EU und Japan wollen weltweit größten Raum für sicheren Datenverkehr schaffen

06.08.2018

Künftig sollen Daten zwischen der EU und Japan frei fließen können. Dies geht aus einer Vereinbarung der Europäischen Kommission mit der japanischen Regierung hervor, die am Rande der Unterzeichnung des Freihandelsabkommens JEFTA am 17. Juli 2018 erfolgte. Vertreter beider Seiten verständigten sich darüber, das Datenschutzniveau der jeweils anderen Seite als „gleichwertig“ anzusehen.

Hintergrund ist das europäische Datenschutzrecht, wonach personenbezogene Daten gemäß der seit Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) nur unter strengen Voraussetzungen in Drittstaaten außerhalb der EU übermittelt werden dürfen. Die mit Japan getroffene Vereinbarung dient insofern der Vorbereitung eines sog. Angemessenheitsbeschlusses, der die reibungslose Datenübermittlung ohne weitere Einschränkungen ermöglicht. Nach der DSGVO legt die Kommission durch einen solchen Beschluss fest, dass in einem Drittstaat ein angemessenes Datenschutzniveau gewährleistet ist.

Die Vereinbarung wurde gemeinsam mit dem JEFTA-Abkommen verhandelt, ohne ein formaler Bestandteil des Abkommens zu sein. Sie stellt eine sinnvolle Ergänzung dar, da durch die Öffnung der Telekommunikations- und e-Commerce-Märkte im Rahmen von JEFTA eine erhebliche Zunahme des Datenverkehrs in Aussicht steht. Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, erklärte, hierdurch würden „Daten – der Treibstoff, der die Weltwirtschaft befeuert – zum Nutzen unserer Bürgerinnen und Bürger und unserer Volkswirtschaften sicher zwischen Japan und der EU fließen können.“

Um den strengen Vorgaben der DSGVO zu genügen, hat die japanische Regierung nach Angaben der Kommission zugesagt, zusätzliche rechtsverbindliche Maßnahmen zum Schutz der personenbezogenen Daten von Bürgerinnen und Bürgern aus der EU zu ergreifen. Dazu gehörten gesetzliche Garantien für Einzelpersonen, deren Daten nach Japan übermittelt würden. Hierdurch solle unter anderem festgelegt werden, unter welchen Bedingungen ihre Daten aus Japan in einen weiteren Drittstaat weitergeleitet werden dürften. Zudem werde ein Beschwerdemechanismus einrichtet, mittels dessen sich Unionsbürgerinnen und –bürger gegen den Zugriff japanischer Behörden auf ihre Daten wenden können.

Die Kommission will den Angemessenheitsbeschluss im Herbst nach Unterrichtung des Europäischen Parlaments annehmen. Zuvor nimmt der Europäische Datenschutzausschuss Stellung. Im Einklang mit der DSGVO wird die Kommission die Einhaltung des erforderlichen Datenschutzniveaus in Japan weiterhin regelmäßig prüfen.

Die Kommission hat in der Vergangenheit bereits wiederholt Angemessenheitsbeschlüsse erlassen. Auf der gleichwohl überschaubaren Liste von Ländern finden sich etwa Israel, Neuseeland und die Schweiz. Hinsichtlich der USA besteht lediglich eine abgestufte Regelung; personenbezogene Daten dürfen nur an diejenigen US-Unternehmen ohne Einschränkungen übermittelt werden, die nach dem „EU-US Privacy Shield“ zertifiziert sind. Hierbei handelt es sich um die Nachfolgerregelung des kontroversen „Safe Harbor“-Abkommens, das der Europäische Gerichtshof im Jahr 2015 kippte. Inzwischen steht auch das neue Regelwerk in der Kritik. In einer nicht rechtsverbindlichen Entschließung des Ausschusses für bürgerliche Freiheiten des Europäischen Parlaments forderten die EU-Abgeordneten gar, den „Privacy Shield“ auszusetzen, sollte die Regierung in Washington nicht bis zum 1. September 2018 adäquate Datenschutzgarantien einführen.

Ein umfassendes Abkommen über den künftigen gemeinsamen Datenverkehr mit der EU strebt ferner die britische Regierung an, da das Vereinigte Königreich nach seinem Austritt aus der EU andernfalls auch in datenschutzrechtlicher Sicht zum Drittstaat würde. Allerdings ist gegenwärtig unklar, ob ein solches Abkommen oder ein Angemessenheitsbeschluss rechtzeitig zustande kommen. Daher empfiehlt es sich für betroffene Unternehmen, bereits vorsorglich die anderen in der DSGVO vorgesehenen Instrumente in Erwägung zu ziehen, um auch nach dem „Brexit“ personenbezogene Daten in das Vereinigte Königreich übermitteln zu können.

Pressemitteilung der Kommission

Haben Sie Fragen? Kontaktieren Sie gerne: Pascal Schumacher
Practice Groups: Datenschutz, Telekommunikation und Kartellrecht