Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission
© geralt / pixabay.com
Die Kommission hat die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland festzustellen. Die Feststellung kann auch auf ein bestimmtes Gebiet oder einen bestimmten Sektor in dem Drittland oder auch auf bestimmte Datenkategorien beschränkt sein. Ein angemessenes Schutzniveau besteht dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der Datenschutz-Grundverordnung gewährten Schutzniveau gleichwertig ist.
Eine Datenübermittlung auf Grundlage eines solchen Angemessenheitsbeschlusses bedarf keiner weiteren Genehmigung durch die für den Verantwortlichen oder Auftragsverarbeiter zuständige nationale Aufsichtsbehörde. Die übrigen Anforderungen der Datenschutz-Grundverordnung an die Zulässigkeit von Datenverarbeitung gelten unabhängig davon ("Zwei-Stufen-Prüfung").
Die Datenschutz-Grundverordnung sieht eine Fortgeltung der bereits erlassenen Angemessenheitsbeschlüsse vor (Art. 46 Abs. 5 S. 2 DS-GVO). Solche bestehen für die folgenden Länder:
- Andorra
- Argentinien
- Färöer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Kanada (nur für kommerzielle Organisationen)
- Neuseeland
- Republik Korea (Südkorea)
- Schweiz
- Uruguay
- Vereinigtes Königreich
Die jeweils aktuelle Liste der Länder finden Sie auf der Internetseite der EU-Kommission.
Für die USA gilt folgende Besonderheit:
Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – EU-U.S. Data Privacy Framework (EU-U.S. DPF) – angenommen. Datenexporteure aus der EU haben jedoch zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an Organisationen in den USA vorausgesetzt werden kann. Sie müssen zunächst vorab prüfen und sicherstellen, dass die Organisation, an die übermittelt wird, unter dem EU-U.S. DPF zertifiziert ist. Andernfalls sind weitere Übermittlungsinstrumente oder zusätzlichen Maßnahmen erforderlich. Eine Liste der zertifizierten Stellen ist auf der Website des U.S. Department of Commerce veröffentlicht.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 04.09.2023 Anwendungshinweise zum EU-U.S. DPF veröffentlicht. Die Anwendungshinweise enthalten Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln möchten. Andererseits informiert es betroffene Personen darüber, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.
Nachdem bereits die vorangegangenen Angemessenheitsbeschlüsse der Europäischen Kommission („Safe Harbor-Abkommen“ und „EU-US Privacy Shield“) gerichtlich überprüft wurden, ist damit zu rechnen, dass der Europäische Gerichtshof auch über die Rechtmäßigkeit der EU-U.S. DPF entscheiden wird.