Blog
Aktuelles und Relevantes

Transfer Impact Assessments

Was KMU und Startups beim Datentransfer
in die USA beachten müssen

Transfer

Google, Microsoft, Apple, Facebook und wie sie alle heißen – US-Amerikanische Unternehmen bestimmen seit Jahren den digitalen Weltmarkt. Dementsprechend werden viele europäische KMU und Startups vor allem jenseits des Atlantiks fündig, wenn Sie nach digitalen Serviceanbietern suchen. Doch seit der Schrems II Entscheidung des EuGH und der damit einhergehenden Unwirksamkeit des Privacy Shield Abkommens fragen sich viele Unternehmer:innen, ob und wie sie ihre Daten in den USA verarbeiten lassen dürfen. Diese Frage lässt sich, wie so oft, nur mit der Standardantwort der Juristen beantworten: Es kommt darauf an. In diesem Artikel legen wir die Grundlagen einer Übermittlung ins Drittland dar und klären, was es mit den sogenannten Transfer Impact Assessments auf sich hat.

Möglichkeiten der Übertragung ins Drittland

Für einen DSGVO-konformen Datentransfer ins Drittland gibt es im Wesentlichen drei Szenarien: Es liegt ein Angemessenheitsbeschluss der EU-Kommission für das Drittland vor (Art. 45 DSGVO), es liegen geeignete Garantien gemäß Art. 46 DSGVO vor oder es greift eine der Ausnahmen für bestimmte Fälle aus Art. 49 DSGVO.

Die wohl bequemste Möglichkeit, um Daten ins Drittland zu transferieren ist der Angemessenheitsbeschluss aus Art. 45 DSGVO. Einen solchen erlässt die EU-Kommission, wenn im Zielland ein vergleichbarer Datenschutzstandard wie in der EU herrscht. Dann können Daten genauso wie innerhalb der EU übermittelt werden. Solche Beschlüsse wurden unter anderem für Kanada, Israel, Japan, die Schweiz oder das vereinte Königreich gefasst, aber eben nicht für die USA.

An dieser Stelle kommen die geeigneten Garantien aus Art. 46 DSGVO ins Spiel. Liegt kein Angemessenheitsbeschluss nach Art. 45 III DSGVO vor, darf ein Datentransfer ins Drittland gemäß Art. 46 I DSGVO nur dann erfolgen, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien im Sinne des Art. 46 II DSGVO vorsieht und den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Zu diesen geeigneten Garantien gehören gemäß Art. 46 II lit. c DSGVO auch die viel diskutierten Standarddatenschutzklauseln, die seit Juni vergangenen Jahres für Handlungsbedarf sorgen.

Die neuen Standardvertragsklauseln – ein Überblick

Um die Verarbeitung ins Drittland und insbesondere in die USA DSGVO-konform zu gestalten, können die Parteien die Standardvertragsklauseln (Standard Contractual Clauses, kurz: SCC) in ihre Verträge zur Auftragsverarbeitung (Data Processing Agreements, kurz: DPA) einbeziehen. Die Klauseln dienen der Verpflichtung der Parteien, einen im Sinne der DSGVO angemessenen Datenschutzstandard einzuhalten. Im Juni 2021 hat die Europäische Kommission als Reaktion auf das oben erwähnte Schrems II Urteil neue Standardvertragsklauseln erlassen und damit für Handlungsbedarf bei den Europäischen Datenexporteuren gesorgt.

Die neuen Standardvertragsklauseln sind modular aufgebaut. Die verschiedenen Module erfassen unterschiedliche Konstellationen der Vertragsparteien, wodurch unserer Einschätzung nach die Anwendung deutlich vereinfacht wird. Die Module erfassen die folgenden Konstellationen:
 
  • Modul 1: Verantwortlicher an Verantwortlichen (Controller to Controller)
  • Modul 2: Verantwortlicher an Auftragsverarbeiter (Controller to Processor)
  • Modul 3: Auftragsverarbeiter an (Unter-) Auftragsverarbeiter (Processor to Processor)
  • Modul 4: Rückübermittlung Auftragsverarbeiter (EU) an Verantwortliche (Drittland, Processor to Controller) 

Diese neuen SCCs müssen seit dem 27.09.2021 für Neuverträge verwendet werden und bestehende Verträge müssen bis spätestens zum 27.12.2022 an die neuen Standardvertragsklauseln angepasst werden. Neben der Anpassung von Vertragsmustern und bestehenden Verträgen, bringen die neuen Standardvertragsklauseln aber noch eine neue Aufgabe für Datenschützer mit sich – die sogenannten Transfer Impact Assessments (kurz: TIA)

Transfer Impact Assessment

Findet eine Übermittlung von Daten in Drittländer wie die USA an, ist es mit der Aufnahme der Standardklauseln ins Vertragswerk nicht getan. Vielmehr müssen die Parteien gemäß Klauseln 14 zusätzlich ein Transfer Impact Assessment durchführen, um das Schutzniveau im Zielland zu bewerten und das Risiko einer (nach EU-Recht) rechtswidrigen Offenlegung der Daten zu bewerten. Was in eine solche Bewertung einfließen soll, konkretisiert Klausel 14 der SCCs. Neben Faktoren wie der Länge der Verarbeitungskette und der Anzahl der Akteure (Klausel 14 lit. b i) sollen auch die „[…] relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) […]“ (Klausel 14 lit. b ii) in die Bewertung einfließen. In der Folge stellen sich im Netz schon viele Datenschützer die Frage, wie man die Wahrscheinlichkeit eines Zugriffes auf personenbezogene Daten von EU-Bürgern durch US-Behörden überhaupt konkret beurteilen soll, denn feste Leitfäden oder Muster seitens der Behörden gibt es nicht.

Praxistipp

An dieser Stelle macht es Sinn, sich mit den Gründen auseinanderzusetzen, warum eine Übermittlung ohne geeignete Garantien in die USA gemäß dem EuGH nicht DSGVO-konform ist. Diese liegen nämlich vor allem in den Zugriffsrechten von amerikanischen Sicherheitsbehörden auf in die USA übermittelte personenbezogene Daten (vgl. Section 702 FISA/E.O. 12333).

Aufgrund dieser Gesetze können US-Sicherheitsbehörden in unbeschränktem Umfang auf die Daten von Nicht-Amerikanern zugreifen und vor allem stehen den Betroffenen keine durchsetzbaren Rechte gegen die Zugriffe zur Verfügung. Wählen Sie als Rechtsgrundlage für eine Übermittlung in die USA eine Einwilligung nach Art. 49 I lit. a DSGVO müssen sie auf diese bestehenden Risiken hinweisen.

Gerade für KMU und Startups kann es daher sinnvoll sein, sich professionelle Unterstützung ins Boot zu holen. Denn natürlich könnte man die gesamte Thematik umgehen, indem man europäische Auftragsverarbeiter beauftragt. Doch wie eingangs bereits festgestellt, führt in manchen Bereichen leider noch kein Weg an den US-Anbietern vorbei, um qualitativ gleichwertige digitale Leistungen zu erhalten.

Unsere Datenschutzexpert:innen betreuen Sie gerne bei der Durchführung von Transfer Impact Assessments und helfen Ihnen dabei, die Übermittlung von Daten in die USA an die rechtlichen Entwicklungen anzupassen.