Die Europäische Kommission kann gemäß Art. 45 Abs. 3 DS-GVO sogenannte Angemessenheitsbeschlüsse fassen. Hierin stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DS-GVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.
Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer (Download: siehe unten):
- Andorra*
- Argentinien*
- Kanada*
- Färöer-Inseln*
- Guernsey*
- Israel*
- Isle of Man*
- Japan
- Jersey*
- Neuseeland*
- Republik Korea (Südkorea)
- Schweiz*
- Uruguay*
- Vereinigtes Königreich
- Vereinigte Staaten von Amerika
Die mit Sternchen (*) versehenen Angemessenheitsbeschlüsse hat die Europäische Kommission noch auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Inkrafttreten der DS-GVO zum 25.05.2018 fort, solange die Europäische Kommission nicht ihre Änderung, Ersetzung oder Aufhebung beschließt, Art. 45 Abs. 9 DS-GVO. Von dieser Möglichkeit hat die Europäische Kommission bislang keinen Gebrauch gemacht.
Zuletzt hat die Europäische Kommission auf Grundlage von Art. 45 Abs. 3 DS-GVO einen neuen Angemessenheitsbeschluss für Datenübermittlungen aus der EU an unter dem sog. „EU-US Data Privacy Framework“ (EU-US DPF) zertifizierte Datenempfänger in den USA erlassen.
Zu beachten ist, dass sich die jeweiligen Angemessenheitsbeschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können.
So erfasst beispielsweise der Angemessenheitsbeschluss für Kanada nur solche Datenverarbeitungen, die dem Personal Information Protection and Electronic Documents Act (PIPEDA) unterfallen und der Angemessenheitsbeschluss für die USA gilt nur, sofern der jeweilige US-Datenempfänger auch unter dem EU-US DPF beim US Department of Commerce zertifiziert ist.
Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, lässt sich generell nicht auf einen Angemessenheitsbeschluss stützen. Vielmehr gilt hier die Richtlinie (EU) 2016/680 (Richtlinie Justiz/Inneres, sog. JI-Richtlinie).Öffnet sich in einem neuen Fenster
Sie sollten daher vor einem Transfer von Daten auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission unbedingt prüfen, ob der konkret geplante Transfer auch von der Tragweite des Angemessenheitsbeschlusses umfasst ist. Fällt diese Prüfung positiv aus, können Daten ohne weitere Vorkehrungen zur Absicherung eines angemessenen Datenschutzniveaus im Empfängerland transferiert werden.
Vorsicht: Verantwortliche und Auftragsverarbeiter sind trotz eines Angemessenheitsbeschlusses selbstverständlich nicht von der Verpflichtung entbunden, sämtliche sonstigen Voraussetzungen an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben (wie etwa das Erfordernis, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen), zu erfüllen!