Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

16. August 2021

Transfer Impact Assessment (TIA): Die Einzelfallbewertung

Auch im Hinblick auf die koordinierte Prüfung internationaler Datentransfers, die die Aufsichtsbehörden initiiert haben, ist es empfehlenswert, Datenübermittlungen in Drittländer genauer unter die Lupe zu nehmen
Bild: iStock.com / Nongkran_ch
4,20 (5)
Inhalte in diesem Beitrag
Datenübermittlung in Drittländer
Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?

Wie Dr. Eugen Ehmann darstellt, reichen die neuen Standardvertragsklauseln nicht, um Datentransfers in Drittländer zu legitimieren. Nötig sind sozusagen „SCC+“, also Standardvertragsklauseln + ergänzende Maßnahmen. Derzeit gibt es eine rege Diskussion darüber, wie diese Maßnahmen konkret aussehen könnten und unter welchen Voraussetzungen sie zu ergreifen sind. Daher gehen wir noch näher auf diesen Aspekt ein, v.a. auf das „Transfer Impact Assessment“ (TIA).

Risikobasierte Datenübermittlung

Leider sind hier keine pauschalen Lösungen möglich. Unumgänglich sind Einzelfallbewertungen bzw. ein sogenanntes „Transfer Impact Assessment“ (TIA). Dabei ist die begriffliche Nähe zum „Privacy Impact Assessment“ (kurz PIA) kein Zufall. Die Datentransfer-Folgenabschätzung ist nämlich ähnlich der Datenschutz-Folgenabschätzung dem risikobasierten Ansatz der Datenschutz-Grundverordnung (DSGVO) verhaftet.

Trotz Kritik des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Zentrums für digitale Rechte (NOYB) besteht die Möglichkeit einer risikobasierten Abwägungsentscheidung nun auch bei Datentransfers in Drittländer. Als wesentliche Kriterien bestimmen künftig die Wahrscheinlichkeit eines Drittzugriffs und die Sensibilität der übermittelten Daten das „Ob“ und „Wie“ der zusätzlich zu ergreifenden Maßnahmen.

TIA – wie angehen?

Wie es bei neuen Rechtsfiguren häufig der Fall ist, stehen Verantwortliche zunächst vor der Frage, wie sie das Thema „Transfer Impact Assessment“ systematisch und praxisorientiert angehen. Angesichts der komplexen Thematik ist es für Unternehmen wichtig, einen standardisierten Ansatz zu entwickeln.

Ähnlich wie im klassischen Risikomanagement gilt: Je risikoreicher ein Datentransfer in ein Drittland ist, desto dringlicher und umfangreicher müssen Unternehmen ergänzende Maßnahmen ergreifen, um das Risiko einzudämmen.

Beurteilung der Rechtslage in Drittländern

Die Eintrittswahrscheinlichkeit von Zugriffen Dritter auf personenbezogene Daten hängt stark von der Rechtslage im betreffenden Drittland ab.

Der EDSA hat in seinen Empfehlungen Anknüpfungspunkte erarbeitet, die sich anbieten, um diese Rechtslage zu beurteilen. Relevant können danach insbesondere die Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Europäischen Gerichtshofs für Menschenrechte (EGMR), Angemessenheitsbeschlüsse der Europäischen Kommission, Entschließungen und Berichte zwischenstaatlicher Organisationen sowie der UN-Organisationen, aber auch nationale Rechtsprechung oder Entscheidungen unabhängiger Justiz- oder Verwaltungsbehörden sowie sonstiger Organisationen sein.

Auch wenn die Recherche anfangs äußerst mühsam ist, kann es sich durchaus lohnen, für künftige Fälle eine Art Fragebogen zu erarbeiten, der wichtige Punkte, wie z.B. das Bestehen gesetzlicher Regelungen für Datenzugriffe von Behörden oder gar gesetzlicher Verpflichtungen für die Offenlegung von Verschlüsselungsmechanismen gegenüber staatlichen Stellen, abfragt. Für häufig betroffene Drittländer kann es daneben sinnvoll sein, die Rechtslage grundsätzlich zu bewerten.

Prüfschritte für ein Transfer Impact Assessment

Kommt ein Unternehmen zu dem Ergebnis, dass die Rechtslage im betreffenden Drittland eine hohe Eintrittswahrscheinlichkeit von Zugriffen Dritter auf personenbezogene Daten birgt, so sind weitere Prüfschritte erforderlich.

An dieser Stelle empfiehlt es sich, auf den Prüfrahmen einer Datenschutz-Folgenabschätzung zurückzugreifen, wie ihn Art. 35 Abs. 7 DSGVO beschreibt. Zu berücksichtigen sind dabei v.a. die folgenden Punkte:

  • eine systematische Beschreibung des geplanten Datentransfers samt Zweck und berechtigter Interessen, die der Verantwortliche verfolgt
  • eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit des Datentransfers in Bezug auf den Zweck
  • eine Bewertung der Sensibilität der übermittelten Daten und der entstehenden Risiken für die Betroffenen
  • die zur Bewältigung der Risiken geplanten zusätzlichen Maßnahmen

Technische, vertragliche und organisatorische Maßnahmen

Während der Verantwortliche die Punkte 1 bis 3 individuell beantworten muss, gibt es zumindest für Punkt 4 Unterstützung vonseiten des EDSA. Er unterscheidet zwischen technischen, vertraglichen und organisatorischen Maßnahmen.

Beispiele für technische Maßnahmen:

Beispiele für vertragliche Maßnahmen:

Vertragliche Verpflichtung zur

  • Durchführung bestimmter technischer Sicherheitsmaßnahmen
  • umgehenden Information des Verantwortlichen bei Unterschreitung des EU-Datenschutzniveaus oder bei Bekanntwerden behördlicher Offenlegungsmaßnahmen gegenüber dem Datenimporteur
  • bestmöglichen Abwehr behördlicher Offenlegungsmaßnahmen bzw. zur größtmöglichen Eindämmung der Offenlegung
    personenbezogener Daten gegenüber Behörden

Beispiele für organisatorische Maßnahmen:

  • Zugang zu personenbezogenen Daten darf nur nach ausdrücklicher Weisung des Verantwortlichen bzw. mit ausdrück­licher Einwilligung der Betroffenen erfolgen
  • Datenimporteur muss behördliche Offenlegungsgesuche umfassend dokumentieren und dem Verantwortlichen mitteilen
  • Datenimporteur muss organisatorische Maßnahmen zur Gewährleistung der Vertraulichkeit mithilfe interner disziplinarischer Maßnahmen unterstützen
  • frühzeitige Einbindung des Datenschutzbeauftragten des Datenimporteuers in allen Belangen des Datenschutzes

Der EDSA stellt in seinen Empfehlungen klar, dass nicht nur die ergriffenen Maßnahmen selbst, sondern auch ihr Zusammenspiel und die Einordnung der Maßnahmen in den Gesamtkontext der Verarbeitung entscheidend sind. Darüber hinaus beschreiben die Empfehlungen der EDSA Szenarien, in denen zusätzliche Maßnahmen nicht ausreichen und der Datentransfer in das entsprechende Drittland grundsätzlich nicht datenschutzkonform erfolgen kann (siehe https://ogy.de/recommendations-012020-final).

Praxis-Tipp

Empfehlen Sie, im Zuge des ersten „Transfer Impact Assessment“ im Unternehmen parallel einen Katalog mit geeigneten ergänzenden Maßnahmen zu erarbeiten, auf den sich im Bedarfsfall zurückgreifen lässt. Denn auch ohne die genaue Rechtslage im betroffenen Drittland zu ermitteln, ist oft von vornherein klar, dass es ohne diese zusätzlichen Maßnahmen nicht gehen wird.

Effektive Risikoreduzierung?

Damit, die geplanten ergänzenden Maßnahmen zu beschreiben, ist die Prüfung jedoch nicht abgeschlossen. Vielmehr muss der Verantwortliche nun bewerten, ob die Maßnahmen geeignet sind, die Risiken, die durch den Datentransfer in das Drittland für die betroffenen Personen entstehen, auf ein Maß zu reduzieren, das aus europäischer Sicht akzeptabel ist.

Nur wenn der Verantwortliche zum Ergebnis kommt, dass der Datentransfer in das jeweilige Drittland nach der Umsetzung ergänzender Maßnahmen grundsätzlich datenschutzkonform möglich ist, darf der Transfer tatsächlich erfolgen. Weisen Sie darauf hin, dass der Entscheidungsprozess samt Ergebnis zu dokumentieren ist.

Ausblick

Die Einzelfallbewertung bzw. das Transfer Impact Assessment ist zwar ein wesentlicher, aber lediglich ein einzelner Bestandteil des neuen Prozesses zum rechtssicheren Datentransfer in Drittländer.

Gerade im Hinblick auf die neuen Standardvertragsklauseln müssen Unternehmen prüfen, inwiefern Datentransfers noch auf Grundlage der alten Standardvertragsklauseln erfolgen. Diese müssen nämlich spätestens bis zum 27. Dezember 2022 abgelöst sein.

Jana Thieme

Jana Thieme-Hermann
Verfasst von
Jana Thieme
Jana Thieme-Hermann
Jana Thieme-Hermann, Dipl.-Jur. Univ., ist Geschäftsführerin und Datenschutzexpertin der TH Datenschutz+ GmbH .
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.