Transfer Impact Assessment: Umsetzung von Schrems II und der neuen Standarddatenschutzklauseln

Ein Gastbeitrag von Horst Speichert, Rechtsanwalt mit Spezialisierung auf Datenschutz und IT-Recht und langjähriger Schulungsreferent der SySS

Immer mehr Standardanwendungen und IT-Systeme werden aus der Cloud bezogen. Soziale Netzwerke führen zur erdumspannenden Verknüpfung von Usern und Organisationen. Globalisierung, Digitalisierung und internationale Konzernstrukturen verursachen in immer größerem Maße einen globalen Datenaustausch. Die explodierenden weltweiten Datenströme sind ein großes Risiko für den Daten- und Persönlichkeitsschutz, weil Ermittlungsbehörden und Geheimdienste in die Datentransfers ungehemmt eingreifen. 

Mit der wegweisenden EuGH-Entscheidung Schrems II fordert der EuGH deshalb eine spezielle Risikoanalyse, die auch Datentransferfolgenabschätzung oder Transfer Impact Assessment (TIA) genannt wird und in den neuen EU-Standarddatenschutzklauseln umgesetzt wurde.

Welche Rolle spielen die EU-Standarddatenschutzklauseln ?

Die europäische Kommission hat am 4. Juni 2021 die neuen EU-Standarddatenschutzklauseln (Standard Contractual Clauses = SCC) beschlossen. Die alten SCC können seit dem 27. September 2021 nicht mehr verwendet werden, sodass künftig für den Datentransfer in unsichere Drittländer die neuen SCC abgeschlossen werden müssen. Die bereits abgeschlossenen alten SCC sind noch bis zum 27. Dezember 2022 wirksam, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben. Daraus folgt, dass die abgeschlossenen, alten SCC bis spätestens zu diesem Datum durch die neuen SCC ersetzt werden müssen. 

Hinzu kommt, dass ein bloßer Austausch der SCC nicht ausreichend ist. Vor Abschluss der neuen SCC und vor dem Transfer personenbezogener Daten in unsichere Drittländer muss gemäß Klausel 14 der SCC ein sogenanntes Transfer Impact Assessment (TIA), also eine Datentransferfolgenabschätzung, durchgeführt werden, um die Rechtslage im Drittland und die notwendigen Zusatzmaßnahmen (z. B. Zusatzvereinbarung, Verschlüsselung, Kontrolle der Supportzugriffe usw.) zu ermitteln. Ein TIA aber ist in den Datenschutzkonzepten vieler Unternehmen und Behörden bisher nicht vorgesehen.

Was ist ein Transfer Impact Assessment (TIA)?

Die Notwendigkeit eines TIA – man spricht auch von "Datentransferfolgenabschätzung", Prüfung des "Datenschutzniveaus im Drittland" oder schlicht von einer "Risikoanalyse" –  kommt also von der europäischen Ebene, insbesondere der EuGH-Entscheidung Schrems II, aber auch vom EDPB (European Data Protection Board = EDSA, Europäischer Datenschutzausschuss), der für das TIA wichtige Leitlinien erlassen hat. Das EDPB ist das Datenschutzgremium der EU, das die Datenschutzvorgaben in der EU koordiniert. Dort sind die Datenschutzbehörden der EU-Mitgliedstaaten, also auch z. B. aus Deutschland oder Frankreich, vertreten.

In den verlinkten Leitlinien des EDPB findet sich auf Seite 3 eine „Executive summary“ mit sechs „Steps“. Diese sechs Schritte werden dann im Hauptteil des Dokuments im Detail erläutert. Wichtig ist auch der „Annex 2“ mit den möglichen Zusatzmaßnahmen.

Was machen die deutschen Datenschutzbehörden?

Die Datenschutzbehörden der meisten Bundesländer in Deutschland haben ebenfalls verschiedene Vorgaben und Leitlinien für das TIA erlassen und in einer gemeinsamen Aktion bekannt gegeben, dass sie die Umsetzung der Anforderungen aus der Schrems II-Entscheidung, insbesondere die notwendige Risikoanalyse, in Zukunft verstärkt überprüfen werden. Zu diesem Zweck wurden verschiedene Fragebögen veröffentlicht und an einen ausgewählten Kreis von Unternehmen versendet. Sie enthalten eine Vielzahl von Fragen und Prüfungspunkten, mit denen die Anforderungen eines TIA überprüft werden.

Wie wird das TIA umgesetzt?

Vorab müssen die Prozesse und Dienstleistungsverträge, bei denen die alten SCC abgeschlossen wurden, in einer Bestandsaufnahme gelistet und die entsprechenden Vertragspartner und Dienstleister aufgefordert werden, die neuen SCC abzuschließen. Da oftmals davon auszugehen ist, dass bislang nicht alle Prozesse mit internationalen Datentransfers erfasst wurden, sollte die Gelegenheit genutzt werden, eine vollständige Auflistung der internationalen Transfers in unsichere Drittländer zu erstellen. Nur so kann eine vollständige Abdeckung mit den neuen SCC zu gewährleistet werden.

Nach diesen Vorarbeiten erfolgt dann die eigentliche Datentransferfolgenanalyse. Wie bereits ausgeführt, ist das TIA eine Risikoanalyse bezüglich der Übermittlung personenbezogener Daten in unsichere Drittländer wie z. B. die USA, China oder Indien. Maßgebliche Kriterien für die notwendige Risikobewertung sind insbesondere:

• Gesetze, Rechtslage im Drittland: Welche Datenschutzgesetze gelten am Speicherort im Drittland? Beschränken diese oder andere Gesetze den Zugriff der Ermittlungsbehörden/Nachrichtendienste auf Personendaten? Welche Grund- und Abwehrrechte haben die betroffenen Personen nach diesen Gesetzen?
• Art und Umfang der Daten: Wie sensibel sind die Daten? Werden die Daten einmalig oder kontinuierlich übermittelt? In und über welche Länder außerhalb der Europäischen Union werden die personenbezogenen Daten übermittelt und verarbeitet?
• Speicherort und Supportzugriff: Wo stehen die Server, auf denen die personenbezogenen Daten gehostet werden, und aus welchen Ländern erfolgen Supportzugriffe?
• Zusatzvereinbarung: Welche zusätzlichen Verpflichtungen zu technischen oder organisatorischen Schutzmaßnahmen, zur Information über Behördenersuchen oder zur Einlegung von Rechtsmitteln akzeptiert der Datenempfänger im Drittland?
• Technische Zusatzmaßnahmen: Welche Maßnahmen wie z. B. Verschlüsselung, Bring Your Own Key, welche den unberechtigten Zugriff von Behörden zuverlässig verhindern können, werden ergriffen? Werden die personenbezogenen Daten verschlüsselt gespeichert und übertragen? Ist die Schlüsselverwaltung unabhängig vom Datenhoster/Plattformbetreiber?

In einer anschließenden Dokumentation werden die so erhobenen Risikokriterien beurteilt und gewichtet. Sodann wird festgestellt, welche Risiken für die Betroffenen bestehen und ob die ergriffenen Abhilfemaßnahmen diese Risiken in ausreichendem Maße reduzieren können.

Und immer den Überblick wahren …

Einen Überblick zum Thema Schrems II und den Anforderungen an die Umsetzung eines wirksamen TIA gibt die folgende schematische Übersicht: