Der Countdown läuft!
Ob personenbezogene Daten weiterhin auf der Grundlage des EU-Standardvertrages (Standard Contractual Clauses, SCC) in die USA, Indien, China oder andere unsichere Drittländer übermittelt werden dürfen, hängt nach dem Schrems II-Urteil des EuGH und Klausel 14 der SCC von dem Ergebnis einer zusätzlichen Risikoprüfung, dem sog. Transfer Impact Assessment (TIA), ab. Hierbei werden die Umstände der Übermittlung, die ergriffenen zusätzlichen Maßnahmen und das Risiko für die Betroffenen geprüft und bewertet. Die ergänzenden Maßnahmen müssen zusammen mit den SCC ein angemessenes Schutzniveau nach Art. 44 ff. DSGVO sicherstellen, andernfalls ist der Datentransfer rechtswidrig und muss unterbleiben. Sowohl der Abschluss der neuen SCC wie auch die Durchführung des TIA müssen bis zum 27.12.2022 umgesetzt werden, der Countdown läuft also.
Immer mehr Standardanwendungen und IT-Systeme werden aus der Cloud bezogen. Soziale Netzwerke führen zur erdumspannenden Verknüpfung von Nutzern und Organisationen. Globalisierung, Digitalisierung und internationale Konzernstrukturen verursachen in immer größerem Maße einen globalen Datenaustausch. Die explodierenden weltweiten Datenströme sind ein großes Risiko für den Datenschutz und Persönlichkeitsschutz, weil Ermittlungsbehörden und Geheimdienste in die Datentransfers ungehemmt eingreifen.
Mit der wegweisenden EuGH-Entscheidung Schrems II fordert der EuGH deshalb eine spezielle Risikoanalyse, die auch Datentransferfolgenabschätzung oder Transfer Impact Assessment (TIA) genannt wird und in Klausel 14 der neuen SCC umgesetzt wurde.
Welche Rolle spielt der neue EU-Standardvertrag (SCC) ?
Die europäische Kommission hat am 04.06.2021 die neuen EU-Standard-Datenschutzklauseln (SCC) beschlossen. Die alten SCC können seit dem 27.09.2021 nicht mehr verwendet werden, sodass künftig für den Datentransfer in unsichere Drittländer die neuen SCC abgeschlossen werden müssen. Die bereits abgeschlossenen alten SCC sind noch bis zum 27.12.2022 wirksam, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben. Daraus folgt, dass die abgeschlossenen, alten SCC bis spätestens zu diesem Datum durch die neuen SCC ersetzt werden müssen.
Hinzukommt, dass ein bloßer Austausch der SCC nicht ausreichend ist. Vor Abschluss der neuen SCC und vor dem Transfer personenbezogener Daten in unsichere Drittländer muss gemäß Klausel 14 der SCC ein sogenanntes Transfer Impact Assessment (TIA), also eine Datentransferfolgenabschätzung durchgeführt werden, um die Rechtslage im Drittland und die notwendigen Zusatzmaßnahmen (z.B. Zusatzvereinbarung, Verschlüsselung, Kontrolle der Supportzugriffe usw.) zu ermitteln. Ein TIA aber ist in den Datenschutzkonzepten vieler Unternehmen und Behörden bisher nicht vorgesehen und umgesetzt.
Was ist ein Transfer Impact Assessment (TIA) ?
Die Notwendigkeit eines TIA – man spricht auch von „Datentransferfolgenabschätzung“, Prüfung des „Datenschutzniveaus im Drittland“ oder schlicht von einer „Risikoanalyse“ – kommt also von der europäischen Ebene, insbesondere der EuGH-Entscheidung Schrems II, aber auch vom EDPB (European Data Protection Board = EDSA, Europäischer Datenschutzausschuss), der für das TIA wichtige Leitlinien erlassen hat. Das EDPB ist das Datenschutzgremium der EU, das die Datenschutz-Vorgaben in der EU koordiniert. Dort sind die Datenschutzbehörden der EU-Mitgliedstaaten, also auch z.B. aus Deutschland oder Frankreich vertreten.
In den verlinkten Leitlinien des EDPB finden sich auf Seite 3 eine „Executive summary“ mit sechs „Steps“. Diese sechs Schritte werden dann im Hauptteil des Dokuments im Detail erläutert. Wichtig auch noch „Annex 2“ mit den möglichen Zusatzmaßnahmen.
Was machen die deutschen Datenschutzbehörden ?
Die Datenschutzbehörden der meisten Bundesländer in Deutschland haben ebenfalls verschiedene Vorgaben undLeitlinien für das TIA erlassen und in einer gemeinsamen Aktion bekannt gegeben, dass sie die Umsetzung der Anforderungen aus der Schrems II-Entscheidung, insbesondere die notwendige Risikoanalyse, in Zukunft verstärkt überprüfen werden. Zu diesem Zweck wurden verschiedene Fragebögen veröffentlicht und an einen ausgewählten Kreis von Unternehmen versendet, die eine Vielzahl von Fragen und Prüfungspunkten enthalten, mit denen die Anforderungen eines TIA überprüft werden.
Wie wird das TIA umgesetzt ?
Vorab müssen die Prozesse und Dienstleistungsverträge, bei denen die alten SCC abgeschlossen wurden, in einer Bestandsaufnahme gelistet werden und die entsprechenden Vertragspartner und Dienstleister aufgefordert werden, die neuen SCC abzuschließen. Da regelmäßig davon auszugehen ist, dass bislang nicht alle Prozesse mit internationalen Datentransfers erfasst wurden, sollte die Gelegenheit genutzt werden, eine vollständige Auflistung der internationalen Transfers in unsichere Drittländer zu erstellen, um eine vollständige Abdeckung mit den neuen SCC zu gewährleisten.
Nach diesen Vorarbeiten erfolgt dann das eigentliche Transfer Impact Assessment. Wie bereits ausgeführt ist das TIA eine Risikoanalyse bezüglich der Übermittlung personenbezogener Daten in unsichere Drittländer wie z.B. die USA, China oder Indien. Maßgebliche Kriterien für die notwendige Risikobewertung sind insbesondere:
– Gesetze, Rechtslage im Drittland: Welche Datenschutzgesetze gelten am Speicherort im Drittland ? Beschränken diese oder andere Gesetze den Zugriff der Ermittlungsbehörden/ Nachrichtendienste auf Personendaten ? Welche Grund- und Abwehrrechte haben die betroffenen Personen nach diesen Gesetzen?
– Art und Umfang der Daten: Wie sensibel sind die Daten ? Werden die Daten einmalig oder kontinuierlich übermittelt ? In und über welche Länder außerhalb der Europäischen Union werden die personenbezogenen Daten übermittelt und verarbeitet ?
– Speicherort und Supportzugriff: Wo stehen die Server, auf denen die personenbezogenen Daten gehostet werden und aus welchen Ländern erfolgen Supportzugriffe ?
– Zusatzvereinbarung: Welche zusätzlichen Verpflichtungen zu technischen oder organisatorischen Schutzmaßnahmen, zur Information über Behördenersuchen oder zur Einlegung von Rechtsmitteln akzeptiert der Datenempfänger im Drittland ?
– technische Zusatzmaßnahmen: Welche Maßnahmen wie z.B. Verschlüsselung, Bring Your Own Key, welche den unberechtigten Zugriff von Behörden zuverlässig verhindern können, werden ergriffen ? Werden die personenbezogenen Daten verschlüsselt gespeichert und übertragen? Ist die Schlüsselverwaltung unabhängig vom Datenhoster/Plattformbetreiber ?
In einer anschließenden Dokumentation werden die so erhobenen Risikokriterien beurteilt und gewichtet. Sodann wird festgestellt, welche Risiken für die Betroffenen bestehen und ob die ergriffenen Abhilfemaßnahmen diese Risiken in ausreichendem Maße reduzieren können.
Und immer den Überblick behalten……
Einen Überblick zum Thema Schrems II und den Anforderungen an die Umsetzung eines wirksamen TIA gibt die folgende schematische Übersicht:
Haben Sie Interesse an den rechtlichen Details oder weitere Fragen zum Thema TIA ? Unser Spezialist RA Horst Speichert, Geschäftsführer der esb data GmbH, erläutert Ihnen gerne die notwendigen Maßnahmen im Rahmen der Bestandsaufnahme und Risikobetrachtung persönlich. Auch wenn RA Horst Speichert Sie mit einer Gap-Analyse unterstützen kann, nehmen Sie einfach Kontakt mit uns auf: horst.speichert@esb-data.de
Der Datenschutz-Podcast mit Horst Speichert und Simone Seidel – YouTube