Angemessenheitsbeschluss gemäß der DSGVO

Angemessenheitsbeschluss gemäß der DSGVO

Produkte wie Software-Lösungen, die die täglichen Arbeitsvorgänge möglichst zeitsparend, aber effektiv und kostengünstig gestalten, sind beliebt. Selten entwickelt eine verantwortliche Stelle diese Produkte heutzutage noch selbst als Individual-Software. Meist kommen sie von einem externen Dienstleister, der entweder selbst im außereuropäischen Ausland sitzt oder bei der Entwicklung seines Software-Angebotes Komponenten und Dienstleistungen von Unternehmen mit Sitz im außereuropäischen Ausland (Drittland) genutzt hat. Dies ist an sich nicht problematisch. Aus Sicht der DSGVO stellt sich aber die Frage, inwiefern personenbezogene Daten die EU dabei verlassen und womöglich sogar noch in einem unsicheren Drittland verarbeitet werden. Dabei hilft es, sich auf Dienstleister zu fokussieren, die entweder Garantien nach Artt. 46 und 47 DSGVO erfüllen oder für deren Sitzland ein Angemessenheitsbeschluss gemäß der DSGVO vorliegt.

Was ist ein Angemessenheitsbeschluss?

Hierbei handelt es sich um einen Beschluss der Europäischen Kommission (auch: EU-Kommission), der aussagt, dass die EU-Kommission für ein Land, ein Gebiet, einen spezifischen Sektor oder eine internationale Organisation ein angemessenes Datenschutzniveau feststellt (Art. 45 Abs. 1 DSGVO). Dabei vergleicht sie das Datenschutzniveau mit dem der Europäischen Union. Einem etwaigen Angemessenheitsbeschluss voraus geht die Stellungnahme des Europäischen Datenschutzausschusses (auch: EDSA; Zusammenschluss der Repräsentanten aller europäischen Datenschutzaufsichtsbehörden inklusive dem Europäischen Datenschutzbeauftragten).

Die Vorarbeit der EU-Kommission

Die Kommission leistet gemäß Art. 45 DSGVO insofern die Vorarbeit, als sie mit der Regierung des jeweiligen relevanten Landes in Kontakt steht, um die notwendigen Unterlagen zusammenzutragen, um die Angemessenheit des vorhandenen Schutzniveaus für personenbezogene Daten in diesem Land oder in einer internationalen Organisation beurteilen zu können und dem EDSA für dessen Stellungnahme diese Information zuzuleiten (Art. 70 Abs. 1 lit. s) DSGVO). Diese Auswertung, die Unterlagen und den vorausgegangenen Schriftverkehr stellt der EDSA der EU-Kommission für einen etwaigen Angemessenheitsbeschluss zur Verfügung.

Ein aktuelles Beispiel

Aktuelles und wichtiges Beispiel für diesen Prozess ist das geplante „Trans-Atlantic Data Privacy Framework“ bzw. „EU-US-Datenschutzrahmen“ – das neue Datenschutzabkommen zwischen der EU und den USA. Dieses ist dringend erforderlich, nachdem der EuGH in der „Schrems II“-Entscheidung das EU-US-Privacy-Shield für ungültig erklärte. – Mehr zu dieser Entscheidung finden Sie u. a. hier und hier. –

Auf der Seite des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist zu lesen: „Nachdem der US-Präsident in diesem Zusammenhang eine entsprechende Durchführungsverordnung mit Datum vom 7. Oktober 2022 unterschrieben hatte, veröffentlichte die EU-Kommission am 13. Dezember 2022 ihren Entwurf für einen Angemessenheitsbeschluss zum sog. EU-U.S. Data Privacy Framework. Hierzu hat der Europäische Datenschutzausschuss am 28. Februar 2023 eine Stellungnahme abgegeben.“ (Quelle)

Niveau des Datenschutzes

Verglichen wird das Datenschutzniveau des betrachteten Landes, des Gebietes, des spezifischen Sektors oder das einer internationalen Organisation mit dem der EU. Dabei betrachtet die Kommission u. a. die Rechtsordnung. Da es um die Verarbeitung von personenbezogenen Daten geht, liegt ein besonderes Augenmerk auch darauf, inwiefern betroffene Personen von ihren Rechten Gebrauch machen können oder welche Pflichten den Verantwortlichen auferlegt werden. Weiterführend werden die Mittel zur Sicherstellung der wirksamen Anwendung und Durchsetzung dieser Rechte und Pflichten betrachtet.

Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten

Des Weiteren betrachtet die Europäische Kommission für die Beurteilung aber auch, inwiefern ein jeweiliges nicht-EU-Land die Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO einhält. Diese sind:

1) Rechtmäßigkeit der Datenverarbeitung, Verarbeitung nach Treu und Glauben und Transparenz der Verarbeitung (Art. 5 Abs. 1 lit. a) DSGVO),

2) Zweckbindung der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 lit. b) DSGVO),

3) Minimierung der Datenverarbeitung (Art. 5 Abs. 1 lit. c) DSGVO),

4) Richtigkeit der verarbeiteten Daten (Art. 5 Abs. 1 lit. d) DSGVO) sowie

5) Begrenzung der Dauer der Datenverarbeitung (Art. 5 Abs. 1 lit. e) DSGVO) und

6) Integrität und Vertraulichkeit der Verarbeitung (Art. 5 Abs. 1 lit. f) DSGVO).

Die Folge eines Angemessenheitsbeschlusses

Liegt ein Angemessenheitsbeschluss für ein Drittland vor, sind keine besonderen Genehmigungen notwendig, damit Verantwortliche in diesem Land personenbezogene Daten von EU-Bürgern verarbeiten bzw. in dieses Land übermitteln können. In der Praxis fallen dann der Abschluss von Standarddatenschutzklauseln und die Durchführung eines Transfer Impact Assessments weg, die ansonsten das Standardinstrument zur Legalisierung der internationalen Datenübermittlung sind. Weitere Informationen können Sie dazu auch hier in den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des EDSA.

Aktuelle Angemessenheitsbeschlüsse

Zum aktuellen Zeitpunkt (Mai 2023) bestehen Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Länder:

1)    Andorra,

2)    Argentinien,

3)    Färöer-Inseln,

4)    Guernsey,

5)    Insel Man (Isle of Man),

6)    Israel (für den Staat Israel i. S. d. Völkerrechts),

7)    Japan,

8)    Jersey,

9)    Kanada (für Handelsorganisationen),

10)  Neuseeland,

11)  Schweiz,

12)  Südkorea sowie

13)  Uruguay und

14)  Großbritannien (eingeschränkt).

Diese Angemessenheitsbeschlüsse erleichtern für Verantwortliche zum einen die Auswahl eines Vertragspartners: Es ist nicht notwendig, sich ausschließlich auf solche mit Sitz in der EU beschränken zu müssen. Zum anderen ändern sich auch die zu ergreifenden technischen und organisatorischen Maßnahmen insofern, dass der jeweilige Dienstleister personenbezogene Daten des Verantwortlichen gemäß den relevanten Vereinbarungen verarbeiten dürfen. – Nebenher möchten wir jedoch darauf hinweisen, dass ein Angemessenheitsbeschluss nicht bedeutet, dass ein Dienstleister allumfassend datenschutzkonform aufgestellt ist. Auf dieser Ebene muss der Verantwortliche also dennoch entsprechende Prüfungen vornehmen und relevante Datenschutzvereinbarungen und -verträge abschließen. –

Angemessenheitsbeschluss trumpft EU-Sitz?

Bei der Auswahl eines Dienstleisters lohnt es sich mindestens schon aus datenschutzrechtlicher Sicht zunächst auf einen etwaigen EU-Standort des jeweiligen Unternehmens/Dienstleisters, dessen möglichen Unterauftragnehmern und den Datenaustausch innerhalb eines Konzerns zu achten. Der Grund liegt in der Pflicht einer jeder in der EU ansässigen verantwortlichen Stelle, die Vorgaben der DSGVO einzuhalten. – Zu betonen ist, dass wir uns in diesem Beitrag speziell auf den Standort fokussieren (Art. 3 Abs. 1 DSGVO). Unabhängig davon müssen natürlich auch Einrichtungen, die geschäftsmäßig personenbezogene Daten von EU-Bürgern verarbeiten, ihren Standort aber nicht in der EU haben, die Regelungen der DSGVO einhalten (Art. 3 Abs. 3 DSGVO). –

Ist der EU-Standort nicht gegeben, kann ein Angemessenheitsbeschluss der Europäischen Kommission Abhilfe schaffen. Aber auch hier ist zu beachten, dass sich die politische Situation und die Gesetzesvorgaben, in einem Land ständig verändern können. Dies kann neue Rechtsvorschriften nach sich ziehen. Folglich kann sich ergeben, dass die EU-Kommission bei Neubetrachtung eines schon erteilten Angemessenheitsbeschlusses feststellt, dass das Datenschutzniveau eines Drittlandes nicht mehr dem der EU entspricht. – Solch eine Beurteilung hat mindestens alle vier Jahre stattzufinden (Art. 45 Abs. 3 DSGVO). – Bei einer negativen Beurteilung kann eine bis dahin auf Grundlage eines Angemessenheitsbeschlusses durchgeführte Verarbeitung personenbezogener Daten rechtswidrig sein. Damit wären wir dann wieder bei der Relevanz eines EU-Standortes, idealerweise als Hauptsitz: Ein Angemessenheitsbeschluss ist nicht notwendig und kann somit nicht durch den EuGH für ungültig erklärt werden – wie dies bereits zwei Mal für die Datenübermittlung in die USA erfolgte.

Fazit

Im Zuge des Aufbaus und der Aufrechterhaltung eines Datenschutz-Management-Systems ist es auch wichtig, die Übermittlung personenbezogener Daten an externe Parteien datenschutzkonform zu gestalten. Dies ist zu dokumentieren. Dazu gehört auch die vollständige Prüfung von Vertragspartnern aus Sicht des Datenschutzes, u. a. auch, inwiefern ein Angemessenheitsbeschluss der EU-Kommission vorliegt, falls solch einer ggf. benötigt wird. Hierbei können wir Sie unterstützen und beim Vorgehen und der Umsetzung beraten. Kontaktieren Sie uns gern noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.