Die DSGVO gilt in der europäischen Union und regelt die Verarbeitung von personenbezogenen Daten in diesem Raum. Doch nicht jede Verarbeitung findet nur in der europäischen Union statt. Es kann passieren, dass gewisse Leistungen nur von einem Anbieter außerhalb der europäischen Union erfüllt werden können.  Eine Übertragung von personenbezogenen Daten in einen sogenannten Drittstaat außerhalb der EU lässt sich somit nicht vermeiden.

Grundsätzlich ist die Übertragung von personenbezogenen Daten nicht erlaubt. In den Artikeln 44 bis 50 DSGVO hat der Gesetzgeber jedoch Ausnahmetatbestände geschaffen, nach denen eine Übertragung von personenbezogenen Daten in ein Drittland doch erfolgen darf. Im Folgenden wird auf die Übertragung von personenbezogenen Daten auf Grundlage eines Angemessenheitsbeschlusses eingegangen.

Art. 45 DSGVO Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Eine Übermittlung personenbezogener Daten an ein Drittland darf stattfinden, wenn die europäische Kommission beschließt, dass das Drittland, in welches die Daten übermittelt werden sollen, ein angemessenes Schutzniveau bietet. Wenn die Kommission ein angemessenes Schutzniveau anerkannt hat, ist für die Übermittlung in den betreffenden Drittstaat keine weitere Genehmigung benötigt.

Die Staaten, für welche die EU-Kommission bisher ein angemessenes Datenschutzniveau festgestellt hat, sind:

• Andorra
• Argentinien
• Kanada (für den nicht-öffentlichen Bereich)
• Schweiz
• Färöer Inseln
• Guernsey
• Israel
• Jersey
• Isle of Man
• Uruguay
• Neuseeland

Die EU-Kommission muss allerdings nicht immer für ganze Staaten einen Angemessenheitsbeschluss aussprechen. Sie kann auch nur für einzelne Gebiete, bestimmte Sektoren oder internationale Organisationen ein angemessenes Datenschutzniveau feststellen.

Kriterien für einen Angemessenheitsbeschluss sind  die Übereinstimmung mit den Grundwerten der europäischen Union, insbesondere der Schutz der Menschenrechte, sowie objektive Kriterien, wie personenbezogene Daten in betroffenen Staat verarbeitet und behandelt werden.

Mit Japan und Südkorea laufen momentan Gespräche zum Abschluss eines Abkommens, welches ein angemessenes Datenschutzniveau festlegt. Kürzlich hat auch Brasilien ein der DSGVO sehr ähnliches Datenschutzgesetz erlassen, welches 2020 in Kraft treten soll. Dementsprechend ist damit zu rechnen, dass auch Brasilien in Zukunft in den Kreis der Staaten mit aufgenommen wird, in die personenbezogene Daten ohne Genehmigung übertragen werden dürfen.

Festzuhalten bleibt, dass in die oben genannten Staaten Daten genehmigungsfrei übermittelt werden können.