Transfer Impact Assessment

Transfer Impact Assessment

Am 04.06.2021 beschloss die Europäische Kommission die neuen Standarddatenschutzklauseln (mehr dazu hier). Wer sich diese Standarddatenschutzklauseln genauer anschaut, findet unter Klausel 14 einen Satz, bei dem der Datenimporteur (Auftragnehmer, Auftragsverarbeiter) dem Datenexporteur (Auftraggeber) zusichert, dass jegliche Rechtsvorschriften, Gepflogenheiten etc. kein Hindernis für den Datenimporteur bei der Erfüllung seiner Pflichten gemäß den Standarddatenschutzklauseln darstellen. Diese Klausel sieht indirekt die Erstellung eines sich damit befassenden Dokumentes vor: Kurz zusammengefasst kommen wir hierbei auf das Transfer Impact Assessment zu sprechen.

Die Entstehung des Transfer Impact Assessments

In der DSGVO finden wir keinen Hinweis auf ein Transfer Impact Assessment. Sozusagen in Mode gekommen ist es mit der neuesten Version der Standarddatenschutzklauseln letztes Jahr. Die Standarddatenschutzklauseln gab es natürlich auch schon vorher. Innerhalb dieser Zeit wurde jedoch das Safe Harbour-Abkommen zwischen der EU und den USA für nichtig erklärt, die DSGVO trat in Kraft und auch das EU-US-Privacy Shield verlor seine Gültigkeit (mehr zu diesem Thema hier). Folglich war eine Aktualisierung der Standarddatenschutzklauseln vonnöten.

Nun fragt sich so manche Person, ob es nicht einen deutschsprachigen Begriff für Transfer Impact Assessment gibt. Nicht wirklich. Im Deutschen könnte man es eine „Risikoanalyse oder Beurteilung der Folgen einer Datenübermittlung in ein Drittland“ nennen. Der Einfachheitshalber werden wir im Folgenden allerdings den Begriff „Transfer Impact Assessment“ nutzen.

Zusammenarbeit bei Durchführung eines Transfer Impact Assessments

Kommt es zu einer Übermittlung personenbezogener Daten in ein unsicheres Drittland, ist ein Transfer Impact Assessment durchzuführen. In den Standarddatenschutzklauseln unter Klausel 14 steht, dass dies in Zusammenarbeit zwischen dem Datenexporteur und dem Datenimporteur zu erarbeiten ist. Wie dies vonstattengeht, legen die Standarddatenschutzklauseln nicht fest. Mögliche Szenarien sind, dass der Auftraggeber nach seinem besten Wissen das Transfer Impact Assessment erstellt und der Auftragnehmer insofern zuarbeitet, dass der Auftragnehmer mit Blick auf die Gesetze und Gepflogenheiten in seinem Land zuarbeitet. Dies erscheint auch sinnvoll, da der Auftragnehmer mit diesen am vertrautesten sein wird. Solch eine Zusammenarbeit könnte sich allerdings als zeitintensiv herausstellen. Man stelle sich beispielsweise vor, Konzerne wie Google, Meta, Microsoft etc. würden mit jedem einzelnen Auftraggeber einzeln ein Transfer Impact Assessment ausarbeiten. Dies wäre für den jeweiligen Dienstleister nicht Gewinn bringend. Aus diesem Grund ist es oftmals gängig, dass der Auftragnehmer es zur Verfügung stellt.

Inhalt

Unter Klausel 14 (b) finden wir Hinweise darauf, womit sich die Vertragsparteien in einem Transfer Impact Assessment befassen müssen. Wie wir im Folgenden näher beschreiben, sollte ein Transfer Impact Assessment eine Beschreibung der Verarbeitung (Klausel 14 (b) (i)), eine Bewertung des Risikos eines behördlichen Zugriffes (Klausel 14 (b) (ii)), die ergriffenen technischen und organisatorischen Maßnahmen (Klausel 14 (b) (iii)) und eine abschließende Beurteilung enthalten.

Klausel 14 (b) (i)

Demnach sollte ein Transfer Impact Assessment mindestens folgenden Inhalt haben:

Informationen zu

1)     den besonderen Umständen der Übermittlung,

2)    der Länge der Verarbeitungskette,

3)    der Anzahl der beteiligten Akteure,

4)    der verwendeten Übertragungskanäle,

5)    der beabsichtigten Datenweiterleitungen,

6)    der Art des Empfängers,

7)    dem Zweck der Verarbeitung,

8)    den Kategorien der personenbezogenen Daten,

9)    dem Format der übermittelten personenbezogenen Daten,

10)  der Wirtschaftsbranche, in die die Übermittlung stattfindet sowie

11)   den Aufbewahrungsstandort der übermittelten Daten.

Klausel 14 (b) (ii)

Des Weiteren hat das Transfer Impact Assessment über die Gesetze und Gepflogenheiten im Drittland, in welches die personenbezogenen Daten übermittelt werden, zu informieren. Dabei ist auch auf die Vorschrift einer Offenlegung von personenbezogenen Daten gegenüber Behörden oder eines Zuganges zu diesen Daten durch Behörden einzugehen. Bei der Durchführung eines Transfer Impact Assessments kann es auch dienlich sein, einzubeziehen, ob es zu einem früheren Zeitpunkt bereits zu einem Ersuchen um Offenlegung durch Behörden kam. Der dafür zu betrachtende Zeitraum wird nicht festgelegt, sondern die Vertragsparteien können selbst entscheiden, welchen Zeitraum sie als ausreichend repräsentativ erachten.

Klausel 14 (b) (iii)

Nicht zu vergessen sind Angaben zu allen technischen und organisatorischen Maßnahmen, die die Parteien zum Schutz und zur Sicherheit der Daten während der kompletten Verarbeitung im Zuge dieses Vertragsverhältnisses ergreifen.

Abschließende Beurteilung

Die vorhergegangenen Schritte führen letztendlich zu der Beurteilung, wie wahrscheinlich ein behördlicher Zugriff auf die personenbezogenen Daten und damit eine unrechtmäßige Verarbeitung sind. Weiterführend kann der Verantwortliche dann begründen, weshalb er die Übermittlung dieser personenbezogenen Daten in ein unsicheres Drittland dennoch beibehält und als vertretbar erachtet.

Ziel der Durchführung eines Transfer Impact Assessments

Letztendlich soll ein Transfer Impact Assessment als eine Auseinandersetzung damit dienen, dass eine Übermittlung personenbezogener Daten in ein unsicheres Drittland kein Risiko für die Rechte und Freiheiten Betroffener darstellt und der Auftragnehmer die Vorschriften der DSGVO erfüllen und einhalten kann. Fragt die Datenschutzaufsichtsbehörde danach, ist es vorzulegen.

Transfer Impact Assessment (TIA) und Datenschutz-Folgenabschätzung (DSFA)

Bei Betrachtung des Inhaltes eines Transfer Impact Assessments ist der Gedanke an eine Datenschutz-Folgenabschätzung nicht so abwegig. Es sind dennoch zwei verschiedene Dokumente. Dabei besteht allerdings die Möglichkeit, ein Transfer Impact Assessment in eine Datenschutz-Folgenabschätzung einzubauen, wenn eine Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung verlangt und eine Datenübermittlung in ein unsicheres Drittland als Unterverarbeitung stattfindet. Bei der Datenschutz-Folgenabschätzung handelt es sich um ein Dokument, welches hilft, das Risiko bei einer Verarbeitung von personenbezogenen Daten zu ermitteln, zu bewerten und zu bewältigen. Des Weiteren ist die Durchführung einer Datenschutz-Folgenabschätzung unabhängig davon, ob eine Übermittlung personenbezogener Daten in ein Drittland stattfindet. Sie hängt von der Art der Verarbeitungstätigkeit ab. Ein Transfer Impact Assessment dagegen ist immer durchzuführen, wenn personenbezogene Daten in ein unsicheres Drittland übermittelt werden.

Fazit

Es ist einem jeden Verantwortlichen selbst überlassen, wie er ein Transfer Impact Assessment umsetzt. Empfehlenswert ist es u. a., herauszufinden, ob ein Dienstleister solch eine Beurteilung eventuell schon für seine Kunden bereitstellt. Dies kann ein Verantwortlicher dann gegebenenfalls übernehmen. So erstellte die niederländische Regierung ein Transfer Impact Assessment zur Übermittlung personenbezogener Daten in ein unsicheres Drittland beim Einsatz Microsoft Teams in Verbindung mit OneDrive, SharePoint Online und Azure Active Directory (Link). Möglicherweise wählt ein Verantwortlicher aber auch die Möglichkeit, dieses Dokument in ein eigenes Transfer Impact Assessment einzuarbeiten. Auch hier macht der Gesetzgeber keine Vorgaben. Das Dokument muss auf aktuellem Stand vorhanden sein. Je nachdem, bei wie vielen Verarbeitungstätigkeiten personenbezogenen Daten in ein unsicheres Drittland übermittelt werden, kann es sein, dass ein Verantwortlicher mehrere solcher Dokumente zu seinem Datenschutz-Management-System zählt.

Bei der Erstellung eines solchen Dokumentes können wir bei Bedarf und auf Wunsch beratend helfen. Allerdings nicht nur das! Gern unterstützen wir Sie bei der Erstellung eines oder der Aktualisierung eines schon bestehenden Datenschutz-Management-Systems oder stellen einen externen Datenschutzbeauftragten. Um mehr zu erfahren oder ein unverbindliches Angebot zu erhalten, sind wir gern verfügbar. Kontaktieren Sie uns am besten heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.