Transfer Impact Assessment (Datentransfer-Folgenabschätzung)

Ausführliche Erklärung

Das Transfer Impact Assessment wurde nach dem Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020 zur datenschutzrechtlichen Pflicht. Seitdem müssen Unternehmen bei jedem Datentransfer in Länder ohne Angemessenheitsbeschluss der EU-Kommission eigenständig prüfen, ob die rechtlichen und praktischen Rahmenbedingungen im Empfängerland einen wirksamen Schutz gewährleisten. Die Pflicht ergibt sich aus Artikel 44 und 46 DSGVO in Verbindung mit Klausel 14 der neuen EU-Standardvertragsklauseln (SCC) und wird durch die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDSA) konkretisiert.

Im Kern bewertet ein TIA, ob Gesetze oder Gepflogenheiten im Drittland – insbesondere Zugriffsbefugnisse von Behörden oder Geheimdiensten – die vertraglich vereinbarten Garantien in der Praxis aushebeln könnten. Ist das der Fall, müssen zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, etwa starke Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung. Sind diese Zusatzmaßnahmen nicht wirksam umsetzbar, ist die Datenübermittlung unzulässig und muss unterbleiben. Die österreichische Datenschutzbehörde hat in mehreren Entscheidungen klargestellt, dass eine rein subjektive Risikoabwägung nicht ausreicht – die objektive Rechtslage im Drittland ist maßgeblich.

Für KMU stellt die rechtssichere Durchführung eines TIA eine anspruchsvolle Aufgabe dar. Sie verlangt eine fundierte Auseinandersetzung mit dem Datenschutzrecht des Empfängerlandes, die Zusammenarbeit mit dem Datenimporteur und eine nachvollziehbare Dokumentation. Fehlt ein TIA oder wurde es unzureichend erstellt, drohen datenschutzrechtliche Sanktionen. Unternehmen sollten daher bei kritischen Transfers externe Datenschutzexpertise hinzuziehen und ihre Bewertungen regelmäßig aktualisieren, sobald sich rechtliche oder tatsächliche Rahmenbedingungen ändern.