Suche
Contact
14.10.2022 | KPMG Law Insights

Zweifel an US-Präsident Bidens Executive Order zum Datenschutz

Kommt ein neues Datenschutzabkommen mit den USA? Falls ja, bleibt es auch?

Nachdem die EU und die USA am 25. März 2022 eine „grundsätzliche Einigung“ über neue Regeln für den transatlantischen Datenaustausch bekannt gegeben haben, hat US-Präsident Joe Biden am 07. Oktober 2022 die darin angekündigte Executive Order zur Einführung des „EU-U.S. Data Privacy Framework“ (kurz EU-U.S. DPF) unterzeichnet. Dieser Rechtsakt könnte die Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission darstellen und damit die lang ersehnte Rechtssicherheit für die Übermittlung personenbezogener Daten zwischen Europa und den USA wiederherstellen. Doch die Reaktionen hierauf fallen gemischt aus. Während amerikanische Branchenverbände, Regierungsbehörden sowie die EU-Kommission die angekündigten Maßnahmen begrüßen, haben europäische Datenschützer erhebliche Zweifel daran, dass die Executive Order genügt, um die im Schrems II-Urteil des EuGH identifizierten Diskrepanzen zwischen den Befugnissen amerikanischer Sicherheitsbehörden sowie der EU-Grundrechtecharta (GRCh) auszuräumen. Wer hat nun Recht?

Das Wichtigste vorab:

  • US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order unterzeichnet, um den datenschutzrechtlichen Anforderungen der EU gerecht zu werden.
  • Es bestehen Zweifel, ob die verabschiedeten Maßnahmen den Ansprüchen des EU-Rechts und des EuGH genügen.
  • Die Executive Order könnte die Grundlage für einen neuen Angemessenheitsbeschluss darstellen, welcher bereits im März 2023 beschlossen werden könnte.
  • Der Erlass der Executive Order ändert nichts an der aktuellen Rechtslage. Bis auf Weiteres sollten Unternehmen Standardvertragsklauseln abschließen und Transfer Impact Assessments erstellen, um Datentransfers in die USA abzusichern.

Wesentliche Inhalte

Die wesentlichen Kritikpunkte an der amerikanischen Rechtslage, die der EuGH in seinem Schrems II-Urteil nannte, bestanden insbesondere darin, dass die von den USA durchgeführten Überwachungsmaßnahmen nicht verhältnismäßig im Sinne des Art. 52 GRCh waren und Betroffenen entgegen Art. 47 GRCh kein gerichtlicher Rechtsbehelf zur Verfügung stand. Die Executive Order nimmt sich dieser Kritik ausdrücklich an.

1. Einführung einer Verhältnismäßigkeitsprüfung

Sec. 2 der Executive Order sieht vor, dass nachrichtendienstliche Aktivitäten nur zur Erreichung vordefinierter legitimer Ziele eingesetzt werden dürfen. Darüber hinaus müssen Überwachungsmaßnahmen zukünftig zur Erreichung der legitimen Ziele „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate) im Hinblick auf den Eingriff in die Privatsphäre und Freiheiten Betroffener sein – unabhängig davon ob es sich dabei um US-Bürger:innen handelt oder nicht.

Damit nähert sich die Executive Order zumindest im Wortlaut den Voraussetzungen für Grundrechtseingriffe in Art. 52 GRCh an. Wesentlich entscheidender ist jedoch, wie die Begriffe der „Erforderlichkeit“ und „Verhältnismäßigkeit“ in der jeweiligen Rechtsordnung interpretiert werden. Schon aus der Executive Order selbst geht hervor, dass die Schwellen der Erforderlichkeit und Verhältnismäßigkeit nach amerikanischem Verständnis spürbar niedriger liegen. Während die Executive Order ausdrücklich weiterhin die Möglichkeit von Massenüberwachungsmaßnahmen („bulk surveillance“), wie Upstream und PRISM vorsieht (Sec. 2. (c) (ii)), hat der EuGH mit Urteil vom 20.09.22 (C-793/19 und C-794/19) die deutschen Regelungen zur Vorratsdatenspeicherung erneut für europarechtswidrig erklärt. Mithin erscheint fraglich, ob das amerikanische Verständnis von Verhältnismäßigkeit einer Überprüfung durch den EuGH wird standhalten können.

2. Zweistufiger Rechtsbehelf & Data Protection Review Court

Die Executive Order sieht ein zweistufiges Rechtsbehelfsverfahren vor, im Rahmen dessen auch Betroffene aus der EU Beschwerden gegen Überwachungsmaßnahmen einlegen können. In der ersten Stufe werden diese vom „Civil Liberties Protection Officer“ (CLPO) überprüft, welcher dem „Director of National Intelligence“ und damit einer US-Behörde untersteht. Dieser wird in einem geheimen Verfahren darüber entscheiden, ob ein Verstoß erfolgt ist. Der Betroffene wird lediglich darüber informiert, dass entweder kein Verstoß vorlag oder dass Abhilfemaßnahmen rechtsverbindlich angeordnet wurden („the review either did not identify any covered violations or the [CLPO] issued a determination requiring appropriate remediation“).

Entscheidungen des CLPO können auf Verlangen des Betroffenen oder einer Überwachungsbehörde in der zweiten Stufe vom neu zu bildenden „Data Protection Review Court“ (DPRC) überprüft werden. Die Mitglieder dieses Gremiums müssen sich aus fachkundigen Rechtsanwendern zusammensetzen, die zum Zeitpunkt ihrer Ernennung nicht in einem Anstellungsverhältnis mit einer amerikanischen Behörde stehen. Wie im Verfahren vor dem CLPO erfolgen die Entscheidungen geheim und Betroffene erhalten lediglich eine allgemeine Information über den Ausgang des Verfahrens.

Zwar wird das Entscheidungsgremium als „Court“ und damit im Deutschen als „Gericht“ bezeichnet. Allerdings bestehen erhebliche Zweifel, ob der DPRC tatsächlich die Anforderungen an ein unabhängiges und unparteiisches Gericht im Sinne des Art. 47 GRCh erfüllt. Nach dem Wortlaut von Sec. 3 (d) (i) der Executive Order dürfen die Mitglieder des DPRC während ihrer Amtszeit kein Amt innerhalb der US-Regierung innehaben – außer dem Amt als Richter des DPRC. Dies deutet auf eine Unterordnung des DPRC unter die Exekutive anstelle der Judikative hin. Darüber hinaus wird der Prozessvertreter des Betroffenen vom DPRC selbst bestimmt.

Auch enthält die Executive Order keine Aussage darüber, dass Betroffene über durchgeführte Überwachungsmaßnahmen unterrichtet werden müssen. Dies stellt die „Wirksamkeit“ des zur Verfügung gestellten Rechtsbehelfs ernsthaft in Frage.

Nächste Schritte

Die Europäische Kommission hat signalisiert, dass sie davon ausgeht, dass ein Angemessenheitsbeschluss über das EU-U.S. DPF, welches auf Grundlage der Executive Order abgeschlossen werden soll, einer gerichtlichen Überprüfung durch den EuGH standhalten wird. Dementsprechend hat sie das Verfahren zum Erlass eines Angemessenheitsbeschlusses nach Art. 45 DSGVO in die Wege geleitet. Vor der Beschlussfassung müssen der Europäische Datenschutzausschuss (EDSA) sowie die europäischen Mitgliedstaaten angehört werden. Es läge dabei allein in der Hand der Mitgliedstaaten den Beschluss zu verwerfen, was unwahrscheinlich sein dürfte. Eine Entscheidung über den Beschluss wird für März 2023 erwartet.

Was heißt das für Unternehmen?

Die Executive Order hat für europäische Unternehmen keinen unmittelbaren Effekt. Zur Übermittlung personenbezogener Daten sind nach wie vor die bisher zur Verfügung stehenden Transfermechanismen zu bemühen. An vorderster Stelle stehen dabei die neuen Standardvertragsklauseln, welche die EU-Kommission am 04. Juni 2021 veröffentlicht hat. Bestehende Standardvertragsklauseln, die noch auf den alten Mustern beruhen, müssen bis zum 27. Dezember 2022 auf die neuen Muster umgestellt werden, welche auch im Fall der USA ein Transfer Impact Assessment erfordern (wir berichteten hier). Sollte die Kommission auf Grundlage der Executive Order einen neuen Angemessenheitsbeschluss fassen, könnten auf dessen Grundlage personenbezogene Daten auch ohne weitere Voraussetzungen in die USA übermittelt werden. Hierauf sollten Unternehmen jedoch nicht bauen. Es bestehen berechtigte Zweifel an der Angemessenheit der neu beschlossenen Maßnahmen der US-Regierung im Hinblick an die Anforderungen der GRCh und des EuGH. Diese lassen nicht ausschließen, dass auch das EU-U.S. DPF kurze Zeit nach seinem Inkrafttreten für ungültig erklärt wird. Datenschutzaktivist Max Schrems hat bereits angedeutet, gegen einen neuen Angemessenheitsbeschluss vorzugehen, sollte dieser auf Grundlage der vorliegenden Executive Order beschlossen werden. Es bleibt daher anzuraten, Standardvertragsklauseln zu vereinbaren.

Explore #more

23.07.2025 | KPMG Law Insights

Steuerhinterziehung durch Influencer:innen: Warum jetzt die Selbstanzeige helfen kann

Weitere Autor:innen und Ansprechpartner: innen: Dr. Anne Schäfer, Marco Strootmann, Anastasia Podolak Die Finanzverwaltung nimmt das Influencer-Marketing ins Visier. Aktuell ermitteln Behörden…

22.07.2025 | KPMG Law Insights

Gesetz zur Umsetzung der RED III beschleunigt Genehmigungsverfahren für den Windenergieausbau

Das Gesetz zur Umsetzung der Erneuerbare-Energie-Richtlinie kann zeitnah in Kraft treten, nachdem der Bundestag dem Entwurf am 10. Juli und der Bundesrat am 11. Juli…

22.07.2025 | KPMG Law Insights

BGH: Baukostenzuschüsse bei Batteriespeichern weiterhin zulässig

Elektrizitätsverteilernetzbetreiber dürfen bei Netzanschlüssen von Batteriespeichern Baukostenzuschüsse erheben. Das hat der Bundesgerichtshof (BGH) am 15. Juli 2025 entschieden (Az EnVR 1/24). Die Höhe der…

21.07.2025 | In den Medien

FAZ Beitrag zum Thema Steuerhinterziehung von Influencern mit KPMG Law Statement

Nordrhein-Westfalen greift hart durch gegen Influencer, die mutmaßlich Steuern hinterziehen.  Auch Unternehmen, die Influencer beauftragen, stehen in der Pflicht. In einem Beitrag auf FAZ.net ordnen…

18.07.2025 | In den Medien

KPMG Law Statement im Handelsblatt: Hürden für internationale Fachkräfte

Deutschland hat einiges getan, um die Zuwanderung von Fachkräften zu erleichtern, zuletzt mit dem neuen Fachkräfteeinwanderungsgesetz aus dem Jahr 2023. Bei der Vergabe der sogenannten…

15.07.2025 | In den Medien

JUVE: KPMG Law Experte zu Top-Trends für mehr Effizienz in Rechtsabteilungen und Kanzleien

Die siebte Legal Operations Konferenz von JUVE und NWB hat gezeigt, wie tiefgreifend künstliche Intelligenz den Rechtsmarkt verändert. KPMG Law war wie in den letzten…

09.07.2025 | KPMG Law Insights

Restrukturierung mit Personalabbau: Auf die Vorbereitung kommt es an

Die Verkleinerung oder Schließung eines Unternehmensteils macht häufig auch Personalabbau erforderlich. Bei einem Personalabbau ist je nach Zahl der betroffenen Arbeitnehmer:innen der Betriebsrat zu beteiligen.…

08.07.2025 | Dealmeldungen

KPMG Law advises Finish Finnfoam Group on the acquisition of the Phonotherm business of insolvent BOSIG Baukunststoffe GmbH

KPMG Law advised Finnfoam Group (Salo/Finland) on the acquisition of the business unit „Phonotherm“ from BOSIG Baukunststoffe GmbH via the newly founded Warmotech GmbH as…

07.07.2025 | Dealmeldungen

KPMG Law berät HEMRO International AG beim Erwerb der Xenia Espresso GmbH

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die HEMRO Group, einen weltweit agierenden Hersteller von Kaffeemühlen und Vermahlungstechnologien mit Hauptsitz in Zürich, Schweiz, bei…

04.07.2025 | KPMG Law Insights

BGH stellt Grenzen des Kundenanlagenbegriffs klar

Der BGH hat am 3. Juli 2025 die Gründe seines Beschlusses vom 13. Mai 2025 (Az. EnVR 83/20) veröffentlicht und die mit Spannung erwarteten Präzisierungen…

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll