Am 04.06.2021 wurden die neuen Standardvertragsklauseln (SCC) für den Datentransfer von personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss verabschiedet.
Diese sind seit dem 27.09.2021 bei neuen Verträgen anzuwenden. Bereits bestehende Verträge müssen bis Ende 2022 auf die neuen SCC umgestellt werden.
Bereits mit den bisherigen Standardvertragsklauseln bestand die Pflicht, dass Datenschutzniveau im Zielland zu prüfen und ggf. ergänzende Maßnahmen zu ergreifen. Dabei spielen vor allem Zugriffsbefugnisse seitens staatlicher Behörden eine Rolle. Mit den neuen SCC wurde die Bewertung in der Klausel 14 nun zur Pflicht. D.h. die Vertragsparteien müssen bewerten, inwieweit staatliche Behörden Zugriffsmöglichkeiten auf Daten von EU-Bürgern haben und wie der Datenimporteur diese vermeiden bzw. abwehren kann.
Bei der Bewertung der Rechtslage im Drittland ist der Datenexporteur auf die Unterstützung des Datenimporteurs angewiesen, denn nur dieser kann beurteilen, ob und wie Zugriffe staatlicher Behörden möglich und durchsetzbar sind. Wie in Klausel 14 beschrieben, sollen beide Vertragsparteien daran mitwirken.
Viele Systemanbieter haben auf die neuen Vorgaben bereits reagiert und stellen weitreichende Informationen zur Verfügung. Bei anderen Dienstleistern ist es mittels Anfragen erforderlich, die notwendigen Informationen einzuholen. Ein Fragebogen kann dabei eine erste Hilfestellung sein. Ein Beispiel für US-Dienstleister finden Sie hier.
TIA Schritt für Schritt
Neben der rechtlichen Bewertung bzgl. des Datenzugriffs ist eine Risikoabschätzung der Datenverarbeitung hilfreich, um einzuschätzen, ob ein Datentransfer möglich ist. Dazu ist zunächst herauszufinden, bei welchen Datenverarbeitungen ein Datentransfer in ein Drittland, z.B. bei Verwendung eines Dienstleisters stattfindet. Wann ein Drittlandstransfer erfolgt, wurde erst kürzlich in den Guidelines 05/2021 des European Data Protection Bord (EDPB) näher beleuchtet.
Datentransfer
Einmal mehr ist das Verzeichnis für Verarbeitungstätigkeiten als Grundlage heranzuziehen. Mit Hilfe der Verfahrensbeschreibung kann genau bestimmt werden, welche Empfänger beteiligt sind und wann ein Drittlandstransfer stattfindet. In den Verfahren sind die Kategorien der Datenarten, die betroffenen Personen und weitere Risikofaktoren bereits beschrieben und können so gleich berücksichtigt werden.
Datenimporteur bzw. Dienstleister
Informationen zum Dienstleister sind zu ermitteln. In welchem Land hat dieser seinen (Haupt)Sitz, wo werden die Daten verarbeitet und welche Dienstleistung wird durchgeführt bzw. in Anspruch genommen.
Gesetzgebung im Drittland und Auswirkung auf den Datentransfer
Es erfolgt in diesem Schritt die Ausarbeitung der Gesetzgebung. Wie bereits beschrieben, ist dazu die Zusammenarbeit mit dem Datenimporteur erforderlich, um die nationalspezifischen Aspekte zu beleuchten. In diesem Zusammenhang ist ebenfalls zu ermitteln, ob es bereits Anfragen staatlicher Behörden gab und wie seitens des Anbieters mit diesen umgegangen wird. Es ist für das TIA von Vorteil, wenn der Datenimporteur einen Transparenzbericht bereitstellen kann.
Maßnahmen
Es ist zu prüfen, welche vertraglichen Maßnahmen getroffen wurden, um die Rechte der Betroffenen zu schützen. Welche technischen sowie organisatorischen Maßnahmen (TOM) sind erforderlich bzw. bereits vorhanden? Das sind zum einen die Maßnahmen, die vom Anbieter bereitgestellt werden sowie auch eigene vom Unternehmen getroffene Sicherheitsmaßnahmen. Es ist für das TIA von Vorteil, wenn der Datenimporteur ein Datenschutz- und Datensicherheitskonzept bereitstellen kann.
Beurteilung
Nach der ausführlichen Beschreibung der vorhergehenden Schritte ist im letzten Schritt eine Bewertung vorzunehmen, ob ein Datentransfer unter den gegebenen Umständen möglich ist. Evtl. sind weitere zusätzliche Sicherheitsmaßnahmen zu ergreifen. Zu prüfen ist auch, ob es adäquate Alternativen zu den verwendeten Dienstleistern gibt und ob diese verwendet werden können.
Die Beurteilung des Datentransfers ergibt sich letztendlich aus dem TIA und der Risikoabschätzung in Bezug zur Datenverarbeitung, also zum Verfahren.
Dokumentation
Um die Vorgaben aus den neuen SCC und der Klausel 14 zu erfüllen ist es sinnvoll, dass TIA und die weitere Risikoabschätzung pro Verfahren zu dokumentieren.
www.datenschutzberater365.de