Datenschutzrechtliche Prüfungen bei Nutzung von Dienstleistern aus Drittländern werden für jedes Unternehmen zur Pflicht

Veröffentlicht am von

Was beim TIA (Transfer Impact Assessment) beachtet werden muss

Pressemeldung der Firma DataSolution LUD GmbH

Am 04.06.2021 wurden die neuen Standardvertragsklauseln (SCC) für den Datentransfer von personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss verabschiedet. Diese sind seit dem 27.09.2021 bei neuen Verträgen anzuwenden. Bereits bestehende Verträge müssen bis Ende 2022 auf die neuen SCC umgestellt werden.

Bereits mit den bisherigen Standardvertragsklauseln bestand die Pflicht, dass Datenschutzniveau im Zielland zu prüfen und ggf. ergänzende Maßnahmen zu ergreifen. Dabei spielen vor allem Zugriffsbefugnisse seitens staatlicher Behörden eine Rolle. Mit den neuen SCC wurde die Bewertung in der Klausel 14 nun zur Pflicht. D.h. die Vertragsparteien müssen bewerten, inwieweit staatliche Behörden Zugriffsmöglichkeiten auf Daten von EU-Bürgern haben und wie der Datenimporteur diese vermeiden bzw. abwehren kann.

Bei der Bewertung der Rechtslage im Drittland ist der Datenexporteur auf die Unterstützung des Datenimporteurs angewiesen, denn nur dieser kann beurteilen, ob und wie Zugriffe staatlicher Behörden möglich und durchsetzbar sind. Wie in Klausel 14 beschrieben, sollen beide Vertragsparteien daran mitwirken.

Viele Systemanbieter haben auf die neuen Vorgaben bereits reagiert und stellen weitreichende Informationen zur Verfügung. Bei anderen Dienstleistern ist es mittels Anfragen erforderlich, die notwendigen Informationen einzuholen. Ein Fragebogen kann dabei eine erste Hilfestellung sein. Ein Beispiel für US-Dienstleister finden Sie hier.

TIA Schritt für Schritt

Neben der rechtlichen Bewertung bzgl. des Datenzugriffs ist eine Risikoabschätzung der Datenverarbeitung hilfreich, um einzuschätzen, ob ein Datentransfer möglich ist. Dazu ist zunächst herauszufinden, bei welchen Datenverarbeitungen ein Datentransfer in ein Drittland, z.B. bei Verwendung eines Dienstleisters stattfindet. Wann ein Drittlandstransfer erfolgt, wurde erst kürzlich in den Guidelines 05/2021 des European Data Protection Bord (EDPB) näher beleuchtet.

Datentransfer

Einmal mehr ist das Verzeichnis für Verarbeitungstätigkeiten als Grundlage heranzuziehen. Mit Hilfe der Verfahrensbeschreibung kann genau bestimmt werden, welche Empfänger beteiligt sind und wann ein Drittlandstransfer stattfindet. In den Verfahren sind die Kategorien der Datenarten, die betroffenen Personen und weitere Risikofaktoren bereits beschrieben und können so gleich berücksichtigt werden.

Datenimporteur bzw. Dienstleister

Informationen zum Dienstleister sind zu ermitteln. In welchem Land hat dieser seinen (Haupt)Sitz, wo werden die Daten verarbeitet und welche Dienstleistung wird durchgeführt bzw. in Anspruch genommen.

Gesetzgebung im Drittland und Auswirkung auf den Datentransfer

Es erfolgt in diesem Schritt die Ausarbeitung der Gesetzgebung. Wie bereits beschrieben, ist dazu die Zusammenarbeit mit dem Datenimporteur erforderlich, um die nationalspezifischen Aspekte zu beleuchten. In diesem Zusammenhang ist ebenfalls zu ermitteln, ob es bereits Anfragen staatlicher Behörden gab und wie seitens des Anbieters mit diesen umgegangen wird. Es ist für das TIA von Vorteil, wenn der Datenimporteur einen Transparenzbericht bereitstellen kann.

Maßnahmen

Es ist zu prüfen, welche vertraglichen Maßnahmen getroffen wurden, um die Rechte der Betroffenen zu schützen. Welche technischen sowie organisatorischen Maßnahmen (TOM) sind erforderlich bzw. bereits vorhanden? Das sind zum einen die Maßnahmen, die vom Anbieter bereitgestellt werden sowie auch eigene vom Unternehmen getroffene Sicherheitsmaßnahmen. Es ist für das TIA von Vorteil, wenn der Datenimporteur ein Datenschutz- und Datensicherheitskonzept bereitstellen kann.

Beurteilung

Nach der ausführlichen Beschreibung der vorhergehenden Schritte ist im letzten Schritt eine Bewertung vorzunehmen, ob ein Datentransfer unter den gegebenen Umständen möglich ist. Evtl. sind weitere zusätzliche Sicherheitsmaßnahmen zu ergreifen. Zu prüfen ist auch, ob es adäquate Alternativen zu den verwendeten Dienstleistern gibt und ob diese verwendet werden können.

Die Beurteilung des Datentransfers ergibt sich letztendlich aus dem TIA und der Risikoabschätzung in Bezug zur Datenverarbeitung, also zum Verfahren.

Dokumentation

Um die Vorgaben aus den neuen SCC und der Klausel 14 zu erfüllen ist es sinnvoll, dass TIA und die weitere Risikoabschätzung pro Verfahren zu dokumentieren.

In unserem Datenschutz-Management-System (DSMS) haben wir seit kurzem eine Möglichkeit integriert, das TIA und eine Risikobewertung systemgestützt durchzuführen. Das TIA wird beim jeweiligen Anbieter bzw. Dienstleister hinterlegt, die Risikoabschätzung und die Dokumentation der zusätzlichen Maßnahmen erfolgen in den einzelnen Verfahren. Mittels einer automatischen Berechnung aller Faktoren ergibt sich ein Risikolevel, welches für die Beurteilung nützlich ist. Durch das Zusammenwirken der einzelnen Funktionen im DSMS und sinnvolle Verknüpfungen sparen Sie Zeit und müssen nicht alle Einzelheiten neu eingeben. Bei Interesse an einer Demonstration des ZDMS in Zusammenhang mit dem TIA können Sie sich gern an uns wenden. Vereinbaren Sie doch gleich einen online Termin hier.



Firmenkontakt und Herausgeber der Meldung:
DataSolution LUD GmbH
Isarstrasse 13
14974 Ludwigsfelde
Telefon: +49 (3378) 202513
Telefax: +49 (3378) 202514
https://www.datenschutzberater365.de/...

Ansprechpartner:
Andreas Thurmann
Geschäftsführer
+49 (3378) 202513

Die DataSolution LUD GmbH entwickelte sich aus einem kleinen Beratungsunternehmen, welches 2006 gegründet wurde. Schwerpunktbranchen der Beratungstätigkeit sind die Hotellerie, Bildungsträger, Sozialdienste und Startups, aber auch Arztpraxen und Apotheken. Neben der eigentlichen Beratungstätigkeit wurden aus der Praxis heraus eigene Tools entwickelt, welche die tägliche Arbeit eines Datenschutzbeauftragten unterstützen. So wurde zuletzt ein eigenes Datenschutz-Management-System (DSMS) entwickelt, um die zahlreichen Excel- und Word Dateien zu ersetzen und ein Dokumentationssystem im Sinne der EU Datenschutz-Grundverordnung (DSGVO) einzusetzen. Datenschutz soll aber auch für kleinere Unternehmen, die nicht zwingend einen Datenschutzbeauftragten benötigen, praktikabel sein. Die Anforderungen der DSGVO gelten für alle Unternehmen! Aus diesem Grund hat die DataSolution LUD GmbH in 2021 Produktpakete zusammengestellt, die zunächst der Hotellerie und Arztpraxen angeboten werden. Hier wurden die eigenen Tools zusammengefasst und um branchenspezifische Vorlagen ergänzt. Die DataSolution LUD GmbH arbeitet zudem eng mit einem Startup aus Hamburg im Bereich der Webseitenanalyse und Consent Manager Plattform zusammen, welches das Paket abrundet.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.