Wie Dr. Eugen Ehmann darstellt, reichen die neuen Standardvertragsklauseln nicht, um Datentransfers in Drittländer zu legitimieren. Nötig sind sozusagen „SCC+“, also Standardvertragsklauseln + ergänzende Maßnahmen. Derzeit gibt es eine rege Diskussion darüber, wie diese Maßnahmen konkret aussehen könnten und unter welchen Voraussetzungen sie zu ergreifen sind. Daher gehen wir noch näher auf diesen Aspekt ein, v.a. auf das „Transfer Impact Assessment“ (TIA).
Risikobasierte Datenübermittlung
Leider sind hier keine pauschalen Lösungen möglich. Unumgänglich sind Einzelfallbewertungen bzw. ein sogenanntes „Transfer Impact Assessment“ (TIA). Dabei ist die begriffliche Nähe zum „Privacy Impact Assessment“ (kurz PIA) kein Zufall. Die Datentransfer-Folgenabschätzung ist nämlich ähnlich der Datenschutz-Folgenabschätzung dem risikobasierten Ansatz der Datenschutz-Grundverordnung (DSGVO) verhaftet.
Trotz Kritik des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Zentrums für digitale Rechte (NOYB) besteht die Möglichkeit einer risikobasierten Abwägungsentscheidung nun auch bei Datentransfers in Drittländer. Als wesentliche Kriterien bestimmen künftig die Wahrscheinlichkeit eines Drittzugriffs und die Sensibilität der übermittelten Daten das „Ob“ und „Wie“ der zusätzlich zu ergreifenden Maßnahmen.
TIA – wie angehen?
Wie es bei neuen Rechtsfiguren häufig der Fall ist, stehen Verantwortliche zunächst vor der Frage, wie sie das Thema „Transfer Impact Assessment“ systematisch und praxisorientiert angehen. Angesichts der komplexen Thematik ist es für Unternehmen wichtig, einen standardisierten Ansatz zu entwickeln.
Ähnlich wie im klassischen Risikomanagement gilt: Je risikoreicher ein Datentransfer in ein Drittland ist, desto dringlicher und umfangreicher müssen Unternehmen ergänzende Maßnahmen ergreifen, um das Risiko einzudämmen.
Beurteilung der Rechtslage in Drittländern
Die Eintrittswahrscheinlichkeit von Zugriffen Dritter auf personenbezogene Daten hängt stark von der Rechtslage im betreffenden Drittland ab.
Der EDSA hat in seinen Empfehlungen Anknüpfungspunkte erarbeitet, die sich anbieten, um diese Rechtslage zu beurteilen. Relevant können danach insbesondere die Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Europäischen Gerichtshofs für Menschenrechte (EGMR), Angemessenheitsbeschlüsse der Europäischen Kommission, Entschließungen und Berichte zwischenstaatlicher Organisationen sowie der UN-Organisationen, aber auch nationale Rechtsprechung oder Entscheidungen unabhängiger Justiz- oder Verwaltungsbehörden sowie sonstiger Organisationen sein.
Auch wenn die Recherche anfangs äußerst mühsam ist, kann es sich durchaus lohnen, für künftige Fälle eine Art Fragebogen zu erarbeiten, der wichtige Punkte, wie z.B. das Bestehen gesetzlicher Regelungen für Datenzugriffe von Behörden oder gar gesetzlicher Verpflichtungen für die Offenlegung von Verschlüsselungsmechanismen gegenüber staatlichen Stellen, abfragt. Für häufig betroffene Drittländer kann es daneben sinnvoll sein, die Rechtslage grundsätzlich zu bewerten.
Prüfschritte für ein Transfer Impact Assessment
Kommt ein Unternehmen zu dem Ergebnis, dass die Rechtslage im betreffenden Drittland eine hohe Eintrittswahrscheinlichkeit von Zugriffen Dritter auf personenbezogene Daten birgt, so sind weitere Prüfschritte erforderlich.
An dieser Stelle empfiehlt es sich, auf den Prüfrahmen einer Datenschutz-Folgenabschätzung zurückzugreifen, wie ihn Art. 35 Abs. 7 DSGVO beschreibt. Zu berücksichtigen sind dabei v.a. die folgenden Punkte:
- eine systematische Beschreibung des geplanten Datentransfers samt Zweck und berechtigter Interessen, die der Verantwortliche verfolgt
- eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit des Datentransfers in Bezug auf den Zweck
- eine Bewertung der Sensibilität der übermittelten Daten und der entstehenden Risiken für die Betroffenen
- die zur Bewältigung der Risiken geplanten zusätzlichen Maßnahmen
Technische, vertragliche und organisatorische Maßnahmen
Während der Verantwortliche die Punkte 1 bis 3 individuell beantworten muss, gibt es zumindest für Punkt 4 Unterstützung vonseiten des EDSA. Er unterscheidet zwischen technischen, vertraglichen und organisatorischen Maßnahmen.
Beispiele für technische Maßnahmen:
- Verschlüsselung oder Pseudonymisierung personenbezogener Daten
- Einsatz von Transport- bzw. Ende-zu-Ende-Verschlüsselungen für personenbezogene Daten, die Drittländer „durchqueren“
- Trennung von Datenbeständen nach Verantwortlichkeiten bei einer gemeinsamen Verantwortlichkeit im Sinn von Art. 26 DSGVO
Beispiele für vertragliche Maßnahmen:
Vertragliche Verpflichtung zur
- Durchführung bestimmter technischer Sicherheitsmaßnahmen
- umgehenden Information des Verantwortlichen bei Unterschreitung des EU-Datenschutzniveaus oder bei Bekanntwerden behördlicher Offenlegungsmaßnahmen gegenüber dem Datenimporteur
- bestmöglichen Abwehr behördlicher Offenlegungsmaßnahmen bzw. zur größtmöglichen Eindämmung der Offenlegung
personenbezogener Daten gegenüber Behörden
Beispiele für organisatorische Maßnahmen:
- Zugang zu personenbezogenen Daten darf nur nach ausdrücklicher Weisung des Verantwortlichen bzw. mit ausdrücklicher Einwilligung der Betroffenen erfolgen
- Datenimporteur muss behördliche Offenlegungsgesuche umfassend dokumentieren und dem Verantwortlichen mitteilen
- Datenimporteur muss organisatorische Maßnahmen zur Gewährleistung der Vertraulichkeit mithilfe interner disziplinarischer Maßnahmen unterstützen
- frühzeitige Einbindung des Datenschutzbeauftragten des Datenimporteuers in allen Belangen des Datenschutzes
Der EDSA stellt in seinen Empfehlungen klar, dass nicht nur die ergriffenen Maßnahmen selbst, sondern auch ihr Zusammenspiel und die Einordnung der Maßnahmen in den Gesamtkontext der Verarbeitung entscheidend sind. Darüber hinaus beschreiben die Empfehlungen der EDSA Szenarien, in denen zusätzliche Maßnahmen nicht ausreichen und der Datentransfer in das entsprechende Drittland grundsätzlich nicht datenschutzkonform erfolgen kann (siehe https://ogy.de/recommendations-012020-final).