Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


18.12.2020

Prüfschema für Datentransfers in Drittländer

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hat ein Prüfschema für Datentransfers in Drittländer veröffentlicht. Dieses Schema soll eine strukturierte Überprüfung ermöglichen.

Das Dokument des BfDI enthält zwar keine neuen inhaltlichen Aspekte und Hilfestellungen in Bezug auf die datenschutzrechtliche Zulässigkeit von Datentransfers in Drittländer. Allerdings bietet das Prüfschema eine gute Basis für die – nicht nur aus Sicht der Datenschutzaufsichtsbehörden – notwendige Dokumentation.

Hintergrund

Die vorstehend erwähnte Notwendigkeit einer Dokumentation folgt aus der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO (Accountability). Danach ist der Verantwortliche nicht nur für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, sondern muss auch deren Einhaltung nachweisen können. Daher empfiehlt sich eine Dokumentation der Rechtmäßigkeitsprüfung eines jeden Prozesses, bei dem personenbezogene Daten verarbeitet werden.

Dabei ist bei einem Datentransfer in Drittländer zusätzlich eine Risikoprüfung (sog. TIA - Transfer Impact Assessment) durchzuführen, wenn für das Drittland kein Angemessenheitsbeschluss der EU-Kommission vorliegt. Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen, z.B. Standardvertragsklauseln oder Binding Corporate Rules (verbindliche interne Datenschutzvorschriften), und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen.

In jedem Fall obliegt es dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der zu übermittelnden personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können z.B. Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien (zur einschlägigen EuGH-Entscheidung siehe Datenschutz-News v. 17.7.2020).

Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist die Datenübermittlung nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.

Fazit und Hinweise für die Praxis

Das Prüfschema des BfDI ist eine gute Basis, um die notwendige Risikoprüfung bei Datentransfers in Drittländer (TIA, Transfer Impact Assessment) zu dokumentieren. Die Verwendung des BfDI-Schemas bietet den Vorteil, dass auf dieser Basis eine nachvollziehbare und überprüfbar dokumentierte Prüfung möglich ist, wie sie die Datenschutzaufsichtsbehörden verlangen. Die Prüfung selbst und die Entscheidung, ob und welche Maßnahmen hinreichend sind, muss freilich immer noch vom Verantwortlichen  durchgeführt und getroffen werden.

Das Prüfschema kann hier direkt als pdf-Datei abgerufen werden.

Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht