Transfer Impact Assessments (TIA) bei Datenübermittlung in Drittländer: Erforderlichkeit und Tools zur Erstellung
TCI Rechtsanwälte > Datenschutz und Compliance > Transfer Impact Assessments (TIA) bei Datenübermittlung in Drittländer: Erforderlichkeit und Tools zur Erstellung

Transfer Impact Assessments (TIA) bei Datenübermittlung in Drittländer: Erforderlichkeit und Tools zur Erstellung

31.03.2023 Datenschutz und Compliance

Viele Unternehmen übermitteln personenbezogene Daten in Drittländer, in denen kein angemessenes Datenschutzniveau besteht. Hierunter fallen nicht nur die USA, sondern auch Länder wie China oder Indien. Sofern kein wirksamer Angemessenheitsbeschluss der EU-Kommission vorliegt, muss die Rechtmäßigkeit der Übermittlung im Regelfall auf Basis der Standarddatenschutzklauseln (SCC) sichergestellt werden. Jedoch reichen nach der Rechtsprechung des EuGH die Standarddatenschutzklauseln alleine nicht aus. Es müssen auch zusätzliche Maßnahmen ergriffen werden. Insbesondere muss auch die Wirksamkeit des Übermittlungsinstruments evaluiert werden. Diesbezüglich ist gefordert, dass die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes zu ermitteln und zu bewerten sind. Gemäß Klausel 14 d) der SCC ist die Beurteilung zu dokumentieren und der zuständigen Behörde auf Anfrage zur Verfügung zu stellen.

Eine solche Analyse von Rechtssystem und Rechtskultur des Drittlandes ist für ein deutsches Unternehmen, das nicht über die entsprechenden Beratungsressourcen verfügt, nur schwer zu bewerkstelligen. Jedenfalls im Hinblick auf den Datentransfer in die USA gibt es diesbezüglich nun einen Lichtstreifen am Horizont. Es wird erwartet, dass bis zur Mitte des Jahres 2023 ein neuer Angemessenheitsbeschluss der EU-Kommission ergeht. Ob dieses „Transatlantic Data Privacy Framework“ einer erneuten Prüfung durch den EuGH standhalten wird, ist aber offen. Kommt der neue Angemessenheitsbeschluss, so ist jedenfalls für die Dauer seiner Wirksamkeit eine Datenübermittlung auf Basis der SCC damit auch ein Transfer Impact Assessment nicht mehr erforderlich. Diese Erleichterung gilt aber nur für die USA, nicht aber für die anderen Drittstaaten.

Sofern Unternehmen ein TIA durchführen müssen, gibt es für sie jetzt eine wertvolle Hilfestellung durch den Bitkom. Dieser stellt mit „BiTIAT“ ein Online-Tool zur Erstellung eines TIA- Dokuments zur Verfügung:

https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Transfer-Impact-Assessment-TIA

Hier kann der Nutzer die ihm zur Verfügung stehenden datenschutzrelevanten Informationen eingeben. Das Tool generiert ein Dokument im Word-Format, das der datenschutzrechtlichen Dokumentation hinzugefügt werden kann. Nach eigener Bekundung des Bitkom soll das Tool Branchenstandard werden. Zugänglich ist es bislang allerdings nur Bitkom Mitgliedern.

Autor

Dr. Michael Karger
Dr. Michael Karger

Partner, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gie­recht, Fach­an­walt für Ver­wal­tungs­recht

TCI Rechts­an­wäl­te Mün­chen

  • Twitter
  • LinkedIn