Neue Standarddatenschutzklauseln und die Datentransfer-Folgenabschätzung

Anfang Juni hat die Europäische Kommission neue Standarddatenschutzklauseln (hier im Folgenden „SDSK“) veröffentlicht (wir berichteten hier, hier und hier). Mit der Veröffentlichung ergeben sich neben der Prüfung, welche Datentransfers in Drittstaaten überhaupt vorliegen und bis wann man die neuen Klauseln denn verpflichtend verwenden muss (das ist bei Neuabschluss der 27.09.2021; bereits geschlossene Verträge verlieren Ende Dezember 2022 ihre Gültigkeit), auch noch weitere To Dos vor Abschluss der Klauseln.

Verwirrung?

Die Klauseln wurden gemäß Art. 46 Abs. 1 lit c DSGVO erlassen. In diesem Artikel wird von „Standarddatenschutzklauseln“ gesprochen. Irreführenderweise betitelt die Europäische Kommission die neuen Klauseln als „Standardvertragsklauseln“, welche eigentlich in Art. 28 Abs. 7 DSGVO erwähnt werden. Die „Standardvertragsklauseln“, die in Art. 28 Abs. 7 DSGVO erwähnt werden, sind hiervon zu unterscheiden. Für weiterführende Informationen dazu verweisen wir auf unseren Blogbeitrag hier.

Eine Übersicht zu den neuen SDSK finden Sie hier. Nachfolgend wird speziell auf die Pflicht aus Klausel 14 der neuen SDSK eingegangen, welche für alle vier Module gilt:

DTFA – Datentransfer-Folgenabschätzung

In der neuen Klausel 14 mit der Überschrift „Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“ gibt es für die Vertragsparteien Anweisungen, welche vor Unterzeichnung und vor dem Datentransfer beachtet werden müssen. Da es sich hier um eine Folgeabschätzung vor dem Datentransfer handelt und es keinen offiziellen Begriff gibt, sprechen wir im Folgenden von einer Datentransfer-Folgenabschätzung (kurz DTFA). Im englischen Sprachgebrauch wird derzeit der Begriff „DTIA“ (Data Transfer Impact Assessment) bzw. „TIA“ (Transfer Impact Assessment) verwendet. Diese müssen die Vertragsparteien durchführen, bewerten und vor allem für eine etwaige Anfrage einer Aufsichtsbehörde dokumentieren:

1. Was muss beachtet werden?

Umstände der unsicheren Drittstaatenübermittlung (bspw. Länge der Verarbeitungskette, beteiligte Akteure, Übertragungskanäle, Zweck der Verarbeitung, Kategorien und Format der übermittelten Daten, Speicherort)
Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten)
Vertragliche, technische oder organisatorische Garantien zur Ergänzung von Garantien in den Klauseln zum Schutze der personenbezogenen Daten.

2. Mit welchen Mitteln kann ich die DTFA dokumentieren?

Eigene Elemente: Dies können einschlägige und dokumentierte praktische Erfahrungen sein, wie z.B. ob es bereits frühere Ersuchen um Offenlegung seitens der Behörden gab (oder eben nicht). Diese Erfahrungen müssen einen hinreichend repräsentativen Zeitrahmen abdecken und an Dritte weitergegeben dürfen (Stichwort interne Aufzeichnungen/Belege, die von leitender Ebene bestätigt worden sind).
Objektive und relevante Elemente, die von den Parteien auf Zuverlässigkeit und Repräsentanz geprüft worden sind mit dem Ziel, die eigenen Elemente zu untermauern.

Beispiel: Gibt es öffentlich verfügbare oder anderweitig zugänglich zuverlässige Informationen über das (Nicht-)Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder Anwendung der Rechtsvorschriften in der Praxis (Rechtsprechung, Berichte unabhängiger Aufsichtsgremien etc.)?

Wenn ja, sollte geprüft werden, ob diese Elemente das Ergebnis der Prüfung der eigenen Elemente erhärten oder widerlegen.

Führt die Prüfung zu dem Ergebnis, dass es „keinen Grund zur Annahme“ gibt, dass der Datenimporteur an der Erfüllung seiner Pflichten gemäß der SDSK gehindert wird, ist der Datenimporteur während der gesamten Laufzeit des Vertrages verpflichtet, den Datenexporteur unverzüglich zu benachrichtigen, wenn sich Änderungen ergeben, die sich auf die vorangegangene Prüfung auswirken.

Hintergrund / Ausblick

Hintergrund für die Verpflichtung zu der Durchführung einer DTFA ist, dass die DTFA die vom EuGH geforderten „zusätzlichen Maßnahmen“ zur Absicherung eines gewissen Datenschutzniveaus abbildet. Ohne die Durchführung einer DTFA ist der Datentransfer in unsichere Drittstaaten trotz Abschluss der neuen Standarddatenschutzklauseln nicht datenschutzkonform. Zusätzlich zu der bereits beschriebenen Fragebogenaktion der Aufsichtsbehörden erscheint uns eine stichprobenartige Kontrolle der Dokumentation von DTFA durch die Aufsichtsbehörden nicht unwahrscheinlich. Man sollte also nach erfolgter Durchführung der DTFA eine Wiedervorlage setzen, um eine Überprüfung der DTFA nicht aus den Augen zu verlieren.

Sprechen Sie uns gerne an, wenn wir Sie bei einer DTFA unterstützen können.

Maxime Franke | 6. Juli 2021 | Allgemein, Internationaler Datenschutz | Data Transfer Impact Assessment), Datenschutzaufsichtsbehörden, Datentransfer in die USA, Datentransfer in unsichere Drittländer, Datentransfer-Folgenabschätzung, DSGVO, DTFA, DTIA, EU-Kommission, EU-Standarddatenschutzklauseln, EuGH, personenbezogene Daten, Schrems II, TIA, Transfer Impact Assessment)