Angemessenheitsbeschlüsse

Fotolia_178762869_S.jpg

Bild Europa

Die Europäische Kommission kann gemäß Art. 45 Abs. 3 DS-GVO sogenannte Angemessenheitsbeschlüsse fassen. Hierin stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DS-GVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer:

Die mit Sternchen (*) versehenen Angemessenheitsbeschlüsse hat die Europäische Kommission noch auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Inkrafttreten der DS-GVO zum 25.05.2018 fort, solange die Europäische Kommission nicht ihre Änderung, Ersetzung oder Aufhebung beschließt, Art. 45 Abs. 9 DS-GVO. Von dieser Möglichkeit hat die Europäische Kommission bislang keinen Gebrauch gemacht.

Zuletzt haben sich die Europäische Kommission und Japan am 17. Juli 2018 auf Grundlage von Art. 45 Abs. 3 DS-GVO über die gegenseitige Anerkennung eines gleichwertigen Datenschutzniveaus geeinigt.

Zu beachten ist, dass sich die jeweiligen Angemessenheitsbeschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können.

So erfasst beispielsweise die Adäquanzentscheidung für Kanada nur solche Datenverarbeitungen, die dem Personal Information Protection and Electronic Documents Act (PIPEDA) unterfallen. Ein weiteres Beispiel für einen nur sektoriell geltenden Angemessenheitsbeschluss ist der EU-U.S. Privacy Shield: Hier gilt der Angemessenheitsbeschluss nur für die unter dem EU-U.S. Privacy Shield zertifizierten US-Organisationen.

Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, lässt sich generell nicht auf einen Angemessenheitsbeschluss stützen. Vielmehr gilt hier die Richtlinie (EU) 2016/680 (Richtlinie Justiz/Inneres, sog. JI-Richtlinie).

Sie sollten daher vor einem Transfer von Daten auf der Grundlage einer Adäquanzentscheidung der Europäischen Kommission unbedingt prüfen, ob der konkret geplante Transfer auch von der Tragweite des Angemessenheitsbeschlusses umfasst ist. Fällt diese Prüfung positiv aus, können Daten ohne weitere Vorkehrungen zur Absicherung eines angemessenen Datenschutzniveaus im Empfängerland transferiert werden.

Vorsicht!

Verantwortliche und Auftragsverarbeiter sind trotz eines Angemessenheitsbeschlusses selbstverständlich nicht von der Verpflichtung entbunden, sämtliche sonstigen Voraussetzungen an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben (wie etwa das Erfordernis, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen), zu erfüllen!

SERVICE