Am 16. Juli 2020 erklärte der EuGH im sogenannten „Schrems II“-Urteil (Az. C 311/18) den Angemessenheitsbeschluss der EU für die Vereinigten Staaten, das „EU-US Privacy Shield“, für ungültig. (Auch) im Lichte dieser Entscheidung hat die Europäische Kommission das Instrument der Standardvertragsklauseln (SCC) als Instrument für Datentransfers in Drittländer neu bewertet und am 4. Juni 2021 eine aktualisierte Fassung veröffentlicht.
Teil dieser neuen Standardvertragsklauseln ist die Klausel 14, die unter anderem von den Parteien der SCC verlangt, ein sogenanntes „Transfer Impact Assessment“ (TIA) durchzuführen, mit dem sicher gestellt werden soll, dass der Transfermechanismus gemäß Art. 45 ff. DSGVO tatsächlich ein angemessenes Datenschutzniveau im Drittland gewährleistet und nicht durch die Übermittlung in der Praxis oder die lokale Gesetzgebung ausgehöhlt wird. Wird ein solches TIA nicht durchgeführt. stellt dies einen Verstoß gegen die DSGVO dar. Um mögliche Geldbußen aufgrund eines solchen Verstoßes zu vermeiden, möchten wir Sie bei der Anwendung der SCC und insbesondere der Erstellung dieser TIAs unterstützen.
Zusammenfassend lässt sich sagen, dass die neuen SCC nur dann ein wirksames Instrument für einen Datentransfer in ein Drittland darstellen, wenn das Datenschutzniveau in dem Drittland im Wesentlichen dem durch die Datenschutz-Grundverordnung im EWR garantierten Schutzniveau entspricht. Wenn die Mechanismen nach Art. 45 ff. DSGVO ein gleichwertiges Schutzniveau im Drittland nicht gewährleisten, ist die Übermittlung personenbezogener Daten unzulässig, sofern keine zusätzlichen Sicherheitsmaßnahmen das Datenschutzniveau auf ein dem der DSGVO entsprechendes Schutzniveau heben können. Dies ist insbesondere dann der Fall, wenn der Importeur aufgrund der für die Übermittlung geltenden Rechtsvorschriften und Praktiken des Drittlandes, einschließlich der Durchleitung der Daten vom Exporteur in das Land des Importeurs, daran gehindert wird, die Vorschriften einzuhalten.
Die Schlüsselfrage, auf die sich ein solches Transfer Impact Assessment konzentrieren sollte, lautet daher: „Gibt es geltende Gesetze und/oder Praktiken, welche die Wirksamkeit der angemessenen Sicherheitsvorkehrungen des Transferinstruments im Kontext Ihres spezifischen Transfers behindern?“
Die wichtigsten Aspekte, die ein TIA beinhalten sollte, sind daher
- ob Behörden des Drittlandes des Importeurs mit oder ohne Wissen des Datenimporteurs versuchen könnten, auf die Daten zuzugreifen, und zwar unter Berücksichtigung von Rechtsvorschriften, Praktiken und berichteten Präzedenzfällen und
- ob die Behörden des Drittlandes des Importeurs in Anbetracht der Rechtsvorschriften, der rechtlichen Befugnisse, der technischen, finanziellen und personellen Ressourcen, die ihnen zur Verfügung stehen, und der berichteten Präzedenzfälle in der Lage sein könnten, über den Datenimporteur oder über die Telekommunikationsanbieter oder Kommunikationskanäle auf die Daten zuzugreifen.
Um die Risiken für die Rechte und Freiheiten der betroffenen Personen, die sich aus dieser Datenübermittlung ergeben, vollständig zu bewerten, sollte ein TIA fünf Schritte umfassen:
Zunächst sollte die Datenübermittlung im Allgemeinen beschrieben werden, wobei der Schwerpunkt auf den besonderen Merkmalen und Umständen der Übermittlung liegen sollte. Dazu sollten allgemeine Informationen gehören wie das Drittland, in das die Daten übermittelt werden, wer der Datenimporteur und der Datenexporteur ist und welche Datenkategorien tatsächlich übermittelt werden. Darüber hinaus sollte dieser Abschnitt insbesondere Informationen über die Übermittlung selbst enthalten, wie z. B. den Sektor, in dem die Übermittlung stattfindet, oder ob eine Weiterübermittlung der Daten an ein anderes Drittland möglich ist oder nicht. Nicht zuletzt muss in diesem Schritt gründlich bewertet werden, warum die Übermittlung notwendig ist und warum es keine Option für einen alternativen europäischen Anbieter gibt. Dabei ist ausführlich zu begründen, warum europäische Anbieter nicht in Frage kommen und warum es für den betreffenden Anbieter, bei dem das Übermittlungsproblem besteht, keine Alternative gibt.
Im zweiten Schritt wird bewertet, ob in dem Drittland Gesetze und Praktiken gelten, welche die Sicherheit der Datenübermittlung und/oder der Datenverarbeitung beeinträchtigen könnten. Diese Bewertung sollte sich in erster Linie auf die einschlägigen Gesetze in dem jeweiligen Drittland konzentrieren, die die Offenlegung personenbezogener Daten gegenüber Behörden vorschreiben oder diesen Behörden Zugriffsrechte auf personenbezogene Daten gewähren. Dabei kann es sich beispielsweise um die Strafverfolgung, die behördliche Aufsicht oder um Zwecke der nationalen Sicherheit handeln. Darüber hinaus sollte dieser Schritt auch Erläuterungen zu den Vorschriften und Praktiken im Drittland und zum Rechtssystem im Allgemeinen enthalten, die sich auf die Übermittlung von Daten auswirken könnten. Im Allgemeinen wird in diesem Schritt eine vollständige und gründliche Ausarbeitung der rechtlichen Aspekte des Drittlandes in Bezug auf die personenbezogenen Daten der betroffenen Personen vorgenommen.
Im dritten Schritt werden alle in den Schritten 1 und 2 ermittelten relevanten Aspekte, Argumente und Umstände bewertet und zusammengefasst, um die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten, die mit der Datenübermittlung in das Drittland einhergehen. Insbesondere gilt es zu beurteilen, ob einerseits das Risiko eines behördlichen Zugriffs auf die Daten besteht und andererseits, welche Risiken sich für die Betroffenen im Falle eines solchen Zugriffs auf die Daten ergeben. Letztendlich entscheidet diese Evaluierung, ob zusätzliche Sicherheitsmaßnahmen erforderlich sind, um das ursprüngliche Ziel des SCC, nämlich die effektive Gewährleistung eines Datenschutzniveaus in dem Drittland, das dem Niveau im EWR entspricht, zu erreichen.
Wenn die Bewertung in Schritt drei die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen, zur Ergänzung der in den SCC vereinbarten Garantien, ergeben hat, werden diese Maßnahmen im vierten Schritt ermittelt und umgesetzt, um die im ersten und zweiten Schritt dieser Bewertung identifizierten Risiken zu mindern. Wir empfehlen, technische, vertragliche und organisatorische Maßnahmen zu evaluieren, um die identifizierten Risiken zu mindern, obwohl vertragliche und organisatorische Maßnahmen allein kaum den Zugriff von Behörden auf die personenbezogenen Daten verhindern können. Daher sollten vertragliche und organisatorische Maßnahmen in erster Linie die technischen Maßnahmen begleiten, um das Datenschutzniveau insgesamt zu stärken. Diese Maßnahmen müssen sorgfältig ausgewählt werden, um die festgestellten Risiken tatsächlich zu minimieren, und sie müssen sowohl im Lichte der jüngsten Schrems-II-Entscheidung als auch der einschlägigen Leitlinien von Datenschutzbehörden wie dem Europäischen Datenschutzausschuss ordnungsgemäß umgesetzt werden. Werden diese Maßnahmen nicht ordnungsgemäß gewählt oder umgesetzt, können sie die Risiken für die Rechte und Freiheiten der betroffenen Personen nicht auf ein angemessenes Niveau reduzieren, und die SCC sowie die Datenübermittlung an das Drittland sind insgesamt ungültig und damit rechtswidrig.
Im fünften und letzten Schritt wird das TIA finalisiert und die endgültige Entscheidung getroffen, ob diese Datenübermittlung unter Berücksichtigung aller zuvor ermittelten relevanten Aspekte akzeptabel ist. Dazu werden die in Schritt 3 zusammengefassten Risiken mit den in Schritt 4 erläuterten implementierten Sicherheitsmaßnahmen abgeglichen. Eine Datenübermittlung ist nur dann möglich und rechtmäßig, wenn die abschließende Schlussfolgerung in diesem Schritt lautet, dass das Datenschutzniveau in dem Drittland im Wesentlichen dem durch die DSGVO im EWR garantierten Schutzniveau entspricht, ungeachtet der nationalen Gesetzgebung, die möglicherweise mit den umgesetzten Sicherheitsgarantien kollidieren könnte.
Da es sich hierbei um ein ebenso wichtiges wie komplexes Thema handelt, haben wir eine Vorlage für ein solches TIA erstellt und all diese Schritte, Fragen und erforderlichen Informationen in die Vorlage aufgenommen. Damit können Sie ein solches TIA erstellen, ohne die notwendigen Informationen selbst recherchieren zu müssen. Bitte zögern Sie nicht, sich an uns zu wenden, wenn Sie unsere Vorlage für ein TIA erhalten möchten, oder laden Sie sie direkt aus Ihrem Konto in unserem ePrivacyaudit herunter.
Selbstverständlich unterstützen wir Sie gerne bei allen Fragen, die Sie zu einem TIA oder zur rechtmäßigen Einrichtung eines solchen TIAs haben.