Internationale Datentransfers Teil 2: Das Transfer Impact Assessment  

21. August 2024

Zu den zentralen Neuerungen der von der Europäischen Kommission erlassenen Standardvertragsklauseln (im Folgenden: „SCC“) gehört die Pflicht, im Rahmen eines Drittstaatentransfers die Durchführung einer umfassenden und einzelfallbezogenen Datentransfer-Folgenabschätzung (Transfer Impact Assessment / im Folgenden: „TIA“) vorzunehmen. Es dient dazu, die Auswirkungen von Datentransfers auf die Rechte und Freiheiten natürlicher Personen in der EU sorgfältig abzuwägen und zu beurteilen. Dabei müssen der Datenexporteur und Datenimporteur (im Folgenden: die Parteien) eine Risikobewertung durchführen, die alle Faktoren, die im Zusammenhang mit der Übermittlung von Daten in Drittländer einhergehen, berücksichtigt.

Kriterien nach den Standardvertragsklauseln 

Das TIA ist besonders wichtig für Unternehmen, die personenbezogene Daten von EU-Bürgern an Länder außerhalb der EU übertragen, da diese Übertragungen in der Regel ein höheres Risiko für die Privatsphäre darstellen. Bevor ein Unternehmen Daten an ein Drittland überträgt, muss es daher sicherstellen, dass angemessene Schutzmaßnahmen getroffen wurden, um die Daten vor unbefugtem Zugriff und Missbrauch zu schützen. 

Im Ergebnis sollten die Parteien keinen Grund zu der Annahme haben, dass der Datenimporteur aufgrund der lokalen Rechtsvorschriften und Gepflogenheiten im Empfängerland nicht in der Lage sein wird, die Voraussetzungen der SCC einzuhalten. Diese Datentransfer-Folgenabschätzung ist zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen. 

In Klausel 14 und 15 der neuen SCC werden Bewertungskriterien für das Transfer Impact Assessment genannt. Dazu gehört beispielsweise die Art des Empfängers, die Kategorien und das Format der übermittelten personenbezogenen Daten, die relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes sowie vertragliche, technische oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden.  

Obwohl es keine spezifischen Leitlinien für die Abfassung einer TIA gibt, ist es wichtig sicherzustellen, dass eine gründliche Analyse des geltenden Rechtsrahmens des Drittlandes durchgeführt wird. Es ist von entscheidender Bedeutung, alle realen oder hypothetischen Risiken zu verstehen, die die Sicherheit der personenbezogenen Daten, die in ein Land außerhalb des EWR übermittelt werden sollen, gefährden könnten.  

Schritte eines Transfer Impact Assessments 

Nach den Vorgaben der SCC ist das Transfer Impact Assessment dabei in vier Schritte unterteilt.  

  1. Beschreiben der geplanten Übertragung 
  2. Definieren der TIA-Parameter 
  3. Definieren der bestehenden Sicherheitsvorkehrungen 
  4. Bewertung des Risikos eines verbotenen rechtmäßigen Zugriffs im Zielland

Schritt 1: Umstände der Übermittlung  

Hier werden Details zu der geplanten Übermittlung überprüft. Dabei sollte die fragliche Übertragung beschrieben werden. Für jede (Weiter-) Übermittlung (z.B. an Unterauftragnehmer) sollte ein separates TIA durchgeführt werden, da jeder Transfer ein eigenes Risikoprofil hat.  

Schritt 2. Definieren der TIA-Parameter 

An dieser Stelle sind das Anfangsdatum und die Anzahl der Jahre anzugeben, für die das TIA erstellt wird. Der Zeitraum ist relevant für die Berechnung der Wahrscheinlichkeit eines Zugriffs der Behörden des Drittlandes. Mit diesem Zeitraum erfolgt dann die Berechnung der Wahrscheinlichkeit eines Zugriffs der Behörden im Drittland.  

Dazu wird das folgende Beispiel angeführt:  

„Da wir keine Erdbeben bewerten (die in jedem Fall vorkommen), haben wir als Richtwert eine Wahrscheinlichkeit von 50 % für das Auftreten eines rechtmäßigen Zugangs festgelegt. […] wir sind der Meinung, dass ein rechtmäßiger Zugang mit einer Wahrscheinlichkeit von 50:50 zu einem inakzeptablen Risiko geworden ist.“ 

Schritt 3: Definieren der bestehenden Schutzmaßnahmen

Hier werden beispielsweise die technischen und organisatorischen Maßnahmen aufgeführt, die das Zugriffsrisiko durch die Behörden im Drittstaat verkleinern. Ein wichtiger Bestandteil des TIA ist auch die Auswahl vertraglicher Schutzmaßnahmen, um die Risiken für die Privatsphäre zu minimieren. Dazu können zum Beispiel Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden, oder Binding Corporate Rules (BCR) gehören. Sofern die Schutzmaßnahmen einen Zugriff nicht mit absoluter Sicherheit ausschließen können, muss eine fallspezifische Risikoanalyse (Schritt 4) durchgeführt werden. 

Schritt 4: Bewertung des Risikos eines Zugriffs im Zielland 

Dieser Schritt analysiert das gesetzliche Regime im Drittland. Sinn des Ganzen ist es, die Wahrscheinlichkeit eines Eingriffs durch die Behörden des Drittlandes besser einstufen zu können. Im Zuge dessen sollten auch die Rechtsvorschriften des Drittlandes, das Vorhandensein einer unabhängigen Aufsichtsbehörde und etwaige internationale Verpflichtungen des Landes geprüft werden. Der Schritt besteht darin, das Risiko eines verbotenen (aber im Drittland rechtmäßigen Zugangs) im Zielland zu bewerten. Dies ist natürlich länderspezifisch, da jedes Land seine eigenen Gesetze und Vorschriften hat. So wäre beispielsweise auch zu prüfen, ob der Dritte, an den die personenbezogenen Daten übermittelt werden sollen, Ziel von Ermittlungen der nationalen Behörden sein könnte.  

Auch gehören dazu die Praktiken und Gepflogenheiten des Bestimmungsdrittlandes, einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien.  

So müssen die verschiedenen im Drittland geltenden Gesetze analysiert werden, um festzustellen, ob es für einen Dritten eine Grundlage gibt, um trotz der vorhandenen Schutzmaßnahmen rechtmäßig auf die übermittelten personenbezogenen Daten zuzugreifen zu können.  

Ergebnis 

Durch diese Analyse kommt man schließlich zu dem Schluss, ob die geplante Übermittlung personenbezogener Daten in ein Drittland ein akzeptables Risiko darstellt. 

Reevaluierung in angemessenen Abständen  

Um die Vorgaben aus den neuen SCC und der Klausel 14 zu erfüllen ist es sinnvoll, dass TIA und die weitere Risikoabschätzung pro Verfahren zu dokumentieren. Darüber hinaus sollte eine regelmäßige Überwachung der rechtlichen Entwicklungen in dem Land, in das personenbezogene Daten übermittelt werden, implementiert werden, um sicherzustellen, dass das Sicherheitsniveau für die Daten angemessen bleibt. 

So ist das TIA ein wichtiger Bestandteil des EU-Datenschutzrechts und hilft Unternehmen dabei, die Privatsphäre von EU-Bürgern zu schützen, wenn ihre Daten an Länder außerhalb der EU übertragen werden. Unternehmen sollten sicherstellen, dass sie das TIA durchführen, bevor sie Daten an Drittländer übertragen, um sicherzustellen, dass angemessene Schutzmaßnahmen getroffen wurden und die Privatsphäre der betroffenen Personen geschützt wird.

Ausblick

In den kommenden Teilen der Reihe werden Datenübermittlungen vorbehaltlich geeigneter Garantien nach Art. 46 DSGVO und technische und organisatorische Maßnahmen bei der Übermittlung von Daten in Drittländer behandelt. Der erste Teil unserer Reihe behandelte Standardvertragsklauseln. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.

Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.