Die Datenübermittlung von personenbezogenen Daten in unsichere Drittländer stellt die Verantwortlichen immer wieder vor große Herausforderungen. Im Standard wird in solchen Fällen entweder von der Übermittlung abgesehen oder es kommen die Standardvertragsklauseln (SCC) zum Einsatz. In diesem Fall ist es notwendig, ein TIA (Transfer Impact Assessement) durchzuführen. In diesem Artikel wird betrachtet, was dieses ist, wie dieses durchgeführt wird und was der Mindestinhalt ist.
TIA – Was ist das?
Die Datenübermittlung in unsichere Drittländer, d. h. Drittländer oder internationale Organisationen, für die kein Beschluss (Angemessenheitsbeschluss) nach Art. 45 Abs. 3 DSGVO vorliegt, darf nach Art. 46 DSGVO nur erfolgen, wenn geeignete Garantien vorgewiesen werden. Diese müssen ermöglichen, dass ein Datenschutzniveau der DSGVO eingehalten wird. Im Alltag bieten sich dazu die Standardvertragsklauseln (SCC) an, welche durch die Europäische Kommission erlassen werden. Diese sind unverändert zu verwenden.
Klausel 14 SCC fordert eine Art Risikobewertung der geplanten Datenübermittlung, welche mit dem TIA erfolgt. Gedanke hierbei ist, dass die Unternehmen eigenständig das Sicherheitsniveau der Datenverarbeitung und des Drittlandes prüfen und daraus Schlüsse über die datenschutzrechtlichen Besonderheiten oder Einschränkungen ziehen. Problematisch ist, dass es wie so oft im Datenschutz kein standardisiertes Vorgehen gibt und daher auch kein allgemeingültiges Muster existiert. Daraus folgt wie so oft eine notwendige Einzelfallentscheidung, welche intern in ein Standardschema weiterentwickelt werden kann, sollte das Unternehmen häufiger TIAs durchführen. Es empfiehlt sich immer, einen internen Standard zu definieren.
Praktische Durchführung
In der Praxis hat sich die Dokumentation des TIAs in einer tabellarischen Form bewährt, wobei auch eine kombinierte Form aus Fließtext und Tabellen möglich ist. Ein reiner Fließtext sollte aufgrund der Lesbarkeit und der hohen Faktendichte nicht verwendet werden. Zu beachten ist, dass das TIA zusätzlich zu den SCC erfolgt, daher kann es zu einer doppelten Dokumentation kommen.
Das Transfer Impact Assessement lässt sich in fünf Abschnitte gliedern, welche dokumentiert werden müssen.
Allgemeine Informationen:
- Genaue Benennung und Bezeichnung der Vertragspartner, d. h. des Datenexporteur und des Datenimporteur
- Detaillierte Beschreibung des Datentransfers, z. B. Auszug aus Verarbeitungsverzeichnis
- Zeitraum, wann eine Neubewertung stattfindet (Prüfzyklus)
- Rechtliche Grundlage nach Art. 44ff. DSGVO für den Datentransfer
Rahmenbedingungen der Datenübermittlung:
- Art der Datenübertragung
- Datenkategorie der pb-Daten und das Format der Daten
- Informationen zum Übertragungskanal, zu den Verarbeitungsketten
- Speicherort und -art
Rechtsvorschriften des Bestimmungslandes:
In diesem Abschnitt erfolgt die Betrachtung aller im Zielland geltenden Gesetze zum Schutz von personenbezogenen Daten. Es sollten besonders Gesetze aufgenommen werden, welche den Zugriff oder die Offenlegung von pb-Daten durch Behörden oder andere öffentliche Stellen regeln.
Zusätzliche Garantien für den Datenschutz:
Dieser Abschnitt gibt die vereinbarten technischen und organisatorischen Maßnahmen wieder, welche bereits in den SCC dokumentiert wurden. Ebenso sind etwaige zusätzlich vereinbarte Garantien zu dokumentieren.
Fazit und Abwägung
Abschließend erfolgt eine Abwägung aller Punkte und eine positive oder negative Bewertung des Datentransfers. Das Ergebnis muss entweder positiv oder negativ sein. Eine Zwischenstufe ist nicht möglich. Diese Bewertung muss klar nachvollziehbar dokumentiert werden. Kommt es zu einem negativen Ergebnis, so ist entweder nachzubessern oder auf die Datenübermittlung zu verzichten.
Fazit
Wie zu sehen ist, umfasst das TIA viele Informationen, welche jedoch zum Großteil aus den anderen Dokumentationen entnommen werden können. In komplexeren Fällen ist jedoch eine detaillierte Betrachtung unabdingbar. Es empfiehlt sich vor allem bei Themen rund um die geltenden Gesetze im Bestimmungsland, mit dem Vertragspartner zusammenzuarbeiten, da dieser oft die notwendigen Informationen liefern kann.
Gerne unterstützen wir Sie bei der Durchführung eines Transfer Impact Assessments. Weitere Informationen erhalten Sie hier: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Beiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.