NEWS 01.11.2021

Das Privacy-Shield-Abkommen ist gekippt, neue Standardvertragsklauseln sind veröffentlicht. Die Umsetzung ein Buch mit sieben Siegeln? Wir wollen etwas Licht ins Dunkel bringen.

01. November 2021

Das Urteil Schrems II (EuGH 16.7.2020 – C -311/18) rüttelt Datenschützer wach: Der EuGH hat das Privacy-Shield-Abkommen gekippt. Die Datenübermittlung in ein Drittland stützt sich demnach auf die gemäß Art 46 Abs 2 DSGVO erlassenen Standardvertragsklausen, die Europäische Kommission hat am 4.6.2021 neue Standardvertragsklauseln dazu veröffentlicht.

Kurz gesagt bedeutet das, dass eine Datenübermittlung in unsichere Drittländer auf Grundlage von Standarddatenschutzklauseln eine Risikoeinschätzung erforderlich macht. Ihr Unternehmen muss dazu bewerten und festlegen, ob der Datentransfer in das Drittland und auch die Verarbeitung der Daten im Drittland ausreichend abgesichert sind und personenbezogene Daten ausreichend geschützt werden.

Es wird definiert, dass sowohl für Ihr Unternehmen und den Datenempfänger gilt …

„keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.“

 

In der Praxis wird eine solche Beurteilung mit Hilfe eines Transfer Impact Assessments – kurz TIA – durchgeführt. Wie immer bringt die tatsächliche Umsetzung einige Schwierigkeiten mit sich. Bei Unternehmen herrscht breite Unsicherheit, wie die vom EuGH geforderten weiteren Schutzmaßnahmen in der Praxis konkret aussehen und umgesetzt werden sollen.

 

Inzwischen existieren diverse Muster, die auf Excel Basis eine TIA durchführen und die auch Beispielsfälle für Übermittlungen in die USA für z.B. folgende Dienstleistungen enthalten wie etwa:

  • Compliance and Workforce Statistics

  • Hosting

  • Software as a Service

  • Hosting, Technical Support and End User Support/Management

 

Bemerkenswert erscheint, dass nach Ansicht des Europäischen Datenschutzausschusses, des Europäischen Datenschutzbeauftragten und einiger weiteren Aufsichtsbehörden bei Fällen, in denen lediglich eine Zugriffsmöglichkeit aus einem Drittstaat auf die in der EU liegenden Daten besteht, bereits eine Übermittlung iSd. Art. 44 ff. DSGVO vorliegt.

 

Wie also kann das Thema angegangen werden – es empfiehlt sich das folgende Vorgehen:

 

Im ersten Schritt wird die geplante Übertragung beschrieben, Detailangaben zum Datenexporteur sowie zum Datenimporteur sollten dokumentiert werden. Wichtig dabei ist es, für jede Übermittlung sowie Weiterübermittlung ein eigenes Assessment durchzuführen.

Im nächsten Schritt empfiehlt sich das Festlegen von „TIA-Parametern“, d.h. es wird das Anfangsdatum und die Anzahl der Jahre angegeben, für die das Transfer Impact Assessment gilt. Diese Dauer ist relevant für die Akzeptanz der Wahrscheinlichkeit eines Zugriffs von Behörden im Drittland. Diverse Tools bieten hier allerdings schon eine hinterlegte Berechnung an, die genutzt werden kann.

Im Anschluss kann der Status der bestehenden Schutzmaßnahmen erhoben werden. Dabei können Sicherheitsmaßnahmen dokumentiert werden wie z.B. der Einsatz von Verschlüsselung der Daten, wobei sich die Umsetzung mehrerer Sicherheitsmaßnahmen positiv auf das Risikolevel auswirken.

 

Gegebenenfalls muss man zum Abschluss noch eine fallspezifische Risikobewertung durchführen, insbesondere, wenn nicht sichergestellt werden kann, dass die Sicherheitsmaßnahmen in einem ausreichenden Ausmaß umgesetzt werden.

Dabei muss dann bewertet werden, wie hoch das Risiko eines in der EU verbotenen, jedoch im Drittland rechtmäßigen Zugriffs auf die Daten, einzuschätzen ist. Das bezieht sich hauptsächlich auf Datenabfragen von Drittland-Behörden. Diese Einschätzung stellt sich als größte Herausforderung der Bewertung dar, denn wer weiß schon, wann und wie oft z.B. ein Geheimdienst Zugriff auf die Unternehmensdaten verlangt? Im Ernstfall ist hier ein Rechtsgutachten notwendig, jedoch sind auch hier bereits mathematisch basierte Methoden verfügbar, die klare Ergebnisse liefern sollen.

Eine Transfer Impact Analyse bleibt somit, trotz erhältlicher Hilfestellungen, eine Herausforderung für Unternehmen und ist oftmals schwer allein zu bewältigen. secriso Consulting kann Sie und Ihr Unternehmen bei der Durchführung einer TIA tatkräftig unterstützen. Kontaktieren Sie uns einfach für eine Anfrage!

 

Sie erreichen uns per Mail unter office@secriso.com oder telefonisch unter +43 463 276376