Angemessenheitsbeschlüsse: Überprüfung von 11 Drittstaaten

Was bedeutet ein Angemessenheitsbeschluss?

Die Kommission hat die Möglichkeit das Bestehen eines angemessenen Schutzniveaus für die Verarbeitung personenbezogener Daten in einem bestimmten Drittland (also außerhalb von EU und EWR) oder einer internationalen Organisation festzustellen (Art. 45 DSGVO). Im Rahmen der dafür notwendigen Überprüfung werden die innerstaatlichen Rechtsvorschriften des Landes, dessen Aufsichtsbehörden und die von dem Land eingegangen internationalen Verpflichtungen berücksichtigt.

Liegt ein Angemessenheitsbeschluss vor, bedarf es keiner weiteren Schutzmaßnahmen für die Übermittlung personenbezogener Daten in das betreffende Drittland. Personenbezogene Daten können somit in das betreffende Drittland in gleicher Weise übermittelt werden wie innerhalb der EU.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer (siehe auch die Liste der Europäischen Kommission):

• Andorra
• Argentinien
• Kanada
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Neuseeland
• Republik Korea (Südkorea)
• Schweiz
• Uruguay
• Vereinigtes Königreich
• Vereinigte Staaten von Amerika (gilt nur für zertifizierte U.S.-Unternehmen)

Warum werden die Angemessenheitsbeschlüsse überprüft?

Für die jetzt überprüften Länder hatte die Europäische Kommission die Angemessenheitsbeschlüsse noch auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG (EU-Datenschutzrichtlinie) erlassen. Diese Angemessenheitsbeschlüsse blieben auch nach Inkrafttreten der DSGVO im Mai 2018 gültig.

Laut Art. 45 Abs. 4 DSGVO muss die Kommission fortlaufend die Entwicklungen in Drittländern überwachen, um die Wirkungsweise der erlassenen Beschlüsse zu gewährleisten. Zudem muss die Kommission gemäß Art. 97 DSGVO  diese Feststellungen alle vier Jahre überprüfen.

Die erste Überprüfung verzögerte sich insbesondere aufgrund des Urteils des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II. Der EuGH hatte in seinem Urteil wichtige Klarstellungen zu Schlüsselelementen der Angemessenheitsfeststellung vorgenommen, die die Kommission bei der Prüfung der Angemessenheit berücksichtigen muss. Hierzu gehört insbesondere die Erläuterungen des EuGH zum Grundsatz der Gleichwertigkeit. Demnach muss ein Drittland nicht ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleisten, sondern ein Schutzniveau das diesem „der Sache nach“ gleichwertig ist. Aufgabe der Kommission ist es demnach das gesamte System des Drittlandes zu überprüfen, einschließlich der Maßnahmen zum Schutz der Privatsphäre sowie die wirksame Umsetzung und Durchsetzung.

Was prüft die Kommission in Drittländern?

Bei Ihrer Überprüfung (siehe der Bericht vom 15. Januar 2024) konzentrierte sich die EU Kommission auf die Entwicklungen der betreffenden Länder seit den letzten Angemessenheitsfeststellungen und bewertete, wie diese Entwicklungen Datenschutzrahmen beeinflusst haben und ob die verschiedenen Regelungen weiterhin ein angemessenes Schutzniveau gewährleisten. Zugleich wurden die Datenschutzvorschriften der EU, insbesondere das Inkrafttreten der DSGVO, umfassend berücksichtigt.

Die Bewertung der Kommission beschränkte sich nicht nur auf den allgemeinen Datenschutzrahmen des jeweiligen Drittlandes, sondern umfasste auch die Vorschriften für den Zugang von Behörden zu personenbezogenen Daten, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Die Anforderung, die diese Vorschriften erfüllen sollten, um den Standard der Gleichwertigkeit der Sache nach zu entsprechen, hat der EuGH in den Urteilen Schrems I und Schrems II umfassend formuliert. Ein angemessenes Schutzniveau fehlt, wenn die zusätzlichen Schutzmaßnahmen nicht vor unverhältnismäßigem Zugriff der Behörden schützen und hiergegen kein effektiver Rechtsschutz besteht.

Was ergaben die Prüfungen der Drittstaaten?

Von den elf nun überprüften Ländern holte die EU-Kommission Informationen über die Entwicklung ihrer Regelungen zum Datenschutz seit der ersten Angemessenheit ein. Diese Informationen beinhalteten auch detaillierte Daten zum Zugang von Behörden zu personenbezogenen Daten.

Ebenso wurden Informationen von Behörden und lokalen Sachverständigen über die Funktionsweise der nationalen Regelungen sowie relevante rechtliche und praktische Entwicklung beschafft. Zusätzlich fanden auf Grundlage der Informationen intensive Dialoge mit jedem betroffenen Land statt. Parallel dazu fand eine Konsultation der einschlägigen EU-Organe und -Einrichtungen statt, auf deren Rückmeldung sich die EU-Kommission ebenfalls in ihren Entscheidungen stützte.

Auf Grundlage dieser Dialoge haben einige der Länder und Gebiete ihre Rechtsvorschriften zum Datenschutz modernisiert und gestärkt (z.B. Andorra, Kanada, Färöer Inseln, Schweiz und Neuseeland), um die Kontinuität der Angemessenheitsfeststellung und sicherzustellen. Einige Länder erließen Verordnungen und/oder Leitlinien ihrer Datenschutzbehörden, die neue Datenschutzanforderungen enthalten (z.B. Israel und Uruguay) oder bestimmte Datenschutzvorschriften präzisieren (z.B. Argentinien, Kanada, Guernsey, Jersey, Isle of Man, Israel und Neuseeland).

Teilweise konnte die EU-Kommission zusätzliche Garantien für aus der EU übermittelten personenbezogene Daten aushandeln, um relevante Unterschiede bezüglich des Schutzniveaus anzugehen. Kanada weitete beispielsweise das Recht auf Auskunft und Berichtigung in Bezug auf personenbezogene Daten (die von Behörden verarbeitet werden) auf alle Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz aus. Die israelische Regierung führte beispielsweise neue Verpflichtung im Bereich der Datengenauigkeit und Vorratsdatenspeicherung ein, stärkte das Recht auf Information und Löschung und führte zusätzlich die Kategorie sensibler Daten ein.

Fazit

Mit den Angemessenheitsbeschlüssen attestiert die EU-Kommission den elf Ländern ein, gemessen an den Maßstäben der DSGVO, angemessenes Datenschutzniveau. Allerdings bedeutet dies nicht, dass die Regeln dieser Drittländer mit der DSGVO übereinstimmen oder exakt dieselben strengen Standards gelten wie in der EU.

Für Unternehmen in der EU und auch Unternehmen in den Ländern mit positiven Angemessenheitsbeschluss, ist diese positive Entscheidung von zentraler Bedeutung. Die jeweiligen Beschlüsse sind die Basis dafür, Personendaten zwischen der EU und den jeweiligen Drittländern ohne zusätzliche Garantien übermittelt werden dürfen.

Gerade in Bezug auf die USA – die zwar nicht Teil der aktuellen Überprüfung waren – sollten Unternehmen jedoch wachsam bleiben, da hier Gerichtsverfahren gegen das aktuell geltende EU-U.S. Data Privacy Framework drohen.