Suche
Contact
14.10.2022 | KPMG Law Insights

Zweifel an US-Präsident Bidens Executive Order zum Datenschutz

Kommt ein neues Datenschutzabkommen mit den USA? Falls ja, bleibt es auch?

Nachdem die EU und die USA am 25. März 2022 eine „grundsätzliche Einigung“ über neue Regeln für den transatlantischen Datenaustausch bekannt gegeben haben, hat US-Präsident Joe Biden am 07. Oktober 2022 die darin angekündigte Executive Order zur Einführung des „EU-U.S. Data Privacy Framework“ (kurz EU-U.S. DPF) unterzeichnet. Dieser Rechtsakt könnte die Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission darstellen und damit die lang ersehnte Rechtssicherheit für die Übermittlung personenbezogener Daten zwischen Europa und den USA wiederherstellen. Doch die Reaktionen hierauf fallen gemischt aus. Während amerikanische Branchenverbände, Regierungsbehörden sowie die EU-Kommission die angekündigten Maßnahmen begrüßen, haben europäische Datenschützer erhebliche Zweifel daran, dass die Executive Order genügt, um die im Schrems II-Urteil des EuGH identifizierten Diskrepanzen zwischen den Befugnissen amerikanischer Sicherheitsbehörden sowie der EU-Grundrechtecharta (GRCh) auszuräumen. Wer hat nun Recht?

Das Wichtigste vorab:

  • US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order unterzeichnet, um den datenschutzrechtlichen Anforderungen der EU gerecht zu werden.
  • Es bestehen Zweifel, ob die verabschiedeten Maßnahmen den Ansprüchen des EU-Rechts und des EuGH genügen.
  • Die Executive Order könnte die Grundlage für einen neuen Angemessenheitsbeschluss darstellen, welcher bereits im März 2023 beschlossen werden könnte.
  • Der Erlass der Executive Order ändert nichts an der aktuellen Rechtslage. Bis auf Weiteres sollten Unternehmen Standardvertragsklauseln abschließen und Transfer Impact Assessments erstellen, um Datentransfers in die USA abzusichern.

Wesentliche Inhalte

Die wesentlichen Kritikpunkte an der amerikanischen Rechtslage, die der EuGH in seinem Schrems II-Urteil nannte, bestanden insbesondere darin, dass die von den USA durchgeführten Überwachungsmaßnahmen nicht verhältnismäßig im Sinne des Art. 52 GRCh waren und Betroffenen entgegen Art. 47 GRCh kein gerichtlicher Rechtsbehelf zur Verfügung stand. Die Executive Order nimmt sich dieser Kritik ausdrücklich an.

1. Einführung einer Verhältnismäßigkeitsprüfung

Sec. 2 der Executive Order sieht vor, dass nachrichtendienstliche Aktivitäten nur zur Erreichung vordefinierter legitimer Ziele eingesetzt werden dürfen. Darüber hinaus müssen Überwachungsmaßnahmen zukünftig zur Erreichung der legitimen Ziele „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate) im Hinblick auf den Eingriff in die Privatsphäre und Freiheiten Betroffener sein – unabhängig davon ob es sich dabei um US-Bürger:innen handelt oder nicht.

Damit nähert sich die Executive Order zumindest im Wortlaut den Voraussetzungen für Grundrechtseingriffe in Art. 52 GRCh an. Wesentlich entscheidender ist jedoch, wie die Begriffe der „Erforderlichkeit“ und „Verhältnismäßigkeit“ in der jeweiligen Rechtsordnung interpretiert werden. Schon aus der Executive Order selbst geht hervor, dass die Schwellen der Erforderlichkeit und Verhältnismäßigkeit nach amerikanischem Verständnis spürbar niedriger liegen. Während die Executive Order ausdrücklich weiterhin die Möglichkeit von Massenüberwachungsmaßnahmen („bulk surveillance“), wie Upstream und PRISM vorsieht (Sec. 2. (c) (ii)), hat der EuGH mit Urteil vom 20.09.22 (C-793/19 und C-794/19) die deutschen Regelungen zur Vorratsdatenspeicherung erneut für europarechtswidrig erklärt. Mithin erscheint fraglich, ob das amerikanische Verständnis von Verhältnismäßigkeit einer Überprüfung durch den EuGH wird standhalten können.

2. Zweistufiger Rechtsbehelf & Data Protection Review Court

Die Executive Order sieht ein zweistufiges Rechtsbehelfsverfahren vor, im Rahmen dessen auch Betroffene aus der EU Beschwerden gegen Überwachungsmaßnahmen einlegen können. In der ersten Stufe werden diese vom „Civil Liberties Protection Officer“ (CLPO) überprüft, welcher dem „Director of National Intelligence“ und damit einer US-Behörde untersteht. Dieser wird in einem geheimen Verfahren darüber entscheiden, ob ein Verstoß erfolgt ist. Der Betroffene wird lediglich darüber informiert, dass entweder kein Verstoß vorlag oder dass Abhilfemaßnahmen rechtsverbindlich angeordnet wurden („the review either did not identify any covered violations or the [CLPO] issued a determination requiring appropriate remediation“).

Entscheidungen des CLPO können auf Verlangen des Betroffenen oder einer Überwachungsbehörde in der zweiten Stufe vom neu zu bildenden „Data Protection Review Court“ (DPRC) überprüft werden. Die Mitglieder dieses Gremiums müssen sich aus fachkundigen Rechtsanwendern zusammensetzen, die zum Zeitpunkt ihrer Ernennung nicht in einem Anstellungsverhältnis mit einer amerikanischen Behörde stehen. Wie im Verfahren vor dem CLPO erfolgen die Entscheidungen geheim und Betroffene erhalten lediglich eine allgemeine Information über den Ausgang des Verfahrens.

Zwar wird das Entscheidungsgremium als „Court“ und damit im Deutschen als „Gericht“ bezeichnet. Allerdings bestehen erhebliche Zweifel, ob der DPRC tatsächlich die Anforderungen an ein unabhängiges und unparteiisches Gericht im Sinne des Art. 47 GRCh erfüllt. Nach dem Wortlaut von Sec. 3 (d) (i) der Executive Order dürfen die Mitglieder des DPRC während ihrer Amtszeit kein Amt innerhalb der US-Regierung innehaben – außer dem Amt als Richter des DPRC. Dies deutet auf eine Unterordnung des DPRC unter die Exekutive anstelle der Judikative hin. Darüber hinaus wird der Prozessvertreter des Betroffenen vom DPRC selbst bestimmt.

Auch enthält die Executive Order keine Aussage darüber, dass Betroffene über durchgeführte Überwachungsmaßnahmen unterrichtet werden müssen. Dies stellt die „Wirksamkeit“ des zur Verfügung gestellten Rechtsbehelfs ernsthaft in Frage.

Nächste Schritte

Die Europäische Kommission hat signalisiert, dass sie davon ausgeht, dass ein Angemessenheitsbeschluss über das EU-U.S. DPF, welches auf Grundlage der Executive Order abgeschlossen werden soll, einer gerichtlichen Überprüfung durch den EuGH standhalten wird. Dementsprechend hat sie das Verfahren zum Erlass eines Angemessenheitsbeschlusses nach Art. 45 DSGVO in die Wege geleitet. Vor der Beschlussfassung müssen der Europäische Datenschutzausschuss (EDSA) sowie die europäischen Mitgliedstaaten angehört werden. Es läge dabei allein in der Hand der Mitgliedstaaten den Beschluss zu verwerfen, was unwahrscheinlich sein dürfte. Eine Entscheidung über den Beschluss wird für März 2023 erwartet.

Was heißt das für Unternehmen?

Die Executive Order hat für europäische Unternehmen keinen unmittelbaren Effekt. Zur Übermittlung personenbezogener Daten sind nach wie vor die bisher zur Verfügung stehenden Transfermechanismen zu bemühen. An vorderster Stelle stehen dabei die neuen Standardvertragsklauseln, welche die EU-Kommission am 04. Juni 2021 veröffentlicht hat. Bestehende Standardvertragsklauseln, die noch auf den alten Mustern beruhen, müssen bis zum 27. Dezember 2022 auf die neuen Muster umgestellt werden, welche auch im Fall der USA ein Transfer Impact Assessment erfordern (wir berichteten hier). Sollte die Kommission auf Grundlage der Executive Order einen neuen Angemessenheitsbeschluss fassen, könnten auf dessen Grundlage personenbezogene Daten auch ohne weitere Voraussetzungen in die USA übermittelt werden. Hierauf sollten Unternehmen jedoch nicht bauen. Es bestehen berechtigte Zweifel an der Angemessenheit der neu beschlossenen Maßnahmen der US-Regierung im Hinblick an die Anforderungen der GRCh und des EuGH. Diese lassen nicht ausschließen, dass auch das EU-U.S. DPF kurze Zeit nach seinem Inkrafttreten für ungültig erklärt wird. Datenschutzaktivist Max Schrems hat bereits angedeutet, gegen einen neuen Angemessenheitsbeschluss vorzugehen, sollte dieser auf Grundlage der vorliegenden Executive Order beschlossen werden. Es bleibt daher anzuraten, Standardvertragsklauseln zu vereinbaren.

Explore #more

01.07.2025 | Dealmeldungen

KPMG Law advised Bosch on the multinational carve-out of the en-tire product business of Bosch Building Technologies to investor Triton

KPMG Law advises Robert Bosch on the carve-out of the building technologies division’s product business for security and communications technology (Bosch Building Technologies) in more…

27.06.2025 | KPMG Law Insights

Krankenhaus-Sanierung: In drei Stufen aus der Krise

Viele Kliniken sehen kurz- oder mittelfristig ihre Existenz gefährdet. Auch anderen Einrichtungen des Gesundheitswesens geht es wirtschaftlich schlecht. Unzureichende Vergütungsstrukturen, Personalmangel, Nachwirkungen der Corona-Pandemie und…

27.06.2025 | In den Medien

KPMG Law bei den PMN Awards nominiert

Wir freuen uns über die Nominierung direkt in zwei Kategorien bei den PMN Awards 2025. Im Bereich Geschäftsentwicklung wurde unser Projekt „Verlängerte Werkbank“ nominiert.…

25.06.2025 | KPMG Law Insights

Mitarbeiterentsendung in die USA: Das ist bei der US-Immigration zu beachten

Die Verschärfungen bei der US-Immigration führen weltweit zu Verunsicherung. Insbesondere die Kontrollen bei der Einreise in die USA sind seit dem Antritt der neuen US-Regierung

19.06.2025 | Events, In den Medien

KPMG Law auf dem BUJ Unternehmensjuristenkongress 2025

Die Welt befindet sich im Wandel – dies dürfte zwar eine Binsenweisheit sein, trifft aber doch gerade auf die aktuelle Lage in bestechender Weise zu.…

19.06.2025 | In den Medien

KPMG Law Statement in der Technik&Einkauf: Weiße Mäuse in der Blackbox

Künstliche Intelligenz (KI) kann den Einkauf revolutionieren. Zuvor müssen Akteure allerdings ihre analogen Fähigkeiten bemühen. Ein zielgerichtetes und strukturiertes Vorgehen erhöht die Erfolgsaussichten des Vorhabens…

12.06.2025 | KPMG Law Insights

Vom KI-Tool zum KI-Framework – ein Werkstattbericht

Es fing mit ein paar Fragen zu Microsoft Copilot an – und endete mit einem unternehmensweiten KI-Framework. Wir durften das Unternehmen, ein global aufgestelltes Beratungshaus,…

12.06.2025 | Pressemitteilungen

Handelsblatt und Best Lawyers zeichnet KPMG Law Expert:innen aus

Best Lawyers hat erneut exklusiv für das Handelsblatt die besten Wirtschaftsanwältinnen und -anwälte Deutschlands für das Jahr 2025 ermittelt. Insgesamt wurden 33  Anwältinnen und Anwälte…

11.06.2025 | KPMG Law Insights

Omnibus IV bringt einige Vereinfachungen, vor allem im Produktrecht

Die EU-Kommission hat am 21. Mai 2025 das vierte Omnibus-Paket vorgeschlagen. Omnibus IV enthält Vereinfachungen in Bezug auf zahlreiche produktrechtliche Anforderungen und für KMU…

06.06.2025 | Unkategorisiert

KPMG Law berät den Mehrheitsgesellschafter der Heimkreiter GmbH beim Verkauf an PreZero

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat den Mehrheitsgesellschafter der Heimkreiter GmbH bei der Veräußerung seiner Gesellschaftsbeteiligung an die PreZero Dritte Verwaltungs GmbH rechtlich…

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll