Rz. 16
Abs. 2 erweitert den Adressatenkreis des Abs. 1 (Rz. 11 bis 14) um Personen und Stellen in einem Drittstaat und internationale Organisationen, sofern diese über ein angemessenes Datenschutzniveau verfügen, das durch einen Angemessenheitsbeschluss i. S. v. Art. 45 DSGVO festgestellt wurde. Das bedeutet, dass auch dortigen Personen oder Stellen Sozialdaten unter den Voraussetzungen des Abs. 1 zulässig übermittelt werden dürfen, wenn ein angemessenes Datenschutzniveau festgestellt wurde.
In der Gesetzesbegründung zu § 77 Abs. 2 wird ergänzend ausdrücklich darauf hingewiesen, dass dadurch die "Möglichkeit der Übermittlung von Sozialdaten auf anderer sich unmittelbar aus der Verordnung ergebender Rechtsgrundlage in Staaten mit Angemessenheitsbeschluss beispielsweise in Form einer Einwilligung" nicht eingeschränkt wird.
Darüber hinaus ist an dortige Personen oder Stellen eine Übermittlung nur noch nach Abs. 3 zulässig (vgl. Rz. 23 ff.).
Rz. 17
Eine Übermittlung personenbezogener Daten ist nach Art. 45 Abs. 1 DSGVO nur zulässig, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.
Mit "Kommission" ist die Europäische Kommission gemeint. Die Europäische Kommission ist die politisch unabhängige Exekutive der Europäischen Union (EU). Sie ist allein zuständig für die Erarbeitung von Vorschlägen für neue europäische Rechtsvorschriften und setzt die Beschlüsse des Europäischen Parlaments und des Rates der EU um. Gemeinsam mit dem Gerichtshof wacht die Kommission über die ordnungsgemäße Anwendung des EU-Rechts in allen Mitgliedstaaten (europa.eu).
Die Kommission darf mit Wirkung für die gesamte Union beschließen, dass ein bestimmtes Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet, und auf diese Weise in Bezug auf das Drittland oder die internationale Organisation, das bzw. die für fähig gehalten wird, ein solches Schutzniveau zu bieten, in der gesamten Union Rechtssicherheit schaffen und eine einheitliche Rechtsanwendung sicherstellen (EG 103 DSGVO).
Rz. 18
Die Beschlüsse der Kommission sind verbindliche Rechtsakte, die für ein oder mehrere EU-Länder, Unternehmen oder Einzelpersonen gelten. Sie werden gemeinsam gefasst. Die betroffenen Parteien müssen davon in Kenntnis gesetzt werden, und der Beschluss wird durch diese Bekanntgabe wirksam.
Beschlüsse müssen nicht in nationales Recht umgesetzt werden.
Rz. 19
Die Prüfung der Angemessenheit des gebotenen Schutzniveaus erfolgt durch die Kommission insbesondere unter Berücksichtigung der in Art. 45 Abs. 2 DSGVO genannten Kriterien, wie z. B. die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die geltenden einschlägigen Rechtsvorschriften sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten und die Existenz und Funktionsweise einer unabhängigen Aufsichtsbehörde, die für die Einhaltung und Durchsetzung der Datenschutzvorschriften zuständig ist.
Die Annahme eines Angemessenheitsbeschlusses sollte unter Berücksichtigung eindeutiger und objektiver Kriterien erfolgen. Die Kommission sollte berücksichtigen, inwieweit in dem zu bewertenden Drittland oder der zu bewertenden Organisation "die Rechtsstaatlichkeit gewahrt ist, der Rechtsweg gewährleistet ist und die internationalen Menschenrechtsnormen und -standards eingehalten werden und welche allgemeinen und sektorspezifischen Vorschriften, wozu auch die Vorschriften über die öffentliche Sicherheit, die Landesverteidigung und die nationale Sicherheit sowie die öffentliche Ordnung und das Strafrecht zählen, dort gelten" (EG 104 DSGVO).
Rz. 20
Nach der Beurteilung gem. Art. 45 Abs. 3 DSGVO kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten.
Rz. 21
Entsprechend Art. 45 Abs. 8 DSGVO veröffentlicht die Kommission im Amtsblatt der Europäischen Union und auf ihrer Website (commission.europa.eu) eine Liste aller Drittländer bzw. Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten.
Rz. 22
Bis zum 24.5.2018 bescheinigte die Europäische Kommission gemäß § 77 Abs. 2 a. F. folgenden Staaten ein angemessenes Datenschutzniveau:
- Andorra,
- Argentinien,
- Kanada,
- Schweiz,
- Färöer Inseln,
- Guernsey,
- Israel,
- Isle of Man,
- Jersey,
- Neuseeland,
- Uruguay,
- den USA, nur Unternehmen, die sich der zwischen der Europäischen Kommission und dem amerikanischen Handelsministerium entwickelten ...