Nach Art. 45 Abs. 3 DSGVO ist die Europäische Kommission befugt, Angemessenheitsbeschlüsse zu erlassen. Diese stellen sicher, dass personenbezogene Daten in bestimmten Drittländern, Regionen oder Branchen einen Datenschutzstandard genießen, der mit dem der EU vergleichbar ist.
Liegt ein solcher Beschluss vor, dürfen personenbezogene Daten unter Einhaltung der weiteren DSGVO-Vorgaben ohne zusätzliche Genehmigung in das jeweilige Drittland übermittelt werden. Datentransfers auf dieser Grundlage gelten als privilegiert und werden mit Transfers innerhalb der EU gleichgestellt.
Aktuell bestehen Angemessenheitsbeschlüsse für ausgewählte Länder:
- Andorra*
- Argentinien*
- Kanada*
- Färöer-Inseln*
- Guernsey*
- Israel*
- Isle of Man*
- Japan
- Jersey*
- Neuseeland*
- Republik Korea (Südkorea)
- Schweiz*
- Uruguay*
- Vereinigtes Königreich
- Vereinigte Staaten von Amerika
Angemessenheitsbeschlüsse der Europäischen Kommission ermöglichen es, personenbezogene Daten in Drittländer zu übermitteln, sofern diese ein mit der EU vergleichbares Datenschutzniveau gewährleisten. Die mit einem „*“ gekenzeichnetten Beschlüsse wurden noch auf Grundlage der alten EU-Datenschutzrichtlinie (Art. 25 Abs. 6 der Richtlinie 95/46/EG) erlassen und behalten gemäß Art. 45 Abs. 9 DSGVO solange ihre Gültigkeit, bis sie geändert, ersetzt oder aufgehoben werden.
Angemessenheitsbeschluss für die USA
Das sogenannte „EU-US Data Privacy Framework“ (EU-US DPF) erlaubt Datenübermittlungen an US-Unternehmen, die vom US-Handelsministerium unter dem EU-US DPF zertifiziert wurden. Beachten Sie unseren Artikel zum Zertifizierungsverfahren in den Quellenangaben.
Unterschiedliche Reichweiten der Beschlüsse
Die Reichweite der Angemessenheitsbeschlüsse variiert je nach Land. Für Kanada gilt der Beschluss nur für Datenverarbeitungen unter dem Personal Information Protection and Electronic Documents Act (PIPEDA). Ähnlich gilt der Beschluss für die USA nur für zertifizierte Empfänger.
Strafverfolgung ausgenommen
Angemessenheitsbeschlüsse gelten nicht für Datenverarbeitungen durch Behörden zur Verhütung oder Verfolgung von Straftaten. Solche Fälle unterliegen der Richtlinie (EU) 2016/680 („JI-Richtlinie“).
Prüfung vor Datenübertragung
Bevor personenbezogene Daten auf Basis eines Angemessenheitsbeschlusses übermittelt werden, ist zu prüfen, ob der geplante Transfer unter den jeweiligen Beschluss fällt. Nur dann sind keine zusätzlichen Maßnahmen zum Schutz des Datenschutzniveaus erforderlich. Es istalso nicht erforderlich Standardvertragsklauseln (SCC) abzuschließen und auch die Durchführung eines Transfer Impact Assessments (TIA), das bei Datenübermittlungen in unsichere Drittländer normalerweise vorgeschrieben ist, kann entfallen.
Weitere Pflichten bleiben bestehen
Trotz eines Angemessenheitsbeschlusses sind Verantwortliche und Auftragsverarbeiter verpflichtet, alle anderen gesetzlichen Anforderungen an eine rechtmäßige Datenverarbeitung zu erfüllen. Dazu zählen etwa der Abschluss von Verträgen zur Auftragsdatenverarbeitung.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Angemessenheitsbeschlüsse der Europäischen Kommission
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection_en?prefLang=de
Orientierungshilfen der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)
https://www.datenschutzkonferenz-online.de/anwendungshinweise.html
Wie erfolgt eine Zertifizierung zum EU-US Data Privacy Framework (DPF)
https://it-news-blog.com/?p=2566
Informationen der Europäischer Datenschutzausschuss (EDSA)
https://www.edpb.europa.eu/edpb_en
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com