SKW Schwarz | Kanzleiprofil
SKW Schwarz berichtete bereits darüber, dass die EU-Kommission am 4. Juni 2021 neue EU-Standardvertragsklauseln für den internationalen Datentransfer verabschiedet hat. Diese neuen EU-Standardvertragsklauseln sind hier abrufbar. In dem erwähnten Beitrag wiesen wir bereits darauf hin, dass bei der Heranziehung dieser neuen EU-Standardvertragsklauseln eine Risikoeinschätzung („Transfer Impact Assessment“) erforderlich ist. Zwischenzeitlich hat auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer Pressemitteilung vom 21. Juni 2021 hierauf hingewiesen. In unserem oben verlinkten Beitrag gaben wir bereits die Empfehlung ab, einen standardisierten Prozess zur Durchführung des Transfer Impact Assessments und zur Dokumentation des Transfer Impact Assessments zu implementieren.
In diesem Beitrag geht es nun um ein solches Transfer Impact Assessment und wie man diesbezüglich einen standardisierten Prozess implementieren kann.
Was bei einem Transfer Impact Assessment zu prüfen ist
Die Vertragsparteien müssen nach Art. 14 lit. a der EU-Standardvertragsklauseln versichern, dass sie keine Zweifel daran haben, dass der Datenimporteur durch geltende Rechtsvorschriften und Gepflogenheiten im Drittland an der Erfüllung der sich aus den EU-Standardvertragsklauseln ergebenden Pflichten gehindert wird. Eine entsprechende Beurteilung ist zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen. Deshalb genügt eine kurze reine gedankliche Prüfung in der Regel nicht. In Art. 14 lit. b der EU-Standardvertragsklauseln gibt es Vorgaben dazu, welche Aspekte bei der Prüfung zu beachten sind.
Sofern man bei der Prüfung zu dem Ergebnis kommt, dass der Datenimporteur durch geltende Rechtsvorschriften und Gepflogenheiten im Drittland an der Erfüllung der sich aus den EU-Standardvertragsklauseln ergebenden Pflichten gehindert wird, müssen entweder weitere technische, organisatorische oder vertragliche Maßnahmen getroffen werden, die dies verhindern oder die Übermittlung muss unterbleiben. Für die Prüfung kann im Übrigen – wie von der DSK in der oben verlinkten Pressmitteilung ausgeführt – auf die Empfehlungen des Europäischen Datenschutzausschuss für Drittlandtransfers zurückgegriffen werden, deren endgültige Fassung am 18.06.2021 nach öffentlicher Konsultation beschlossen wurde, worüber wir hier bereits berichtet hatten.
Standardisierung und von SKW Schwarz entwickeltes Tool
Da die Durchführung eines Transfer Impact Assessments sehr aufwändig ist, ist dringend zu empfehlen, den Prozess zu standardisieren. Der Prozess sollte so aufgesetzt werden, dass die Informationssammlung und Auswertung effizient ausgestaltet sind. Aus Erfahrungen in den letzten Monaten wissen wir, dass insbesondere in internationalen Unternehmensgruppen die Sachverhaltsermittlung sehr zeitaufwändig sein kann. Daher sollte zumindest die Informationsgewinnung standardisiert werden. Eine weitere Ausbaustufe ist die automatische Auswertung von Antworten auf Standardfragen.
SKW Schwarz hat zur Standardisierung für die Unternehmen ein Tool in Form eines Excel-Sheets entwickelt, bei dem diese standardisierte Fragen beantworten können und sodann eine automatische Auswertung erhalten.
Neben Vorfragen, ob überhaupt ein solches Transfer Impact Assessment durchzuführen ist, beziehen sich die Fragen auf die Kategorien der Daten, auf sonstige Umstände der Übermittlung, auf die Rechtslage und Gepflogenheiten im Empfängerland sowie auf technische und organisatorische Maßnahmen. Die Fragen decken den Kriterienkatalog des Art. 14 lit. b der EU-Standardvertragsklauseln ab. Auch die Empfehlungen des Europäischen Datenschutzausschuss für Drittlandtransfers sind in das Tool eingeflossen.
Einen ersten Einblick in das Tool ermöglicht das folgende Video, das wir als Anleitung zu dem Tool erstellt haben:
Zusammenfassung der Handlungsempfehlungen für ein Transfer Impact Assessment
Aus Effizienzgründen ist dringend zu empfehlen, den Prozess für die Durchführung eines Transfer Impact Assessments zu standardisieren. Insoweit sollte zumindest ein Prozess implementiert werden, bei dem standardisiert die Informationen gesammelt werden können. Eine weitere Ausbaustufe eines standardisierten Prozesses ist die automatische Auswertung der Antworten auf die Fragen und somit eine Automatisierung eines Transfer Impact Assessments.
Das von SKW Schwarz entwickelte Tool zur Durchführung des Transfer Impact Assessments stellen wir unseren Mandanten gerne zur Verfügung und passen dieses bei Bedarf auch an die jeweiligen Prozesse im Unternehmen an. Falls Sie an unserem Tool interessiert sind, sprechen Sie uns gerne jederzeit an.