Die EU-Kommission hat ihren Bericht zur ersten Überprüfung der Angemessenheitsbeschlüsse für elf Länder veröffentlicht. Diese sind für die grenzüberschreitende Übermittlung von Daten und somit für einen offenen Handelsverkehr mit diesen Ländern enorm wichtig. Dieser Beitrag erklärt die wesentlichen Aspekte einer solchen Prüfung und fasst die Ergebnisse zusammen.
Der Inhalt im Überblick
Bedeutung eines Angemessenheitsbeschlusses
Angemessenheitsbeschlüsse im Sinne von Art. 45 DSGVO bescheinigen Drittländern ein adäquates Datenschutzniveau. In solchen Fällen dürfen personenbezogene Daten aufgrund einer Rechtsgrundlage ohne weitere Maßnahmen an dieses Land übermittelt werden. Dies schafft Rechtssicherheit und erspart die mühsame Erstellung geeigneter Garantien wie zum Beispiel von Standarddatenschutzklauseln oder genehmigter Verhaltensregeln im Sinne von Art. 46 DSGVO.
Wieso werden die Angemessenheitsbeschlüsse überprüft?
Auf der Grundlage von Artikel 25 Abs. 6 der Richtlinie 95/46/EG bescheinigte die Kommission den Ländern Andorra, Argentinien, Kanada (in Bezug auf kommerzielle Betreiber), Färöer Inseln, Guernsey, die Insel Man, Israel, Jersey, Neuseeland, Schweiz und Uruguay ein angemessenes Schutzniveau für aus der Europäischen Union übermittelte personenbezogene Daten. Dies geschah vor dem Inkrafttreten der DSGVO. Aufgrund der Bestimmungen in Art. 45 Abs. 9 DSGVO blieben diese Feststellungen auch nach Inkrafttreten der DSGVO zunächst bestehen.
Art. 45 Abs. 4 DSGVO verpflichtet die EU-Kommission die Entwicklungen in Drittländern fortlaufend zu überwachen, welche die Wirkungsweise der erlassenen Beschlüsse beeinträchtigen könnten. Spätestens alle vier Jahre muss die Kommission gemäß Art. 97 DSGVO bereits gefasste Angemessenheitsbeschlüsse neu evaluieren. Rein rechnerisch hätte eine solche Evaluierung längst stattfinden müssen. Tatsächlich veröffentlichte die Kommission im Juni 2020 Erkenntnisse einer ersten Überprüfung. Um das damals ausstehende Urteil des Gerichtshofs in der Rechtssache Schrems II umfassend berücksichtigen zu können, behielt die Kommission konkrete Schlussfolgerungen damals für sich.
Eckpfeiler der Evaluierung durch die EU-Kommission
Bei der Durchführung der Bewertung spielen folgende Aspekte eine wichtige Rolle:
- Entwicklung des Datenschutzrahmens
- Maßnahmen zum Schutz der Privatsphäre
- Maßnahmen zur wirksamen Umsetzung und Durchsetzung von Betroffenenrechten
- Vorschriften für den Zugang von Behörden zu personenbezogenen Daten, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit
- die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten (Siehe Art. 45 Abs. 2 lit. a DSGVO)
- die wirksame Funktionsweise und das Bestehen einer oder mehrerer Aufsichtsbehörden (Art. 45 Abs. 2 lit. b DSGVO)
- Entwicklung bei der Auslegung der Angemessenheitsfeststellung im Rahmen des EU-Rechts
Entwicklung des Datenschutzniveaus in den einzelnen Ländern
In allen elf Ländern hat sich laut dem Bericht der EU-Kommission der Datenschutzrahmen weiter an den Rahmen der EU angeglichen. Somit bietet jedes Land ein adäquates Datenschutzniveau im Sinne der DSGVO.
Datenschutzniveau in Andorra
Speziell die Verabschiedung des qualifizierten Gesetzes 29/2021 über den Schutz personenbezogener Daten, das im Mai 2022 in Kraft trat, gewährleistet ein höheres Datenschutzniveau. In seiner Struktur und den Hauptbestandteilen orientiert sich dieses Gesetz sehr an der DSGVO. In Andorra ist gibt es klare, eindeutige Vorschriften hinsichtlich des Zugriffs von staatlichen Stellen auf aus der EU übermittelten Daten für Ziele der Strafverfolgung oder der nationalen Sicherheit. Diese Regeln sind unter anderem in der Verfassung Andorras, der Europäischen Menschenrechtskonvention (EMKR), dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108) und seinem Änderungsprotokoll (Konvention 108+) normiert.
Datenschutzniveau in Argentinien
Die Kommission würdigt besonders die erhebliche Stärkung der Unabhängigkeit der argentinischen Datenschutzaufsichtsbehörde (AAIP) durch das Dekret Nr. 746/17. Mit diesem wurde die AAIP mit der Überwachung der Einhaltung des Datenschutzgesetzes beauftragt. Im Rahmen der Abgabe vieler verbindlicher Verordnungen und Stellungnahmen äußerte sich die AAIP detailliert zur Auslegung und Anwendung des Datenschutzes in der Praxis. Beachtenswert ist ebenso, dass Argentinien im Jahr 2019 der Konvention 108 beigetreten ist und 2023 auch die modernisierte Fassung des Übereinkommens (Konvention 108+) ratifiziert hat.
Datenschutzniveau in Uruguay
Die Kommission begrüßt die Aktualisierung und Verschärfung des Gesetzes 18.331 über den Schutz personenbezogener Daten „Ley de proteccion de datos personales y acción de habeas data“ aus dem Jahr 2018. Dieser Umstand sei durch Gesetzesänderungen in den Jahren 2018 und 2020 realisiert worden. Mit den Änderungen wurden neue Anforderungen an die Rechenschaftspflicht (wie Folgenabschätzungen, Datenschutz durch Technikgestaltung und durch Voreinstellungen) sowie zusätzliche Schutzmaßnahmen für biometrische Daten eingeführt. Der Beitritt zur Konvention 108 im Jahr 2019 und die Ratifizierung der Konvention 108+ im Jahr 2021 trugen zu einem höheren Datenschutzniveau im Bereich seiner internationalen Verpflichtungen bei.
Angemessenheitsbeschlüsse als Beschleuniger des Datentransfers
Der Bericht der EU-Kommission beweist, dass einmal erlassene Angemessenheitsbeschlüsse die betroffenen Länder motivieren, ihre Datenschutzbestimmungen weiter an den europäischen Datenschutzrahmen anzugleichen. In Zeiten der rasanten Entwicklung von künstlicher Intelligenz und alltäglicher grenzüberschreitender Übermittlung von Daten in den Unternehmen sind Angemessenheitsfeststellungen wichtiger denn je. Vor allem vereinfachen sie die Einhaltung der internationalen Übermittlungsanforderungen der DSGVO für kleinere und mittlere Unternehmen. Dies lässt zuversichtlich auf künftige Handelsbeziehungen zu diesen elf Ländern hinsichtlich des Schutzes personenbezogener Daten blicken!
