TIA - der ungezähmte Papiertiger?

Heute mal ein „Rant“ von mir zum Thema TIA. Nicht ganz ernst zu nehmen, aber auch nicht wirklich witzig gemeint!

 

Und nicht falsch verstehen – ich bin begeisterter Europa-Fan, auch wenn der Eindruck entstehen mag, dass ich mit der Arbeit der EU-Kommission im Bereich Datenschutz teilweise ein wenig „mit der Gesamtsituation unzufrieden“ bin.

 

Da hat die französische Aufsichtsbehörde CNIL wieder einen „rausgehauen“.  Im „Practical Guide“ zum Transfer Impact Assessment (TIA) vom Januar 2025 lassen sich die Spezialisten auf 28 Seiten darüber aus, wie ihrer Meinung nach eine solche Prüfung von Drittland-Transfers auszusehen hat.

 

Einen Großteil dieser Empfehlungen findet man bereits in meinem 2021 erstellten TIA Prüfbogen, der bisher zwar kein totaler „Ladenhüter“ ist, von dem ich aber gedacht hätte er käme wesentlich öfter bei Unternehmen zum Einsatz.

 

Die Datenschutz-Expert/innen wissen es ja:

 

Klausel 14 in den Standard Vertragsklauseln (SCC) der EU verlangt diese Prüfung des „Datenschutz-Niveaus“ für Datentransfers in Drittländer ohne Angemessenheitsbeschluss. Die CNIL bestätigt das nochmal direkt in der Einleitung des Guides (wobei natürlich Art. 46 noch weitere Transfer-Tools listet):

 

“1.2 The objective of the TIA

 

A TIA must be carried out by the exporter subject to the GDPR, whether acting as controller or processor, with the assistance of the importer, before transferring the data to a third country outside the EEA where such transfer is based on an Article 46 GDPR tool.”

 

Nun kann man sagen: toll, dass eine Aufsichtsbehörde einen detaillierten Guide veröffentlicht (was stimmt).

 

Oder man kann der Ansicht sein, dass hier etwas nochmal richtig aufgeblasen und den Unternehmen aufgebürdet wird, was eigentlich der „Job“ der EU-Kommission sein sollte.

 

Die Illusion der Sicherheit: 15 Länder und der Rest der Welt

 

Ganze 15 Länder (außerhalb der EU) weltweit verfügen aktuell über einen Angemessenheitsbeschluss nach Art. 45 DSGVO. Gibt es den nicht, dann muss man auf andere „Garantien“ aus Art. 46 ff DSGVO ausweichen.

 

Von den 15 Ländern stehen noch dazu zwei auf wackeligen Beinen:

  • UK – nach dem Brexit wurde einmalig ein Angemessenheitsbeschluss bis Juni 2025 temporär eingesetzt. Mal sehen was bei der Überprüfung das Ergebnis sein wird.
  • USA – nach der Wahl von Trump und mit dessen Entfesselungsplänen für die US-Wirtschaft ist stark zu bezweifeln, dass die Presidential Order von Joe Biden und damit in Folge auch der EU-US DPF noch lange fortbestehen wird. Zur Not wird das wieder der EuGH klären, wie schon bei SafeHarbour und Privacy Shield.

11 dieser Länder wurden 2024 erneut geprüft und dabei waren Giganten wie: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, die Isle of Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay.

 

Mal ganz offen gefragt:

 

Kann es sein, dass die EU nicht in der Lage ist, mit vielen der wichtigsten Wirtschaftspartner Europas und den größten Handelsräumen der Welt (z.B. Mercosur) Abkommen zu treffen, die einen Angemessenheitsbeschluss ermöglichen?

 

Sollte dies der Fall sein – wieso übernimmt die EU mit ihren umfangreichen Ressourcen nicht die Prüfung von Rahmenbedingungen in Ländern wie China, Indien, Brasilien, Türkei und vielen weiteren selbst?

 

Wieso muss jedes Unternehmen zu jeder neuen Drittland-Übermittlung wieder u.a. die gesetzlichen Rahmenbedingungen für Länder und Branchen prüfen, wozu die meisten kleinen und mittleren Unternehmen nebenbei gesagt objektiv überhaupt nicht in der Lage sind?

 

TIA: Bürokratiemonster oder notwendiges Übel?

 

Die CNIL-Empfehlungen zu TIAs verlangen detaillierte Prüfungen auch der Rechtslage im Drittland für alle Datenflüsse dorthin und sind ein nicht zu unterschätzender Aufwand.

 

Wie sehen die praktischen Auswirkungen aus?

 

Bürokratie:

Für Cloud-Anbieter oder internationale Unternehmen mit globaler Infrastruktur bedeutet dies ggf. hunderte Einzelbewertungen pro Subunternehmer. Aber auch etwa ein mittelständischer E-Commerce-Händler müsste bewerten können ob z.B. Amazon Web Services als Sub-Unternehmer seines Hosters und vielleicht noch dessen in Singapur sitzender 24/7 Support die ganzen Voraussetzungen erfüllt.

 

Schlimmer noch - Scheinsicherheit:

Die geforderte Bewertung der Möglichkeit staatlicher Zugriffe auf Daten in Drittländern bzw. die Prüfung von Nachweisen von Verarbeitern in Drittländern ist doch oft schlicht nur ein Beruhigungsmittel.

 

Wie sollte ein Unternehmen realistisch (und ohne Hilfe von internationalen Kanzleien) bewerten können, ob nicht doch staatliche Stellen bei Bedarf auf die Daten zugreifen können und ob das vielleicht doch nicht im Rahmen von Rechtsstaatlichkeit und unter Berücksichtigung des angemessenen Schutzes der Betroffenen stattfindet?

 

Selbst beste TIAs könnten nicht verhindern, dass z.B. US-Behörden via Cloud Act oder irgendwelche Geheimdienste auf EU-Daten zugreifen – ein Datenschutz-Risiko, das nur auf dem Papier (oder natürlich durch Verschlüsselung) abgemildert werden könnte.

 

Mal abgesehen davon, dass Verschlüsselung ein tolles Konzept ist, aber eben nur für einen kleinen Teil z.B. Cloud-basierter Verarbeitungen wirklich praktikabel ist.

 

Fazit: Bringt’s was oder kann das weg?

 

Die aktuelle TIA-Praxis gleicht einem Eiertanz: Einerseits müssen Unternehmen immer stärker globalisierte Datenflüsse nutzen, andererseits drohen Bußgelder in Millionenhöhe.

 

Die Lösung? Mal eine Wunschliste.

 

Man mag mich einen Spinner nennen, aber zwischen ernsthafter TIA und „Augen zu und durch“ sollte es zukünftig Lösungen geben, die den Verantwortlichen die Umsetzung der Vorgaben zum Datenschutz auch international erleichtern:

 

  • Mehr Angemessenheitsbeschlüsse: Die EU sollte sich aktiv um Datenschutz-Abkommen mit wichtigen Handelspartnern und Wirtschaftsräumen kümmern, statt alle paar Jahre mal winzige Länder wie die Isle of Man mit einem Angemessenheitsbeschluss zu beglücken.
  • TIA-Templates für Branchen: Der Juristen-Apparat der EU könnte durchaus versuchen, für oftmals bereits international stark reglementierte Branchen standardisierte Bewertungen oder Rahmenwerke (z.B. Gesundheitswesen, Pharma, Finanz/Banken/Versicherungen, etc.) zu erstellen. Sozusagen „VerhaltensregelnPlus“ angelehnt an Art. 40 DSGVO.  Wer sich rechtssicher zur Einhaltung verpflichtet, würde einen großen Teil der TIA-Fragen positiv beantworten können.
  • Anerkannte Zertifizierungen: Dann gäbe es noch den Art. 42 DSGVO, den die EU (oder vielleicht die Aufsichtsbehörden?) einfach mal stärker „stressen“ sollte. Wieso kümmert sich niemand um einen international anerkannten Datenschutz-Standard, der zu einer ebensolchen Zertifizierung führen könnte? ISO 27701 ist ein Anfang, müsste aber in Richtung Drittland-Übermittlungen stark ausgebaut (oder vielleicht per Anlage erweitert?) werden.

Für Auftragsverarbeiter in Drittländern könnten entsprechende Nachweise und TOMs als Voraussetzung für eine Zertifizierung gefordert werden, die aktuell in TIAs mühsam abgefragt werden müssen und keine Gewähr bieten, dass diese auch wirklich eingehalten werden.

 

Ob das die „Großen“ kümmert, ist wieder ein anderes Thema, aber wo Licht ist, ist immer auch Schatten!

 

Und wenn das alles nix ist – liebe EU-Kommission – mach doch die Überlegungen eines sicheren und datenschutzkonformen europäischen Datenraums zumindest mal ein kleines Stück weit zur Realität.

 

Weniger über Chatkontrolle & Co. nachdenken und mehr für die Umsetzung der viel zitierten und jetzt aber doch wirklich endlich ehrlich mal tatsächlich nötigen EU-Datensouveränität machen, dann gibt es zumindest für einen Teil der Drittland-Übermittlungen vielleicht auch mal echte Alternativen.