Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist ein Instrument der Datenschutz-Grundverordnung (DSGVO), das die Übermittlung personenbezogener Daten aus der EU in Drittländer ermöglicht, die ein vergleichbares Schutzniveau garantieren wie die Europäische Union.

Die Europäische Kommission hat die Möglichkeit, das Bestehen eines angemessenen Schutzniveaus für die Verarbeitung personenbezogener Daten in einem bestimmten Drittland oder einer internationalen Organisation festzustellen, was im europäischen Datenschutzrecht verankert ist (Art. 45 DSGVO).

Liegt ein Angemessenheitsbeschluss vor, bedarf es keiner weiteren Schutzmaßnahmen für die Übermittlung personenbezogener Daten in das betreffende Drittland.

Angemessenheitsbeschlüsse und Datenschutz-Grundverordnung (DSGVO)

Die DS-GVO gewährleistet ein unionsweit gleiches Datenschutzniveau für natürliche Personen.

Die Übermittlung personenbezogener Daten aus der EU an Drittländer oder internationale Organisationen ist nur zulässig, wenn die Datenverarbeitung im Inland den Vorgaben der DS-GVO entspricht.

Die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen darf das unionsweit gewährleistete Schutzniveau nicht untergraben werden.

Übermittlung personenbezogener Daten in Drittländer

Die Verantwortlichen oder Auftragsverarbeiter müssen prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind, um rechtmäßige Übermittlungen zu gewährleisten.

Es müssen die zusätzlichen Anforderungen nach Kapitel V der DSGVO berücksichtigt werden.

Daten können in ein Drittland oder an eine internationale Organisation übermittelt werden, wenn bestimmte Voraussetzungen erfüllt sind.

EU-US Data Privacy Framework

• Die Europäische Kommission hat den Angemessenheitsbeschluss zum EU-US Data Privacy Framework angenommen.

• Datenübermittlungen aus der EU an die USA können an zertifizierte Unternehmen und Organisationen stattfinden, ohne dass zusätzliche Übermittlungsinstrumente erforderlich sind.

• Der durch den Angemessenheitsbeschluss geschaffene Rahmen setzt insbesondere auf die verstärkte Aufsicht durch die Datenschutzkommission der Republik Korea.

Gefahren für das EU-US Privacy Framework durch politische Veränderungen

Das EU-US Data Privacy Framework, das von der Europäischen Kommission angenommen wurde, steht vor potenziellen Herausforderungen aufgrund politischer Veränderungen in den Vereinigten Staaten. Änderungen in der US-amerikanischen Datenschutzpolitik könnten das Schutzniveau, das durch den Angemessenheitsbeschluss gewährleistet wird, beeinflussen. Dies könnte die Übermittlung personenbezogener Daten zwischen der EU und den USA gefährden.

Politische Instabilität oder ein Wechsel in der Regierungspolitik könnten dazu führen, dass die USA ihre Datenschutzgarantien ändern oder aufheben, was wiederum die Grundlage des Angemessenheitsbeschlusses untergraben könnte. Die Europäische Kommission muss daher die Entwicklungen in den USA genau beobachten und bereit sein, den Angemessenheitsbeschluss zu überprüfen oder anzupassen, um sicherzustellen, dass das Datenschutzniveau den Anforderungen der DSGVO entspricht.

Es ist wichtig, dass Organisationen und Unternehmen, die auf den Datentransfer zwischen der EU und den USA angewiesen sind, sich der möglichen Risiken bewusst sind und alternative Schutzmaßnahmen in Betracht ziehen, um die Kontinuität ihrer Datenübermittlungen zu gewährleisten. Eine Grundhaltung für Unternehmen in Deutschland sollte sein sich zuerst nach Dienstleister und Lösungen aus der EU umzusehen (Tools aus der EU).

Welche Länder haben einen Angemessenheitsbeschluss?

Die Europäische Kommission hat Angemessenheitsbeschlüsse für mehrere Länder und Regionen erlassen, darunter Andorra, Argentinien, Kanada, die als sichere Drittstaaten gelten, da sie ein angemessenes Datenschutzniveau gemäß der DSGVO bieten. Zu diesen Ländern gehören:

• Andorra

• Argentinien

• Kanada (nur kommerzielle Organisationen)

• Färöer Inseln

• Guernsey

• Israel

• Isle of Man

• Japan

• Jersey

• Neuseeland

• Schweiz

• Uruguay

• Republik Korea

• Vereinigtes Königreich

Diese Länder erfüllen die Voraussetzungen der DSGVO, sodass die Übermittlung personenbezogener Daten ohne zusätzliche Schutzmaßnahmen möglich ist. Die Europäische Kommission überprüft regelmäßig die Angemessenheitsbeschlüsse, um sicherzustellen, dass das Datenschutzniveau weiterhin gewähr

Kriterien für die Bewertung der Angemessenheit

Die Europäische Kommission bewertet die Angemessenheit eines Drittlands oder einer internationalen Organisation anhand verschiedener Kriterien, die in der Datenschutz-Grundverordnung (DSGVO) festgelegt sind. Diese Kriterien umfassen:

• Innerstaatliche Rechtsvorschriften: Die Kommission prüft die Datenschutzvorschriften und Aufsichtsmechanismen des Drittlands oder der internationalen Organisation. Diese müssen ein vergleichbares Datenschutzniveau wie die DSGVO gewährleisten.

• Internationale Verpflichtungen: Die Verpflichtungen des Drittlands oder der internationalen Organisation im Bereich des Datenschutzes, einschließlich der Zusammenarbeit mit der Europäischen Union, werden berücksichtigt.

• Anwendung der Datenschutzvorschriften: Die Praxis des Drittlands oder der internationalen Organisation bei der Umsetzung und Durchsetzung ihrer Datenschutzvorschriften spielt eine entscheidende Rolle. Hierzu gehören auch die Erfahrungen bei der Zusammenarbeit mit der EU.

• Unabhängige Aufsichtsbehörden: Die Existenz und Effektivität unabhängiger Aufsichtsbehörden, die die Einhaltung der Datenschutzvorschriften überwachen, sind ein wesentliches Kriterium.

• Rechtsbehelfe für betroffene Personen: Die Verfügbarkeit von wirksamen Rechtsbehelfen für betroffene Personen, einschließlich der Möglichkeit, Beschwerden bei den Aufsichtsbehörden einzureichen, wird ebenfalls bewertet.

Die Europäische Kommission nutzt diese Kriterien, um zu entscheiden, ob ein Drittland oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet. Wenn die Kommission zu dem Schluss kommt, dass das Datenschutzniveau angemessen ist, kann sie einen Angemessenheitsbeschluss erlassen, der die Übermittlung personenbezogener Daten an das betreffende Drittland oder die internationale Organisation ermöglicht.

Es ist wichtig zu beachten, dass die Kommission die Angemessenheitsbeschlüsse regelmäßig überprüft, um sicherzustellen, dass das Datenschutzniveau in den Drittländern oder internationalen Organisationen aufrechterhalten wird. Sollte die Kommission feststellen, dass das Datenschutzniveau nicht mehr angemessen ist, kann sie den Angemessenheitsbeschluss anpassen oder zurücknehmen.

Die Bewertung der Angemessenheit ist ein zentraler Schritt, um sicherzustellen, dass personenbezogene Daten, die in die Europäische Union übermittelt werden, ein hohes Datenschutzniveau genießen. Die Europäische Kommission arbeitet eng mit den Drittländern und internationalen Organisationen zusammen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten und die Rechte der betroffenen Personen zu schützen.

Ausnahmen und Spezialfälle

• Eine Datenübermittlung an ein Drittland oder an eine internationale Organisation kann bei Vorliegen besonderer, in Art. 49 DSGVO explizit genannter und abschließender Fälle ausnahmsweise auch zulässig sein.

• Diese Ausnahmefälle umfassen u. a. folgende Situationen:

• Die betroffene Person hat in die Übermittlung eingewilligt.

• Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich.

• Die Übermittlung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich.

Internationale Zusammenarbeit und Datenschutz

• Die Europäische Kommission arbeitet eng mit internationalen Organisationen und Drittländern zusammen, um ein hohes Datenschutzniveau zu gewährleisten.

• Die Kommission hat Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in bestimmte Drittländer erlassen.

• Die Kommission überprüft regelmäßig die Entwicklungen in Drittländern und passt die Angemessenheitsbeschlüsse an, wenn erforderlich.