Was ist eine TIA? 

Transfer Impact Assessment

Was ist ein TIA (Transfer Impact Assessment)
Was gehört alles zu einer TIA (Transfer Impact Assessment)?
Primary Item (H2)

Wann muss eine TIA erstellt werden?

Ausgangspunkt:
die neuen Standardvertragsklauseln (SSC-Module) für internationale Datentransfers; gelten seit Juni 2021 und müssen bis 27.12.2022 alle bestehenden SSC ersetzen.

Definition von TIA: Transfer Impact Assessment, eine Risikobewertung. Es ist zu prüfen, ob der Empfänger der Daten durch sein nationales Recht (im Drittland) gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen 

Ein TIA ist grundsätzlich immer durchzuführen, wenn SCCs abgeschlossen werden.
Eine Ausnahme davon besteht nur dann, wenn eine europäischer Auftragsverarbeiter Daten von einem Drittlands-Verantwortlichen erhält und diese „Drittlands-Daten“ ohne sie mit europäischen Daten zu vermischen an den Verantwortlichen zurücksendet (siehe Antwort auf Frage 44 der „Questions and Answers for the two sets of Standard Contractual Clauses“).

Wer muss die TIA anfertigen?

Die TIA muss von den Parteien des SCC angefertigt werden. Diese Pflicht wiegt aber für EU-Unternehmen schwerer, denn diese können unproblematisch von den Aufsichtsbehörden für einen Verstoß belangt werden. Ein Auftragsverarbeiter aus einem Drittland, der keinen Sitz und kein Vermögen in der EU hat, braucht keine Bußgelder oder Maßnahmen europäischer Aufsichtsbehörden zu befürchten.

Es ist aber davon auszugehen, dass gerade die großen US-Auftragsverarbeiter entweder selbst TIA ausarbeiten oder den Verantwortlichen bei der Ausarbeitung bestmöglich unterstützen.

Wie muss die TIA aussehen?

Das Aussehen eines TIA wird weder gesetzlich noch von den SCC vorgeschrieben. Den Parteien steht es also frei, eine äußere Form zu wählen, die sie als passend empfinden. Natürlich sollte die äußere Form so gewählt werden, dass die Darstellung übersichtlich und leicht nachvollziehbar ist. Kann eine Aufsichtsbehörde ein TIA berechtigterweise nicht nachvollziehen, kommt das einer fehlenden Dokumentation des TIA gleich.
Online findet man verschiedene Modelle zum Aufbau eines TIA. Beispiel 1 schlägt eine Orientierung an der Datenschutzfolgeabschätzung nach Art. 35 Abs. 7 DSGVO vor. Beispiel 2 hingegen plädiert für eine strikte Orientierung an Klausel 14 lit. b SCC. Die Orientierung an Klausel 14 lit. b SCC erscheint passender, da man sich damit näher an der gesetzlichen Vorlage befindet.

Für die USA findet sich eine erste und gute TIA-Vorlage hier

Welche Bestandteile muss/kann eine TIA haben?

Die Bestandteile, die ein TIA haben muss (Mindestbestandteile) sind in Klausel 14 lit. b SCC festgelegt:

a) Die Umstände der Übermittlung, Klausel 14 lit. b lit. i) SCC:

  • besondere Umstände der Übermittlung,
  • Länge der Verarbeitungskette,
  • Anzahl der beteiligten Akteure,
  • verwendeten Übertragungskanäle,
  • beabsichtigte Datenweiterleitungen,
  • Art des Empfängers,
  • Zweck der Verarbeitung,
  • Kategorien der personenbezogenen Daten,
  • Format der übermittelten personenbezogenen Daten,
  • Wirtschaftsbranche, in die die Übermittlung stattfindet sowie
  • der Speicherort der übermittelten Daten.

Gesetze und Gepflogenheiten im Drittland, Klausel 14 lit. b lit. ii) SCC:

Hier muss die rechtliche Situation im Drittland beschrieben und analysiert werden.

Dass viele Verantwortliche überhaupt nicht die Ressourcen für eine umfassende Analyse haben, ist bereits jetzt klar. Praktisch muss hier das importierende Partnerunternehmen einspringen und eine solche Beschreibung dem Datenexporteur zur Verfügung stellen. Es ist anzunehmen, dass zumindest die großen amerikanischen Dienstleister dies für ihre europäischen Kunden tun werden. Ansonsten findet sich auch ein grober Überblick über wichtigsten amerikanischen Überwachungsvorschriften in der von LiiDU verlinkten TIA-Vorlage für die USA.

Weiterhin sieht Fußnote 12 der SCC vor, dass praktische Erfahrungen die Überzeugung der Parteien legitimieren können, dass dem Importeuer die Einhaltung der SCC möglich ist, wenn während eines hinreichend repräsentativen Zeitrahmens dieser keine Ersuchen von amerikanischen Behörden erhielt. Zu beachten bleibt aber, dass dies nur gilt, wenn die praktischen Erfahrungen durch objektive (also nicht von den Parteien stammende) zuverlässige Informationen gestützt werden können. Fußnote 12 ist insgesamt sehr eng formuliert und damit als strenge Ausnahme zu interpretieren.

Die Kommission scheint damit einen sogenannten „risk-based-approach“ (risikobasierter Ansatz) vorzuschlagen. Der „risk-based-approach“ besagt, dass die Daten dann legitim übertragen wurden, wenn das Risiko eines Zugriffs durch die amerikanischen Behörden marginal ist.

Ob es einen solchen risikobasierten Ansatz unter der DSGVO gibt und ob dieser auch bei Drittlandsübermittlungen gilt, ist äußerst umstritten. Der EDSA scheint diesen abzulehnen und dafür zu plädieren, dass es bereits ausreicht, wenn das Recht des Drittlandes seinen Behörden eine mit unserem Datenschutzverständnis nicht vereinbare Zugriffsmöglichkeit gibt, unabhängig davon, wie wahrscheinlich der Zugriff in der Praxis ist.

Folglich sind der „risk-based-approach“ und Fußnote 12 der SCC mit Vorsicht zu genießen. Die Aufsichtsbehörden werden (wohl) eine Übermittlung ohne ergänzende Garantien (siehe dazu sogleich), einzig gestützt auf den risk-based-approach“, nicht akzeptieren. Ein Beispiel wie eine Evaluierung anhand des risikobasieren Ansatzes aussehen kann, findet man hier (in englischer Sprache).

Ergänzende Garantien, Klausel 14 lit. b lit. iii) SCC:

Hier sollte man nochmal alle Garantien technischer, organisatorischer und vertraglicher Art zur Absicherung der Datenintegrität und Vertraulichkeit auflisten (inklusive der in der SCC beschriebenen). Zu beachten ist, dass im Falle der Übermittlung in die USA (regelmäßig) ergänzende Maßnahmen notwendig sind. Außerdem reichen nach Auffassung des EDSA zusätzliche organisatorische und vertragliche für sich alleine nicht aus, um geeignete Garantien zu schaffen. D.h. es kommt insbesondere auf die getroffenen technischen Maßnahmen, wie Transport- und Datenverschlüsselung an.

 

Abwägung

Hier müssen alle genannten Punkte abgewogen werden und es muss zu einem nachvollziehbaren Ergebnis gekommen werden, warum der Datenimporteuer nicht an der Einhaltung der SCC gehindert ist.

 

Wie wird eine TIA durchgeführt?

Von der Kommission angedacht ist, dass das TIA von den Parteien gemeinsam durchgeführt wird. Die europäische Seite wird eigentlich immer auf die Mithilfe des Vertragspartners angewiesen sein. Außerdem ist davon auszugehen, dass die großen US-Dienstleister vorausgefüllte TIA-Vorlagen erstellen werden und damit dem europäischen Kunden Arbeit abnehmen werden.

Bei dem TIA werden die in Klausel 14 lit. b SCC genannten Aspekte eruiert und abgewogen.

Gleiche Bewertungen für US-Importeure in Bezug auf Klausel 14 lit. b lit. ii) SCC?

Die Antwort der Frage hängt davon ab, ob man den bereits erwähnten risk-based -approach (risikobasierter Ansatz) in dem TIA anwendet.
Ohne risk-based-approach (und der Auffassung der Datenschutzbehörden entsprechend), kommt man für alle US-Unternehmen zu dem Ergebnis, dass eine Übermittlung nur mit ergänzenden (technischen) Garantien zulässig ist.
Unter Anwendung des sogenannten risk-based-approach könnte man zu einem anderen Ergebnis kommen, denn verschiedene Branchen unterliegen wohl einem unterschiedlichen Risiko, Adressat einer geheimdienstlichen Verfügung zu werden. Ein Telekommunikationsunternehmen wird einem höheren Risiko unterliegen als z.B. ein SasS-Unternehmen.

Wie umfangreich muss ein TIA sein?

Das TIA muss auf jeden Fall die Mindestbestandteile von Klausel 14 lit. b SCC enthalten. Da Klausel 14 lit. b SCC schon sehr viele Aspekte umfasst, ist davon auszugehen, dass Zusätze i.d.R. nicht nötig sind.
Die Datenschutzbehörden werden ein strukturiertes TIA erwarten, das den Voraussetzungen von Klausel 14 lit. b SCC genügt und das eine nachvollziehbare Abwägung enthält. Die Aufsichtsbehörden werden bei US-Sachverhalten (wohl) ein besonderes Augenmerk auf die ergänzenden Garantien legen.

Muss man bei Nutzung von Calendly, Hubspot etc. demnächst ein TIA vorhalten?

Antwort: Ja!

Es ist zu prüfen und eine Risikobewertung (Transfer Impact Assessment (TIA)) durchzuführen, ob der Empfänger der Daten durch sein nationales Recht (im Drittland) gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen.

Damit ist ein TIA ist grundsätzlich immer durchzuführen, wenn SCCs abgeschlossen werden.(Ausnahme: wenn ein europäischer Auftragsverarbeiter Daten von einem Drittlands-Verantwortlichen erhält und diese „Drittlands-Daten“ ohne sie mit europäischen Daten zu vermischen an den Verantwortlichen zurücksendet (siehe Antwort auf Frage 44 der „Questions and Answers for the two sets of Standard Contractual Clauses“).

Wer muss die TIA anfertigen?

Die TIA muss von den Parteien des SCC angefertigt werden.

Große US-Auftragsverarbeiter werden voraussichtlich wohl selbst ein TIA ausarbeiten oder den Verantwortlichen bei der Ausarbeitung bestmöglich unterstützen.

Wie umfangreich muss ein solches TIA ausgestaltet sein, um einer Prüfung der Aufsichtsbehörde gerecht zu werden?

Das TIA muss auf jeden Fall die Mindestbestandteile von Klausel 14 lit. b SCC enthalten. Da Klausel 14 lit. b SCC schon sehr viele Aspekte umfasst, ist davon auszugehen, dass Zusätze i.d.R. nicht nötig sind.
Die Datenschutzbehörden werden ein strukturiertes TIA erwarten, das den Voraussetzungen von Klausel 14 lit. b SCC genügt und das eine nachvollziehbare Abwägung enthält. Die Aufsichtsbehörden werden bei US-Sachverhalten (wohl) ein besonderes Augenmerk auf die ergänzenden Garantien legen.

Klausel 14 lit. d) SCC: Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Stand: November 2022

envelopephonemap-markerlocation