ICO (UK): “TRA Tool” – neu­es Tool für Trans­fer Impact Assess­ments (TIAs)

Die eng­li­sche Auf­sichts­be­hör­de ICO stellt auf ihrer Web­site Hin­wei­se zur Über­mitt­lung von Per­so­nen­da­ten ins Aus­land bereit. Die ent­spre­chen­den Anga­ben sind nun am 17. Novem­ber 2022 aktua­li­siert wor­den. Sie ent­hal­ten neu einen Abschnitt über Risi­ko­be­wer­tun­gen bei sol­chen Über­mitt­lun­gen (“Trans­fer Risk Assess­ments”, “TRAs”, ent­spricht dem TIA) und dazu auch ein neu­es TRA-Tool.

Das Anlie­gen der ICO war es nach den eige­nen Anga­ben, einen alter­na­ti­ven Ansatz zu jenem des Euro­päi­schen Daten­schutz­aus­schus­ses (EDPB) vor­zu­le­gen, der etwas rea­li­sti­scher sein soll:

Our TRA gui­d­ance cla­ri­fies an alter­na­ti­ve approach to the one put for­ward by the Euro­pean Data Pro­tec­tion Board. Our aim is to find an alter­na­ti­ve, achiev­a­ble approach deli­vering the right pro­tec­tion for the peop­le the data is about, whilst ensu­ring that the assess­ment is rea­son­ab­le and pro­por­tio­na­te.

Die ICO stellt dabei nicht die Rechts­ord­nung des Emp­fän­ger­staats jener in UK gegen­über (also ins­be­son­de­re der DSGVO, die UK als UK-GDPR ins natio­na­le Recht inkor­po­riert hat), son­dern sie ver­gleicht die Risi­ken für die Betrof­fe­nen mit und ohne die Übermittlung:

Opti­on 1: This is the ICO’s approach in our TRA tool.

An assess­ment com­pa­ring the posi­ti­on of the peop­le that the data is about, in the spe­ci­fic cir­cum­stan­ces of the transfer:

a) if the infor­ma­ti­on remains in the UK; and

b) if the pro­po­sed trans­fer goes ahead.

This assess­ment loo­ks at the risks to people’s rights.

The key que­sti­on is whe­ther, as a result of the trans­fer, the­re is any incre­a­se in the risk to people’s pri­va­cy and other human rights, com­pa­red with the risk if the infor­ma­ti­on remains in the UK.

In other words, once their infor­ma­ti­on is in the receiver’s hands, are peop­le in a suf­fi­ci­ent­ly simi­lar posi­ti­on about any risks to their data pri­va­cy and human rights? If the­re is no signi­fi­cant addi­tio­nal risk, then the trans­fer may go ahead.

As the recei­ver is con­trac­tual­ly bound to com­ply with the data pro­tec­tion rights in the Arti­cle 46 trans­fer mecha­nism, the main focus of this assess­ment is on the pro­tec­tion of human rights more gene­ral­ly in the desti­na­ti­on coun­try. Any risks about the enfor­cea­bi­li­ty of the Arti­cle 46 trans­fer mecha­nism are also considered.

This approach is taken in our TRA tool. This sets out one way to car­ry out a TRA, with que­sti­ons, gui­d­ance and a tem­pla­te to complete.

Dane­ben lässt die ICO auch das Vor­ge­hen des EDPB zu:

Opti­on 2: This is the approach taken by EDPB.

An assess­ment whe­re the laws and prac­ti­ces of the UK (inclu­ding the UK GDPR) are com­pa­red to the laws and prac­ti­ces of the importing coun­try in order to assess the risks out­lined above.

This invol­ves loo­king at the safe­guards in place about third par­ty access to the infor­ma­ti­on, in par­ti­cu­lar by governments. Tho­se safe­guards do not need to be iden­ti­cal to tho­se in the UK, but must be suf­fi­ci­ent­ly simi­lar.

Das TRA-Tool gemäss der ersten Opti­on der ICO selbst ein Word-Doku­ment, das hier abruf­bar ist (und hier als PDF). Es prüft im Ergeb­nis unab­hän­gig von einer bestimm­ten Juris­dik­ti­on (also nicht nur z.B. bezo­gen auf die USA), ob die Über­mitt­lung die grund­recht­li­che Situa­ti­on der Betrof­fe­nen signi­fi­kant ver­schlech­tern wür­de – falls nein, akzep­tiert die ICO die Über­mitt­lung auf Basis der Stan­dard­ver­trags­klau­seln. Die ICO ver­folgt damit einen dezi­diert risi­ko­ba­sier­ten Ansatz, tut dies aber kei­nes­wegs blind, son­dern auf Basis eines rela­tiv ein­fa­chen Vor­ge­hens, das den Fokus auf die bekann­ten Risi­ko­fak­to­ren und auf die Grund­rech­te der EMRK legt.

Das Tool geht dabei nach den fol­gen­den sechs Fra­gen vor:

Que­sti­on 1: What are the spe­ci­fic cir­cum­stan­ces of the restric­ted transfer?

Hier wer­den zuerst Infor­ma­tio­nen zu den Par­tei­en der Über­mitt­lung, zu den Kate­go­rien der betrof­fe­nen Per­so­nen, zu Men­ge und Art der über­mit­tel­ten Daten, zur Art und Dau­er der Über­mitt­lung und zu dem Schutz­mass­nah­men bei­der Par­tei­en abgefragt.

Que­sti­on 2: What is the level of risk to peop­le in the per­so­nal infor­ma­ti­on you are transferring?

Auf Basis der Anga­ben aus Schritt 1 wer­den die Risi­ken aus den zu über­mit­teln­den Daten abge­fragt, wobei von einem Grund­ri­si­ko aus­ge­gan­gen wird, das dann je nach Umstän­den erhöht oder redu­ziert wird. Das Ergeb­nis ist eine Ein­stu­fung pro Daten­ka­te­go­rie als low risk, mode­ra­te risk und high risk. Dabei bezieht sich das Risi­ko mög­li­che nega­ti­ve Aus­wir­kun­gen auf die betrof­fe­ne Per­son. Risi­ko­fak­to­ren sind dabei u.a. eine beson­de­re Ver­trau­lich­keit oder ob beson­ders schüt­zens­wer­te Per­so­nen­da­ten ent­hal­ten sind. Sehr hilf­reich ist dabei die Risi­ko­ein­stu­fung nach Art der Daten im Anhang des TRA Tools.

Que­sti­on 3: What is a rea­son­ab­le and pro­por­tio­na­te level of inve­sti­ga­ti­on, given the over­all risk level in the per­so­nal infor­ma­ti­on and the natu­re of your organisation?

Hier ver­folgt die ICO einen span­nen­den Ansatz:

  • Wenn alle Daten low risk sind, müs­sen KMUs kei­ne wei­te­ren Prü­fun­gen machen – die Über­mitt­lung auf Basis der Stan­dard­klau­seln – der UK-Vari­an­te davon – ist zuläs­sig. Bei mode­ra­te risk müs­sen auch KMUs eine nähe­re Prü­fung machen, aber eine ein­ge­schränk­te, die die ICO als “Level 1 inve­sti­ga­ti­on” cha­rak­te­ri­siert. Dabei darf sich das KMU mit ihm bekann­ten Infor­ma­tio­nen und bestimm­ten Zusatz­in­for­ma­tio­nen ins­be­son­de­re über die men­schen­recht­li­che Lage im Ziel­staat begnü­gen. Wenn die Daten high risk sind, ist eine ver­tief­te­re Prü­fung erfor­der­lich (“Level 2”), und wenn die Über­mitt­lung dazu noch umfang­rei­che Daten betrifft, noch ver­tief­ter (“Level 3”).
  • Bei grö­sse­ren Unter­neh­men ist schon bei low risk eine Level-1-Prü­fung erfor­der­lich, bei mode­ra­te risk Level 2, und bei high risk immer Level 3.

Que­sti­on 4: Is the trans­fer signi­fi­cant­ly incre­a­sing the risk for peop­le of a human rights bre­ach in the desti­na­ti­on country?

In die­sem Schritt wird geprüft, ob die­ses gene­rel­le Risi­ko­pro­fil durch die geplan­te Über­mitt­lung signi­fi­kant erhöht wür­de. Hier wer­den die grund­le­gen­den men­schen­recht­li­chen Anfor­de­run­gen nach der EMRK durch­ge­prüft. Dabei sind zwei Fra­gen zu beantworten:

  • Gibt es all­ge­mei­ne Beden­ken bei der Über­mitt­lung im Zusam­men­hang mit der Wah­rung der Grundrechte?
  • Wer­den die Risi­ken für die Betrof­fe­nen durch die Über­mitt­lung signi­fi­kant erhöht, indem die Wahr­schein­lich­keit einer Grund­rechts­ver­let­zung steigt oder eine Ver­let­zung schwer­wie­gen­der würde?

Que­sti­on 5:

(a) Are you satis­fied that both you and the peop­le the infor­ma­ti­on is about will be able to enfor­ce the Arti­cle 46 trans­fer mecha­nism against the importer in the UK?

(b) If enfor­ce­ment action out­side the UK may be nee­ded: Are you satis­fied that you and the peop­le the infor­ma­ti­on is about will be able to enfor­ce the Arti­cle 46 trans­fer mecha­nism in the desti­na­ti­on coun­try (or elsewhere)?

In die­sem Schritt ist zu prü­fen, ob der Trans­fer Mecha­nism – i.d.R. die Stan­dard­ver­trags­klau­seln – im Emp­fän­ger­staat vom Impor­teur und von den Betrof­fe­nen durch­ge­setzt wer­den könn­ten. Dazu stellt das Tool struk­tu­rier­te Fra­gen. Zuläs­sig ist die Über­mitt­lung grund­sätz­lich, falls

  • alle Daten low risk-Daten sind;
  • falls der Emp­fän­ger­staat ein funk­tio­nie­ren­der Rechts­staat ist;
  • falls der Emp­fän­ger­staat ein Urteil eines UK-Gerichts oder Schieds­ge­richts voll­strecken würde;
  • falls es aus bestimm­ten Grün­den beson­ders unwahr­schein­lich ist, dass der Expor­teur oder die Betrof­fe­nen im Emp­fän­ger­staat eine Kla­ge anhe­ben müssten.

Grund­sätz­lich unzu­läs­sig ist die Über­mitt­lung gestützt auf die Stan­dard­klau­seln im Ergeb­nis in fol­gen­den Fällen:

  • Wenn ein rele­van­tes Durch­set­zungs­ri­si­ko besteht;
  • wenn die Über­mitt­lung die Grund­rechts­ri­si­ken signi­fi­kant erhöht;
  • wenn ein KMU umfang­rei­che high risk-Daten über­mit­teln oder wenn ein grö­sse­res Unter­neh­men über­haupt high risk-Daten über­mit­teln will, sofern nicht eine detail­lier­te Ana­ly­se betr. Grund­rechts­ge­fähr­dung Ent­war­nung gibt.

Que­sti­on 6: Do any of the excep­ti­ons to the restric­ted trans­fer rules app­ly to the “signi­fi­cant risk data”?

The “signi­fi­cant risk data” is the data you iden­ti­fy in Que­sti­ons 4 and 5 as data which your Arti­cle 46 trans­fer mecha­nism does not pro­vi­de all the appro­pria­te safe­guards for.

Sofern Schritt 5 erge­ben hat­te, dass die Über­mitt­lung mit Bezug auf alle oder eini­ge Daten grund­sätz­lich unzu­läs­sig ist, sind inso­weit Aus­an­h­men zu prü­fen, d.h. die Aus­nah­me­grün­de nach Art. 49 DSGVO (ana­log zu Art. 6 Abs. 2 DSG).