TIA für die USA

Home

Diesen Formular darf nicht von dem DSB ausgefüllt werden, es muss zwingend vom Kunden beantwortet werden!

__Musterfragebogen zur Erstellung eines Transfer Impact Assessments

Hinweis: Dieses Formular kann nur für das Drittland "USA" verwendet werden.

A. Allgemeine Angaben

Organisation

Gesprächspartner seitens der Organisation

Berater s&f

Datum

MM Schrägstrich TT Schrägstrich JJJJ

B. Angaben zum Unternehmen

I. Angaben zum Datenimporteuer und Datenexporteur

Name (Exporteur)

Sitz (Exporteur)

Name (Importeur)

Sitz (Importeur)

Drittland im Sinne der DSGVO (Importeur)

nein

Verantwortlicher

Auftragsverarbeiter

Subunternehmer

II. Angaben zum Datentransfer

Genaue Bezeichnung des Zwecks der Datenübermittlung (z.B. Cloud, Social Media, Analyse des Nutzerverhaltens)

Welche Kategorien von Betroffenen sind betroffen?

Welche Kategorien von personenbezogenen Daten werden übermittelt?

Werden auch sensible Daten (Art. 9 DSGVO) übermittelt?

Hidden

Welche Rechtsgrundlage kiegt der Datenverarbeitung zu Grunde?

Es ist noch zu klären, ob diese Rechtsgrundlagen an dieser Stelle Sinn machen.

Einwilligung

Vertrag oder Vertragsanbahnung

Rechtlichen Verpflichtung des Verantwortliche

Schutz von lebenswichtige Interessen des Betroffenen

Öffentliches Interesse oder Ausübung öffentlicher Gewalt

berechtigtes Interesse des Verantwortlichen oder eines Dritten

Anderes

Beschreibung der Datenströme („Mindmap“)

An welche Stellen werden die Daten übermittelt? (z.B. Rechenzentrum, Cloud-Speicher, sonstige Unternehmen)

C. Bewertung der Rechtslage im Drittland (USA)

I. Gesetze und Rechtsprechung mit Relevanz für den Datenschutz (USA)

1. Foreign Intelligence Surveillance Act (FISA), Section 702(erforderlich)

Bitte wählen Sie alle zutreffenen Aussagen aus.

Der Verantwortliche oder der Auftragsverarbeiter ist ein Telekommunikationsdienstleister (Section 153, Titel 47)

Der Verantwortliche oder Auftragsverarbeiter ist ein Anbieter von elektronischen Kommunikationsdienstleistungen? (Section 2510, Title 18)

Der Verantwortliche oder Auftragsverarbeiter ist ein Anbieter von „Remote-Services“ (Section 2711 Title 18)

Der Verantwortliche oder Auftragsverarbeiter ist ein Anbieter von sonstigen Kommunikationsdiensten mit Zugriff zu kabelgebundenen oder elektronischen Nachrichtendiensten (Übermittlung oder Speicherung)

Es gibt einen amerikanischen Mutterkonzern oder einen Anteilseigner der dem Verantwortlichen oder dem Auftragsverarbeiter Weisungen erteilt und deswegen US-Recht indirekt anwendbar ist.

Die Vorrausetzungen für die Anwendbarkeit von FISA 702 sind nicht erfüllt.

Ergebnis

FISA 702 findet Anwendung.

Ergebnis

FISA 702 findet keine Anwendung.

Anmerkung: Eine der genannten Aussagen trifft zu, daher unterfällt der Konzern FISA 702.
Dies hat zur Folge, dass der amerikanische Generalstaatsanwalt oder die Direktoren der amerikanischen Geheimdienste legitimiert sind, den Zugriff auf Datenbestände anzuordnen, um eine Verfolgung von Personen zu ermöglichen. Dies gilt auch dann, wenn sich die Datenbestände oder Personen im Ausland befinden.

2. Executive Order 12333(erforderlich)

Bitte wählen Sie alle zutreffenen Aussagen aus.

Der Verantwortliche oder der Auftragsverarbeiter, der personenbezogene Daten verarbeitet bzw. in den Drittstaat übermittelt, Kooperiert freiwillig oder verpflichtend mit amerikanischen Überwachungsbehörden (Bsp.: CIA oder NSA).

Die Vorrausetzungen für die Anwendbarkeit die Executive Order 12333 sind nicht erfüllt.

Ergebnis

Die Executive Order 12333 findet Anwendung.

Ergebnis

Die Executive Order 12333 findet keine Anwendung.

Anmerkung: Die genannte Aussage trifft zu, daher haben Überwachungsbehörden einen ungehinderten Zugriff auf die Daten.

3. Cloud Act(erforderlich)

Bitte wählen Sie alle zutreffenen Aussagen aus.

Von einem Dienstleister mit Hauptsitz in den USA wird ein Datenspeicher (z.B. „Cloud) von einer Tochtergesellschaft in Europa zur Verfügung gestellt.

Die Vorrausetzungen für die Anwendbarkeit des Cloud Acts sind nicht erfüllt.

Ergebnis

Der Cloud Act findet Anwendung.

Ergebnis

Der Cloud Act findet keine Anwendung.

Anmerkung: Die genannte Aussage trifft zu, daher haben US-Behörden auch einen ungehinderten Zugriff auf die Server, die in der EU stehen.
Dies ist unvereinbar mit der DSGVO.

4. Exportkontrolle (Export Administration Regulation Part 774, Section 5)(erforderlich)

Bitte wählen Sie alle zutreffenen Aussagen aus.

Alle Datenübertragungen überschreiten die Verschlüsselungstechnologien mit einem Standard von über 64 Bit (symmetrisch), 768 Bit (asymmetrisch), 128 bit (asymmetrische Kurven).

Die Vorrausetzungen für die Anwendbarkeit der Exportkontrolle sind nicht erfüllt.

Ergebnis

Die Exportkontrolle findet Anwendung.

Ergebnis

Die Exportkontrolle findet keine Anwendung.

Anmerkung: Die genannte Aussage trifft zu, daher
- müssen die Datenübermittlungen angemeldet werden und
- dürfen nicht ohne Anmeldung beim amerikanischen Handelsministerium übertragen werden.

5. California Consumer Privacy Act(erforderlich)

Anmerkung: Der California Consumer Privacy Act findet keine Anwendung bei Staatskonzernen oder Behörden.

Bitte wählen Sie alle zutreffenen Aussagen aus.
(Der California Consumer Privacy Act ist nur einschlägig, wenn alle Aussagen zutreffend sind. Alle Aussagen betreffen das Gesamtunternehmen.)

- Das Unternehmen hat seinen Hauptsitz oder eine Zweigstelle in Kalifornien
- Erheben (collecting) von personenbezogenen Daten
- Gesamtumsatz von mindestens 25 Mio. Euro
- es werden 50.000 Daten von Verbrauchern pro Jahr verarbeitet
- 50% des Umsatzes wird mit dem Verkauf von personenbezogenen Daten erwirtschaftet

Die Vorrausetzungen für die Anwendbarkeit des California Consumer Privacy Act sind nicht erfüllt.

Ergebnis

Der California Consumer Privacy Act findet Anwendung.

Ergebnis

Der California Consumer Privacy Act findet keine Anwendung.

Anmerkung: Die genannten Aussagen treffen zu, daher findet der California Act Anwendung.

6. Health Insurance Portability and Accountability Act (HIPAA)(erforderlich)

Sondervorschriften für die Behandlung von Gesundheitsdaten in den USA

Unterfällt der Datenempfänger einer der folgenden Kategorien?

Bitte wählen Sie alle zutreffenen Aussagen aus.

Der Datenimporteur ist ein Dienstleister im Gesundheitssektor (Healthcare Provider)

Der Datenimporteur ist ein Kostenträger oder Anbieter von medizinischer Versorgung (health plan)

Der Datenimporteur ist eine Clearingstelle (clearing house)

Die Vorrausetzungen für die Anwendbarkeit deen Health Insurance Portability and Accountability Act sind nicht erfüllt.

Ergebnis

Der Health Insurance Portability and Accountability Act findet Anwendung.

Ergebnis

Der Health Insurance Portability and Accountability Act findet keine Anwendung.

Anmerkung: Die genannten Aussagen treffen zu, daher findet die Health Insurance Portability and Accountability Act (HIPAA) Anwendung.

II. Legale oder tatsächliche Restriktionen

Gibt es gesetzliche Vorgaben, die ein mit der EU vergleichbares Datenschutzniveau verhindern?

nein

Bitte erläutern Sie die Vorgaben.

Ein Beispiel kann sein:
Gesetze, die Behörden oder Geheimdiensten den ungehinderten Zugang zu personenbezogenen Daten ermöglichen, ohne das die Möglichkeit besteht dagegen Rechtsmittel einzulegen.

Gibt es tatsächliche Hinderungen Rechte zum Schutz personenbezogener Daten gelten zu machen?

nein

Bitte erläutern Sie die Hinderungsgründe.

D. Bestehen von geeigneten Garantien

I. Standarddatenschutzklauseln

Verantwortlicher und Auftragsverarbeiter

Es wurden zwischen dem Verantwortlichen und Auftragsverarbeiter Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 c) DSGVO abgeschlossen.

Datum des Vertragsschlusses

Version / Stand der Standardvertragsklauseln

Auftragsverarbeiter und dessen Subunternehmer

Es wurden zwischen dem Auftragsverarbeiter und seinen Subunternehmern Standardvertragsklauseln abgeschlossen.

Datum des Vertragsschlusses

Version / Stand der Standardvertragsklauseln

II. Verbindliche interne Datenschutzvorschriften (binding corperate rules)

Verantwortlicher oder Auftragsverarbeiter

Der Verantwortliche oder Auftragsverarbeiter hat genehmigte interne Datenschutzvorschriften im Einsatz

III. Sonstige geeignete Garantien nach Art. 44 ff DSGVO

Weitere geeignete Garantien?

Bitte benennen Sie diese.

E. Prüfung von Risiken

Welche Risiken ergeben sich für die Gewährleistungsziele Integrität, Vertraulichkeit, Verfügbarkeit, Transparenz und Rechtsdurchsetzbarkeit trotz der geeigneten Garantien?

Risiken können sich zum einen aus der Rechtslage und zum anderen aus fehlenden Schutz bei der Übermittlung in technischer Hinsicht ergeben.

Transparenz

Beispiel: Werden die Betroffenen entsprechend der geltenden Rechtslage über Ihre Rechte informiert?

Rechtsdurchsetzbarkeit

Beispiel: Haben die Betroffene die Möglichkeit Ihre Rechte ggf. gerichtlich durchzusetzen?

Integrität

Beispiel: Gefährdung durch Veränderung oder Manipulation des Datenbestands durch einen unbefugten Dritten. Beispiel: Übermittlung der Daten nach Russland -> Gefahr von Hackerangriffen oder „Spionagetrojanern“ erhöht

Verfügbarkeit

Beispiel: Gefährdung des Zugriffs/Zugangs/Abrufs der Daten durch Dritte oder mangelnde Fähigkeit die Daten im Falle eines technischen Zwischenfalls wiederherzustellen -> Fehlendes oder fehlerhaftes BackUp nach Serverausfall, fehlerhafte Systembedienung die zur Vernichtung des Datenbestands führt

Vertraulichkeit

Beispiel: Gefahr der zufälligen oder unrechtmäßigen Offenbarung von personenbezogenen Daten –> Zugriff durch Geheimdienst, Offenlegung von Daten aufgrund unzureichender Verschlüsselung.

F. Geeignete TOM zur Risikominimierung

Die konkret festgestellten Risiken bei der Datenübermittlung sollten durch entsprechende Gegenmaßnahmen minimiert werden.

Wichtig ist, dass nicht nur eine allgemeine TOM Liste erstellt wird, sondern das erläutert wird, welche Maßnahmen gegen welche Risiken wirken.

Beispiele aus den edpd-Empfehlungen (edpb-Empfehlungen 01/2020, S. 26 ff)
- Verpflichtung des Datenimporteurs zur Ergreifung von Rechtsmitteln bei behördlichen Zugriffen die gegen die DSGVO verstoßen
- Pseudonymisierung vor Übermittlung
- Verschlüsselung bei Transit durch Drittland
- Übermittlung an Datenimporteur der im Drittland besonderen Schutz genießt (z.B. Arzt, Rechtsanwalt, Steuerberater)
- Aufteilung der Daten auf verschiedene Auftragsverarbeiter, so dass eine Rekonstruktion der personenbezogenen Daten im Ganzen nicht möglich ist

Beispiele des Bitkom (Bitkom des AK Datenschutzes)
- Prozessuale Maßnahmen z.B. Externe Zertifikate und Prüfberichte
- Technische Maßnahmen z.B. Pseudonymisierung und Ende-zu-Ende-Verschlüsselung
- Vertragliche Maßnahmen z.B. Regelungen zum Umgang mit Behördenanfragen, Pflicht zur Ergreifung von Rechtsmitteln, Drittbegünstigungsklausel, Vereinbarung von geeigneten Garantien

Gewählte Maßnahmen

G. Ergebnis / Risikobewertung

Ergebnis

Das Ergebnis sollte umfassen, welche Risiken auch nach Ergreifen der Maßnahmen noch bestehen und wie gravierend diese eingeschätzt werden.
(Beispielsweise „clustern“ in sehr niedrig, niedrig, mittel, hoch, sehr hoch)

Begründung

Begründung, warum der Verantwortliche einen Datentransfer trotz der bestehenden Risiken für vertretbar erachtet:

Interner Kommentar