Datenschutz & Angemessenheitsbeschluss: Sichere Länder außerhalb der EU – Sicherheit auf brasilianisch & UK sicher bis 2031 | inkl. Podcast-Feature

Datenschutz & Angemessenheitsbeschluss: Sichere Länder außerhalb der EU – Sicherheit auf brasilianisch & UK sicher bis 2031 | inkl. Podcast-Feature

• Ein Angemessenheitsbeschluss gilt für Länder, die weder Teil der EU noch EWR sind und erlaubt diesen, Datentransfers in und aus der EU zu tätigen
• Gilt normalerweise nur für Datenverarbeitungen, die keine Polizeiarbeit betreffen (Ausnahme UK hat einen erweiterten Beschluss, der auch polizeiliche internationale Datentransfers erlaubt; wichtig bspw. für die Arbeit von Europol und Interpol)
• Podcast-Kommentar zum Geschehen und aktuellen Stand des Datenschutz (folgend zum Anhören und Download)

Für den Austausch personenbezogener Daten außerhalb der Europäischen Union gibt es den sogenannten Angemessenheitsbeschluss. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten (oder sogar besseren?) Datenschutz umsetzen. Für welche Länder gilt das aber?

Das Wichtigste zum: Angemessenheitsbeschluss

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss stellt, ob ein Land, das kein EU-Mitglied ist, ein der EU gleichwertiges Datenschutzniveau bieten kann. Datenübermittlungen in diese Länder gelten dann als sicher und sind den Transfers innerhalb der EU gleichgestellt – es bedarf also keiner weiteren Maßnahmen wie Standardvertragsklauseln. Daten können uneingeschränkt und frei zwischen den Ländenr üermittelt werden.

Im Rahmen des Echelon-Skandals in den 1990er Jahren wurde nachgewiesen, dass die USA einen weltweiten Lauschangriff auf den elektronischen Datenverkehr durchführten. (Dies wurde 2013 im Rahmen des NSA-Skandals erneut bestätigt, dann aber mit noch erweiterten Mitteln der Spionage).

Der Echelon-Ausschuss der EU stellte im Juli 2001 fest,

„dass es keinen Zweifel mehr an der Existenz eines globalen Kommunikationsabhörsystems geben kann, das von den USA, Großbritannien, Australien, Neuseeland und Kanada im Rahmen des UKUSA-Abkommens betrieben wird.“

Des Weiteren hielt es der Ausschuss für notwendig:

„[…] eine Übereinkunft zwischen der Europäischen Union und den Vereinigten Staaten auszuhandeln und zu unterzeichnen, nach der jede der beiden Parteien gegenüber der anderen die Vorschriften über den Schutz der Privatsphäre der Bürger und der Vertraulichkeit von Firmenkommunikationen achtet, die für ihre eigenen Bürger und Unternehmen gelten“

Daraus entstand der erste Angemessenheitsbeschluss, das Safe-Harbor-Abkommen mit den USA, welches bis 2015 Bestand hatte. Während EU-US-Datentransfers eine rechtlich wie praktisch komplizierte Sache bleiben, haben sie den Weg geebnet für über ein Dutzend Länder und auch internationale Organisationen weltweit,  gemeinsame rechtliche Standards für Datenverarbeitung mit der EU zu vereinbaren.

Der Vorgang: Wann ist ein Land sicher?

Was muss alles erfüllt sein, damit die Europäische Kommission einen Angemessenheitsbeschluss (engl. adequacy decision) ausstellt?

1. ein Vorschlag durch die Europäische Kommission
2. ein Gutachten durch den Europäischen Datenschutzausschuss (European Data Protection Board)
3. Zustimmung durch Vertreter der EU-Mitgliedsländer
4. Umsetzung des Beschlusses durch die Europäische Kommission

Mit Angemessenheitsbeschluss: Liste sicherer Länder

Für den Austausch personenbezogener Daten außerhalb der Europäischen Union gibt es den sogenannten Angemessenheitsbeschluss. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten Datenschutz umsetzen.

Nach der offiziellen Liste der Europäischen Kommission sind das:

• Andorra,
  
• Argentinien,
• Brasilien,
  
• Faröer-Inseln 
• Guernsey (Insel),
  
• Israel,
  
• Isle of Man,
  
• Japan,
  
• Jersey,
  Kanada (für kommerzielle Organisationen),
• Neuseeland,
  
• Schweiz
• Südkorea,
  
• Vereinigtes Königreich 
• Vereinigte Staaten (nur für kommerzielle Organisationen, die sich beteiligen EU-US Data Privacy Framework),
  
• Uruguay,
  
• Europäische Patent-Organisation (EPO, European Patent Organisation), als internationale Organisation

Aufgrund ihres Status als Teil des Europäischen Wirtschaftsraums (EWR) sind die folgenden Länder automatisch sichere Länder beim Datenschutz:

• Norwegen,
• Liechtenstein,
• Island

Eine aktuelle Übersicht finden Sie auch bei SocialMediaStatistik.de, wo meine Seite mal Quelle sein durfte:

Infografik zu Ländern und Regionen außerhalb der EU bzw. EWR mit Angemessenheitsbeschluss

Chronik der Länder auf dem Weg zum Angemessenheitsbeschluss:

Januar 2026: Brasilien ist angemessen

Die Europäische Kommission erweitert die Liste der Länder, für die ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, um Brasilien, wodurch nun einfacher Daten nach Brasilien übermittelt werden.

Juni und Juli 2025: UK-Angemessenheitsbeschluss bis 2031 verlängert und EPO als erste internationale Organisation aufgenommen

Die UK‑Angemessenheitsentscheidung wurde im Juni aktualisiert und bis 27. Dezember 2031 verlängert (Commission Implementing Decision (EU) 2025/1226 vom 24.06.2025).

Am 15.07.2025 hat die Europäische Kommission erstmalig auch ein angemessenes Datenschutzniveau für eine internationale Organisation festgestellt, die Europäische Patentorganisation (Commission Implementing Decision (EU) 2025/1382 vom 15.07.2025).

Juli 2023: USA wieder dabei, aber eingeschränkt

Seit 10.07.2023 existiert wieder eine EU‑Angemessenheitsentscheidung für die USA, allerdings nur für Organisationen, die auf der „Data Privacy Framework List“ geführt werden (EU‑US Data Privacy Framework). Auf US-Seite wurde dies aber über einen Präsidialerlass (Executive Order) getätigt, die zwar Gesetzes-Charakter haben, aber jederzeit von einem amtierenden US-Präsidenten wieder außer Kraft gesetzt werden können.

Dezember 2022: Privacy Shield mit den USA gekippt

Die US-Regierung und die EU-Kommission einigen sich auf bestimmte Punkte im Rahmen des sog. Data Privacy Framework, dem Nachfolger des Privacy-Shield-Abkommens (2020 vom EuGH gekippt) und dem Safe-Harbor-Abkommen (2015 vom EuGH gekippt).

Auch der neue Anlauf steht unter keinem guten Stern: 

Juni 2021: Südkorea jetzt dabei

Die EU-Kommission gab am 30. März bekannt, dass die Gespräche mit Südkorea abgeschlossen seien und Europäische Kommission nun das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten wird.

Dazu muss sie eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) und grünes Licht von einem Ausschuss einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Sobald dieses Verfahren abgeschlossen ist, wird die Kommission den Angemessenheitsbeschluss für die Republik Korea erlassen. Das ist im Juni 2021 passiert – Südkorea gilt jetzt als sicheres Datenschutzland gemäßg Angemessenheitsbeschluss der EU-Kommission.

Juni 2021: Vereinigtes Königreich wieder sicher, aber mit Verfallsdatum

Seit Juni 2021 gilt UK wieder als sicher, aber nur für vier Jahre. Jeglicher Datenaustausch mit dem Vereinigten Königreich ist aktuell nur sicher bis Juni 2025.

Die Europäische Kommission hat zuvor, im Februar 2021 einen Entwurf für einen Angemessenheitsbeschluss veröffentlicht, nach dem personenbezogene Daten im Vereinigten Königreich einen mit dem Europäischen Datenschutzrecht vergleichbaren Schutz genießen.

Damit soll der Datenaustausch zwischen der EU und dem Vereinigten Königreich künftig ohne weitere Genehmigungen möglich werden. Der Entscheidungsentwurf bedarf noch der Zustimmung durch die Mitgliedstaaten der Europäischen Union.

Ohne diesen Beschluss würde ein Datenstau mit massiven wirtschaftlichen Folgen drohen. Die Kooperationen zwischen EU-Unternehmen und Unternehmen im Vereinigten Königreich sind essenziell für die internationale Datenökonomie und die Wettbewerbsfähigkeit europäischer Unternehmen. Großkonzerne, Mittelständler und Startups in Deutschland und Europa gleichermaßen tauschen Daten mit Standorten auf der Insel aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister.

2020: USA haben keinen sicheren Datenschutz mehr

Bereits 2015 hat Max Schrems vor Gericht nachgewiesen, dass die USA kein sicheres Drittland für den Datenschutz sind. Der damalige Jura-Student aus Österreich hat vor dem Europäischen Gerichtshof (EuGH) geklagt und damit erwirkt, dass das Safe-Harbor-Abkommen gekippt wird (Schrems I).

2020, fünf Jahre später, hat der jetzt fertig studierte Anwalt und Datenschutzaktivist Max Schrems das neue Abkommen Privacy Shield ebenfalls erfolgreich vom EuGH kassieren lassen (Schrems II), denn:

• Privacy Shield benachteilige europäische Nutzer, so der EuGH
• Überwachungsgesetze (Patriot Act etc.), die nach dem 11. September 2001 erlassen wurden, erlauben Spionage von europäischen Nutzern
• Der Ombudsmannmechanismus, durch den US-Organisationen greifbar werden sollen für europäische Nutzer, funktioniert nicht gut genug
  uvm.

Deswegen sind Datenübertragungen in die USA seit Mitte 2020 eigentlich illegal – doch die rechtliche Situation ist in der Praxis sehr unsicher. Die meisten Unternehmen und auch einige Behörden machen bislang, um es salopp zu formulieren, einfach weiter wie gehabt. Es herrscht einiges an Unsicherheit.

2019: Japan sicheres Drittland im Datenschutz

Seit 23. Januar 2019 zählt Japan zu den sicheren Drittländern. Will ein Unternehmen, Behörde, öffentliche Stelle oder sonstige Organisation also Daten mit einer Organisation in Japan austauschen, sind keine umständlichen Verträge und Prüfungen mehr nötig (empfehlen tue ich sie dennoch!).

Ohne Angemessenheitsbeschluss: Welche Länder orientieren sich an Europa?

Hier ist es schwierig andere Länder in Einklang zu bringen, denn obwohl vielleicht die Datenschutzgesetze ähnlich sind, können die grundlegenden Rechtstraditionen komplett andere sein. Auch gilt für keines dieser Länder ein Angemessenheitsbeschluss der EU.

Wichtig! Ich möchte betonen, dass die folgende Liste eine lobende Erwähnung darstellt, aber keines der Länder ein EU-angemessenes Niveau hat, da z.T. nationale Gesetze (Kalifornien vs USA), andere Gesetze (Australien, Singapur) oder eingeschränkte bzw. fehlende Rechtsstaatlichkeit bzw. vergleichbare Institutionen (VR China, Türkei, Singapur) die Umsetzung solcher Gesetze erschweren.

Die wichtigsten und mit der DSGVO vergleichbaren Gesetze in Ländern außerhalb der EU sind:

Infografik zu Ländern und Regionen außerhalb der EU bzw. EWR mit eigenen Datenschutzgesetzen, orientierend an der DSGVO

Island, Liechtenstein und Norwegen: DSGVO gilt, weil EWR

Nicht wundern: Die DSGVO (engl. GDPR für General Data Protection Regulation) gilt auch in Nicht-EU-Staaten, die aber zum Europäischen Wirtschaftsraum (EWR; engl. EEA für European Economic Area) gehören. Damit gelten diese Länder nicht nur als gleichwertig, sondern in diesen Ländern gilt die DSGVO. Sie benötigen also keinen Angemessenheitsbeschluss.

Diese Länder sind:

• Island,
• Liechtenstein und
• Norwegen

US-Bundesstaat Kalifornien (CCPA)

Der California Consumer Privacy Act (CCPA; übersetzt: Gesetz zur Verbraucher-Privatsphäre in Kalifornien) legt einen Fokus auf Verbraucherrechte. Gültig seit 1. Januar 2020 wird er durch die kalifornische Staatsanwaltschaft umgesetzt und reguliert, wie mit den persönlichen Daten von Menschen (Cookies, IP-Adressen, biometrische Informationen etc.) umgegangen werden soll.

Der CCPA wird häufig als fast vergleichbar mit der DSGVO eingeordnet; ist jedoch nur ein Bundesstaatengesetz und kann von der US-Bundesverwaltung überstimmt werden. Damit ist Kalifornien schlussendlich leider kein sicherer Staat als die gesamten USA.

(Ehemals Brasilien: LGPD)

Das Allgemeine Gesetz zum Datenschutz LGPD (portugiesisch: Lei Geral de Proteção de Dados; engl. Brazilian General Data Protection Act) ist seit 2020 in Kraft reguliert die LGPD sowohl private (Unternehmen) als auch öffentliche (Behörden) Datenverarbeitung. Die Rolle gemäß dem LGPD als Verantwortlicher oder Auftragsverarbeiter ist dieselbe wie gemäß der DSGVO.

Die LGPD ist sehr vergleichbar mit der DSGVO, was ihre Inhalte angeht. Strafzahlungen werden in Brasilien erst ab August 2021 durchgeführt.

(Seit Januar 2026 existiert für Brailien ein Angemessenheitsbeschluss der EU und damit entfällt dieser Teil, aber ich behalte ihn für Archivzwecke)

Weitere Informationen: Brasilien macht jetzt in DSGVO: Was Sie wissen müssen zur LGPD

Australien

In Australien gibt es verschiedene Datenschutzgesetzt und -Standards. Der Privacy Act von 1988 markierte den Start und wurde mehrmals aktualisiert und erweitert; darunter auch 2018 im Licht der DSGVO. Seit 2018 müssen manche Unternehmen nach dem sog. „Notifiable Data Breaches“-Schema Meldung machen, seit 2017 gilt außerdem das „Consumer Data Right“ (CDR; deutsch: Verbrauche-Daten-Recht), welches in etwa dem europäischen Recht auf Datenherausgabe laut DSGVO entspricht. Jeder Nutzer kann also jederzeit seine bei einem Anbieter gespeicherten Daten abfragen und erhalten. Verstöße werden von der Australian Competition and Consumer Commission (ACCC; deutsch: Australische Wettbewerbs- und Verbraucher-Kommission) untersucht und können Strafen bis zu 10 Millionen AUD (australische Dollar) nach sich ziehen. Der australische Datenschutzbeauftragte – Office of the Australian Information Commissioner (OAIC) – ist für die generelle Aufsicht zuständig.

Südafrika, VAE, Vietnam etc.

Im Protection of Personal Information Act (POPI) in Südafrika (unterzeichnet 2013) werden Datenschutzverstöße geahndet. Die meisten Teile des Gesetzes sind seit 1. Juli 2020 gültig; die restlichen Teile werden nach dem 30. Juni 2021 gültig.

Thailand hat mit dem Personal Data Protection Act (PDPA) seit 2019 ein eigenes Datenschutzgesetz, das seit 1. Juni 2022 in voller Wirkung ist. In einer Analyse kam die Germany Trade & Invest zum Schluss, dass zentrale Grundsätze aus der EU‑DSGVO übernommen wurden. Zudem sind seit 24. März 2024 Regelungen u.a. zu grenzüberschreitenden Datentransfers in Kraft.

Singapur hat am 15. Oktober 2012 das Gesetz zum Schutz personenbezogener Daten (Nr. 26 von 2012) verabschiedet, das anschließend durch das Gesetz zum Schutz personenbezogener Daten (Änderung) von 2020 geändert bzw. ergänzt wurde. Das Gesetz hat extraterritoriale Wirkung, d. h. es gilt für Organisationen, die personenbezogene Daten in Singapur erheben, verwenden oder offenlegen, unabhängig davon, ob die Organisation selbst physisch in Singapur präsent oder als Unternehmen in Singapur registriert ist.

Das Personal Data Protection Law (PDPL) der Vereinigten Arabischen Emirate (Gesetz Nr. 45 von 2021) ist ein umfassendes Datenschutzgesetz, das am 2. Januar 2022 in Kraft trat. Es reguliert die Verarbeitung personenbezogener Daten von Personen in den VAE durch Unternehmen und Behörden, orientiert sich an der DSGVO und etabliert Rechte für Betroffene, wie Zugriff, Löschung und Berichtigung.

In der Türkei wurde das Datenschutzgesetz (KVKK, Gesetz Nr. 6698) 2024 durch das „8. Justizpaket“ (Gesetz Nr. 7499) grundlegend geändert. Die Änderungen traten am 1. Juni 2024 in Kraft, werden jedoch durch politische Probleme mit der Rechtsstaatlichkeit in der Türkei 

In Vietnam basiert das Datenschutzrecht primär auf dem am 1. Juli 2023 in Kraft getretenen
Dekret Nr. 13/2023/NĐ-CP (Personal Data Protection Decree – PDPD), das strenge Regeln für die Verarbeitung, Speicherung und den grenzüberschreitenden Transfer personenbezogener Daten einführt. Seit 1. Januar 2026 gelten weiter verschärfte Vorschriften, die bestimmte Verarbeitungen verbieten.

(Japan, für Archivzwecke: Das japanische Datenschutzgesetz APPI (engl. Act on the Protection of Personal Information; deutsch: Gesetz zum Schutz persönlicher Informationen) trat 2004 in Kraft und wurde zuletzt 2015 reformiert und gilt mit den Änderungen seit 2017 (Download als PDF). Durch den Angemessenheitsbeschluss der EU von 2019 gilt das japanische APPI als vergleichbar zum Datenschutz in der EU, also als vergleichbar mit der DSGVO. Damit ist dieser Absatz hinfällig, aber ich lasse ihn für Archivzwecke online.)

Datenschutz vs. Datensicherheit im Ausland

So ein Vergleich ist immer schwierig, denn unabhängig vom Datenschutz muss ein Unternehmen auch Datensicherheit bieten. Der Unterschied ist recht simpel: Datenschutz ist rechtlich, Datensicherheit ist technisch.

Für den technischen Schutz (also Verschlüsselungsalgorithmen für Software, Bewachung oder sonstige Sicherung von physischen Server-Zentren) gibt es keinen allgemeinen Standard. Die ISO/IEC 27001 kommt am ehesten an einen gültigen Datensicherheitsstandard heran. Die ISO-Norm beschäftigt sich damit, wie Informationssicherheit und ein Managementsystem zur Informationssicherheit aufgestellt werden muss.

Internationale Verträge, Abkommen oder Gesetze zur Datensicherheit existieren jedoch nicht – zumindest nicht in der gleichen Form wie zum Datenschutz.

DER Datenschutzbeauftragte: Christian Allner ist Experte in Datenschutzrecht, Datenschutzpraxis und KI-Kompetenz. Beruflich qualifiziert und unabhängig. Seit 2013 führt er regelmäßig Weiterbildungen zu Datenschutz und Datensicherheit durch, coacht Unternehmen und: kann als externer Datenschutzbeauftragter bestellt werden. Seit 2018 beschäftigt er sich mit KI-Forschung und ist Gastblogger bei derStandard.at. Kontaktieren Sie gern uns oder beauftragen Sie uns direkt hier. Wir helfen Ihnen weiter: