UK Information Commissioner: Online Tool zum Datentransferrisiko. Ein Vorreiter? Wie reagieren die EU Datenschutzbehörden?
von , veröffentlicht am 22.11.2022Der U.K. Information Commissioner (ICO) hat ein Online-Tool zur Bewertung des Transferrisikos (TRA) veröffentlicht, um auf der Grundlage früherer Leitlinien eine Bewertung des Transferrisikos durchzuführen.
Das Vereinigte Königreich zeigt damit seine Unterstützung für eine risikobasierte Bewertung. Aber Vorsicht: Die EU-DSGVO Analyse könnte je nach DSB strenger sein, so dass ein Datenexporteur das Online Tool derzeit in der EU nicht verwenden sollte.
Das Tool hilft Organisationen dabei, sicherzustellen, dass es unter den besonderen Umständen der Übermittlung (in die USA) angemessene Schutzmaßnahmen gibt. Es enthält außerdem:
- eine Liste der besonderen Datenkategorien nach der UK GDPR
- eine Liste typischer Kategorien personenbezogener Daten mit einer ersten Risikobewertung
- Beispiele für zusätzliche Schritte und Schutzmaßnahmen, die bei Übermittlungen zu berücksichtigen sind.
Die spezifischen Fragen, die der ICO beantwortet haben möchte, lauten übersetzt:
- Q1: Welches sind die besonderen Umstände der eingeschränkten Übermittlung?
- Q2: Wie hoch ist das Risiko für die Personen, deren personenbezogene Daten Sie übermitteln wollen?
- Q3: Welches ist ein angemessenes und verhältnismäßiges Maß an Untersuchungen angesichts des Gesamtrisikos der personenbezogenen Daten und der Art Ihrer Organisation?
- Q4: Erhöht sich durch die Übermittlung das Risiko einer Menschenrechtsverletzung im Zielland erheblich?
- Q5(a): Sind Sie davon überzeugt, dass sowohl Sie als auch die Personen, um die es bei der Übermittlung geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 gegen den Importeur im Vereinigten Königreich durchzusetzen?
- Q5(b): Wenn Durchsetzungsmaßnahmen außerhalb des Vereinigten Königreichs erforderlich sein könnten: Sind Sie davon überzeugt, dass Sie und die Personen, um die es bei den Informationen geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 im Zielland (oder anderswo) durchzusetzen?
- Q6: Gilt eine der Ausnahmen von den eingeschränkten Übermittlungsvorschriften für "Daten mit hohem Risiko"?
Das Ergebnis ist i.E. dasselbe wie das der EU-Datenschutzbehörden, die "Schrems 2" bisher ausgelegt haben: Wenn der Datenexporteur mit Hilfe des TRA-Tools zu dem Ergebnis kommt, dass das Übermittlungsverfahren keine angemessenen Garantien und keine wirksamen und durchsetzbaren Rechte der betroffenen Personen für alle personenbezogenen Daten bietet, darf er die Übermittlung nicht durchführen.
Was meinen Sie, welchen Einfluss wir das neue Tool des ICO auf die Debatte in der EU haben? Werden die DSB in der EU nachziehen?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
8 Kommentare
Kommentare als Feed abonnierenGast1 kommentiert am Permanenter Link
Interessant. Eine genauere Analyse des ausländischen Rechts der Überwachung scheinen die Briten nicht mehr zu verlangen. Es kommt eher auf die übermittelten Daten an. Aber ob die Kategorien so stimmen? CCTV-Daten= moderate. "Habits" = low. Wirklich?
Barbara Schmitz kommentiert am Permanenter Link
Ein -wie ich finde- realistischer und praktikabler Ansatz für Zielsetzung der Artt. 44 ff DS-GVO.
Der Begriff TranferRiskAssessment (TRA) passt schon besser als TransferImpactAssessment (TIA) und gibt den Schutzzweck der Normen besser wieder.
Interessant ist auch, dass das Grundrisiko neben dem Schutz der Privatsphäre auch „andere“ Menschenrechte einbezieht: „people’s privacy and other human rights“. Damit sind dann sowohl Art. 8, als auch Art. 9 der GRCh umfasst. Im Fokus der Prüfung stehen die Risiken für die Betroffenen und nicht die Rechtsordnung des Empfängerstaates (siehe Frage 3).
Die Intensität der Untersuchung des Risikos wird unter der Frage 3 Table 4 dargestellt. Es gibt 3 Untersuchungslevel, die abhängig vom Schadensrisiko („harm risk“) Anwendung finden. Prüfungskriterien sind hierbei die Human Rights and Democracy Reports und auch der Amnesty International Report. Das sind konkreter Anhaltspunkte als die „Gepflogenheiten“ in Klausel 14 b) iii) Fn. 12 der SCC.
Dr. Axel Spies kommentiert am Permanenter Link
Vielen Dank für den wichtigen Beitrag. In der Tat: Der Ansatz der ICO basiert auf der Risikoeinschätzung für das Individuum und seiner Menschenrechte. Das wirft die Frage auf, ob der DSGVO-Datenschutz für bestimmte Datenkategorien abgestuft werden kann oder muss (so schon angelegt im Art. 9). Das Thema hatte ich in meinem ZD- Editorial 3/2020 schon einmal angesprochen: "Sind manche Datensätze schützenswerter als andere?" Zitat: "Eine Abstufung, nach der manche personenbezogenen Datensätze besonders schützenswert sind (oder zumindest anders zu behandeln sind), ist in den USA gängige Praxis..."
Gast1 kommentiert am Permanenter Link
Zum Thema Proportionalität des Datenschutzes gibt es von 2020 Guidelines des EDPS:https://iapp.org/resources/article/edps-guidelines-on-assessing-the-proportionality-of-measures-that-limit-the-fundamental-rights-to-privacy-and-to-the-protection-of-personal-data/
Aber in D gibt es das Volkszählungsurteil des BVerfG, wonach kein Datum "unwichtig" ist.
Dr. Axel Spies kommentiert am Permanenter Link
Danke für die Hinweise.
Dr. Axel Spies kommentiert am Permanenter Link
https://www.faz.net/aktuell/wirtschaft/digitec/microsoft-365-so-geht-das...
Haben Sie Anmekungen zu diesem Artikel?
Athanasius kommentiert am Permanenter Link
Unter dem Keulenschlagwprt "Datenschutz" wabert manches. Systematisieren würde ich etwa wie folgt:
1.) Was an Daten MICH betreffend darf sich besorgen
a) der Staat ( Video-Überwachung im öffentlichen Raum ), Herumspähen und sammeln aa) öffentlich Greifbares ( youtube, instagram, tiktok pp.., social media pp. bb) "Hintenrum" ( Datenspeicherabfrage , auch per Adressen bei PlattformBetreibern )
b) Private / Öffentlichkeit ? aa) Unternehmen durch Abgreifen von Daten meiner Apparaturen wie Bagger, Traktoren, LKW, PKW , Maschinen bb) etwa auch durch Zugriff auf EDV-Programme ?
2.) Was an Daten darf ICH weiterverbreiten? sortiert zB nach a) Gewinnung (nicht, wenn durch berufsrechtlich geschütztes Vertraulichkeitsverhältnis ) b) Inhalt aa)Fakten über andere bb) Meinungen , Inhalte.
3.) Wer und ggf, wann und warum darf MEINE publizierten Daten "löschen" ? Schutz der Meinungs- und Äußerungsfreiheit. Höchstwertig !!!! Ja, Herr Müller !
Prof. Dr. Henning Ernst Müller kommentiert am Permanenter Link
zu 3) Es ist sehr einfach: Wer sich themenfremd oder gar volksverhetzend unter meinen Beiträgen äußert, dessen Kommentar wird gesperrt. Wer dies auch nach Aufforderung mehrfach nicht unterlässt, dessen Kommentare werden von mir grundsätzlich gesperrt, auch wenn er mit einem neuen Pseudonym auftritt. Das hat mit Datenschutz rein gar nichts zu tun. Aus Art. 5 GG ergibt sich kein Grundrecht, sich auf allen (insbes. privaten) Internet-Plattformen oder Diskussionsforen zu verbreiten, insbesondere nicht das Recht, sich beleidigend zu äußern oder gar volksverhetzend.