Eine Datenübermittlung in Drittländer ist zulässig, wenn die EU-Kommission beschlossen hat, dass dort ein angemessenes Datenschutzniveau besteht.
Die Europäische Kommission veröffentlicht die Angemessenheitsbeschlüsse nach Art. 45 Datenschutz-Grundverordnung (DS-GVO). Daraus ergibt sich, für welches Drittland aktuell ein Angemessenheitsbeschluss besteht.
Nach unserem letzten Stand ist für die folgenden Länder ein angemessenes Datenschutzniveau festgestellt:
- Andorra
- Argentinien
- Färöer-Inseln
- Guernsey
- Isle of Man
- Israel (eingeschränkt)
- Japan
- Jersey
- Kanada (eingeschränkt)
- Neuseeland
- Schweiz
- Südkorea
- Uruguay
- Vereinigtes Königreich (eingeschränkt). Die Übergangsregelungen zum Brexit sind nicht mehr von Bedeutung.
- Vereinigte Staaten von Amerika – USA (eingeschränkt - siehe dazu unten unter "Angemessenheitsbeschluss USA")
Angemessenheitsentscheidungen, die vor der DS-GVO getroffen wurden, bleiben in Kraft (Art. 45 Abs. 9 DS-GVO). Die Europäische Kommission hat 11 Angemessenheitsbeschlüsse, die vor Inkrafttreten der DS-GVO erlassen wurden, im Januar 2024 überprüft und als fortwährend gültig bewertet. Gemäß der Pressemitteilung hierzu gelten für personenbezogene Daten, die aus der Europäischen Union (EU) bzw. dem Europäischen Wirtschaftsraum (EWR) nach Andorra, Argentinien, Kanada, auf die Färöer-Inseln, Guernsey, die Isle of Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay übermittelt werden, weiterhin angemessene Datenschutzgarantien.
Eine Aufsichtsbehörde kann auch bei einer Übermittlung aufgrund eines Angemessenheitsbeschlusses zum Ergebnis kommen, dass die Übermittlung rechtswidrig ist. Das ist besonders dann möglich, wenn die Aufsichtsbehörde den Angemessenheitsbeschluss für rechtswidrig hält. Die Aufsichtsbehörde hat in Deutschland dann einen Antrag auf gerichtliche Entscheidung über den Angemessenheitsbeschluss zu stellen und ihr Verfahren auszusetzen (§ 21 Bundesdatenschutzgesetz).
Angemessenheitsbeschluss USA
Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (DPF) angenommen.
In dem Angemessenheitsbeschluss für die USA wird der Schluss gezogen, dass die USA ein angemessenes Schutzniveau – verglichen mit dem der EU – für personenbezogene Daten gewährleisten, die aus der EU an die am DPF teilnehmenden US-Organisationen/-Unternehmen übermittelt werden.
Der Europäische Datenschutzausschuss (EDSA) hatte zuvor eine kritische Stellungnahme zum Entwurf des Angemessenheitsbeschlusses abgegeben. An der Erarbeitung der Stellungnahme haben sich die deutschen Datenschutzaufsichtsbehörden beteiligt.
Der Angemessenheitsbeschluss für die USA kann zur Übermittlung personenbezogener Daten an bestimmte US-Unternehmen oder -Organisationen genutzt werden.
Die Europäischen Kommission hat dazu eine Pressemitteilung und eine Sammlung von Fragen und Antworten veröffentlicht.
Es ist zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an US-Unternehmen oder -Organisationen festgestellt wurde. Der Angemessenheitsbeschluss gilt nur für solche US-Unternehmen oder -Organisationen, die unter dem DPF zertifiziert sind und sich dadurch zur Einhaltung des zwischen der EU-Kommission und der US-Regierung vereinbarten Datenschutzrahmens verpflichtet haben. Datenexporteure aus der EU, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln, müssen deshalb vorab prüfen, ob der Datenimporteur, an den übermittelt wird, unter dem DPF zertifiziert ist. Das U.S. Department of Commerce veröffentlicht eine Liste, anhand derer überprüft werden kann, welche Unternehmen und Organisationen zertifiziert sind.
Die Datenschutzkonferenz hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) veröffentlicht. Nach einer Einführung zum Datenschutz bei Drittlandübermittlungen enthält das Dokument einerseits Informationen für die Datenexporteure. Andererseits erfahren Betroffene, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.
Außerdem hat der EDSA Ausführungen zu häufig gestellten Fragen („FAQ’s“) zum EU-US DPF für europäische Privatpersonen und Unternehmen in englischer Sprache veröffentlicht. Nichtamtliche deutsche Übersetzungen finden Sie hier:
Beschwerdemechanismus bei Drittlandübermittlungen in die USA
Sie haben die Möglichkeit, eine Beschwerde bei Ihrer zuständigen Aufsichtsbehörde einzureichen,
- wenn Sie der Meinung sind, ein zertifiziertes US-Unternehmen hat bei der Verarbeitung Ihrer personenbezogenen Daten gegen das DPF verstoßen.
- Für solche Beschwerden können Sie das Formular für Beschwerden gegen zertifizierte US-Unternehmen/-Organisationen nutzen. Die Verwendung dieses Formulars ist optional. Bitte bedenken Sie jedoch, dass die im Formular abgefragten Informationen zur Bearbeitung Ihrer Beschwerde erforderlich sind.
- Weitere Details zum Beschwerdeverfahren und zur Rolle des "Informellen Gremiums der EU-Datenschutzbehörden" nach dem DPF, das sich je nach Einzelfall ggf. mit Ihrer Beschwerde befassen wird, finden Sie in der Geschäftsordnung des Gremiums.
- wenn Sie der Meinung sind, US-Nachrichtendienste haben unrechtmäßig auf Ihre personenbezogenen Daten zugegriffen. Das gilt nicht nur für Übermittlungen auf Grundlage des DPF, sondern für alle Verstöße gegen das US-Recht bei der Erhebung personenbezogener Daten durch US-Nachrich
tendienste seit dem 10. Juli 2023.- Für solche Beschwerden gibt es das „Formular für Beschwerden wegen US-sicherheitsbehördlicher Zugriffe“ nebst ergänzenden Hinweisen.
- Ergänzende Hinweise für Beschwerden im Zusammenhang mit möglichen Verstößen gegen das US-Recht bei der Erhebung personenbezogener Daten durch US-Nachrichtendienste
Unsere Kontaktdaten finden Sie hier.