Datenschutz Verstehen – So funktioniert das Transfer Impact Assessment.
Kurze Einleitung: Das Transfer Impact Assessment oder kurz TIA ist in der Welt des Datenschutzes relativ neu und ein Ergebnis der aktuellen Entwicklung im Bereich der internationalen Übermittlung von personenbezogenen Daten in Drittländer. Denn spätestens mit dem Schrems II-Urteil des EuGHs sah sich die Europäische Kommission dazu angehalten, die Standarddatenschutzklauseln (SCC) zu überarbeiten und an die Anforderungen der DSGVO anzupassen. Hierzu gehörte auch, dass nach Klausel 14 der neuen SCC zukünftig eine Beurteilung der Übermittlung in ein Drittland vorgenommen werden muss. Wie das ganze funktioniert und worauf Sie bei der Beurteilung achten müssen, erfahren Sie im kommenden Beitrag.
Was ist ein Transfer Impact Assessment?
Das Transfer Impact Assessment ist zunächst als eine weitere Form der Risikobewertung für Datenübermittlungen in unsichere Drittländer anzusehen. Die Pflicht zur Durchführung eines Transfer Impact Assessments ergibt sich unmittelbar aus den Standarddatenschutzklauseln. Bei dieser Risikobeurteilung handelt es sich nicht um eine Ergänzung von Risikobewertungen für Verarbeitungstätigkeiten oder gar Datenschutz-Folgenabschätzungen, sondern vielmehr um eine eigenständige Analyse des Sicherheitsniveaus des jeweiligen Drittlandes, in welches Daten übermittelt werden sollen. Bei dieser Analyse wird zwischen zwei Rollen unterschieden: Der Datenexporteur und der Datenimporteur. Der Datenexporteur ist der Verantwortliche i.S.d. Art. 4 Abs. 7 DSGVO, welcher personenbezogene Daten in das Drittland überführt, zum Beispiel beim Einsatz von Softwarediensten, welche im Drittland gehostet werden. Der Datenimporteur ist i.d.R. ein Auftragsverarbeiter wie zum Beispiel ein Softwareanbieter, welcher europäischen Verantwortlichen seine Lösungen zur Verfügung stellt.
Standarddatenschutzklauseln und Transfer Impact Assessment
Die Standarddatenschutzklauseln bieten für die Erstellung eines Musters erste Anhaltspunkte, worauf bei der Durchführung eines Transfer Impact Assessment geachtet werden muss. So heißt es grundsätzlich nach Klausel 14 lit. a) der neuen SCC:
„Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.“
Darauffolgend verpflichten sich der Datenexporteur und -importeur nach Klausel 14 lit. b) die unter i) – iii) genannten Aspekte zu berücksichtigen und zu bewerten, ob die nach Klausel 14 lit. a) getätigte Zusicherung auch eingehalten werden kann. Folgende Aspekte werden dabei durch die SCC vorgegeben:
Nach i):
besonderen Umstände der Übermittlung, […] Länge der Verarbeitungskette, Anzahl […] Akteure […] verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, Art des Empfängers, Zweck der Verarbeitung, Kategorien und Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
Nach ii):
[…] relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
Nach iii):
alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien […] eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
Zusätzlich kommt auf die Parteien nach Klausel 14 lit. d) eine Dokumentationspflicht zu, die in Form eines sog. Transfer Impact Assessment erfüllt werden muss. Andernfalls liegt ein Datenschutzverstoß vor, der je nach Risiko der Übermittlung für die Rechte und Freiheiten natürlicher Personen zu einem empfindlichen Bußgeld führen kann. Es bestehen demnach gute Gründe, weshalb ein solches TIA durchgeführt werden sollte.
Vorgehensweise bei einem TIA
Folgerichtig ergibt sich daraus die Frage, wie man ein solches TIA überhaupt durchführt. Klare Vorgaben oder Leitlinien von offizieller Seite bestehen bisher nicht. In der Praxis lassen sich jedoch aus den beschriebenen Aspekten gem. Klausel 14 lit. b) Nr. i) – iii) der SCC und der vorherrschenden Rechtslage im Zusammenhang mit Drittlandtransfers von personenbezogenen Daten, Kriterien ableiten, die zu berücksichtigen sind. Folgende Themen sollten Sie demnach beachten:
Beschreibung der Übermittlung
Zuerst sollten die allgemeinen Informationen für die Übermittlung aufgelistet und beschrieben werden. Besondere Bedeutung haben dabei die unter Klausel 14 lit. b) Nr. i) aufgeführten Aspekte, die entsprechend im ersten Schritt beantwortet werden sollten. Zudem können weitere wichtige Aspekte, wie relevante technische und organisatorische Maßnahmen einbezogen werden.
Bewertungsgrundlage
Des Weiteren sind Parameter festzulegen, die für die Bewertung herangezogen wurden. Nach Klausel 14 lit. b) Nr. ii) sind dabei die Rechtslage und rechtlichen Gepflogenheiten im Drittland zu identifizieren. Zusätzlich sollten Sie in diesem Zusammenhang das betreffende Drittland, das Startdatum der Übermittlung, den Beurteilungszeitraum usw. aufgeführt werden.
Bestehende Sicherheitsmaßnahmen
Im weiteren Verlauf des TIA sind zudem die bestehenden Sicherheitsmaßnahmen zu klassifizieren. Es ist insbesondere das Bestehen der zusätzlichen Maßnahmen zu berücksichtigen, die der EDSA im Juli 2021 als Reaktion auf das Schrems II-Urteil veröffentlicht hat. Wesentlich ist auch, auf welcher Rechtsgrundlage die Übermittlung erfolgt.
Risikobewertung eines behördlichen Zugriffs
Im letzten Schritt gilt es, die Rechtslage im Drittland hinsichtlich der Eintrittswahrscheinlichkeit eines behördlichen Zugriffs zu beurteilen. Im Falle der USA wäre demnach z. B. zu berücksichtigen, ob der Datenimporteur ein Anbieter eines elektronischen Kommunikationsdienstes ist und ob er Zugriff auf die personenbezogenen Daten im Klartext erhalten kann.
Abschließende Beurteilung der Datenübermittlung
Für die Erzielung eines Ergebnisses gibt es unterschiedliche Ansätze. All diese Ansätze sollte jedoch gemein haben, dass die abschließende Beurteilung nachvollziehbar zu begründen ist. Demnach können Scoring-Modelle, eine Risikomatrix oder eine Stellungnahme hilfreiche Mittel sein. Abschließend gibt es ohne offizielle Leitfäden und Muster jedoch keine feste Vorgehensweise für die Erstellung eines Transfer Impact Assessments. Fest steht bisher nur, dass wer die neuen Standarddatenschutzklauseln abschließt, auch eine solche Beurteilung durchführen muss. Spätestens mit Ablauf der Übergangsfrist bzw. dem Auslaufen der alten SCC wird dieses Thema weiter in den Fokus rücken und für Unternehmen, die personenbezogene Daten außerhalb des EWR (Europäischer Wirtschaftsraum) verarbeiten, wichtig werden. Hiervon werden somit zukünftig besonders SaaS-Unternehmen betroffen sein, die in der Regel als Auftragsverarbeiter tätig werden.
Gerne unterstützen unsere zertifizierten Branchenexperten Sie bei der Erstellung der Transfer Impact Assessments im Rahmen des Abschlusses von Standarddatenschutzklauseln. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.