Die Datenübermittlung in Drittstaaten ist immer noch einer der Dauerbrenner im Datenschutz. Der Angemessenheitsbeschluss spielt dabei eine wichtige Rolle. Das bekannteste Beispiel ist sicherlich der neue Datenschutz-Rahmen zwischen der EU und den USA, das sogenannte Data Privacy Framework. Nun könnte bald wieder ein Land die große Ehre erhalten, in den Kreis der Drittländer mit einem angemessenen Datenschutzniveau aufgenommen zu werden.
Der Inhalt im Überblick
Orientierung an der DSGVO
Der Angemessenheitsbeschluss nach Art. 45 DSGVO ist ein Instrument der DSGVO, das es der Europäischen Kommission ermöglicht, festzustellen, ob ein Drittland (also ein Land außerhalb des Europäischen Wirtschaftsraums) ein angemessenes Datenschutzniveau bietet. Dabei prüft die Kommission insbesondere Kriterien wie Rechtsstaatlichkeit, Einhaltung und Umsetzung von Menschenrechten, vorhandene Datenschutzgesetze, die Rolle der Aufsichtsbehörde und internationale Verpflichtungen des Drittlandes. Für einige europäische Nicht-EU-Länder wie beispielsweise Andorra, die Schweiz oder das Vereinigte Königreich gibt es bereits entsprechende Beschlüsse, genau wie für Uruguay oder Japan.
Ein solcher Beschluss der Europäischen Kommission bestätigt, dass das Datenschutzniveau eines Drittstaates mit dem der Europäischen Union vergleichbar ist und somit ein sicherer Datentransfer ohne zusätzliche Garantien, wie beispielsweise Standarddatenschutzklauseln oder Binding Corporate Rules, möglich wird. Für Brasilien ist dies besonders relevant, da das Land mit dem „Lei Geral de Proteção de Dados“ (LGPD) seit 2020 ein umfassendes Datenschutzgesetz eingeführt hat, das sich in vielen Punkten bereits an der DSGVO orientiert.
Rechtssichere Übermittlung von Daten
Der Angemessenheitsbeschluss würde es Unternehmen ermöglichen, personenbezogene Daten rechtssicher und ohne zusätzliche vertragliche oder technische Maßnahmen nach Brasilien zu übermitteln. Das ist vor allem für international agierende Unternehmen, Dienstleister und Konzerne von großer Bedeutung, da der Datenaustausch mit Brasilien in vielen Branchen – etwa im Handel, in der Industrie oder im Dienstleistungssektor – zum Alltag gehört. Ohne einen solchen Beschluss müssen Unternehmen auf Standarddatenschutzklauseln oder andere Instrumente im Sinne der Art. 44 ff. DSGVO zurückgreifen, um den Anforderungen der DSGVO zu genügen.
Dies ist erfahrungsgemäß mit erheblichem Aufwand und rechtlichen Unsicherheiten verbunden. Welche Auswirkungen eine wackelige Rechtslage haben kann, wurde in den letzten Jahren vom Safe-Harbour-Abkommen über den Privacy Shield bis hin zum aktuellen Abkommen mit den USA nur allzu deutlich. Ein Angemessenheitsbeschluss würde diese Hürden beseitigen und die Rechtssicherheit für alle Beteiligten deutlich erhöhen.
Wie ist der aktuelle Stand?
Die Europäische Kommission prüft derzeit, ob Brasilien ein angemessenes Datenschutzniveau bietet. Im Juni 2023 hat die Kommission offiziell ein Verfahren zur Bewertung Brasiliens eingeleitet und damit einen wichtigen Schritt in Richtung Angemessenheitsbeschluss gemacht. Die brasilianische Datenschutzbehörde, die Autoridade Nacional de Proteção de Dados (ANPD), hat in den letzten Jahren zahlreiche Maßnahmen ergriffen, um die Anforderungen der DSGVO zu erfüllen und das brasilianische Datenschutzrecht weiterzuentwickeln. Dazu gehören die Einführung klarer Betroffenenrechte, die Verpflichtung zur Meldung von Datenschutzverletzungen sowie Aufbau und Stärkung der Unabhängigkeit der Aufsichtsbehörde.
Erst kürzlich hat der Europäische Datenschutzausschuss (EDSA) seine Stellungnahme zum geplanten Angemessenheitsbeschluss für Brasilien veröffentlicht. Das Gutachten bestätigt, dass die brasilianische LGPD in vielen Bereichen ein mit der DSGVO vergleichbares Schutzniveau bietet, insbesondere hinsichtlich der Grundsätze der Datenverarbeitung, der Rechte der betroffenen Personen und der Pflichten für Verantwortliche und Auftragsverarbeiter. Der EDPB hebt zudem positiv hervor, dass Brasilien Mechanismen zur Rechtsdurchsetzung und eine unabhängige Aufsichtsbehörde geschaffen hat. Gleichzeitig weist das Gutachten darauf hin, dass in einigen Punkten noch Nachbesserungsbedarf besteht, etwa bei der praktischen Durchsetzung der Betroffenenrechte und der Unabhängigkeit der ANPD, die weiterhin dem Präsidenten unterstellt ist.
Grundsätze der Datenverarbeitung eingehalten
Die LGPD sieht beispielsweise vor, dass betroffene Personen Auskunft über die Verarbeitung ihrer Daten verlangen, Berichtigungen fordern oder der Verarbeitung widersprechen können. Auch die Anforderungen an die Sicherheit der Datenverarbeitung und die Transparenz gegenüber den Betroffenen wurden deutlich erhöht. Die ANPD hat zudem Leitlinien für internationale Datentransfers veröffentlicht und arbeitet eng mit europäischen Datenschutzbehörden zusammen, um die Kompatibilität der Rechtsrahmen zu gewährleisten.
Trotz dieser Fortschritte gibt es noch offene Fragen, etwa zur tatsächlichen Durchsetzung der Rechte in der Praxis und zur Zusammenarbeit zwischen den Behörden. Kritisch wird von Experten unter anderem die Unabhängigkeit der ANPD bewertet, da diese formal dem Präsidenten Brasiliens unterstellt ist und erst seit kurzem als eigenständige Behörde agiert. Auch die praktische Umsetzung der Betroffenenrechte und die Kontrolle der Datenverarbeitung durch Unternehmen werden weiterhin intensiv beobachtet. Der offizielle Angemessenheitsbeschluss lässt daher noch auf sich warten, allerdings werden die Entwicklungen von Unternehmen und Datenschutzexperten aufmerksam verfolgt.
Wie ist die Umsetzung in der Praxis?
Das EDPB-Gutachten betont, dass die brasilianische Gesetzgebung zwar ein solides Fundament bietet, aber in der Praxis noch Herausforderungen bestehen, insbesondere bei der effektiven Durchsetzung der Datenschutzrechte und der Kontrolle durch die Aufsichtsbehörde. Der EDPB empfiehlt der Europäischen Kommission, die weitere Entwicklung in Brasilien genau zu beobachten und gegebenenfalls Nachbesserungen einzufordern, falls sich Schwächen in der Umsetzung zeigen.
Ein weiteres Problemfeld ist die Durchsetzung von Betroffenenrechten in der Praxis. Während die LGPD theoretisch umfangreiche Rechte vorsieht, ist unklar, wie effektiv diese in der Realität durchgesetzt werden können. Die brasilianische Aufsichtsbehörde ist noch im Aufbau und verfügt bislang über begrenzte personelle und finanzielle Ressourcen. Auch die Zusammenarbeit mit europäischen Behörden muss sich erst noch etablieren, um einen reibungslosen Austausch und die effektive Durchsetzung der Rechte zu gewährleisten.
Anforderungen im internationalen Kontext
Bis zur endgültigen Entscheidung sollten Unternehmen die aktuelle Rechtslage weiterhin stets im Blick behalten, ihre Verträge gegebenenfalls anpassen und auch die eigenen technischen und organisatorischen Maßnahmen im Hinblick auf die Datenübermittlung in ein Drittland überprüfen. Es empfiehlt sich also, die Weichen schon einmal zu stellen und die Entwicklungen rund um den Angemessenheitsbeschluss Brasilien aufmerksam zu beobachten. Sinnvoll ist sicherlich auch, die Mitarbeiterinnen und Mitarbeiter vor allem im Umgang mit internationalen Datentransfers zu schulen. So kann man gut sicherstellen, dass die Anforderungen der DSGVO auch im internationalen Kontext eingehalten werden und keine Risiken für die Rechte und Freiheiten der betroffenen Personen entstehen.
Die endgültige Entscheidung der Europäischen Kommission wird mit Spannung erwartet und könnte den internationalen Datenaustausch nachhaltig beeinflussen. Sollte Brasilien den Angemessenheitsbeschluss erhalten, wäre dies ein weiterer und wichtiger Schritt für die internationale Zusammenarbeit und den Schutz personenbezogener Daten im globalen Kontext. Noch ist nicht abzusehen, wann die Entscheidung über den Angemessenheitsbeschluss konkret erfolgen wird. Die Erfahrung bezüglich des Data Privacy Frameworks zeigt aber, dass dies schnell gehen kann, sobald alle Fakten auf dem Tisch liegen.
