Transfer Impact Assessment
Das Transfer Impact Assessment (TIA) ist die nach dem Schrems-II-Urteil verpflichtende Einzelfallprüfung, ob bei einer Datenübermittlung in ein Drittland trotz Standardvertragsklauseln ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet ist.
Das Transfer Impact Assessment (TIA), auch Transfer-Folgenabschätzung genannt, ist eine dokumentierte Risikoprüfung, mit der ein Verantwortlicher oder Auftragsverarbeiter vor einer Übermittlung personenbezogener Daten in ein Drittland bewertet, ob die gewählte Garantie nach Art. 46 DSGVO - in der Praxis meist die Standardvertragsklauseln - im Empfängerland tatsächlich ein der EU im Wesentlichen gleichwertiges Schutzniveau bietet. Das TIA wurde durch das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 (Rechtssache C-311/18, "Schrems II") zur Pflicht: Der EuGH erklärte den EU-US Privacy Shield für ungültig und stellte klar, dass Standardvertragsklauseln allein nicht genügen, wenn das Recht des Empfängerlandes - etwa weitreichende behördliche Zugriffsbefugnisse - die vertraglichen Zusagen aushebelt.
Methodisch folgt das TIA dem sechsstufigen Prüfschema, das der Europäische Datenschutzausschuss in seinen Empfehlungen 01/2020 vorgegeben hat: Erfassung sämtlicher Übermittlungen ("know your transfers"), Bestimmung des Transferinstruments nach Art. 46 DSGVO, Bewertung der Wirksamkeit dieses Instruments unter Berücksichtigung von Rechtslage und Praxis im Drittland, gegebenenfalls Festlegung ergänzender Maßnahmen, Umsetzung etwaiger formaler Schritte und schließlich eine regelmäßige Neubewertung. Geprüft werden vor allem die Überwachungs- und Zugriffsgesetze des Drittlands (in den USA insbesondere Section 702 FISA und Executive Order 12333), die Rechtsschutzmöglichkeiten betroffener Personen sowie die konkreten Umstände der Übermittlung wie Datenart, Empfängerkreis und Sensibilität.
Ergibt das TIA, dass das vertragliche Schutzniveau durch das Recht des Drittlands beeinträchtigt wird, muss die Übermittlung durch ergänzende Maßnahmen abgesichert werden - etwa starke Ende-zu-Ende-Verschlüsselung mit ausschließlich in der EU verwalteten Schlüsseln, Pseudonymisierung oder vertragliche und organisatorische Zusatzgarantien. Lassen sich die Risiken nicht wirksam beheben, ist die Übermittlung auszusetzen oder zu unterlassen. Für Transfers in die USA hat der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (Juli 2023) die Lage entschärft, jedoch nur für zertifizierte Empfänger; für alle übrigen Drittlandtransfers bleibt das TIA als Ausdruck der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ein zentrales und nachweispflichtiges Compliance-Instrument.
Rechtliche Grundlage
Art. 44–46 DSGVO; EuGH, Urteil v. 16.07.2020, C-311/18 (Schrems II); EDSA-Empfehlungen 01/2020; Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)
Praxisbeispiel
Ein mittelständisches Unternehmen führt ein US-Cloud-CRM ein, dessen Anbieter Support-Zugriffe aus den USA und Indien benötigt. Die Datenschutzbeauftragte erstellt ein TIA: Sie kartiert die übermittelten Kunden- und Kontaktdaten, identifiziert die Standardvertragsklauseln als Transferinstrument und bewertet die US-Rechtslage nach Section 702 FISA. Da der Anbieter nicht unter dem Data Privacy Framework zertifiziert ist, vereinbart sie als ergänzende Maßnahmen verschlüsselte Datenhaltung mit EU-seitigem Schlüsselmanagement, ein Transparenzregister für Behördenanfragen sowie die Beschränkung des Fernzugriffs. Das vollständige TIA wird im Verarbeitungsverzeichnis hinterlegt und jährlich neu bewertet.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren