Fortsetzung Datenexporte: Das Transfer Impact Assessment (TIA)

10.06.2022 von Lukas Stoller

Wenn Du Personendaten aus der Schweiz oder einem EWR Staat in ein sog. Drittland exportierst, wie bspw. den USA, musst Du ein angemessenes Datenschutzniveau sicherstellen. Eine gute Absicherung bieten die neuen Standardvertragsklauseln der EU Kommission («SCCs»). Damit ist es aber nicht getan, denn die neuen SCCs verpflichten Dich zum Erstellen einer Risikoeinschätzung. Im Fachjargon nennt sich dies «Transfer Impact Assessment» oder kurz «TIA».

Dieser Beitrag soll Dir aufzeigen, was ein solches TIA ist, wie grössere Unternehmen aus den USA die Situation handhaben und wie ein solches TIA aussehen könnte.

 

Was ist ein TIA und wann musst Du ein TIA erstellen?

Es kann sein, dass Du Personendaten in ein Drittland überträgst, indem Du eine SaaS-Applikation oder andere Cloudservices verwendest. Dies ist der Fall, wenn der Serverstandort dieses Clouddienstes ausserhalb der Schweiz oder eines EWR-Staates liegt.

Die neuen SCC verpflichten Dich nun, in einem solchen Fall abzuklären, ob Deine Daten im Bestimmungsland irgendwelchen Risiken ausgesetzt sind. Solche Risiken sind ungenügende Datenschutzvorschriften:

  1. Es kann zum Beispiel sein, dass den lokalen Behörden erlaubt wird, ohne konkreten Gerichtsbeschluss auf gewisse Kommunikationsdaten zuzugreifen.

  2. Oder es kann zu Hausdurchsuchungen und Datenzugriffen durch die lokalen Behörden kommen, ohne dass der Datenschutz gewährleistet ist. D.h. die betroffenen Personen erhalten bspw. keine Möglichkeit, die Löschung ihrer Daten im ausländischen Verfahren zu verlangen. Sie sind dann davon abhängig, dass sich der Cloud-Provider entsprechend für sie zur Wehr setzt.

Diese Analyse der lokalen Rechtslage nimmst Du im Rahmen eines Transfer Impact Assessments (TIA) vor, auf Deutsch «Übertragungs-Folgenabschätzung».

Das TIA musst Du zwingend vor der ersten Datenübermittlung ins Drittland und vor der Unterzeichnung SCCs erstellen. Dein Vertragspartner (also der Clouddienst) muss Dir dazu zuverlässige Informationen über das lokale Recht und die Behördenpraxis bereitstellen und Dich unterstützen.

Was musst Du bei der Nutzung von Google, AWS, Microsoft & Co. beachten?

Es ist gut möglich, dass Du zwar Clouddienste eines US-Unternehmens nutzt, den Vertrag aber mit der europäischen Tochterfirma abschliesst und den Datenstandort EU oder Schweiz auswählst. In diesem Fall rechnest Du nicht damit, dass eine Datenübermittlung in ein Drittland (bspw. der USA) erfolgt.

Aufgrund des CLOUD-Acts ist es aber bekanntlich möglich, dass US-Behörden dennoch Daten von Unternehmen mit amerikanischem Mutterhaus herausverlangen können (vgl. unseren Blogbeitrag dazu).

Musst Du in diesem Fall SCC mit der europäischen Tochterfirma abschliessen?

Diese Frage beantworten wir Dir anhand des folgenden Beispiels von Google:

Die Google Inc. hat eine Tochtergesellschaft in Europa (Google Ireland Ltd. («Google Europa»)). Wenn nun ein Schweizer Unternehmen die Google Cloud Dienstleistungen beansprucht, kommt es zu Datenübertragungen zwischen dem Schweizer Unternehmen und Google Europa. SCCs sind bei einer Datenübertragung zwischen der Schweiz und einem Land innerhalb des EWR nicht notwendig, da beide Länder über ein anerkanntes, angemessenes Datenschutzniveau verfügen.

Nichtsdestotrotz ist eine Weitergabe der personenbezogenen Daten von Google Europa an Google Inc. in den USA nicht ausgeschlossen. Dies ist bspw. der Fall, wenn Google Inc. von den US-Behörden zur Herausgabe gewisser Personendaten verpflichtet wird, die auf den Servern von Google Europa gespeichert sind (vgl. unseren Blogpost zum CLOUD-Act).

Das Schweizer Unternehmen ist in unserem Beispiel der Verantwortliche, Google Europa ist der Auftragsbearbeiter und Google Inc. der Unterauftragsbearbeiter.

In diesem Fall werden die personenbezogenen Daten in ein Drittland ohne angemessenes Datenschutzniveau übermittelt (USA). Damit müssen die SCCs irgendwo in der Kette abgeschlossen werden.

Da zwischen dem Schweizer Unternehmen und Google Europa kein «Datenexport» erfolgt, sondern zwischen Google Europa und Google Inc., müssen Letztere die SCC untereinander vereinbaren. Anwendbar wäre hier Modul 3 der SCC (Processer to Processor).

Das Schweizer Unternehmen muss lediglich einen gängigen Auftragsdatenbearbeitungsvertrag mit Google Europa abschliessen.

Zwischenfazit: Dementsprechend muss Google Europa mit Unterstützung von Google Inc. ein TIA erstellen.

Bist Du damit aus dem Schneider?

Leider nicht ganz. Das schweizerische Datenschutzgesetz verpflichtet Dich nämlich, die Datensicherheit zu gewährleisten. Das gilt auch, wenn Du einen Auftragsdatenbearbeiter beiziehst (bspw. einen Cloud-Provider).

Du weisst, dass Public-Cloudanbieter, die von US-amerikanischen Unternehmen beherrscht sind, dem Risiko von Datenzugriffen durch US-Behörden ausgeliefert sind (wegen des CLOUD-Acts). Dies ist ein Datensicherheitsrisiko.

Zurück zu unserem Beispiel:

Das TIA muss zwar durch den Datenexporteur (Google Europa) erstellt werden, aber der Verantwortliche (CH-Unternehmen) ist verpflichtet, das TIA zu überprüfen. Diese Überprüfung ist notwendig, damit das Schweizer Unternehmen seinen gesetzlichen Verpflichtungen im Zusammenhang mit der Auslagerung einer Datenbearbeitung nachkommt. Diese Überprüfung muss das Schweizer Unternehmen auch nach Abschluss der SCCs (in diesem Fall zwischen Google Europa und Google Inc.) periodisch wiederholen.

Was muss Dein TIA beinhalten?

Musst Du doch einmal ein TIA erstellen, weil direkt Daten exportierst, musst Du Folgendes beachten:

Im Grunde sollten sämtliche Möglichkeiten zum Datenzugriff durch öffentlichen Behörden des Ziellandes abgeschätzt werden. Folgende Punkte müssen bei der Risikoabschätzung berücksichtigt werden:

  • Zweck der Datenbearbeitung und Übermittlung;

  • Verwendete Übermittlungskanäle;

  • Form der Übermittlung (bspw. Verschlüsselung);

  • Art der übermittelten Personendaten («normale Personendaten» oder besonders schützenswerte Personendaten);

  • Lokale Rechtsvorschriften und Behördenpraxis in Bezug auf den Datenschutz;

  • Pflichten zur Offenlegung von Personendaten an lokale Behörden (bspw. im Rahmen von Strafverfahren oder Terrorismusbekämpfung, der Überwachung durch Nachrichtendienste etc.)

Des Weiteren kannst Du auch angewandte oder technische und organisatorische Massnahmen zum zusätzlichen Schutz der Personendaten (bspw. Double key encryption, Schlüsselverwaltung durch das Schweizer Unternehmen, etc.) ergreifen. Es gibt verschiedene Möglichkeiten, wie Du ein solches TIA im Einklang mit dem geltenden Datenschutzrecht ausgestalten kannst. Die International Association of Privacy Professionals («iapp») hat ein Muster-TIA zur Verfügung gestellt, nach dem Du Dich richten kannst.

Gerne unterstützt Dich das Team von datenschutz.law bei der Ausarbeitung Deines TIA!

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum