EU-Angemessenheitsbeschlüsse: Vollständige Länderliste und Aktualisierungen 2026
Nach Artikel 45 der DSGVO erlässt die Europäische Kommission einen Angemessenheitsbeschluss, wenn sie feststellt, dass ein Land außerhalb der EU ein Datenschutzniveau bietet, das dem der EU im Wesentlichen gleichwertig ist. Diese Einstufung ermöglicht es, personenbezogene Daten frei aus der EU in dieses Land zu übermitteln, ohne dass zusätzliche Garantien wie Standardvertragsklauseln erforderlich sind.
Ein EU-Angemessenheitsbeschluss ist eine förmliche Feststellung der Europäischen Kommission, dass ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) ein Datenschutzniveau bietet, das dem innerhalb der EU garantierten Niveau „im Wesentlichen gleichwertig" ist. Erhält ein Land einen Angemessenheitsbeschluss, können personenbezogene Daten frei aus der EU in dieses Land übermittelt werden, ohne dass Organisationen zusätzliche Garantien wie Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften umsetzen müssen.
Der Angemessenheitsrahmen ist in Artikel 45 der DSGVO verankert, der die von der Kommission zu prüfenden Kriterien sowie das Verfahren für Erlass, Überprüfung und Widerruf festlegt. Angemessenheitsbeschlüsse gehören zu den folgenreichsten Instrumenten des internationalen Datenschutzes, da sie darüber entscheiden, ob ein reibungsloser grenzüberschreitender Datenverkehr zwischen der EU und ihren Handelspartnern möglich ist.
Dieser Leitfaden erklärt, wie die Angemessenheitsprüfung funktioniert, listet jedes Land und jede Organisation mit aktuellem Angemessenheitsstatus auf, behandelt die Überprüfung der elf Alt-Beschlüsse aus der Zeit vor der DSGVO im Jahr 2024, die Verlängerung für das Vereinigte Königreich im Dezember 2025, den Brasilien-Beschluss 2026, den EU-US-Datenschutzrahmen samt Prozessgeschichte, und erläutert, was Angemessenheit für Ihr Unternehmen bedeutet.
Wie Angemessenheitsbeschlüsse nach Artikel 45 DSGVO funktionieren
Artikel 45 DSGVO ermächtigt die Europäische Kommission festzustellen, dass ein Drittland, ein Gebiet, ein oder mehrere bestimmte Sektoren innerhalb eines Drittlands oder eine internationale Organisation ein angemessenes Schutzniveau gewährleistet. Der rechtliche Maßstab ist nicht identischer Schutz, sondern „im Wesentlichen gleichwertiger" Schutz im Vergleich zum EU-Recht.
Die Bewertungskriterien
Bei der Bewertung der Angemessenheit eines Landes berücksichtigt die Kommission mehrere in Artikel 45 Absatz 2 genannte Faktoren:
Rechtsstaatlichkeit und Menschenrechte: Der allgemeine Rechtsrahmen des Landes, einschließlich der Rechtsvorschriften zu nationaler Sicherheit, öffentlichem Interesse, Strafrecht und staatlichem Zugriff auf personenbezogene Daten. Das Vorhandensein einer unabhängigen Justiz spielt dabei eine erhebliche Rolle.
Unabhängige Aufsichtsbehörde: Ob das Land über eine oder mehrere unabhängige Datenschutzbehörden mit angemessenen Durchsetzungsbefugnissen verfügt, einschließlich der Möglichkeit, Verstöße zu untersuchen, einzugreifen und zu sanktionieren. Die Behörde muss betroffenen Personen bei der Ausübung ihrer Rechte zudem Unterstützung und Beratung bieten.
Internationale Verpflichtungen: Die Beteiligung des Landes an internationalen Datenschutzinstrumenten wie dem Übereinkommen 108 des Europarats und dessen modernisiertem Protokoll (Übereinkommen 108+), bilateralen oder multilateralen Abkommen sowie weiteren rechtsverbindlichen Verpflichtungen.
Rechte der betroffenen Personen: Ob Einzelpersonen über wirksame und durchsetzbare Rechte verfügen, einschließlich Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, sowie über das Recht auf einen wirksamen verwaltungsrechtlichen und gerichtlichen Rechtsbehelf.
Regeln für die Weiterübermittlung: Ob das Land Bedingungen für die Weiterübermittlung von Daten an andere Drittländer festlegt, damit die Angemessenheit nicht zu einer Hintertür für Datenflüsse in Rechtsordnungen mit schwächerem Schutz wird.
Das Annahmeverfahren
Die Angemessenheitsprüfung ist ein langwieriger Prozess. Die Kommission führt ihre Bewertung oft über mehrere Jahre hinweg durch. Der Europäische Datenschutzausschuss (EDSA) gibt eine Stellungnahme zum Beschlussentwurf ab. Vertreter der Mitgliedstaaten stimmen in einem Komitologieausschuss über die Annahme des Beschlusses ab. Das Europäische Parlament und der Rat können die Kommission auffordern, einen Beschluss aufrechtzuerhalten, zu ändern oder zurückzuziehen.
Von der ersten Bewertung bis zur endgültigen Annahme dauert das Verfahren in der Regel zwei bis vier Jahre. Länder, die das Übereinkommen 108+ ratifiziert haben, über echte unabhängige Aufsichtsbehörden mit tatsächlicher Durchsetzungsbefugnis verfügen und umfassende, an die DSGVO angeglichene Rechtsvorschriften erlassen haben, durchlaufen das Verfahren tendenziell schneller.
Überwachung und regelmäßige Überprüfung
Artikel 45 Absatz 3 verpflichtet die Kommission, die Entwicklungen in als angemessen anerkannten Ländern fortlaufend zu beobachten. Artikel 45 Absatz 4 verpflichtet sie, dem Europäischen Parlament und dem Rat regelmäßig über die Funktionsweise der Beschlüsse Bericht zu erstatten. Stellt die Kommission fest, dass ein Land keine im Wesentlichen gleichwertige Schutzwirkung mehr bietet, kann sie den Beschluss ändern, aussetzen oder aufheben.
Länder mit EU-Angemessenheitsbeschlüssen
Stand 2026 hat die Europäische Kommission Angemessenheitsbeschlüsse für 17 Länder, Gebiete und Organisationen erlassen. Die Liste umfasst sowohl Alt-Beschlüsse (ursprünglich unter der Datenschutzrichtlinie von 1995 erlassen und gemäß Artikel 45 Absatz 9 DSGVO weiterhin in Kraft) als auch Beschlüsse, die seit dem Inkrafttreten der DSGVO im Mai 2018 angenommen wurden.
Angemessenheitsbeschlüsse aus der Zeit vor der DSGVO (Richtlinien-Ära)
Diese Beschlüsse wurden vor dem Inkrafttreten der DSGVO am 25. Mai 2018 unter der Richtlinie 95/46/EG erlassen. Sie bleiben in Kraft, solange sie nicht aufgehoben oder geändert werden.
Andorra (erlassen im Oktober 2010): Andorras Qualifiziertes Gesetz zum Schutz personenbezogener Daten von 2003 und seine unabhängige Aufsichtsbehörde (APDA) bildeten die Grundlage für die Angemessenheitsfeststellung. Die Überprüfung der Kommission im Januar 2024 bestätigte, dass die Angemessenheit weiterhin gerechtfertigt ist.
Argentinien (erlassen im Juni 2003): Argentiniens Gesetz zum Schutz personenbezogener Daten (Gesetz 25.326) und die Agencia de Acceso a la Información Pública (AAIP) bilden die Grundlage für die Angemessenheit. Argentinien bleibt außerhalb von Brasilien das einzige südamerikanische Land mit EU-Angemessenheitsstatus.
Kanada (erlassen im Dezember 2001, teilweise): Kanadas Angemessenheitsstatus beschränkt sich auf Organisationen, die im Rahmen ihrer gewerblichen Tätigkeiten dem Personal Information Protection and Electronic Documents Act (PIPEDA) unterliegen. Die Verarbeitung durch Behörden, Organisationen, die nicht dem PIPEDA unterliegen, sowie Provinzgesetze, die nicht als im Wesentlichen gleichwertig mit PIPEDA anerkannt sind, fallen nicht in den Anwendungsbereich.
Färöer-Inseln (erlassen im März 2010): Ein autonomes Gebiet innerhalb des Königreichs Dänemark mit eigener Datenschutzgesetzgebung.
Guernsey (erlassen im November 2003): Britische Kronbesitzung mit Datenschutzgesetzgebung, die nach dem Brexit an die UK-DSGVO angeglichen wurde.
Insel Man (erlassen im April 2004): Britische Kronbesitzung mit einem unabhängigen Datenschutzregime unter dem Information Commissioner's Office (Isle of Man).
Israel (erlassen im Januar 2011): Israels Datenschutzgesetz von 1981 und die Privacy Protection Authority bildeten den Rahmen. Israel arbeitet an einer Modernisierung seiner Datenschutzgesetzgebung, um sie stärker an die DSGVO-Standards anzunähern.
Jersey (erlassen im Mai 2008): Britische Kronbesitzung mit eigener Datenschutzgesetzgebung und Aufsichtsbehörde (ODPA).
Neuseeland (erlassen im Dezember 2012): Neuseelands Privacy Act und das Office of the Privacy Commissioner bildeten die Grundlage für die Angemessenheit. Neuseeland erließ im November 2020 einen deutlich modernisierten Privacy Act.
Schweiz (erlassen im Juli 2000): Einer der frühesten Angemessenheitsbeschlüsse. Die Schweiz erließ ein revidiertes Bundesgesetz über den Datenschutz (revDSG), das am 1. September 2023 in Kraft trat und den Rahmen stärker an die DSGVO angleicht. Die Kommission beobachtet, ob das revDSG die Angemessenheitsposition der Schweiz stärkt.
Uruguay (erlassen im August 2012): Uruguays Datenschutzgesetz (Gesetz 18.331) und die Regulierungs- und Datenschutzeinheit (URCDP) stützten die Angemessenheitsfeststellung.
Angemessenheitsbeschlüsse nach der DSGVO
Japan (erlassen im Januar 2019): Der erste unter der DSGVO erlassene Angemessenheitsbeschluss. Japans Gesetz zum Schutz personenbezogener Informationen (APPI) wurde durch zusätzliche, eigens mit der EU ausgehandelte Garantien ergänzt, darunter strengere Regeln für sensible Daten, Weiterübermittlungen und individuelle Rechte. Die Kommission schloss ihre erste Überprüfung im April 2023 ab und kam zu dem Schluss, dass die Angemessenheit angesichts der fortbestehenden Angleichung des APPI an die DSGVO-Grundsätze weiterhin gerechtfertigt ist.
Republik Korea (Südkorea) (erlassen im Dezember 2021): Südkoreas 2020 wesentlich geändertes Gesetz zum Schutz personenbezogener Informationen (PIPA) und die Personal Information Protection Commission (PIPC) stützten die Feststellung. Korea machte zusätzliche Zusagen hinsichtlich des behördlichen Datenzugriffs zu Zwecken der Strafverfolgung und nationalen Sicherheit.
Vereinigtes Königreich (erlassen im Juni 2021, verlängert im Dezember 2025): Der Angemessenheitsbeschluss für das Vereinigte Königreich wird weiter unten in einem eigenen Abschnitt ausführlich behandelt.
Vereinigte Staaten (DPF) (erlassen im Juli 2023): Der Angemessenheitsbeschluss gilt nur für US-Organisationen, die im Rahmen des EU-US-Datenschutzrahmens (DPF) zertifiziert sind. Für die Vereinigten Staaten insgesamt gibt es keine allgemeine Angemessenheitsfeststellung. Übermittlungen an nicht zertifizierte US-Organisationen erfordern weiterhin Standardvertragsklauseln oder andere Garantien.
Brasilien (erlassen am 26. Januar 2026): Der neueste und bislang umfassendste Angemessenheitsbeschluss und die erste wechselseitige Angemessenheitsregelung. Siehe ausführlichen Abschnitt weiter unten.
Europäische Patentorganisation (erlassen am 15. Juli 2025): Der erste Angemessenheitsbeschluss überhaupt, der für eine internationale Organisation erlassen wurde. Er ermöglicht einen reibungslosen Datenaustausch zwischen EU-Einrichtungen und dem EPA im Zuge der digitalen Transformation des Patenterteilungsverfahrens.
Die Überprüfung der elf Alt-Beschlüsse im Januar 2024
Am 15. Januar 2024 veröffentlichte die Europäische Kommission ihren Bericht über die erste regelmäßige Überprüfung der Funktionsweise der elf unter der Richtlinie 95/46/EG erlassenen Angemessenheitsbeschlüsse (Dokument SWD(2024) 3 final, begleitend zur Mitteilung der Kommission COM/2024/7). Überprüft wurden die Beschlüsse für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, die Insel Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay.
Ergebnis: Alle elf bieten weiterhin ein angemessenes Schutzniveau
Die Gesamtfeststellung der Kommission lautete, dass alle elf Länder und Gebiete weiterhin ein angemessenes Datenschutzniveau bieten und derzeit keiner der Beschlüsse zurückgezogen oder geändert werden muss.
Länderspezifische Beobachtungen
Die Überprüfung war kein bloßer Formalakt. Die Kommission identifizierte konkrete Bereiche, die weiterhin beobachtet werden sollten:
Bei Argentinien wies die Kommission darauf hin, dass das Land seinen Gesetzgebungsreformprozess zur Modernisierung seines Datenschutzgesetzes von 2000 abschließen und näher an die DSGVO-Standards heranführen sollte, und drängte auf die Ernennung eines neuen Leiters der Aufsichtsbehörde AAIP.
Bei Israel beobachtete die Kommission eine laufende Gesetzesreform zur Aktualisierung des Datenschutzgesetzes und stellte fest, dass Umfang und Tiefe dieser Reform für eine künftige Angemessenheitsbewertung relevant sein würden.
Bei Kanada verwies die Kommission auf den laufenden Reformprozess des PIPEDA (Gesetzentwurf C-27) und stellte fest, dass die Umsetzung der Reform künftige Angemessenheitsüberprüfungen beeinflussen werde.
Bei Neuseeland würdigte die Kommission die positiven Auswirkungen der Reformen des Privacy Act von 2020 und lobte die gut funktionierende unabhängige Aufsichtsbehörde des Landes.
Die Kommission bestätigte, dass die Angemessenheitsbeschlüsse für Guernsey, die Insel Man, Jersey, die Färöer-Inseln, Andorra, die Schweiz und Uruguay weiterhin zufriedenstellend funktionieren, empfahl jedoch, die regulatorischen Entwicklungen in jeder dieser Rechtsordnungen weiterhin engmaschig zu beobachten.
Der Angemessenheitsbeschluss für das Vereinigte Königreich: Verfallsklausel, Verlängerung und Erneuerung im Dezember 2025
Der Angemessenheitsbeschluss für das Vereinigte Königreich hat eine komplexere Geschichte als jeder andere Angemessenheitsbeschluss, wegen der einzigartigen Verfallsklausel, die bei der ursprünglichen Annahme eingefügt wurde.
Der ursprüngliche Beschluss von 2021 und die Verfallsklausel
Die Kommission erließ den Angemessenheitsbeschluss für das Vereinigte Königreich am 28. Juni 2021, kurz bevor die Übergangsregelung im Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich auslief. Anders als jeder andere Angemessenheitsbeschluss enthielt der Beschluss für das Vereinigte Königreich eine vierjährige Verfallsklausel, wodurch er am 27. Juni 2025 automatisch ausgelaufen wäre, sofern er nicht verlängert würde. Diese Klausel wurde eingefügt, weil die Kommission sich die Möglichkeit vorbehalten wollte, den britischen Datenschutzrahmen neu zu bewerten, während er sich nach dem Brexit unabhängig vom EU-Recht weiterentwickelte.
Die technische Verlängerung im Juni 2025
Als der Ablauftermin am 27. Juni 2025 näher rückte, hatte die Kommission ihr förmliches Verlängerungsverfahren noch nicht abgeschlossen. Am 24. Juni 2025 erließ die Kommission eine kurze technische Verlängerung sowohl des DSGVO-basierten als auch des auf der Richtlinie zum Datenschutz bei der Strafverfolgung (LED) basierenden Angemessenheitsbeschlusses für das Vereinigte Königreich, um den Datenverkehr aufrechtzuerhalten, während die Verlängerungsbewertung abgeschlossen wurde.
Die Erneuerung vom 19. Dezember 2025
Am 19. Dezember 2025 erneuerte die Kommission die Angemessenheitsbeschlüsse für das Vereinigte Königreich förmlich, sowohl nach der DSGVO als auch nach der Richtlinie zum Datenschutz bei der Strafverfolgung (LED). Die erneuerten Beschlüsse gelten für sechs Jahre und laufen am 27. Dezember 2031 aus. Die Kommission verpflichtete sich zu einer Zwischenüberprüfung nach vier Jahren in enger Zusammenarbeit mit dem EDSA.
Die Kommission kam zu dem Schluss, dass das Vereinigte Königreich trotz mehrerer Gesetzesänderungen seit 2021 weiterhin ein im Wesentlichen gleichwertiges Datenschutzniveau bietet. Von zentraler Bedeutung war dabei der Data (Use and Access) Act 2025 (DUAA), der am 19. Juni 2025 die königliche Zustimmung erhielt. Das DUAA ersetzte den geplanten Data Protection and Digital Information Bill, der deutlich stärkere Abweichungen von den DSGVO-Standards enthalten hätte. Die Kommission bewertete das DUAA und stellte fest, dass der Gesamtrahmen des Vereinigten Königreichs weiterhin im Wesentlichen gleichwertig bleibt.
Stellungnahme des EDSA und Beobachtungsauflagen
Der EDSA nahm im Oktober 2025 seine Stellungnahme zu den Entwürfen der Angemessenheitsbeschlüsse für das Vereinigte Königreich an. Der EDSA begrüßte die Erneuerung, forderte die Kommission jedoch auf, eine wirksame Beobachtung mehrerer Bereiche sicherzustellen, darunter die Ausnahme des Vereinigten Königreichs von den Datenschutzvorschriften im Einwanderungsbereich, die UK-US Data Bridge und ihre Auswirkungen auf die Weiterübermittlung von EU-Daten in die USA sowie das Risiko künftiger Abweichungen, da sich der britische Rahmen weiterhin unabhängig weiterentwickelt.
Die Erneuerung bedeutet, dass Organisationen für den sechsjährigen Zeitraum bis Dezember 2031 personenbezogene Daten im Rahmen der Angemessenheitsbeschlüsse frei zwischen der EU und dem Vereinigten Königreich übermitteln können. Organisationen, die sich auf die britische Angemessenheit stützen, sollten die Beobachtungsauflagen im Blick behalten und Notfallpläne für Standardvertragsklauseln bereithalten, falls die Kommission 2031 eine erneute Verlängerung ablehnen sollte.
Brasilien: Der neueste Angemessenheitsbeschluss (Januar 2026)
Am 26. Januar 2026 erließ die Europäische Kommission den Durchführungsbeschluss (EU) 2026/179, mit dem sie den brasilianischen LGPD-Rahmen als angemessenes Datenschutzniveau nach Artikel 45 DSGVO anerkannte. Am selben Tag nahm die brasilianische nationale Datenschutzbehörde (ANPD) die Resolution CD/ANPD Nr. 32 an, mit der sie im Gegenzug die EU als Land mit angemessenem Schutzniveau nach dem brasilianischen Allgemeinen Datenschutzgesetz (LGPD) anerkennt.
Was den Brasilien-Beschluss besonders macht
Der Brasilien-Beschluss unterscheidet sich in mehrfacher Hinsicht von früheren Angemessenheitsbeschlüssen:
Wechselseitige Anerkennung: Beide Seiten erkannten die Angemessenheit der jeweils anderen Seite gleichzeitig an, wodurch eine echte bilaterale Regelung entstand. Die ANPD-Resolution 32 Brasiliens spiegelt den EU-Beschluss und ermöglicht einen freien Datenverkehr in beide Richtungen.
Breitester sektoraler Anwendungsbereich: Anders als bei Kanada (nur gewerbliche Tätigkeiten) und den USA (nur DPF-zertifizierte Organisationen) erfasst die Angemessenheit Brasiliens sowohl Übermittlungen im öffentlichen als auch im privaten Sektor, was sie zur umfassendsten unter der DSGVO erlassenen Angemessenheitsregelung macht.
Sicherheitsausnahme: Der Beschluss gilt nicht für Übermittlungen, die ausschließlich zu Zwecken der nationalen Verteidigung, der Staatssicherheit oder strafrechtlicher Ermittlungen erfolgen, im Einklang mit den entsprechenden Ausnahmen des LGPD.
Überprüfungsplan: Der Beschluss unterliegt einer förmlichen Überprüfung alle vier Jahre, wobei die Kommission eng mit der ANPD an einer fortlaufenden Beobachtung zusammenarbeitet.
Hintergrund: Brasiliens Datenschutzrahmen
Brasilien erließ 2018 sein Lei Geral de Proteção de Dados (LGPD), das seit September 2020 in Kraft ist. Das LGPD orientiert sich eng an Struktur und Grundsätzen der DSGVO und regelt die Rechtsgrundlagen für die Verarbeitung, die Rechte betroffener Personen, die Meldung von Datenschutzverletzungen und die Anforderungen an Datenschutzbeauftragte. Die ANPD wurde als unabhängige Aufsichtsbehörde eingerichtet und erließ Durchführungsvorschriften zu Mechanismen der internationalen Datenübermittlung und zur Meldung von Sicherheitsvorfällen, die den brasilianischen Rahmen weiter an die EU-Standards angleichen.
Die EU veröffentlichte im September 2025 einen Entwurf des Angemessenheitsbeschlusses, nachdem ein Bewertungsprozess bereits einige Jahre zuvor begonnen hatte. Der endgültige Beschluss wurde am 26. Januar 2026 angenommen.
Der EU-US-Datenschutzrahmen
Der EU-US-Datenschutzrahmen (DPF) wurde am 10. Juli 2023 nach intensiven Verhandlungen zwischen der Kommission und der Biden-Regierung als Angemessenheitsbeschluss angenommen. Der DPF ersetzte den Privacy-Shield-Rahmen, den der Gerichtshof der Europäischen Union (EuGH) im Juli 2020 im Urteil Schrems II für ungültig erklärt hatte.
Wie der DPF funktioniert
Anders als landesweite Angemessenheitsbeschlüsse ist der DPF ein Selbstzertifizierungssystem. US-Organisationen bestätigen freiwillig ihre Einhaltung der DPF-Grundsätze über die International Trade Administration (ITA) auf dataprivacyframework.gov. Zertifizierte Organisationen verpflichten sich zur Einhaltung der DPF-Grundsätze und unterwerfen sich der Durchsetzung durch die FTC und das Department of Transportation. Betroffene Personen aus der EU können über einen durch die Executive Order 14086 eingerichteten Data Protection Review Court (DPRC) Rechtsbehelf hinsichtlich US-Aktivitäten der Signalaufklärung einlegen.
Die erste Jahresüberprüfung im Oktober 2024
Am 9. Oktober 2024 veröffentlichte die Kommission ihren Bericht über die erste regelmäßige Überprüfung des EU-US-DPF (COM(2024) 451 final). Das Überprüfungstreffen fand vom 18. bis 19. Juli 2024 in Washington, D.C. statt.
Wesentliche Feststellungen: Die Kommission stellte fest, dass der DPF im ersten Jahr wie beabsichtigt funktionierte, mit starker Beteiligung kleiner und mittlerer Unternehmen (70 Prozent der zertifizierten Unternehmen sind KMU) und erheblicher Vertretung des IKT-Sektors (47 Prozent der Zertifizierungen). Die US-Behörden bestätigten, dass es im ersten Jahr des DPF keine relevanten Änderungen am Rechtsrahmen für nationale Sicherheit oder Strafverfolgung gegeben habe.
Rechtsstreit: Der Fall Latombe (September 2025)
Der DPF sah sich in der Rechtssache T-553/23, Philippe Latombe gegen Europäische Kommission, vor dem Europäischen Gericht seiner ersten gerichtlichen Anfechtung gegenüber. Am 3. September 2025 wies das Gericht die Klage ab und bestätigte, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die im Rahmen des DPF übermittelt werden. Das Gericht stellte fest, dass die US-Signalaufklärungstätigkeiten der gerichtlichen Aufsicht durch den DPRC unterliegen, dessen Entscheidungen endgültig und bindend sind, wodurch der in Schrems II festgelegte Maßstab der im Wesentlichen gleichwertigen Schutzwirkung erfüllt sei.
Gegen die Entscheidung könnte beim EuGH Rechtsmittel eingelegt werden. NOYB (None of Your Business), die von Max Schrems gegründete Datenschutzorganisation, hat erklärt, die Entwicklungen zu beobachten und möglicherweise eine eigene, weiter gefasste Klage anzustrengen.
Anhaltende politische Unsicherheit
Die längerfristige Stabilität des DPF ist politischen Risiken ausgesetzt, die sich aus den Maßnahmen der Trump-Regierung im Jahr 2025 ergeben. Zentrale Bedenken betreffen:
PCLOB: Im Januar 2025 entließ die Trump-Regierung die demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board, wodurch das Gremium beschlussunfähig wurde. Das PCLOB spielt eine Rolle bei der Beaufsichtigung des US-Überwachungsrahmens, der den Garantien des DPF zugrunde liegt.
Unabhängigkeit der FTC: Eine im Februar 2025 erlassene Durchführungsverordnung zur behördlichen Rechenschaftspflicht weckte Bedenken, ob die FTC über ausreichende Unabhängigkeit verfügt, um die DPF-Verpflichtungen gegenüber zertifizierten Organisationen durchzusetzen.
Mehrere europäische Datenschutzbehörden, darunter das norwegische Datatilsynet, die deutsche DSK und das dänische Datatilsynet, veröffentlichten Hinweise, in denen sie Organisationen empfahlen, Notfallpläne für alternative Übermittlungsmechanismen zu entwickeln. Organisationen, die sich auf den DPF stützen, sollten aktualisierte Standardvertragsklauseln als Rückfalloption bereithalten.
Wie Angemessenheitsbeschlüsse widerrufen oder angefochten werden
Die Geschichte der EU-US-Datenübermittlungsrahmen veranschaulicht die Zerbrechlichkeit angemessenheitsbasierter Regelungen und die Folgen eines Widerrufs.
Schrems I: Safe Harbor (2015)
Im Oktober 2015 erklärte der EuGH den Safe-Harbor-Rahmen für ungültig (Rechtssache C-362/14, Schrems gegen Data Protection Commissioner), nachdem durch Enthüllungen von Edward Snowden Massenüberwachungsprogramme der USA bekannt geworden waren. Das Gericht stellte fest, dass der Angemessenheitsbeschluss der Kommission zu Safe Harbor keinen im Wesentlichen gleichwertigen Schutz bot, da US-Recht einen massenhaften Zugriff auf personenbezogene Daten ohne angemessene gerichtliche Aufsicht erlaubte.
Schrems II: Privacy Shield (2020)
Im Juli 2020 erklärte der EuGH den Privacy-Shield-Rahmen für ungültig (Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland), aus denselben grundlegenden Erwägungen: Das US-Überwachungsrecht gewährte betroffenen Personen keine durchsetzbaren Rechte oder einen wirksamen gerichtlichen Rechtsbehelf, die den EU-Standards gleichwertig wären. Das Gericht bestätigte zudem, dass Standardvertragsklauseln weiterhin gültig sind, Datenexporteure jedoch vor deren Nutzung eine Transfer-Folgenabschätzung durchführen müssen.
Praktische Folgen eines Widerrufs
Wird ein Angemessenheitsbeschluss für ungültig erklärt, entfällt die Rechtsgrundlage für Übermittlungen unmittelbar. Nach Schrems II:
- Mehr als 5.300 US-Unternehmen, die sich als einzigen Übermittlungsmechanismus auf Privacy Shield gestützt hatten, mussten kurzfristig alternative Garantien einführen.
- EU-Organisationen stellten fest, dass sie Verträge mit Hunderten von Dienstleistern neu verhandeln mussten.
- Datenschutzbehörden leiteten Durchsetzungsmaßnahmen gegen Übermittlungen in die USA ein, denen es an einer gültigen Rechtsgrundlage fehlte.
Bei einem Widerruf der Angemessenheit gibt es keine garantierte Übergangsfrist. Organisationen sollten Angemessenheit als eine Ebene ihrer Übermittlungsstrategie behandeln, nicht als die einzige, und aktuelle Standardvertragsklauseln überall dort bereithalten, wo Angemessenheitsbeschlüsse kritische Datenflüsse betreffen.
Teilweise und sektorspezifische Angemessenheit
Die DSGVO erlaubt ausdrücklich eine Angemessenheitsfeststellung für „einen oder mehrere spezifische Sektoren" innerhalb eines Landes. Zwei aktuelle Beschlüsse veranschaulichen, wie teilweise Angemessenheit in der Praxis funktioniert.
Kanada: Nur gewerbliche Tätigkeiten
Kanadas Angemessenheit gilt nur für Organisationen, die im Rahmen ihrer gewerblichen Tätigkeiten dem PIPEDA unterliegen. Die Verarbeitung durch Behörden, Daten, die unter Provinzgesetzen verarbeitet werden, die nicht als im Wesentlichen ähnlich zum PIPEDA anerkannt sind, sowie nicht gewerbliche Verarbeitung fallen nicht in den Anwendungsbereich des Beschlusses.
Kanadas Bemühungen um eine Datenschutzreform laufen bereits seit mehreren Jahren. Der Gesetzentwurf C-27 (Consumer Privacy Protection Act) würde das PIPEDA im Falle seiner Verabschiedung durch einen modernisierten Rahmen ersetzen.
Vereinigte Staaten: Nur DPF-zertifizierte Organisationen
Der Angemessenheitsbeschluss für die USA hat den am stärksten eingeschränkten Anwendungsbereich. Er erfasst nur Organisationen, die sich über die ITA aktiv im Rahmen des DPF selbst zertifiziert haben. Für die Vereinigten Staaten als Land gibt es keine allgemeine Angemessenheitsfeststellung. Übermittlungen an nicht zertifizierte US-Organisationen müssen sich auf Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder einen anderen Mechanismus nach Artikel 46 DSGVO stützen.
Ausstehende Angemessenheitsbewertungen
Mit der Aufnahme Brasiliens im Jahr 2026 hat sich die Liste kurzfristiger Kandidaten für die Angemessenheit verringert, doch mehrere Länder befinden sich weiterhin in verschiedenen Phasen der Erörterung oder Bewertung.
Taiwan: Taiwans Datenschutzgesetz und die geplanten Änderungen daran haben das Interesse der EU geweckt, insbesondere im Zusammenhang mit der Stärkung der wirtschaftlichen und technologischen Beziehungen zwischen der EU und Taiwan. Eine Angemessenheitsfeststellung für Taiwan wäre angesichts der Dynamik zwischen den beiden Seiten der Taiwanstraße politisch heikel, doch die solide Gesetzesgrundlage macht das Land zu einem glaubwürdigen Kandidaten.
Kenia: Kenia erließ 2019 ein umfassendes Datenschutzgesetz, richtete eine Datenschutzbehörde ein und arbeitet daran, seinen Rahmen an internationale Standards anzugleichen. Eine Angemessenheit für das südlich der Sahara gelegene Afrika bleibt eine längerfristige Möglichkeit.
Indien: Indien erließ 2023 das Digital Personal Data Protection Act (DPDPA) und richtete damit einen neuen Aufsichtsrahmen ein (Data Protection Board). Die Gespräche zwischen Indien und der EU über Angemessenheit stehen noch am Anfang, wobei der behördliche Datenzugriff und Ausnahmen zur nationalen Sicherheit erhebliche Hürden darstellen.
Länder, die das Übereinkommen 108+ ratifiziert haben, echte unabhängige Aufsichtsbehörden mit angemessenen Durchsetzungsbudgets und einer belastbaren Erfolgsbilanz eingerichtet haben und umfassende Rechtsvorschriften mit DSGVO-vergleichbaren Grundsätzen erlassen haben, sind am besten positioniert. Der Umfang der Ausnahmen zur nationalen Sicherheit war historisch der schwierigste Faktor für Länder mit großen Geheimdiensten.
Was Angemessenheit für Unternehmen bedeutet
Die Vorteile
Für Organisationen, die personenbezogene Daten in als angemessen anerkannte Länder übermitteln, liegt der praktische Vorteil in einer erheblichen Vereinfachung. Keine Standardvertragsklauseln, keine Transfer-Folgenabschätzungen, keine verbindlichen internen Datenschutzvorschriften. Der Exporteur muss lediglich bestätigen, dass das Zielland zum Zeitpunkt der Übermittlung als angemessen gelistet ist.
Dies senkt Rechtskosten, beschleunigt die Anbindung neuer Anbieter, macht eine Neuverhandlung von Auftragsverarbeitungsverträgen bei der Aufnahme neuer Anbieter in als angemessen anerkannten Rechtsordnungen überflüssig und beseitigt den Compliance-Aufwand für die Pflege von SCC-Bibliotheken.
Die Grenzen
Angemessenheit setzt keine anderen DSGVO-Anforderungen außer Kraft. Die exportierende Organisation muss weiterhin über eine Rechtsgrundlage für die Verarbeitung verfügen, die Grundsätze der Datenminimierung und Zweckbindung einhalten und die Rechte betroffener Personen wahren. Angemessenheit entfällt lediglich die Anforderung einer zusätzlichen Übermittlungsgarantie nach Artikel 46.
Die empfangende Organisation im als angemessen anerkannten Land muss zudem das eigene Datenschutzrecht dieses Landes einhalten. Angemessenheitsbeschlüsse wandeln DSGVO-Pflichten der EU nicht in das Recht des Ziellands um.
Umgang mit dem Abhängigkeitsrisiko
Angesichts der Tatsache, dass zwei US-Angemessenheitsrahmen für ungültig erklärt wurden und der Beschluss für das Vereinigte Königreich mit Beobachtungsauflagen verlängert werden musste, sollten Angemessenheitsbeschlüsse als nützlich, aber nicht als bedingungslos verlässlich betrachtet werden. Organisationen sollten:
- Für alle Datenflüsse in Länder, deren Angemessenheitsstabilität ungewiss ist, insbesondere die USA im Rahmen des DPF, parallele Standardvertragsklauseln bereithalten.
- Die regelmäßigen Überprüfungen der Kommission und die Stellungnahmen des EDSA auf Anzeichen dafür beobachten, dass eine Angemessenheit unter Druck gerät.
- Gesetzesentwicklungen in als angemessen anerkannten Ländern beobachten, die deren Rahmen unter die Schwelle der im Wesentlichen gleichwertigen Schutzwirkung drücken könnten.
Dies sind allgemeine rechtliche Informationen und keine Rechtsberatung. Organisationen, die sich bei internationalen Datenübermittlungen auf Angemessenheitsbeschlüsse stützen, sollten für eine auf ihre Situation zugeschnittene Beratung einen Rechtsanwalt konsultieren.
Frequently Asked Questions
Was ist ein EU-Angemessenheitsbeschluss?
Ein EU-Angemessenheitsbeschluss ist eine förmliche Feststellung der Europäischen Kommission nach Artikel 45 DSGVO, dass ein Land außerhalb der EU ein Datenschutzniveau bietet, das dem der EU im Wesentlichen gleichwertig ist. Verfügt ein Land über den Angemessenheitsstatus, können personenbezogene Daten frei aus der EU in dieses Land übermittelt werden, ohne dass Organisationen zusätzliche Garantien wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften benötigen. Maßgeblich ist im Wesentlichen gleichwertiger, nicht identischer Schutz.
Welche Länder verfügen 2026 über EU-Angemessenheitsbeschlüsse?
Stand 2026 verfügen 17 Länder, Gebiete und Organisationen über Angemessenheit: Andorra, Argentinien, Brasilien (Januar 2026), Kanada (nur gewerblicher Sektor), die Färöer-Inseln, Guernsey, die Insel Man, Israel, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich (im Dezember 2025 bis Dezember 2031 verlängert), die Vereinigten Staaten (nur für DPF-zertifizierte Organisationen), Uruguay und die Europäische Patentorganisation (Juli 2025). Mehrere dieser Beschlüsse wurden unter der Richtlinie von 1995 erlassen und bleiben gemäß Artikel 45 Absatz 9 DSGVO in Kraft.
Wurde der Angemessenheitsbeschluss für das Vereinigte Königreich verlängert?
Ja. Der ursprüngliche Angemessenheitsbeschluss für das Vereinigte Königreich enthielt eine vierjährige Verfallsklausel mit Ablauf am 27. Juni 2025. Am 24. Juni 2025 erließ die Kommission eine technische Verlängerung, um den Datenverkehr während des Abschlusses der Verlängerungsbewertung aufrechtzuerhalten. Am 19. Dezember 2025 erneuerte die Kommission sowohl den DSGVO-basierten als auch den auf der LED basierenden Angemessenheitsbeschluss für das Vereinigte Königreich förmlich um weitere sechs Jahre bis zum 27. Dezember 2031, nach Bewertung des britischen Data (Use and Access) Act 2025.
Was war die Überprüfung der Angemessenheitsbeschlüsse im Januar 2024?
Am 15. Januar 2024 veröffentlichte die Kommission ihren Bericht über die erste regelmäßige Überprüfung der elf unter der Datenschutzrichtlinie von 1995 erlassenen Angemessenheitsbeschlüsse (betreffend Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, die Insel Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay). Die Kommission kam zu dem Schluss, dass alle elf weiterhin ein angemessenes Schutzniveau bieten. Der Bericht enthielt länderspezifische Empfehlungen, insbesondere die Aufforderung an Argentinien, seine Gesetzesreform abzuschließen, und an Kanada, seine PIPEDA-Reform voranzutreiben.
Was ist der Brasilien-Angemessenheitsbeschluss der EU?
Am 26. Januar 2026 erließ die Europäische Kommission den Durchführungsbeschluss (EU) 2026/179, mit dem sie den brasilianischen LGPD-Rahmen als angemessenes Datenschutzniveau anerkannte. Brasilien nahm gleichzeitig die ANPD-Resolution 32 an und erkannte damit im Gegenzug die Angemessenheit der EU nach dem LGPD an. Bemerkenswert ist der breite Anwendungsbereich des Beschlusses (er erfasst sowohl den öffentlichen als auch den privaten Sektor) sowie sein wechselseitiger Charakter. Übermittlungen unterliegen Ausnahmen für nationale Verteidigung und Staatssicherheit im Einklang mit dem LGPD.
Was ist der EU-US-Datenschutzrahmen und ist er noch gültig?
Der EU-US-Datenschutzrahmen (DPF), angenommen im Juli 2023, ist ein Angemessenheitsbeschluss, der nur US-Organisationen erfasst, die sich über die International Trade Administration selbst zertifizieren. Er überstand seine erste gerichtliche Anfechtung, als das Europäische Gericht die Rechtssache T-553/23 im September 2025 abwies. Die Entlassung von PCLOB-Mitgliedern durch die Trump-Regierung sowie Fragen zur Unabhängigkeit der FTC haben jedoch Unsicherheit über die langfristige Stabilität des DPF geschaffen. Mehrere europäische Datenschutzbehörden haben empfohlen, Standardvertragsklauseln als Rückfalloption bereitzuhalten.
Was geschieht, wenn ein Angemessenheitsbeschluss widerrufen wird?
Wird ein Angemessenheitsbeschluss für ungültig erklärt oder widerrufen, entfällt die Rechtsgrundlage für Datenübermittlungen unmittelbar. Es gibt keine garantierte Übergangsfrist. Organisationen müssen alternative Übermittlungsmechanismen einführen, vor allem Standardvertragsklauseln, oder die Übermittlungen einstellen. Die Ungültigerklärung von Privacy Shield in der Rechtssache Schrems II im Jahr 2020 betraf mehr als 5.300 zertifizierte US-Unternehmen, die sich als einzigen Übermittlungsmechanismus darauf gestützt hatten.
Was ist der Unterschied zwischen Angemessenheit und Standardvertragsklauseln?
Angemessenheitsbeschlüsse erlauben Datenübermittlungen ohne zusätzliche Formalitäten, da die Kommission den Rechtsrahmen des Ziellands bereits geprüft hat. Standardvertragsklauseln (SCC) sind vertragliche Garantien, die Organisationen selbst einrichten müssen, zusammen mit Transfer-Folgenabschätzungen, wenn sie Daten in Länder ohne Angemessenheit übermitteln. Angemessenheit ist in der Praxis einfacher, aber weniger stabil. Standardvertragsklauseln geben mehr Kontrolle, erfordern jedoch mehr Compliance-Infrastruktur. Mehr dazu in unserem Leitfaden zu Standardvertragsklauseln.
Welche Länder könnten als Nächstes einen EU-Angemessenheitsbeschluss erhalten?
Taiwan, Indien und Kenia werden als mögliche künftige Kandidaten diskutiert. Indiens Digital Personal Data Protection Act von 2023 schuf eine neue Rechtsgrundlage für eine Kandidatur, doch die Bestimmungen zum behördlichen Datenzugriff bleiben eine Hürde. Taiwans starke gesetzliche Angleichung und wirtschaftliche Beziehungen zur EU machen das Land zu einem glaubwürdigen längerfristigen Kandidaten. Länder, die das Übereinkommen 108+ ratifiziert haben, unabhängige Aufsichtsbehörden eingerichtet und umfassende, an die DSGVO angeglichene Rechtsvorschriften erlassen haben, sind am besten positioniert.
Sources and References
- Artikel 45 DSGVO (vollständiger Verordnungstext)(eur-lex.europa.eu).gov
- Europäische Kommission (Überblick über Angemessenheitsbeschlüsse)(commission.europa.eu).gov
- Pressemitteilung der Kommission (Überprüfung von 11 bestehenden Angemessenheitsbeschlüssen, Januar 2024)(ec.europa.eu).gov
- SWD(2024) 3 final (Bericht über die erste Überprüfung von elf Angemessenheitsbeschlüssen)(commission.europa.eu).gov
- Pressemitteilung der Kommission (Erneuerung der Angemessenheitsbeschlüsse für das Vereinigte Königreich, Dezember 2025)(ec.europa.eu).gov
- Stellungnahme 26/2025 des EDSA zu den Angemessenheitsbeschlüssen für das Vereinigte Königreich(edpb.europa.eu).gov
- Durchführungsbeschluss (EU) 2026/179 (Angemessenheit Brasiliens)(eur-lex.europa.eu).gov
- Pressemitteilung der Kommission (wechselseitiger Angemessenheitsbeschluss EU-Brasilien, Januar 2026)(ec.europa.eu).gov
- Durchführungsbeschluss (EU) 2025/1382 (Angemessenheit der Europäischen Patentorganisation)(eur-lex.europa.eu).gov
- COM(2024) 451 final (erste regelmäßige Überprüfung des EU-US-DPF)(commission.europa.eu).gov
- Angemessenheitsreferenzen des EDSA(edpb.europa.eu).gov
- Übereinkommen 108 des Europarats und Protokoll(coe.int).gov
- Teilnehmersuche des EU-US-Datenschutzrahmens(dataprivacyframework.gov).gov
- Angemessenheitsbeschluss 2019/419 (Japan)(eur-lex.europa.eu).gov
- Angemessenheitsbeschluss 2022/254 (Korea)(eur-lex.europa.eu).gov
- Angemessenheitsbeschluss 2021/1772 (Vereinigtes Königreich)(eur-lex.europa.eu).gov
- Angemessenheitsbeschluss 2023/1795 (US-DPF)(eur-lex.europa.eu).gov
- Erste Überprüfung des Japan-Angemessenheitsbeschlusses durch die Kommission, April 2023(commission.europa.eu).gov