EU fasst Angemessenheitsbeschlüsse für elf nichteuropäische Staaten

Die Datenschutz-Grundverordnung, die in allen EU-Ländern sowie Norwegen, Island und Liechtenstein in jeweiligen Landesfassungen geltendes Recht darstellt, gilt als das weltweit facettenreichste Regelwerk für den Umgang mit personenbezogenen Daten. Seit Einführung der DSGVO im Jahr 2018 haben die zuständigen Datenschutzbehörden bereits tausende Bußgeldverfahren wegen Datenschutzverstößen eingeleitet und erfolgreich durchgesetzt. Doch wie sieht es generell mit Datentransfers aus der EU in sogenannte Drittländer aus?

Unlängst hat die EU-Kommission eine Liste von Ländern herausgegeben, für die die zuständige Behörde sogenannte Angemessenheitsbeschlüsse verfasst hat. Dabei handelt es sich also um eine Art „Whitelist“ mit Ländern, die nach Ansicht der obersten EU-Datenschützer ein mit dem europäischen Datenschutzrecht vergleichbares Niveau erreicht haben. In diese Länder dürfen Daten von EU-Bürgern transferiert werden, ohne dass dies unter zusätzliche Bedingungen oder Einschränkungen fällt, wie es auch generell beim Datenaustausch innerhalb der EU praktiziert wird.

In der DSGVO heißt es dazu: „Der Angemessenheitsbeschluss gehört zu den definierten Instrumenten, um Datenflüsse in oder aus Nicht-EU-Ländern zu beurteilen und bei erfolgtem Angemessenheitsbeschluss ohne Einschränkungen zuzulassen“. Dazu wurde von der EU-Kommission eine Liste mit Elementen erstellt, auf die die Datenschutzpraxis eines Staats hin überprüft wird. Dazu gehören zentrale Datenschutzgrundsätze, individuelle Rechte Betroffener und eine entsprechende Ausstattung durch Aufsichtsbehörden sowie ein juristischer Apparat zur Rechtsaufsicht.

In folgende Länder dürfen gemäß des aktuellen Beschlusses Daten übermittelt werden:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Isle of Man
• Israel (nur Privatsektor)
• Japan
• Jersey
• Kanada (nur Privatsektor)
• Neuseeland
• Schweiz
• Südkorea
• Uruguay
• Vereinigtes Königreich (nur Privatsektor)
• Vereinigte Staaten von Amerika – USA (nur mit zertifizierten Unternehmen und Organisationen)

Was gilt beim Datentransfer in Länder ohne Angemessenheitsbeschluss?

Ohne Angemessenheitsbeschluss regelt die DSGVO den Datentransfer in betroffene Länder durch sogenannte geeignete Garantien (Schutzmaßnahmen). Diese sind vordefiniert durch die EU-Kommission in Standardschutzklauseln, die unverändert in individuelle Verträge aufgenommen werden müssen, die beispielsweise ein Unternehmen mit einem Unternehmen in einem Drittstaat vor einem Datentransfer aushandelt. Die aktuellen Versionen der Standardschutzklauseln der EU sind seit dem 27. September 2021 verbindlich für alle betroffenen Vertragswerke. Ein halbes Jahr nach der Neufassung der Klauseln hat die Europäische Kommission FAQs veröffentlicht, die sich mit den wesentlichen Details der Standardvertragsklauseln beschäftigen und fortlaufend aktualisiert werden.

Sonderfall USA: Nur zertifizierte Unternehmen und Institutionen sind „angemessen“

Seit Sommer letzten Jahrs besteht auch für den Datenaustausch in die USA ein genereller Angemessenheitsbeschluss. Unternehmen und Organisationen, mit denen Daten von EU-Bürgern ausgetauscht werden, müssen allerdings dafür zertifiziert sein, am sogenannten EU-US Data Privacy Framework (EU-US DPF) teilzunehmen. Eine ebenfalls fortlaufende Liste dieser Organisationen und Unternehmen ist für betroffene EU-Unternehmen hier einzusehen.