Transfer Impact Assessments
Neue Herausforderungen für Unternehmen bei Drittlandtransfers
Spätestens, seitdem der Europäische Gerichtshof (EuGH) am 16. Juli 2020 sein Urteil fällte, in dem die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA auf dem Prüfstand standen, stellen internationale Transfers personenbezogener Daten für Unternehmen, die Dienstleister beauftragen möchten, die in einem solchen Drittstaat niedergelassen sind, eine enorme Herausforderung dar.
Nicht nur, dass das zwischen der EU und den USA geschlossene sog. Privacy Shield für nichtig erklärt wurde, der EuGH stellte zudem klar, dass zwar andere Mechanismen zur Absicherung solcher Transfers, wie die Standardvertragsklauseln (“Standard Contractual Clauses” oder kurz “SCC”) oder sog. verbindliche Unternehmensrichtlinien (“Binding Corporate Rules” oder kurz “BCR”) zwar ihre Gültigkeit behalten sollten, der Abschluss dieser Vereinbarungen in den meisten Fällen jedoch allein nicht ausreichen dürfte.
Vielmehr dürften daneben in den allermeisten Fällen noch weitere Maßnahmen zu ergreifen sein, um ein angemessenes Datenschutzniveau für die in Staaten außerhalb der EU transferierten personenbezogenen Daten sicherzustellen. Diese können sowohl technischer, als auch organisatorischer Natur sein. Um dies erkennen zu können ist vor dem Transfer eine Risikoeinschätzung, ein sog. “Transfer Impact Assessment” oder kurz “TIA“, notwendig.
Diese Transfer Impact Assessments sind mittlerweile sowohl in den kürzlich veröffentlichten Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu ergänzenden Maßnahmen als auch im aktualisierten Entwurf der Standardvertragsklauseln (SCC) vorgeschrieben.
Hierbei ist die Rechtslage in dem Drittstaat zu analysieren, welche Verarbeitungen der eingebundene Dienstleister für den Auftraggeber übernehmen soll, welche Daten überhaupt verarbeitet werden und wie hoch der Risikograd für die Betroffenen bei einem solchen Transfer ist. Gleichzeitig sollte das Angebot von Alternativanbietern geprüft werden, bei denen die ganze Problematik entfällt, da sie ihren Sitz innerhalb der EU oder einem Staat haben, für den ein Angemessenheitsbeschluss der EU-Kommission vorliegt. In der Praxis werden in solchen Konstellationen jedoch zumeist US-amerikanische Dienstleister eingebunden, wobei zu sagen ist, dass für die meisten Gebiete der USA ein solcher Beschluss eben gerade nicht vorliegt.
Und selbst wenn sämtliche der eben genannten Aspekte berücksichtigt und geprüft wurden ist es aufgrund der aktuell unsicheren Rechtslage nicht unwahrscheinlich, dass die für das Unternehmen, was einen solchen Transfer beabsichtigt, zuständige Aufsichtsbehörde die ganze Sache anders sieht und solche Vorhaben untersagt oder mit weiteren Sanktionen droht.
Wie können wir Sie unterstützen?
Da für viele Unternehmen die Beauftragung bestimmter Dienstleister in unsicheren Drittstaaten oftmals alternativlos ist, sie jedoch gleichzeitig oftmals von den vielen Anforderungen an einen datenschutzkonformen Datentransfer überfordert sind, unterstützen wir Sie gern bei der Durchführung solcher Transfer Impact Assessments, indem wir nicht nur die Rechtslage in dem betroffenen Drittstaat analysieren und bewerten, sondern auch mit dem Dienstleister direkt in Kontakt treten und die notwendigen Informationen anfordern, begutachten und bewerten.
Abschließend entwerfen wir für Sie die notwendigen Pflichtdokumentationen anhand derer Sie Ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO gegenüber der Aufsichtsbehörde nachkommen können.
Ihre Vorteile
- Erkennen Sie den Anpassungsbedarf Ihrer datenschutzrechtlichen Dokumentationen.
- Wir definieren mit Ihnen zusammen die notwendigen Schritte sowie deren Priorisierung, um den gesetzlichen und durch die Rechtsprechung aufgestellten Anforderungen nachkommen zu können.
- Weisen Sie die Einhaltung Ihrer Sorgfaltspflicht und Ihrer Fortschritte bei der Umsetzung der DSGVO, anderer Vorschriften, sowie aktueller Rechtsprechung gegenüber den Behörden nach.
- Sie bekommen einen risikobasierten Überblick über die an bestehende und künftige Dienstleister übertragene Daten.
- Wir etablieren mit Ihnen gemeinsam einen Prozess zur Überwachung der rechtlichen, technischen und organisatorischen Absicherungen bei der Übermittlung personenbezogener Daten in Drittländer.
- Wir identifizieren je nach Art der Übermittlung die potenziellen Risiken in Bezug auf die betroffenen Drittländer
- Sie können die einzelnen Transfers klar ihren Verarbeitungen zuordnen (basierend auf Ihrem Verzeichnis von Verarbeitungstätigkeiten).
- Wir ermitteln, ob ein angemessenes Datenschutzniveau ggf. durch Dienstleister in anderen Drittländern gewährleistet werden kann.
- Wir beraten Sie, welche konkreten zusätzliche Schutzmaßnahmen für die Art der beabsichtigten Transfers zu ergreifen sind.
- Wir prüfen und bewerten ggf. einschlägige Ausnahmeregelungen, auf die ein Transfer gestützt werden kann.