Transfer Impact Assessment (Datentransfer-Folgenabschätzung)
Ein Transfer Impact Assessment (TIA, auch Datentransfer-Folgenabschätzung) ist eine dokumentierte Risikobewertung, die vor Übermittlung personenbezogener Daten in Drittländer prüft, ob das Datenschutzniveau dort dem der EU im Wesentlichen gleichwertig ist.
Ausführliche Erklärung
Das Transfer Impact Assessment wurde nach dem Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020 zur datenschutzrechtlichen Pflicht. Seitdem müssen Unternehmen bei jedem Datentransfer in Länder ohne Angemessenheitsbeschluss der EU-Kommission eigenständig prüfen, ob die rechtlichen und praktischen Rahmenbedingungen im Empfängerland einen wirksamen Schutz gewährleisten. Die Pflicht ergibt sich aus Artikel 44 und 46 DSGVO in Verbindung mit Klausel 14 der neuen EU-Standardvertragsklauseln (SCC) und wird durch die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDSA) konkretisiert.
Praxisbeispiel
Ein österreichisches Steuerberatungsbüro mit 12 Mitarbeitenden plant, eine cloudbasierte Buchhaltungssoftware eines US-Anbieters einzusetzen. Im TIA prüft die Geschäftsführung gemeinsam mit dem externen Datenschutzbeauftragten, ob Standardvertragsklauseln allein ausreichen oder ob zusätzliche Maßnahmen erforderlich sind. Nach Analyse der US-Überwachungsgesetze entscheidet sich das Büro für eine europäische Alternative mit Serverstandort in Österreich, um das Risiko zu vermeiden.
Quellen
- EDPB: Recommendations 01/2020 on supplementary measures (finale Version, Juni 2021)
- BvD: Arbeitshilfe Data Transfer Impact Assessment (TIA) – eine Einführung
- Datentransfer-Folgenabschätzung (TIA) – Rechtliche Grundlagen und praktische Umsetzung
- Drittlandübermittlung: Leitfaden zu Transfer Impact Assessments