Internationale Datenverarbeitung: Besonderheiten bei der Erstellung von Transfer Impact Assessments (TIA) im Rahmen der neuen Standardvertragsklauseln (SCC)

Neben bürokratischen Schwierigkeiten liegt die besondere Herausforderung mit den neuen SCC in der nun notwendigen Risikoanalyse. Art. 14 der SCC normiert die Verpflichtung für Unternehmen, vor Abschluss von Standardvertragsklauseln eine TIA durchzuführen. Im Rahmen der TIA wird u.a. das Risiko eines Zugriffs durch Dritte bei einem Datentransfer in Drittländer unter Berücksichtigung der Effektivität gegebener Abwehrmechanismen bewertet. Aufgezeigt werden soll so, inwieweit der Datenimporteur in der Praxis fähig ist, seinen Verpflichtungen aus den SCC nachzukommen. Auf Basis dieser Einschätzung ergibt sich das bestehende Risiko für die Betroffenen, was für die Frage der Zulässigkeit des geplanten Datentransfers von elementarer Bedeutung ist.

Von der Grundidee der Risikoeinschätzung ähnelt die TIA der Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO: In beiden Fällen wird eine Risikobewertung bei anstehenden Datenverarbeitungsprozessen im Hinblick auf den Schutz personenbezogener Daten natürlicher Personen vorgenommen. Im Rahmen der DSFA werden weitreichend Risiken der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen im Allgemeinen abfragt – etwa ob überhaupt beim verarbeitenden Unternehmen eine Rechtsgrundlage für die Verarbeitung durch den Verarbeiter selbst vorhanden ist. Bei der TIA wird dagegen eine Risikobewertung speziell mit Blick auf den Datentransfer in Drittländer und die Eintrittswahrscheinlichkeit von Zugriffen Dritter vorgenommen. Beide Risikoeinschätzung stehen damit nebeneinander und sind unabhängig voneinander vorzunehmen.  

Durchzuführen ist die TIA von dem jeweiligen Datenexporteur, unabhängig von seinem Handeln als Verantwortlicher oder Auftragsverarbeiter. Bei Weiterleitung der Daten durch den Datenimporteur an einen Subunternehmer ist eine gesonderte Risikoeinschätzung durchzuführen. Aber was genau muss in einer TIA stehen?

Bisher gibt es noch nicht „das eine“ TIA-Formular, welches den Unternehmen zur Erfüllung ihrer gesetzlichen Pflicht an die Hand gegeben wird. Erste Indizien lieferte der Europäische Datenschutzausschuss (EDSA) mit seiner Veröffentlichung vom 18. Juni 2021 als Version 2.0 an Empfehlungen zur Umsetzung des Schrems II-Urteils (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data). Unternehmen erhalten damit jedoch kaum Klarheit hinsichtlich der genauen Anforderungen an die Erstellung einer TIA, da es an einem konkret greifbaren Prüfkatalog mangelt.

Für die Durchführung einer TIA empfiehlt sich daher ein standardisierter Ansatz anhand von vier Prüfungsschritten:

• Schritt 1: Eine exakte Risikobewertung ist nur bei umfassender Kenntnis und Berücksichtigung aller Umstände der Datenverarbeitung möglich. Im ersten Schritt ist daher zunächst eine genaue Beschreibung des beabsichtigten Datentransfers erforderlich. Dazu gehören neben den in Rede stehenden Verarbeitungsprozessen auch die Kategorien der zu verarbeitenden Daten, die Zwecke der Datenverarbeitung, die Kategorien von Betroffenen und technische Details zur Umsetzung des Datentransfers. Auch eine gegebenenfalls erfolgende Weiterleitung der Daten durch den Datenimporteur in ein weiteres Drittland – etwa an einen Subunternehmer – ist anzugeben.
   
• Schritt 2: Im Hinblick auf die weiter zu identifizierenden Parameter zur Risikoidentifikation sind vor allem die Betrachtung der Rechtslage des Drittlandes, in das die Daten übermittelt werden, und die dortigen Rechtsgrundlagen, die einen Zugriff der Behörden des Drittlands ermöglichen können, von Relevanz. Ebenso ist das Bestehen von Verpflichtungen zur Offenlegung von Verschlüsselungsmechanismen gegenüber staatlichen Stellen zu berücksichtigen. Gleiches gilt hinsichtlich der Frage, ob für die Behörden des Drittlandes ihrerseits Informationspflichten gegenüber den Betroffenen bei Zugriff auf personenbezogene Daten bestehen. Daneben ist zu hinterfragen, ob in dem betroffenen Drittland effektive Rechtsmittel für die Betroffenen bestehen.
   
• Schritt 3: Risikominimierend können sich etwaige bestehende Sicherheitsvorkehrungen auswirken. In Betracht kommen etwa geeignete Transport- bzw. Ende-zu-Ende Verschlüsselungen der personenbezogenen Daten bei der Übermittlung. Wichtig ist, nicht nur Maßnahmen festzulegen, sondern diese auch in der Praxis umzusetzen. Dazu gehört auch die Kontrolle der Maßnahmen: ergriffene Abhilfemaßnahmen sollten fortlaufend getestet und deren Wirksamkeit dokumentiert werden. Stellt sich zu einem späteren Zeitpunkt heraus, dass geplante Maßnahmen nicht (wirksam) realisiert werden können, müssen andere geeignete Maßnahmen ausgewählt oder die Übermittlungs- und Verarbeitungsvorgänge insgesamt angepasst werden.
   
• Schritt 4: Soweit auf Basis der vorgenannten Kriterien ein Datenzugriff durch Behörden des Drittlandes nicht vollständig ausgeschlossen werden kann, ist sodann in einem letzten Schritt die abschließende Risikobewertung selbst vorzunehmen. Im Kern ist das Risiko eines Zugriffs durch Dritte im Drittland, der nicht im Einklang mit den Grundsätzen der DS-GVO steht, zu identifizieren und zu bewerten. Die Evaluation ist länderspezifisch und verarbeitungsspezifisch durchzuführen. Berücksichtigung finden kann die geltende Praxis der Behörden sowie frühere Erfahrungen der Beteiligten hinsichtlich des Zugriffs auf bestimmte Datenkategorien. Eine nachträgliche Änderung der Risiken kann durch eine Änderung der Rechtslage im Drittland erfolgen.

Aufgrund der Vielzahl von Datenverarbeitungsprozessen und dem Einsatz diverser Auftragsverarbeiter ist klar, dass die Erstellung einer TIA kein einmaliger Vorgang ist. Es sind neue Prozesse zu definieren und eine kontinuierliche Überprüfung und Anpassung der Risikoeinschätzung vorzunehmen. Angesichts des erforderlichen Arbeitsaufwands und des für die Lagebewertung in den Drittländern nötigen Fachwissens stellt der Pflichtenkatalog insbesondere für kleinere und mittlere Unternehmen eine große Hürde dar. Schwierigkeiten bestehen zudem vor allem darin, Veränderungen in allen relevanten Drittländern im Auge zu behalten. Realistisch werden Unternehmen zumeist auf Auskünfte und eine Überwachung der Rechtslage durch die Datenimporteure und/oder zu beauftragende Rechtsbeistände im Drittland angewiesen sein. Hier empfiehlt es sich, den Datenimporteur seinerseits zu einer Überwachung der Rechtslage zu verpflichten. Fraglich bleibt, ob Unternehmen in Drittstaaten in der Praxis zur Transparenz sowie zur Akzeptanz von teils weitreichenden zusätzlichen Verpflichtungen bereit sein werden.

Es bleibt abzuwarten, welchen Maßstab die europäischen Datenschutzbehörden bei der Überprüfung der TIAs zugrunde legen werden. Abhilfe hinsichtlich der bestehenden Rechtsunsicherheit könnte zumindest die Veröffentlichung eines weitergehenden Katalogs zur Konkretisierung der Anforderungen an eine TIA bieten. Als weitere Orientierungshilfe käme eine allgemeine Einschätzung des Datenschutzniveaus in relevanten Drittländern durch die europäischen Datenschutzbehörden in Betracht.