich ist6. Der EDÖB übermittelt Ihre Beschwerde an den U.S. Civil Liberties Protection Officer of the U.S. Office of the Director of National Intelligence ("CLPO"). Der CLPO ist eine Art Datenschutzbeauftragter beim Direktor der nationalen Nachrichtendienste. Die Übermittlung vom EDÖB an den CLPO erfolgt in verschlüsselter Form. Sobald der CLPO überprüft hat, ob die Beschwerde die erforderlichen Kriterien erfüllt, wird der CLPO prüfen, ob eine angemessene Abhilfemassnahme (d. h. rechtmässige Massnahmen zur vollständigen Beseitigung eines festgestellten Verstosses in Bezug auf einen bestimmten Beschwerdeführer und eine Beschwerde) notwendig ist und diese gegebenenfalls anordnen7. Sobald der CLPO die Überprüfung abgeschlossen hat, sendet er seine Antwort verschlüsselt an den EDÖB, welcher Sie über das Ergebnis informieren kann. Die standardisierte Antwort wird die Aussage enthalten, dass bei der Überprüfung entweder keine Verstösse festgestellt wurden oder eine Entscheidung erlassen wurde, die eine angemessene Abhilfemassnahme vorsieht8. Im Englischen lautet diese Mitteilung wie folgt: "The review either did not identify any covered violations or the Civil Liberties Protection officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation". Diese Antwort wird also weder bestätigen noch verneinen, ob Ihre Daten Ziel von Überwachungsmassnahmen waren, noch wird sie etwaige konkrete Abhilfemassnahmen benennen. Zusammen mit dieser Benachrichtigung informiert Sie der CLPO auch über die Möglichkeit, bei dem sog. Datenschutzkontrollgericht, dem Data Protection Review Court („DPRC“) eine Überprüfung der Entscheidungen des CLPO zu beantragen.
Innerhalb von 60 Tagen nach Erhalt der Mitteilung des CLPO haben Sie die Möglichkeit deren Überprüfung zu beantragen9. Diese Überprüfung können Sie erneut an den EDÖB richten, der, vergleichbar mit der Bearbeitung Ihrer ursprünglichen Beschwerde, diesen Antrag (einschliesslich einer Übersetzung ins Englische, wenn und soweit erforderlich) in verschlüsselter Form an das U.S. Department of Justice’s Office of Privacy and Civil Liberties ("OPCL"), d.h. an das Datenschutzbüro des US-Justizministeriums übermittelt, das das DPRC organisatorisch unterstützt10. Nachdem das DPRC die Prüfung Ihrer Beschwerde abgeschlossen hat, werden Sie über den EDÖB (einschliesslich einer Übersetzung aus dem Englischen, wenn und soweit erforderlich) über den Abschluss der Überprüfung durch das DPRC informiert. Die vom DPRC übermittelte Benachrichtigung enthält wiederum eine standardisierte Antwort, in der es heisst, dass bei der Überprüfung entweder keine Verstösse festgestellt wurden oder eine Entscheidung erlassen wurde, die eine angemessene Abhilfemassnahme vorsieht. Im Englischen lautet die Antwort: "The review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation11". Auch diese Mitteilung wird also weder bestätigen noch verneinen, ob Ihre Daten Ziel von Überwachungsmassnahmen waren, noch wird sie etwaige konkrete Abhilfemassnahmen benennen.
Der EDÖB überprüft Ihre Identität12. Der Identitätsnachweis erfolgt über die Vorlage eines gültigen Ausweisdokuments, z.B. Ihrer Identitätskarte oder Reisepasses. Dementsprechend bitten wir Sie, Ihrer Beschwerde beim EDÖB eine Kopie eines gültigen Ausweisdokuments beizufügen.
Adressat
Das vorliegende Formular können Sie entweder elektronisch oder auf dem postalischen Weg an die folgende Adresse einreichen:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Feldeggweg 1
CH-3003 Bern
- Sofern in diesem Dokument vom CLPO gesprochen wird, bezieht sich dies auf den Civil Liberties Protection Officer des Office of the Director on National Intelligence.
- Gemeint sind die Grundlagen für Auslandsübermittlungen i.S.v. Art. 16 Abs. 2 und 3 DSG, insbesondere Standarddatenschutzklauseln und verbindliche unternehmensinterne Datenschutzvorschriften.
- Vgl. Anhang 1 der Verordnung über den Datenschutz (Datenschutzverordnung, DSV) vom 31. August 2022, SR 235.11.
- Weitere Einzelheiten zu diesem Beschwerdeverfahren regeln die Executive Order 14086 ("E.O.14086"), die unter https://www.govinfo.gov/content/pkg/FR-2022-10-14/pdf/2022- 22531.pdf abrufbar ist, ergänzt durch die US-Regulation über das Data Protection Review Court, verfügbar unter https://www.justice.gov/d9/pages/attachments/2022/10/07/dprc_final_rule_signed.pdf sowie durch das in der Intelligence Directive 26 umgesetzte Durchführungsverfahren, abrufbar unter: https://www.dni.gov/files/documents/ICD/ICD_126-Im¬plementation-Procedures-for-SIGINT-Redress-Mechanism.pdf.
- E.O. 14086 Abschnitt 4(k)(v) sieht frei übersetzt Folgendes vor: "Eine zulässige Beschwerde ist eine schriftlich eingereichte Beschwerde, die von der zuständigen Behörde in einem zugelassenen Staat übermittelt wird, nachdem diese die Identität des Beschwerdeführers überprüft hat und festgestellt hat, dass die Beschwerde die Bedingungen von Abschnitt 5(k)(i)-(iv) dieser Verordnung erfüllt." Ausserdem legt die Intelligence Community Directive 126 in Abschnitt E(1)(c)(8) Folgendes fest: "Damit eine übermittelte Beschwerde eine zulässige Beschwerde im Sinne der Definition der Executive Order 14086 ist, muss die Beschwerde insbesondere (…) eine Überprüfung durch die zuständige Behörde in einem zugelassenen Staat enthalten: (a) von der Identität des Beschwerdeführers und (b) dass die Beschwerde die Bedingungen von Abschnitt E(1)(c)(1)-(7) dieser Richtlinie erfüllt"; und in Abschnitt E(1)(e): "Die Übermittlung der Beschwerde von einer zuständigen Behörde in einem zugelassenen Staat muss auch eine Beschreibung der Art und Weise enthalten, in der die Behörde die Identität des Beschwerdeführers überprüft hat. Der CLPO verlässt sich auf die Überprüfung der Identität des Beschwerdeführers durch die zuständige öffentliche Behörde in einem zugelassenen Staat; sollten jedoch entweder die von der zuständigen öffentlichen Behörde bereitgestellten Informationen oder die anschliessende Untersuchung der Beschwerde die Identität des Beschwerdeführers in Frage stellen, kann der CLPO von der öffentlichen Behörde in einem zugelassenen Staat zusätzliche Informationen anfordern, die keine nachrichtendienstlichen Quellen oder Methoden offenbaren oder anderweitig erkennen lassen, ob eine Person tatsächlich Gegenstand nachrichtendienstlicher Tätigkeiten war.".
- In Abschnitt E(1)(f) der Intelligence Community Directive 126 heisst es: "Wenn der CLPO feststellt, dass die Beschwerde nicht zulässig ist, weil sie die Bedingungen des Abschnitts (E)(1)(c) oder die Bedingungen des Abschnitts (E)(1)(d) dieser Richtlinie nicht erfüllt, wird der CLPO der zuständigen Behörde in einem zugelassenen Staat die Mängel der Beschwerde in einer schriftlichen Mitteilung über verschlüsselte elektronische Kommunikation und in englischer Sprache übermitteln."
- Dies kann beispielsweise Folgendes umfassen: Massnahmen zur Behebung verfahrenstechnischer oder technischer Verstösse im Zusammenhang mit einem anderweitig rechtmässigen Zugang; Beendigung der Erfassung von Daten, wenn die Erhebung nicht rechtmässig ist; Löschung von Daten, die unrechtmässig erhoben wurden; Löschung der Ergebnisse unangemessener Abfragen zu rechtmässig erhobenen Daten; Einschränkung des Zugriffs auf Daten.
- E.O. 14086, Abschnitt 3(c)(E)(1).
- §201(6)(a) Attorney General Regulation - 28 CFR Part 201 - Data Protection Review Court.
- Für die Berechnung, ob die Beschwerde innerhalb von 60 Tagen eingereicht wurde, wird das Datum der Mitteilung der Entscheidung des CLPO an den Beschwerdeführer durch die Datenschutzbehörde und das Datum, an dem der Beschwerdeführer ihre Beschwerde bei der Datenschutzbehörde einreicht, berücksichtigt.
- E.O. 14086, Abschnitt 3(d)(i)(H).
- E.O. 14086, Abschnitt 4(k)(v) und Abschnitt E(1)(c)(8) der Intelligence Community Directive 126.
Letzte Änderung 29.10.2024