In einer globalisierten Geschäftswelt ist der grenzüberschreitende Transfer personenbezogener Daten unverzichtbar. Doch wenn diese Daten in unsichere Drittländer außerhalb der EU übermittelt werden, sind besondere Datenschutzvorkehrungen unerlässlich. Neben den Standardvertragsklauseln (SCC) hat sich ein neues Instrument etabliert, das Transfer Impact Assessment (TIA), das eine gründliche Risikobewertung für den Schutz der übermittelten Daten ermöglicht.

In diesem Beitrag erläutern wir im Detail, was es mit dem TIA auf sich hat und wie Unternehmen es in der Praxis anwenden können.

Das Transfer Impact Assessment (TIA): Ein rechtlicher Rahmen für internationale Datentransfers

Das Transfer Impact Assessment (TIA) ist ein rechtlicher Mechanismus, der von Unternehmen gefordert wird, bevor sie personenbezogene Daten in Drittländer außerhalb der EU übermitteln. Der Zweck des TIA liegt darin, sicherzustellen, dass angemessene Sicherheitsvorkehrungen getroffen werden, um die Rechte und den Schutz personenbezogener Daten der betroffenen Personen zu wahren.

Die Notwendigkeit des TIA im Kontext des Schrems II-Urteils

Hier ist das Urteil zum nachlesen:

Das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH)

hat die Übermittlung personenbezogener Daten in unsichere Drittländer einer genaueren Prüfung unterzogen. Die SCC stellen eine wichtige rechtliche Absicherung für internationale Datentransfers dar, doch das TIA erweitert diesen Rahmen um eine umfassende Risikobewertung. Während SCC die rechtliche Grundlage für Datentransfers bilden, ermöglicht das TIA eine detaillierte Analyse der datenschutzrechtlichen Situation im Bestimmungsland.

Die Bestandteile eines Transfer Impact Assessments

Das TIA erfordert von Unternehmen eine sorgfältige Prüfung und Bewertung verschiedener Faktoren, um das Risiko einer Datenübermittlung in ein Drittland angemessen einschätzen zu können. 

Die wesentlichen Elemente eines TIA sind wie folgt:

Allgemeiner Teil:

Identifizierung der beteiligten Parteien: Der erste Schritt des TIA umfasst die klare Identifizierung der beteiligten Parteien, nämlich des Datenexporteurs und des Datenimporteurs. Hierbei sollten nicht nur die juristischen Namen, sondern auch relevante Kontaktdaten und Verantwortlichkeiten festgehalten werden.

Rechtsgrundlage für den Datentransfer: Gemäß den Artikeln 44 ff. der Datenschutz-Grundverordnung (DSGVO) muss die Rechtsgrundlage für den Datentransfer deutlich angegeben werden. Dies umfasst die genaue Angabe der rechtlichen Bestimmungen, aufgrund derer der Datentransfer erfolgt.

Detaillierte Angaben zu den geplanten Datentransfers: Eine umfassende Dokumentation der geplanten Datentransfers ist essentiell. Dies beinhaltet Informationen zur Art der übermittelten Daten, den Kategorien der betroffenen Personen, den Übertragungskanälen, der Verarbeitungskette sowie den vorgesehenen Speicherorten und -arten.

Festlegung von Intervallen für die regelmäßige Neubewertung: Um sicherzustellen, dass der Datenschutzstandard kontinuierlich aufrechterhalten wird, sollten klare Intervalle für die regelmäßige Neubewertung des TIA festgelegt werden. Dies ermöglicht eine fortlaufende Anpassung der Maßnahmen an sich ändernde Gegebenheiten. 

Übermittlungsumstände: Sicherstellung der Datensicherheit

Der TIA verlangt eine präzise Beschreibung der Übermittlungsumstände, um sicherzustellen, dass die Daten während des Transfers und danach angemessen geschützt werden. Hierbei sind zwei wesentliche Aspekte zu beachten:

Art der Datenübertragung und spezifisches Format: Klären Sie, welche Art von personenbezogenen Daten übertragen werden und in welchem spezifischen Format sie vorliegen. Dies ermöglicht es, potenzielle Risiken im Zusammenhang mit der Datenübertragung zu identifizieren und geeignete Schutzmaßnahmen zu treffen.

Übertragungskanäle, Verarbeitungskette, Speicherort und -art der Daten: Die genaue Darstellung der Übertragungskanäle, der Verarbeitungskette sowie des Speicherorts und der Speicherart der Daten ist entscheidend. Dies hilft dabei, potenzielle Schwachstellen zu erkennen und sicherzustellen, dass die Daten während des gesamten Übertragungsprozesses geschützt sind.

Geltende Rechtsvorschriften des Bestimmungslandes:

Beachtung der rechtlichen Rahmenbedingungen

Ein weiterer wichtiger Aspekt des TIA betrifft die geltenden Datenschutzbestimmungen im Drittland, in das die Daten übermittelt werden. Dies beinhaltet:

Prüfung der Datenschutzrechtlichen Bestimmungen:

Eine umfassende Prüfung der Datenschutzrechtlichen Bestimmungen im Zielstaat ist unerlässlich. Dies umfasst die Bewertung der Datenschutzgesetze und -regulierungen, die den Schutz personenbezogener Daten im Drittland gewährleisten sollen.

Berücksichtigung von Gesetzen, die eine Offenlegung von Daten verlangen könnten:

Besondere Aufmerksamkeit sollte Gesetzen gewidmet werden, die eine Offenlegung von Daten gegenüber staatlichen Behörden verlangen könnten. Dies schließt die Einbeziehung von Bestimmungen, wie dem US CLOUD Act ein, der den Zugang zu Daten für US-Behörden regelt.

4. Zusätzliche Garantien: Erweiterung des Datenschutz-schutzes

Ein weiterer wesentlicher Bestandteil des TIA ist die Prüfung und Aufzählung zusätzlicher Garantien und Maßnahmen, die den Datenschutz im Zielstaat verstärken sollen:

Überprüfung der technischen und organisatorischen Maßnahmen (TOM):

Hierbei werden bereits in den SCC (Standardatenvertragsklauseln) definierte technische und organisatorische Maßnahmen überprüft und aufgeführt, um sicherzustellen, dass sie im Kontext des Zielstaats angemessen sind.

Aufzählung weiterer Maßnahmen:

Darüber hinaus werden zusätzliche Maßnahmen zur Gewährleistung des Datenschutzes im Zielstaat aufgeführt. Dies können spezifische Verschlüsselungsmethoden, Zugriffsbeschränkungen oder andere technische und organisatorische Maßnahmen sein.

Durchführung und Ergebnis des TIA

Das TIA sollte am besten in tabellarischer Form erstellt werden, um die Übersichtlichkeit zu wahren. Nach einer eingehenden Analyse sollten Unternehmen eine sorgfältige Abwägung vornehmen und das Ergebnis dokumentieren. Ein positiver Abschluss des TIA bestätigt, dass die geplante Datenübermittlung den datenschutzrechtlichen Anforderungen entspricht und als sicher betrachtet werden kann. Ein negativer Abschluss könnte darauf hinweisen, dass die Durchführung nicht angemessen ist, da ein erhebliches Risiko für die Datensicherheit im Bestimmungsland besteht.

Wichtige Aspekte und Empfehlungen für die Umsetzung

• Das TIA erfordert eine individuelle Betrachtung für jeden geplanten Datentransfer.
• Aktuell existiert kein einheitliches standardisiertes Vorgehen für die Erstellung von TIA.
• Ein standardisierter Ansatz kann hilfreich sein, um bei wiederholten SCC-Abschlüssen Effizienz zu gewährleisten.
• Das TIA sollte alle wesentlichen Aspekte der Datenübermittlung und des Datenschutzes im Drittland abdecken.

Fazit

Das Transfer Impact Assessment (TIA) stellt eine bedeutende Ergänzung zu den Standardvertragsklauseln dar und ermöglicht Unternehmen eine gründliche Risikobewertung für internationale Datentransfers. Durch die systematische Durchführung eines TIA wird sichergestellt, dass Datenschutzverletzungen minimiert und die rechtlichen Anforderungen im Hinblick auf Datentransfers in unsichere Drittländer erfüllt werden. Obwohl die Implementierung von TIA zusätzlichen Aufwand bedeutet, trägt sie maßgeblich dazu bei, die Integrität und den Schutz der übermittelten Daten zu gewährleisten. In Fällen von Unsicherheit oder komplexen Datentransfers empfiehlt es sich, sich an erfahrene Datenschutzexperten zu wenden, um sicherzustellen, dass das TIA ordnungsgemäß durchgeführt wird und sämtliche rechtlichen und praktischen Aspekte angemessen berücksichtigt werden.