Transfer Impact Assessment (TIA) – praktische Durchführung vorgeschriebener Risikoabschätzung

Die Übermittlung personenbezogener Daten in Drittstaaten wie die USA begegnet derzeit weiterhin besonderen datenschutzrechtlichen Herausforderungen. Insbesondere beim Einsatz von US-Dienstleistern ist Vorsicht geboten. Das „Schrems II“-Urteil des Europäischen Gerichtshofes im Juli 2020 führte zu mehr als nur dem Kippen des sog. EU-US Privacy Shields, auf das viele Datenübermittlungen bis dahin gestützt worden konnten. Die Europäische Kommission hat – auch als Reaktion auf die Entscheidung des EuGH – in ihrem Beschluss 2021/914/EU neue sog. Standardvertragsklauseln (SCC) formuliert. Diese Standardvertragsklauseln können – zusammen mit weiteren technischen und organisatorischen Maßnahmen – die Übermittlung von personenbezogenen Daten in Drittstaaten gegebenenfalls absichern. Als eine zentrale Pflicht sehen die neuen SCC die Durchführung eines sog. Transfer Impact Assessment (TIA) vor.

Risikomanagement und TOM

Wenn Sie mehr zu den neuen SCC erfahren möchten, finden Sie in diesem Blogbeitrag weitergehende Ausführungen.

Rechtliche Grundlagen

Die rechtlichen Voraussetzungen für Drittlandübermittlungen von personenbezogenen Daten finden sich in Art. 44 ff. DSGVO. Übermittlung meint dabei jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation. Unter Offenlegung kann insbesondere die physische Übermittlung, aber auch bereits das Zugänglichmachen der Daten zugunsten Dritter verstanden werden. Für letzteres reicht dann beispielsweise der Zugriff auf einen Server aus. Falls kein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, können personenbezogene Daten an ein Drittland übermittelt werden, sofern der Verantwortliche oder Auftragsverarbeiter:innen geeignete Garantien vorgesehen haben und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Die SCC gem. Art. 46 Abs. 2 lit. c DSGVO stellen unter anderem eine solche geeignete Garantie dar. Durch wirksame Implementierung der SCC zwischen den Beteiligten beim internationalen Datentransfer wird sichergestellt, dass das für Daten innerhalb der Europäischen Union geltende Schutzniveau nicht unterlaufen wird. Weitere andere geeignete Garantien finden sich in Art. 46 DSGVO. Wenige Ausnahmen, die eine Übermittlung auch ohne Angemessenheitsbeschluss oder geeignete Garantien erlauben, sind in Art. 49 DSGVO normiert.

Das TIA

Die Durchführung eines TIA ist in Klausel 14 der neuen SCC vorgeschrieben. Klausel 14 regelt den Umgang mit lokalen, im Drittstaat geltenden, Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der datenschutzrechtlichen Pflichten auswirken. Die Parteien sichern zu, die Pflichten aus den SCC erfüllen zu können (vgl. Klausel 14.1 der SCC). Die SCC können jedoch nicht eingehalten werden, wenn die Rechtsvorschriften und Gepflogenheiten die Grundrechte der europäischen Grundrechte-Charta und Grundfreiheiten der europäischen Verträge missachten und über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Art. 23 Abs. 1 DSGVO aufgeführten Ziele sicherzustellen. Im Kern geht es in erster Linie darum zu prüfen, ob im Drittstaat angemessene Verfahrensgrundsätze bestehen, die den behördlichen Zugriff auf die Daten regeln. Um feststellen zu können, ob die Parteien einen Grund zur Annahme haben, dass Datenimporteur:innen geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland unterliegen, die mit den übrigen SCC nicht vereinbar sind, wird eine Art Risikoüberprüfung des Datenschutzniveaus für die konkret zu übertragenden Daten in ein Drittland vorgenommen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Adressaten der Pflicht

Die Pflicht ein TIA durchzuführen, trifft grundsätzlich beide an der Übermittlung beteiligten Parteien. Wer an einer Übermittlung beteiligte Akteur:innen sein können, beantworten die SCC. Die sich aus den SCC ergebenden vier Module decken die Konstellationen ab, dass Verantwortliche oder Auftragsverarbeiter:innen jeweils mit Sitz in der EU Daten an Verantwortliche oder Auftragsverarbeiter:innen mit Sitz in einem Drittland übermitteln. Als Unternehmen ist man im Sinne der DSGVO Verantwortlicher, wenn man allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Unternehmen gelten als Auftragsverarbeiter:innen, wenn sie personenbezogene Daten im Auftrag des oder der Verantwortlichen verarbeiten. Darüber hinaus sind die Begrifflichkeiten der Datenexporteur:in und der Datenimporteur:in von Bedeutung. In Klausel 1 lit. b der SCC finden sich Legaldefinitionen zu diesen Begriffen. Datenexporteur:in ist demnach jede in Klausel 1 lit. b, Ziffer i der SCC aufgeführte Einrichtung, die die personenbezogenen Daten übermittelt. Datenimporteur:in ist jede aufgeführte Einrichtung in einem Drittland, die die personenbezogenen Daten direkt oder indirekt von einer Partei der SCC erhält. Ein TIA muss grundsätzlich bei allen vier Modulen durchgeführt werden. In der Konstellation, dass ein Auftragsverarbeitender mit Sitz in der EU an einen Verantwortlichen mit Sitz im Drittland übermitteln möchte, gilt dies jedoch nur, „wenn der in der EU ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden“.

Praktische Durchführung des TIA

Die Aspekte, die bei einem TIA berücksichtigt werden müssen, finden sich in nicht abschließender Auflistung in Klausel 14 lit. b der SCC. Demnach sichern die Parteien zu, dass keine Rechtsvorschriften oder Gepflogenheiten im jeweiligen Drittland im Widerspruch zu den SCC stehen und dass insbesondere die folgenden Aspekte gebührend berücksichtigt wurden:

i) „die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.“

Für die genauere Betrachtung, worauf es bei den einzelnen Aspekten ankommt, können und sollten die Empfehlungen des European Data Protection Board (EDPB) 1/2020 herangezogen werden. Ein TIA kann beispielsweise in Form eines Fragebogens, der alle relevanten Aspekte abfragt, durchgeführt werden. Zu dessen Beantwortung schreibt Klausel 14 lit. c der SCC vor, dass der/die Datenimporteur:in sich nach besten Kräften bemüht, dem/der Datenexporteur:in sachdienliche Informationen zur Verfügung zu stellen. Es ist zudem dringend zu empfehlen, dass Datenexporteur:innen und -importeur:innen zusammenarbeiten, um das TIA durchzuführen. Für den Aufbau eines TIA gibt es unterschiedliche Herangehensweisen. In strukturierter Form sollten die einzelnen Aspekte des TIA abgefragt werden. Dafür bietet sich folgender Aufbau an.

In einem allgemeinen Teil sollte die Datenverarbeitung beschrieben werden. Im Anschluss sollten die besonderen Umstände der Übermittlung dargestellt werden. Danach bietet es sich an die relevanten Rechtsvorschriften und Gepflogenheiten im Drittland abzufragen. Außerdem sollten die zusätzlichen Garantien und schließlich die Schlussfolgerungen abgedeckt werden.

Allgemeiner Teil

  • Die genaue Benennung der Datenexporteur:innen und -importeur:innen

Zunächst müssen detaillierte Angaben zu den Akteur:innen gemacht werden. Dazu zählen zum Beispiel die Firmierung und Rechtsform sowie die Differenzierung, ob Akteur:innen als Auftragsdatenverarbeiter:in oder Verantwortlicher auftreten.

  • Grundlage für den Datentransfer nach Art. 44 ff. DSGVO

Weiterhin sollten die rechtlichen Voraussetzungen für die Datenübermittlung gem. Art. 44 ff. DSGVO angegeben werden. Das können die SCC nach dem Beschluss 2021/914 sein. Soweit die SCC rechtliche Grundlage für die Übermittlung sind, sollte auch das jeweilige einschlägige Modul angegeben werden. Das TIA gehört als Dokumentation zu einem bestimmten abgeschlossenen Modul.

  • Leistungsumfang

Es sollte z.B. das Produkt oder die Dienstleistung angegeben werden. Das könnten auch verwendete Funktionen eines Tools sein. Damit soll der Grund der Datenübermittlung umschrieben werden.

  • Neubewertung

Das TIA sollte regelmäßig, nach einem angemessenen Zeitraum, überprüft werden. Sinnvoll erscheint eine zumindest jährliche Überprüfung. Eine unverzügliche Wiederbewertung muss erfolgen, wenn Datenimporteur:innen Grund zur Annahme haben, dass für sie Rechtsvorschriften oder Gepflogenheiten gelten, die im Widerspruch zu den SCC stehen oder wenn sich die Aspekte, welche die Grundlage der Bewertung bildeten, ändern. Dann besteht akuter Handlungsbedarf, um sicherzustellen, dass das Ergebnis des TIA den aktuellen Zustand wiedergibt.


Mehr zum Thema

Internationaler Datentransfer: Anforderungen und Entwicklungen
Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil


Die besonderen Umstände der Übermittlung (Klausel 14 lit. b Ziffer i der SCC)

  • Art der Datenübertragung

Zur Betrachtung der Datenübertragung gehört zum einen die Bestimmung der Art des Empfängers. Hier müsste die datenempfangende Einheit also z.B. eine Marketingagentur, ein Cloud-Anbieter, eine IT-Agentur oder ein Online-Shop genannt werden. Zum anderen sollte auch der Wirtschaftszweig, in dem die Übertragung erfolgt, also z.B. der Finanzsektor oder der Telekommunikationszweig, angegeben werden. Schließlich sollte der Zweck der Verarbeitung möglichst detailliert angegeben werden. Dieser könnte beispielhaft in der Planung und Durchführung von E-Mail-Newsletter-Kampagnen bestehen oder in der Durchführung von Videokonferenzen mit Screensharing-Aufzeichnungsfunktionen. Die konkreten Zwecke sollten so genau wie möglich angegeben werden und mit konkreten Beispielen untermauert sein.

  • Kategorien und Format der personenbezogenen Daten

Es ist sinnvoll, alle Kategorien der von der Übermittlung betroffenen personenbezogenen Daten in einer Liste festzuhalten. Dabei sollten einerseits die Arten der betroffenen Personen, also z.B. Mitarbeiter, Kunden oder Dritte qualifiziert werden. Andererseits sollten die Arten der übermittelten Daten festgehalten werden, also zum Beispiel E-Mail-Adressen, IP-Adressen, Namen oder sonstige Daten sein. Ebenso sollte für die Bewertung festgelegt werden, in welchem Format die personenbezogenen Daten übermittelt werden und ob dies anonymisiert oder pseudonymisiert oder verschlüsselt geschieht (einschließlich der Art der Verschlüsselung). Soweit sensible Daten, z.B. Gesundheitsdaten oder Daten, aus denen die rassische oder ethische Herkunft hervorgeht, transferiert werden sollen, sollten sie als solche bezeichnet werden.

  • Übertragungskanäle, Verarbeitungskette und Speicherort

Das TIA sollte außerdem die Übertragungskanäle, die im Rahmen der Datenübermittlung genutzt werden, beschreiben. Darunter fällt zum Beispiel die Art der Verschlüsselung aller Daten während der Übertragung. Für die Darstellung von Dienstleister:innenketten ist es sinnvoll eine Liste aller beteiligten Akteur:innen und Parteien ins TIA aufzunehmen. Davon umfasst werden sollten dann auch Absichten von Datenimporteur:innen die Daten an Unterauftragsverarbeiter:innen oder ähnliche nachgelagerte Empfänger weiterzuleiten. Zu berücksichtigen ist ebenfalls die Frage nach dem Speicherort. Dabei geht es regelmäßig darum, ob die Daten in einem Rechenzentrum außerhalb der EU oder des Europäischen Wirtschaftsraumes (EWR) gespeichert werden. Sollte außerhalb der EU oder des EWR gespeichert werden, ist es angebracht die Länder, in denen die Daten gespeichert werden, zu nennen. Es sollte genau differenziert werden, ob von einem Drittland aus nur auf die, in der EU bzw. dem EWR, gespeicherten Daten zugegriffen werden, oder ob Datenimporteur:innen die Daten in dem Drittland verarbeiten. Kommt es zu einem bloßen Zugriff, sollte das technische Mittel dafür im TIA angegeben werden.

Die relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (Klausel 14 lit. b Ziffer ii der SCC)

Es müssen die Gesetze und Gepflogenheiten untersucht werden, denen Datenimporteur:innen unterliegen und die auf die spezifische Art der übermittelten personenbezogenen Daten anwendbar sind. Dafür ist es sinnvoll, eine Liste zu erstellen, die alle Gesetze und Praktiken enthält, die relevant sein könnten. In dieser Liste sollten dann auch solche Gesetze und Gepflogenheiten aufgenommen werden, die die Offenlegung von oder den Zugang zu Daten gegenüber Behörden erfordern könnten. Beispielhaft wäre in Bezug auf die USA der US CLOUD Act oder der Foreign Intelligence Surveillance Act zu nennen. In diesem Zusammenhang sollten auch die konkreten Regierungsstellen und öffentlichen Behörden genannt werden, denen durch die Vorschriften der Zugang gewährt würde (in den USA also z.B. FBI, NSA). Für eine umfassende Betrachtung ist es empfehlenswert, ebenfalls festzuhalten, ob Datenimporteur:innen Anordnungen zur Offenlegung oder ein Zugangsersuchen einer öffentlichen Behörde anfechten würden. Um das Risiko hinsichtlich des Zugriffs oder der Offenlegung der Daten besser einschätzen zu können, ist es ebenfalls von Bedeutung, ob bereits in der Vergangenheit eine Offenlegung oder ein Zugang durch eine Behörde verlangt wurde. Wenn dies der Fall war, sollte genau betrachtet werden, wie oft und welche Datenkategorien abgefragt wurden. Abschließend ist wesentliche Schlüsselfrage, ob die genannten Gesetze und Praktiken den Datenimporteur daran hindern würden, seine Verpflichtungen aus den SCC zu erfüllen.

Zusätzliche Garantien (Klausel 14 lit. b Ziffer iii der SCC)

Es sollten alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der SCC eingerichtet wurden, einschließlich der Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden, benannt werden. Das meint alle implementierten oder geplanten vertraglichen Schutzmaßnahmen. Hinsichtlich technischer Maßnahmen wären die Verschlüsselung, Überwachung oder Protokollierung zu nennen, sowie die genaue Art und Phase der jeweiligen Maßnahmen zu skizzieren. Die organisatorischen Sicherheitsvorkehrungen könnten ein Site-Acces-Konzept oder die Datenminimierung darstellen. Bestenfalls werden sie im TIA aufgelistet und mit einer Beschreibung versehen. Schließlich sollte eine Liste mit allen Zertifikaten, Audits und Berichten über Sicherheitsmaßnahmen angefertigt werden, die im TIA ausgefüllt wird.

Schlussfolgerungen

Schließlich müssen die Schlussfolgerungen, die aus der „Transfer-Risiko-Abschätzung“ resultieren, angegeben und näher erläutert werden. Am übersichtlichsten ist es, wenn die Bewertung nach jedem Teil des TIA erfolgt und am Ende ein Gesamtergebnis gefasst wird. Dieses Gesamtergebnis sollte dann eine Aussage darüber treffen, ob die Parteien einen Grund zur Annahme haben, dass die Gesetze und Gepflogenheiten im Bestimmungsdrittland, den/die Datenimporteur:in daran hindern, seine/ihre Verpflichtungen aus den SCC zu erfüllen, oder nicht. Sollten Datenimporteur:innen Grund zur Annahme haben, dass sie den ihnen auferlegten Verpflichtungen aus den SCC nicht mehr nachkommen können, müssen geeignete Garantien, z.B. technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit, ergriffen und angenommen werden, um die Übermittlung in einem gesicherten Rahmen zu gewährleisten. Fällt das Ergebnis negativ aus, sind die Defizite, die zu dieser Einschätzung führen zu beheben oder Datentransfer einzustellen.

Fazit

Datenexporteur:innen und Datenimporteur:innen sollten das TIA gemeinsam durchführen und dokumentieren. Soweit gesetzlich vorgesehen, bietet es sich an, ggf. parallel eine Datenschutz-Folgenabschätzung durchzuführen. Beim TIA kommt es stets auf eine individuelle Betrachtung der konkreten zu verarbeiteten Daten und den damit verbundenen Risiken für die betroffenen Personen an. Standardisierte Prozesse können für gleichgelagerte Fälle angelegt werden. Wenn Sie einen Datentransfer in ein Drittland erwägen und fachkundige Unterstützung bei der Durchführung eines TIA benötigen, oder auch sonstige Fragen zum Drittlandtransfer klären möchten, wenden Sie sich gerne an uns. Wir unterstützen Sie und ihr Unternehmen gerne mit unserer Expertise.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.