Immer mehr Standardanwendungen und IT-Systeme werden aus der Cloud bezogen. Soziale Netzwerke führen zur erdumspannenden Verknüpfung von Usern und Organisationen. Globalisierung, Digitalisierung und internationale Konzernstrukturen verursachen in immer größerem Maße einen globalen Datenaustausch. Die explodierenden weltweiten Datenströme sind ein großes Risiko für den Daten- und Persönlichkeitsschutz, weil Ermittlungsbehörden und Geheimdienste in die Datentransfers ungehemmt eingreifen.
Mit der wegweisenden EuGH-Entscheidung Schrems II fordert der EuGH deshalb eine spezielle Risikoanalyse, die auch Datentransferfolgenabschätzung oder Transfer Impact Assessment (TIA) genannt wird und in den neuen EU-Standarddatenschutzklauseln umgesetzt wurde.
Die europäische Kommission hat am 4. Juni 2021 die neuen EU-Standarddatenschutzklauseln (Standard Contractual Clauses = SCC) beschlossen. Die alten SCC können seit dem 27. September 2021 nicht mehr verwendet werden, sodass künftig für den Datentransfer in unsichere Drittländer die neuen SCC abgeschlossen werden müssen. Die bereits abgeschlossenen alten SCC sind noch bis zum 27. Dezember 2022 wirksam, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben. Daraus folgt, dass die abgeschlossenen, alten SCC bis spätestens zu diesem Datum durch die neuen SCC ersetzt werden müssen.
Hinzu kommt, dass ein bloßer Austausch der SCC nicht ausreichend ist. Vor Abschluss der neuen SCC und vor dem Transfer personenbezogener Daten in unsichere Drittländer muss gemäß Klausel 14 der SCC ein sogenanntes Transfer Impact Assessment (TIA), also eine Datentransferfolgenabschätzung, durchgeführt werden, um die Rechtslage im Drittland und die notwendigen Zusatzmaßnahmen (z. B. Zusatzvereinbarung, Verschlüsselung, Kontrolle der Supportzugriffe usw.) zu ermitteln. Ein TIA aber ist in den Datenschutzkonzepten vieler Unternehmen und Behörden bisher nicht vorgesehen.
Die Notwendigkeit eines TIA – man spricht auch von "Datentransferfolgenabschätzung", Prüfung des "Datenschutzniveaus im Drittland" oder schlicht von einer "Risikoanalyse" – kommt also von der europäischen Ebene, insbesondere der EuGH-Entscheidung Schrems II, aber auch vom EDPB (European Data Protection Board = EDSA, Europäischer Datenschutzausschuss), der für das TIA wichtige Leitlinien erlassen hat. Das EDPB ist das Datenschutzgremium der EU, das die Datenschutzvorgaben in der EU koordiniert. Dort sind die Datenschutzbehörden der EU-Mitgliedstaaten, also auch z. B. aus Deutschland oder Frankreich, vertreten.
In den verlinkten Leitlinien des EDPB findet sich auf Seite 3 eine „Executive summary“ mit sechs „Steps“. Diese sechs Schritte werden dann im Hauptteil des Dokuments im Detail erläutert. Wichtig ist auch der „Annex 2“ mit den möglichen Zusatzmaßnahmen.
Die Datenschutzbehörden der meisten Bundesländer in Deutschland haben ebenfalls verschiedene Vorgaben und Leitlinien für das TIA erlassen und in einer gemeinsamen Aktion bekannt gegeben, dass sie die Umsetzung der Anforderungen aus der Schrems II-Entscheidung, insbesondere die notwendige Risikoanalyse, in Zukunft verstärkt überprüfen werden. Zu diesem Zweck wurden verschiedene Fragebögen veröffentlicht und an einen ausgewählten Kreis von Unternehmen versendet. Sie enthalten eine Vielzahl von Fragen und Prüfungspunkten, mit denen die Anforderungen eines TIA überprüft werden.
Vorab müssen die Prozesse und Dienstleistungsverträge, bei denen die alten SCC abgeschlossen wurden, in einer Bestandsaufnahme gelistet und die entsprechenden Vertragspartner und Dienstleister aufgefordert werden, die neuen SCC abzuschließen. Da oftmals davon auszugehen ist, dass bislang nicht alle Prozesse mit internationalen Datentransfers erfasst wurden, sollte die Gelegenheit genutzt werden, eine vollständige Auflistung der internationalen Transfers in unsichere Drittländer zu erstellen. Nur so kann eine vollständige Abdeckung mit den neuen SCC zu gewährleistet werden.
Nach diesen Vorarbeiten erfolgt dann die eigentliche Datentransferfolgenanalyse. Wie bereits ausgeführt, ist das TIA eine Risikoanalyse bezüglich der Übermittlung personenbezogener Daten in unsichere Drittländer wie z. B. die USA, China oder Indien. Maßgebliche Kriterien für die notwendige Risikobewertung sind insbesondere:
In einer anschließenden Dokumentation werden die so erhobenen Risikokriterien beurteilt und gewichtet. Sodann wird festgestellt, welche Risiken für die Betroffenen bestehen und ob die ergriffenen Abhilfemaßnahmen diese Risiken in ausreichendem Maße reduzieren können.
Einen Überblick zum Thema Schrems II und den Anforderungen an die Umsetzung eines wirksamen TIA gibt die folgende schematische Übersicht:
... mit fachlicher Unterstützung und freundlicher EmpfehlungSie haben Interesse an den rechtlichen Details oder weitere Fragen und Belange? Unser Kooperationspartner RA Horst Speichert, Geschäftsführer der esb data GmbH, erläutert Ihnen gerne die Maßnahmen im Rahmen einer notwendigen Bestandsaufnahme und Risikobetrachtung persönlich. Auch wenn Horst Speichert Sie mit einer Gap-Analyse unterstützen kann, vereinbart Gizem Düzgün gerne einen Termin: gizem.duezguen(at)syss.de. |
15-10-24
- 16-10-24
Hack7: Sicherheit und Einfallstore bei Webapplikationen
15-10-24
Awe2: Phishing Awareness
16-10-24
Awe1: IT-Sicherheit kennenlernen
17-10-24
Awe3: Social Engineering Awareness
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer