In Sachen internationaler Datentransfer hat sich insbesondere im Hinblick auf die USA in den letzten Jahren viel getan. Seitdem der EuGH den früheren Angemessenheitsbeschluss für die USA für ungültig erklärt hat, besteht weitestgehend Rechtsunsicherheit. Mit der Genehmigung neuer Standardvertragsklauseln (engl. Standard Contractual Clauses, kurz: SCC) im Juni 2021 schuf die EU-Kommission für EU-Unternehmen eine rechtliche Grundlage für Datenübermittlungen in die USA (Wir berichten hier.). Durch den Abschluss von SCC haben die Akteure die Möglichkeit, die Einhaltung des europäischen Datenschutzstandards zu vereinbaren. Datenexporteure und -Importeure sind nach den neuen SCC in der Regel zur Durchführung eines sog. Transfer Impact Assessments (kurz: TIA) verpflichtet. Dabei handelt es sich um eine Risikoanalyse, durch die im Vorfeld geprüft werden soll, ob aufgrund der individuell ergriffenen Maßnahmen das EU-Datenschutzniveau auch im Drittland erreicht werden kann.

 

Das Wichtigste in Kürze

  • Beim Transfer Impact Assessment handelt es sich um eine Risikobewertung für Datenübermittlungen in Drittländer ohne Angemessenheitsbeschluss.
  • Die Pflicht zur Durchführung eines TIA ergibt sich aus den Standardvertragsklauseln.
  • Mit Abschluss der SCC und der Durchführung eines TIA sichern die Parteien zu, dass weder Rechtsvorschriften noch Gepflogenheiten des jeweiligen Drittstaats im Widerspruch zu den SCC stehen.
  • Fällt die Risikobewertung negativ aus, sind die Defizite (sofern möglich) zu beheben. Andernfalls ist die Datenübermittlung zu unterlassen.

 

Spezifische Risikobewertung im Rahmen eines Drittlanddatentransfers

Beim Transfer Impact Assessment handelt es sich um eine für den Drittlanddatentransfer spezifische Risikobewertung im Hinblick auf das Datenschutzniveau eines Drittstaates, für den kein Angemessenheitsbeschluss (bspw. die USA, Australien oder Indien) vorliegt. Diese Prüfung umfasst auch die Beurteilung der Rechtslage in dem jeweiligen Drittland.

 

Hohe Praxisrelevanz für EU-US-Datenübermittlungen

Besonders praxisrelevant ist die Durchführung eines TIA im Zusammenhang mit der Übermittlung personenbezogener Daten in die USA. Diese ist spätestens seit dem Schrems II- Urteil des EuGH, indem der EU-US-Angemessenheitsbeschluss für ungültig erklärt wurde, rechtlich äußerst problematisch. Mit einem neuen Angemessenheitsbeschluss ist aber wohl noch in diesem Jahr zu rechnen (Wir berichten hier.). Bis dahin ist eine Datenübermittlung in die USA in der Regel nur aufgrund ausdrücklicher Einwilligung oder der wirksamen Verwendung von Standardvertragsklauseln möglich.

Wenn ein Drittland-Datentransfer auf die neuen Standardvertragsklauseln gestützt werden soll, kommt man um die Durchführung einer Risikoabschätzung nicht herum. Denn mit Abschluss der SCC versichern die Parteien, dass weder Rechtsvorschriften noch rechtliche Gepflogenheiten des jeweiligen Drittlandes den Datenimporteur an der Erfüllung seiner in den Standardvertragsklauseln vereinbarten Pflichten hindern. Diese Risikoabschätzung erfolgt regelmäßig im Wege eines Transfer Impact Assessments.

 

Inhalt des Transfer Impact Assessments

Die Verpflichtung betrifft sowohl den Datenexporteur, der personenbezogene Daten aus der EU in ein Drittland übermittelt, als auch den dort empfangenden Datenimporteur. Der Datenimporteur hat dabei dem Datenexporteur alle relevanten Informationen bereitzustellen, um eine möglichst vollständige Beurteilung zu ermöglichen. Beide Parteien müssen die durchgeführte Analyse dokumentieren. Der Datenimporteur ist ferner verpflichtet, den Datenexporteur unverzüglich über etwaige Änderungen zu informieren, die eine neue Risikobewertung erforderlich machen könnten.

In den Standardvertragsklauseln sind die wesentlichen Kriterien, die für die Risikoabschätzung heranzuziehen sind, aufgeführt.

Gemäß Klausel 14 lit. b) ist neben der Beschreibung des Datentransfers die Bewertungsgrundlage, unter anderem das betreffende Drittland sowie der Zeitraum der Übermittlung zu definieren. Für die Entscheidung, ob eine Datenübermittlung auf Grundlage der SCC möglich ist, muss das TIA ferner neben der Benennung getroffener Sicherheitsmaßnahmen ebenso eine Risikobewertung im Hinblick auf potenzielle behördliche Zugriffsmöglichkeiten sowie eine abschließende Beurteilung des Datentransfers enthalten. Im besten Fall sind die meisten relevanten Informationen bereits im Verarbeitungsverzeichnis beschrieben und dokumentiert und können für die Erstellung des TIA herangezogen werden.

 

Mögliche Vorgehensweise bei der Durchführung einer Risikobewertung

Eine feste Vorgehensweise bei Erstellung dieser Risikobewertung gibt es bisher nicht. Im Wesentlichen lässt sie sich aber in folgende Schritte unterteilen:

1. Beschreibung des geplanten Datentransfers

Zunächst sollten allgemeine Informationen zu der geplanten Übermittlungen festgehalten werden:

  • Detaillierte Angaben zum Datenexporteur und -Importeur
  • Die rechtliche Grundlage für die Datenübermittlung gem. Art. 44 ff. DSGVO, beispielsweise die SCC gem. Art. 46 Abs. 2 lit. c) DSGVO
  • Angaben zum Produkt oder der Dienstleistung, die in Anspruch genommen wird, wie z. B. die verwendete Funktion eines Tools
2. Besondere Umstände der Datenübermittlung

Im nächsten Schritt sind die besonderen Umstände der Übermittlung zu erfassen und zu dokumentieren:

  • Länge der Verarbeitungskette
  • Anzahl der an der Datenübermittlung beteiligten Akteure und der verwendeten Übertragungskanäle
  • Beabsichtigte Datenweiterleitungen (z.B. an Unterauftragnehmer)
  • Art des Empfängers (z. B. Cloud-Anbieter)
  • Detaillierte Angabe des Zwecks der Verarbeitung (Bspw. Durchführung von Videokonferenzen)
  • Auflistung aller Kategorien der vom Transfer erfassten personenbezogenen Daten
  • Festlegung des Formats, in welchem die personenbezogenen Daten übermittelt werden (anonymisiert, pseudonymisiert oder verschlüsselt, einschließlich der Verschlüsselungsart)
  • Angabe des Wirtschaftszweigs, in dem die Übertragung erfolgt (Bspw. Telekommunikation)
  • Speicherort der übermittelten Daten
3. Identifizierung der Rechtslage und rechtlichen Gepflogenheiten im Drittland und Festlegung des Zeitraums der geplanten Übermittlung

Im Anschluss an die Erfassung der besonderen Umstände der Übermittlung sind die relevanten Rechtsvorschriften sowie rechtlichen Gepflogenheiten des Ziellandes zu identifizieren und zu untersuchen. Darunter fallen insbesondere solche Vorschriften oder Gepflogenheiten, die eine Datenoffenlegung gegenüber Behörden vorschreiben oder Behörden Zugang zu diesen Daten gewähren. Im Hinblick auf den Datentransfer in die USA wären insbesondere der US-CLOUD Act sowie der Foreign Intelligence Surveillance Act so wie ggf. die im jeweiligen Bundesstaat geltenden Gesetzte zu nennen. Ferner sollten in diesem Zusammenhang auch die konkreten Behörden und öffentliche Stellen benannt werden, die durch die genannten Vorschriften Zugang zu den Daten erhalten könnten (wie etwa das FBI oder die NSA). Zudem ist es empfehlenswert, festzuhalten, ob Datenimporteure etwaige Anordnungen zur Offenlegung der Daten anfechten würden. Um eine möglichst umfassende Bewertung des Risikos eines solchen Zugriffs auf die Daten zu erhalten, sollte ferner festgehalten werden, ob in der Vergangenheit bereits eine Offenlegung der exportierten Daten durch eine Behörde verlangt wurde. War dies der Fall, sollte weiterhin untersucht und dokumentiert werden, wie oft und welche Kategorie von Daten davon betroffen war. Im Anschluss ist festzuhalten, ob die identifizierten Gesetze und Praktiken den Datenimporteur daran hindern würden, seinen Verpflichtungen zum Datenschutz aus den SCC nachzukommen.

4. Benennung bestehender und geplanter Schutzmaßnahmen

Weiterhin sollten alle relevanten vertraglichen, technischen und organisatorischen Schutzmaßnahmen, die zur Ergänzung der SCC implementiert wurden oder geplant sind, benannt werden. Im Hinblick auf technische Maßnahmen wären beispielsweise die Verschlüsselung, Überwachung oder Protokollierung zu nennen. Als organisatorische Sicherheitsvorkehrungen käme ein Access-Konzept oder eine Datenminimierung in Betracht. Schließlich sollte eine Liste erstellt werden, die sämtliche Zertifikate, Audits sowie Berichte über die vorhandenen oder geplanten Sicherheitsmaßnahmen enthält.

5. Gesamtergebnis

Abschließend sind die aus der Risikobewertung gewonnenen Erkenntnisse anzugeben und näher zu erläutern. In einem Gesamtergebnis ist eine abschließende Aussage darüber zu treffen, ob die Parteien Grund zu der Annahme haben, dass der Datenimporteur aufgrund der Gesetze und Gepflogenheiten im Bestimmungsland daran gehindert sein könnte, seinen Verpflichtungen aus den SCC nachzukommen. Fällt das Ergebnis negativ aus, sind die Defizite (sofern möglich) zu beheben. Andernfalls muss die Datenübermittlung unterbleiben.

Ist es nicht möglich, ein TIA durchzuführen, weil es beispielsweise an erforderlichen Informationen fehlt oder führt dieses zu unklaren Ergebnissen, ist von einem mangelnden Schutzniveau im Drittstaat auszugehen.

Hat der Datenimporteur im Nachhinein Grund zu der Annahmen, dass er die Anforderungen der SCC nicht mehr einhalten kann, müssen zur Gewährleistung einer rechtssicheren Datenübermittlung geeignete Maßnahmen ergriffen werden. Der Europäische Datenschutzausschuss veröffentlichte in diesem Zusammenhang die Empfehlungen 01/2020. Sie dient als Hilfestellung mit praktischen Beispielen für zusätzliche Schutzmaßnahmen.

 

 

Ausblick

Insgesamt ist festzuhalten, dass es mit der Einbindung von Standardvertragsklauseln in einen Auftragsverarbeitungsvertrag alleine nicht getan ist. Mithilfe der entsprechenden Risikoanalyse eines TIA kann festgestellt und rechtssicher dokumentiert werden, ob die zusätzlich ergriffenen technischen und organisatorischen Maßnahmen dazu führen, dass im konkreten Fall auch außerhalb der EU ein gleiches Datenschutzniveau gewährleistet und die Drittlandübermittlung mithin datenschutzkonform ist. Unterbleibt diese Analyse andererseits drohen dem verantwortlichen Unternehmen im schlimmsten Falle empfindliche Bußgelder und andere aufsichtsbehördliche Maßnahmen. Insbesondere Unternehmen, die aufgrund der Zusammenarbeit mit US-Dienstleistern auf den Drittlanddatentransfer angewiesen sind, können die Datenübermittlung durch den Abschluss von Standardvertragsklauseln und positiver Risikoabschätzung bis zur Annahme eines neuen Angemessenheitsbeschlusses folglich grundsätzlich rechtssicher fortsetzten.

 

„>

Kontakt aufnehmen