1. Angemessenheitsbeschluss (Art. 45 DSGVO)
Rz. 18
Eine grenzüberschreitende Übermittlung von Beschäftigtendaten ist zulässig, wenn die EU-Kommission beschlossen hat, dass der Empfangsort über ein angemessenes Schutzniveau verfügt, Art. 45 Abs. 1 S. 1 DSGVO. Ein solcher Angemessenheitsbeschluss kann ein gesamtes Drittland, ein Gebiet oder einen spezifischen Sektor im Drittland umfassen.
a) Fortlaufende Prüfung
Rz. 19
Ein bestehender Angemessenheitsbeschluss begründet stets eine momentane Übermittlungsgrundlage, aber keine dauerhafte Übermittlungsgarantie. Ob im Drittland tatsächlich ein angemessenes Schutzniveau gemäß Art. 45 Abs. 2 DSGVO vorliegt, muss die EU-Kommission fortlaufend – mindestens alle vier Jahre – überprüfen, Art. 45 Abs. 2 S. 2, Abs. 3 DSGVO. Die EU-Kommission ändert oder widerruft (ggf. mit sofortiger Wirkung) bestehende Angemessenheitsbeschlüsse, soweit im Drittland kein angemessenes Schutzniveau mehr gewährleistet ist, Art. 45 Abs. 5 DSGVO.
Rz. 20
Neben der EU-Kommission dürfen die nationalen Datenschutzbehörden unabhängig den Angemessenheitsbeschluss überprüfen. Dabei muss für eine Ungültigerklärung ein nationales Gericht angerufen werden, damit dieses dem EuGH in der Form eines Vorabentscheidungsverfahrens vorlegen kann. Die Kompetenz zur Feststellung der Ungültigkeit des Angemessenheitsbeschlusses sieht der EuGH nur bei sich.
b) Derzeit geltende Angemessenheitsbeschlüsse
Rz. 21
Bislang (Stand: September 2021) wurde ein angemessenes Schutzniveau lediglich für folgende Drittländer bzw. bestimmte Gebiete folgender Drittländer festgestellt:
▪ |
Andorra |
▪ |
Argentinien |
▪ |
Färöer-Inseln |
▪ |
Guernsey |
▪ |
Israel |
▪ |
Isle of Man |
▪ |
Japan |
▪ |
Jersey |
▪ |
Kanada (Angemessenheitsbeschluss mit inhaltlichen Einschränkungen) |
▪ |
Neuseeland |
▪ |
Schweiz |
▪ |
Uruguay |
Ein Angemessenheitsbeschluss für Südkorea wird derzeit geprüft. Derzeit existiert kein ganzer oder teilweiser Angemessenheitsbeschluss für die USA. Der letzte Angemessenheitsbeschluss für die USA ("Privacy Shield") wurde vom EuGH mit dem Schrems II-Urteil für ungültig erklärt. Die vor dem 25.5.2018 auf Grundlage von Art. 25 Abs. 6 DSRL erlassenen Angemessenheitsbeschlüsse gelten solange fort, bis sie ggf. durch einen neuen Kommissionsbeschluss geändert, ersetzt oder ergänzt werden, Art. 45 Abs. 9 DSGVO.
c) Praktische Bewertung des Angemessenheitsbeschlusses als Übermittlungsgrundlage
Rz. 22
Vorteil:
▪ |
Hohe Rechtsicherheit und Massentauglichkeit: Insbesondere für das tägliche Massengeschäft des internationalen Datentransfers stellt ein Angemessenheitsbeschluss (soweit vorhanden) eine besonders rechtsichere Grundlage dar. Im Ergebnis setzt ein Angemessenheitsbeschluss das präventive Übermittlungsverbot des Art. 44 DSGVO aus – die Datenübermittlung bedarf dann keiner besonderen Einzelfall-Erlaubnis mehr, Art. 45 Abs. 1 S. 2 DSGVO. |
▪ |
Im Gegensatz zu bloßen Garantien, die jederzeit durch Datenschutzbehörden überprüft werden können, darf auf einen bestehenden Angemessenheitsbeschluss im Grundsatz vertraut werden, solange dieser nicht durch den EuGH für ungültig erklärt wurde. |
Rz. 23
Nachteil:
▪ |
Keine dauerhafte Übermittlungsgarantie: Angemessenheitsbeschlüsse unterliegen einer fortlaufenden Prüfung (oben Rdn 19), können also theoretisch jederzeit gemäß Art. 45 Abs. 5 DSGVO widerrufen werden – insbesondere bei politischer Instabilität. |
Rz. 24
Praxistipp
Das Risiko einer datenschutzrechtlichen Diskontinuität lässt sich lediglich individuell für das jeweilige Drittland abschätzen. Generell lässt sich der Rechtsunsicherheit infolge Widerrufs von Angemessenheitsbeschlüssen vorbeugen, indem die Datenübermittlung zusätzlich auf geeignete Garantien i.S.v. Art. 46 Abs. 1 DSGVO (z.B. BCR) gestützt wird. Jene hängen (statt von der politischen Stabilität des Drittlands) entscheidend von ihrer tatsächlichen Umsetzung durch die Vertragsparteien ab.
2. Geeignete Garantien (Art. 46 DSGVO)
Rz. 25
Sollte kein Angemessenheitsbeschluss vorliegen, dürfen Beschäftigtendaten gemäß Art. 46 Abs. 1 DSGVO in ein Drittland übermittelt werden, sofern geeignete Garantien mit durchsetzbaren Rechten und Rechtsbehelfen für die betroffenen Personen vorgesehen wurden. Die im Folgenden beschriebenen Garantien sollen in erster Linie sicherstellen, dass das hohe EU-Datenschutzniveau auch dann beachtet wird, wenn aus der EU stammende (Beschäftigten-)Daten außerhalb der EU verarbeitet werden. Bei Vorliegen eines Angemessenheitsbeschlusses soll es k...