TIA – Das Transfer Impact Assessment

Werden personenbezogene Daten in sogenannte unsichere Drittländer übermittelt, braucht es SCC (Standardvertragsklauseln). Neu in diesem Zusammenhang: Es muss auch ein TIA (Transfer Impact Assessment) angefertigt werden. Wir erklären, was das genau ist und geben einen Überblick, wie Sie es in der Praxis anwenden sollten.

TIA sind in der Welt des Datenschutzes vergleichsweise neu. Kommt es zur internationalen Übermittlung von personenbezogenen Daten in Drittländer, die außerhalb des Wirkungsgebiets der DSGVO stehen, muss neben Standardvertragsklauseln auch ein Transfer Impact Assessment abgeschlossen werden. Wie das geht, erfahren Sie hier im Detail.

Was ist das Transfer Impact Assessment?

Werden personenbezogene Daten in Drittländer außerhalb der EU (wie zum Beispiel die USA übermittelt), muss mit zusätzlich abgeschlossenen Datenschutzverträgen der Schutz der übermittelten Daten sichergestellt werden. Diese zusätzlichen Verträge heißen SCC (aus dem Englischen für „Standard Contractual Clauses“). Aufgrund des Schrems II-Urteil des EuGHs überarbeitete die Europäische Kommission kürzlich das Vorgehen bezüglich der Übermittlung von personenbezogenen Daten in unsichere Drittländer, in denen die DSGVO keine Anwendung findet. Nun müssen Unternehmen neben den SCC auch ein TIA, kurz für Transfer Impact Assessment, mit anfertigen.

Der Hintergedanke eines TIA ist laut Klausel 14 SCC eine Art Risikobewertung der angestrebten Datenübermittlung: Unternehmen sollen durch die TIA eine eigenständige Analyse des Sicherheitsniveaus des jeweiligen Drittlandes durchführen, in das die Daten übermittelt werden sollen. Dafür gibt es leider (noch) kein standardisiertes Vorgehen und auch keine Muster. Vielmehr bedarf es bei jeder TIA einer Einzelfallbetrachtung. Für Unternehmen, die öfter SCC abschließen, ist es daher sinnvoll, einen standardisierten Ansatz zu entwickeln.

Das bringt das TIA mit sich

Ein TIA soll künftig eine Ergänzung zu Standardvertragsklauseln (SCC) darstellen. Bei einem TIA geht es vor allem darum zu prüfen, ob im Drittstaat ein angemessener Verfahrensgrundsatz besteht, die den behördlichen Zugriff auf die personenbezogenen Daten, die übermittelt werden sollen, regelt. Durch ein TIA soll festgestellt werden können, ob der Auftraggeber Grund zur Annahme hat, dass Datenimporteure geltenden Rechtsvorschriften im Bestimmungsdrittland unterliegen, die mit den übrigen SCC nicht vereinbar sind. Eine TIA wird also parallel zu einer SCC abgeschlossen und fällt im besten Fall positiv aus. Sollte sich aber durch die Abwägung der aufgelisteten Punkte in einem TIA herausstellen, dass übermittelte personenbezogene Daten durch die Behörden im Bestimmungsland eingesehen werden können, so können auch keine SCC abgeschlossen werden. Wie aber sehen TIA nun konkret aus?

Wie sieht die Umsetzung von TIA in der Praxis aus und worauf sollten Sie achten

TIA sollten Sie der Übersichtlichkeit halber am besten in tabellarischer Form anfertigen. Folgende Fragen müssen dabei parallel zu den SCC beantwortet werden:

Allgemeiner Teil:

• Die genaue Benennung der beiden Vertragsparteien (Datenexporteur und Datenimporteur)
• Grundlage für den Datentransfer nach Art. 44 ff. DSGVO
• Details der Datentransfers
• Prüfungsintervall, wann eine Neubewertung des TIA sinnvoll ist

Übermittlungsumstände („Besondere Umstände der Übermittlung“ nach Klausel 14 lit. b Ziffer i der SCC):

• Art der Datenübertragung
• Kategorien sowie Format der personenbezogenen Daten
• Übertragungskanäle, vorgesehene Verarbeitungskette sowie Speicherort und -art

Geltende Rechtsvorschriften des Bestimmungslandes (Klausel 14 lit. b Ziffer ii der SCC)

• Welche datenschutzrechtlichen Rechtsvorschriften gelten im Bestimmungsland hinsichtlich personenbezogener Daten?
• Es ist sinnvoll, vor allem Gesetze aufzunehmen, die die Offenlegung von oder den Zugang zu Daten ggü. Behörden erfordern, wie in den USA der US CLOUD Act.

Zusätzliche Garantien (Klausel 14 lit. b Ziffer iii der SCC)

• Im Zuge der SCC wurden bereits technische und organisatorische Maßnahmen (TOM) definiert. Diese TOM sollten hier ebenfalls noch einmal aufgeführt werden.
• Gibt es weitere Maßnahmen, die während der Übermittlung und / oder bei der Verarbeitung personenbezogener Daten im Bestimmungsland vorgesehen sind?

Schlussfolgerung & Fazit 

• Zu Ende müssen alle Punkte gegeneinander abgewogen werden. Das positive oder negative Ergebnis muss dokumentiert und näher erläutert werden. Wichtig hierbei: Die Entscheidung der Abwägung muss auch für Dritte nachvollziehbar sein.
• Fällt das Ergebnis tatsächlich negativ aus, muss bei den Defiziten nachgebessert werden. Im schlimmsten Fall können die SCC nicht abgeschlossen werden.

Das Anfertigen von TIA erfordert etwas Zeitaufwand, doch können die meisten Informationen aus den SCC-Dokumenten entnommen werden.
Sind Sie sich nicht sicher, ob die von Ihnen angefertigten TIA ausreichen sind, wenden Sie sich an einen Datenschutzexperten. Denn nur korrekt abgeschlossene SCC schützen Sie und Ihr Unternehmen im Schadensfall vor einem Bußgeld.