Die Vereinigten Staaten gewährleisten ein angemessenes Schutzniveau für personenbezogene Daten, sodass Datentransfers aus der EU in die USA ohne weitere Anforderungen möglich sind. Zu diesem Schluss kommt die Europäische Kommission im Ergebnis der Bewertung des US-Rechtsrahmens. Ein entsprechender Entwurf eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA wurde am 13. Dezember vorgelegt.

Keinen Beitrag mehr verpassen? Jetzt für unseren Newsletter anmelden und Themen auswählen

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Ein Angemessenheitsbeschluss hat zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf. Derartige Angemessenheitsentscheidungen hat die Kommission bereits für mehrere Länder verabschiedet, für die Vereinigten Staaten fehlt sie jedoch seit 2020. Frühere Angemessenheitsentscheidungen aus den Jahren 2000 und 2016 wurden vom EuGH jeweils mit der Begründung gekippt, dass die Befugnisse der US-Geheimdienste zu weitreichend seien.

Nur noch beschränkter Zugriff der US-Behörden

Der nun vorliegende Beschluss knüpft an die am 7. Oktober 2022 erfolgte Unterzeichnung eines US-Dekrets durch Präsident Biden und an entsprechende Verordnungen an, wonach die Dienste Daten nur noch dann abgreifen dürften, wenn es zum Schutz der nationalen Sicherheit „erforderlich“ und „verhältnismäßig“ sei.

Der US-Rechtsrahmen sieht somit nun bestimmte Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit.

EU-Bürger sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt.

Europäische Unternehmen sollen sich auf diese Garantien für transatlantische Datenübermittlungen auch dann verlassen können, wenn sie andere Übermittlungsverfahren wie die Verwendung von Standardvertragsklauseln oder verbindlichen unternehmensinternen Vorschriften nutzen.

Nächste Schritte

Der Entwurf eines Angemessenheitsbeschlusses ist dem Europäischen Datenschutzausschuss (EDSA) zur Stellungnahme übermittelt worden. Anschließend wird er einem Ausschuss aus Vertretern der EU-Mitgliedstaaten vorgelegt. Darüber hinaus hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen.

Nach Abschluss dieses Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen. Erst dann können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Relevanz für Beschaffung und Vergabe

Erst vor wenigen Monaten hatte die Datenübermittlung in die USA auch vergaberechtlich für Unruhe gesorgt – das cosinex Blog berichtete: Zunächst hatte die Vergabekammer Baden-Württemberg die Auffassung vertreten, dass die Tochter eines US-Unternehmens aus Datenschutzgründen von einem Vergabeverfahren auszuschließen sei. Deren Erbringung von Server- und Hosting-Leistungen in Drittstaaten stelle einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 ff. der DSGVO dar.

Die Entscheidung war noch nicht rechtskräftig und wurde nach kurzer Zeit durch das OLG Karlsruhe aufgehoben (Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22). Demnach sei im Rahmen der Nachprüfung einer Vergabeentscheidung grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird.

Weitere Informationen und Links

Verwandte Beiträge

Titelbild: NASA – Unsplash