Clarius.LegalNewsroom

No posts found

Problemzone im internationalen Datenverkehr

Der europäische Datenschutz macht es Unternehmen nicht gerade einfach, Daten in Drittländer zu versenden. Das Transfer Impact Assessment (TIA) soll helfen, die Risiken eines Verstoßes gegen den EU-Datenschutz zu verringern.

Eigentlich klingt der Sachverhalt recht lapidar: „Datenübermittlungen zwischen den EU-Mitgliedstaaten und den Vertragsstaaten des Europäischen Wirtschaftsraums (EWR) im Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) sind datenschutzrechtlich genauso zu behandeln wie inländischer Datenverkehr. Für Datenübermittlungen an Drittländer außerhalb der EU und des EWR müssen zusätzlich die besonderen Bedingungen des Kapitels 5 der DSGVO erfüllt sein.“

So steht es in den Informationen zum Thema „Datenschutz und Telekommunikation“, die der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) herausgibt. Wer dieses Kapitel 5 in der DSVGO sucht, findet es unter der Überschrift „EU-DSGVO: Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen“. Daher müssen Unternehmen garantieren, dass sie die DSVGO-Vorgaben für Personendaten einhalten. Diese oft recht umfangreichen Fragen sollen im „Data Transfer Impact Assessment“ (DTIA) oder „Transfer Impact Assessment“ (TIA) beantwortet werden (siehe auch „Data Transfer Impact Assessment (TIA): Aber wie?“).

Wohin mit TIA?

Auf den Punkt bringt es Dr. Markus Hülper, Datenschutzexperte bei CLARIUS LEGAL: „Kern der Problematik ist der Transfer personenbezogener Daten aus der EU in ‚unsichere Drittländer‘. Dafür muss nach der Rechtsprechung des EuGH letztlich eine Risikobewertung des Datenexports in diese Länder erfolgen. Wie diese Bewertung im Einzelnen zu gestalten ist, ist noch nicht abschließend geklärt.“

Zumindest auf die Sanktionen haben sich die EU-Mitgliedstaaten schon geeinigt. „Die europäischen Aufsichtsbehörden dürfen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder erlassen. Diese können bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes betragen“, heißt es in der Pressemitteilung „Einheitliche Regeln für Datenschutzbußgelder in Europa“ des deutschen Bundesdatenschutzbeauftragten.

Daten bedeuten potenzielle Risiken

Im Rahmen der Risikobewertung müssen Unternehmen das Datenschutzniveau in den Drittländern bewerten. Allerdings ist fraglich, ob die dafür benötigten detaillierten juristischen Kenntnisse über das dortige Datenschutzrecht und die Zugriffsmöglichkeiten staatlicher Stellen auf die Daten für Firmen in Deutschland mit eigenen Mitarbeiten zu leisten sind.

Der Europäische Datenschutzausschuss (EDSA) hat 2021 Empfehlungen zum Datenexport in Dritländer veröffentlicht. Diese sehen einen sehr umfangreichen und komplexen Prüfprozess vor, der gerade von kleinen und mittleren Unternehmen (KMU) in der Praxis kaum zu leisten ist.

Richtige Antworten finden

Das Problem sollte rasch gelöst werden, weil zu befürchten ist, dass sonst viele Vertragsabschlüsse scheitern könnten. So behelfen sich Datenexporteuere aus der EU zum Teil mit umfassenden Fragebögen zum aktuellen Stand des Datenschutzes in dem Drittland, welche sie den Datenimporteuren zukommen lassen. Die Rücklaufquote solcher Fragebögen ist aufgrund der Komplexität der Fragestellungen gering. Diese unbefriedigende Situation ist für Unternehmen aus eigener Kraft oft nicht zu verbessern. Hier unterstützen ausgewiesene Experten für den Datenschutz bei CLARIUS LEGAL.

Data Transfer Impact Assessment (TIA): Aber wie?

Es existieren keine gesetzlichen Anforderungen, wie eine TIA durchzuführen und zu dokumentieren ist. Auch seitens der Datenschutzaufsichtsbehörden finden sich zwar allgemeine Hinweise, aber keine Vorlage zur Durchführung.

Zunächst sind administrative Daten zu erfassen, es müssen Fragen gestellt und beantwortet werden, wie beispielsweise:

Anschließend ist die geplante Verarbeitung zu beschreiben. Vergleichbar den Angaben im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) muss beschrieben werden:

Entsprechend dem Schrems-II-Urteil muss die Rechtslage im Drittland beurteilt werden, d. h. ob das im Drittland vorhandene Datenschutzniveau dem in der EU vorhandenen Schutzniveau gleichwertig ist und ob betroffene Personen durchsetzbare Rechte und wirksame Rechtsbehelfe besitzen, welchen den Vorgaben der DS-GVO wie auch der EU-Grundrechtecharta genügen. Zu den Fragen, die zu beantworten sind, gehören somit beispielsweise:

Quelle:Datenverarbeitung in einem Drittland: Data Transfer Impact Assessment (TIA) – eine Einführung ins Thema“ , Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V.

In der Praxis verlangt dieser umfangreiche Katalog den betroffenen Unternehmen ein hohes Maß an Aufwand und detailierte Sorgfalt ab. Für diese Aufgabe ist erfahrenes Personal gefragt. Gerade mittelständische Firmen dürften sich aber schwertun, eigene Mitarbeiter für diese umfangreiche, sehr spezialisierte Aufgabe abzustellen. Zudem überwiegt die Unsicherheit gerade in rechtlich kritischen Bereichen. Daher bietet sich eine Zusammenarbeit mit Beratungsunternehmen wie CLARIUS LEGAL an. Hier können Unternehmen auf eine erprobte und erfahrene Datenschutzexpertise setzen, die ihnen hilft, ihre Probleme mit dem Data Transfer Impact Assessment zu lösen.

Ähnliche Artikel

header-wachstum
JUVE-Artikel: „Schalast entlässt CLARIUS.LEGAL in die Unabhängigkeit“
Mehr erfahren
iStock-1390560381
Kampfansage an Legal Tech-Anbieter: CLARIUS.LEGAL erhält neue Gesellschafterstruktur und setzt auf Wachstum.
Mehr erfahren
co-ceo-header
Nils Oberschelp wird CO-CEO der Clarius.Legal Rechtsanwalts-AG
Mehr erfahren
iStock-1355367996
Vorteile und Risiken von Legal Tech: Georg Berger zu Gast im Podcast "Fachfragen" der Fachmedien Otto Schmidt
Mehr erfahren
LIEFERKETTEN­COMPLIANCE
Ganzheitliches Legal Tech-Konzept zur Lieferketten­compliance wird ausgezeichnet
Mehr erfahren