Suche
Contact
14.10.2022 | KPMG Law Insights

Zweifel an US-Präsident Bidens Executive Order zum Datenschutz

Kommt ein neues Datenschutzabkommen mit den USA? Falls ja, bleibt es auch?

Nachdem die EU und die USA am 25. März 2022 eine „grundsätzliche Einigung“ über neue Regeln für den transatlantischen Datenaustausch bekannt gegeben haben, hat US-Präsident Joe Biden am 07. Oktober 2022 die darin angekündigte Executive Order zur Einführung des „EU-U.S. Data Privacy Framework“ (kurz EU-U.S. DPF) unterzeichnet. Dieser Rechtsakt könnte die Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission darstellen und damit die lang ersehnte Rechtssicherheit für die Übermittlung personenbezogener Daten zwischen Europa und den USA wiederherstellen. Doch die Reaktionen hierauf fallen gemischt aus. Während amerikanische Branchenverbände, Regierungsbehörden sowie die EU-Kommission die angekündigten Maßnahmen begrüßen, haben europäische Datenschützer erhebliche Zweifel daran, dass die Executive Order genügt, um die im Schrems II-Urteil des EuGH identifizierten Diskrepanzen zwischen den Befugnissen amerikanischer Sicherheitsbehörden sowie der EU-Grundrechtecharta (GRCh) auszuräumen. Wer hat nun Recht?

Das Wichtigste vorab:

  • US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order unterzeichnet, um den datenschutzrechtlichen Anforderungen der EU gerecht zu werden.
  • Es bestehen Zweifel, ob die verabschiedeten Maßnahmen den Ansprüchen des EU-Rechts und des EuGH genügen.
  • Die Executive Order könnte die Grundlage für einen neuen Angemessenheitsbeschluss darstellen, welcher bereits im März 2023 beschlossen werden könnte.
  • Der Erlass der Executive Order ändert nichts an der aktuellen Rechtslage. Bis auf Weiteres sollten Unternehmen Standardvertragsklauseln abschließen und Transfer Impact Assessments erstellen, um Datentransfers in die USA abzusichern.

Wesentliche Inhalte

Die wesentlichen Kritikpunkte an der amerikanischen Rechtslage, die der EuGH in seinem Schrems II-Urteil nannte, bestanden insbesondere darin, dass die von den USA durchgeführten Überwachungsmaßnahmen nicht verhältnismäßig im Sinne des Art. 52 GRCh waren und Betroffenen entgegen Art. 47 GRCh kein gerichtlicher Rechtsbehelf zur Verfügung stand. Die Executive Order nimmt sich dieser Kritik ausdrücklich an.

1. Einführung einer Verhältnismäßigkeitsprüfung

Sec. 2 der Executive Order sieht vor, dass nachrichtendienstliche Aktivitäten nur zur Erreichung vordefinierter legitimer Ziele eingesetzt werden dürfen. Darüber hinaus müssen Überwachungsmaßnahmen zukünftig zur Erreichung der legitimen Ziele „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate) im Hinblick auf den Eingriff in die Privatsphäre und Freiheiten Betroffener sein – unabhängig davon ob es sich dabei um US-Bürger:innen handelt oder nicht.

Damit nähert sich die Executive Order zumindest im Wortlaut den Voraussetzungen für Grundrechtseingriffe in Art. 52 GRCh an. Wesentlich entscheidender ist jedoch, wie die Begriffe der „Erforderlichkeit“ und „Verhältnismäßigkeit“ in der jeweiligen Rechtsordnung interpretiert werden. Schon aus der Executive Order selbst geht hervor, dass die Schwellen der Erforderlichkeit und Verhältnismäßigkeit nach amerikanischem Verständnis spürbar niedriger liegen. Während die Executive Order ausdrücklich weiterhin die Möglichkeit von Massenüberwachungsmaßnahmen („bulk surveillance“), wie Upstream und PRISM vorsieht (Sec. 2. (c) (ii)), hat der EuGH mit Urteil vom 20.09.22 (C-793/19 und C-794/19) die deutschen Regelungen zur Vorratsdatenspeicherung erneut für europarechtswidrig erklärt. Mithin erscheint fraglich, ob das amerikanische Verständnis von Verhältnismäßigkeit einer Überprüfung durch den EuGH wird standhalten können.

2. Zweistufiger Rechtsbehelf & Data Protection Review Court

Die Executive Order sieht ein zweistufiges Rechtsbehelfsverfahren vor, im Rahmen dessen auch Betroffene aus der EU Beschwerden gegen Überwachungsmaßnahmen einlegen können. In der ersten Stufe werden diese vom „Civil Liberties Protection Officer“ (CLPO) überprüft, welcher dem „Director of National Intelligence“ und damit einer US-Behörde untersteht. Dieser wird in einem geheimen Verfahren darüber entscheiden, ob ein Verstoß erfolgt ist. Der Betroffene wird lediglich darüber informiert, dass entweder kein Verstoß vorlag oder dass Abhilfemaßnahmen rechtsverbindlich angeordnet wurden („the review either did not identify any covered violations or the [CLPO] issued a determination requiring appropriate remediation“).

Entscheidungen des CLPO können auf Verlangen des Betroffenen oder einer Überwachungsbehörde in der zweiten Stufe vom neu zu bildenden „Data Protection Review Court“ (DPRC) überprüft werden. Die Mitglieder dieses Gremiums müssen sich aus fachkundigen Rechtsanwendern zusammensetzen, die zum Zeitpunkt ihrer Ernennung nicht in einem Anstellungsverhältnis mit einer amerikanischen Behörde stehen. Wie im Verfahren vor dem CLPO erfolgen die Entscheidungen geheim und Betroffene erhalten lediglich eine allgemeine Information über den Ausgang des Verfahrens.

Zwar wird das Entscheidungsgremium als „Court“ und damit im Deutschen als „Gericht“ bezeichnet. Allerdings bestehen erhebliche Zweifel, ob der DPRC tatsächlich die Anforderungen an ein unabhängiges und unparteiisches Gericht im Sinne des Art. 47 GRCh erfüllt. Nach dem Wortlaut von Sec. 3 (d) (i) der Executive Order dürfen die Mitglieder des DPRC während ihrer Amtszeit kein Amt innerhalb der US-Regierung innehaben – außer dem Amt als Richter des DPRC. Dies deutet auf eine Unterordnung des DPRC unter die Exekutive anstelle der Judikative hin. Darüber hinaus wird der Prozessvertreter des Betroffenen vom DPRC selbst bestimmt.

Auch enthält die Executive Order keine Aussage darüber, dass Betroffene über durchgeführte Überwachungsmaßnahmen unterrichtet werden müssen. Dies stellt die „Wirksamkeit“ des zur Verfügung gestellten Rechtsbehelfs ernsthaft in Frage.

Nächste Schritte

Die Europäische Kommission hat signalisiert, dass sie davon ausgeht, dass ein Angemessenheitsbeschluss über das EU-U.S. DPF, welches auf Grundlage der Executive Order abgeschlossen werden soll, einer gerichtlichen Überprüfung durch den EuGH standhalten wird. Dementsprechend hat sie das Verfahren zum Erlass eines Angemessenheitsbeschlusses nach Art. 45 DSGVO in die Wege geleitet. Vor der Beschlussfassung müssen der Europäische Datenschutzausschuss (EDSA) sowie die europäischen Mitgliedstaaten angehört werden. Es läge dabei allein in der Hand der Mitgliedstaaten den Beschluss zu verwerfen, was unwahrscheinlich sein dürfte. Eine Entscheidung über den Beschluss wird für März 2023 erwartet.

Was heißt das für Unternehmen?

Die Executive Order hat für europäische Unternehmen keinen unmittelbaren Effekt. Zur Übermittlung personenbezogener Daten sind nach wie vor die bisher zur Verfügung stehenden Transfermechanismen zu bemühen. An vorderster Stelle stehen dabei die neuen Standardvertragsklauseln, welche die EU-Kommission am 04. Juni 2021 veröffentlicht hat. Bestehende Standardvertragsklauseln, die noch auf den alten Mustern beruhen, müssen bis zum 27. Dezember 2022 auf die neuen Muster umgestellt werden, welche auch im Fall der USA ein Transfer Impact Assessment erfordern (wir berichteten hier). Sollte die Kommission auf Grundlage der Executive Order einen neuen Angemessenheitsbeschluss fassen, könnten auf dessen Grundlage personenbezogene Daten auch ohne weitere Voraussetzungen in die USA übermittelt werden. Hierauf sollten Unternehmen jedoch nicht bauen. Es bestehen berechtigte Zweifel an der Angemessenheit der neu beschlossenen Maßnahmen der US-Regierung im Hinblick an die Anforderungen der GRCh und des EuGH. Diese lassen nicht ausschließen, dass auch das EU-U.S. DPF kurze Zeit nach seinem Inkrafttreten für ungültig erklärt wird. Datenschutzaktivist Max Schrems hat bereits angedeutet, gegen einen neuen Angemessenheitsbeschluss vorzugehen, sollte dieser auf Grundlage der vorliegenden Executive Order beschlossen werden. Es bleibt daher anzuraten, Standardvertragsklauseln zu vereinbaren.

Explore #more

17.05.2024 | KPMG Law Insights

Podcast-Serie „KPMG Law on air“: Wenn das Familienunternehmen verkauft werden soll

Circa 38.000 Familienunternehmen werden momentan pro Jahr übergeben. In den meisten Fällen findet der Inhaberwechsel innerhalb der Familie statt. Doch immer häufiger entschließen sich Familien…

14.05.2024 | KPMG Law Insights

So können Rechtsabteilungen KI im Vertragsmanagement nutzen

Der Einsatz künstlicher Intelligenz ermöglicht es Rechtsabteilungen, manuelle Prozesse im Vertragsmanagement zu automatisieren. Dies steigert die Effizienz über den gesamten Lebenszyklus eines Vertrags hinweg und…

10.05.2024 | PR-Veröffentlichungen

Beitrag im In-house Counsel mit KPMG Law Statement: Auch Legal Counsel haben Teil an der sozialen Verantwortung des Unternehmens.

In der Ausgabe 3/2024 (Seite 20 ff.) des In-house Counsel findet sich ein Beitrag mit Statement von KPMG Law Expertin Kathrin Brügger. ESG, kurz…

10.05.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Beitrag im In-house Counsel mit KPMG Law Statement: EU-Drittstaatensubventionsverordnung

In der Ausgabe 3/2024 (Seite 50 ff.) des In-house Counsels findet sich ein Beitrag mit Statement von KPMG Law Experte Jonas Brueckner. Seit Juli des…

08.05.2024 | KPMG Law Insights

ArbG Hamburg: Erlaubnis von ChatGPT ist nicht mitbestimmungspflichtig

Wenn ein Arbeitgeber seinen Mitarbeitenden die Verwendung von generativer KI wie ChatGPT bei der Arbeit über private Accounts erlaubt und hierfür Regeln aufstellt, muss er…

07.05.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Beitrag im Handelsblatt mit KPMG Law Statement: Komplexe Prüfung bei M&A Transaktionen und in öffentlichen Vergabeverfahren

In der Ausgabe vom 06. Mai im Handelsblatt  findet sich ein Beitrag mit einem Statement von KPMG Law Experte Jonas Brueckner. Bei M&A-Transaktionen und…

03.05.2024 | KPMG Law Insights

Zweifel an der Arbeitsunfähigkeit? Das können Arbeitgeber tun

Die Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung) dient dem Nachweis einer krankheitsbedingten Arbeitsunfähigkeit. Allerdings nur, wenn die Bescheinigung bestimmten Vorgaben der Arbeitsunfähigkeits-Richtlinie entspricht. Ist das nicht der Fall, kann…

03.05.2024 | KPMG Law Insights

ESG ist ein weiterer Grund für den Kampf gegen Produktpiraterie

Produktpiraterie ist auf dem Vormarsch, auch bedingt durch den stetig wachsenden Online-Handel. Ein Großteil der gefälschten Waren wird außerhalb der EU hergestellt, wo andere –…

03.05.2024 | PR-Veröffentlichungen

Statement von Thomas Wolf in der Creditreform

Froh, traurig, wütend, entschlossen, unsicher – die Stimme verrät viel über unsere Stimmung. Kann sie auch Aufschluss über unsere Persönlichkeit, die beruflichen Chancen oder gar…

30.04.2024 | KPMG Law Insights

Novelle der Industrieemissionsrichtlinie verabschiedet

Am 12. April 2024 hat der Europäische Rat mit großer Mehrheit die Trilog-Vereinbarung zur Novelle der Industrieemissionsrichtlinie (Industrial Emissions Directive, IED) angenommen. Hauptziel der Überarbeitung…

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll