Transfer Impact Assessment: Datentransfers gestützt auf SCC und TIA absichern

Die Übermittlung personenbezogener Daten in Drittländer gestützt auf Standardvertragsklauseln erfordert eine ergänzende Risikobewertung, das sogenannte Transfer Impact Assessment (TIA). Doch in vielen Unternehmen mangelt es an Know-how, um solch komplexe Bewertungen selbst durchzuführen. Ein Verzicht oder eine lückenhafte Risikobewertung sind keine Option, da empfindliche Bußgelder drohen.

Unterstützung bei der Anfertigung von Transfer Impact Assessments

Ein Hoffen und Bangen um die Richtigkeit selbst durchgeführter Risikobewertungen muss nicht sein. Gerne übernehmen wir für Sie die Durchführung Ihrer TIAs einschließlich der Erstellung aller notwendigen Nachweise.

Kostenlose Erstberatung anfordern

Hintergrund & Problemstellung

Datentransfers außerhalb des Europäischen Wirtschaftsraums (EWR), in sogenannte Drittländer, sind nur bei Erfüllung strenger Voraussetzungen zulässig. Es existieren verschiedene Möglichkeiten, derartige Datenübermittlungen datenschutzrechtlich abzusichern. In bestimmten Konstellationen treffen Unternehmen eine gute Entscheidung, die Übermittlung personenbezogener Daten in Drittländer mittels Standardvertragsklauseln (SCC) abzusichern.

Mit den überarbeiteten Standardvertragsklauseln (die seit dem 27.12.2023 auch für bestehende Verträge gelten) geht die Pflicht einher, begleitende Transfer Impact Assessments durchzuführen. Solch ein TIA ist eine Risikobewertung mit Fokus auf das Sicherheitsniveau des Drittlandes. Es wird ermittelt, ob ein angemessenes Sicherheitsniveau besteht, um die Datenübermittlung gestützt auf Standardvertragsklauseln durchführen zu können.

Konzept / Idee des TIA

Zwar hat die EU Kommission für Standardvertragsklauseln ein genaues Vertragswerk veröffentlicht, jedoch stellt sie weder eine Anleitung noch ein Muster für die Durchführung von Transfer Impact Assessments bereit. Hinweise zur Ausgestaltung der Risikobewertung liefern die Standardvertragsklauseln selbst.

Diese besagen, dass bei der Analyse zwischen zwei Rollen zu unterscheiden ist, nämlich dem Datenexporteur und dem Datenimporteur. Exporteur ist der Verantwortliche i.S.d. Art. 4 Abs. 7 DSGVO, der personenbezogene Daten in das Drittland übermittelt. Importeur ist üblicherweise ein Auftragsverarbeiter.

Beide Parteien müssen gewährleisten, dass die personenbezogenen Daten vor Fremdzugriffen geschützt sind. Es genügt jedoch nicht, dies nur vertraglich über die Standardvertragsklauseln abzusichern. Das ergänzende Transfer Impact Assessment prüft, ob eine ausreichende Sicherheit tatsächlich gewährleistet ist. Im Rahmen der Bewertung wird insbesondere geprüft:

Wie es um grundlegende Bewertungskriterien steht, wie unter anderem den Zweck der Verarbeitung, die Kategorien und Formate der personenbezogenen Daten und den Speicherort.
Ob die im Drittland geltenden Rechtsvorschriften ausreichenden Schutz der Daten gewährleisten, insbesondere im Hinblick auf einen möglichen Zugriff durch Behörden.
Welche ergänzenden Garantien und Maßnahmen sowohl der Exporteur als auch der Importeur ergreifen.

Die Risikobewertung ist vollständig zu dokumentieren. Entscheidend hierbei ist, dass nicht nur Informationen zusammengetragen werden. Es ist eine Beurteilung zu treffen, d.h. eine Bewertung auf deren Basis entschieden wird, ob ein ausreichendes Sicherheitsniveau besteht und die Übermittlung der Daten gestützt auf Standardvertragsklauseln erfolgen kann. Für die Bewertung gilt es eine geeignete Lösung zu finden und anzuwenden, wie z.B. ein Scoring-Modell. Das Ergebnis dieser Bewertung muss Bestandteil der Dokumentation sein.

Herausforderungen in der Praxis

Transfer Impact Assessments können Unternehmen gleich aus mehreren Gründen vor ernsthafte Herausforderungen in der Datenschutzpraxis stellen.

Es existieren keine offiziellen, von der EU Kommission bereitgestellten Leitlinien oder Vorlagen für die Durchführung von Transfer Impact Assessments. Die relevanten Klauseln der SCCs geben lediglich ein grobes Rahmenwerk vor.
Einige von Dritten bereitgestellte Vorlagen, wie z.B. von der International Association of Privacy Professionals (IAPP), sind einerseits äußerst umfangreich und komplex, andererseits nicht für jede Bewertung vollständig geeignet.
Vielen Unternehmen mangelt es am notwendigen Know-how, um derart komplexe Risikobewertungen selbst durchzuführen.
Jedes TIA hat einen individuellen Charakter und ist daher nicht ohne weiteres duplizierbar. Sobald sich der Datenimporteur oder das Bestimmungsland ändert, müssen womöglich andere Bewertungskriterien herangezogen werden.

Wie wir Unterstützung leisten

Unternehmen, die sich komplexen datenschutzrechtlichen Fragestellungen konfrontiert sehen, müssen nicht auf sich selbst gestellt sein. Wir entwickeln praxistaugliche Lösungen, die zur Stärkung des Datenschutzniveaus beitragen und zugleich wirtschaftlich gut umsetzbar sind.

Dies schließt die Durchführung von Risikobewertungen ein. Wenn Sie ein Transfer Impact Assessment erstellen möchten und hierbei Hilfe benötigen, unterstützen wir Sie gerne. Weitere Informationen erhalten Sie über unsere kostenlose Erstberatung. Wir freuen uns auf Ihre Anfrage.

Nehmen Sie Kontakt auf

Für Ihre Fragen rund um Datenschutz und Informationssicherheit stehen wir Ihnen gern zur Verfügung. Sie erreichen uns unter 0800-5600831 (gebührenfrei) oder über unser Kontaktformular.

– André Beaujean, Vertrieb Mein-Datenschutzbeauftragter.de

Kostenlose Erstberatung anfordern