Zum Hauptinhalt springen
Datenschutz / DSGVO

Angemessenheitsbeschluss

Ein Angemessenheitsbeschluss ist ein förmlicher Beschluss der Europäischen Kommission, der einem Drittland, einem Gebiet oder einem Sektor ein der EU gleichwertiges Datenschutzniveau bescheinigt und Datenübermittlungen dorthin ohne zusätzliche Garantien erlaubt.

Der Angemessenheitsbeschluss ist das in Art. 45 DSGVO geregelte Instrument, mit dem die Europäische Kommission feststellt, dass ein Drittland, ein Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation ein angemessenes, also im Wesentlichen mit dem Unionsrecht gleichwertiges Schutzniveau für personenbezogene Daten gewährleistet. Liegt ein solcher Beschluss vor, dürfen personenbezogene Daten in das betreffende Land übermittelt werden, ohne dass es einer gesonderten Genehmigung oder weiterer geeigneter Garantien wie Standardvertragsklauseln oder verbindlicher interner Datenschutzvorschriften bedarf. Die Übermittlung wird damit rechtlich einer Datenweitergabe innerhalb der EU gleichgestellt.

Bei der Bewertung berücksichtigt die Kommission insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die einschlägigen Rechtsvorschriften zum Datenschutz, den Zugang von Behörden zu personenbezogenen Daten, die Existenz wirksamer und durchsetzbarer Betroffenenrechte sowie das Vorhandensein einer unabhängigen Aufsichtsbehörde. Der Beschluss enthält einen Mechanismus zur regelmäßigen, mindestens alle vier Jahre stattfindenden Überprüfung und kann von der Kommission widerrufen, geändert oder ausgesetzt werden, wenn das Drittland das geforderte Niveau nicht mehr gewährleistet. Damit ist die Angemessenheit kein statischer Zustand, sondern unterliegt fortlaufender Beobachtung.

Die praktische Bedeutung des Instruments wird durch die Rechtsprechung des Europäischen Gerichtshofs unterstrichen: In den Urteilen Schrems I und Schrems II erklärte der EuGH die Vorläuferbeschlüsse Safe Harbor und das EU-US Privacy Shield für ungültig, weil der behördliche Datenzugriff in den USA und der fehlende Rechtsschutz für Betroffene das geforderte Schutzniveau nicht wahrten. Seit Juli 2023 besteht mit dem EU-U.S. Data Privacy Framework wieder ein Angemessenheitsbeschluss für die USA, der jedoch nur für zertifizierte Organisationen gilt. Verantwortliche müssen daher stets prüfen, ob für ihr konkretes Empfängerland ein gültiger Beschluss existiert und ob dessen Voraussetzungen im Einzelfall greifen.

Rechtliche Grundlage

Art. 45 DSGVO; Art. 44 DSGVO (allgemeine Grundsätze der Drittlandübermittlung)

Praxisbeispiel

Ein mittelständisches Unternehmen möchte sein Bewerbermanagement über einen Cloud-Dienstleister mit Sitz in Kanada abwickeln. Die Datenschutzbeauftragte prüft, ob für Kanada ein Angemessenheitsbeschluss vorliegt, und stellt fest, dass die Kommission Kanada für dem kanadischen PIPEDA unterliegende kommerzielle Organisationen ein angemessenes Schutzniveau bescheinigt hat. Sie dokumentiert im Verarbeitungsverzeichnis, dass die Übermittlung auf Art. 45 DSGVO gestützt wird, vergewissert sich, dass der konkrete Anbieter in den sachlichen Anwendungsbereich des Beschlusses fällt, und schließt zusätzlich einen Auftragsverarbeitungsvertrag. Dadurch entfällt die Notwendigkeit, Standardvertragsklauseln samt Transfer-Impact-Assessment abzuschließen.

Häufige Fragen

Die Europäische Kommission hat unter anderem für Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich, Uruguay und – für zertifizierte Organisationen – die USA Angemessenheit festgestellt. Die Liste wird fortlaufend aktualisiert, daher sollte vor jeder Übermittlung der aktuelle Stand geprüft werden.
Liegt ein gültiger Angemessenheitsbeschluss vor, sind keine weiteren geeigneten Garantien nach Art. 46 DSGVO wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften erforderlich. Alle übrigen Pflichten der DSGVO, etwa eine gültige Rechtsgrundlage für die Verarbeitung, ein Auftragsverarbeitungsvertrag und die Informationspflichten gegenüber den Betroffenen, bleiben jedoch uneingeschränkt bestehen.
Ja. Die Kommission überprüft jeden Beschluss regelmäßig und kann ihn widerrufen, ändern oder aussetzen, wenn das Drittland kein angemessenes Schutzniveau mehr gewährleistet. Zudem kann der Europäische Gerichtshof einen Beschluss für ungültig erklären, wie bei Safe Harbor und dem Privacy Shield geschehen. Verantwortliche sollten daher über alternative Übermittlungsgrundlagen verfügen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Drittlandübermittlung Standardvertragsklauseln EU-US Data Privacy Framework Transfer Impact Assessment Binding Corporate Rules
Zurück zum Glossar