TIA – Das Transfer Impact Assessment

Letztes Update:
07
.
04
.
2025
Lesezeit:
0
Min
Sie müssen SCC abschließen, weil Sie personenbezogene Daten an einen außereuropäischen Auftragsverarbeiter übermitteln? Dazu braucht es nun neben den SCC ein TIA. Doch was genau ist das Transfer Impact Assessment und wie wird es angefertigt? Wir klären auf.
TIA – Das Transfer Impact Assessment
Die wichtigsten Erkenntnisse
  • SCC und TIA erforderlich für Datenübermittlung in unsichere Drittländer.
  • TIA bewertet Sicherheitsniveau des Drittlands für Datenübermittlung.
  • CNIL-Leitfaden bietet praxisnahe Methodik für TIA-Erstellung.
  • EU-US Data Privacy Framework ist die neue Grundlage für Übermittlungen in die USA.
  • Empfehlungen des EDSA betonen kontinuierliche Neubewertung und ergänzende Maßnahmen.

Was ist das Transfer Impact Assessment?

Werden personenbezogene Daten in sogenannte unsichere Drittländer außerhalb der EU übermittelt, etwa in die USA, reichen Standardvertragsklauseln (SCC) allein nicht mehr aus. Seit dem Schrems II-Urteil des EuGHs ist zusätzlich ein Transfer Impact Assessment (TIA) erforderlich. Dieses verpflichtet Unternehmen dazu, das Datenschutzniveau im Drittland individuell zu bewerten.

Ein TIA ist dabei eine Risikobewertung: Es wird geprüft, ob der Datenimporteur im Bestimmungsland Gesetzen unterliegt, die mit der DSGVO und den SCC unvereinbar sein könnten – beispielsweise durch behördliche Zugriffsrechte ohne angemessenen Rechtsschutz.

Laut Klausel 14 der SCC muss diese Analyse stets einzelfallbasiert erfolgen. Da es derzeit keine standardisierte Methode gibt, empfiehlt es sich, intern einen dokumentierten Bewertungsansatz zu entwickeln. Die französische Datenschutzaufsicht CNIL hat hierzu 2025 einen praxisnahen Leitfaden veröffentlicht. Auch wenn das neue EU-US Data Privacy Framework bestimmte Übermittlungen vereinfacht, bleibt ein DSGVO-konformes TIA in vielen Fällen weiterhin Pflicht – insbesondere, wenn kein Angemessenheitsbeschluss vorliegt oder ergänzende Garantien notwendig sind.

Wie wird ein TIA durchgeführt?

Ein Transfer Impact Assessment wird ergänzend zu den Standardvertragsklauseln abgeschlossen und dient der Einschätzung, ob im Drittland Gesetze bestehen, die Behörden weitreichenden Zugriff auf personenbezogene Daten ermöglichen. Fällt die Bewertung negativ aus, dürfen keine SCC abgeschlossen werden – die Übermittlung wäre in diesem Fall unzulässig.

Doch wie lässt sich ein TIA DSGVO-konform in der Praxis umsetzen? Im nächsten Abschnitt zeigen wir, welche Inhalte berücksichtigt werden sollten und wie Sie ein TIA sinnvoll strukturieren.

Wie sieht die Umsetzung von TIA in der Praxis aus und worauf sollten Sie achten

TIA sollten Sie der Übersichtlichkeit halber am besten in tabellarischer Form anfertigen. Folgende Fragen müssen dabei parallel zu den SCC beantwortet werden:

Allgemeiner Teil:

  • Die genaue Benennung der beiden Vertragsparteien (Datenexporteur und Datenimporteur)
  • Grundlage für den Datentransfer nach Art. 44 ff. DSGVO
  • Details der Datentransfers
  • Prüfungsintervall, wann eine Neubewertung des TIA sinnvoll ist

Übermittlungsumstände („Besondere Umstände der Übermittlung“ nach Klausel 14 lit. b Ziffer i der SCC):

  • Art der Datenübertragung
  • Kategorien sowie Format der personenbezogenen Daten
  • Übertragungskanäle, vorgesehene Verarbeitungskette sowie Speicherort und -art

Geltende Rechtsvorschriften des Bestimmungslandes (Klausel 14 lit. b Ziffer ii der SCC)

  • Welche datenschutzrechtlichen Rechtsvorschriften gelten im Bestimmungsland hinsichtlich personenbezogener Daten?
  • Es ist sinnvoll, vor allem Gesetze aufzunehmen, die die Offenlegung von oder den Zugang zu Daten ggü. Behörden erfordern, wie in den USA der US CLOUD Act.

Zusätzliche Garantien (Klausel 14 lit. b Ziffer iii der SCC)

  • Im Zuge der SCC wurden bereits technische und organisatorische Maßnahmen (TOM) definiert. Diese TOM sollten hier ebenfalls noch einmal aufgeführt werden.
  • Gibt es weitere Maßnahmen, die während der Übermittlung und / oder bei der Verarbeitung personenbezogener Daten im Bestimmungsland vorgesehen sind?

Schlussfolgerung & Fazit 

  • Zu Ende müssen alle Punkte gegeneinander abgewogen werden. Das positive oder negative Ergebnis muss dokumentiert und näher erläutert werden. Wichtig hierbei: Die Entscheidung der Abwägung muss auch für Dritte nachvollziehbar sein.
  • Fällt das Ergebnis tatsächlich negativ aus, muss bei den Defiziten nachgebessert werden. Im schlimmsten Fall können die SCC nicht abgeschlossen werden.

Das Anfertigen von TIA erfordert etwas Zeitaufwand, doch können die meisten Informationen aus den SCC-Dokumenten entnommen werden.
Sind Sie sich nicht sicher, ob die von Ihnen angefertigten TIA ausreichen sind, wenden Sie sich an einen externen Datenschutzbeauftragten. Denn nur korrekt abgeschlossene SCC schützen Sie und Ihr Unternehmen im Schadensfall vor einem Bußgeld.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!