SCC und TIA

Die Drittland?bermittlung

Wie viele wissen, regelt die Datenschutzgrundverordnung, kurz DSGVO, den Datenschutz in der Europ?ischen Union. Alle Unternehmen, die ihren Sitz oder eine Zweigstelle innerhalb der Union haben, m?ssen sich an dieses Gesetz halten. Dies hat in der Vergangenheit schon zu reichlich Problemen f?r diverse Unternehmen gef?hrt. Amazon, Google und WhatsApp haben bereits Strafen in Multimillionen-H?hen, aufgrund der Nichteinhaltung der Verordnung, bezahlen m?ssen.
Einer der Hauptgr?nde f?r die Entstehung der DSGVO war, dass vorrangig US-amerikanische Firmen, Daten aus der EU, die Unionsb?rger betreffen, transatlantisch nach Amerika sendeten, die dort auf Servern gespeichert wurden. Dies ist der sogenannte Drittlandtransfer, bei dem, laut der DSGVO, in dem Land, in dem die Daten landen, ein ?hnliches Datenschutzniveau gew?hrleistet werden muss, wie in der Union selbst.

Schrems-II

Im Juli des Jahres 2020 f?llte der Europ?ische Gerichtshof ein wegweisendes Urteil.
Das Verfahren war aufgrund eines angefochtenen Urteils beim EuGH gelandet, wobei es um die ?bermittlung von personenbezogenen Daten aus der EU auf Server in den Vereinigten Staaten ging. Bisher regelte dies der “Privacy Shield” der laut diesem EuGH-Urteil nicht ausreichte, um gen?gend Datenschutz zu gew?hrleisten.
Das Urteil hatte dramatische Konsequenzen f?r Tech-Unternehmen aus den USA, die Ums?tze in Europa einspielen und dies auf Basis von Daten, die sie dort sammeln. Denn die United States waren damit ein nicht-ad?quates Land, das keinen unbegrenzten Zugriff auf die Daten der Unionsb?rger hat.
Da jedoch die USA in diesem Bereich eine unglaublich gro?e Relevanz auf dem Markt der Union hat, musste die EU reagieren und zwei neue “Standard Contractual Clauses” wurden umgesetzt.

SCC

Zuvor existierten bereits Standardvertragsklauseln, aus den Jahren 2001 und 2010, was in einer schnelllebigen Welt, wie dem Internet, nicht mehr unbedingt als zeitgem?? gilt. Die alten SCC und die DSGVO ?berschnitten sich zeitlich gesehen noch, da die Grundverordnung im Jahre 2018 in Kraft trat.
Die neuen SCC f?r Datenschutz aus dem Jahr 2021, in Folge des Schrems-II-Urteils, sollten k?nftig einerseits den unionsinternen Datenaustausch und andererseits den Drittlandtransfer von personenbezogenen Daten regeln. Klauseln bez?glich des Drittlandtransfers haben wohl in diesem Zusammenhang eine h?here Bedeutung, da es ja, auch im Urteil, vor allem um den Transfer von Daten in die USA ging.
Da viele Unternehmen Dienste von amerikanischen, meist kalifornischen, Anbietern nutzen (zum Beispiel Google Analytics), dient die neue Klausel solchen Unternehmen, nach Art. 46 DSGVO als Rechtsgrundlage.
Die ?bermittlung jedoch rechtlich lediglich auf die SCC zu st?tzen, ist nicht ausreichend.
Denn es muss ausf?hrlich, von den Exporteuren, gepr?ft werden, ob der Datenschutz in dem Drittland, gr??tenteils den USA, auch gew?hrleistet wird.

TIA

Die Unternehmen m?ssen neben den Standardvertragsklauseln auch noch ein sogenanntes Transfer Impact Assessment anfertigen.
Doch was ist das? Es ist wie eine Art Risikobewertung der Daten?bertragung zu betrachten. Es ist eine selbst?ndige Absch?tzung der allgemeinen Sicherheitslage f?r die personenbezogenen Daten, bei der ?bermittlung. Da dies stark individuell ist und nicht wie die SCC vorgefertigt ist, ist die Umsetzung der TIA mit der DSGVO, gar nicht so einfach.
Die Einf?hrung des TIA, hat eben genau den Hintergrund, besseren Schutz beim Drittlandtransfer f?r Daten zu erm?glichen. Der Abschluss der SCC ist auch abh?ngig davon, wie der TIA ausf?llt. Denn der TIA soll Datenschutz gew?hrleisten, beziehungsweise das Vorhandensein eines ausreichenden Datenschutzniveaus nachweisen.

Umsetzung des TIA

Wie sollte ein TIA in der Praxis am besten aussehen?
Wichtig ist, dass Sie es von einem ExpertenInnen, also externen Datenschutzbeauftragten oder von Fachanw?lten anfertigen lassen und nicht versuchen, es in die eigene Hand zu nehmen.
Beinhalten sollte der TIA unter anderem:

-Vertragsparteien
-Rechtsgrundlage der ?bermittlung
-Inhalte der ?bermittlung
-Besondere Umst?nde wie: besondere personenbezogene Daten, Art der ?bertragung
-Rechtslage des Drittlandes und m?gliche Urteile der Vergangenheit
-Die Festlegung von Schutzma?nahmen f?r die personenbezogenen Daten
-Eine abschlie?ende Einsch?tzung, die neutral und nicht beg?nstigend vorgenommen wird

Dies ist der grobe Umfang, wie TIA angefertigt werden sollten. In der Praxis sollte dies jedoch, wie gesagt, nicht selbst umgesetzt werden.

Fazit

Die ?bermittlung von Daten in Drittl?nder wurde durch das Schrems-II-Urteil auf den Kopf gestellt. Dazu sei gesagt, dass die USA vor allem deswegen, aus Sicht der Union, nicht gen?gend Datenschutz gew?hrleisten, weil die Beh?rden in ?bersee zu leicht Zugriff darauf erhalten k?nnen.
Aus diesem Grund f?llte der EuGH im Jahr 2020 das Urteil und ebnete so den Weg f?r die neuen SCC und TIA.
Die neuen SCC l?sten die alten, antiquierten Standardvertragsklauseln ab und sollen k?nftig den europ?ischen Datentransfers und vor allem den Drittlandtransfers eine Rechtsgrundlage bieten.
Neben diesen Vertr?gen sollen auch TIA geschlossen werden, die relevante Daten zum Inhalt haben. Dies dient vor allem der Risikoermittlung und soll klarmachen, wer dabei Daten ?bersendet, wer sie verarbeitet, welche Daten es sind und wie umfangreich die Verarbeitung ist. Auch besondere Kategorien sollen erfasst werden.
Abschlie?end l?sst sich jedoch sagen, wenn auf au?ereurop?ische Anbieter nicht verzichtet werden kann, so sollte der Abschluss von Vertr?gen, so wie die ?bermittlung, in fachkundige H?nde ?bergeben werden.
Denn ein missbr?uchlicher Umgang mit den personenbezogenen Daten der EU-B?rger ist nicht akzeptabel.

Keywords:SCC, TIA, externer Datenschutzbeauftragter