Angemessenheitsbeschlüsse bescheinigen hohes Datenschutz-Niveau für elf Staaten außerhalb der EU

Europa ist mit seiner Version eines Datenschutzrechts im Rahmen der DSGVO weltweit führend, was den Schutz personenbezogener Daten von Bürgern angeht. Gültigkeit hat dieses Gesetzeswerk in allen EU-Staaten, Liechtenstein, Norwegen und Island. Seit Einführung der DSGVO im Jahr 2018 haben die zuständigen Datenschutzbehörden bereits tausende Bußgeldverfahren wegen Datenschutzverstößen eingeleitet und erfolgreich durchgesetzt. Doch wie sieht es generell mit Datentransfers aus der EU in sogenannte Drittländer aus? Hier sind sogenannte Angemessenheitsbeschlüsse notwendig, um Datenschutzhürden im Austausch mit Drittstaaten zu minimieren.

Angemessenheitsbeschlüsse werden von der EU-Kommission angestrebt und müssen im direkten Austausch mit den Datenschutzbehörden in Drittländern ausgehandelt werden. Unlängst hat die EU eine Liste mit den Ländern veröffentlicht, deren Datenschutz nachweislich auf einem vergleichbaren Niveau mit der DSGVO anzusehen ist. In diese Länder dürfen Daten von EU-Bürgern transferiert werden, ohne dass dies unter zusätzliche Bedingungen oder Einschränkungen fällt, wie es auch generell beim Datenaustausch innerhalb der EU praktiziert wird.

In der DSGVO heißt es dazu: „Der Angemessenheitsbeschluss gehört zu den definierten Instrumenten, um Datenflüsse in oder aus Nicht-EU-Ländern zu beurteilen und bei erfolgtem Angemessenheitsbeschluss ohne Einschränkungen zuzulassen“. Dazu wurde von der EU-Kommission eine Liste mit Elementen erstellt, auf die die Datenschutzpraxis eines Staats hin überprüft wird. Dazu gehören zentrale Datenschutzgrundsätze, individuelle Rechte Betroffener und eine entsprechende Ausstattung durch Aufsichtsbehörden sowie ein juristischer Apparat zur Rechtsaufsicht. Nur wenn eine Vielzahl der in der Liste aufgeführten Elemente im Drittland gesetzlich verankert sind, besteht die Chance auf den entsprechenden Angemessenheitsbeschluss.

Die aktuelle Angemessenheits-List der EU-Kommission:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Isle of Man
• Israel (nur Privatsektor)
• Japan
• Jersey
• Kanada (nur Privatsektor)
• Neuseeland
• Schweiz
• Südkorea
• Uruguay
• Vereinigtes Königreich (nur Privatsektor)
• Vereinigte Staaten von Amerika – USA (nur mit zertifizierten Unternehmen und Organisationen)

Wie ist mit Staaten zu verfahren, für die ein Angemessenheitsbeschluss fehlt?

Ohne einen Angemessenheitsbeschlusses, der einen unkomplizierten grenzüberschreitenden Datenaustausch ermöglicht, hat die EU-Kommission Schutzmaßnahmen sowie Standardschutzklauseln definiert, die in bilateralen Verträgen zur Anwendung kommen, wenn beispielsweise ein Unternehmen mit Sitz in der EU Daten mit einem Drittland ohne Angemessenheitsbeschluss austauschen will. Diese Grundsätze sind vordefiniert durch die EU-Kommission in Standardschutzklauseln, die unverändert in individuelle Verträge aufgenommen werden müssen. Die aktuellen Versionen der Standardschutzklauseln der EU sind seit dem 27. September 2021 verbindlich für alle betroffenen Vertragswerke. Ein halbes Jahr nach der Neufassung der Klauseln hat die Europäische Kommission FAQs veröffentlicht, die sich mit den wesentlichen Details der Standardvertragsklauseln beschäftigen und fortlaufend aktualisiert werden. Unternehmen sind dazu verpflichtet, für etwaige Verträge grundsätzlich die aktuell gültigen Standardschutzklauseln zu nutzen.

Nur zertifizierte Organisationen beim US-Datentransfer

Auch für die USA wurde im vergangenen Jahr ein Angemessenheitsbeschluss erlassen. Unternehmen und Organisationen, mit denen Daten von EU-Bürgern ausgetauscht werden, müssen allerdings dafür zertifiziert sein, am sogenannten EU-US Data Privacy Framework (EU-US DPF) teilzunehmen. Die Organisationen, die uneingeschränkt vom Angemessenheitsbeschluss abgedeckt sind, werden in einer regelmäßig aktualisierten Liste verzeichnet.