Die Europäische Kommission veröffentlicht die Angemessenheitsbeschlüsse nach Art. 45 Datenschutz-Grundverordnung (DS-GVO). Daraus ergibt sich, für welches Drittland aktuell ein Angemessenheitsbeschluss besteht.

Nach unserem letzten Stand ist für die folgenden Länder ein angemessenes Datenschutzniveau festgestellt:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Isle of Man
• Israel (eingeschränkt)
• Japan
• Jersey
• Kanada (eingeschränkt)
• Neuseeland
• Schweiz
• Südkorea
• Uruguay
• Vereinigtes Königreich (eingeschränkt). Die Übergangsregelungen zum Brexit sind nicht mehr von Bedeutung.
• Vereinigte Staaten von Amerika – USA (eingeschränkt)

Die Europäische Kommission hat am 10.07.2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen. Der Angemessenheitsbeschluss kann seitdem für die Übermittlung personenbezogener Daten an bestimmte Organisationen in den USA genutzt werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat am 04.09.2023 Anwendungshinweise zum Angemessenheitsbeschluss zum EU-US Data Privacy Framework veröffentlicht. Nach einer Einführung zum Datenschutz bei Drittlandübermittlungen enthält das Dokument einerseits Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln. Andererseits erfahren betroffene Personen, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.

Es ist zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an Organisationen in den USA vorausgesetzt werden kann. Datenexporteure aus der EU müssen zunächst vorab prüfen, dass die Organisation, an die übermittelt wird, unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Erst dann sind keine weiteren Übermittlungsinstrumente oder zusätzlichen Maßnahmen erforderlich. Das U.S. Department of Commerce veröffentlicht eine Liste mit den zertifizierten Organisationen.

Der Europäische Datenschutzausschuss hatte am 28.02.2023 eine kritische Stellungnahme zum Entwurf des Angemessenheitsbeschlusses abgegeben. An der Erarbeitung der Stellungnahme haben sich die deutschen Datenschutzaufsichtsbehörden beteiligt.

Die Europäischen Kommission hat zum EU-U.S. Data Privacy Framework eine Pressemitteilung und eine Sammlung von Fragen und Antworten veröffentlicht.

Angemessenheitsentscheidungen, die vor der DS-GVO getroffen wurden, bleiben in Kraft (Art. 45 Abs. 9 DS-GVO).

Die Europäische Kommission hat 2016 diese Angemessenheitsbeschlüsse mit einem Änderungsbeschluss angepasst. Die Änderungen betreffen nicht den Bestand der Angemessenheitsbeschlüsse, sondern sollen Anforderungen an die Befugnisse der Aufsichtsbehörden aufgrund der Rechtsprechung des Europäischen Gerichtshofs („Schrems I“) umsetzen.

Eine Aufsichtsbehörde kann auch bei einer Übermittlung aufgrund eines Angemessenheitsbeschlusses zum Ergebnis kommen, dass die Übermittlung rechtswidrig ist. Das ist besonders dann möglich, wenn die Aufsichtsbehörde den Angemessenheitsbeschluss für rechtswidrig hält. Die Aufsichtsbehörde hat in Deutschland dann einen Antrag auf gerichtliche Entscheidung über den Angemessenheitsbeschluss zu stellen und ihr Verfahren auszusetzen (§ 21 Bundesdatenschutzgesetz).