Das Transfer Impact Assessment (TIA) (oder auf Deutsch Datentransfer-Folgenabschätzung) dürfte für viele Organisationen, Rechtsabteilungen und Datenschutzbeauftragte eines der großen Themen des Datenschutzjahres 2022 werden. Denn die aktualisierten Standardvertragsklauseln 2021 verlangen von Organisationen in Klausel 14, dass sie ein Transfer Impact Assessment durchführen müssen, wenn sie Daten in ein Drittland übermitteln. Unter anderem müssen sie dabei die geplante Verarbeitung darauf überprüfen,
- wer daran beteiligt ist, welche Daten diese erhalten, was der Zweck dabei ist,
- die Rechtsvorschriften und Gepflogenheiten des Ziellands und
- die relevanten Maßnahmen zum Schutz der Daten.
Wie generell bei einer TIA vorzugehen ist, beantworten bereits einige Blogbeiträge oder Mustervorlagen der IAPP beispielsweise. In diesem Beitrag führe ich einen Selbstversuch durch und versuche zu erarbeiten, wie man Rechtsvorschriften und Gepflogenheiten beurteilt. Denn das dürfte nach ersten eigenen Erfahrungen auch für viele andere eine richtig große Herausforderung bedeuten.
Wie beurteilt man Rechtsvorschriften und Gepflogenheiten im Kontext einer TIA?
Der europäische Datenschutzausschuss beschreibt in seinen Recommendations, was aus seiner Sicht zu berücksichtigen ist, um die Rechtsvorschriften und Gepflogenheiten im Drittland, in die man die Daten zu übermitteln plant, im Kontext eines Transfer Impact Assessments zu prüfen:
„A third step is to assess if there is anything in the law and/or practices in force of the third country that may impinge on the effectiveness of the appropriate safeguards of the transfer tools you are relying on, in the context of your specific transfer”. (S. 3)
Es gilt also zu prüfen, ob es im Zielland rechtliche Mechanismen gibt, die den Inhalten der Standardvertragsklauseln, also europäischen Mindestvorgaben zum Datenschutz, widersprechen. So die Anforderung. Nun dürften viele Datenschutzbeauftragte ins Schwitzen kommen, denn ihnen dürfte nicht so ganz klar sein, wie sie dies adäquat bewerkstelligen. Dabei stellen sich vermutlich Fragen wie:
- Wie gewinne ich einen Überblick, ob es Rechtsvorschriften im relevanten Drittland gibt, die dem europäischen Datenschutz widersprechen?
- Wie finde ich heraus, welche Gepflogenheiten es dort gibt, die nachteilig sind?
Versuchen wir doch mal einen Perspektivenwechsel, um nachvollziehen zu können, weshalb das so schwierig ist.
Wie würden wir ein Transfer Impact Assessment für Deutschland angehen?
Nehmen wir an, wir würden als Organisation, z.B. aus dem Senegal (Anmerkung: Senegal gilt in Afrika als Vorreiter im Datenschutz), planen, unsere Personaldaten in einer Cloud Anwendung bei einem Anbieter in Deutschland hosten zu lassen. Nehmen wir zusätzlich an, wir müssten die rechtliche Situation in Deutschland bewerten. Wie würden wir vorgehen?
1. Allgemeinen Überblick verschaffen
Als findiger Datenschutzbeauftragter aus dem Senegal würde wir uns einen ersten Überblick darüber verschaffen, ob es allgemeine Datenschutzvorschriften gibt. Wir würden vermutlich schnell feststellen, dass es die Datenschutz-Grundverordnung (DS-GVO) gibt. Wenn wir landesspezifischer suchen, würden wir vermutlich auch über das Bundesdatenschutzgesetz stolpern. Wenn wir diese prüfen, dann werden wir feststellen, dass unsere Beschäftigten (hier die Betroffenen) über verschiedene garantierte Rechte verfügen.
2. Vom Allgemeinen zum Spezifischen
Nun geht es darum herauszufinden, ob Sicherheitsbehörden per Gesetz von diesen allgemeinen Schutzvorgaben abweichen dürfen. Wenn man gezielt nach Befugnissen von Sicherheitsbehörden sucht, so entdeckt man z.B. über Wikipedia, dass es das Bundesamt für Verfassungsschutz, das Bundeskriminalamt, den Bundesnachrichtendienst und den militärischen Abschirmdienst gibt.
3. Spezifische Gesetze prüfen
Nachdem wir verschiedene Sicherheitsbehörden identifiziert haben, versuchen wir herauszufinden, über welche Befugnisse diese verfügen. Wenn wir speziell nach „gesetzliche Regelung Verfassungsschutz“ suchen, so finden wir über die Webseite des Bundesamt für Verfassungsschutz heraus, dass es ein Bundesverfassungsschutzgesetz gibt. Suchen wir etwas weiter, so finden wir den deutschsprachigen Gesetzestext in sehr kurzer Zeit. Jetzt stoßen wir jedoch auf ein Problem. Wo finden wir den Gesetzestext auf Englisch oder Französisch oder einer anderen lokalen Sprache des Senegal? Es gibt zwar einige Gesetzestexte auf Englisch, z.B. bei Gesetze im Internet, dort ist das was wir suchen, jedoch nicht zu finden. Zwar lässt sich die Seite des Verfassungsschutzes auch auf Englisch abrufen, den Gesetzestext finden wir dort jedoch nicht. Natürlich könnten wir jetzt noch an verschiedenen anderen Stellen weitersuchen, unsere Suche könnte hier jedoch schon ein abruptes Ende finden. Eine Suche nach einer englischsprachige Fassung des Gesetzes über den Bundesnachrichtendienst endet übrigens genauso ernüchternd.
Teilfazit: Bis zu diesem Punkt ist es uns zwar gelungen, herauszufinden, welche Sicherheitsbehörden es gibt. Mangels englischsprachiger Gesetzestexte wäre es uns jedoch nicht möglich, detailliert zu prüfen, ob Rechtsvorschriften den Datenschutz aufweichen. Wir müssten also auf Berichte von anderen Experten oder von spezialisierten Organisationen vertrauen.
Welche Gepflogenheiten gibt es in Deutschland?
Wie beurteilt man die Gepflogenheiten zum Datenschutz in Deutschland? Wir könnten z.B. gezielt nach Berichten in der Öffentlichkeit zur Menschenrechtslage suchen oder dazu, ob Sicherheitsbehörden Gepflogenheiten an den Tag legen, die Zweifel daran aufkommen lassen. Schauen wir doch mal, was Amnesty International über Deutschland berichtet:
- Amnesty International kritisiert z.B. im aktuellsten Jahresbericht ganz allgemein, dass Versammlungsrechte in Deutschland während der Corona-Pandemie erheblich eingeschränkt und Auflagen für Demonstrationen erheblich erhöht wurden.
- Speziell zum Datenschutz heißt es bei Amnesty, dass die Änderungen im Bundesnachrichtendienstgesetz eine Massenüberwachung ausländischer Kommunikation und die Überwachung von Kommunikationsnetzen ohne Aufsicht ermöglichen.
- Des Weiteren dürfen Sicherheitsbehörden Staatstrojaner auf Endgeräten installieren, um damit auch verschlüsselte Kommunikation auszuspähen oder Zero-Day-Exploits installieren.
- Das Innenministerium hat wohl ebenfalls die Pegasus Überwachungssoftware von NSO gekauft. Nach eigenen Aussagen hat es diese jedoch nur legal zur gezielten Überwachung eingesetzt.
Welche Einschätzung findet man bei Humans Right Watch?
Im Prinzip stößt man dort auf die gleichen Feststellungen. Die Menschenrechtsorganisation weist ebenfalls auf die gesetzliche Regelung hin, dass Sicherheitsbehörden Spionagesoftware verwenden dürfen, um Geräte zu hacken oder auf verschlüsselte Daten zuzugreifen. Beim Netzwerkdurchsuchungsgesetz sei man der Auffassung, dass der Bundestag Bedenken hinsichtlich der Auswirkungen auf die Meinungsfreiheit zu wenig berücksichtige.
Um den Rahmen meines Beitrags nicht zu sprengen, habe ich an dieser Stelle nicht noch bei weiteren Menschenrechtsorganisationen weiterrecherchiert. Selbstverständlich ist das nur eine Stichprobe. Es zeigt jedoch auf, dass Europa kein vollumfängliches, strahlendes Vorbild für den Rest der Welt ist. Selbstverständlich sichert die DS-GVO fundamentale Rechte für die Menschen deren Daten Organisationen und Behörden verarbeiten. Gleichzeitig gibt es jedoch auch Teilaspekte, die weniger glanzvoll sind. Es sei hier an die immer wieder vom Europäischen Gerichtshof (EuGH) abgeschmetterten Versuche der Bundesregierung zur Vorratsdatenspeicherung erinnert. Man darf selbstkritisch durchaus hinterfragen, ob das vermeintliche hohe moralische Ross, auf dem Deutschland bzw. Europa sitzt, der Realität entspricht bzw. dem Maßstab, den es an andere Länder legt, gerecht wird.
Welche weiteren Hinweise zu Gepflogenheiten gibt es?
Neben dem wie sich NGOs zum Datenschutz äußern, helfen uns natürlich auch andere Organisationen bzw. Stellen weiter. So können wir nach unabhängigen Gutachten von Juristen, Kanzleien oder öffentlichen Stellen wie Aufsichtsbehörden zum Datenschutz oder auch des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gezielt suchen. Sofern wir spezifische Inhalte finden, berücksichtigen wir diese bei unserer Bewertung natürlich.
In seinem jüngsten Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 stellte der BfDI u.a. fest:
- Er beurteilt den Nutzwert von Antiterrordatei und Rechtsextremismusdatei (S. 86) kritisch und schlägt vor, diese abzuschaffen.
- Er berichtet davon, wie er verschiedene Verfahrensfehler beim Bundeskriminalamt beanstandete, z.B. dass dieses Daten überlang speicherte.
- In weiteren Prüfungen stellte er bei Sicherheitsbehörden wiederholt Mängeln fest.
- Bei Nachkontrollen zum Sicherheitsüberprüfungsgesetz (S. 95) berichtet er davon, dass er z.B. bei Bundesbehörden (Wirtschafts-, Innen und Verkehrsministerium) datenschutzrechtliche Verstöße feststellte und diese beanstandete. Was machten die Behörden falsch? Sie löschen z.B. Daten zu spät und sie halten unzulässige Inhalte vor, die häufig auch unbeteiligte Dritte betreffen.
Heißt das jetzt, das Deutschland über kein ausreichendes Datenschutzniveau verfügt?
Nein, natürlich nicht. Ihnen ist sicherlich aufgefallen, dass ich unterschiedlichste Beispiele für datenschutzrechtliche Mängel herausgegriffen habe. In nahezu allen Fällen sind Betroffenenrechte weitestgehend sichergestellt. Deshalb sind meine Beispiele nur teilweise geeignet, ein abschließendes Urteil über ein ausreichendes Datenschutzniveau zu fällen. Das wäre mit dieser überschaubaren Recherche auch nicht möglich. Was ich jedoch zeigen wollte ist, wie schwierig es ist, umzusetzen, was der EuGH von Unternehmen oder Organisationen verlangt.
Für Deutschland konnte ich in meinem Selbstversuch eines Transfer Impact Assessment aus der Perspektive als fiktiver senegalesischer Datenschutzbeauftragter feststellen:
- Ich könnte ins Visier staatlicher Massenüberwachung geraten.
- Sicherheitsbehörden könnten auf Mobilgeräten von Personen mit denen ich kommuniziere, Trojaner installieren und so mitlesen, worüber wir, vermeintlich verschlüsselt kommunizieren. Vermutlich würde ich nie erfahren, dass die Behörden meine Kommunikation ausspähen.
- Wenn die Behörden über mich Daten sammeln, so könnte das dazu führen, dass sie mich in eine Antiterrordatei aufnehmen, ohne dass ich davon erfahre.
- Die Behörden speichern mögliche Daten über mich zu lange, löschen diese nicht und speichern möglicherweise Inhalte von andere Personen mit denen ich in Kontakt bin.
Ist das so grundsätzlich unterschiedlich, wie das, was wir an den USA und anderen Drittländern kritisieren?
Vermutlich nicht. Das Ergebnis meiner mehreren Stunden dauernden Recherche könnte in der Konsequenz ähnlich lauten, wie das, was viele Organisationen feststellen, wenn sie ihre TIA durchgeführt haben. Sie stellen fest,
- dass Risiken bestehen bleiben,
- sie diese nur abstrakt bewerten können,
- dass das Schadensausmaß für den Betroffenen sehr hoch, die Eintrittswahrscheinlichkeit hingegen sehr gering sein dürfte,
- dass das Schadensausmaß höher ausfällt, wenn sie besonders schützenswerte Daten in der Cloudlösung speichern, sie daher vermutlich nur normale personenbezogene Daten darin speichern,
- viele Lösungen entfallen, da sie diese nicht nutzen können, wenn die Daten so verschlüsselt sein sollen, dass nur sie Zugriff auf die Verschlüsselungs-Keys haben und
- sie final auf einen Anbieter in ihrer Region zurückgreifen, der ihnen eine Alternative anbietet oder
- sie darauf hoffen und warten, dass es einen Nachfolger des Privacy-Shield-Abkommens gibt.
Als fiktiver senegalesischer Datenschutzbeauftragter käme ich vermutlich zu folgendem Ergebnis: Eine Personalsoftware eines deutschen Cloudanbieters ist aufgrund der besonders schützenswerten Inhalte eher nicht geeignet und rein aus Datenschutzsicht eine regionale Lösung zu favorisieren.
Was bleibt als Fazit? Organisationen, Rechtsabteilungen und Datenschutzbeauftragte stehen vor einer undankbaren Aufgabe, die sehr aufwändig ist, bei der die Qualität des Ergebnisses fragwürdig und die einzige datenschutzsichere Lösung eine regionale ist. Ob diese dann auch funktional die beste ist, das ist eine andere Frage.
Verfasser: Julian Häcker, 13.04.2022, zu letzt aktualisiert am 21.04.2022