Erstellt mit ChatGPT und manuell editiert
Ein Transfer Impact Assessment (TIA) ist ein wichtiger Bestandteil des Datenschutzes bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union (Drittstaaten). Es handelt sich dabei um eine Risikobewertung, die prüfen soll, ob das Datenschutzniveau im Empfängerland mit dem der EU vergleichbar ist.
Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Ist dies nicht durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission abgesichert, müssen Unternehmen andere Maßnahmen ergreifen – wie etwa den Abschluss von Standardvertragsklauseln.
Die Artikel 44 ff. regeln die Vorgehensweise. Sollen beispielsweise Auftragsverarbeiter in den USA in Anspruch genommen werden, verpflichten die neuen Standardvertragsklauseln der EU zu einer Risikobewertung des Datentransfers im konkreten Einzelfall (Transfer Impact Assessment).
Das Stichwort US-amerikanische Firmen bedeutet, dass man sich z.B. um Firmen und Software kümmern muss wie ZOOM , Microsoft 365, MS Teams WEBEX etc.
Hierbei gilt es vor allem, die Risiken hinsichtlich einer nach EU-Recht regelwidrigen Offenlegung der Daten (z. B. durch Geheimdienste) zu identifizieren und zu bewerten. So kann festgestellt werden, ob der Auftragsverarbeiter im Drittland aufgrund der dort einschlägigen Gesetzgebung in der Lage ist, seine vertraglich zugesicherten Datenschutzverpflichtungen einzuhalten.
Ein TIA ergänzt diese vertraglichen Regelungen. Dabei werden insbesondere folgende Punkte bewertet:
– Rechtliche Rahmenbedingungen im Empfängerland, insbesondere der Zugriff von Behörden auf Daten
– Praktische Erfahrungen mit Datenzugriffen und deren Häufigkeit
– Technische und organisatorische Maßnahmen zum Schutz der Daten
Ziel des TIA ist es, das Restrisiko einer Datenübermittlung zu analysieren und gegebenenfalls zusätzliche Schutzmaßnahmen zu ergreifen – z. B. Verschlüsselung oder Anonymisierung. Die Bewertung muss dokumentiert und regelmäßig überprüft werden.
Der Europäische Datenschutzausschuss (EDSA) gibt hierzu Leitlinien, und viele Datenschutzaufsichtsbehörden verlangen ein TIA als Bestandteil der Datenschutz-Folgenabschätzung bei internationalen Datentransfers.
Das Transfer Impact Assessment (TIA) wird zwar nicht explizit in der DSGVO genannt, ergibt sich jedoch aus der Kombination mehrerer Vorschriften – vor allem im Zusammenhang mit Datenübermittlungen in Drittländer. Relevante Artikel der DSGVO sind:
🔹 Artikel 44 – Allgemeine Grundsätze der Datenübermittlung
Dieser Artikel bildet die Grundlage für jede Datenübermittlung an ein Drittland oder eine internationale Organisation. Es wird gefordert, dass ein gleichwertiges Datenschutzniveau wie in der EU sichergestellt sein muss.
🔹 Artikel 46 – geeignete Garantien
Hier ist geregelt, dass bei fehlendem Angemessenheitsbeschluss geeignete Garantien (z. B. Standardvertragsklauseln) notwendig sind. Das TIA dient als Prüfung, ob diese Klauseln im konkreten Fall ausreichen oder durch zusätzliche Maßnahmen ergänzt werden müssen.
🔹 Erwägungsgründe 108, 112 und 113
Diese verdeutlichen die Anforderungen und Hintergründe zu Übermittlungen in Drittländer sowie die Bedeutung zusätzlicher Schutzmaßnahmen.
Ein TIA ist also eine konkrete Ausprägung der Rechenschaftspflicht (Artikel 5 Absatz 2) und wird implizit gefordert, wenn Unternehmen geeignete Garantien (Art. 46 DSGVO) einsetzen – insbesondere nach dem Schrems II-Urteil des EuGH.
**Quellen:**
– https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/step-step-guide-european-essential-guarantees_de
– https://www.datenschutzkonferenz-online.de/media/oh/20220126_TOM-TIA_Leitfaden.pdf