Internationale Datenverarbeitung: Transfer Impact Assessments (TIA) und neue Standardvertragsklauseln (SCC)

Internationale Datentransfers – insbesondere in die USA, da das EU-US Privacy Shield „2.0“ noch auf sich warten lässt – müssen auf einen der gültigen Rechtfertigungsmechanismen im Sinne der DSGVO gestützt werden. Entscheidendes Instrument sind hier die EU-Standardvertragsklauseln (auch Standard Contractual Clauses – „SCC“). In Folge der Schrems-II Entscheidung ersetzte die Kommission im Juni 2021 die bisherigen SCC durch neue Versionen. Der Einsatz der neuen SCC wird ab dem 27. Dezember 2022 für neue Vereinbarungen, die (auch) personenbezogene Daten zum Gegenstand haben, verpflichtend. Ziel ist es, sicherzustellen, dass ein Datenschutzniveau gewährleistet wird, das dem der DSGVO entspricht. Vornehmlich geht es dabei um etwaige Datenzugriffe durch ausländische Behörden und die mangelnde Rechtsschutzmöglichkeit der Betroffenen in den jeweiligen Drittländern. Soweit kein angemessenes Datenschutzniveau im Drittland gewährleistet werden kann, sind zusätzliche Sicherheitsmechanismen zu ergreifen. Führt dies nicht zu einem maßgeblich verringerten Zugriffsrisiko, hat der Datentransfer zu unterbleiben.

Neben bürokratischen Schwierigkeiten liegt die besondere Herausforderung mit den neuen SCC in der nun notwendigen Risikoanalyse. Art. 14 der SCC normiert die Verpflichtung für Unternehmen, vor Abschluss der SCC ein sog. Transfer Impact Assessment („TIA“) hinsichtlich des Datenschutzniveaus im Drittland des Datenimporteurs durchzuführen. Im Rahmen der TIA wird u. a. das Risiko eines Zugriffs durch Dritte bei einem Datentransfer in Drittländern unter Berücksichtigung der Effektivität gegebener Abwehrmechanismen bewertet. Aufgezeigt werden soll so, inwieweit der Datenimporteur in der Praxis fähig ist, seinen Verpflichtungen aus den SCC nachzukommen.