EU Kommission

Angemessenheitsbeschluss

Eine Datenübermittlung in Drittländer ist zulässig, wenn die EU-Kommission beschlossen hat, dass dort ein angemessenes Datenschutzniveau besteht.

Die Europäische Kommission veröffentlicht die Angemessenheitsbeschlüsse nach Art. 45 Datenschutz-Grundverordnung (DS-GVO). Daraus ergibt sich, für welches Drittland aktuell ein Angemessenheitsbeschluss besteht.

Nach unserem letzten Stand ist für die folgenden Länder ein angemessenes Datenschutzniveau festgestellt:

  • Andorra
  • Argentinien
  • Färöer-Inseln
  • Guernsey
  • Isle of Man
  • Israel (eingeschränkt)
  • Japan
  • Jersey
  • Kanada (eingeschränkt)
  • Neuseeland
  • Schweiz
  • Südkorea
  • Uruguay
  • Vereinigtes Königreich (eingeschränkt).

Wenn es einen Angemessenheitsbeschluss gibt, bestehen keine weiteren Anforderungen für die Drittlandübermittlung. Allerdings sind manche Angemessenheitsbeschlüsse auf bestimmte Anwendungsbereiche beschränkt oder sonst eingeschränkt. Deshalb muss geprüft werden, ob ein Angemessenheitsbeschluss – wie meist – umfassend für das Drittland gilt. Wenn er nicht umfassend gilt, muss geprüft werden, ob der Anwendungsbereich für die Übermittlung passt.

  • Für die USA gibt es keinen gültigen Angemessenheitsbeschluss. Die Beschlüsse zu „Safe Harbor“ und zum „Privacy Shield" sind nichtig. Die EU Kommission und die USA haben sich zwar prinzipiell auf ein "Trans-Atlantic Data Privacy Framework" und damit auf ein Nachfolgemodell geeinigt. Dies muss aber erst in US-Recht umgesetzt werden. Dann kann die EU-Kommission entscheiden, ob sie auf dieser Grundlage einen Angemessenheitsbeschluss trifft.
  • Für das Vereinigte Königreich gibt es Angemessenheitsbeschlüsse. Die Übergangsregelungen zum Brexit sind nicht mehr von Bedeutung.
  • Angemessenheitsentscheidungen, die vor der DS-GVO getroffen wurden, bleiben in Kraft (Art. 45 Abs. 9 DS-GVO).
  • Die Europäische Kommission hat 2016 diese Angemessenheitsbeschlüsse mit einem Änderungsbeschluss angepasst. Die Änderungen betreffen nicht den Bestand der Angemessenheitsbeschlüsse, sondern sollen Anforderungen an die Befugnisse der Aufsichtsbehörden aufgrund der Rechtsprechung des Europäischen Gerichtshofs („Schrems I“) umsetzen.

Eine Aufsichtsbehörde kann auch bei einer Übermittlung aufgrund eines Angemessenheitsbeschlusses zum Ergebnis kommen, dass die Übermittlung rechtswidrig ist. Das ist besonders dann möglich, wenn die Aufsichtsbehörde den Angemessenheitsbeschluss für rechtswidrig hält. Die Aufsichtsbehörde hat in Deutschland dann einen Antrag auf gerichtliche Entscheidung über den Angemessenheitsbeschluss zu stellen und ihr Verfahren auszusetzen (§ 21 Bundesdatenschutzgesetz).