Drittlandübermittlung: Leitfaden zu Transfer Impact Assessments

Fachbeitrag

Bei Datenübermittlung in unsichere Drittländer auf Grundlage von Standarddatenschutzklauseln ist eine Risikoeinschätzung erforderlich. Der Exporteur und Importeur müssen beurteilen, ob im Drittland ein angemessener Schutz der personenbezogenen Daten gewährleistet ist. Die Durchführung eines solchen Transfer Impact Assessments (TIA) ist jedoch kompliziert. Ein Muster bringt jetzt erstes Licht ins Dunkel.

Ein Buch mit sieben Siegeln?

Man kann also nicht mehr so tun, als sei bloß mit dem Abschluss der EU-Standardvertragsklauseln alles getan. Der Datenexporteur und -importeur müssen nach den Klauseln 14 und 15 der neuen EU-Standardvertragsklauseln ein Transfer Impact Assessment durchführen und versichern, dass sie

„keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.“

So schön so gut, aber wie genau macht man das nun? Es liegt schließlich in der Natur der Geheimdienste, dass sie sich hinsichtlich ihrer Aktivitäten gerne in Schweigen hüllen.

Kriterien nach den Standardvertragsklauseln

In Klausel 14 und 15 der neuen SCC werden zwar Bewertungskriterien für das Transfer Impact Assessment an die Hand gegeben, wie etwa die Art des Empfängers, die Kategorien und das Format der übermittelten personenbezogenen Daten, die relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes sowie vertragliche, technische oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden. Es können zudem praktische Erfahrungen in die TIA einfließen. In der Fußnote zu Klausel 14 heißt es:

Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. […] Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden.

Zwar ist noch umstritten, ob sich hinter dieser Formulierung ein risikobasierter Ansatz verbirgt, wie es Teile der Literatur vertreten oder für einen solchen durch das Schrems II Urteil des EuGH kein Raum ist, wie es der EDSA und noyb vertreten (ausführlich dazu, der empfehlenswerte Aufsatz Data Transfer to unsafe Third Countries – Of the relevance and potential of the risk-based approach in Transfer Impact Assessment (TIA) under the EU Commission’s new Standard Contractual Clauses (SCC) der Kollegen Diercks und Roth).

In der Praxis ist es jedoch abseits dieser Diskussion schon schwierig überhaupt konkret zu bestimmen, wie hoch die Wahrscheinlichkeit eines nach EU-Recht unrechtmäßigen (und nach dem Recht des Drittlands rechtmäßigen) Zugriffs ist.

Es werde Licht!

Einen interessanten Ansatz dafür bietet das auf der Seite des IAPP bereitgestellte Muster zu einem Transfer Impact Assestment von Herr Rosenthal. Es bietet kreative Ansätze, um das Risiko des Zugriffs im Drittland einzugrenzen. Der Umfang der Excel-Tabelle zeigt aber auch, wie schwierig es ist, in der Schattenwelt geheimdienstlicher Überwachung das Risiko unbefugter behördlicher Zugriffe einzugrenzen. Das Muster enthält vier Beispielsfälle für Übermittlungen in die USA für folgende Dienstleistungen:

  • Compliance and Workforce Statistics
  • Hosting
  • Software as a Service
  • Hosting, Technical Support and End User Support/Management

Schritte eines Transfer Impact Assessments

Das Transfer Impact Assestment ist dabei in 4 Schritte unterteilt:

  1. Beschreiben der geplanten Übertragung
  2. Definieren der TIA-Parameter
  3. Definieren der bestehenden Sicherheitsvorkehrungen
  4. Bewertung des Risikos eines verbotenen rechtmäßigen Zugriffs im Zielland

Schritt 1: Beschreiben der geplanten Übertragung

Hier werden Details zu der geplanten Übermittlung abgefragt. In Schritt 1 sollte die fragliche Übertragung beschrieben werden. Für jede (Weiter-) Übermittlung (z.B. an Unterauftragnehmer) sollte eine separate TIA durchgeführt werden, da jeder Transfer ein eigenes Risikoprofil hat.

Schritt 2: Definieren der TIA-Parameter

Hier soll man Anfangsdatum und die Anzahl der Jahre angeben, für die das Transfer Impact Assestment durchgeführt wird. Der Zeitraum ist relevant für die Berechnung der Wahrscheinlichkeit eines Zugriffs der Behörden im Drittland, die man zu akzeptieren bereit ist. Zur Erklärung des Ansatzes heißt es:

„Wir haben festgestellt, dass viele Menschen Schwierigkeiten haben, einen Prozentsatz für die Wahrscheinlichkeit eines Ereignisses anzugeben, bei dem sie „keinen Grund zu der Annahme haben“, dass es eintreten wird (dies ist der Test nach dem EU-SCC und dem EDPB-Leitfaden für das Restrisiko eines verbotenen rechtmäßigen ausländischen Zugangs).“

„Da wir keine Erdbeben bewerten (die in jedem Fall vorkommen), haben wir als Richtwert eine Wahrscheinlichkeit von 50 % für das Auftreten eines rechtmäßigen Zugangs festgelegt. […] wir sind der Meinung, dass ein rechtmäßiger Zugang mit einer Wahrscheinlichkeit von 50:50 zu einem inakzeptablen Risiko geworden ist.“

Der Gedanke dahinter: Wenn es z. B. weitere 30 Jahre nach zu dem Beurteilungszeitraum braucht bis die Chancen eines Zugriffs auf 50:50 steigt, kann man daraus schließen, dass das Risiko eines solchen Zugriffs in dem  Beurteilungszeitraum (z.B. 5 Jahre) eher theoretisch ist.

Schritt 3: Definieren der bestehenden Schutzmaßnahmen

Hier werden „Ja/Nein“-Fragen gestellt, um das Gesamtrisiko eines Zugriffs einschätzen zu können. Gegen das Risiko des Zugriffs spricht es beispielsweise, wenn die personenbezogenen Daten die ganze Zeit verschlüsselt sind. Für einen Zugriff spricht es hingegen, wenn die Daten selbst bei der Übermittlung nicht verschlüsselt werden. Wenn man zu dem Schluss kommt, dass man durch die Schutzmaßnahmen nicht zu 100 % einen Zugriff ausschließen kann, z.B. da der Datenimporteur auf die personenbezogenen Daten im Klartext zugreift, muss man eine fallspezifische Risikoanalyse durchführen, die in Schritt 4 erfolgt.

Schritt 4: Bewertung des Risikos eines verbotenen rechtmäßigen Zugangs im Zielland

Schritt 4 soll helfen das Risiko eines verbotenen (EU) rechtmäßigen (Drittland) Zugriffs im Land des Datenimporteurs einzuschätzen. Ist die Wahrscheinlichkeit so gering, dass der Exporteur keinen Grund zu der Annahme hat, dass ein solcher Zugriff erfolgen wird, ist die Übermittlung nach den SCC zulässig, auch wenn die SCC und die getroffenen technischen und organisatorischen Maßnahmen keinen Schutz gegen solche Anfragen bieten. Das ist der schwierigste Teil eines Transfer Impact Assestments, weil man selbst bei Vorliegen eines Rechtsgutachtens nur schwer einschätzen kann, wie hoch die Wahrscheinlichkeit des Zugriffs einer ausländischen Behörde auf die personenbezogenen Daten im Klartext ist. Hier soll die TIA von Herrn Rosenthal ihre Magie entfalten. Dank einer mathematisch basierten Methode sollen viel klarere Ergebnisse erzielt werden als bei einem Rechtsgutachten

„Mit diesem Ansatz können wir zwar nicht die Zukunft vorhersagen (das kann niemand), aber solche Methoden sind für die Bewertung von Risiken – und darum geht es ja bei einer TIA – allgemein anerkannt.“

Der Schritt 4 wurde mit Blick auf das US-Recht verfasst. Für andere Rechtsordnungen ist ein anderer Inhalt erforderlich, der aber zukünftig auch bereitgestellt werden soll.

Der Einäugige unter den Blinden

Das Muster zur TIA bietet interessante Ansätze. Es kann gut für TIAs für Übermittlungen in die USA genutzt werden. Die Schwierigkeit, die Rechtslage in anderen Drittländern ohne Angemessenheitsbeschluss zu beurteilen, bleibt aber dennoch. Besonders interessant sind die Ansätze zur Berechnung einer Wahrscheinlichkeit von Zugriffen in Drittländern, weil Rechtsgutachten keine so konkreten Aussagen treffen können. Sollten Sie eigene Muster zur TIA haben, können Sie diese unter research@iapp.org einsenden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Was sich mir bis heute nicht erschließt: benötige ich ein TIA auch dann, wenn ich Daten einem US-Anbieter (wie einem der großen Cloud-Dienstleister) anvertraue, diese aber auf einem Rechenzentrumsstandort in der EU speichere (auf das die Anbieter der Cloud-Dienste wiederum Wartungszugriffe aus fast aller Herren Länder durchführen können, wenn man deren Unterauftragnehmer anschaut).

    Aufgrund des CLOUD-Acts wären ja Behördenzugriffe aus USA möglich bei US-Anbietern. Andererseits findet ja keine „Übermittlung“ von Daten ins außereuropäische Ausland statt. Können Sie mir sagen, inwieweit sich das Schrems-2-Urteil auch auf diese Konstellation bezieht? Und ob auch dann – aufgrund der möglichen Wartungszugriffe – ein TIA erforderlich ist?

    • Nach Ansicht des Europäischen Datenschutzausschuss, des Europäischen Datenschutzbeauftragten und einige weiteren Aufsichtsbehörden liegt schon bei Fällen, in denen nur eine Zugriffsmöglichkeit aus einem Drittstaat auf einen Server im EWR besteht, eine Übermittlung iSd. Art. 44 ff. DSGVO vor. So wirklich abgeschlossen scheint die Willensbildung in dem Bereich aber noch nicht zu sein.

      Denn nach Aussage des LfDI RLP wird im Arbeitskreis Internationaler Datenverkehr der DSK anhand dieses Dokuments darüber aktuell diskutiert. Darin hatte das norwegische Institut für öffentliche Gesundheit sowie der Universität Oslo Ihre Frage im Rahmen der Konsultation zum EDSA Papier „measures that supplement transfer tools“ als Problem aufgeworfen.

  2. Dieses Modell folgt einem interessanten, im Ergebnis jedoch nicht überzeugenden Ansatz, vermittelt es doch insbesondere wenig versierten Anwendern eine mathematische Genauigkeit und Sicherheit, die den juristischen Bewertungs- und Abwägungsprozess wohl unzulässigerweise verkürzt. Ein TIA ist kein Rechenspiel, sondern ein sorgfältig erstelltes, auf zuverlässigen Quellen (s. EDPB-Recommendations 01/2020) basierendes, rechtlich erhebliches Dokument. Auf subjektive, prozentuale Einschätzungen von Einzelpersonen zu vertrauen, dürfte einer behördlichen Tiefenprüfung nicht standhalten.

  3. Der Ansatz ist, bei aller Komplexität, im Ergebnis nicht geeignet. Was soll denn bitte die Konsequenz sein, bei einer Wahrscheinlichkeit von 0,5%? Auf jeden 200 Datensatz wird damit potentiell zugegriffen. Darf ich dann nur 199 Datensätze übermitteln oder jeden 200. nicht? Das ist unsinnig.Sind, wenn es um 2000 Betroffene geht, die Rechte von 10 Personen dann unbeachtlich? Diese Menschen haben dann halt Pech, weil das Unternehmen das Restrisiko für akzeptabel hielt? Wer legt denn die Schmerzgrenze fest? Wie auch sonst so oft, scheitert dieser Ansatz an der Vorhersehbarkeit. Wenn eine Wahrscheinlichkeit besteht, kann nicht vorhergesagt werden, wann der Treffer erfolgt und bei welchem Datensatz. Damit sind alle Datensätze vorsorglich dem Schutz zu unterwerfen. Auch wenn das dann in 199 Fällen im Ergebnis nicht notwendig gewesen ist.

    • Die grundsätzliche Frage ist, ob die TIA überhaupt einen risikobasierten Ansatz zulässt. In dem Abschnitt „Kriterien nach den Standardvertragsklauseln“ wird darauf eingegangen. Manche halten einen risikobasierten Ansatz für unzulässig.

      Das akzeptable Restrisiko kann in dem Muster zur TIA auch händisch eingetragen werden in Zeile 24.

      Wenn man den Wortlaut der Klausel 14 und der dazugehörigen Fußnote liest, können bisherige praktische Erfahrungen und andere objektive Elemente in die TIA einfließen.

      Zur Eingrenzung des Risikos werden in den Fußnoten des Musters zur TIA die Erwägungen dargelegt und entsprechende Quellen verlinkt (insbesondere Fußnoten 10-17). Es handelt sich also nicht um willkürliche, subjektive Annahmen. Es wird in Fußnote 17 auch explizit klargestellt, dass nicht die individuellen Daten des Exporteurs Grundlage der Einschätzung sind, sondern die objektive Wahrscheinlichkeit des Zugriffs auf die betroffenen Datenkategorien. Als Grundlage dienen verlinkte offiziellen Quellen (Aufsichtsbehörden, Stellungnahmen etc.).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.