{"id":1287,"date":"2022-03-22T13:58:01","date_gmt":"2022-03-22T12:58:01","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1287"},"modified":"2022-03-22T13:58:01","modified_gmt":"2022-03-22T12:58:01","slug":"transfer-impact-assessmenttia-transfermechanismus-soll-angemessenes-datenschutzniveau-im-drittland-gewaehrleisten","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1287&lang=de","title":{"rendered":"„Transfer Impact Assessment“(TIA) Transfermechanismus soll angemessenes Datenschutzniveau im Drittland gew\u00e4hrleisten"},"content":{"rendered":"\n

Am 16. Juli 2020 erkl\u00e4rte der EuGH im sogenannten \u201eSchrems II\u201c-Urteil (Az. C 311\/18) den Angemessenheitsbeschluss der EU f\u00fcr die Vereinigten Staaten, das „EU-US Privacy Shield“, f\u00fcr ung\u00fcltig. (Auch) im Lichte dieser Entscheidung hat die Europ\u00e4ische Kommission das Instrument der Standardvertragsklauseln (SCC) als Instrument f\u00fcr Datentransfers in Drittl\u00e4nder neu bewertet und am 4. Juni 2021 eine aktualisierte Fassung ver\u00f6ffentlicht.

Teil dieser neuen Standardvertragsklauseln ist die Klausel 14, die unter anderem von den Parteien der SCC verlangt, ein sogenanntes „Transfer Impact Assessment“ (TIA) durchzuf\u00fchren, mit dem sicher gestellt werden soll, dass der Transfermechanismus gem\u00e4\u00df Art. 45 ff. DSGVO tats\u00e4chlich ein angemessenes Datenschutzniveau im Drittland gew\u00e4hrleistet und nicht durch die \u00dcbermittlung in der Praxis oder die lokale Gesetzgebung ausgeh\u00f6hlt wird. Wird ein solches TIA nicht durchgef\u00fchrt. stellt dies einen Versto\u00df gegen die DSGVO dar. Um m\u00f6gliche Geldbu\u00dfen aufgrund eines solchen Versto\u00dfes zu vermeiden, m\u00f6chten wir Sie bei der Anwendung der SCC und insbesondere der Erstellung dieser TIAs unterst\u00fctzen.

Zusammenfassend l\u00e4sst sich sagen, dass die neuen SCC nur dann ein wirksames Instrument f\u00fcr einen Datentransfer in ein Drittland darstellen, wenn das Datenschutzniveau in dem Drittland im Wesentlichen dem durch die Datenschutz-Grundverordnung im EWR garantierten Schutzniveau entspricht. Wenn die Mechanismen nach Art. 45 ff. DSGVO ein gleichwertiges Schutzniveau im Drittland nicht gew\u00e4hrleisten, ist die \u00dcbermittlung personenbezogener Daten unzul\u00e4ssig, sofern keine zus\u00e4tzlichen Sicherheitsma\u00dfnahmen das Datenschutzniveau auf ein dem der DSGVO entsprechendes Schutzniveau heben k\u00f6nnen. Dies ist insbesondere dann der Fall, wenn der Importeur aufgrund der f\u00fcr die \u00dcbermittlung geltenden Rechtsvorschriften und Praktiken des Drittlandes, einschlie\u00dflich der Durchleitung der Daten vom Exporteur in das Land des Importeurs, daran gehindert wird, die Vorschriften einzuhalten.

Die Schl\u00fcsselfrage, auf die sich ein solches Transfer Impact Assessment konzentrieren sollte, lautet daher: „Gibt es geltende Gesetze und\/oder Praktiken, welche die Wirksamkeit der angemessenen Sicherheitsvorkehrungen des Transferinstruments im Kontext Ihres spezifischen Transfers behindern?“<\/strong>

Die wichtigsten Aspekte, die ein TIA beinhalten sollte, sind daher<\/p>\n\n\n\n

  1. ob Beh\u00f6rden des Drittlandes des Importeurs mit oder ohne Wissen des Datenimporteurs versuchen k\u00f6nnten, auf die Daten zuzugreifen, und zwar unter Ber\u00fccksichtigung von Rechtsvorschriften, Praktiken und berichteten Pr\u00e4zedenzf\u00e4llen<\/em> und<\/li>
  2. ob die Beh\u00f6rden des Drittlandes des Importeurs in Anbetracht der Rechtsvorschriften, der rechtlichen Befugnisse, der technischen, finanziellen und personellen Ressourcen, die ihnen zur Verf\u00fcgung stehen, und der berichteten Pr\u00e4zedenzf\u00e4lle in der Lage sein k\u00f6nnten, \u00fcber den Datenimporteur oder \u00fcber die Telekommunikationsanbieter oder Kommunikationskan\u00e4le auf die Daten zuzugreifen.<\/em> <\/li><\/ol>\n\n\n\n

    Um die Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen, die sich aus dieser Daten\u00fcbermittlung ergeben, vollst\u00e4ndig zu bewerten, sollte ein TIA f\u00fcnf Schritte umfassen:

    Zun\u00e4chst sollte die Daten\u00fcbermittlung im Allgemeinen beschrieben werden, wobei der Schwerpunkt auf den besonderen Merkmalen und Umst\u00e4nden der \u00dcbermittlung liegen sollte. Dazu sollten allgemeine Informationen geh\u00f6ren wie das Drittland, in das die Daten \u00fcbermittelt werden, wer der Datenimporteur und der Datenexporteur ist und welche Datenkategorien tats\u00e4chlich \u00fcbermittelt werden. Dar\u00fcber hinaus sollte dieser Abschnitt insbesondere Informationen \u00fcber die \u00dcbermittlung selbst enthalten, wie z. B. den Sektor, in dem die \u00dcbermittlung stattfindet, oder ob eine Weiter\u00fcbermittlung der Daten an ein anderes Drittland m\u00f6glich ist oder nicht. Nicht zuletzt muss in diesem Schritt gr\u00fcndlich bewertet werden, warum die \u00dcbermittlung notwendig ist und warum es keine Option f\u00fcr einen alternativen europ\u00e4ischen Anbieter gibt. Dabei ist ausf\u00fchrlich zu begr\u00fcnden, warum europ\u00e4ische Anbieter nicht in Frage kommen und warum es f\u00fcr den betreffenden Anbieter, bei dem das \u00dcbermittlungsproblem besteht, keine Alternative gibt.

    Im zweiten Schritt wird bewertet, ob in dem Drittland Gesetze und Praktiken gelten, welche die Sicherheit der Daten\u00fcbermittlung und\/oder der Datenverarbeitung beeintr\u00e4chtigen k\u00f6nnten. Diese Bewertung sollte sich in erster Linie auf die einschl\u00e4gigen Gesetze in dem jeweiligen Drittland konzentrieren, die die Offenlegung personenbezogener Daten gegen\u00fcber Beh\u00f6rden vorschreiben oder diesen Beh\u00f6rden Zugriffsrechte auf personenbezogene Daten gew\u00e4hren. Dabei kann es sich beispielsweise um die Strafverfolgung, die beh\u00f6rdliche Aufsicht oder um Zwecke der nationalen Sicherheit handeln. Dar\u00fcber hinaus sollte dieser Schritt auch Erl\u00e4uterungen zu den Vorschriften und Praktiken im Drittland und zum Rechtssystem im Allgemeinen enthalten, die sich auf die \u00dcbermittlung von Daten auswirken k\u00f6nnten. Im Allgemeinen wird in diesem Schritt eine vollst\u00e4ndige und gr\u00fcndliche Ausarbeitung der rechtlichen Aspekte des Drittlandes in Bezug auf die personenbezogenen Daten der betroffenen Personen vorgenommen.

    Im dritten Schritt werden alle in den Schritten 1 und 2 ermittelten relevanten Aspekte, Argumente und Umst\u00e4nde bewertet und zusammengefasst, um die Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen zu bewerten, die mit der Daten\u00fcbermittlung in das Drittland einhergehen. Insbesondere gilt es zu beurteilen, ob einerseits das Risiko eines beh\u00f6rdlichen Zugriffs auf die Daten besteht und andererseits, welche Risiken sich f\u00fcr die Betroffenen im Falle eines solchen Zugriffs auf die Daten ergeben. Letztendlich entscheidet diese Evaluierung, ob zus\u00e4tzliche Sicherheitsma\u00dfnahmen erforderlich sind, um das urspr\u00fcngliche Ziel des SCC, n\u00e4mlich die effektive Gew\u00e4hrleistung eines Datenschutzniveaus in dem Drittland, das dem Niveau im EWR entspricht, zu erreichen.

    Wenn die Bewertung in Schritt drei die Notwendigkeit zus\u00e4tzlicher Sicherheitsma\u00dfnahmen, zur Erg\u00e4nzung der in den SCC vereinbarten Garantien, ergeben hat, werden diese Ma\u00dfnahmen im vierten Schritt ermittelt und umgesetzt, um die im ersten und zweiten Schritt dieser Bewertung identifizierten Risiken zu mindern. Wir empfehlen, technische, vertragliche und organisatorische Ma\u00dfnahmen zu evaluieren, um die identifizierten Risiken zu mindern, obwohl vertragliche und organisatorische Ma\u00dfnahmen allein kaum den Zugriff von Beh\u00f6rden auf die personenbezogenen Daten verhindern k\u00f6nnen. Daher sollten vertragliche und organisatorische Ma\u00dfnahmen in erster Linie die technischen Ma\u00dfnahmen begleiten, um das Datenschutzniveau insgesamt zu st\u00e4rken. Diese Ma\u00dfnahmen m\u00fcssen sorgf\u00e4ltig ausgew\u00e4hlt werden, um die festgestellten Risiken tats\u00e4chlich zu minimieren, und sie m\u00fcssen sowohl im Lichte der j\u00fcngsten Schrems-II-Entscheidung als auch der einschl\u00e4gigen Leitlinien von Datenschutzbeh\u00f6rden wie dem Europ\u00e4ischen Datenschutzausschuss ordnungsgem\u00e4\u00df umgesetzt werden. Werden diese Ma\u00dfnahmen nicht ordnungsgem\u00e4\u00df gew\u00e4hlt oder umgesetzt, k\u00f6nnen sie die Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen nicht auf ein angemessenes Niveau reduzieren, und die SCC sowie die Daten\u00fcbermittlung an das Drittland sind insgesamt ung\u00fcltig und damit rechtswidrig.

    Im f\u00fcnften und letzten Schritt wird das TIA finalisiert und die endg\u00fcltige Entscheidung getroffen, ob diese Daten\u00fcbermittlung unter Ber\u00fccksichtigung aller zuvor ermittelten relevanten Aspekte akzeptabel ist. Dazu werden die in Schritt 3 zusammengefassten Risiken mit den in Schritt 4 erl\u00e4uterten implementierten Sicherheitsma\u00dfnahmen abgeglichen. Eine Daten\u00fcbermittlung ist nur dann m\u00f6glich und rechtm\u00e4\u00dfig, wenn die abschlie\u00dfende Schlussfolgerung in diesem Schritt lautet, dass das Datenschutzniveau in dem Drittland im Wesentlichen dem durch die DSGVO im EWR garantierten Schutzniveau entspricht, ungeachtet der nationalen Gesetzgebung, die m\u00f6glicherweise mit den umgesetzten Sicherheitsgarantien kollidieren k\u00f6nnte.

    Da es sich hierbei um ein ebenso wichtiges wie komplexes Thema handelt, haben wir eine Vorlage f\u00fcr ein solches TIA erstellt und all diese Schritte, Fragen und erforderlichen Informationen in die Vorlage aufgenommen. Damit k\u00f6nnen Sie ein solches TIA erstellen, ohne die notwendigen Informationen selbst recherchieren zu m\u00fcssen. Bitte z\u00f6gern Sie nicht, sich an uns zu wenden, wenn Sie unsere Vorlage f\u00fcr ein TIA erhalten m\u00f6chten, oder laden Sie sie direkt aus Ihrem Konto in unserem ePrivacyaudit herunter.

    Selbstverst\u00e4ndlich unterst\u00fctzen wir Sie gerne bei allen Fragen, die Sie zu einem TIA oder zur rechtm\u00e4\u00dfigen Einrichtung eines solchen TIAs haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Am 16. Juli 2020 erkl\u00e4rte der EuGH im sogenannten \u201eSchrems II\u201c-Urteil (Az. C 311\/18) den Angemessenheitsbeschluss der EU f\u00fcr die Vereinigten Staaten, das<\/p>\n

    Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1287"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1287"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1287\/revisions"}],"predecessor-version":[{"id":1288,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1287\/revisions\/1288"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1287"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1287"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}