Trans­fer Impact Assess­ments”: IAPP ver­öf­fent­licht zwei For­mu­la­re von David Rosenthal

Bei der Bekannt­ga­be von Per­so­nen­da­ten an Emp­fän­ger in einem Staat ohne ange­mes­se­nes Daten­schutz­ni­veau ist es bekannt­lich nicht mehr aus­rei­chend, nur die Stan­dard­ver­trags­klau­seln (SCC) zu schlie­ssen. Der EuGH ver­lang­te im Schrems II-Urteil viel­mehr, eine Prü­fung durch­zu­füh­ren, ob das loka­le Recht des Emp­fän­gers – oder der Emp­fän­ger – die Wirk­sam­keit der SCC unter­läuft. Der Euro­päi­sche Daten­schutz­aus­schuss hat dazu Emp­feh­lun­gen ver­öf­fent­licht, die dem Expor­teur ein Vor­ge­hen in sechs Schrit­ten nahe­le­gen. Schritt 3 besteht in der ent­spre­chen­den Risikoprüfung:

A third step is to assess if the­re is anything in the law and/or prac­ti­ces in for­ce of the third coun­try that may impinge on the effec­ti­ve­ness of the appro­pria­te safe­guards of the trans­fer tools you are rely­ing on, in the con­text of your spe­ci­fic transfer.

Aller­dings sind Zugriffs­rech­te nach dem loka­len Recht des Emp­fän­gers nicht immer pro­ble­ma­tisch, denn auch in Staa­ten mit aus­ge­bau­tem Rechts­schutz kön­nen bestimm­te Behör­den selbst­ver­ständ­lich auf Daten zugrei­fen. Bedenk­lich sind nur poten­ti­el­le Zugrif­fe, die bestimm­te Kern­ga­ran­tien miss­ach­ten. Der Euro­päi­sche Daten­schutz­aus­schuss hat die­se Garan­tien in den “Recom­men­da­ti­ons 02/2020 on the Euro­pean Essen­ti­al Gua­ran­tees for sur­veil­lan­ce mea­su­res” zusam­men­ge­fasst:

7. The aim of the updated Euro­pean Essen­ti­al Gua­ran­tees is to pro­vi­de ele­ments to exami­ne, whe­ther sur­veil­lan­ce mea­su­res allo­wing access to per­so­nal data by public aut­ho­ri­ties in a third coun­try, being natio­nal secu­ri­ty agen­ci­es or law enfor­ce­ment aut­ho­ri­ties, can be regar­ded as a justi­fia­ble inter­fe­rence or not.

Der EDÖB, der sich die­se Sicht zu eigen gemacht hat, hat ana­lo­ge Anfor­de­run­gen in sei­ner Anlei­tung für die Prü­fung der Zuläs­sig­keit von Daten­über­mitt­lun­gen mit Aus­land­be­zug (nach Art. 6 Abs. 2 lit. a DSG) auf­ge­stellt (Prü­fung, ob etwai­ge Zugrif­fe durch loka­le Behör­den vier Kern­ga­ran­tien eingehalten).

Eine ent­spre­chen­de Prü­fung ist nicht nur eine Anfor­de­rung des mate­ri­el­len Daten­schutz­rechts, son­dern auch eine ver­trag­li­che Anfor­de­rung (mit Dritt­schutz­wir­kung) der neu­en Stan­dard­ver­trags­klau­seln, die der EDÖB mit bestimm­ten Auf­la­gen vor kur­zem auch für Expor­te unter dem DSG aner­kannt hat. Klau­sel 14 sieht für alle vier Modu­le der neu­en SCC vor:

a) Die Par­tei­en sichern zu, kei­nen Grund zu der Annah­me zu haben, dass die für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Daten­im­por­teur gel­ten­den Rechts­vor­schrif­ten und Gepflo­gen­hei­ten im Bestim­mungs­dritt­land, ein­schließ­lich Anfor­de­run­gen zur Offen­le­gung per­so­nen­be­zo­ge­ner Daten oder Maß­nah­men, die öffent­li­chen Behör­den den Zugang zu die­sen Daten gestat­ten, den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß die­sen Klau­seln hin­dern. Dies basiert auf dem Ver­ständ­nis, dass Rechts­vor­schrif­ten und Gepflo­gen­hei­ten, die den Wesens­ge­halt der Grund­rech­te und Grund­frei­hei­ten ach­ten und nicht über Maß­nah­men hin­aus­ge­hen, die in einer demo­kra­ti­schen Gesell­schaft not­wen­dig und ver­hält­nis­mä­ßig sind, um eines der in Arti­kel 23 Absatz 1 der Ver­ord­nung (EU) 2016/679 auf­ge­führ­ten Zie­le sicher­zu­stel­len, nicht im Wider­spruch zu die­sen Klau­seln stehen.
b) Die Par­tei­en erklä­ren, dass sie hin­sicht­lich der Zusi­che­rung in Buch­sta­be a ins­be­son­de­re die fol­gen­den Aspek­te gebüh­rend berück­sich­tigt haben: […]

Die­se Risi­ko­prü­fung vor Aus­lands­über­mitt­lun­gen – das “Trans­fer Impact Assess­ment” – muss berück­sich­ti­gen, ob Daten im Aus­land bele­gen oder vom Aus­land aus erreich­bar sind. Im Fall der USA läuft das auf die Fra­ge hin­aus, ob

  • ein Unter­neh­men der US-Gerichts­bar­keit untersteht,
  • ob es einer pro­ble­ma­ti­schen Gesetz­ge­bung (in erster Linie FISA Sec­tion 702) unter­steht (d.h. ob es ein “elec­tro­nic com­mu­ni­ca­ti­on ser­vice pro­vi­der” i.S.v. § 1881(b)(4) FISA ist),
  • ob die­ses Unter­neh­men auf Daten zugrei­fen kann,
  • ob sich die­se Daten auf Per­so­nen ausser­halb der USA bezie­hen (§ 1881a(a) FISA),
  • und wie wahr­schein­lich ein sol­cher Zugriff ist, was u.a. von den getrof­fe­nen tech­ni­schen Mass­nah­men abhän­gig ist, aber auch vom Appe­tit einer loka­len Behör­de, über eine pro­ble­ma­ti­sche Gesetz­ge­bung auf die betrof­fe­nen Daten zuzugreifen.

Für die­se Prü­fung hat David Rosen­thal kürz­lich ein For­mu­lar ver­öf­fent­licht, das die IAPP nun über­nom­men und ihrer­seits ver­öf­fent­licht hat.

Anzu­mer­ken bleibt, dass die Prü­fung bei Daten, die einem beson­de­ren Geheim­nis unter­ste­hen (d.h. einer beruf­li­chen Schwei­ge­pflicht; Art. 35 DSG/Art. 62 revDSG genügt nicht) etwas anders aus­fällt. Unter­stellt man, dass jeder Zugriff durch eine aus­län­di­sche Behör­de den objek­ti­ven Tat­be­stand einer Offen­ba­rung voll­endet – was nicht immer der Fall ist –, muss das Risi­ko eines sol­chen Zugriffs über­haupt geprüft wer­den, nicht nur eines Zugriffs unter Ver­let­zung der Kern­ga­ran­tien. Hier – aber eben auch nur hier – sind Bestim­mun­gen auf der Grund­la­ge bzw. nach dem Muster von Art. 18 der Cybercrime Con­ven­ti­on beacht­lich, z.B. der US Stored Com­mu­ni­ca­ti­on Act (SCA; mit den Ände­run­gen durch den US CLOUD Act). Auch für die­se, umfas­sen­de­re Prü­fung hat David Rosen­thal ein For­mu­lar bereit­ge­stellt, das die IAPP über­nom­men hat.