DORDA Datenschutz News: 4 Jahre DSGVO - RISK ASSESSMENT ALS ROTER FADEN

Datum: 
Mittwoch, 25. Mai 2022

Und wieder ist ein Jahr seit dem Inkrafttreten der DSGVO am 25.5.2018 vergangen. Während die ersten Jahre überwiegend der Umsetzung und Auslegung der neuen Regelungen gewidmet waren, steht das vierte Jahr ganz im Zeichen der Evaluierung und Risikoassesments: 

Transfer Impact Assessment – Inhalt und erste Erfahrungswerte

Die Schrems II Entscheidung des EuGH (C-311/18) hat im Juli 2021 große Rechtsunsicherheit hinsichtlich Datenübermittlungen an Empfänger in Drittstaaten, vor allem in den USA, ausgelöst. Als Reaktion darauf hat der Europäische Datenschutzausschuss ("EDSA") "Empfehlungen 01/2020 zu Maßnahmen als Ergänzung für Übertragungsinstrumente, um die Einhaltung des EU Schutzniveaus für personenbezogene Daten zu gewährleisten" veröffentlicht. Demnach sind die in den Art 46 ff DSGVO vorgesehenen, geeigneten Garantien – allen voran die SCC – nicht immer ausreichend, um Daten in Drittstaaten zu exportieren. Um ein angemessenes Datenschutzniveau zu gewährleisten sind EU-Datenexporteure vielmehr verpflichtet, im Einzelfall zu prüfen, ob und welche zusätzlichen Maßnahmen noch ergriffen werden müssen ("supplementary measures"). Dies wird in der Praxis über Transfer Impact Assesments ("TIA") abgebildet (DORDA hat berichtet). Konkrete Vorgaben oder Entscheidungen rund um deren Inhalt und Detailierungsgrad sind aber freilich noch nicht verfügbar. Die DORDA Datenschutzexperten haben die Erfahrungen aus der Praxis daher gerne für Sie kurz zusammengefasst:

Eine TIA erfordert eine sorgfältige Bewertung aller Umstände der geplanten (oder bereits etablierten) Übermittlung, der Gesetze und Praktiken des Drittlandes und der sich daraus ergebenden relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, um das Datenschutzniveau anzugleichen. Je nach Anzahl und Streuung der Auftragsverarbeiter ist das in der Praxis durchaus komplex und intensiv. Bei Einsatz der großen US-Provider hat sich daher eine enge Zusammenarbeit und Informationsaustausch bewährt: Sie sind oftmals mit ihrer EU-Niederlassung der erste Datenexporteur in der Kette und bieten Ihren Kunden mittlerweile regelmäßig Muster oder gar durchgeführte TIAs an. So kann sich der Verantwortliche rascher ein Gesamtbild zum bestehenden Risiko und den implementierten, mitigierenden Maßnahmen verschaffen, um auf dieser Basis seine eigene Risikoabwägung durchführen zu können. Dabei ist je nach Kritikalität der Daten, Umfang der Verarbeitung, Anzahl der Betroffenen und Regelungen im Sitzstaat des Empfängers eine unterschiedliche Gewichtung und Detailierungsgrad erforderlich.

Eine endgültige Rechtssicherheit, in welchem Zusammenhang welche Maßnahmen ausreichend bzw angemessen sind, wird es in Bezug auf Übermittlungen in die USA wohl aber erst mit dem neuen Transatlantic Data Privacy Framework – dem geplanten Nachfolger von Safe Harbor und Privacy Shield – geben. Das soll mit Ende 2022 in trockenen Tüchern sein, damit auf dieser Basis möglichst rasch ein Angemessenheitsbeschluss der EU Kommission erfolgen kann. Aller Voraussicht nach werden uns die TIAs aber auch danach noch erhalten bleiben – einerseits für Empfänger in anderen Drittstaaten (wie zB Indien oder Singapur) und andererseits hat noyb bereits jetzt schon angekündigt, gegen das neue Abkommen in gewohnter Weise vorzugehen.

Anpassung der internen Risikoabwägung an die aktuellen Entwicklungen

Die auf nationaler wie auch internationaler Ebene ergangenen Entscheidungen der letzten vier Jahre erfordern zudem eine gewisse Flexibilität hinsichtlich der im Vorfeld von 2018 erstellten Dokumentation. Dabei kann es auch erforderlich sein, etwaige implementierten Mitigierungsmaßnahmen oder getroffene risikobasierte Entscheidungen neu zu evaluieren:

So hat zB unlängst der EuGH in der Sache C-319/20 die Klagebefugnis von Verbänden zur Wahrung von Verbraucherinteressen bei datenschutzrechtlichen Verstößen bejaht. Eine Verletzung konkreter Rechte betroffener Personen oder ein entsprechender Auftrag sind dabei nicht erforderlich. Etwaige Ansprüche sind daher sowohl in Bezug auf ein Verbot der Vornahme unlauterer Geschäftspraktiken, Verstöße gegen Verbraucherschutzgesetze oder auch auf das Verbot der Verwendung unwirksamer AGB denkbar, sofern die inkriminierte Datenverarbeitung Betroffenenrechte beeinträchtigt.

Insbesondere in Verbindung mit den aktiven österreichischen Verbraucherschutzorganisationen erhöht sich somit insgesamt das Risiko einer potentiellen gerichtlichen Überprüfung von Datenschutzhinweisen oder Einwilligungserklärungen. Dies vor allem in Kombination mit der Ende 2022 geplanten Umsetzung der EU Richtlinie rund um Sammelklagen (Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher – RL 2020/1828). On top warten wir noch gespannt auf die Beantwortung zahlreicher Vorlagefragen durch den EuGH rund um die Auslegung zum Umfang immaterieller Schadenersatzansprüche von Betroffenen – je nach Stoßrichtung der Entscheidungen sind bereits erfolgte Risikoassessments sodann an eine veränderte Klags- und Erfolgswahrscheinlichkeit in diesem Bereich zu adaptieren.

Ungebrochener Anstieg an Cyberattacken

Neben den Erkenntnissen aus zahlreichen Entscheidungen und laufenden Nachschärfung der rechtlichen Grundlagen, ist auch eine laufende Evaluierung der eigenen Systeme und Notfallpläne hinsichtlich der stetig steigenden Bedrohung durch Cyberattacken – allen voran Ransomware - erforderlich. Der seit Jahren erkennbare Trent in der Cyberkriminalität hat durch die Pandemie-Effekte, wie vermehrtes Home Office, und den Krieg in der Ukraine noch ein weiteres Hoch erfahren.

Aus diesem Grund liegt der Schwerpunkt im vierten DSGVO Jahr klar auf der Evaluierung und Umsetzung geeigneter Präventivmaßnahmen sowie Vorbereitung auf den Anlassfall und oft daraus entstehenden Krise. Dies vor allem mit Blick auf die bei einem Angriff anwendbaren kurzen Fristen und zahlreichen gesetzlichen Vorgaben und Meldepflichten.

Ausblick

Somit bleibt es auch nach vier Jahren DSGVO in allen Bereichen spannend und halten wir Sie daher, wie gewohnt, auch weiterhin auf dem Laufenden zu aktuellen Entwicklungen.

In Kürze haben Sie zudem die Möglichkeit, sich direkt mit unseren DORDA Datenschutzexperten vor Ort auszutauschen: Am 2.6.2022 findet der vor der Sommerpause letzte Clarity Talk – diesmal in Form eines Frühstücks – mit einem Überblick über aktuelle Entwicklungen statt. Wir freuen uns auf ein Wiedersehen mit Ihnen.