Transfer Impact Assessment (TIA): Ihr Wegweiser für den internationalen Datenschutz
Das Transfer Impact Assessment, auch TIA genannt, ist ein relativ neues Konzept im Bereich des Datenschutzes und ein Produkt der neuesten Entwicklungen im Bereich der internationalen Datenübertragung in Drittländer. Nach dem Urteil des EuGH zu Schrems II musste die Europäische Kommission die Standardvertragsklauseln (SCC) überarbeiten und an die Anforderungen der DSGVO anpassen. Es war erforderlich, gemäß Klausel 14 der neuen SCC in Zukunft eine Bewertung der Übertragung in ein Drittland durchzuführen. Im Artikel erfahren Sie, was das TIA ist, wie es in der Praxis umgesetzt wird und worauf Sie bei der Bewertung achten müssen.
Was ist das Transfer Impact Assessment (TIA)?
Das Transfer Impact Assessment (TIA) stellt eine spezifische Art der Risikobewertung dar, die für die Datenübermittlung in Länder mit potenziell unsicherer Datensicherheit ausgelegt ist. Es ist eine ergänzende Evaluierung, die auf Grundlage der Standardvertragsklauseln erforderlich ist und in sich selbstständig von anderen Risikobewertungen im Rahmen der Datenverarbeitung oder Datenschutz-Folgenabschätzungen durchgeführt wird.
Das Hauptziel des TIA ist es, eine tiefgehende und unabhängige Untersuchung des Sicherheitsstandards des Empfängerlandes, in das die Daten übertragen werden, zu liefern. Es ist eine sorgfältige Analyse, die sowohl von der Partei, die Daten exportiert, als auch von der Partei, die Daten importiert, durchgeführt und berücksichtigt werden muss.
Laut Artikel 4, Absatz 7 der Datenschutzgesetze trägt der oder die DatenexporteurIn die Verantwortung für die Übertragung personenbezogener Daten in ein Drittland, etwa wenn dort Dienstleistungen von Softwareunternehmen genutzt werden. In der Regel fungiert der oder die DatenimporteurIn als AuftragsverarbeiterIn, beispielsweise ein Softwareunternehmen, das Lösungen für europäische NutzerInnen bereitstellt.
Rechtliche Grundlage
Die Paragrafen 44 ff. der Datenschutzgesetze regeln die Bedingungen für die Übermittlung von personenbezogenen Daten in Drittländer. Die Definition von „Übermittlung“ umfasst die Offenlegung persönlicher Daten an Parteien in anderen Ländern oder an internationale Organisationen. Dies betrifft nicht nur die physische Weitergabe der Daten, sondern auch die Bereitstellung der Daten für Dritte. Selbst der einfache Zugriff auf einen Server beispielsweise fällt darunter.
Sollte kein Angemessenheitsbeschluss gemäß Artikel 45 der Datenschutzgesetze vorliegen, kann die Weitergabe persönlicher Daten an ein Drittland erfolgen, vorausgesetzt der oder die Verantwortliche oder der oder die AuftragsverarbeiterIn hat passende Sicherheitsgarantien bereitgestellt. Zudem müssen den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als geeignete Sicherheitsgarantie kommen unter anderem die Standardvertragsklauseln gemäß Artikel 46 Absatz 2 c der Datenschutzgrundverordnung infrage
Durch die effektive Anwendung von SCC bei internationalem Datentransfer wird gewährleistet, dass der Datenschutzstandard innerhalb der Europäischen Union nicht beeinträchtigt wird. Darüber hinaus existieren zusätzliche geeignete Garantien nach Artikel 46 der Datenschutzgrundverordnung. Artikel 49 der DSGVO enthält zudem spezifische Ausnahmen, die eine Weitergabe ohne angemessenen Beschluss oder passende Garantien ermöglichen.
Die Umsetzung des TIA in die Praxis
Wie genau gelingt nun die praktische Durchführung eines TIA? Bis dato existieren keine offiziellen Richtlinien oder verbindlichen Anweisungen. Die maßgeblichen Kriterien, die in Betracht gezogen werden müssen, lassen sich jedoch aus den in Klausel 14 lit. b) Nr. i) – iii) der SCC dargelegten Aspekten sowie der aktuellen Rechtslage im Zusammenhang mit der Übermittlung personenbezogener Daten ins Ausland ableiten. Es ist von Bedeutung, die folgenden Punkte in Erwägung zu ziehen:
Darlegung des Datentransfers
Zuerst ist es essenziell, die Basisinformationen für die Übertragung detailliert aufzulisten und zu erläutern. Hierbei spielen vor allem die in Klausel 14 lit. b) Nr. i) genannten Punkte eine tragende Rolle, die in der ersten Phase beantwortet werden sollten. Darüber hinaus sollten weitere relevante Punkte wie geeignete technische und organisatorische Maßnahmen in Betracht gezogen werden.
Bewertungsgrundlage
Zudem ist es wichtig, die Kriterien zu definieren, die für die Beurteilung herangezogen wurden. Entsprechend Klausel 14 lit. b) Nr. ii) ist es erforderlich, die rechtlichen Gegebenheiten und die Praxis im jeweiligen Drittland zu untersuchen. In diesem Kontext sollte auch das betroffene Drittland, das Datum der Datenübermittlung, der Beurteilungszeitraum und dergleichen angegeben werden.
Bestehende Sicherheitsvorkehrungen
Im Prozess des TIA ist es ebenso unerlässlich, die bestehenden Sicherheitsvorkehrungen zu klassifizieren. Hierbei sollte besonders darauf geachtet werden, ob die EDSA nach dem Schrems II-Urteil im Juli 2021 zusätzliche Schutzmaßnahmen eingeführt hat. Es ist außerdem relevant, auf welcher gesetzlichen Basis die Datenübermittlung stattfindet.
Bewertung des Risikos staatlicher Zugriffe
Der nächste Schritt umfasst die Einschätzung der rechtlichen Gegebenheiten im Drittland hinsichtlich der potenziellen Gefahr eines staatlichen Zugriffs. Besonders bedeutsam ist hier die Überlegung, ob der oder die AnbieterIn von Datenimporten in den USA einen elektronischen Kommunikationsdienst anbietet und ob er oder sie Zugang zu den personenbezogenen Daten im Klartext hat.
Eine Auswertung des Datenschutzniveaus wäre insbesondere in Bezug auf die USA wertvoll, da das EU-US-Privacy Shield nicht länger Gültigkeit besitzt und dennoch zahlreiche Datenübermittlungen in dieses Land erfolgen. Es wurden bereits Gutachten zur komplizierten Rechtslage in den USA veröffentlicht und gleichzeitig die wichtigsten Ergebnisse zusammengestellt.
Hierbei wird bemängelt, dass der Terminus „Anbieter von elektronischen Kommunikationsdiensten“ im Kontext von Section 702 FISA nur unzureichend definiert wurde. Darüber hinaus ist es den Behörden über Section 702 FISA möglich, auf sämtliche Unternehmensdaten zuzugreifen, selbst wenn ein Unternehmen nur für bestimmte Services als „electronic communication service provider“ angesehen wird. Die Aufsichtsbehörden des DSK geben an, dass sie das Gutachten trotz seiner nicht verbindlichen Wirkung in ihrer Arbeit berücksichtigen und gegenwärtig die Auswirkungen beurteilen.
Abschließende Bewertung der Datenübermittlung
Es existieren diverse Ansätze, um zu einem Resultat zu gelangen. Doch alle Ansätze sollten miteinander harmonieren, um die abschließende Beurteilung schlüssig zu begründen. Es könnte sich als hilfreich erweisen, Scoring-Modelle, Risikomatrizen oder Stellungnahmen als Instrumente einzusetzen. Letztlich gibt es jedoch keine offizielle Richtlinie oder Standardisierung für die Erstellung eines Transfer Impact Assessments. Bislang ist allerdings klar, dass jeder, der die neuen Standardvertragsklauseln akzeptiert, ebenso eine Bewertung durchführen muss. Nach Ablauf der Übergangsfrist oder dem Auslaufen der alten SCC, wird diese Thematik immer relevanter für Unternehmen, die persönliche Daten außerhalb des EWR (Europäischer Wirtschaftsraum) verarbeiten. In der Zukunft werden besonders SaaS-Unternehmen betroffen sein, die üblicherweise als Auftragsverarbeiter agieren.
Fazit
Das Transfer Impact Assessment stellt eine kritische und komplexe Maßnahme im internationalen Datenschutz dar, die eine tiefgründige Bewertung des Datenschutzniveaus im Empfängerland erfordert. Ungeachtet der Tatsache, dass es noch keine offiziellen Richtlinien gibt, ist die Durchführung eines TIA für jeden, der die neuen Standardvertragsklauseln anerkennt, unvermeidlich. Die Bedeutung dieses Assessments wird für Unternehmen, speziell jene, die außerhalb des EWR operieren, immer größer. Es ist daher von entscheidender Bedeutung, dass sie dieses Assessment gründlich durchführen, um einen soliden Datenschutz zu gewährleisten.
E-Learning für mehr Datenschutz im Unternehmen
Stellen Sie sich vor, es ist Datenschutzschulung und alle wollen hin. Unser DSGVO-E-Learning macht genau das möglich. Dialogspiele, interaktive Elemente, Erklärvideos und Experteninterviews schaffen bei Ihren Mitarbeitenden in nur 45 Minuten ein nachhaltiges Datenschutzbewusstsein.
