Was ist das denn wieder, ein TIA – ein Transfer Impact Assessment?
Das sog. Data Transfer Impact Assessment oder kurz TIA (etwa dt.: Daten-Transfer-Folgenabschätzung) ist eine direkte Folge aus den Entwicklungen rund um internationale Übermittlungen von personenbezogenen Daten in Drittländer, egal ob unsicher oder nicht. Spätestens seit dem Schrems II-Urteil des EuGHs sah sich die Europäische Kommission veranlasst, die Standarddatenschutzklauseln (SCC) zu überarbeiten und an die Anforderungen der DSGVO anzupassen. Hierzu gehört, dass nach Klausel 14 der neuen SCC eine Beurteilung der Übermittlung in ein Drittland vorgenommen werden muss.
Was ist ein Transfer Impact Assessment – eine Transfer-Folgen-Abschätzung?
Das Transfer Impact Assessment ist eine Risikobeurteilung für Datenübermittlungen in (unsichere) Drittländer. Die Pflicht zur Durchführung des Transfer Impact Assessments ergibt sich dabei direkt aus den Standarddatenschutzklauseln (eben wegen Klausel 14). Es handelt sich um eine Analyse des Datenschutzniveaus im jeweiligen Drittland, in welches Daten übermittelt werden sollen – berücksichtigt werden müssen hierbei zwei mögliche Rollen: Der Datenexporteur und der Datenimporteur.
Datenexporteur ist wer personenbezogene Daten in ein Drittland überführt, zum Beispiel beim Einsatz von Softwarediensten, welche im Drittland gehostet werden.
Der Datenimporteur ist i.d.R. ein Auftragsverarbeiter wie zum Beispiel ein Softwareanbieter, welcher europäischen Verantwortlichen seine Lösungen zur Verfügung stellt (hier wieder vorrangig die „Schrems II-Klassiker“ aus den USA).
Der übliche Grundsatz für die Verantwortung rund um Datenverarbeitungen gilt wie immer auch für die Durchführung einer TIA: Das Unternehmen hat sich entschloßen den einen oder anderen Dienstleister in einem Drittland einzusetzen oder die Unternehmen beziehen Dienstleistungen von EU-Unternehmen, die sich wiederum selbst Dienstleistern in einem Drittland bedienen. Hier erweitert sich die datenschutzrechtliche Verantwortung des ursprünglichen Unternehmens bis auf diese Unter-Ebene.
Bei der Bewertung möglicher Transfer-Folgen soll berücksichtigt werden:
- die Länge der Verarbeitungskette und Zahl der beteiligten Dienstleister
- die Art der Empfänger und der Zweck der Verarbeitung
- die Kategorien der übermittelten personenbezogenen Daten
- der Wirtschaftszweig, in dem die Übertragung erfolgt
- der Speicherort der übermittelten Daten
- alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Standardvertragsklauseln eingerichtet wurden….
Stichwort Rechenschaftspflicht: Die vorgenommene Beurteilung ist jeweils zu dokumentieren und gegebenenfalls nachzuweisen.