News
Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?
US-Präsident Joe Biden hat am 7. Oktober 2022, nach Abstimmung mit der Europäischen Kommission, eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet (Pressemitteilung des Weißen Hauses vom 7. Oktober 2022). Durch die EO sollen in die USA übermittelte personenbezogene Daten von Nicht-US-Bürger:innen besser vor Eingriffen der US-Behörden geschützt werden. Sie soll als faktische Grundlage für einen bereits in Aussicht gestellten Angemessenheitsbeschluss der Europäischen Kommission dienen, der wiederum die Übermittlung von personenbezogenen Daten in die USA in Zukunft erheblich erleichtern soll.
Ob die EO diese Funktion erfüllen kann, ist bislang noch fraglich. Zum jetzigen Zeitpunkt gibt es aber bereits kritische Reaktionen vonseiten einiger Aufsichtsbehörden.
Inhalt der EO
Die Regelungen der EO sollen vor allem den Schutz von Nicht-US-Bürgern bei Eingriffen der Geheimdienste verbessern. Die bisherigen Regelungen hierzu waren vom Europäischen Gerichtshof im Schrems-II-Urteil (EuGH, Urteil v. 16. Juli 2020, C‑311/18) als unzureichend kritisiert worden (siehe auch die Zusammenfassung des BfDI zum Urteil). Der EuGH bemängelte vor allem, dass ein Zugriff auf Daten von Nicht-US-Bürgern auf Grundlage bestimmter Überwachungsvorschriften weitgehend uneingeschränkt möglich sei und dass zudem keine effektiven Möglichkeiten bestünden, um sich gegen Eingriffe von US-Überwachungsbehörden zu wehren.
Die neue EO adressiert entsprechend genau diese vom EuGH angesprochenen Defizite:
- Die Durchführung von Überwachungsmaßnahmen soll nur noch dann erfolgen, wenn sie verhältnismäßig und notwendig ist. Insbesondere sollen vor Durchführung die Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland berücksichtigt werden.
- Über einen zweistufigen Rechtsbehelfsmechanismus sollen Nicht-US-Bürger:innen in Zukunft die Möglichkeit erhalten, sich effektiver gegen Maßnahmen der US-Behörden zu wehren. Als Ansprechstelle für Beschwerden können sie sich an einen „Civil Liberties Protection Officer“ wenden, wenn der Verdacht auf Missbrauch ihrer personenbezogenen Daten besteht. Darüber hinaus können sie Entscheidungen des „Civil Liberties Protection Officer“ in einem „Data Protection Review Court“ anfechten.
Wie haben bislang die Aufsichtsbehörden reagiert?
Auf Seiten der deutschen Aufsichtsbehörden haben sich bislang nur die bayerische und baden-württembergische Behörde offiziell zur EO geäußert.
Die Vertreter der bayerischen Datenschutzaufsichtsbehörde für nicht-öffentliche Stellen gehen zwar davon aus, dass die EO in Zukunft bei Transfer Impact Assessments berücksichtigt werden kann, aktuell müsse man aber deren Umsetzung abwarten. Bislang haben sich die Vertreter der bayerischen Behörde nur in Vorträgen geäußert, eine Veröffentlichung auf der Website soll aber noch folgen (siehe Twitter von Dr. Carlo Piltz).
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg stellt generell infrage, ob eine Durchführungsverordnung den Anforderungen an der DSGVO gerecht werden kann, da es sich formell gesehen lediglich um eine interne Anweisung der US-Regierung handelt und nicht um ein Gesetz (siehe dessen Pressemitteilung vom 26. Oktober 2022). Genau diese Einschätzung teilen aber wiederum andere Aufsichtsbehörden nicht und sehen die EO sehr wohl als Gesetz (wenn auch nicht als Parlamentsgesetz) an. Die Regelungen der EO seien zu schwammig und durch EU-Bürger:innen nicht effektiv durchsetzbar, da in Bezug auf die Einhaltung der Vorgaben kein Klagerecht bestünde. Ferner soll die Unabhängigkeit des „Data Protection Review Court“ nicht gewährleistet sein, da der Court dem US-Justizministerium untergeordnet und damit kein eigenständiges Gericht sei.
Was bedeutet das für die Praxis?
Eine unmittelbare Erleichterung ergibt sich aus der EO erst einmal nicht. Dies wohl einfach schlicht aufgrund des Umstandes, dass die Inhalte und Vorgaben der EO faktisch umgesetzt werden müssen. Bis zu einem Beschluss der Europäischen Kommission, der die Angemessenheit des Datenschutzniveaus in den USA anerkennt, ändert sich rechtlich daher erst mal nichts. Mit einem entsprechenden Beschluss wird aktuell im Frühjahr 2023 gerechnet. Auch die Rechtslage in den USA bleibt bis zur Umsetzung der EO unverändert.
Bis dahin müssen europäische Unternehmen also weiterhin dafür Sorge tragen, dass vor der Übermittlung von personenbezogenen Daten in die USA Standarddatenschutzklauseln (SCC) mit US-Dienstleistern vereinbart werden, ein Transfer Impact Assessment durchgeführt wird und bei Bedarf zusätzliche Maßnahmen getroffen werden.
In diesem Kontext möchten wir daher auch noch einmal darauf hinweisen, dass die alten SCC zum 27. Dezember dieses Jahres auslaufen und ggf. neue SCC abgeschlossen werden müssen (ausführliche Informationen hierzu finden Sie in unserem Blog).
News
Tracking und Auswertung von Leistungsdaten im Profisport
Die Datenerfassung im Leistungssport hat sich zu einem unverzichtbaren Instrument für moderne Sportorganisationen entwickelt. Vereine, Verbände und Unternehmen nutzen umfangreiche Datenanalysen zur Leistungsoptimierung und strategischen Entscheidungsfindung. Hierbei werden im Allgemeinen Leistungsdaten, aber mitunter auch sensible Gesundheitsdaten verarbeitet. Verantwortliche müssen die Anforderungen der DSGVO beachten und Rechtsgrundlagen für die Datennutzung nachweisen können. Dieser Beitrag beleuchtet, vor welchen rechtlichen Herausforderungen Vereine bei der Auswertung von Leistungs- und Gesundheitsdaten von Sportlern stehen und auf welche Rechtsgrundlagen sie diese Verarbeitung stützen können.
Der Beitrag von Dr. Carlo Piltz und Ilia Kukin aus dem DSB 10/2025 ist hier abrufbar.
Neue Entwicklungen im UN-Kaufrecht
Die zentrale Stellung des UN-Kaufrechts/CISG als juristische Basis für Export- und Importverträge wird heute nicht mehr infrage gestellt. Praktiker berichten von einer deutlichen Tendenz in den Unternehmen, ihre Außenhandelsgeschäfte gezielt auf das UN-Kaufrecht umzustellen. Ein Ausschluss des UN-Kaufrechts erklärt sich heute überwiegend mit mangelnder Vertrautheit mit seinen Inhalten und fehlender Neigung, diesem Zustand abzuhelfen, lässt sich angesichts der weitreichenden Dispositivität seiner Bestimmungen jedoch kaum mit nicht akzeptablen Lösungen des UN-Kaufrechts belegen. In Fortführung des Gliederungsschemas der vorangegangenen Berichtsaufsätze (zuletzt NJW 2023, 2542) wird die Liste der Vertragsstaaten aktualisiert und neben Hinweisen auf aktuelle Arbeitsmittel insbesondere die seit dem letzten Berichtsaufsatz bekannt gewordene in- und ausländische Rechtsprechung zum UN-Kaufrecht/CISG aufgearbeitet.
EuGH-Urteil zum Personenbezug und Informationspflichten – pseudonymisierte Daten können für den Empfänger auch anonym sein
Das EuGH-Urteil in der Rechtssache EDSB vs. SRB (Rs. C‑413/23 P) und dessen Folgen für die Rechtsanwendung werden derzeit zu Recht kontrovers diskutiert. In dem Urteil geht es zwar um Bestimmungen aus der Verordnung 2018/1725, die für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Der EuGH hat aber ausdrücklich entschieden, dass der Begriff „personenbezogene Daten“ in dieser Verordnung und der DSGVO und der nicht mehr gültigen Richtlinie 95/46 EG identisch auszulegen ist (Rn. 52). Das Urteil ist für Unternehmen und mitgliedstaatliche Behörden gleichermaßen bedeutsam.
Rechtswidrigkeit von (Gebühren) Bescheiden wegen DSGVO-Verstoß - Dürfen öffentliche Stellen ihre Verfahren automatisieren?
Automatisierte Entscheidungen unterliegen gem. Art. 22 DSGVO besonderen gesetzlichen Anforderungen, welche auch im Bereich der öffentlichen Verwaltung gelten. Zentrale Voraussetzung für die Zulässigkeit solcher Entscheidungen ist das Vorliegen einer entsprechenden Rechtsgrundlage. Fehlt diese, ist der Bescheid rechtswidrig. Wie die Verwaltungsgerichte damit umgehen, zeigt eine aktuelle Entscheidung des VG Bremen (Urt. v. 14.07.2025, 2 K 763/23).
Dürfen Datenschutzbehörden die Namen der sanktionierten Unternehmen veröffentlichen?
Sowohl die BfDI als auch die Landesdatenschutzbehörden informieren regelmäßig in Pressemitteilungen über aktuelle Bußgeldverfahren. Mitunter werden dabei auch die betroffenen Unternehmen namentlich genannt. Doch ist dieses Vorgehen überhaupt rechtlich zulässig und welche Grenzen haben die Behörden dabei einzuhalten? In anderen Rechtsgebieten existiert zu diesen Fragen durch umfangreiche Rechtsprechung - allerdings bislang nicht speziell im Bereich des Datenschutzrechts.
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.