![Die Liste der geeigneten Länder für GDPR-Übertragungen [TABELLE]](https://static.dastra.eu/content/049f3010-44b1-4b41-8e28-bb2fc389de24/la-liste-des-pays-adequats-pour-les-transferts-rgpd-tableau-300-1000.webp)
Der Transfer personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ist standardmäßig verboten. Ausnahmen sind jedoch im allgemeinen Datenschutzgesetz (DSGVO) vorgesehen. Eines der wichtigsten Instrumente zur Sicherung dieser Transfers ist die Anerkennung des Angemessenheitsniveaus des Empfängerlandes durch die Europäische Kommission. Dieser Artikel hat zum Ziel, Datenschutzbeauftragte (DSB) und andere Datenschutzfachleute über die Liste der von der Europäischen Union als angemessen erachteten Länder für den Transfer personenbezogener Daten aufzuklären.
Der rechtliche Rahmen von Artikel 45 DSGVO
Artikel 45 der DSGVO erlaubt den Transfer personenbezogener Daten in Drittländer oder internationale Organisationen, wenn die Europäische Kommission entschieden hat, dass dieses Drittland, dieses Gebiet oder spezifische Sektoren innerhalb dieses Drittlandes oder diese internationale Organisation ein angemessenes Schutzniveau gewährleistet. Diese Angemessenheitsentscheidung bedeutet, dass das Drittland oder die internationale Organisation ein Schutzniveau bietet, das im Wesentlichen dem innerhalb der EU/EWR gewährten Niveau entspricht. Diese Bewertung basiert auf mehreren Kriterien, darunter:
- Die Einhaltung des Rechtsstaatsprinzips, der Menschenrechte und der Grundfreiheiten.
- Das Vorhandensein und die tatsächliche Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden.
- Die internationalen Verpflichtungen des Landes oder der internationalen Organisation im Bereich des Datenschutzes.
Liste der angemessenen Länder und Angemessenheitsentscheidungen
Hier ist eine detaillierte Beschreibung der Länder, die derzeit von der Europäischen Kommission als angemessen schützend für Daten anerkannt sind, sowie die entsprechenden Angemessenheitsentscheidungen und eine kurze Beschreibung ihrer nationalen Datenschutzgesetze:
| Land | Angemessenheitsentscheidung | Lokales Gesetz | Beschreibung | URL |
|---|---|---|---|---|
| Andorra | 19. Oktober 2010 | Gesetz 15/2003 über den Schutz personenbezogener Daten | Das andorranische Gesetz gewährleistet den Schutz personenbezogener Daten und ist an den Grundsätzen der DSGVO ausgerichtet. | Entscheidung der Kommission über Andorra |
| Argentinien | 3. Juni 2003 | Gesetz 25.326 über den Schutz personenbezogener Daten | Das argentinische Gesetz legt starke Datenschutzprinzipien fest, die denjenigen der DSGVO ähnlich sind. | Entscheidung der Kommission über Argentinien |
| Kanada | 20. Dezember 2001 | Gesetz über den Schutz personenbezogener Daten und elektronische Dokumente (PIPEDA) | PIPEDA gilt für Handelsorganisationen und gewährleistet ein angemessenes Schutzniveau. Nur Handelsorganisationen sind von dieser Angemessenheitsentscheidung betroffen. Die Verarbeitung von Daten in den privaten Sektoren wie Handel, Finanzdienstleistungen und anderen Handelsorganisationen ist eingeschlossen. |
Entscheidung der Kommission über Kanada |
| Färöer-Inseln | 8. Dezember 2010 | Gesetz über den Schutz personenbezogener Daten | Die Gesetzgebung der Färöer-Inseln entspricht den Grundsätzen der DSGVO und gewährleistet einen angemessenen Schutz. | Entscheidung der Kommission über die Färöer-Inseln |
| Guernsey | 21. November 2003 | Gesetz über den Schutz personenbezogener Daten (Data Protection (Bailiwick of Guernsey) Law, 2017) | Das Gesetz von Guernsey orientiert sich an den Normen der DSGVO und gewährleistet ein hohes Schutzniveau. | Entscheidung der Kommission über Guernsey |
| Israel | 31. Januar 2011 | Gesetz über den Datenschutz, 1981 | Das israelische Datenschutzgesetz wird als angemessen schützend betrachtet. | Entscheidung der Kommission über Israel |
| Insel Man | 28. April 2010 | Gesetz über den Schutz personenbezogener Daten (Data Protection Act 2002) | Die Gesetzgebung der Insel Man entspricht den europäischen Anforderungen an den Datenschutz. | Entscheidung der Kommission über die Insel Man |
| Japan | 23. Januar 2019 | Gesetz über den Schutz personenbezogener Daten (APPI) | Japan hat zusätzliche Garantien eingeführt, um seinen Datenschutz an die Standards der EU anzupassen. | Entscheidung der Kommission über Japan |
| Jersey | 21. November 2003 | Gesetz über den Schutz personenbezogener Daten (Data Protection (Jersey) Law 2018) | Jersey hat Gesetze, die mit den Datenschutzgrundsätzen der EU übereinstimmen. | Entscheidung der Kommission über Jersey |
| Neuseeland | 19. Dezember 2012 | Gesetz über den Schutz personenbezogener Daten (Privacy Act 1993, geändert 2020) | Neuseeland gewährleistet einen angemessenen Datenschutz mit den an die der EU angepassten Prinzipien. | Entscheidung der Kommission über Neuseeland |
| Schweiz | 26. Juli 2000 | Bundesgesetz über den Datenschutz (LPD) | Die schweizerische Gesetzgebung ist mit der der EU harmonisiert und gewährleistet einen angemessenen Schutz. | Entscheidung der Kommission über die Schweiz |
| Uruguay | 21. August 2012 | Gesetz über den Schutz personenbezogener Daten und Habeas Data (Gesetz Nr. 18.331) | Uruguay hat eine strenge Gesetzgebung zum Schutz personenbezogener Daten erlassen. | Entscheidung der Kommission über Uruguay |
| Vereinigtes Königreich | 28. Juni 2021 | Datenschutzgesetz 2018 | Nach dem Brexit hat das Vereinigte Königreich eine Angemessenheitsentscheidung erhalten, die bestätigt, dass seine Datenschutzgesetze ein Niveau bieten, das dem der DSGVO entspricht. | Entscheidung der Kommission über das Vereinigte Königreich |
| Republik Korea | 17. Dezember 2021 | Gesetz über den Schutz personenbezogener Daten (PIPA) | Die Republik Korea hat Maßnahmen ergriffen, um ihre Datenschutzgesetzgebung an die Anforderungen der DSGVO anzupassen. | Entscheidung der Kommission über Südkorea |
Angemessenheit der USA: Das Data Privacy Framework
Nach den wiederholten Ungültigkeiten der Rahmenbedingungen Safe Harbor und Privacy Shield haben die Europäische Union und die Vereinigten Staaten einen neuen Datenübertragungsrahmen verhandelt. Die Europäische Kommission hat am 10. Juli 2023 eine Angemessenheitsentscheidung für die USA getroffen.
- Angemessenheitsentscheidung: 10. Juli 2023
- Lokales Gesetz: Data Privacy Framework (DPF)
- Beschreibung: Das Data Privacy Framework (DPF) wurde eingerichtet, um den von dem EuGH geäußerten Bedenken zur staatlichen Überwachung und zu den Rechtsbehelfen für die betroffenen Personen Rechnung zu tragen. Es umfasst verbindliche Verpflichtungen seitens der US-Behörden zur Beschränkung des Zugangs von Geheimdiensten zu Daten der EU und zur Bereitstellung effektiver Rechtsbehelfe für europäische Bürger. Das DPF basiert auch auf einem Selbstzertifizierungsmechanismus, bei dem sich US-Unternehmen verpflichten müssen, die im Rahmen definierten Datenschutzprinzipien einzuhalten und diese Zertifizierung jährlich zu erneuern.
- URL: Entscheidung der Kommission über die USA
Überprüfungs- und Widerrufsprozesse
Angemessenheitsentscheidungen sind nicht dauerhaft. Die Europäische Kommission überwacht kontinuierlich die Entwicklung der Datenschutzgesetze und -praktiken in Drittländern und kann eine Angemessenheitsentscheidung widerrufen oder aussetzen, wenn sie der Meinung ist, dass das angemessene Schutzniveau nicht mehr gegeben ist.
Praktische Folgen für Organisationen
Die Angemessenheitsentscheidung vereinfacht die Datenübertragungen in diese Länder erheblich, da sie die Notwendigkeit beseitigt, zusätzliche Garantien wie Standardvertragsklauseln, verbindliche Unternehmensregeln oder Verhaltensregeln zu verwenden. Für die DSB bedeutet dies eine reduzierte administrative Belastung und eine größere Rechtssicherheit bei der Planung von Datenübertragungen.
Für Organisationen, die innerhalb der EU/EWR tätig sind, ist es wichtig, über den Status der Angemessenheitsentscheidungen informiert zu bleiben, da jede Änderung ihre Datenübertragungsstrategien beeinflussen kann. Hier sind einige bewährte Praktiken:
- Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Liste der angemessenen Länder auf der Website der Europäischen Kommission, um auf dem Laufenden zu bleiben.
- Standardvertragsklauseln: Haben Sie alternative Mechanismen bereit, wie z.B. Standardvertragsklauseln, für Übertragungen in Länder, die möglicherweise ihren Angemessenheitsstatus verlieren.
- Laufende Bewertung: Bewerten Sie regelmäßig die Risiken im Zusammenhang mit Datenübertragungen in Drittländer, selbst in solche, die als angemessen angesehen werden.
Bericht der Kommission über Angemessenheitsentscheidungen im April 2024
Für weitere Informationen über Angemessenheitsentscheidungen und Datenübertragungsmechanismen konsultieren Sie den Bericht der Europäischen Kommission, der 2024 veröffentlicht wird. Dieser Bericht bietet eine detaillierte Analyse der bestehenden Datenübertragungsrahmen und Angemessenheitsentscheidungen. Er verlängert die Entscheidungen für 11 Länder.
- Link zum Bericht: Bericht der Kommission (2024)
- Dazugehörige Pressemitteilung: Pressemitteilung der Europäischen Kommission
Wie unterstützt Sie Dastra?
Standardmäßig enthalten wir in unserer Plattform die Liste der von der Europäischen Kommission anerkannten angemessenen Länder und halten diese aktuell. Darüber hinaus führen wir eine notwendige Beobachtung durch, falls sich etwas an diesen Angemessenheitsentscheidungen ändert. Dank unserer interaktiven Weltkarte können Sie alle Transfers für Datenverarbeitungen visualisieren und die Einhaltung dieser schnell überprüfen.