Suche
Contact
14.10.2022 | KPMG Law Insights

Zweifel an US-Präsident Bidens Executive Order zum Datenschutz

Kommt ein neues Datenschutzabkommen mit den USA? Falls ja, bleibt es auch?

Nachdem die EU und die USA am 25. März 2022 eine „grundsätzliche Einigung“ über neue Regeln für den transatlantischen Datenaustausch bekannt gegeben haben, hat US-Präsident Joe Biden am 07. Oktober 2022 die darin angekündigte Executive Order zur Einführung des „EU-U.S. Data Privacy Framework“ (kurz EU-U.S. DPF) unterzeichnet. Dieser Rechtsakt könnte die Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission darstellen und damit die lang ersehnte Rechtssicherheit für die Übermittlung personenbezogener Daten zwischen Europa und den USA wiederherstellen. Doch die Reaktionen hierauf fallen gemischt aus. Während amerikanische Branchenverbände, Regierungsbehörden sowie die EU-Kommission die angekündigten Maßnahmen begrüßen, haben europäische Datenschützer erhebliche Zweifel daran, dass die Executive Order genügt, um die im Schrems II-Urteil des EuGH identifizierten Diskrepanzen zwischen den Befugnissen amerikanischer Sicherheitsbehörden sowie der EU-Grundrechtecharta (GRCh) auszuräumen. Wer hat nun Recht?

Das Wichtigste vorab:

  • US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order unterzeichnet, um den datenschutzrechtlichen Anforderungen der EU gerecht zu werden.
  • Es bestehen Zweifel, ob die verabschiedeten Maßnahmen den Ansprüchen des EU-Rechts und des EuGH genügen.
  • Die Executive Order könnte die Grundlage für einen neuen Angemessenheitsbeschluss darstellen, welcher bereits im März 2023 beschlossen werden könnte.
  • Der Erlass der Executive Order ändert nichts an der aktuellen Rechtslage. Bis auf Weiteres sollten Unternehmen Standardvertragsklauseln abschließen und Transfer Impact Assessments erstellen, um Datentransfers in die USA abzusichern.

Wesentliche Inhalte

Die wesentlichen Kritikpunkte an der amerikanischen Rechtslage, die der EuGH in seinem Schrems II-Urteil nannte, bestanden insbesondere darin, dass die von den USA durchgeführten Überwachungsmaßnahmen nicht verhältnismäßig im Sinne des Art. 52 GRCh waren und Betroffenen entgegen Art. 47 GRCh kein gerichtlicher Rechtsbehelf zur Verfügung stand. Die Executive Order nimmt sich dieser Kritik ausdrücklich an.

1. Einführung einer Verhältnismäßigkeitsprüfung

Sec. 2 der Executive Order sieht vor, dass nachrichtendienstliche Aktivitäten nur zur Erreichung vordefinierter legitimer Ziele eingesetzt werden dürfen. Darüber hinaus müssen Überwachungsmaßnahmen zukünftig zur Erreichung der legitimen Ziele „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate) im Hinblick auf den Eingriff in die Privatsphäre und Freiheiten Betroffener sein – unabhängig davon ob es sich dabei um US-Bürger:innen handelt oder nicht.

Damit nähert sich die Executive Order zumindest im Wortlaut den Voraussetzungen für Grundrechtseingriffe in Art. 52 GRCh an. Wesentlich entscheidender ist jedoch, wie die Begriffe der „Erforderlichkeit“ und „Verhältnismäßigkeit“ in der jeweiligen Rechtsordnung interpretiert werden. Schon aus der Executive Order selbst geht hervor, dass die Schwellen der Erforderlichkeit und Verhältnismäßigkeit nach amerikanischem Verständnis spürbar niedriger liegen. Während die Executive Order ausdrücklich weiterhin die Möglichkeit von Massenüberwachungsmaßnahmen („bulk surveillance“), wie Upstream und PRISM vorsieht (Sec. 2. (c) (ii)), hat der EuGH mit Urteil vom 20.09.22 (C-793/19 und C-794/19) die deutschen Regelungen zur Vorratsdatenspeicherung erneut für europarechtswidrig erklärt. Mithin erscheint fraglich, ob das amerikanische Verständnis von Verhältnismäßigkeit einer Überprüfung durch den EuGH wird standhalten können.

2. Zweistufiger Rechtsbehelf & Data Protection Review Court

Die Executive Order sieht ein zweistufiges Rechtsbehelfsverfahren vor, im Rahmen dessen auch Betroffene aus der EU Beschwerden gegen Überwachungsmaßnahmen einlegen können. In der ersten Stufe werden diese vom „Civil Liberties Protection Officer“ (CLPO) überprüft, welcher dem „Director of National Intelligence“ und damit einer US-Behörde untersteht. Dieser wird in einem geheimen Verfahren darüber entscheiden, ob ein Verstoß erfolgt ist. Der Betroffene wird lediglich darüber informiert, dass entweder kein Verstoß vorlag oder dass Abhilfemaßnahmen rechtsverbindlich angeordnet wurden („the review either did not identify any covered violations or the [CLPO] issued a determination requiring appropriate remediation“).

Entscheidungen des CLPO können auf Verlangen des Betroffenen oder einer Überwachungsbehörde in der zweiten Stufe vom neu zu bildenden „Data Protection Review Court“ (DPRC) überprüft werden. Die Mitglieder dieses Gremiums müssen sich aus fachkundigen Rechtsanwendern zusammensetzen, die zum Zeitpunkt ihrer Ernennung nicht in einem Anstellungsverhältnis mit einer amerikanischen Behörde stehen. Wie im Verfahren vor dem CLPO erfolgen die Entscheidungen geheim und Betroffene erhalten lediglich eine allgemeine Information über den Ausgang des Verfahrens.

Zwar wird das Entscheidungsgremium als „Court“ und damit im Deutschen als „Gericht“ bezeichnet. Allerdings bestehen erhebliche Zweifel, ob der DPRC tatsächlich die Anforderungen an ein unabhängiges und unparteiisches Gericht im Sinne des Art. 47 GRCh erfüllt. Nach dem Wortlaut von Sec. 3 (d) (i) der Executive Order dürfen die Mitglieder des DPRC während ihrer Amtszeit kein Amt innerhalb der US-Regierung innehaben – außer dem Amt als Richter des DPRC. Dies deutet auf eine Unterordnung des DPRC unter die Exekutive anstelle der Judikative hin. Darüber hinaus wird der Prozessvertreter des Betroffenen vom DPRC selbst bestimmt.

Auch enthält die Executive Order keine Aussage darüber, dass Betroffene über durchgeführte Überwachungsmaßnahmen unterrichtet werden müssen. Dies stellt die „Wirksamkeit“ des zur Verfügung gestellten Rechtsbehelfs ernsthaft in Frage.

Nächste Schritte

Die Europäische Kommission hat signalisiert, dass sie davon ausgeht, dass ein Angemessenheitsbeschluss über das EU-U.S. DPF, welches auf Grundlage der Executive Order abgeschlossen werden soll, einer gerichtlichen Überprüfung durch den EuGH standhalten wird. Dementsprechend hat sie das Verfahren zum Erlass eines Angemessenheitsbeschlusses nach Art. 45 DSGVO in die Wege geleitet. Vor der Beschlussfassung müssen der Europäische Datenschutzausschuss (EDSA) sowie die europäischen Mitgliedstaaten angehört werden. Es läge dabei allein in der Hand der Mitgliedstaaten den Beschluss zu verwerfen, was unwahrscheinlich sein dürfte. Eine Entscheidung über den Beschluss wird für März 2023 erwartet.

Was heißt das für Unternehmen?

Die Executive Order hat für europäische Unternehmen keinen unmittelbaren Effekt. Zur Übermittlung personenbezogener Daten sind nach wie vor die bisher zur Verfügung stehenden Transfermechanismen zu bemühen. An vorderster Stelle stehen dabei die neuen Standardvertragsklauseln, welche die EU-Kommission am 04. Juni 2021 veröffentlicht hat. Bestehende Standardvertragsklauseln, die noch auf den alten Mustern beruhen, müssen bis zum 27. Dezember 2022 auf die neuen Muster umgestellt werden, welche auch im Fall der USA ein Transfer Impact Assessment erfordern (wir berichteten hier). Sollte die Kommission auf Grundlage der Executive Order einen neuen Angemessenheitsbeschluss fassen, könnten auf dessen Grundlage personenbezogene Daten auch ohne weitere Voraussetzungen in die USA übermittelt werden. Hierauf sollten Unternehmen jedoch nicht bauen. Es bestehen berechtigte Zweifel an der Angemessenheit der neu beschlossenen Maßnahmen der US-Regierung im Hinblick an die Anforderungen der GRCh und des EuGH. Diese lassen nicht ausschließen, dass auch das EU-U.S. DPF kurze Zeit nach seinem Inkrafttreten für ungültig erklärt wird. Datenschutzaktivist Max Schrems hat bereits angedeutet, gegen einen neuen Angemessenheitsbeschluss vorzugehen, sollte dieser auf Grundlage der vorliegenden Executive Order beschlossen werden. Es bleibt daher anzuraten, Standardvertragsklauseln zu vereinbaren.

Explore #more

20.01.2025 | KPMG Law Insights

Governance für Bauprojekte – diese fünf Kriterien bestimmen den Erfolg

Immer wieder scheitern große Bauprojekte an demselben Problem. Es fehlt an einer passenden Governance. Die Reformkommission des damaligen Bundesministeriums für Verkehr und digitale Infrastruktur hat…

17.01.2025 | In den Medien, Karriere

KPMG Law bei den azur Awards 2025 nominiert

Die azur-Redaktion verkündet die Nominierten der azur Awards 2025. In diesem Jahr sind juristische Arbeitgeber in vier Kategorien für ihr Engagement im Nachwuchsbereich nominiert. Die…

15.01.2025 | KPMG Law Insights

Gesetzliche Neuerungen im Arbeitsrecht 2025

Seit dem 1. Januar 2025 gelten einige Neuerungen im Arbeitsrecht. Insbesondere das Bürokratieentlastungsgesetz sorgt für viele Erleichterungen und ermöglicht es Personalabteilungen, Prozesse zu digitalisieren. Arbeitgeber…

13.01.2025 | KPMG Law Insights

IED: Erstes Gesetzespaket zur Umsetzung der EU-Richtlinie liegt vor

Die neue EU-Industrieemissionsrichtlinie (Industrial Emissions Directive, IED) ist am 4. August 2024 in Kraft getreten und muss bis Juli 2026 von den Mitgliedsstaaten umgesetzt werden.…

12.01.2025 | In den Medien

Podcast zur EU-Entwaldungsverordnung

Entwaldung und Waldschädigung nehmen weltweit mit besorgniserregender Geschwindigkeit zu. Sie sind eng mit der globalen Klimakrise und dem Verlust von Artenvielfalt verknüpft – das sind…

09.01.2025 | In den Medien

KPMG Law stärkt den Bereich Legal Transformation & Managed Services und Legal Corporate Services mit zwei neuen Senior Managerinnen

KPMG Law hat sich zum 1. Januar mit Jana Sichelschmidt im Bereich Transformation Managed Services und mit Dr. Michaela Lenk im Bereich Corporate Services verstärkt.…

07.01.2025 | KPMG Law Insights

Grundsteuer als Betriebskosten: Drei aktuelle Fragen und Antworten

Als Teil der Betriebs- und Nebenkosten kann die für eine vermietete Wohn- oder Gewerbeimmobilie erhobene Grundsteuer regelmäßig an Mieterinnen und Mietern weiterberechnet werden. Zum 1. …

07.01.2025 | KPMG Law Insights

Digitalisierung und Kooperationen – diese Maßnahmen sollten Kommunen im Haushalt einplanen

Mit Maßnahmen der Digitalisierung und mit Kooperationen können Kommunen langfristig erhebliche Kosten und auch Personal sparen. Auch wenn das Geld gerade knapp ist, sollten die…

06.01.2025 | Dealmeldungen

KPMG Law hat die Flexfy GmbH bei der Ausgründung aus der DAW SE sowie einer anschließenden Finanzierungsrunde beraten

Die DAW SE hat im Rahmen eines Innovationsprogramms einen elektrisch leitfähigen und magnetischen Wandaufbau entwickelt, der eine flexible und neuartige Nutzung von Wänden ermöglicht („FLEXFY…

06.01.2025 | Dealmeldungen

KPMG Law begleitet den Verkauf der Käppler & Pausch GmbH

Gabriel Pausch, der Mitgründer und Hauptgesellschafter der Käppler & Pausch GmbH, ein Systemlieferant für Metallbaugruppen sowie Metall- und Blechverarbeitung mit 160 Mitarbeitern in Neukirch/Lausitz, hat…

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll