LRZ E Zeitschrift Logo

LRZHeaderBogenRot
 

Zitiervorschlag: Rath/Petruzzelli/De Vries, LRZ 2022, Rn. 388, [●], www.lrz.legal/2022Rn388

 

Mit dem verpflichtenden Einsatz der neuen EU-Standardvertragsklauseln (auch SCC Standard Contractual Clauses genannt) müssen Unternehmen nun eine Risikoeinschätzung vom Datenschutzniveau im Drittland des Datenempfängers in Gestalt eines Transfer Impact Assessments (TIA) durchführen. Orientierungshilfe in dieser teilweise schwer überschaubaren Situation ist gefragt.

 

 

1. Einführung

Bei einem Transfer von Daten außerhalb EU/EWR muss nun neben der Verwendung von Standardvertragsklauseln (das sind EU-Vorschriften, die verabschiedet wurden, um den Schutz personenbezogener Daten überall in der EU und auch bei der Übermittlung in Länder außerhalb der EU zu gewährleisten) auch ein Transfer Impact Assessment (kurz „TIA“) durchgeführt werden: Dies ist eine Einzelfallbewertung, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen.

Rn388

2. EuGH-Urteil zu „Schrems II“

Die erhöhten Hürden für den Datentransfer in Drittländer sind Konsequenz des Schrems-II-Urteils des EuGH.1 Im Rahmen dieser Entscheidung wurde vom EuGH das sog. „EU-US Privacy Shield“ für ungültig erklärt sowie erhöhte Anforderungen für Datenübermittlungen in Drittländer normiert. Bis zu diesem Zeitpunkt ermöglichte das EU-US Privacy Shield den Datenexporteuren eine vergleichsweise unkomplizierte Datenübermittlung in die USA. Liegt kein Angemessenheitsbeschluss vor, kann der Datentransfer insbesondere auf Basis von EU-Standardvertragsklauseln nach Art. 46 Abs. 2 DSGVO erfolgen. SCC kommen zum Einsatz, soweit personenbezogene Daten in ein Drittland außerhalb der EU/des EWR übermittelt werden, für das keine andere Rechtfertigungsgrundlage besteht. Eine Rechtfertigung kann sich etwa aus Einwilligungen, einer Ausnahme nach Art. 49 DSGVO oder verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) ergeben.

Rn389

Auf Basis der mit der Schrems-II-Entscheidung gestiegenen Ansprüche wurden von der EU-Kommission am 7. Juni 2021 neue SCC veröffentlicht. Ziel der neuen SCC ist es sicherzustellen, dass ein Datenschutzniveau gewährleistet wird, das dem der DSGVO und den dort normierten Rechten und Freiheiten entspricht. In diesem Sinne soll u.a. ausgeschlossen werden, dass ein Zugriff durch Dritte auf die Daten der Betroffenen erfolgt. Vornehmlich geht es dabei um auszuschließende Datenzugriffe durch ausländische Behörden und die mangelnde Rechtsschutzmöglichkeit der Betroffenen in den jeweiligen Drittländern. Soweit kein angemessenes Datenschutzniveau im Drittland gewährleistet werden kann, sind zusätzliche Sicherheitsmechanismen zu ergreifen. Führt dies nicht zu einem maßgeblich verringerten Zugriffsrisiko, hat der Datentransfer zu unterbleiben.

Rn390

Mit den neuen SCC stehen Unternehmen nun vier – statt ehemals zwei – Module zur Verfügung, unter denen das auf den konkreten Datenverarbeitungsvorgang passende Modul ausgewählt werden muss (Modul 1: Transfer controller to controller, Modul 2: Transfer controller to processor, Modul 3: Transfer processor to processor, Modul 4: Transfer processor to controller).2 Seit dem 27.09.2021 dürfen die alten SCC nicht mehr für neue Übermittlungen genutzt werden. Für bereits bestehende unveränderte Datentransfers müssen die neuen SCC bis zum 27.12.2022 implementiert sein. Werden allerdings bestehende Verarbeitungsvorgänge verändert, so müssen unmittelbar die neuen SCC eingesetzt werden.

Rn391

3. Erforderlichkeit einer TIA

Neben bürokratischen Schwierigkeiten liegt die besondere Herausforderung mit den neuen SCC in der nun notwendigen Risikoanalyse – diese wird TIA genannt. Art. 14 der SCC normiert die Verpflichtung für Unternehmen, vor Abschluss von Standardvertragsklauseln eine TIA durchzuführen. Im Rahmen dieser Impact Assessment wird das Risiko eines Zugriffs durch Dritte bei einem Datentransfer in Drittländern unter Berücksichtigung der Effektivität gegebener Abwehrmechanismen bewertet. Aufgezeigt werden soll so, inwieweit der Datenimporteur in der Praxis fähig ist, seinen Verpflichtungen aus den SCC nachzukommen. Auf Basis dieser Einschätzung ergibt sich das bestehende Risiko für die Betroffenen, was für die Frage der Zulässigkeit des geplanten Datentransfers von elementarer Bedeutung ist. Durchzuführen ist die TIA von dem jeweiligen Datenexporteur, unabhängig von seinem Handeln als Verantwortlicher oder Auftragsverarbeiter.

Rn392

Von der Grundidee der Risikoeinschätzung ähnelt die TIA der Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO: in beiden Fällen wird eine Risikobewertung bei anstehenden Datenverarbeitungsprozessen im Hinblick auf den Schutz personenbezogener Daten natürlicher Personen vorgenommen. Im Rahmen der DSFA werden weitreichend Risiken der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen im Allgemeinen abfragt – etwa ob überhaupt beim verarbeitenden Unternehmen eine Rechtsgrundlage für die Verarbeitung durch den Verarbeiter selbst vorhanden ist. Bei der TIA wird dagegen eine Risikobewertung speziell mit Blick auf den Datentransfer in Drittländer und die Eintrittswahrscheinlichkeit von Zugriffen Dritter vorgenommen. Beide Risikoeinschätzung stehen damit nebeneinander und sind unabhängig voneinander vorzunehmen. 

Rn393

4. Besonderheiten bei der Weiterübermittlung

Bei Weiterleitung der Daten an einen Subunternehmer ist eine gesonderte Risikoeinschätzung durchzuführen. Ist die Weiterübermittlung an den Subunternehmer Teil der Verarbeitung für den ursprünglichen Datenexporteur als Verantwortlichen (d.h. Modul 2 der SCC zwischen Datenexporteur und Datenimporteur), so ist von dem Datenexporteur die zusätzliche TIA durchzuführen. Dies gilt auch, soweit die Weiterübermittlung unmittelbar durch den Datenimporteur erfolgt. Der Datenimporteur ist nur für die weitere TIA zuständig, soweit er die Weiterübermittlung an den Subunternehmer in der Rolle des Verantwortlichen (d.h. Modul 1 oder Modul 4 der SCC zwischen Datenexporteur und Datenimporteur) vornimmt. In diesem Fall ist der Datenimporteur selbst verpflichtet, die Bestimmungen über die Weiterübermittlung in den SCC einzuhalten und muss damit regelmäßig selbst erneut SCC abschließen.3

Rn394

Ob sich der Datenexporteur diese weitere von dem Datenimporteur zu erstellende TIA vorlegen lassen muss, ist offen. Der Empfehlung der EDSA ist zu entnehmen, dass alle möglicherweise erfolgenden Weitertransfers in die Risikoabwägung einbezogen werden sollen.4 Die Reichweite der Einbeziehung wird dagegen nicht festgelegt. Man könnte mithin darauf fokussieren, dass der Prozess des ersten Datentransfers sowie der Weiterleitung nicht vollkommen getrennt betrachtet werden können: besteht nach der Weiterübermittlung das erhöhte Risiko eines Datenzugriffs, so wurde das Risiko mit der ersten Übermittlung – als Voraussetzung für die Weiterübermittlung – zumindest mittelbar geschaffen. Die Risikoabwägung im Rahmen des ersten Datentransfers wird jedenfalls mittelbar davon beeinflusst, was in einem zweiten Schritt mit den Daten passiert. Lässt sich der Datenexporteur die TIA für die Weiterübermittlung also nicht vorlegen, so ist der Datenexporteur auch nicht in der Lage, die Risikosituation für seinen Datentransfer vollumfänglich zu beurteilen. Andererseits ist anzumerken, dass die TIA für die Weiterübermittlung nur dann durch den ursprünglichen Datenimporteur durchzuführen ist, soweit auch dieser selbst als Verantwortlicher für die Sicherheit des weiteren Datentransfers Gewähr leistet.

Rn395

5. Prüfungsschritte

Bisher gibt es noch nicht „das eine“ TIA-Formular, welches den Unternehmen zur Erfüllung ihrer gesetzlichen Pflicht an die Hand gegeben wird. Erste Indizien lieferte der Europäische Datenschutzausschuss (EDSA) mit seiner Veröffentlichung vom 18. Juni 2021 als Version 2.0 an Empfehlungen zur Umsetzung des Schrems-II-Urteils (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data). Unternehmen erhalten damit jedoch kaum Klarheit hinsichtlich der genauen Anforderungen an die Erstellung einer TIA, da es an einem konkret greifbaren Prüfkatalog mangelt.5

Rn396

Für die Durchführung einer TIA empfiehlt sich ein standardisierter Ansatz. Im Folgenden soll ein solcher anhand von vier Prüfungsschritten vorgestellt werden.

Rn397

Entscheidend ist in einem ersten Schritt eine genaue Beschreibung des beabsichtigten Datentransfers. Eine exakte Risikobewertung ist nur bei umfassender Kenntnis und Berücksichtigung aller Transfer-Faktoren möglich. Dazu gehören neben den in Rede stehenden Drittländern auch die Zwecke des Datentransfers, Kategorien von Betroffenen, personenbezogenen Daten und technische Details zur Umsetzung des Datentransfers. Auch eine gegebenenfalls erfolgende Weiterleitung der Daten durch den Datenempfänger in ein weiteres Drittland – etwa an einen Subunternehmer – ist anzugeben.

Rn398

In einem nächsten Schritt sind die Parameter zur Risikoidentifikation festzulegen. Relevant ist hier vor allem die Rechtslage des Drittlandes, in das die Daten übermittelt werden und die dortigen Rechtsgrundlagen, die einen Zugriff der Behörden des Drittlands ermöglichen können. Für die USA wäre hier etwa Section 702 des Foreign Intelligence Surveillance Act (FISA) zu nennen. Ebenso ist das Bestehen von Verpflichtungen zur Offenlegung von Verschlüsselungsmechanismen gegenüber staatlichen Stellen zu berücksichtigen. Gleiches gilt hinsichtlich der Frage, ob für die Behörden des Drittlandes ihrerseits Informationspflichten gegenüber den Betroffenen bei Zugriff auf personenbezogene Daten bestehen. Daneben ist zu hinterfragen, ob in dem betroffenen Drittland effektive Rechtsmittel für Betroffene bestehen. Bestehende Rechte und Pflichten würden einen Großteil ihrer Wirkung einbüßen, wenn diese nicht auch effektiv durchgesetzt werden könnten.

Rn399

In einem dritten Schritt sind ergriffene und zu ergreifende technische- und organisatorische Maßnahmen zu bewerten. Bestehende Sicherheitsvorkehrungen können sich risikominimierend auswirken. In Betracht kommen hier etwa geeignete Transport- bzw. Ende-zu-Ende Verschlüsselungen der personenbezogenen Daten bei der Übermittlung. Möglich ist eine Pseudonymisierung oder Anonymisierung der Daten mit Blick auf einen Zugriff im Drittland auch durch den Datenempfänger selbst. Hierbei können zusätzlich vertragliche Absicherungen und Garantien vereinbart werden. Auch erwogene Alternativen, die eine Transferproblematik verhindern könnten müssen erwogen und dargestellt werden. Der Landesbeauftragte für Datenschutz und Information Baden-Württemberg (LfDI) hat bereits angekündigt, dass auf dieses Kriterium ein besonderes Augenmerk gelegt werden wird.6 Wichtig ist, nicht nur Maßnahmen festzulegen, sondern zudem die für die Umsetzung verantwortlichen Personen zu bestimmen. Dazu gehört auch die Kontrolle der Maßnahmen: ergriffene Abhilfemaßnahmen sollten dem Stand der Technik entsprechen sowie fortlaufend getestet und deren Wirksamkeit dokumentiert werden. Stellt sich zu einem späteren Zeitpunkt heraus, dass geplante Maßnahmen nicht (wirksam) realisiert werden können, müssen andere geeignete Maßnahmen ausgewählt oder die Übermittlungs- und Verarbeitungsvorgänge insgesamt angepasst werden.

Rn400

Soweit auf Basis der vorgenannten Kriterien ein Datenzugriff durch Behörden des Drittlands nicht vollständig ausgeschlossen werden kann, ist sodann in einem vierten Schritt die abschließende Risikobewertung selbst vorzunehmen. Im Kern ist das Risiko eines Zugriffs durch Dritte im Drittland, der nicht im Einklang mit den Grundsätzen der DSGVO steht zu identifizieren und zu bewerten. Die Evaluation ist länderspezifisch und verarbeitungsspezifisch durchzuführen. Berücksichtigung finden kann die geltende Praxis der Behörden sowie frühere Erfahrungen der Beteiligten hinsichtlich des Zugriffs auf bestimmte Datenkategorien. Der LfDI Baden-Württemberg hat allerdings bereits Zweifel geäußert, dass der EuGH bloße praktische Erfahrungen als ausreichend für die verlangten zusätzlichen Garantien ansehen wird.7 Eine nachträgliche Änderung der Risiken kann weiter durch eine Änderung der Rechtslage im Drittland erfolgen. Besonderer Fokus sollte demnach auf Garantien im Sinne von eigens ergriffenen Schutzmaßnahmen liegen, wie diese in den Empfehlungen der EDSA in Anhang 2 aufgelistet werden.8

Rn401

6. Handlungsempfehlung

Aufgrund der Vielzahl von Datenverarbeitungsprozessen und dem Einsatz diverser Auftragsverarbeiter ist klar, dass die Erstellung einer TIA kein einmaliger Vorgang ist. Vielmehr ist dies eine zusätzliche Belastung, die von den Unternehmen im Rahmen der Umstellung auf die neuen SCC getragen werden muss.  Es sind neue Prozesse zu definieren und eine kontinuierliche Überprüfung und Anpassung der Risikoeinschätzung vorzunehmen. Wichtig ist, den Prüfvorgang der Rechenschaftspflicht entsprechend gründlich zu dokumentieren. Angesichts des erforderlichen Arbeitsaufwands und des für die Lagebewertung in den Drittländern nötigen Fachwissens, stellt der Pflichtenkatalog insbesondere für kleinere und mittlere Unternehmen eine große Hürde dar. Größere Unternehmen werden dadurch ebenfalls indirekt betroffen, da sie häufig vor dem Problem stehen, dass ihre „kleineren“ Vertragspartner die erforderlichen Informationen nicht liefern können. Die Schwierigkeit liegt bereits darin, dass kleine und mittlere Unternehmen sich vielfach über durchgeführte Datentransfers in Drittstaaten und damit über ihre Selbstbetroffenheit nicht im Klaren sind. Gerade der Einsatz von Analysetools kann zu (unbeabsichtigten) Datentransfers führen. Dienstleister übermitteln häufig für Backups sowie zu Wartungs- oder Servicezwecken Daten, ohne dass dies den Unternehmen präsent wäre.9 Das Data Mapping kam hier bisher zu kurz. Mangels Dokumentation wird man regelmäßig schon kaum zu der Frage der ergriffenen Schutzmaßnahmen kommen. Auch große Unternehmen können daher durch das Warten auf die Aufgabenerfüllung durch kleine und mittlere Unternehmen in die Gefahr eines rechtswidrigen Datentransfers gebracht werden.

Rn402

Maßgebliche Schwierigkeiten bestehen zudem darin, Veränderungen in allen relevanten Drittländern im Auge zu behalten. Die Datensicherheit und Rechtslage im Drittland wird häufig für den Datenexporteur ohne juristische Unterstützung schwer ermittelbar und nachvollziehbar sein. Insbesondere gilt dies für die gängige Praxis der Behörden des Drittlands. Realistisch werden Unternehmen zumeist auf Auskünfte und eine Überwachung der Rechtslage durch die Datenempfänger im Drittland angewiesen sein. Hier empfiehlt es sich, den Datenempfänger seinerseits zu einer Überwachung der Rechtslage zu verpflichten. Auch weitere Informationen des EDSA, der EU-Kommission oder Angaben des Auswärtigen Amts können bei der Einschätzung helfen.

Rn403

7. Kritische Auseinandersetzung mit der TIA/SCC

Fraglich bleibt, ob Unternehmen in Drittstaaten in der Praxis zur Transparenz sowie zum Aufbürden von teils weitreichenden zusätzlichen Verpflichtungen bereit sein werden. Inwieweit diese überhaupt die tatsächliche Praxis beurteilen können, ist unklar. Bestehen etwa faktisch keine Informationspflichten über Datenzugriffe durch die Behörden des Drittlandes, so wird auch der Datenimporteur dies regelmäßig nicht erfahren und damit keinen Eindruck von der Behörden-Praxis erhalten. Besonders deutlich wird dies, wenn geheimdienstliche Überwachungsmaßnahmen – insbesondere der USA – durchgeführt werden. In diesen Fällen wird das betroffene Unternehmen in der Regel keine Kenntnis von der geheimdienstlichen Überwachungsmaßnahme und einem etwaigen Grundrechtseingriff erhalten. Hinzu kommt, dass Unternehmen im Drittland mitunter aufgrund der dortigen Rechtslage keine Möglichkeit haben, ihren vertraglichen Pflichten nachzukommen. Verpflichtungen des Datenimporteurs, die Lage zu erörtern und über Datenzugriffe zu informieren, laufen sodann weitgehend ins Leere. Dies muss im Rahmen der Risikobewertung berücksichtigt werden. Weiter ist der Moment, ab dem ein Risiko nicht mehr annehmbar wäre, von der Kommission und dem EDSA nicht festgelegt. Es fehlen aussagekräftige Kriterien, die eine gewisse Allgemeingültigkeit normieren. Zu erwarten sind diesbezüglich unterschiedliche Ansichten der Datenschutzbehörden innerhalb Europas.

Rn404

Nicht zu vernachlässigen ist auch die Frage der Kostentragung. Erhebliche Kosten können etwa entstehen, soweit eine Behörde im Drittland Datenzugriff verlangt und der Datenimporteur entsprechend seiner mit den Datenexporteur bestehenden vertraglichen Obliegenheiten gerichtlichen Rechtsschutz ersucht. Es ist davon auszugehen, dass der Datenimporteur die Kosten regelmäßig dem der DSGVO unterliegenden Datenexporteur als „causa“ für die Verpflichtung auferlegen möchte. Werden also Datenexporteure dazu verpflichtet, zu umfangreiche Sicherheitsgarantien durchzusetzen, so kann dies zu einer wirtschaftlichen Hürde für den Datentransfer und mittelbar zu einer gewissen schlechter-Stellung von Daten exportierenden EU/EEA Unternehmen führen.

Rn405

Die erhöhten Voraussetzungen eines Datentransfers in Drittländer sollten schließlich nicht den Blick darauf versperren, dass auch bei Datentransfers innerhalb der EU/EEA Gefahren bestehen. Datentransfers innerhalb der EU sind nicht zwingend sicherer. Auch hier sind insbesondere im Rahmen der Geheimdienstaktivitäten Zugriff durch Dritte, insbesondere über Netzwerke und externe Leitungen möglich.10

Rn406

8. Lösungsvorschläge

Angesichts der erheblichen Schwierigkeiten, die die neuen SCC mit sich bringen, stellt sich die Frage nach bestehenden Alternativen zur TIA-Erstellung. Ebenso sollen im Folgenden sinnvollerweise von den Behörden umzusetzenden Möglichkeiten zur Vereinfachung der TIA-Erstellung im Rahmen von Datenexporten in Drittländer erörtert werden.

Rn407

8.1. Neuauflage EU-US-Privacy Shield

Eine Option wäre es, weitgehend auf den Einsatz der neuen SCC – und damit auf die Notwendigkeit der TIA-Erstellung – zu verzichten. Für Datenexporte in die USA könnte etwa bald ein Rückgriff auf die Neuauflage des EU-US Privacy Shield erwogen werden. Bei dem Privacy Shield handelte es sich um eine Selbstverpflichtung und -registrierung von Unternehmen, die Prinzipien des Privacy Shields und damit ein angemessenes Datenschutzniveau zu achten. Ein neues EU-US Privacy Shield wäre angesichts der besonderen Beziehung der USA und der EU – als wichtigste Handelspartner in Bezug auf digital unterstützte Dienste – für eine Vielzahl von Datentransfers von Bedeutung. Die Verhandlungen zwischen dem US-Wirtschaftsministerium und der EU-Kommission laufen bereits. Mit Blick auf die vom EuGH in Schrems II gefestigte Ansicht ist allerdings nicht absehbar, wie eine Neuauflage ohne umfassende Reform der US-amerikanischen Überwachungspraxis bestand haben soll: der EuGH hat festgestellt, dass eine „Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz“ verletzt.11 Die geltende Section 702 des Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333 sind dabei nicht geeignet, ein Schutzniveau zu gewährleisten, das dem der Grundrechtecharta entspricht.12 Auch der geltende Ombudsmechanismus konnte dies aufgrund der limitierten Möglichkeit für die Ombudsperson, Zugangsanfragen inhaltlich zu überprüfen sowie für die Nachrichtendienste verbindliche Entscheidungen zu erlassen, nicht ausgleichen.13

Rn408

Eine Änderung der Rechtslage in den USA erscheint momentan jedoch unwahrscheinlich. 2022 stehen Wahlen zum US-Kongress an. Angesichts des starken Einflusses von Lobby- und Stakeholdern stellt es eine unliebsame Rolle dar, strengere Datenschutzregelungen und einen damit erhöhten Aufwand für Unternehmen auf den Weg zu bringen. Der Geheimdienst und sonstige Ermittlungsbehörden werden ebenfalls ein Interesse daran haben, dass ihre Eingriffsbefugnisse nicht mit einem neu gesteckten Rechtsrahmen eingeschränkt werden. Auch von Seiten der US-Bevölkerung erscheint die allgemeine Akzeptanz von Überwachungsmaßnahmen durch Behörden im Dienste eines erhöhten Sicherheitsbedürfnisses regelmäßig hoch angesiedelt zu werden. Damit einher gehen notwendigerweise gesenkte Datenschutzstandards. Einem umfassenden Veränderungswillen stehen damit wesentliche Interessen von (fast) allen Seiten entgegen.

Rn409

8.2. Datenschutz-Bundesgesetz in den USA

Für die USA käme auch ein einheitliches Bundesdatenschutzgesetz zur Sicherung eines angemessenen Datenschutzniveaus in Betracht. Der Weg zu einer Bundesregelung ist jedoch lang. Bisher sind in einigen Bundesstaaten bereits Datenschutzgesetze existent, so etwa der California Consumer Privacy Act (CCPA).14 Auch hier stehen die soeben beschriebenen Faktoren einer bundeseinheitlich gesicherten Datenschutzniveau entgegen. Ein US-Bundesdatenschutzgesetz kann daher – wenn überhaupt – erst in einigen Jahren erwartet werden.

Rn410

8.3. UK Angemessenheitsbeschluss

Wenngleich nicht für die USA, so besteht doch für andere Länder, etwa die Schweiz, Japan und Süd-Korea weiterhin ein Angemessenheitsbeschluss als Rechtfertigungsmöglichkeit für etwaige Datentransfers. Auch für das Vereinigte Königreich als weiteren wichtigen Handelspartner wurde am 28. Juni 2021 von der Europäischen Kommission ein Angemessenheitsbeschluss mit Wirkung für die nächsten vier Jahre erlassen. Dass jedoch das britische Datenschutzniveau nicht uneingeschränkt zuverlässig und beständig ist, zeigt sich in einer weiteren Entscheidung des EuGH, mit der etwa die Befugnisse zur Datenverarbeitung durch die britischen Geheimdienste für unzulässig erklärt wurden.15 Ebenfalls zu kritisieren sind die für den Datenexport aus Großbritannien fehlenden, der EU vergleichbaren Regelungen für den Schutz personenbezogener Daten. Ähnlich wie mit dem EU-US Privacy Shield besteht auch hier das Risiko, dass der geltende Angemessenheitsbeschluss von der Kommission für ungültig erklärt wird.

Rn411

Werden Datentransfers rein auf Basis des Angemessenheitsbeschlusses durchgeführt, birgt dies die Gefahr, dass mit einer potentiellen Ungültigerklärung durch die Kommission, die Grundlage für laufende Datentransfers entfällt. Daten würden dann rechtswidrig übermittelt. Unternehmen würden so in die Lage versetzt, schnellstmöglich auf die SCC zurückgreifen zu müssen sowie mitunter eine Vielzahl an Verträgen abzuschließen und Risikoabwägungen durchzuführen. Dazu kommt, dass Unternehmen für beide Schritte auf Handlungen und Informationen Dritter angewiesen sind, deren rechtzeitige Lieferung nicht garantiert ist. Auch soweit ein Angemessenheitsbeschluss vorliegt, macht dies ein anfängliches Abschließen von zusätzlichen SCC nicht erheblich weniger sinnvoll. Zudem sind die neuen SCC unter Verwendung einer neu erlassenen speziellen Anlage für UK-Datentransfers (sog. UK Addendum) seit dem 21. März 2022 auch nach dem Brexit von der britischen Datenschutzaufsicht offiziell für Datenübermittlungen nach UK-Datenschutzrecht anerkannt. Alternativen zu dem Einsatz der SCC und notwendigerweise zur Durchführung der TIA sind damit praktisch kaum vorhanden. Es empfiehlt sich ggfs. mehrere Varianten zu kombinieren. An der Durchführung einer TIA führt beim Drittlandtransfer für Unternehmen momentan jedoch kaum ein Weg vorbei.

Rn412

8.4. Konkretisierte Anforderungen für die TIA durch die Kommission

Doch nicht nur die Unternehmen, sondern auch die europäischen Datenschutzbehörden könnten handeln und für Erleichterungen sorgen. Abhilfe von der bestehenden Rechtsunsicherheit im Rahmen der korrekten TIA-Erstellung könnte die Veröffentlichung eines weitergehenden Katalogs zu den geltenden Anforderungen bieten. Die europäischen Datenschutzbehörden bzw. die Kommission könnten so die zu prüfenden Kriterien konkretisieren und damit einen einheitlichen Prüfstandard festlegen. Dies könnte etwa mit einem einheitlichen TIA-Muster festgehalten werden. Gleiches gilt für die fragliche Risikoschwelle, ab wann ein Datentransfer nicht mehr durchgeführt werden darf. Dem Problem, dass unterschiedliche Datenschutzbehörden mitunter unterschiedliche Ansichten hinsichtlich der zugrunde zu legenden Kriterien und der Risikoeinschätzung vertreten, könnte dadurch ebenfalls begegnet werden.

Rn413

8.5. Veröffentlichung von Einschätzungen des Datenschutzniveaus

Als weitere Orientierungshilfe käme eine durch die europäische Kommission bzw. die europäischen Datenschutzbehörden zu erbringende allgemeine Einschätzung des Datenschutzniveaus in typischerweise relevanten Drittländern in Betracht. Der EuGH sieht die Verantwortung für die Überprüfung und Ermittlung des Schutzniveaus der Drittländer bisher vornehmlich bei den Datenexporteuren.16 Gerade bestehende Rechtsgrundlagen für einen Zugriff durch Behörden des Drittlands sowie das Bestehen von behördlichen Informationspflichten könnten allerdings von den europäischen Aufsichtsbehörden länderspezifisch vorformuliert werden. Es erscheint weder sinnvoll noch erforderlich, diese allgemeingültigen Gegebenheiten von jedem Unternehmen individuell ermitteln zu lassen. Tatsächlich individuelle Faktoren, wie die Art der transferierten Daten, würden dagegen weiterhin von den Unternehmen in die Risikobewertung eingebracht werden müssen. So hat etwa der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) eine Länderliste mit groben Beurteilungen zur Angemessenheit der nationalen Datenniveaus geschaffen.17 Vergleichbar wurde im November 2021 von der EDSA eine allgemeine Einschätzung in Auftrag gegeben und – wenn auch unter Ausschluss jeglicher Haftung – veröffentlicht (vgl. Legal study on Government access to data in third countries).18 Analysiert wird dabei das Zugriffs-Verhalten sowie die Datenverarbeitung der Regierungen in China, Indien und Russland. Das Gutachten ist geeignet, Unternehmen Klarheit über die in den drei Ländern relevanten Rechtsgrundlagen, bestehenden Rechtsbehelfe und Betroffenenrechte zu geben. In Bezug auf China wird so etwa deutlich, dass es im Grunde keine Beschränkung für einen Datenzugriff durch chinesische Behörden gibt. Korrespondierend bestehen nur eingeschränkte Rechtsbehelfsmöglichkeiten.19 Auch für Indien kommt der Bericht zu dem Ergebnis, dass es – auch nach der erst kürzlichen Anerkennung wenigstens des Rechts auf Privatsphäre – praktisch keine Einschränkungen für Zugriffshandeln durch den Staat gibt. Insbesondere können als im Interesse der nicht näher bestimmten „nationalen Sicherheit“ eine Vielzahl an Zugriffen gerechtfertigt werden.20 Während der Rechtsrahmen in Russland etwas umfassender erscheint, bestehen dort laut Bericht gravierende Probleme in Bezug auf die rechtliche Durchsetzbarkeit und Anwendbarkeit der bestehenden Gesetze. Es scheint, dass bestehende datenschutzrechtliche Bestimmungen vornehmlich zur Kontrolle von politischen Strömungen und Internet sowie zur Durchsetzung von Staatsinteressen instrumentalisiert werden.21 Das Gutachten legt damit nahe, dass für diese drei Länder im Rahmen einer TIA die kritische Risikoschwelle regelmäßig überschritten werden würde. Für geplante Datenübermittlungen in diese Länder wurde mit der Einschätzung eine relevante Hilfestellung publiziert.

Rn414

Gerade für die USA würde angesichts des Wegfalls des EU-US-Privacy Shields sowie der Vielzahl der dortigen Datenübertragungen eine Einschätzung des Datenschutzniveaus besonders hilfreich sein. Die DSK hat am 25.01.2022 ein Gutachten22 von Prof. Stephen I. Vladeck vom 15.11.2021 zur komplexen Rechtslage in den USA veröffentlicht sowie ihrerseits die daraus wichtigsten Punkte zusammengestellt.23 Prof. Stephen l. Vladeck ist Experte im US-amerikanischen Geheimdienstrecht und war im Rahmen des Schrems-Verfahrens gutachterlich tätig.24 Im Wesentlichen handelt es sich um eine Bewertung der gängigen Auslegung von Section 702 FISA. Gerügt wird insbesondere, dass der für Section 702 FISA ausschlaggebende Begriff der Anbieter von elektronischen Kommunikationsdiensten („electronic communication service provider“) sehr weit formuliert wurde. Dazu kommt, dass auch wenn ein Unternehmen nur in Bezug auf einige Dienste als „electronic communication service provider“ anzusehen ist, die Zugriffsbefugnisse der Behörden über Section 702 FISA nicht auf die diesen Diensten zugeordneten Daten beschränkt werden, sondern ein Zugriff auf alle Daten des Unternehmens möglich bleibt.25 Die DSK-Aufsichtsbehörden geben dazu an, dass sie das Gutachten – obgleich der unverbindlichen Wirkung – im Rahmen ihrer Tätigkeit berücksichtigen werden und die Konsequenzen des Gutachtens derzeit bewerten.26

Rn415

Angesichts des 22-seitigen Fachgutachtens allein zur Anwendbarkeit von Section 702 FISA, innerhalb dessen häufig auf die „komplizierte“ Situation verwiesen wird, wird sichtbar, wie komplex die diesbezügliche Rechtslage(-bewertung) in den USA ist.  Es stellt sich abermals die Frage, wie Unternehmen aus dem US-Ausland bei der Bewertung des Datenschutzniveaus und des Risikosituation im Drittland als größtenteils Nicht-Fachexperten zu einem eindeutigeren Ergebnis kommen sollen.

Rn416

9. Ausblick

Mit Blick auf die Anforderungen zur TIA-Erstellung herrscht weiterhin Unsicherheit bei Unternehmen. Der erforderliche Aufwand und die Kostenfolgen sind mitunter erheblich. Das Ziel eines einheitlichen europäischen Datenschutzstandards auch in Drittstaaten erscheint in der Praxis kaum zu garantieren. Gerade mit Blick auf die gängige Geheimdienst-Praxis, etwa der USA, wird ein Risiko bei dortigen Datentransfers vermutlich nie komplett ausgeschlossen werden können. Es bleibt abzuwarten, welchen Maßstab die europäischen Datenschutzbehörden bei der Überprüfung der TIAs zugrunde legen werden. Abhilfe von der bestehenden Rechtsunsicherheit könnte zumindest die Veröffentlichung eines weitergehenden Katalogs zur Konkretisierung der Anforderungen an eine TIA-Erstellung bieten. Auch eine allgemeine Einschätzung des Datenschutzniveaus in typischerweise relevanten Drittländern durch die europäischen Datenschutzbehörden käme in Betracht. Im Sinne der praktisch bestehenden Hürden für Unternehmen bei den notwendigen Lagebeurteilungen wäre ein solches „Entgegenkommen“ von Seiten der Datenschutzbehörden wünschenswert. Insgesamt scheinen die Datenschutzbehörden sich allerdings der extremen Belastungen für Unternehmen bewusst zu sein. Erklärtes Ziel soll es nicht sein Unternehmen abzustrafen, sondern im Sinne der Förderung des Datenschutzes zu honorieren, wenn an den Themen gearbeitet wird.27 Ob sich Unternehmen auf diese Aussage verlassen können, bleibt abzuwarten.

Rn417

 

 

Ihr Kontakt

Journal@LRZ.legal

+49 69 3487 920-92

 

Kaiserstraße 53
60329 Frankfurt a. M.

Folgen Sie uns

 Xing