Drittlandübermittlung: Transfer Impact Assessment (TIA) und neue Standardvertragsklauseln

Privacy Shield, das Schrems II-Urteil und die Standardvertragsklauseln: Es hat sich viel getan im vergangenen Jahr. Das gilt für den Datenschutz im Allgemeinen und für die Drittlandübermittlung von Daten im Besonderen. Den heutigen Beitrag nutzen wir, um Sie mit der Drittlandübermittlung und in diesem Zusammenhang mit den Standardvertragsklauseln vertraut zu machen. Außerdem wird es praktisch: Sie erhalten eine Anleitung zum DSGVO-konformen Drittlandtransfer von Daten.

 

Drittlandübermittlung: Kurze Historie

Der Gesetzgeber verlangt seit Einführung der Datenschutz-Grundverordnung (DSGVO) beim Datentransfer in andere Länder, dass dort ein ähnlich hohes Datenschutzniveau vorherrscht. Da die DSGVO in ganz Europa gilt, ist es europaweit recht unkompliziert, Daten zu übermitteln. Für Drittländer, also Länder außerhalb der EU und des EWR, gelten die Angemessenheitsbeschlüsse der EU-Kommission. Diese Angemessenheitsbeschlüsse liegen für verschiedene Länder vor, etwa für Japan, Israel oder Kanada. Eine Übersicht aller Angemessenheitsbeschlüsse ist beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit zu finden.

Drittlandübermittlungen in die USA jedoch sind hiervon ausgenommen. Mit dem EU-US-Privacy Shield-Abkommen, umgangssprachlich nur „Privacy Shield“ genannt, sollte eine Art Garantie für ein europäisches Datenschutzniveau entstehen, sodass Datentransfers zwischen der EU und den USA leichter möglich gemacht werden können.

 

EuGH stoppt Privacy Shield

In der als „Schrems II-Urteil“ bekanntgewordenen und viel beachteten Verhandlung im Juli 2020 entschieden die Richter des Europäischen Gerichtshofs (EuGH) jedoch, dass Privacy Shield nicht mit der DSGVO vereinbar ist, da der Datenschutz nicht auf europäischem Niveau liegt. Hauptsächlich ging es um die fehlenden Interventionsmöglichkeiten europäischer Bürger, wenn deren Kommunikation und personenbezogene Daten US-amerikanischen Überwachungsgesetzen unterlagen.

In der Folge schwammen EU-Unternehmen in einer rechtlichen Grauzone: Entweder wurden Drittlandübermittlungen auf den Angemessenheitsbeschluss zum Privacy Shield oder auf Abschluss der alten Standardvertragsklauseln gestützt. Letztere hatten sich – nicht zuletzt aufgrund des einfach zu handhabenden Mechanismus zur Datenübermittlung – bereits bewährt und waren von der EU-Kommission genehmigt.

 

Antiquierte Standardvertragsklauseln

Die von der Europäischen Kommission genehmigten Standardvertragsklauseln stammten aus den Jahren 2001 und 2010 – und waren damit schon recht antiquiert, was Probleme in der Praxis mit sich brachte: Mit der DSGVO kam das aktuelle Datenschutzrecht erst im Jahr 2018, sodass das alte Vertragsset schlicht nicht mit der aktuellen Gesetzgebung vereinbar war.

Um Beteiligten an Drittlandübermittlungen unterstützen zu können, das europäische Datenschutzniveau auch bei Datentransfers in die USA zu halten, stellte die EU-Kommission im Juni 2021 die neuen Standardvertragsklauseln vor.

 

Drittlandübermittlung nach den neuen Standardvertragsklauseln

Es existieren zwei Versionen der neuen Standardvertragsklauseln (SCC; Standard Contractual Clauses): Eine dient dem EU-Datentransfer (Auftragsverarbeitung), die andere dem Drittlandtransfer, wobei letzterer wohl die größere Bedeutung zukommen wird: Gemäß Art. 46 DSGVO werden die SCC Rechtsgrundlage für Unternehmen, die US-Services wie Cloud-Angebote in Anspruch nehmen oder anderweitige Drittlandübermittlungen vornehmen.

Wichtig für die Praxis ist, dass Datenexporteure den Standardvertragsklauseln nicht blind vertrauen dürfen. Es obliegt Datenexporteuren – eventuell auch in Zusammenarbeit mit den Datenempfangenden im Drittland – zu prüfen und zu gewährleisten, dass der geforderte Datenschutz im Drittland auch umgesetzt wird. Zu dieser Prüfung gehört auch die Beurteilung der Sicherheitsgesetze in Drittländern. Hier hatte im Fall von Schrems-II in den USA u.a. das Foreign Intelligence Surveillance Act (FISA) für die Probleme gesorgt.

 

TIA: Transfer Impact Assessments

Relevant für dieses Prüfen und Gewährleisten ist das in Klausel 14 der SCC geregelte sogenannte Transfer Impact Assessment (TIA): TIA ist als individuelle Risikobewertung zu verstehen. Jedes in der EU ansässige Unternehmen muss diese Risikobewertung beim Übermitteln von Daten in Drittländer durchführen. Bei einem Transfer Impact Assessment werden verschiedene Aspekte berücksichtigt; mitunter die Umstände der Drittlandübermittlung, die Anzahl beteiligter Akteure oder die Glieder der Verarbeitungskette. Ebenso darf eine Begründung darüber nicht fehlen, warum ein Anbieter in dem entsprechenden Drittland weiteren Anbietern aus der EU bzw. dem EWR vorzuziehen ist. Dies ist eine der kritischsten Beurteilungen, da finanzielle Aspekte nicht die alleinige Entscheidungsgrundlage darstellen dürfen.

 

Fristen zur Drittlandübermittlung nach Standardvertragsklauseln

Mit dem 27. Juni 2021 sind die neuen Standardvertragsklauseln in Kraft getreten. Seither gilt eine Übergangsfrist, um Unternehmen die Möglichkeit einzuräumen, sich mit den neuen Regeln der Drittlandübermittlung vertraut zu machen. Ab dem 27.12.2022 sind Drittlandtransfers ausschließlich auf Basis der neuen Standardvertragsklauseln möglich. Das bedeutet für Sie: Bis zu diesem Stichtag müssen Sie sämtliche Verträge auf die neuen Standardvertragsklauseln umstellen.

 

Google adoptiert neue Standardvertragsklauseln

Als eines der ersten Big-Tech-Unternehmen wird Google Ihre Google Ads Data Processing Terms zum 27. September 2021 auf die neuen Standardvertragsklauseln von 2021 umstellen. Google hat dazu Ihre Kunden angeschrieben und auf die Änderungen hingewiesen. Kunden können ab sofort in Ihren Google Accounts auf diese neuen Standardvertragsklauseln umstellen. Dies ist für Verantwortliche jedoch kein „Freibrief“ Google Dienste einfach so einsetzen zu können. Daher bedarf es weiterer Schritte, nämlich einem Transfer Impact Assessment (TIA).

 

Praxis: Anleitung zur Drittlandübermittlung mit Transfer Impact Assessment

Mit einem Vier-Punkte-Plan können Sie die Drittlandübermittlung mit den neuen SCC einschließlich TIA vornehmen:

1. Ist-Analyse: Erstellen Sie eine Liste jener Services, bei denen Sie auf Anbieter aus Drittstaaten setzen. Geben Sie in dieser Liste auch die Rechtsgrundlage gemäß Art. 44 ff. DSGVO an. Führen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten (VVT), dürfte dieses Zusammentragen schnell gehen. Wichtig für Ihre Praxis: Prüfen Sie auch vermeintliche EU-Unternehmen. Eventuell befinden sich darunter US-Tochterfirmen, die ihre Services lediglich auch in der EU anbieten. Ebenso können auch europäische Unternehmen davon betroffen sein, wenn sie als Sub-Dienstleister solche Anbieter aus Drittstaaten einsetzen, wie z.B. Amazon Web Services.
2. TIA: Nun kommt die Risikobewertung mittels Transfer Impact Assessments. Dafür ermitteln und dokumentieren Sie die Umstände der Drittlandübermittlung, geltende Rechtsvorschriften, auf die Sie Ihre Übermittlung stützen, und ggf. vertragliche sowie technische und organisatorische Maßnahmen des Dienstleisters. Für jede Drittlandübermittlung ist eine separate TIA notwendig, da jeder Transfer mit eigenen Risiken verbunden ist. Haben Sie alle Informationen zusammengetragen, nehmen Sie eine schriftliche Risikobewertung vor. Idealerweise fällt Ihr Ergebnis so aus, dass es keinen Grund zu der Annahme gibt, dass die Dienstleister Ihre Vorgaben nicht einhalten könnten und dass die Vorgaben der aktuellen SCC eingehalten werden. Ist dem so, können Sie an die vertragliche Gestaltung gehen.
3. Vertragsgestaltung: Anhand Ihrer nun übersichtlich dargestellten Vertragsverhältnisse können Sie prüfen, mit welchem SCC-Modul Sie arbeiten (Modul 1: Controller to Controller; Modul 2: Controller to Processor; Modul 3: Processor to Processor; Modul 4: Processor to Controller. Als Controller gelten Verantwortliche, als Processor Dienstleister). Nun können Sie Ihren Vertrag erstellen, indem Sie Angaben zum Vertragsverhältnis in den Vorlagen ergänzen.
4. Unterzeichnen: Ihren nun vervollständigten und von Ihnen unterzeichneten Vertrag senden Sie an Ihre Dienstleister. Diese werden den Vertrag für sich prüfen, ggf. noch ergänzen, ebenfalls unterzeichnen und Ihnen zurücksenden. Im Beispiel von Google ist natürlich die elektronische Akzeptanz der Vereinbarung möglich.

Für diejenigen, die es noch genauer wissen möchten, hat die IAPP (International Association of Privacy Professionals) ein TIA im Excel-Format veröffentlicht. Die Datenschutzberater der PSW GROUP sind nach den Kriterien dieses Verbands zertifiziert und können die Qualität dieser Unterlagen bestätigen.

 

Drittlandübermittlung: Schrems II-konforme Umsetzung & Erhöhung des Datenschutzniveaus

Sie sehen: Seit dem wegweisenden Schrems II-Urteil des EuGH hat sich im Datenschutz und besonders in der Drittlandübermittlung einiges getan – es lohnt sich, auf dem Laufenden zu bleiben. Es hat zwar gedauert, aber mit den aktualisierten Standardvertragsklauseln hat die EU den Rahmen zur Drittlandübermittlung endlich angepasst. Das Transfer Impact Assessment ermöglicht für den Einzelfall eine angemessene Prüfung zum Datenschutzniveau.

Mit den neuen SCC haben Unternehmen nun auch endlich neue Möglichkeiten, IT-Services aus den USA und anderen Drittstaaten rechtskonform zu nutzen. Unternehmen können sich aus der rechtlichen Grauzone heraus manövrieren und den Drittlandtransfer erstmals mit Rechtssicherheit angehen. Haben Sie Fragen zur Datenübermittlung in Drittländer oder suchen Sie Unterstützung beim Gestalten Ihrer Verträge, haben unsere zertifizierten Experten gerne ein offenes Ohr für Sie. Nehmen Sie einfach Kontakt zu uns auf – wir freuen uns auf Sie!