Zum Inhalt springen Zur Navigation springen
Angemessenheitsbeschluss der Kommission: Japan ist sicheres Drittland

Angemessenheitsbeschluss der Kommission: Japan ist sicheres Drittland

Vergangenen Mittwoch hat die Europäische Kommission den Angemessenheitsbeschluss für Japan angenommen und damit den weltgrößten Raum für sicheren Datenverkehr geschaffen. Dies nehmen wir zum Anlass, um die Hintergründe etwas näher zu beleuchten.

Internationaler Datenverkehr – Risiko und Chance zugleich

Die DSGVO ist am heutigen Tage bereits seit über einem halben Jahr anwendbar und hat sichtbare Spuren hinterlassen. Die vielen Hiobsbotschaften haben sich zwar nur selten bewahrheitet, dennoch ging ein Ruck des Umdenkens durch die Gesellschaft. Dieses findet derzeit nicht nur auf europäischer, sondern auch internationaler Ebene statt.

Länder wie Brasilien eiferten dem europäischen Vorbild nach und selbst der US-Bundesstaat Kalifornien nahm die DSGVO zum Anlass, die eigene Datenschutzvorschriften neu zu denken.

In einer solch globalisierten Welt treffen unweigerlich auch unterschiedliche Auffassungen von Datenschutz und Datensicherheit aufeinander. Dies erfordert Regelungen, welche gesetzte Maßstäbe auch über die Staatsgrenzen hinweg aufrechterhalten können. Denn selbst der beste Schutz ist wenig sinnhaft, wenn er hinter der Staatsgrenze endet.

Was ist ein Angemessenheitsbeschluss?

Die DSGVO fordert für den Datentransfer in Staaten, die außerhalb des europäischen Wirtschaftsraumes liegen, diverse Garantien. Diese sollen sicherstellen, dass der Drittstaat das datenschutzrechtliche Niveau des Ausgangsstaates beibehält.

Hierfür bietet Art. 46 Abs. 2 DSGVO eine ganze Bandbreite an Garantien, auf die Verantwortliche zurückgreifen können. Diese sind jedoch aufgrund ihrer Vielzahl oftmals nur wenig praktikabel und bauen oft auf individuelle Vereinbarungen zwischen den Akteuren oder den beteiligten Staaten. Das Einfallstor für Fehler, Missverständnisse und verändernde Umstände ist groß.

Viel einfacher stellt sich in diesem Rahmen ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO dar. Danach kann die europäische Kommission beschließen, dass das Datenschutzniveau im Drittstaat für einen Datentransfer aus dem Geltungsbereich der DSGVO angemessen hoch ist. Rein faktisch wird damit ein ungehinderter Datenverkehr zwischen der EU und dem Drittstaat ermöglicht.

Voraussetzungen für einen Beschluss

Die Kommission beleuchtet bei ihrer Prüfung insbesondere diejenigen Faktoren, die nach dem hiesigen Wertesystem Ausdruck eines Verständnisses effektiven Datenschutzes sind.

Art. 45 Abs. 2 DSGVO enthält hierzu eine nicht abschließende Aufzählung. So sind insbesondere

  • Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten;
  • Regelungen zur Weiterübermittlung von Daten an andere Drittländer;
  • das Vorhandensein unabhängiger Aufsichtsbehörden
  • vom Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten;

zu prüfen und der Entscheidung zugrunde zu legen.

Japans Datenschutzniveau

Bereits im Juli letzten Jahres berichteten wir über die Entwicklung des japanischen Datenschutzrechts. Im Zuge des Anerkennungsprozesses hat sich der japanische Datenschutz erneut entwickelt. So wurden zusätzliche Garantien eingeführt, um europäischen Schutzstandards zu genügen:

  • Erlassen ergänzender Vorschriften, um bestehende Unterschiede der Datenschutzregeln (beispielsweise auf dem Gebiet der Betroffenenrechte) auszugleichen;
  • Zugriffsbeschränkungen staatlicher Behörden bei Strafverfolgung und Gefahren für die öffentliche Sicherheit;
  • Verfahren zur Prüfung und Klärung von Beschwerden europäischer Betroffener durch die unabhängige Datenschutzbehörde Japans.

Ein wichtiger Schritt auf einer langen Reise

Die Angleichung der Datenschutzstandards und die Anerkennung durch die EU-Kommission erleichtert den Datenverkehr zwischen beiden Wirtschaftsräumen ungemein. Dies gilt umso mehr, als am 01.02.2019 das Freihandelsabkommen zwischen der EU und Japan in Kraft tritt. Insbesondere japanische Verantwortliche, die bislang für eine Datenübermittlung an Dritte außerhalb Japans die Einwilligung der betroffenen Person bedurften, können im Datenverkehr mit der EU nunmehr nach inländischen Regeln handeln.

Auch europäischen Verantwortlichen wird ein großes Maß an Aufwand und Unsicherheit genommen. So muss zwar nach wie vor eine Übermittlung nach Japan bei der Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO aufgeführt werden. Nicht mehr erforderlich ist jedoch die zeitintensive Suche nach entsprechenden Garantien gem. Art. 46 DSGVO.

Der Beschluss entfaltet seit dem 23.01.2019 Wirkung, die EU und Japan haben sich auf eine Überprüfung nach zwei Jahren geeinigt. Danach sieht Art. 45 Abs. 3 S. 2 DSGVO eine Pflicht zur Überprüfung nach je vier Jahren vor.

Wie die Zusammenarbeit funktioniert und welchen Nutzen die Beteiligten aus dem Beschluss haben, muss schließlich die Zeit zeigen. In Zeiten des Erstarkens nationalistischen Denkens ist die weitere Öffnung der europäischen Datenlandschaft jedoch ein Schritt, der nur Mut machen kann.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.