spainter_vfx - stock.adobe.com
DTIA: Was vor einer Datenübermittlung geprüft werden muss
Bevor personenbezogene Daten übermittelt werden, müssen einige Fragen geklärt sein. Dies nennt man Data Transfer Impact Assessment. Jedes Unternehmen sollte es implementieren.
Datenübermittlungen spielen für Unternehmen eine große Rolle, die Nutzung von Public-Cloud-Diensten ist ein Beispiel dafür. Doch wenn personenbezogene Daten übermittelt werden sollen, sieht die Datenschutz-Grundverordnung (DSGVO) eine Reihe von Anforderungen dafür vor.
Grundsätzlich geht es darum zu prüfen, ob am Ziel der Datenübermittlung ein vergleichbares Datenschutzniveau gewährleistet wird, wie dies die DSGVO vorschreibt. Wie aber kann man das wissen? Dazu gilt es, ein Assessment zu machen, ein Data Transfer Impact Assessment (DTIA) oder kurz Transfer Impact Assessment (TIA).
Datentranfers müssen vorab geprüft werden
Dabei ist es entscheidend, nicht etwa mit der Datenübermittlung zu starten und dann zu überlegen, welche Datenschutzfolgen hiermit verbunden sein könnten. Vielmehr muss zuerst geprüft werden, das DTIA kommt also vor dem geplanten Datentransfer.
Das klingt logisch, doch in der Praxis finden viele Datenübermittlungen statt, ohne vorher die möglichen Folgen für den Datenschutz zu ermitteln, nach dem Motto: Ist unsere Cloud-Nutzung datenschutzkonform? Das sollte nicht erst im Nachgang geklärt sein.
Allerdings ist diese Klärung nicht einfach. Entsprechend froh sind viele Unternehmen nun über den Privacy Shield Nachfolger DPF (Data Privacy Framework), wenn es um Datentransfers an US-Unternehmen geht. Es sei jedoch bemerkt, dass das DPF nur Anwendung finden kann, wenn das betreffende US-Unternehmen auch dem DPF unterliegt (siehe auch EU-US Data Privacy Framework: Alte Idee, neu verpackt?).
Bereits diese Klärung gehört zu einem Data Transfer Impact Assessment, genauer gesagt, entscheidet diese Klärung darüber, ob ein DTIA vollständig ausgeführt werden muss.
Unternehmen sollten einen Prozess für DTIA aufsetzen
Da Datenübermittlungen weitaus häufiger anstehen, als man als Unternehmen vielleicht glaubt, sollte man sich auf die entsprechenden Prüfungen vorbereiten, also am besten einen eigenen Prozess für DTIA etablieren.
Dabei sollte klar sein, dass ein DTIA keine einmalige Angelegenheit ist. Wenn sich an den Faktoren, die bei einem DTIA bewertet wurden, etwas verändert, muss die entsprechende Prüfung erneut erfolgen.
Welche Faktoren müssen aber bewertet werden? Hierzu erklärt der Europäische Datenschutzausschuss (EDSA): „Die Anwendung von Standardvertragsklauseln und anderen in Artikel 46 DSGVO genannten Übermittlungsinstrumenten erfolgt nicht in einem rechtlichen Vakuum. Der Europäische Gerichtshof hat ausgeführt, dass es einem Verantwortlichen oder Auftragsverarbeiter, der als Datenexporteur handelt, obliegt, in jedem Einzelfall – soweit angemessen, in Zusammenarbeit mit dem Datenimporteur im Drittland – zu prüfen, ob das Recht oder die Praxis des Drittlands die Effektivität der Garantien, die in den in Artikel 46 DSGVO genannten Übermittlungsinstrumenten enthalten sind, beeinträchtigt. Wenn man Datenrisiken sieht, muss man handeln: „In solchen Fällen lässt der Gerichtshof dem Verantwortlichen die Möglichkeit offen, zusätzliche Maßnahmen (auch ergänzende Maßnahmen genannt) zu ergreifen, um die Rechtsschutzlücken zu schließen und die Einhaltung des unionsrechtlichen Schutzniveaus zu gewährleisten.“
Die Schritte eines DTIA
Ein interner Prozess, der nach möglichen Datenrisiken eines Datentransfers sucht, sollte bestimmte Schritte umfassen:
Zuerst muss der Datenexporteur seine Datenübermittlungen kennen, also alle Übermittlungen personenbezogener Daten in Drittländer erfassen.
Dann folgt die Überprüfung des gewählten Übermittlungsinstruments, zum Beispiel ein Angemessenheitsbeschluss wie dem EU-US-Datenschutzrahmen (EU-US Data Privacy Framework, DPF) für bestimmte EU-US-Datenransfers.
Nun geht es um die Frage, ob die Effektivität der geeigneten Garantien, die die vom Datenexporteur gewählten Übermittlungsinstrumente bieten, im Kontext der vorgesehenen Übermittlung möglicherweise durch die Rechtsvorschriften oder Praktiken des Drittlands beeinträchtigt werden. Es geht also um Rechtsvorschriften des Drittlands, die für die Datenübermittlung relevant sind, zum Beispiel mögliche Zugriffe von Geheimdiensten. Man sollte dabei seine entsprechende Prüfung genau dokumentieren, damit es später nicht so aussehen kann, man hätte etwas nur vermutet.
Den Abschluss macht die Wahl der zusätzlichen Maßnahmen, die erforderlich sind, um ein Schutzniveau für die übermittelten Daten zu erzielen, das der Sache nach dem unionsrechtlichen Standard gleichwertig ist. Ein Beispiel kann eine Verschlüsselung der zu schützenden Daten sein, die dem Stand der Technik entspricht. In aller Regel werden technische Maßnahmen eine Rolle spielen, doch auch an vertragliche und organisatorische Maßnahmen sollte man denken, sofern diese geeignet sind, Schutzlücken wirksam zu schließen.
Es kann noch eine Abstimmung mit der zuständigen Aufsichtsbehörde folgen, in jedem Fall aber sollte man sich diese Bewertungsschritte „auf Wiedervorlage“ legen, sprich für eine spätere, erneute Kontrolle vormerken.
Es zeigt sich: Auch wenn es nun für EU-US-Datentransfers die mögliche Rechtsgrundlage DPF gibt, bleibt das Thema der Prüfung von Datenübermittlungen akut. Deshalb sollte man sich die Etablierung eines DTIA-Prozesses oben auf die Datenschutz-Agenda schreiben, wenn dies dort noch nicht steht.