News
Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?
US-Präsident Joe Biden hat am 7. Oktober 2022, nach Abstimmung mit der Europäischen Kommission, eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet (Pressemitteilung des Weißen Hauses vom 7. Oktober 2022). Durch die EO sollen in die USA übermittelte personenbezogene Daten von Nicht-US-Bürger:innen besser vor Eingriffen der US-Behörden geschützt werden. Sie soll als faktische Grundlage für einen bereits in Aussicht gestellten Angemessenheitsbeschluss der Europäischen Kommission dienen, der wiederum die Übermittlung von personenbezogenen Daten in die USA in Zukunft erheblich erleichtern soll.
Ob die EO diese Funktion erfüllen kann, ist bislang noch fraglich. Zum jetzigen Zeitpunkt gibt es aber bereits kritische Reaktionen vonseiten einiger Aufsichtsbehörden.
Inhalt der EO
Die Regelungen der EO sollen vor allem den Schutz von Nicht-US-Bürgern bei Eingriffen der Geheimdienste verbessern. Die bisherigen Regelungen hierzu waren vom Europäischen Gerichtshof im Schrems-II-Urteil (EuGH, Urteil v. 16. Juli 2020, C‑311/18) als unzureichend kritisiert worden (siehe auch die Zusammenfassung des BfDI zum Urteil). Der EuGH bemängelte vor allem, dass ein Zugriff auf Daten von Nicht-US-Bürgern auf Grundlage bestimmter Überwachungsvorschriften weitgehend uneingeschränkt möglich sei und dass zudem keine effektiven Möglichkeiten bestünden, um sich gegen Eingriffe von US-Überwachungsbehörden zu wehren.
Die neue EO adressiert entsprechend genau diese vom EuGH angesprochenen Defizite:
- Die Durchführung von Überwachungsmaßnahmen soll nur noch dann erfolgen, wenn sie verhältnismäßig und notwendig ist. Insbesondere sollen vor Durchführung die Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland berücksichtigt werden.
- Über einen zweistufigen Rechtsbehelfsmechanismus sollen Nicht-US-Bürger:innen in Zukunft die Möglichkeit erhalten, sich effektiver gegen Maßnahmen der US-Behörden zu wehren. Als Ansprechstelle für Beschwerden können sie sich an einen „Civil Liberties Protection Officer“ wenden, wenn der Verdacht auf Missbrauch ihrer personenbezogenen Daten besteht. Darüber hinaus können sie Entscheidungen des „Civil Liberties Protection Officer“ in einem „Data Protection Review Court“ anfechten.
Wie haben bislang die Aufsichtsbehörden reagiert?
Auf Seiten der deutschen Aufsichtsbehörden haben sich bislang nur die bayerische und baden-württembergische Behörde offiziell zur EO geäußert.
Die Vertreter der bayerischen Datenschutzaufsichtsbehörde für nicht-öffentliche Stellen gehen zwar davon aus, dass die EO in Zukunft bei Transfer Impact Assessments berücksichtigt werden kann, aktuell müsse man aber deren Umsetzung abwarten. Bislang haben sich die Vertreter der bayerischen Behörde nur in Vorträgen geäußert, eine Veröffentlichung auf der Website soll aber noch folgen (siehe Twitter von Dr. Carlo Piltz).
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg stellt generell infrage, ob eine Durchführungsverordnung den Anforderungen an der DSGVO gerecht werden kann, da es sich formell gesehen lediglich um eine interne Anweisung der US-Regierung handelt und nicht um ein Gesetz (siehe dessen Pressemitteilung vom 26. Oktober 2022). Genau diese Einschätzung teilen aber wiederum andere Aufsichtsbehörden nicht und sehen die EO sehr wohl als Gesetz (wenn auch nicht als Parlamentsgesetz) an. Die Regelungen der EO seien zu schwammig und durch EU-Bürger:innen nicht effektiv durchsetzbar, da in Bezug auf die Einhaltung der Vorgaben kein Klagerecht bestünde. Ferner soll die Unabhängigkeit des „Data Protection Review Court“ nicht gewährleistet sein, da der Court dem US-Justizministerium untergeordnet und damit kein eigenständiges Gericht sei.
Was bedeutet das für die Praxis?
Eine unmittelbare Erleichterung ergibt sich aus der EO erst einmal nicht. Dies wohl einfach schlicht aufgrund des Umstandes, dass die Inhalte und Vorgaben der EO faktisch umgesetzt werden müssen. Bis zu einem Beschluss der Europäischen Kommission, der die Angemessenheit des Datenschutzniveaus in den USA anerkennt, ändert sich rechtlich daher erst mal nichts. Mit einem entsprechenden Beschluss wird aktuell im Frühjahr 2023 gerechnet. Auch die Rechtslage in den USA bleibt bis zur Umsetzung der EO unverändert.
Bis dahin müssen europäische Unternehmen also weiterhin dafür Sorge tragen, dass vor der Übermittlung von personenbezogenen Daten in die USA Standarddatenschutzklauseln (SCC) mit US-Dienstleistern vereinbart werden, ein Transfer Impact Assessment durchgeführt wird und bei Bedarf zusätzliche Maßnahmen getroffen werden.
In diesem Kontext möchten wir daher auch noch einmal darauf hinweisen, dass die alten SCC zum 27. Dezember dieses Jahres auslaufen und ggf. neue SCC abgeschlossen werden müssen (ausführliche Informationen hierzu finden Sie in unserem Blog).
News
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst. Das ist nachvollziehbar, weil eigentlich ein wirksamer und Art. 47 der Charta der Grundrechte der EU entsprechender Rechtsbehelf notwendig ist, um von einer Angemessenheit des Schutzniveaus auszugehen. Im folgenden Abschnitt beantworten wir Fragen, die sich Unternehmen aus der EU jetzt vermehrt stellen werden.
Neue Vorgaben zur Barrierefreiheit auf Websites und in Apps: Ein Überblick zu den Vorschriften des BFSG
Philip Schweers hat in der aktuellen Ausgabe 09/2025 des "Betriebs-Beraters" die nach dem 28. Juni 2025 geltenden Anforderungen des Barrierefreiheitsstärkungsgesetz für Websites und Apps zusammengefasst.
Der Beitrag beschreibt ausführlich für welche Websites und Apps das BFSG gilt, welche Anforderungen bei dessen Umsetzung beachtet werden müssen und welche Konsequenzen bei Verstößen drohen.
Barrierefreiheitsstärkungsgesetz (Teil 4) – Folgen von Verstößen gegen das BFSG
Ab dem 29. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Um Sie rechtzeitig auf das BFSG vorzubereiten, befassen wir uns in unserer Beitragsreihe mit dessen Anforderungen. In Teil 1 haben wir uns einen kurzen Gesamtüberblick zum BFSG verschafft. In Teil 2 und Teil 3 haben wir uns angesehen, ob und welche Anforderungen aus dem BFSG für ihre Websites und Apps gelten. In Teil 4 befassen wir uns damit, was passiert, wenn ein Dienstleister, (z.B. der Anbieter eines Onlineshops) gegen die Vorgaben des BFSG verstößt und wie dieser sich gegen mögliche Rechtsfolgen wehren kann.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
LG Nürnberg-Fürth: Zugangsdaten, Passwörter und Datenbank mit öffentlich verfügbaren Informationen als Geschäftsgeheimnisse
Im Bereich Geschäftsgeheimnisschutz ist es besonders relevant, dass Inhaber eines Geschäftsgeheimnisses diese mit angemessenen Maßnahmen geheim halten. Damit eine Information überhaupt ein Geschäftsgeheimnis i.S.v. § 2 Nr. 1 GeschGehG sein kann, dürfen die relevanten Informationen u.a. weder allgemein bekannt noch ohne Weiteres zugänglich sein. Das LG Nürnberg-Fürth hat am 27.12.2024 (Az. 19 O 556/24) entschieden, dass sowohl eine Datenbank mit öffentlich verfügbaren Daten als auch die Zugangsdaten und Passwörter für den Zugriff auf diese Datenbank als Geschäftsgeheimnisse gelten. Es wurde außerdem entschieden, dass dem Kläger ein Auskunftsanspruch aus § 8 Abs. 1 GeschGehG zustand und die dabei zur Mitteilung von Namen und Anschriften der an der Verletzung des Geschäftsgeheimnisses beteiligten Personen erforderliche Rechtsgrundlage aus der DSGVO vorlag.
Fachbeitrag: Berechtigte Interessen als Rechtsgrundlage für das Training von KI-Modellen
Alexander Weiss & Dr. Carlo Piltz haben im aktuellen Heft 12/2024 der Zeitschrift DATENSCHUTZ-BERATER die praxisrelevante Frage untersucht, ob und wann die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO (Interessenabwägung) für die Verwendung personenbezogener Daten zum Zweck des Trainings von KI-Modellen genutzt werden kann.