21.07.2022

Internationale Datenverarbeitung: Transfer Impact Assessments (TIA) und neue Standardvertragsklauseln (SCC)

I. Standardvertragsklauseln als Rechtfertigungsgrundlage für den internationalen Datenverkehr

Internationale Datentransfers – insbesondere in die USA, da das EU-US Privacy Shield „2.0“ noch auf sich warten lässt – müssen auf einen der gültigen Rechtfertigungsmechanismen im Sinne der DSGVO gestützt werden. Entscheidendes Instrument sind hier die EU-Standardvertragsklauseln (auch Standard Contractual Clauses – „SCC“). In Folge der Schrems-II Entscheidung ersetzte die Kommission im Juni 2021 die bisherigen SCC durch neue Versionen. Der Einsatz der neuen SCC wird ab dem 27. Dezember 2022 für neue Vereinbarungen, die (auch) personenbezogene Daten zum Gegenstand haben, verpflichtend. Ziel ist es, sicherzustellen, dass ein Datenschutzniveau gewährleistet wird, das dem der DSGVO entspricht. Vornehmlich geht es dabei um etwaige Datenzugriffe durch ausländische Behörden und die mangelnde Rechtsschutzmöglichkeit der Betroffenen in den jeweiligen Drittländern. Soweit kein angemessenes Datenschutzniveau im Drittland gewährleistet werden kann, sind zusätzliche Sicherheitsmechanismen zu ergreifen. Führt dies nicht zu einem maßgeblich verringerten Zugriffsrisiko, hat der Datentransfer zu unterbleiben.

Neben bürokratischen Schwierigkeiten liegt die besondere Herausforderung mit den neuen SCC in der nun notwendigen Risikoanalyse. Art. 14 der SCC normiert die Verpflichtung für Unternehmen, vor Abschluss der SCC ein sog. Transfer Impact Assessment („TIA“) hinsichtlich des Datenschutzniveaus im Drittland des Datenimporteurs durchzuführen. Im Rahmen der TIA wird u. a. das Risiko eines Zugriffs durch Dritte bei einem Datentransfer in Drittländern unter Berücksichtigung der Effektivität gegebener Abwehrmechanismen bewertet. Aufgezeigt werden soll so, inwieweit der Datenimporteur in der Praxis fähig ist, seinen Verpflichtungen aus den SCC nachzukommen.

II. Hilfestellungen der Aufsichtsbehörden

Durchzuführen ist das TIA von dem jeweiligen Datenexporteur, unabhängig von seinem Handeln als Verantwortlicher oder Auftragsverarbeiter. Erfolgt eine Weiterleitung der Daten durch den Datenimporteur an einen Subunternehmer, ist eine gesonderte Risikoeinschätzung durchzuführen. Aber was genau muss in einer TIA stehen?

Bisher gibt es noch nicht „das eine“ TIA-Formular, welches den Unternehmen zur Erfüllung ihrer gesetzlichen Pflicht an die Hand gegeben wird. Erste Indizien lieferte der Europäische Datenschutzausschuss (EDSA) mit seiner Veröffentlichung vom 18. Juni 2021 als Version 2.0 an Empfehlungen zur Umsetzung des Schrems II-Urteils (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data). Unternehmen erhalten damit jedoch kaum Klarheit hinsichtlich der genauen Anforderungen an die Erstellung einer TIA, da es an einem konkret greifbaren Prüfkatalog mangelt. Basierend auf den verschiedenen Aussagen der Datenschutzbehörden und den bereits veröffentlichten Dokumenten kann jedoch grundsätzlich ein Muster für die TIA erstellt werden. Luther hat in diesem Rahmen ein eigenes Prüfschema entwickelt, das nachfolgend in Auszügen dargestellt wird:

III. Checkliste TIA

Für die Durchführung eines TIA empfiehlt sich dabei ein standardisierter Ansatz anhand von vier Prüfungsschritten:

  • Schritt 1: Im ersten Schritt ist zunächst eine genaue Beschreibung des beabsichtigten Datentransfers erforderlich. Dazu gehören neben den in Rede stehenden Verarbeitungsprozessen auch die Kategorien der zu verarbeitenden Daten, etwa die Zwecke der Datenverarbeitung, die Kategorien von Betroffenen und technische Details zur Umsetzung des Datentransfers.
  • Schritt 2: Im Hinblick auf die Parameter zur Risikoidentifikation ist vor allem die Betrachtung der Rechtslage des Drittlandes, in das die Daten übermittelt werden und die dortigen Rechtsgrundlagen, die einen Zugriff der Behörden des Drittlands ermöglichen können, von Relevanz. Ebenso ist das Bestehen von Verpflichtungen zur Offenlegung von Verschlüsselungsmechanismen gegenüber staatlichen Stellen zu berücksichtigen. Daneben ist zu hinterfragen, ob in dem betroffenen Drittland Informationspflichten gegenüber und effektive Rechtsmittel für die Betroffenen bestehen.
  • Schritt 3: Risikominimierend können sich etwaige bestehende Sicherheitsvorkehrungen auswirken. In Betracht kommen z. B. geeignete Transport- bzw. Ende-zu-Ende Verschlüsselungen der personenbezogenen Daten bei der Übermittlung. Wichtig ist, nicht nur Maßnahmen festzulegen, sondern diese auch in der Praxis umzusetzen. Dazu gehört auch die Kontrolle der Maßnahmen: ergriffene Abhilfemaßnahmen sollten fortlaufend getestet und deren Wirksamkeit dokumentiert werden. Stellt sich zu einem späteren Zeitpunkt heraus, dass geplante Maßnahmen nicht (wirksam) realisiert werden können, müssen andere geeignete Maßnahmen ausgewählt oder die Übermittlungs- und Verarbeitungsvorgänge insgesamt angepasst werden.
  • Schritt 4: Soweit auf Basis der vorgenannten Kriterien ein Datenzugriff durch Behörden des Drittlands nicht vollständig ausgeschlossen werden kann, ist sodann in einem letzten Schritt die abschließende Risikobewertung selbst vorzunehmen. Im Kern ist das Risiko eines Zugriffs durch Dritte im Drittland, der nicht im Einklang mit den Grundsätzen der DSGVO steht zu identifizieren und zu bewerten. Die Evaluation ist länderspezifisch und verarbeitungsspezifisch durchzuführen. Berücksichtigung finden kann die geltende Praxis der Behörden sowie frühere Erfahrungen der Beteiligten.
IV. Handlungsempfehlung

Aufgrund der Vielzahl von Datenverarbeitungsprozessen und dem üblichen Einsatz diverser Auftragsverarbeiter ist klar, dass die Erstellung einer TIA kein einmaliger Vorgang ist. Es sind neue Prozesse zu definieren und eine kontinuierliche Überprüfung und Anpassung der Risikoeinschätzung ist vorzunehmen. Angesichts des Arbeitsaufwands und des für die Lagebewertung in den Drittländern nötigen Fachwissens stellt der Pflichtenkatalog für Unternehmen eine große Hürde dar. Schwierigkeiten bestehen vor allem darin, Veränderungen in allen relevanten Drittländern im Auge zu behalten. Realistisch werden Unternehmen zumeist auf Auskünfte und eine Überwachung der Rechtslage durch die Datenimporteur und/oder zu beauftragende Rechtsbeistände im Drittland angewiesen sein. Hier empfiehlt es sich, den Datenimporteur seinerseits zu einer Überwachung der Rechtslage zu verpflichten. Fraglich bleibt, ob Unternehmen in Drittstaaten in der Praxis zur Transparenz sowie zum Aufbürden von teils weitreichenden zusätzlichen Verpflichtungen bereit sein werden.

V. Ausblick

Der internationale Datenverkehr stellt Unternehmen nach der Schrems-II Entscheidung wieder einmal vor erhebliche Schwierigkeiten. Eine Erhöhung des US-Datenschutzniveaus und eine baldige Neuauflage des EU-US-Privacy Shields als Übermittlungsinstrument ist nicht zu erwarten. An der Vereinbarung der SCC und der Durchführung einer TIA scheint damit bei der internationalen Datenverarbeitung momentan kaum ein Weg vorbeizuführen. Es bleibt abzuwarten, welchen Maßstab die europäischen Datenschutzbehörden bei der Überprüfung der TIAs zugrunde legen werden.