Die englische Aufsichtsbehörde ICO stellt auf ihrer Website Hinweise zur Übermittlung von Personendaten ins Ausland bereit. Die entsprechenden Angaben sind nun am 17. November 2022 aktualisiert worden. Sie enthalten neu einen Abschnitt über Risikobewertungen bei solchen Übermittlungen (“Transfer Risk Assessments”, “TRAs”, entspricht dem TIA) und dazu auch ein neues TRA-Tool.
Das Anliegen der ICO war es nach den eigenen Angaben, einen alternativen Ansatz zu jenem des Europäischen Datenschutzausschusses (EDPB) vorzulegen, der etwas realistischer sein soll:
Our TRA guidance clarifies an alternative approach to the one put forward by the European Data Protection Board. Our aim is to find an alternative, achievable approach delivering the right protection for the people the data is about, whilst ensuring that the assessment is reasonable and proportionate.
Die ICO stellt dabei nicht die Rechtsordnung des Empfängerstaats jener in UK gegenüber (also insbesondere der DSGVO, die UK als UK-GDPR ins nationale Recht inkorporiert hat), sondern sie vergleicht die Risiken für die Betroffenen mit und ohne die Übermittlung:
Option 1: This is the ICO’s approach in our TRA tool.
An assessment comparing the position of the people that the data is about, in the specific circumstances of the transfer:
a) if the information remains in the UK; and
b) if the proposed transfer goes ahead.
This assessment looks at the risks to people’s rights.
The key question is whether, as a result of the transfer, there is any increase in the risk to people’s privacy and other human rights, compared with the risk if the information remains in the UK.
In other words, once their information is in the receiver’s hands, are people in a sufficiently similar position about any risks to their data privacy and human rights? If there is no significant additional risk, then the transfer may go ahead.
As the receiver is contractually bound to comply with the data protection rights in the Article 46 transfer mechanism, the main focus of this assessment is on the protection of human rights more generally in the destination country. Any risks about the enforceability of the Article 46 transfer mechanism are also considered.
This approach is taken in our TRA tool. This sets out one way to carry out a TRA, with questions, guidance and a template to complete.
Daneben lässt die ICO auch das Vorgehen des EDPB zu:
Option 2: This is the approach taken by EDPB.
An assessment where the laws and practices of the UK (including the UK GDPR) are compared to the laws and practices of the importing country in order to assess the risks outlined above.
This involves looking at the safeguards in place about third party access to the information, in particular by governments. Those safeguards do not need to be identical to those in the UK, but must be sufficiently similar.
Das TRA-Tool gemäss der ersten Option der ICO selbst ein Word-Dokument, das hier abrufbar ist (und hier als PDF). Es prüft im Ergebnis unabhängig von einer bestimmten Jurisdiktion (also nicht nur z.B. bezogen auf die USA), ob die Übermittlung die grundrechtliche Situation der Betroffenen signifikant verschlechtern würde – falls nein, akzeptiert die ICO die Übermittlung auf Basis der Standardvertragsklauseln. Die ICO verfolgt damit einen dezidiert risikobasierten Ansatz, tut dies aber keineswegs blind, sondern auf Basis eines relativ einfachen Vorgehens, das den Fokus auf die bekannten Risikofaktoren und auf die Grundrechte der EMRK legt.
Das Tool geht dabei nach den folgenden sechs Fragen vor:
Question 1: What are the specific circumstances of the restricted transfer?
Hier werden zuerst Informationen zu den Parteien der Übermittlung, zu den Kategorien der betroffenen Personen, zu Menge und Art der übermittelten Daten, zur Art und Dauer der Übermittlung und zu dem Schutzmassnahmen beider Parteien abgefragt.
Question 2: What is the level of risk to people in the personal information you are transferring?
Auf Basis der Angaben aus Schritt 1 werden die Risiken aus den zu übermittelnden Daten abgefragt, wobei von einem Grundrisiko ausgegangen wird, das dann je nach Umständen erhöht oder reduziert wird. Das Ergebnis ist eine Einstufung pro Datenkategorie als low risk, moderate risk und high risk. Dabei bezieht sich das Risiko mögliche negative Auswirkungen auf die betroffene Person. Risikofaktoren sind dabei u.a. eine besondere Vertraulichkeit oder ob besonders schützenswerte Personendaten enthalten sind. Sehr hilfreich ist dabei die Risikoeinstufung nach Art der Daten im Anhang des TRA Tools.
Question 3: What is a reasonable and proportionate level of investigation, given the overall risk level in the personal information and the nature of your organisation?
Hier verfolgt die ICO einen spannenden Ansatz:
- Wenn alle Daten low risk sind, müssen KMUs keine weiteren Prüfungen machen – die Übermittlung auf Basis der Standardklauseln – der UK-Variante davon – ist zulässig. Bei moderate risk müssen auch KMUs eine nähere Prüfung machen, aber eine eingeschränkte, die die ICO als “Level 1 investigation” charakterisiert. Dabei darf sich das KMU mit ihm bekannten Informationen und bestimmten Zusatzinformationen insbesondere über die menschenrechtliche Lage im Zielstaat begnügen. Wenn die Daten high risk sind, ist eine vertieftere Prüfung erforderlich (“Level 2”), und wenn die Übermittlung dazu noch umfangreiche Daten betrifft, noch vertiefter (“Level 3”).
- Bei grösseren Unternehmen ist schon bei low risk eine Level-1-Prüfung erforderlich, bei moderate risk Level 2, und bei high risk immer Level 3.
Question 4: Is the transfer significantly increasing the risk for people of a human rights breach in the destination country?
In diesem Schritt wird geprüft, ob dieses generelle Risikoprofil durch die geplante Übermittlung signifikant erhöht würde. Hier werden die grundlegenden menschenrechtlichen Anforderungen nach der EMRK durchgeprüft. Dabei sind zwei Fragen zu beantworten:
- Gibt es allgemeine Bedenken bei der Übermittlung im Zusammenhang mit der Wahrung der Grundrechte?
- Werden die Risiken für die Betroffenen durch die Übermittlung signifikant erhöht, indem die Wahrscheinlichkeit einer Grundrechtsverletzung steigt oder eine Verletzung schwerwiegender würde?
Question 5:
(a) Are you satisfied that both you and the people the information is about will be able to enforce the Article 46 transfer mechanism against the importer in the UK?
(b) If enforcement action outside the UK may be needed: Are you satisfied that you and the people the information is about will be able to enforce the Article 46 transfer mechanism in the destination country (or elsewhere)?
In diesem Schritt ist zu prüfen, ob der Transfer Mechanism – i.d.R. die Standardvertragsklauseln – im Empfängerstaat vom Importeur und von den Betroffenen durchgesetzt werden könnten. Dazu stellt das Tool strukturierte Fragen. Zulässig ist die Übermittlung grundsätzlich, falls
- alle Daten low risk-Daten sind;
- falls der Empfängerstaat ein funktionierender Rechtsstaat ist;
- falls der Empfängerstaat ein Urteil eines UK-Gerichts oder Schiedsgerichts vollstrecken würde;
- falls es aus bestimmten Gründen besonders unwahrscheinlich ist, dass der Exporteur oder die Betroffenen im Empfängerstaat eine Klage anheben müssten.
Grundsätzlich unzulässig ist die Übermittlung gestützt auf die Standardklauseln im Ergebnis in folgenden Fällen:
- Wenn ein relevantes Durchsetzungsrisiko besteht;
- wenn die Übermittlung die Grundrechtsrisiken signifikant erhöht;
- wenn ein KMU umfangreiche high risk-Daten übermitteln oder wenn ein grösseres Unternehmen überhaupt high risk-Daten übermitteln will, sofern nicht eine detaillierte Analyse betr. Grundrechtsgefährdung Entwarnung gibt.
Question 6: Do any of the exceptions to the restricted transfer rules apply to the “significant risk data”?
The “significant risk data” is the data you identify in Questions 4 and 5 as data which your Article 46 transfer mechanism does not provide all the appropriate safeguards for.
Sofern Schritt 5 ergeben hatte, dass die Übermittlung mit Bezug auf alle oder einige Daten grundsätzlich unzulässig ist, sind insoweit Ausanhmen zu prüfen, d.h. die Ausnahmegründe nach Art. 49 DSGVO (analog zu Art. 6 Abs. 2 DSG).