UK Information Commissioner: Online Tool zum Datentransferrisiko. Ein Vorreiter? Wie reagieren die EU Datenschutzbehörden?
Gespeichert von Dr. Axel Spies am
Der U.K. Information Commissioner (ICO) hat ein Online-Tool zur Bewertung des Transferrisikos (TRA) veröffentlicht, um auf der Grundlage früherer Leitlinien eine Bewertung des Transferrisikos durchzuführen.
Das Vereinigte Königreich zeigt damit seine Unterstützung für eine risikobasierte Bewertung. Aber Vorsicht: Die EU-DSGVO Analyse könnte je nach DSB strenger sein, so dass ein Datenexporteur das Online Tool derzeit in der EU nicht verwenden sollte.
Das Tool hilft Organisationen dabei, sicherzustellen, dass es unter den besonderen Umständen der Übermittlung (in die USA) angemessene Schutzmaßnahmen gibt. Es enthält außerdem:
- eine Liste der besonderen Datenkategorien nach der UK GDPR
- eine Liste typischer Kategorien personenbezogener Daten mit einer ersten Risikobewertung
- Beispiele für zusätzliche Schritte und Schutzmaßnahmen, die bei Übermittlungen zu berücksichtigen sind.
Die spezifischen Fragen, die der ICO beantwortet haben möchte, lauten übersetzt:
- Q1: Welches sind die besonderen Umstände der eingeschränkten Übermittlung?
- Q2: Wie hoch ist das Risiko für die Personen, deren personenbezogene Daten Sie übermitteln wollen?
- Q3: Welches ist ein angemessenes und verhältnismäßiges Maß an Untersuchungen angesichts des Gesamtrisikos der personenbezogenen Daten und der Art Ihrer Organisation?
- Q4: Erhöht sich durch die Übermittlung das Risiko einer Menschenrechtsverletzung im Zielland erheblich?
- Q5(a): Sind Sie davon überzeugt, dass sowohl Sie als auch die Personen, um die es bei der Übermittlung geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 gegen den Importeur im Vereinigten Königreich durchzusetzen?
- Q5(b): Wenn Durchsetzungsmaßnahmen außerhalb des Vereinigten Königreichs erforderlich sein könnten: Sind Sie davon überzeugt, dass Sie und die Personen, um die es bei den Informationen geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 im Zielland (oder anderswo) durchzusetzen?
- Q6: Gilt eine der Ausnahmen von den eingeschränkten Übermittlungsvorschriften für "Daten mit hohem Risiko"?
Das Ergebnis ist i.E. dasselbe wie das der EU-Datenschutzbehörden, die "Schrems 2" bisher ausgelegt haben: Wenn der Datenexporteur mit Hilfe des TRA-Tools zu dem Ergebnis kommt, dass das Übermittlungsverfahren keine angemessenen Garantien und keine wirksamen und durchsetzbaren Rechte der betroffenen Personen für alle personenbezogenen Daten bietet, darf er die Übermittlung nicht durchführen.
Was meinen Sie, welchen Einfluss wir das neue Tool des ICO auf die Debatte in der EU haben? Werden die DSB in der EU nachziehen?