TIA – Das Transfer Impact Assessment

Was ist das Transfer Impact Assessment?

Werden personenbezogene Daten in sogenannte unsichere Drittländer außerhalb der EU übermittelt, etwa in die USA, reichen Standardvertragsklauseln (SCC) allein nicht mehr aus. Seit dem Schrems II-Urteil des EuGHs ist zusätzlich ein Transfer Impact Assessment (TIA) erforderlich. Dieses verpflichtet Unternehmen dazu, das Datenschutzniveau im Drittland individuell zu bewerten.

Ein TIA ist dabei eine Risikobewertung: Es wird geprüft, ob der Datenimporteur im Bestimmungsland Gesetzen unterliegt, die mit der DSGVO und den SCC unvereinbar sein könnten – beispielsweise durch behördliche Zugriffsrechte ohne angemessenen Rechtsschutz.

Laut Klausel 14 der SCC muss diese Analyse stets einzelfallbasiert erfolgen. Da es derzeit keine standardisierte Methode gibt, empfiehlt es sich, intern einen dokumentierten Bewertungsansatz zu entwickeln. Die französische Datenschutzaufsicht CNIL hat hierzu 2025 einen praxisnahen Leitfaden veröffentlicht. Auch wenn das neue EU-US Data Privacy Framework bestimmte Übermittlungen vereinfacht, bleibt ein DSGVO-konformes TIA in vielen Fällen weiterhin Pflicht – insbesondere, wenn kein Angemessenheitsbeschluss vorliegt oder ergänzende Garantien notwendig sind.

Wie wird ein TIA durchgeführt?

Ein Transfer Impact Assessment wird ergänzend zu den Standardvertragsklauseln abgeschlossen und dient der Einschätzung, ob im Drittland Gesetze bestehen, die Behörden weitreichenden Zugriff auf personenbezogene Daten ermöglichen. Fällt die Bewertung negativ aus, dürfen keine SCC abgeschlossen werden – die Übermittlung wäre in diesem Fall unzulässig.

Doch wie lässt sich ein TIA DSGVO-konform in der Praxis umsetzen? Im nächsten Abschnitt zeigen wir, welche Inhalte berücksichtigt werden sollten und wie Sie ein TIA sinnvoll strukturieren.

Wie sieht die Umsetzung von TIA in der Praxis aus und worauf sollten Sie achten

TIA sollten Sie der Übersichtlichkeit halber am besten in tabellarischer Form anfertigen. Folgende Fragen müssen dabei parallel zu den SCC beantwortet werden:

Allgemeiner Teil:

• Die genaue Benennung der beiden Vertragsparteien (Datenexporteur und Datenimporteur)
• Grundlage für den Datentransfer nach Art. 44 ff. DSGVO
• Details der Datentransfers
• Prüfungsintervall, wann eine Neubewertung des TIA sinnvoll ist

Übermittlungsumstände („Besondere Umstände der Übermittlung“ nach Klausel 14 lit. b Ziffer i der SCC):

• Art der Datenübertragung
• Kategorien sowie Format der personenbezogenen Daten
• Übertragungskanäle, vorgesehene Verarbeitungskette sowie Speicherort und -art

Geltende Rechtsvorschriften des Bestimmungslandes (Klausel 14 lit. b Ziffer ii der SCC)

• Welche datenschutzrechtlichen Rechtsvorschriften gelten im Bestimmungsland hinsichtlich personenbezogener Daten?
• Es ist sinnvoll, vor allem Gesetze aufzunehmen, die die Offenlegung von oder den Zugang zu Daten ggü. Behörden erfordern, wie in den USA der US CLOUD Act.

Zusätzliche Garantien (Klausel 14 lit. b Ziffer iii der SCC)

• Im Zuge der SCC wurden bereits technische und organisatorische Maßnahmen (TOM) definiert. Diese TOM sollten hier ebenfalls noch einmal aufgeführt werden.
• Gibt es weitere Maßnahmen, die während der Übermittlung und / oder bei der Verarbeitung personenbezogener Daten im Bestimmungsland vorgesehen sind?

Schlussfolgerung & Fazit 

• Zu Ende müssen alle Punkte gegeneinander abgewogen werden. Das positive oder negative Ergebnis muss dokumentiert und näher erläutert werden. Wichtig hierbei: Die Entscheidung der Abwägung muss auch für Dritte nachvollziehbar sein.
• Fällt das Ergebnis tatsächlich negativ aus, muss bei den Defiziten nachgebessert werden. Im schlimmsten Fall können die SCC nicht abgeschlossen werden.

Das Anfertigen von TIA erfordert etwas Zeitaufwand, doch können die meisten Informationen aus den SCC-Dokumenten entnommen werden.
Sind Sie sich nicht sicher, ob die von Ihnen angefertigten TIA ausreichen sind, wenden Sie sich an einen externen Datenschutzbeauftragten. Denn nur korrekt abgeschlossene SCC schützen Sie und Ihr Unternehmen im Schadensfall vor einem Bußgeld.