Datenübermittlung-Folgenabschätzung erstellen – Drittlandtransfer nach Schrems II prüfen
Eine Datenübermittlung-Folgenabschätzung (TIA) ist nach Art. 44 ff. DSGVO und dem Schrems-II-Urteil erforderlich, wenn personenbezogene Daten in ein Drittland ohne Angemessenheitsbeschluss übermittelt werden. Das Formular folgt der EDPB-Sechs-Schritte-Methodik: Akteure (Datenexporteur, -importeur, zusätzliche Empfänger), Beschreibung der Übertragung, Bewertung der Rechtslage im Drittland (z. B. FISA 702, CLOUD Act), Garantien (TOMs, Standardvertragsklauseln), Risikobewertung mit Risikokartierung, Maßnahmen und Bericht.
Eine Datenübermittlung-Folgenabschätzung (TIA, Transfer Impact Assessment) ist nach Art. 44 ff. DSGVO und dem Schrems-II-Urteil des EuGH Pflicht, wenn personenbezogene Daten in ein Drittland oder an eine internationale Organisation ohne Angemessenheitsbeschluss übermittelt werden. preeco | datenschutz führt Sie strukturiert durch die in den EDPB Recommendations 01/2020 geforderte Sechs-Schritte-Methodik.
1. Anlegen:
Klicken Sie im linken Menü unter „Risiken" auf „Datenübermittlung-Folgenabschätzungen". Über „Neu" legen Sie eine Bewertung an – leer, aus Musterdokumenten oder als hochgeladene Datei.
2. Allgemein und Bezug zur Verarbeitung:
Vergeben Sie Bezeichnung und Status (z. B. „Handeln / Prüfen") und verknüpfen Sie im Abschnitt „Bezug auf Verarbeitungstätigkeiten" die Verarbeitung, in deren Rahmen die Übermittlung erfolgt.
3. Akteure:
Erfassen Sie Datenexporteur:in und Datenimporteur:in (im Drittland) – bequem über „Aus Kontakten laden" oder die eigene Organisation. Zusätzliche Datenempfänger:innen wie Subunternehmer dokumentieren Sie mit der Beschreibung der Datenweitergabe.
4. Beschreibung der Übertragung:
Dokumentieren Sie Startdatum, Übertragungskanäle, Datenkategorien und Speicherort. Inhalte lassen sich aus der verknüpften Verarbeitungstätigkeit übernehmen.
5. Rechtsvorschriften im Drittland:
Bewerten Sie die Rechtslage mit Beurteilungszeitraum, einschlägigen Rechtsvorschriften (z. B. FISA 702, CLOUD Act) und früheren behördlichen Offenlegungsersuchen.
6. Garantien:
Verknüpfen Sie technische und organisatorische Maßnahmen (TOMs) und pflegen Sie die Rechtsgrundlage – etwa Standardvertragsklauseln (SCC 2021/914).
7. Bewertung, Maßnahmen und Bericht:
Erfassen Sie Risiken mit Eintrittswahrscheinlichkeit und Schwere – die Risikokartierung visualisiert sie automatisch. Leiten Sie Maßnahmen mit Umsetzungsdatum und Status ab, halten Sie im Bericht den Gesamtvermerk fest und setzen Sie abschließend den Status (Akzeptabel, Handeln/Prüfen oder Inakzeptabel).
Tipp: Hinterlegen Sie eine Wiedervorlage zum Ende des Beurteilungszeitraums – so wird die Drittland-Bewertung bei Änderungen der Rechtslage nie unbemerkt veralten.
Änderungen und Irrtümer können vorkommen. Die Angaben in diesem Artikel wurden sorgfältig zusammengestellt, erheben jedoch keinen Anspruch auf Vollständigkeit oder Richtigkeit.