Blog, Datenschutz & Informationssicherheit, Sven Schüldink

Transfer Impact Assessment

In unserem Blogbeitrag „Neue Standardvertragsklauseln“ (Link) hatten wir Ihnen die neuen Standardvertragsklauseln (SCC) vorgestellt. Für eine rechtssichere Übermittlung von personenbezogenen Daten in ein Drittland ist allerdings nicht nur die Unterzeichnung der Standardvertragsklauseln notwendig, sondern bedarf es zusätzlich seit Einführung der neuen SCCs auch eines Transfer Impact Assessment (TIA).

Dieses stellt vereinfacht gesagt eine Risikobeurteilung der Datenübermittlung dar, sie ist zu dokumentieren und auf Verlangen auch der Behörde auszuhändigen. Somit muss jedes in der EU ansässige Unternehmen diese Risikobewertung vor dem Übermitteln von Daten in Drittländer durchführen.

Bei einem Transfer Impact Assessment müssen verschiedene Aspekte berücksichtigt werden, die wir Ihnen hier nun kurz vorstellen möchten:

  • die besonderen Umstände der Übermittlung,
  • der Länge der Verarbeitungskette,
  • der Anzahl der beteiligten Akteure
  • der verwendeten Übertragungskanäle,
  • beabsichtigte Datenweiterleitungen,
  • die Art des Empfängers,
  • den Zweck der Verarbeitung,
  • die Kategorien
  • das Format der übermittelten personenbezogenen Daten,
  • den Wirtschaftszweig, in dem die Übertragung erfolgt,
  • den Speicherort der übermittelten Daten,
  • die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes
    • einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten
  • sowie die geltenden Beschränkungen und Garantien
  • alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Standardvertragsklauseln eingerichtet wurden,
  • die Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Weiter darf eine Begründung darüber, warum gerade ein Anbieter in dem entsprechenden Drittland anstatt eines Anbieters aus der EU bzw. dem EWR vorzuziehen ist, ebenfalls nicht in einer TIA fehlen.

Wie muss nun eine TIA aussehen?

Bei der Gestaltung bleibt dem Verantwortlichen die freie Wahl – wichtig ist, dass die Bewertung und das Ergebnis dokumentiert und für jede Drittlandübermittlung vorliegt.

Im Idealfall erhalten Sie nach Durchführung der TIA das Ergebnis, dass Sie keinen Grund zur Annahme haben, dass der Dienstleister Ihre Vorgaben nicht einhalten kann und dass die Vorgaben der aktuellen SCC eingehalten werden.

Muster zur TIA?

Im Internet sind bereits Muster für eine Durchführung der TIA vorhanden – am bekanntesten ist vermutlich, die der iapp (Link). Am besten machen Sie sich selbst ein Bild, ob diese Ihnen zusagt. Sollte Ihnen diese doch zu umfangreich und komplex sein, stehen wir Ihnen natürlich gerne mit einer pragmatischeren Lösung zur Verfügung.