Risikoanalyse bei Datentransfer in ein Drittland
Geschrieben von Jan Steinbach, veröffentlicht am 02.09.2021Mit dem Verwerfen des EU-U.S. Privacy Shields durch den EuGH haben sogenannte Standardvertragsklauseln (kurz: SCC) nach Art. 46 DSGVO stark an Bedeutung gewonnen. Anfang Juni verabschiedete die Europäische Kommission in einem Verfahren nach Art. 46 Abs. 1 lit. c) DSGVO neue SCC. (Diese sind nicht zu verwechseln mit den standardisierten Vertragsklauseln zum Vertrag über die Auftragsverarbeitung nach Art. 28 DSGVO, die ebenfalls Anfang Juni von der Kommission erlassen wurden und über die wir in diesem Beitrag berichten.)
Eine zentrale Neuerung stellt Klausel 14 dar. Hierdurch wird der Umstand berücksichtigt, dass die Einhaltung der Klauseln vom nationalen Recht abhängig ist und ggf. durch zusätzliche Maßnahmen sichergestellt werden muss. Kurz: die Risikoanalyse bei Drittlandsübermittlungen ist nunmehr durch die Standardvertragsklauseln notwendiger Bestandteil einer wirksamen Auslandsübermittlung geworden.
Gegenstand und Umfang der Risikoanalyse
Bereits im Mai war ein Fall der obersten Behörde für verwaltungsrechtliche Rechtsfragen in Frankreich bekannt geworden, in dem es um die Frage der Datenübermittlung in die USA ging. Die Behörde nahm die Möglichkeit einer Datenübermittlung unter der Voraussetzung einer Risikoanalyse des konkreten Einzelfalls an und bestimmte hierzu einige maßgebliche Faktoren (mehr hierzu in diesem Beitrag)
Klausel 14 der neuen SCC nimmt diesen Gedanken auf und bestimmt, dass ausgeschlossen werden muss, „dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.“.
Hierzu werden in Klausel 14 Buchstabe b drei wesentliche Kriterien bestimmt, die bei der Beurteilung des Risikos berücksichtigt werden sollen: 1) die konkreten Umstände der Übermittlung wie Datenkategorien, Art des Empfängers oder der Wirtschaftszweig 2) die hierfür relevanten Rechtsvorschriften und Gepflogenheiten des Empfängerlandes 3) relevante technische und organisatorische Maßnahmen zur Datensicherheit, die der Datenimporteur getroffen hat.
Darüber hinaus soll der Datenimporteur die zur Beurteilung relevanten Informationen bereitstellen und beide Parteien müssen die vorgenommene Analyse dokumentieren. Schließlich ist der Datenimporteur in der Pflicht, den Datenexporteur unverzüglich über Änderungen zu informieren, die eine nachteilige Bewertung des Risikos rechtfertigen können. Für diesen Fall muss er dem Datenexporteur ein besonderes Kündigungsrecht einräumen.
Praktische Folgen
Bereits im Zuge der Entscheidung durch die französische Behörde hatten wir auf die Möglichkeit verwiesen, mittels einer einzelfallbezogenen Risikoanalyse auch in Zukunft auf US-amerikanische Dienstleister zurückzugreifen. Dieses Vorgehen wurde nun durch die Europäische Kommission mit der Klausel 14 der Standardvertragsklauseln bestätigt und um maßgebliche Kriterien für die Bestimmung des Risikos ergänzt. Zudem wird der Zugang zu den relevanten Informationen sowie die Mitwirkung des Datenimporteurs durch die Mitwirkungspflichten der Klausel 14 vereinfacht. Auch bleibt abzuwarten, wie insbesondere US-amerikanische Dienstleister auf die Änderungen der Standardvertragsklauseln reagieren werden und beispielweise einschlägige Informationen auf ihren Webseiten zur Verfügung stellen.
Fazit
Diese offizielle Anerkennung einer Risikoanalyse bei Datenübermittlungen ins EU-Ausland ein praxisnaher Zugewinn für den wirksamen Schutz der Rechte und Freiheiten betroffener Personen. Sichergestellt wird so ein rechtstaatlicher Umgang mit personenbezogenen Daten auch außerhalb der Europäischen Union. Die Risikoanalyse – so Klausel 14 – „basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind…“.
Von Datenimporteuren fordert die Einführung von Klausel 14 ein Umdenken ein, um auch in Zukunft als Dienstleister für den europäischen Mark in Frage zu kommen. Die Datenexporteure schließlich sind in Folge der Neuerung angehalten, die Übermittlung personenbezogener Daten noch sorgsamer zu gestalten und entsprechende Risikoanalysen durchzuführen. Denn mit Anerkennung der Risikoanalyse als zusätzlichem Instrument zur Sicherstellung des Datenschutzes, ist es wahrscheinlich, dass auch die zuständigen Aufsichtsbehörden verstärkt auf die Einhaltung der Standardvertragsklauseln bei den Datenexporteuren achten werden.
Wenn Sie Fragen zur Risikoanalyse bei Datenübermittlungen ins EU-Ausland für Ihre Auftragsverarbeitungsverhältnisse haben, können Sie sich gerne an uns wenden.