Transfer Impact Assessment (TIA)

Das Transfer Impact Assessment (TIA) ist eine relativ neue Ergänzung des Datenschutzinstrumentariums. Es findet sich nicht in der Datenschutzgrundverordnung, sondern ist eine Entwicklung, die auf Gerichtsentscheidungen und Verwaltungspraktiken zurückgeht. Es zielt darauf ab, das Risiko zu beurteilen, dass der Empfänger personenbezogener Daten in einem Drittland durch das geltende Recht gezwungen sein könnte, seine Datenschutzpflichten zu verletzen.

In seinem Urteil Schrems II hat der Europäische Gerichtshof (EuGH) sehr deutlich gemacht, dass bei der Verwendung von Standardvertragsklauseln (SCC) als Instrument für die Datenübermittlung jede Übermittlung daraufhin geprüft werden muss, ob die übermittelten personenbezogenen Daten in der Praxis angemessen geschützt werden. Oder, um es ganz klar zu sagen: ob ein angemessener Datenschutz nur auf dem Papier oder auch in der Realität stattfindet. Dieser Gedanke hat Eingang in die Fassung des SCC, Art 14, gefunden.

Zu diesem Zweck sollte die Folgenabschätzung für die Übermittlung

• die Einzelheiten der betreffenden Datenübermittlung beschreiben, einschließlich der Art der übermittelten Daten und ihrer Sensibilität,
• die rechtlichen und administrativen Rahmenbedingungen im Empfängerland ermitteln und insbesondere das Risiko bewerten, dass Dritte wie Nachrichtendienste und Strafverfolgungsbehörden Zugriff auf die übermittelten Daten erhalten,
• Ermittlung und Zugang zu bestehenden Datenschutzmaßnahmen, wie z. B. Verschlüsselung, und schließlich
• Bewertung des Risikos der Übermittlung durch Abwägung der ermittelten Faktoren.

Oft wird ein ernsthafter Blick auf die Standardvertragsklauseln, die zwischen europäischen und US-amerikanischen Vertragspartnern vereinbart wurden, um dem DSGVO-Recht zu entsprechen, zu dem Ergebnis führen, dass die Folgenabschätzung negativ ausfällt. Erfolgt dennoch eine Übermittlung personenbezogener Daten, ist dies ein Bruch des europäischen Rechts in Gestalt der DSGVO.