Transfer Impact Assessments (TIA)

Wir beraten Sie bei der Durchführung einer Datentransfer-Folgenabschätzung/ Transfer Impact Assessment (TIA) 

Bei der Verwendung von Standarddatenschutzklauseln müssen beide Vertragsparteien versichern, dass sie keine Bedenken bezüglich der Einhaltung der Verpflichtungen aus den Standardvertragsklauseln durch den Datenimporteur haben, insbesondere im Hinblick auf die im Drittland geltenden Gesetze und Praktiken.  

 

Seit Mitte 2021 bestehen neue Versionen der Standardvertragsklauseln. Diese enthalten neue Pflichten, zu denen insbesondere eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) gehört. In deren Rahmen müssen die Vertragsparteien darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen.

 

Wichtig: Es gilt eine Übergangsfrist bis zum 27.12.2022, innerhalb die alten Klauseln auf die neuen Vorlagen umzustellen sind!
 

Was ist eine TIA? 

Diese Zusicherung beider Seiten muss auf einer detaillierten Risikoanalyse beruhen. Eine solche Prüfung wird auch als Transfer Impact Assessment oder kurz TIA bezeichnet. 
 

Wann muss eine TIA durchgeführt werden? 

Für jede Verarbeitungstätigkeit, die einen Drittlanddatentransfer beinhaltet, muss eine TIA durchgeführt werden. Diese Datentransfer-Folgenabschätzung muss dokumentiert und auf Anfrage von Behörden vorgelegt werden. 
 

Was muss eine TIA beinhalten? 

Eine TIA muss mindestens folgendes enthalten: 

  • eine Beschreibung des Datentransfers, 
  • eine Definierung der TIA Parameter, 
  • eine Auflistung der getroffenen Sicherheitsmaßnahmen, 
  • eine Risikobewertung bezüglich eines möglichen behördlichen Zugriffs,
  • und eine abschließende Beurteilung des Datentransfers. 

 

Die letzten drei Punkte sind für die Entscheidung, ob eine Datenübermittlung auf Grundlage der Standardvertragsklauseln möglich ist, von besonderer Bedeutung und sollten daher rechtlich genau geprüft werden. Eine Beratung durch eine spezialisierte Anwaltskanzlei ist daher immer zu empfehlen. 
 

Welche Konsequenzen kann ein Transfer Impact Assessment haben? 

Wird festgestellt, dass die Gesetze und Praktiken des Bestimmungsdrittlandes den Datenimporteur hindern, seinen Verpflichtungen nachzukommen, darf unter diesen Umständen keine Übermittlung nach den Standardvertragsklauseln erfolgen. Möglicherweise können noch zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. 
 

Drohen Strafen, wenn eine TIA unterbleibt? 

Für das Fehlen einer TIA können große Bußgelder verhängt werden. Das erste Bußgeld für eine fehlende TIA wurde im Herbst 2021 von einer norwegischen Datenschutzbehörde verhängt und betrug knapp 500.000€. Eine Datentransfer-Risikoanalyse sollte also immer vor jedem Drittlanddatentransfer durchgeführt werden. Dabei gilt, dass eine nachträgliche TIA einen Verstoß nicht heilen kann. 

 
Was Heidrich Rechtsanwälte für Sie tun kann! 

Der Abschluss von Standardvertragsklauseln ist mit einem nicht unerheblichen Zeit- und Ressourcenaufwand verbunden, bedingt durch die obligatorische Prüfung der Umstände der Datenübermittlung und der Rechtslage im Empfängerland.  

 

Unsere Rechtsanwälte aus Hannover stehen Ihnen zu dem Thema Transfer Impact Assessment gerne mit Rat und Tat zur Seite. Hierbei können wir auch auf unsere Kooperationen zurückgreifen und auf Wunsch qualifizierte Techniker hinzuziehen. Kontaktieren Sie uns! 

Einwilligungserklärung Datenschutz

Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt.

Pflichtfeld*