• 15.04.24
  • Lesedauer: 4 Minuten

Problemzone im internationalen Datenverkehr

Der europäische Datenschutz macht es Unternehmen nicht gerade einfach, Daten in Drittländer zu versenden. Das Transfer Impact Assessment (TIA) soll helfen, die Risiken eines Verstoßes gegen den EU-Datenschutz zu verringern.

Eigentlich klingt der Sachverhalt recht lapidar: „Datenübermittlungen zwischen den EU-Mitgliedstaaten und den Vertragsstaaten des Europäischen Wirtschaftsraums (EWR) im Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) sind datenschutzrechtlich genauso zu behandeln wie inländischer Datenverkehr. Für Datenübermittlungen an Drittländer außerhalb der EU und des EWR müssen zusätzlich die besonderen Bedingungen des Kapitels 5 der DSGVO erfüllt sein.“

So steht es in den Informationen zum Thema „Datenschutz und Telekommunikation“, die der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) herausgibt. Wer dieses Kapitel 5 in der DSVGO sucht, findet es unter der Überschrift „EU-DSGVO: Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen“. Daher müssen Unternehmen garantieren, dass sie die DSVGO-Vorgaben für Personendaten einhalten. Diese oft recht umfangreichen Fragen sollen im „Data Transfer Impact Assessment“ (DTIA) oder „Transfer Impact Assessment“ (TIA) beantwortet werden (siehe auch „Data Transfer Impact Assessment (TIA): Aber wie?“).

Wohin mit TIA?

Auf den Punkt bringt es Dr. Markus Hülper, Datenschutzexperte bei CLARIUS LEGAL: „Kern der Problematik ist der Transfer personenbezogener Daten aus der EU in ‚unsichere Drittländer‘. Dafür muss nach der Rechtsprechung des EuGH letztlich eine Risikobewertung des Datenexports in diese Länder erfolgen. Wie diese Bewertung im Einzelnen zu gestalten ist, ist noch nicht abschließend geklärt.“

Zumindest auf die Sanktionen haben sich die EU-Mitgliedstaaten schon geeinigt. „Die europäischen Aufsichtsbehörden dürfen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder erlassen. Diese können bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes betragen“, heißt es in der Pressemitteilung „Einheitliche Regeln für Datenschutzbußgelder in Europa“ des deutschen Bundesdatenschutzbeauftragten.

Daten bedeuten potenzielle Risiken

Im Rahmen der Risikobewertung müssen Unternehmen das Datenschutzniveau in den Drittländern bewerten. Allerdings ist fraglich, ob die dafür benötigten detaillierten juristischen Kenntnisse über das dortige Datenschutzrecht und die Zugriffsmöglichkeiten staatlicher Stellen auf die Daten für Firmen in Deutschland mit eigenen Mitarbeiten zu leisten sind.

Der Europäische Datenschutzausschuss (EDSA) hat 2021 Empfehlungen zum Datenexport in Dritländer veröffentlicht. Diese sehen einen sehr umfangreichen und komplexen Prüfprozess vor, der gerade von kleinen und mittleren Unternehmen (KMU) in der Praxis kaum zu leisten ist.

Richtige Antworten finden

Das Problem sollte rasch gelöst werden, weil zu befürchten ist, dass sonst viele Vertragsabschlüsse scheitern könnten. So behelfen sich Datenexporteuere aus der EU zum Teil mit umfassenden Fragebögen zum aktuellen Stand des Datenschutzes in dem Drittland, welche sie den Datenimporteuren zukommen lassen. Die Rücklaufquote solcher Fragebögen ist aufgrund der Komplexität der Fragestellungen gering. Diese unbefriedigende Situation ist für Unternehmen aus eigener Kraft oft nicht zu verbessern. Hier unterstützen ausgewiesene Experten für den Datenschutz bei CLARIUS LEGAL.

Data Transfer Impact Assessment (TIA): Aber wie?

Es existieren keine gesetzlichen Anforderungen, wie eine TIA durchzuführen und zu dokumentieren ist. Auch seitens der Datenschutzaufsichtsbehörden finden sich zwar allgemeine Hinweise, aber keine Vorlage zur Durchführung.

Zunächst sind administrative Daten zu erfassen, es müssen Fragen gestellt und beantwortet werden, wie beispielsweise:

  • Welcher Verantwortliche oder Auftragsverarbeiter veranlasst die Drittland-Verarbeitung, ist also der Datenexporteur?
  • Wer ist der Verantwortlichen oder (Unter-)Auftragsverarbeiter im Drittland (Datenimporteur)?
  • In welchem Drittland erfolgt die Verarbeitung?

Anschließend ist die geplante Verarbeitung zu beschreiben. Vergleichbar den Angaben im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) muss beschrieben werden:

  • Kontext und Zweck der Verarbeitung in einem Drittland
  • Betroffene Personengruppen
  • Kategorien der übermittelten personenbezogenen Daten
  • Rechtsgrundlage der Verarbeitung an sich

Entsprechend dem Schrems-II-Urteil muss die Rechtslage im Drittland beurteilt werden, d. h. ob das im Drittland vorhandene Datenschutzniveau dem in der EU vorhandenen Schutzniveau gleichwertig ist und ob betroffene Personen durchsetzbare Rechte und wirksame Rechtsbehelfe besitzen, welchen den Vorgaben der DS-GVO wie auch der EU-Grundrechtecharta genügen. Zu den Fragen, die zu beantworten sind, gehören somit beispielsweise:

  • Verfügt das Drittland oder die Region des Drittlandes über gesetzliche Regelungen, welche dem Datenschutz dienen?
  • Gelten die Regelungen gleichermaßen für Bürger oder Einwohner des Drittlandes wie auch für Personen, welche keine Bürger oder Einwohner des Drittlandes sind?
  • Unterliegt der Datenimporteur diesen Gesetzen?
  • Schützen diese Regelungen auch die von der Drittland-Verarbeitung betroffenen Daten des Datenexporteurs?
  • Gewähren diese Regelungen den von der Drittland-Verarbeitung betroffenen Personen durchsetzbaren Rechte und wirksamen Rechtsbehelfe, sodass im Drittland ein Schutzniveau vorhanden, welches dem in der Union durch die DS-GVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist?
  • Existieren im Drittland Gesetze oder Praktiken, welche den Datenimporteur zwingen können, Dritten wie Behörden Zugang zu den Daten gewähren zu müssen?

Quelle:Datenverarbeitung in einem Drittland: Data Transfer Impact Assessment (TIA) – eine Einführung ins Thema“ , Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V.

In der Praxis verlangt dieser umfangreiche Katalog den betroffenen Unternehmen ein hohes Maß an Aufwand und detaillierte Sorgfalt ab. Für diese Aufgabe ist erfahrenes Personal gefragt. Gerade mittelständische Firmen dürften sich aber schwertun, eigene Mitarbeiter für diese umfangreiche, sehr spezialisierte Aufgabe abzustellen. Zudem überwiegt die Unsicherheit gerade in rechtlich kritischen Bereichen. Daher greifen viele Unternehmen auf externe Unterstützung zurück, die ihnen hilft, ihre Probleme mit dem Data Transfer Impact Assessment zu lösen. Wenn auch Sie auf eine erprobte und erfahrene Datenschutzexpertise setzen möchten, senden Sie uns gerne eine unverbindliche Anfrage.

Ihr persönlicher Kontakt

Matthias SchulzSenior Sales Manager

Diese Artikel könnten Sie ebenfalls interessieren

HinSchG
Hinweisgeberschutzgesetz: Sonst steht plötzlich die Polizei vor der Tür
Mehr erfahren
header-Puzzle_2560 x 854 px Kopie
CLARIUS.LEGAL AG erweitert Beratungsangebot in Datenschutz, IT-Security und Arbeitssicherheit.
Mehr erfahren

Sie möchten über neueste Entwicklungen auf dem Laufenden bleiben?​Melden Sie sich hier zu unserem Newsletter an.