Transfer Impact Assessments (TIA)

Bei der Verwendung von Standarddatenschutzklauseln müssen beide Vertragsparteien versichern, dass sie keine Bedenken bezüglich der Einhaltung der Verpflichtungen aus den Standardvertragsklauseln durch den Datenimporteur haben, insbesondere im Hinblick auf die im Drittland geltenden Gesetze und Praktiken.

 

Seit Mitte 2021 bestehen neue Versionen der Standardvertragsklauseln. Diese enthalten neue Pflichten, zu denen insbesondere eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) gehört. In deren Rahmen müssen die Vertragsparteien darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen.

 

Wichtig: Bis zum 27.12.2022, mussten die alten Klauseln auf die neuen Vorlagen umgestellt werden!

 

Was ist eine TIA?

Diese Zusicherung beider Seiten muss auf einer detaillierten Risikoanalyse beruhen. Eine solche Prüfung wird auch als Transfer Impact Assessment oder kurz TIA bezeichnet.

 

Wann muss eine TIA durchge­führt werden?

Für jede Verarbeitungstätigkeit, die einen Drittlanddatentransfer beinhaltet, muss eine TIA durchgeführt werden. Diese Datentransfer-Folgenabschätzung muss dokumentiert und auf Anfrage von Behörden vorgelegt werden.

 

Was muss eine TIA beinhalten?

Eine TIA muss mindestens folgendes enthalten:

  • eine Beschreibung des Datentransfers,
  • eine Definierung der TIA-Parameter,
  • eine Auflistung der getroffenen Sicherheitsmaßnahmen,
  • eine Risikobewertung bezüglich eines möglichen behördlichen Zugriffs,
  • und eine abschließende Beurteilung des Datentransfers.

 

Die letzten drei Punkte sind für die Entscheidung, ob eine Datenübermittlung auf Grundlage der Standardvertragsklauseln möglich ist, von besonderer Bedeutung und sollten daher rechtlich genau geprüft werden. Eine Beratung durch eine spezialisierte Anwaltskanzlei ist deshalb immer zu empfehlen.

 

Welche Konsequenzen kann ein Transfer Impact Assessment haben?

Wird festgestellt, dass die Gesetze und Praktiken des Bestimmungsdrittlandes den Datenimporteur hindern, seinen Verpflichtungen nachzukommen, darf unter diesen Umständen keine Übermittlung nach den Standardvertragsklauseln erfolgen. Möglicherweise können noch zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergriffen werden.

 

Drohen Strafen, wenn eine TIA unterbleibt?

Für das Fehlen einer TIA können große Bußgelder verhängt werden. Das erste Bußgeld für eine fehlende TIA wurde im Herbst 2021 von einer norwegischen Datenschutzbehörde verhängt und betrug knapp 500.000€. Eine Datentransfer-Risikoanalyse sollte also immer vor jedem Drittlanddatentransfer durchgeführt werden. Dabei gilt, dass eine nachträgliche TIA einen Verstoß nicht heilen kann!


Was Heidrich Rechts­anwälte für Sie tun kann!

Der Abschluss von Standardvertragsklauseln ist mit einem nicht unerheblichen Zeit- und Ressourcenaufwand verbunden, bedingt durch die obligatorische Prüfung der Umstände der Datenübermittlung und der Rechtslage im Empfängerland.

 

Unsere Rechtsanwälte aus Hannover stehen Ihnen zu dem Thema Transfer Impact Assessment gerne mit Rat und Tat zur Seite. Hierbei können wir auch auf unsere Kooperationen zurückgreifen und auf Wunsch qualifizierte Techniker hinzuziehen. Kontaktieren Sie uns!

Datenschutz

Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet, weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.