Transfer Impact Assessment – muss das sein?

Transfer Impact Assessment (TIA) - Blogbeitrag

Im Sommer 2020 kippte das sogenannte „Schrems II – Urteil“ des EuGH (Urteil v. 16. Juli 2020, C-311/18) den Privacy Shield. Aber damit möchte ich Sie nicht länger langweilen.

 

Zwar ging es im Grundsatz um Datenübermittlungen in die USA, jedoch hatte das Urteil im Kern viel weiter reichende Folgen. Weil darin auch die Bedingungen für die Gültigkeit von „Garantien“ für Drittlands-Übermittlungen nach Art. 46 DSGVO (also z.B. EU Standard-Vertragsklauseln) betrachtet wurde.

 

Damit ist nicht nur die USA gemeint

Das betrifft wiederum alle Drittländer, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO von der EU-Kommission getroffen wurde und wo deshalb die Grundlage für die Übermittlung Art. 46 DSGVO (geeignete Garantien) ist. Klare Aussage, auch in den FAQ des EDPB (externer Link, European Data Protection Board) nachzulesen:

 

„In general, for third countries, the threshold set by the Court also applies to all appropriate safeguards under Article 46 GDPR used to transfer data from the EEA to any third country.“

Anmerkung: EEA = EWR

 

Update 04.10.2021: 

Zur Verdeutlichung: Auch für Binding Corporate Rules (BCR) ist nach derzeitiger Auslegung der DSK (externer Link, DSK; PDF, siehe Punkt 3), des EDSA (externer Link, EDSA/EDPB; PDF, siehe Punkt 6.) und auch z.B. der IAPP ein Transfer Impact Assessment (externer Link, datenschutzdocs.de) erforderlich. 

 

Und nicht zu vergessen:

Es hilft nix, wenn die Server in der EU betrieben werden. Sobald ein Unternehmen dem Rechtsrahmen des Hauptsitzes unterliegt (z.B. Server in der EU, Hauptsitz in der USA), schlägt die Drittlands-Regelung zu.

Update 18.02.2023: 

Nach Ansicht der DSK (externer Download-Link, DSK-Beschluss) stellt die Tatsache, dass Server in der EU betrieben werden noch nicht unbedingt eine Drittlands-Übermittlung dar. Es ist jedoch bei Anbietern, die personenbezogene Daten explizit in der EU verarbeiten, aber deren Muttergesellschaft in einem Drittland liegt, dennoch die Zuverlässigkeit solcher Auftragsverarbeiter nochmal besonders zu prüfen. 

 

Einen Angemessenheitsbeschluss gibt es übrigens derzeit für 14 Staaten (externer Link, EU-Kommission). Darunter so „typische“ Transfer-Länder wie z.B. Guernsey oder Isle of Man.

 

Eher eine „Randnotiz“: Dass der brandneue Angemessenheitsbeschluss für UK schon wieder auf der Kippe stehen könnte, weil Großbritannien nach dem Brexit nun eigene Vorstellungen von Datenschutz hat (externer Link, UK-Government), steht da wieder auf einem anderen Blatt.

 

Dann nehme ich halt die SCC!

Wenn man (so wie ich) kein Jurist ist und sich gelegentlich beim Verstehen der Formulierung in Urteilen etwas schwertut, dann ist eine Zusammenfassung wie die des Bundesbeauftragten für Datenschutz und Informationssicherheit (externer Link, BfDI) recht hilfreich.

 

Und da stand ja dann auch ganz klar, dass gemäß EuGH Urteil die EU Standard-Vertragsklauseln (SCC) weiterhin gültig sind.

 

Die EU-Kommission hat sich inzwischen die Arbeit gemacht, eine neue Version dieses Vertragswerkes zu veröffentlichen, die sogar das Data Processing Agreement (DPA, also den Auftragsverarbeitungsvertrag) mit entsprechenden Partnern in Drittländern beinhaltet.

 

Schade nur – die SCC alleine reichen bei weitem nicht aus. Und das ist in den Vertragsvorlagen selbst so festgeschrieben.

 

Die Klausel 14…

Da vielleicht noch nicht jeder die Zeit hatte, die SCC komplett durchzulesen, hier eine kleine Übersicht, wieso man eigentlich zu dem Standard-Vertrag noch ein sogenanntes „Transfer Impact Assessment“ (externer Link, datenschutzdocs.de) machen muss. Ansonsten sind diese Unterlagen nicht viel mehr wert als das Papier auf das sie geschrieben sind.

 

Knackpunkt ist die Klausel 14, die in der Überschrift noch recht harmlos klingt: „Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

Beim weiteren Lesen wird ein klein wenig deutlicher, was damit gemeint ist:

„a)      Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. […]“

Wo ist das Problem? Die Parteien sichern sich das zu, man unterzeichnet und los geht’s mit den Daten-Transfers.

Natürlich nicht. Im nächsten Buchstaben der Klausel 14 geht’s schon ins Eingemachte:

„b)      Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

 

i)        die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

 

ii)       die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien, (12)

 

iii)       alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden. […]“

 

Hm… kann man ja mal erklären. Nicht so schlimm. Das könnte sich der „schlaue Fuchs“ jetzt vielleicht denken.

 

Transfer Impact Assessment – da kommst nicht drum herum! 

Wäre da nicht noch der Buchstabe d) im Vertragswerk.

 

Der legt nämlich im Grunde fest, dass ein Transfer Impact Assessment (TIA) mit allen Prüfpunkten aus Buchstabe b) durchgeführt, dokumentiert und gegebenenfalls der Aufsichtsbehörde vorgelegt werden muss:

 

„d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.“

  

Gibt's da nicht was von der EU-Kommission?

Nein, es gibt keine Whitelist oder Blacklist zu Drittlandsübermittlungen. Es gibt außer den Angemessenheits-Beschlüssen leider nichts. Nach Ansicht des EuGH muss es da aber auch nichts geben.

 

Zitat aus der Zusammenfassung des BfDI:

„Es besteht keine Verpflichtung der EU-Kommission beim Erlass von Standardvertragsklauseln das Datenschutzniveau von Drittstaaten zu überprüfen (Rn. 130).

 

Der EuGH betont vielmehr die Verantwortung des Datenexporteurs, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen (Rn. 134) und geeignete Garantien für den Schutz der in ein Drittland übermittelten Daten vorzusehen (Rn. 131).“

 

Man ist geneigt zu fragen, wieso es nur für so wenige Länder bisher Angemessenheitsbeschlüsse der EU-Kommission gibt. Ob der Grund dafür vielleicht darin liegen könnte, dass so ein Prüfprozess enorm aufwendig ist?

 

Datenschutz oder „Staatsschutz“?

Rechtsbehelfe, gültige Maßnahmen für die Betroffenen um sich zur Wehr zu setzen, Gesetzesrahmen in Drittländern die ein angemessenes Datenschutzniveau garantieren?

All das ist in einem TIA zu berücksichtigen und mit den Folgen für die Rechte und Freiheiten der Betroffenen zu bewerten. 

 

Die DSK sagt dazu:

„Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.“

 

Nochmal aus der Zusammenfassung des BfDI:

„Für die geeigneten Garantien nach Art. 46 DSGVO wie z.B. die Standardvertragsklauseln greift im Hinblick auf den Schutz vor Zugriffen durch Sicherheitsbehörden der gleiche Standard wie bei Angemessenheitsentscheidungen („essential equivalence“, Art. 45 (2) DSGVO). (Rn. 96)“

 

Wir reden hier also im Kern nicht zuletzt über Zugriffe von Regierungsbehörden und Geheimdiensten auf personenbezogene Daten. Es geht dabei um die ureigensten nationalen Interessen von Staaten.

Nur zum Verständnis.

 

Unternehmen stehen jedenfalls vor der Herausforderung, ein TIA durchzuführen, wenn sie Daten in unsicheren Drittländern verarbeiten oder dorthin übertragen wollen.

 

Wir sind gespannt, was der nächste Akt in diesem „Drama“ sein wird.  

 

Update 04.10.2021: 

Die "Data Law Maps" (externer Link, Uni Passau) der Universität Passau liefern Informationen zu einem Puzzle-Teil im Rahmen eines TIA. Hilfreich, aber keine Basis für eine Entscheidung über die "Angemessenheit" des Datenschutz-Niveaus im Transfer-Land. Hier ist der aktuelle Rat von Spezialisten mit juristischen Kenntnissen der Gesetzes-Lage dort empfehlenswert.