Warum der internationale Datentransfer rechtssicher gestaltet werden sollte!
In diesem Artikel erfahren Sie, wie das Transfer Impact Assessment den internationalen Datentransfer in Ihrem Unternehmen schützen kann und wie Sie Datenflüsse in Drittländer rechtssicher gestalten.
Wie kann der internationale Datentransfer abgesichert werden?
Eine Datenübermittlung in Länder außerhalb der EU ist nur unter strengen Voraussetzungen zulässig. Die Datenübermittlung in sogenannte Drittländer wie beispielsweise Indien oder China ohne ein vergleichbares Datenschutzniveau muss insbesondere nach der Schrems II Entscheidung des Europäischen Gerichtshofs im Jahr 2020 hohe Anforderungen erfüllen. Wir haben bereits in älteren Beiträgen über die hierfür meist erforderlichen Standardvertragsklauseln (SCC) und den Ablauf der Übergangsfrist berichtet.
Klausel 14 der neuen SCC sieht vor, dass beim Datentransfer in außereuropäisches Ausland zukünftig ein sogenanntes Transfer Impact Assessment (TIA) durchgeführt werden muss. Im Rahmen des TIA ist jeder Datenexporteur dazu verpflichtet, das Datenschutzniveau im Empfängerland und insbesondere das Risiko eines Zugriffs durch öffentliche Behörden auf die exportierten Daten im Zielland zu bewerten.
Was ist das Transfer Impact Assessment (TIA)?
Das TIA dient der Analyse des Sicherheitsniveaus im jeweiligen Drittland, in das Sie als Verantwortlicher und Datenexporteur Daten übermitteln wollen. Beurteilt werden dabei insbesondere die im Importland geltenden Rechtsvorschriften und Gepflogenheiten in Bezug auf mögliche Offenlegungspflichten des Datenimporteurs gegenüber Behörden. Das Datenschutzniveau wäre beispielsweise als niedrig zu bewerten, wenn im Drittland öffentliche Behörden jederzeit Zugriff auf die von Ihnen exportierten Daten erhalten können und der Datenimporteur diesbezüglich einer unumgehbaren Offenlegungspflicht unterliegt.
In einem solchen Fall müssten konkrete zusätzliche Sicherheitsmaßnahmen im Rahmen des TIA ermittelt werden, die im Ergebnis das mangelnde vor Ort herrschende Datenschutzniveau wieder ausgleichen. Der Datenimporteuer muss in diesem Fall zusichern, dass er anderweitig dafür Sorge tragen kann, dass alle exportierten Daten - ähnlich wie unter Geltung der europäischen DSGVO - einem angemessenen Schutzstandard unterliegen.
Die Eintrittswahrscheinlichkeit eines behördlichen Zugriffs muss in Anbetracht der Umstände des Datentransfers, der nationalen Gesetze im Empfängerland, der Tätigkeit der Parteien sowie der vor Ort getroffenen Sicherheitsmaßnahmen beurteilt werden. Beispielsweise kann es einen Unterschied machen, ob Daten digital oder in Papierform übermittelt werden oder ob der Datenimporteur Anbieter eines elektronischen Kommunikationsdienstes oder ein Softwarehersteller ist.
Die International Association of Privacy Professionals (IAPP) hat zur Veranschaulichung von
TIAs hier Musterdokumente bereitgestellt. Dort können Sie sich das Ergebnis einer solchen komplexen Wahrscheinlichkeitsberechnung ansehen.
Wer ist betroffen?
Alle Unternehmen, die eigenständig oder durch den Einsatz externer Dienstleister wie z.B. Hosting Dienste oder SaaS Kunden-, User- oder Beschäftigtendaten in Drittländer übermitteln, sind von dieser wichtigen Änderung betroffen. Drittländer im Sinne der DSGVO sind zum Beispiel China, Mexiko, Bangladesch, die Philippinen oder Brasilien.
Was können Sie tun?
Wenn Sie Daten ins Ausland übermitteln, prüfen Sie zunächst, ob die Grundvoraussetzungen hierfür vorliegen (AVV, Einsatz des richtigen Moduls der Standardvertragsklauseln bei Drittlandtransfer u.a.). Alle wichtigen Einzelheiten haben wir für Sie in einem älteren Beitrag über die Standardvertragsklauseln aufgelistet.
Nutzen Sie zur Prüfung Ihrer internationalen Datenflüsse auch die von uns angebotenen Website-Checks, um sich einen vollständigen Überblick über alle eingesetzten Dienstleister und die rechtlichen Anforderungen an den Transfer der Daten zu verschaffen.
Falls möglich, sollten Sie langfristig prüfen, ob Ihr Unternehmen auf Subunternehmer in Drittländern verzichten kann, und vorzugsweise mit Dienstleistern aus Ländern mit Angemessenheitsbeschlüssen oder dem europäischen Wirtschaftsraum zusammenarbeiten. So können Sie den datenschutzrechtlichen Dokumentations- aufwand um ein Vielfaches verringern.
Sofern Sie Daten in ein Drittland übermitteln, für die kein Angemessenheitsbeschluss oder anderweitige Garantien im Sinne von Art. 46 ff. DSGVO vorliegen, muss ein entsprechendes Transfer Impact Assessment durchgeführt werden.
Wie wir Ihnen helfen können!
Professionelle Unterstützung erscheint bei der Erstellung von Transfer Impact Assessments unerlässlich, da es bislang keine offiziellen Leitfäden und Muster für TIAs gibt und sich die Ermittlung des konkreten Datenschutzniveaus in Drittländern als äußerst schwierig erweisen kann. Wir nutzen für die Erstellung von TIAs eine von Legal Tech Experten entwickelte Software, um unseren Kunden eine maximal rechtssicherere Lösung zu transparenten Festpreisen garantieren zu können.
Sie haben Fragen zur Datenübermittlung ins Ausland oder sehen Handlungsbedarf bei einem anderen Datenschutzthema? Dann kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per E-Mail oder Telefon, um einen kostenfreien Beratungstermin zu vereinbaren.
Ihr entplexit Datenschutz Team
E-Mail: datenschutz@entplexit.com
Telefon: 06196 973 44 00
Comments