07510 Transfer Impact Assessment (TIA)
In diesem Beitrag geht es darum, Verantwortlichen zu zeigen, wie personenbezogene Daten rechtskonform aus dem Europäischen Wirtschaftsraum (EWR) in Drittländer übertragen werden können. Ein besonderes Augenmerk liegt auf den rechtlichen Anforderungen, die erfüllt sein müssen, um einen solchen Datentransfer zu legitimieren.
Eine wesentliche Herausforderung stellt sich, wenn für das Zielland kein Angemessenheitsbeschluss der Europäischen Kommission existiert. In diesen Fällen ist es erforderlich, dass der Verantwortliche das Datenschutzniveau des Drittlandes eingehend prüft, bevor personenbezogene Daten dorthin übermittelt werden.
„Transfer Impact Assessment” (TIA) steht für die Bewertung der Auswirkungen von solchen Übertragungen und ist damit ein Instrument, mit dem Sie deren Risiken und Auswirkungen bewerten können. Diese Prüfung ist entscheidend, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Dabei muss insbesondere bewertet werden, ob durch die Vereinbarung von zusätzlichen Maßnahmen dem eventuellen unbefugten bzw. willkürlichen Zugriff von Sicherheitsbehörden vorgebeugt werden kann.
Der Beitrag informiert Sie über die erforderlichen Schritte und Verfahrensweisen für einen rechtskonformen internationalen Datentransfer. Arbeitshilfen: von: |
1 Einstieg in die Problematik
Für Verantwortliche ist es schwer, gesetzliche Vorgaben mit der wirtschaftlichen Realität unter einen Hut zu bekommen. Dies trifft besonders auf die Anforderungen des Datenschutzrechts zu. Man könnte meinen, dass die Datenschutz-Grundverordnung (DSGVO) nur dann zu beherzigen ist, wenn personenbezogene Daten auf dem Gebiet der Europäischen Union verarbeitet werden. Dem ist aber nicht so. Vielmehr macht die DSGVO auch verbindliche Vorgaben, für die Verarbeitung der Daten von Personen, die sich nicht nur vorübergehend auf dem Gebiet der europäischen Union aufhalten, unabhängig vom Standort der Verarbeitung. Ähnliches gilt, wenn im Auftrag eines europäischen Verantwortlichen personenbezogene Daten in einem Drittland verarbeitet werden.
Schrems-II
Der EuGH hat in seiner sog. Schrems-II-Entscheidung [1] klargestellt, dass internationale Datentransfers nicht ohne Weiteres zulässig sind. Seit diesem Urteil ist es nicht mehr ausreichend, die Datenverarbeitung nur durch eine vertragliche Gestaltung sicherzustellen. Denn eine Datenverarbeitung in einem Drittland ist nur zulässig, wenn das „garantierte (Schutz-)Niveau (für die Daten) der Sache nach gleichwertig” ist.
Der EuGH hat in seiner sog. Schrems-II-Entscheidung [1] klargestellt, dass internationale Datentransfers nicht ohne Weiteres zulässig sind. Seit diesem Urteil ist es nicht mehr ausreichend, die Datenverarbeitung nur durch eine vertragliche Gestaltung sicherzustellen. Denn eine Datenverarbeitung in einem Drittland ist nur zulässig, wenn das „garantierte (Schutz-)Niveau (für die Daten) der Sache nach gleichwertig” ist.
Datenexporteur/-importeur
Damit verlangt das höchste europäische Gericht, dass vom Verantwortlichen ein sogenanntes Transfer Impact Assessment durchgeführt wird, also eine Bewertung der Auswirkungen des Datentransfers auf das Datenschutzniveau (die Sicherheit der Betroffenendaten). Im Folgenden wird, dem Wortlaut der relevanten europäischen Regelungen folgend, für den Verantwortlicher der Begriff „Datenexporteur” und für den Datenempfänger im Drittland der Begriff des „Datenimporteurs” verwendet.
Damit verlangt das höchste europäische Gericht, dass vom Verantwortlichen ein sogenanntes Transfer Impact Assessment durchgeführt wird, also eine Bewertung der Auswirkungen des Datentransfers auf das Datenschutzniveau (die Sicherheit der Betroffenendaten). Im Folgenden wird, dem Wortlaut der relevanten europäischen Regelungen folgend, für den Verantwortlicher der Begriff „Datenexporteur” und für den Datenempfänger im Drittland der Begriff des „Datenimporteurs” verwendet.