Datenübermittlungen in Länder außerhalb der EU, also in „Drittstaaten“, sind rechtlich heikel. Für 15 Länder, darunter Japan und die Schweiz, bieten Angemessenheitsbeschlüsse der EU-Kommission eine sichere Rechtsgrundlage. Es ist sehr nützlich, diese zu kennen.
Die Ausgangssituation ist komplex
Grundsätzlich verbietet die DSGVO die Übermittlung von Daten an Empfänger in Drittstaaten außerhalb der EU. Es gibt jedoch Ausnahmen von diesem Verbot im Kapitel V der DSGVO. Insgesamt umfasst dieses Kapitel sechs umfangreiche Artikel. Am einfachsten ist es, wenn ein Angemessenheitsbeschluss der EU-Kommission für ein Land vorliegt.
Angemessenheitsbeschlüsse erleichtern die Situation
Gemäß Artikel 45 Absatz 1 der DSGVO ist es erlaubt, personenbezogene Daten an ein Drittland zu übermitteln, wenn die EU-Kommission beschlossen hat, dass dieses Drittland ein angemessenes Datenschutzniveau bietet. Das ist besonders für kleine und mittlere Unternehmen eine praktische Möglichkeit, personenbezogene Daten in Drittstaaten zu übermitteln.
Insgesamt gibt es Beschlüsse für 18 Länder
Die Liste der Länder, für die Angemessenheitsbeschlüsse existieren, ist relativ lang: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay, Großbritannien, USA. Viele kennen nur den Angemessenheitsbeschluss für die USA, der unter dem Namen „Privacy Shield“ bekannt ist. Dabei vergisst man oft, dass Länder wie Israel, Japan und insbesondere die Schweiz in vielen Branchen genauso wichtig sind wie die USA.
Ein genauerer Blick auf Großbritannien lohnt sich
Seit dem Brexit gehört Großbritannien nicht mehr zur EU und wird als Drittstaat betrachtet. Ohne einen Angemessenheitsbeschluss der EU-Kommission wäre ein Datenaustausch mit Großbritannien nicht in dem bisherigen Umfang möglich gewesen. Die Kanalinseln Guernsey, Jersey und Isle of Man, die für den Finanzbereich wichtig sind, haben innerhalb des Vereinigten Königreichs einen besonderen rechtlichen Status. Deshalb wurden bereits vor dem Brexit entsprechende Angemessenheitsbeschlüsse erlassen.
Angemessenheitsbeschlüsse haben viele Vorteile
Wenn für ein Land ein Angemessenheitsbeschluss besteht, ist keine besondere Genehmigung für eine Datenübermittlung erforderlich (siehe Artikel 45 Absatz 1 Satz 2 der DSGVO). Es müssen auch keine zusätzlichen Zusicherungen seitens des Datenempfängers eingeholt werden, dass er weitere Vorgaben einhält. Solange die Datenübermittlung im Rahmen des Angemessenheitsbeschlusses erfolgt, ist sie rechtlich zulässig, ohne weitere Bedingungen. Die EU-Kommission spricht daher von einer „unkomplizierten und umfassenden Lösung für die Datenübermittlung“.
Jeder Angemessenheitsbeschluss erfordert eine genaue Prüfung
Wer Daten in ein bestimmtes Land übermitteln möchte, sollte den entsprechenden Angemessenheitsbeschluss gründlich lesen. Manchmal gibt es bestimmte Einschränkungen. Ein klassisches Beispiel dafür ist Kanada. Der Beschluss gilt nur für kommerzielle Datenempfänger in Kanada. Derartige Einschränkungen finden sich jedoch nur selten in Angemessenheitsbeschlüssen.
Einige Angemessenheitsbeschlüsse wurden vor der DSGVO erlassen
Viele Angemessenheitsbeschlüsse wurden bereits vor der DSGVO erlassen. Sie basieren auf der EG-Datenschutzrichtlinie von 1995. Die DSGVO stellt ausdrücklich fest, dass diese „Alt-Beschlüsse“ weiterhin gültig sind (siehe Artikel 45 Absatz 9 der DSGVO). Sie bleiben in Kraft, bis die EU-Kommission sie ändert, durch neue Beschlüsse ersetzt oder aufhebt. Bisher gab es noch keine Aufhebung eines solchen Beschlusses.
Die EU-Kommission sorgt für die Aktualisierung der Beschlüsse
Auch für „Alt-Beschlüsse“ wie Japan und die Schweiz bemüht sich die EU-Kommission aktiv um deren Anpassung an die DSGVO. Ein Bericht der EU-Kommission vom 15. Januar 2024 widmet sich speziell den „Alt-Beschlüssen“ und zeigt das Bemühen um ihre dauerhafte Vereinbarkeit mit der DSGVO. Der Bericht ist unter folgendem Link abrufbar: https://commission.europa.eu/document/f62d70a4-39e3-4372-9d49-e59dc0fda3df_en.
Ein kurzer Blick spart viel Arbeit
Vielleicht müssen Sie niemals Daten nach Uruguay übermitteln. Wenn es jedoch nötig sein sollte, ist es gut zu wissen, dass es einen Angemessenheitsbeschluss für dieses Land gibt. Eine Liste aller Angemessenheitsbeschlüsse finden Sie hier: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.