David Rosenthal hat bekanntlich mehrere Formulare zur Verfügung gestellt, die Risikoeinschätzungen im Zusammenhang mit Übermittlungen von Personendaten ins Ausland unterstützen (siehe dazu hier).
Bisher sind es folgende Formulare, in logischer Reihenfolge:
- Erhebung des lokalen Rechts mit Bezug auf Lawful Access: Weil sich das Zugriffsrisiko nach dem lokalen Recht richtet (abgesehen von den Umständen der Übermittlung und getroffenen technischen und organisatorischen Schutzmassnahmen), muss das relevante lokale Recht bekannt sein, und insbesondere ist eine Unterscheidung erforderlich zwischen Rechtsgrundlagen, die den rechtsstaatlichen Grundsätzen genügen und die deshalb datenschutzrechtlich unproblematisch sind, und probematischen Rechtsgrundlagen. Dafür ist ein Formular vorgesehen, mit dem dieses Recht strukturiert abgefragt wird. Bereits vorhanden sind entsprechende Erhebungen für Indien, Serbien, Nordmazedonien und den Kosovo → Excel.
- Erhebung der Massnahmen eines US-Providers: Das Zugriffsrisiko richtet sich auch danach, welche Massnahmen ein involvierter US-Provider getroffen hat. Auch dafür ist ein Formular vorgesehen → gleiches Excel
- TIA unter den EU SCC – dieses basiert wie gesagt auf dem lokalen Recht und prüft das Zugriffsrisiko vor diesem Hintergrund. Das Formular enthält mehrere Blätter mit verschiedenen Use Cases unter US-Recht, d.h. bei einer Übermittlung in die USA, und TIAs für Russland, China und Indien, neben Anleitungen zum Ausfüllen → gleiches Excel
- ein vereinfachtes TIA für einfachere Fälle → gleiches Excel
- TIA für Geheimnisse: Im Unterschied zum Datenschutzrecht verbieten Geheimnisbestimmungen – je nach Schutzrichtung und Umständen – eine Bekanntgabe auch an Behörden von Ländern mit angemessenem Schutzniveau und nicht nur unter problematischem Recht, sondern unter jedem lokalen Recht. Die Prüfung ist deshalb breiter und tiefer als die datenschutzrechtliche Prüfung allein. Dafür besteht ein separates Formular → Excel
Die IAPP hat zwei Formulare von David Rosenthal veröffentlicht, das TIA für die SCC und das TIA für Geheimnisse.
Diese Formulare dienen
- zuerst zur Erhebung des Rechts, denn ohne diesen Schritt kann ein TIA für ein bestimmtes Land nicht aussagekräftig sein, d.h. es kann nicht geprüft werden, ob die Tatbestandsvoraussetzungen erfüllt sind und ob Schranken oder Ausnahmen zur Anwendung kommen;
- der Erhebung des technischen Sachverhalts seitens des Providers – das ist ein Teil der Beurteilung, in Kombination mit eigenen Massnahmen; und
- der strukturierten und dokumentierten Einschätzung des Risikos, dass ein Zugriff nach dem lokalen Recht und nach den organisatorischen und technischen Rahmenbedingungen möglich ist.
Die Formulare sind breit im Einsatz. Das hat u.a. dazu geführt, dass sich auch verschiedene Behörden mehr oder weniger damit beschäftigt haben. Öffentlich bekannt:
- der EDÖB im Fall SUVA – kritische Bemerkungen ohne Fazit;
- der Zürcher Regierungsrat – Einsatz des Formulars als Standard, max. 10% Wahrscheinlichkeit als ausreichend niedrig akzeptiert;
- die Datenschutzbehörden des Kantons Basel-Stadt – Einsatz der Formulare in einem konkreten Fall akzeptiert;
- die Staatsanwaltschaft des Kantons Basel-Stadt – Methode geeignet für den Auslagerungsentscheid unter dem Amts- und Berufsgeheimnis;
- die dänische Datenschutzaufsichtsbehörde – Kritik am Formular (wobei nicht bekannt ist, in welcher Form das Formular eingesetzt worden ist);
- das niederländische Justizministerium im Zusammenhang mit dem Einsatz von Microsoft Teams, OneDrive, Sharepoint and Azure AD – Durchführung eines TIA auf Basis des Formulars Rosenthal); siehe hier.
Weitere Stellungnahmen sind vorhanden, aber nicht öffentlich bekannt.
Behörden haben das Formular also teils selbst eingesetzt, teils akzeptiert und teils kritisiert. Letzteres steht vor dem Hintergrund der bekannten Debatte um den risikobasierten Ansatz vs. Nullrisikoansatz. Dabei haben sich allerdings nicht alle Behörden näher mit der Sache befasst. David Rosenthal hat das zum Anlass genommen, umfangreiche FAQs zu seiner Methode zu veröffentlichen, die sich u.a ausführlich zum US-amerikanischen Überwachungsrecht äussern:
Hoffen wir, dass die FAQ zur Versachlichung der Diskussion beitragen – das wäre dringend notwendig.
Unbestritten ist, dass das Datenschutzrecht generell einem risikobasierten Ansatz folgt, nicht weniger als andere Rechte, die dem Umgang mit Risiken regeln. Ein anderer Ansatz wäre nicht nur abwegig, sondern verfassungswidrig, denkt man an die allgemeinen Eingriffsvoraussetzungen jedenfalls nach der schweizerischen Bundesverfassung und an die Schutzrichtung von Art. 13 Abs. 2 BV.
Was dies für Übermittlungen ins Ausland bedeutet, ist allerdings strittig. Dabei wird aber oft nicht unterschieden zwischen der Frage, welche Rechte problematisch im genannten Sinne sind, wann diese Rechte zur Anwendung kommen können und wie die Risiken einzuschätzen und zu behandeln sind, falls sie zur Anwendung kommen. Man kann die Auseinandersetzung mit dem lokalen Recht aber nicht dadurch ersetzen, dass man einen risikobasierten Ansatz a priori verwirft.