TIAs: FAQ zur Metho­de Rosenthal

David Rosen­thal hat bekannt­lich meh­re­re For­mu­la­re zur Ver­fü­gung gestellt, die Risi­ko­ein­schät­zun­gen im Zusam­men­hang mit Über­mitt­lun­gen von Per­so­nen­da­ten ins Aus­land unter­stüt­zen (sie­he dazu hier).

Bis­her sind es fol­gen­de For­mu­la­re, in logi­scher Reihenfolge:

  • Erhe­bung des loka­len Rechts mit Bezug auf Law­ful Access: Weil sich das Zugriffs­ri­si­ko nach dem loka­len Recht rich­tet (abge­se­hen von den Umstän­den der Über­mitt­lung und getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­mass­nah­men), muss das rele­van­te loka­le Recht bekannt sein, und ins­be­son­de­re ist eine Unter­schei­dung erfor­der­lich zwi­schen Rechts­grund­la­gen, die den rechts­staat­li­chen Grund­sät­zen genü­gen und die des­halb daten­schutz­recht­lich unpro­ble­ma­tisch sind, und pro­be­ma­ti­schen Rechts­grund­la­gen. Dafür ist ein For­mu­lar vor­ge­se­hen, mit dem die­ses Recht struk­tu­riert abge­fragt wird. Bereits vor­han­den sind ent­spre­chen­de Erhe­bun­gen für Indi­en, Ser­bi­en, Nord­ma­ze­do­ni­en und den Koso­vo → Excel.
  • Erhe­bung der Mass­nah­men eines US-Pro­vi­ders: Das Zugriffs­ri­si­ko rich­tet sich auch danach, wel­che Mass­nah­men ein invol­vier­ter US-Pro­vi­der getrof­fen hat. Auch dafür ist ein For­mu­lar vor­ge­se­hen → glei­ches Excel
  • TIA unter den EU SCC – die­ses basiert wie gesagt auf dem loka­len Recht und prüft das Zugriffs­ri­si­ko vor die­sem Hin­ter­grund. Das For­mu­lar ent­hält meh­re­re Blät­ter mit ver­schie­de­nen Use Cases unter US-Recht, d.h. bei einer Über­mitt­lung in die USA, und TIAs für Russ­land, Chi­na und Indi­en, neben Anlei­tun­gen zum Aus­fül­len → glei­ches Excel
  • ein ver­ein­fach­tes TIA für ein­fa­che­re Fäl­le → glei­ches Excel
  • TIA für Geheim­nis­se: Im Unter­schied zum Daten­schutz­recht ver­bie­ten Geheim­nis­be­stim­mun­gen – je nach Schutz­rich­tung und Umstän­den – eine Bekannt­ga­be auch an Behör­den von Län­dern mit ange­mes­se­nem Schutz­ni­veau und nicht nur unter pro­ble­ma­ti­schem Recht, son­dern unter jedem loka­len Recht. Die Prü­fung ist des­halb brei­ter und tie­fer als die daten­schutz­recht­li­che Prü­fung allein. Dafür besteht ein sepa­ra­tes For­mu­lar → Excel

Die IAPP hat zwei For­mu­la­re von David Rosen­thal ver­öf­fent­licht, das TIA für die SCC und das TIA für Geheim­nis­se.

Die­se For­mu­la­re dienen

  • zuerst zur Erhe­bung des Rechts, denn ohne die­sen Schritt kann ein TIA für ein bestimm­tes Land nicht aus­sa­ge­kräf­tig sein, d.h. es kann nicht geprüft wer­den, ob die Tat­be­stands­vor­aus­set­zun­gen erfüllt sind und ob Schran­ken oder Aus­nah­men zur Anwen­dung kommen;
  • der Erhe­bung des tech­ni­schen Sach­ver­halts sei­tens des Pro­vi­ders – das ist ein Teil der Beur­tei­lung, in Kom­bi­na­ti­on mit eige­nen Mass­nah­men; und
  • der struk­tu­rier­ten und doku­men­tier­ten Ein­schät­zung des Risi­kos, dass ein Zugriff nach dem loka­len Recht und nach den orga­ni­sa­to­ri­schen und tech­ni­schen Rah­men­be­din­gun­gen mög­lich ist.

Die For­mu­la­re sind breit im Ein­satz. Das hat u.a. dazu geführt, dass sich auch ver­schie­de­ne Behör­den mehr oder weni­ger damit beschäf­tigt haben. Öffent­lich bekannt:

  • der EDÖB im Fall SUVA – kri­ti­sche Bemer­kun­gen ohne Fazit;
  • der Zür­cher Regie­rungs­rat – Ein­satz des For­mu­lars als Stan­dard, max. 10% Wahr­schein­lich­keit als aus­rei­chend nied­rig akzeptiert;
  • die Daten­schutz­be­hör­den des Kan­tons Basel-Stadt – Ein­satz der For­mu­la­re in einem kon­kre­ten Fall akzeptiert;
  • die Staats­an­walt­schaft des Kan­tons Basel-Stadt – Metho­de geeig­net für den Aus­la­ge­rungs­ent­scheid unter dem Amts- und Berufsgeheimnis;
  • die däni­sche Daten­schutz­auf­sichts­be­hör­de – Kri­tik am For­mu­lar (wobei nicht bekannt ist, in wel­cher Form das For­mu­lar ein­ge­setzt wor­den ist);
  • das nie­der­län­di­sche Justiz­mi­ni­ste­ri­um im Zusam­men­hang mit dem Ein­satz von Micro­soft Teams, One­D­ri­ve, Share­point and Azu­re AD – Durch­füh­rung eines TIA auf Basis des For­mu­lars Rosen­thal); sie­he hier.

Wei­te­re Stel­lung­nah­men sind vor­han­den, aber nicht öffent­lich bekannt.

Behör­den haben das For­mu­lar also teils selbst ein­ge­setzt, teils akzep­tiert und teils kri­ti­siert. Letz­te­res steht vor dem Hin­ter­grund der bekann­ten Debat­te um den risi­ko­ba­sier­ten Ansatz vs. Null­ri­si­ko­an­satz. Dabei haben sich aller­dings nicht alle Behör­den näher mit der Sache befasst. David Rosen­thal hat das zum Anlass genom­men, umfang­rei­che FAQs zu sei­ner Metho­de zu ver­öf­fent­li­chen, die sich u.a aus­führ­lich zum US-ame­ri­ka­ni­schen Über­wa­chungs­recht äussern:

Hof­fen wir, dass die FAQ zur Ver­sach­li­chung der Dis­kus­si­on bei­tra­gen – das wäre drin­gend notwendig.

Unbe­strit­ten ist, dass das Daten­schutz­recht gene­rell einem risi­ko­ba­sier­ten Ansatz folgt, nicht weni­ger als ande­re Rech­te, die dem Umgang mit Risi­ken regeln. Ein ande­rer Ansatz wäre nicht nur abwe­gig, son­dern ver­fas­sungs­wid­rig, denkt man an die all­ge­mei­nen Ein­griffs­vor­aus­set­zun­gen jeden­falls nach der schwei­ze­ri­schen Bun­des­ver­fas­sung und an die Schutz­rich­tung von Art. 13 Abs. 2 BV.

Was dies für Über­mitt­lun­gen ins Aus­land bedeu­tet, ist aller­dings strit­tig. Dabei wird aber oft nicht unter­schie­den zwi­schen der Fra­ge, wel­che Rech­te pro­ble­ma­tisch im genann­ten Sin­ne sind, wann die­se Rech­te zur Anwen­dung kom­men kön­nen und wie die Risi­ken ein­zu­schät­zen und zu behan­deln sind, falls sie zur Anwen­dung kom­men. Man kann die Aus­ein­an­der­set­zung mit dem loka­len Recht aber nicht dadurch erset­zen, dass man einen risi­ko­ba­sier­ten Ansatz a prio­ri verwirft.