Die Europäische Kommission veröffentlicht die Angemessenheitsbeschlüsse nach Art. 45 Datenschutz-Grundverordnung (DS-GVO). Daraus ergibt sich, für welches Drittland oder welche internationale Organisation aktuell ein Angemessenheitsbeschluss besteht.

Nach letztem Stand ist für die folgenden Länder ein angemessenes Datenschutzniveau festgestellt:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Isle of Man
• Israel (eingeschränkt)
• Japan
• Jersey
• Kanada (eingeschränkt)
• Neuseeland
• Schweiz
• Südkorea
• Uruguay
• Vereinigtes Königreich (eingeschränkt). 
• Vereinigte Staaten von Amerika – USA (eingeschränkt - siehe dazu unten unter "Angemessenheitsbeschluss USA")

Mit Angemessenheitsbeschluss vom 15.07.2025 hat die Europäische Kommission erstmalig ein angemessenes Datenschutzniveau für eine internationale Organisation, die Europäische Patentorganisation (EPO), festgestellt.

Angemessenheitsbeschlüsse, die vor Inkrafttreten der DS-GVO getroffen wurden, bleiben in Kraft (Art. 45 Abs. 9 DS-GVO). 

Die Europäische Kommission ist verpflichtet, die im Rahmen der DS-GVO und ihrer Vorgängerin, der Richtlinie 95/46/EG, erlassenen Angemessenheitsbeschlüsse regelmäßig zu überprüfen und dem Europäischen Parlament und dem Rat über ihre Ergebnisse zu berichten.

Die Europäische Kommission hat ihren Report über die Überprüfung der Angemessenheitsbeschlüsse. für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, die Isle of Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay am 15. Januar 2024, ihren Report über die Überprüfung des Angemessenheitsbeschluss für Japan am 4. April 2023 und ihren Report über die Überprüfung des Angemessenheitsbeschlusses für die USA am 9. Oktober 2024 veröffentlicht. Eine Aufsichtsbehörde kann auch bei einer Übermittlung aufgrund eines Angemessenheitsbeschlusses zum Ergebnis kommen, dass die Übermittlung rechtswidrig ist. Das ist besonders dann möglich, wenn die Aufsichtsbehörde den Angemessenheitsbeschluss für rechtswidrig hält. Die Aufsichtsbehörde hat in Deutschland dann einen Antrag auf gerichtliche Entscheidung über den Angemessenheitsbeschluss zu stellen und ihr Verfahren auszusetzen (§ 21 Bundesdatenschutzgesetz).

Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (DPF) angenommen. 

In dem Angemessenheitsbeschluss für die USA wird der Schluss gezogen, dass die USA ein angemessenes Schutzniveau – verglichen mit dem der EU – für personenbezogene Daten gewährleisten, die aus der EU an die am DPF teilnehmenden US-Organisationen/-Unternehmen übermittelt werden.

Der Europäische Datenschutzausschuss (EDSA) hatte zuvor eine kritische Stellungnahme zum Entwurf des Angemessenheitsbeschlusses abgegeben. An der Erarbeitung der Stellungnahme haben sich die deutschen Datenschutzaufsichtsbehörden beteiligt.

Der Angemessenheitsbeschluss für die USA kann zur Übermittlung personenbezogener Daten an bestimmte US-Unternehmen oder -Organisationen genutzt werden. 

Die Europäischen Kommission hat dazu eine Pressemitteilung und eine Sammlung von Fragen und Antworten veröffentlicht.

Es ist zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an US-Unternehmen oder -Organisationen festgestellt wurde. Der Angemessenheitsbeschluss gilt nur für solche US-Unternehmen oder -Organisationen, die unter dem DPF zertifiziert sind und sich dadurch zur Einhaltung des zwischen der EU-Kommission und der US-Regierung vereinbarten Datenschutzrahmens verpflichtet haben. Datenexporteure aus der EU, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln, müssen deshalb vorab prüfen, ob der Datenimporteur, an den übermittelt wird, unter dem DPF zertifiziert ist. Das U.S. Department of Commerce veröffentlicht eine Liste, anhand derer überprüft werden kann, welche Unternehmen und Organisationen zertifiziert sind.  

Die Datenschutzkonferenz hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) veröffentlicht. Nach einer Einführung zum Datenschutz bei Drittlandübermittlungen enthält das Dokument einerseits Informationen für die Datenexporteure. Andererseits erfahren Betroffene, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.

Außerdem hat der EDSA Ausführungen zu häufig gestellten Fragen („FAQ’s“) zum EU-US DPF für europäische Privatpersonen und Unternehmen in englischer Sprache veröffentlicht. Nichtamtliche deutsche Übersetzungen finden Sie hier:

• FAQ für Privatpersonen
• FAQ für Unternehmen

Beschwerdemechanismus bei Drittlandübermittlungen in die USA

Sie haben die Möglichkeit, eine Beschwerde bei Ihrer zuständigen Aufsichtsbehörde einzureichen, 

• wenn Sie der Meinung sind, ein zertifiziertes US-Unternehmen hat bei der Verarbeitung Ihrer personenbezogenen Daten gegen das DPF verstoßen.
  • Für solche Beschwerden können Sie das Formular für Beschwerden gegen zertifizierte US-Unternehmen/-Organisationen nutzen. Die Verwendung dieses Formulars ist optional. Bitte bedenken Sie jedoch, dass die im Formular abgefragten Informationen zur Bearbeitung Ihrer Beschwerde erforderlich sind.
  • Weitere Details zum Beschwerdeverfahren und zur Rolle des "Informellen Gremiums der EU-Datenschutzbehörden" nach dem DPF, das sich je nach Einzelfall ggf. mit Ihrer Beschwerde befassen wird, finden Sie in der Geschäftsordnung des Gremiums.
• wenn Sie der Meinung sind, US-Nachrichtendienste haben unrechtmäßig auf Ihre personenbezogenen Daten zugegriffen. Das gilt nicht nur für Übermittlungen auf Grundlage des DPF, sondern für alle Verstöße gegen das US-Recht bei der Erhebung personenbezogener Daten durch US-Nachrich­tendienste seit dem 10. Juli 2023. 
  • Für solche Beschwerden gibt es das „Formular für Beschwerden wegen US-sicherheitsbehördlicher Zugriffe“ nebst ergänzenden Hinweisen. 
  • Ergänzende Hinweise für Beschwerden im Zusammenhang mit möglichen Verstößen gegen das US-Recht bei der Erhebung personenbezogener Daten durch US-Nachrichtendienste

Unsere Kontaktdaten finden Sie hier.