kostenlos starten

Datentransfer-Folgenabschätzung (Transfer Impact Assessment) nach der DSGVO 

Internationale Datentransfers gehören längst zum operativen Alltag nahezu jedes Unternehmens: Cloud-Services, konzerninterne Systeme, Support-Dienstleistungen oder globales Marketing führen regelmäßig dazu, dass personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden. 
Doch seit dem Urteil „Schrems II“ (EuGH, C-311/18) ist klar: Verantwortliche können sich nicht allein auf Standardvertragsklauseln (SCCs) oder andere Garantien stützen. Sie müssen vielmehr selbst prüfen und dokumentieren, ob das Datenschutzniveau im Empfängerland tatsächlich dem europäischen Standard entspricht. 

Diese Prüfung wird als Datentransfer-Folgenabschätzung oder Transfer Impact Assessment (TIA) bezeichnet. Sie ist heute ein unverzichtbarer Bestandteil jeder Drittlandübermittlung und zugleich eine der anspruchsvollsten Aufgaben im internationalen Datenschutzmanagement. 

1. Rechtliche Grundlage und Entstehung des TIA-Konzepts 

Die DSGVO enthält keinen ausdrücklichen Artikel zur Datentransfer-Folgenabschätzung. 
Ihre Grundlage ergibt sich nach dem Urteil des EuGH aus dem Zusammenspiel von Art. 44, 46 Abs. 1 DSGVO, sowie dem Erwägungsgrund 108 DSGVO. 

Der Europäische Gerichtshof hat klargestellt, dass Datenexporteure bei der Nutzung von Standardvertragsklauseln oder anderen geeigneten Garantien eigenständig prüfen müssen, ob das Schutzniveau im Empfängerland tatsächlich gewährleistet werden kann. 
Ergibt diese Prüfung, dass dortige Gesetze, insbesondere Überwachungsgesetze, den Schutz der Betroffenen untergraben könnten, sind zusätzliche technische oder organisatorische Maßnahmen erforderlich. 

Diese Pflicht zur Prüfung und Dokumentation wird von der Europäischen Kommission und dem Europäischen Datenschutzausschuss (EDSA) als „Transfer Impact Assessment“ bezeichnet. 

2. Ziel und Bedeutung der Datentransfer-Folgenabschätzung 

Das Ziel einer TIA ist es, Risiken für die Rechte und Freiheiten der betroffenen Personen zu erkennen, die durch eine Datenübermittlung in ein Drittland entstehen können und auf dieser Grundlage geeignete Schutzmaßnahmen zu ergreifen. 

Es geht also nicht um eine reine Rechtsanalyse, sondern um eine praktisch orientierte Risikoabwägung: 

  • Welche Daten werden übermittelt? 
  • Wer hat Zugriff darauf? 
  • Welche Gesetze und Behördenzugriffe bestehen im Empfängerland? 
  • Und wie lassen sich eventuelle Risiken technisch oder organisatorisch abmildern? 

Die TIA ist damit funktional vergleichbar mit der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, jedoch spezifisch auf den internationalen Kontext zugeschnitten. 
Während die DSFA das Risiko einer gesamten Verarbeitung bewertet, bezieht sich die TIA auf den Transfermechanismus und das rechtliche Umfeld im Drittland. 

3. Struktur und Ablauf einer Datentransfer-Folgenabschätzung 

Schritt 1: Erfassung und Beschreibung der Datenübermittlungen 

Zunächst müssen alle relevanten Datentransfers systematisch erfasst und dokumentiert werden: 
Welche Kategorien personenbezogener Daten werden wohin übertragen? Wer ist Empfänger und in welcher Funktion werden die Daten empfangen (Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter)? 
Dabei ist auch festzuhalten, ob Daten lediglich zugänglich sind (z. B. Remote Support aus den USA) oder tatsächlich physisch übertragen werden. 

Ein strukturierter Datenflussplan ist hier die Grundlage. Ein zuvor gut pflegtes Verzeichnis der Verarbeitungstätigkeiten kann hierbei helfen. 

Schritt 2: Identifizierung des Übermittlungsmechanismus 

Anschließend wird bestimmt, auf welcher Rechtsgrundlage die Übermittlung erfolgen soll. Hier kommen alle Rechtsgrundlagen aus Kapitel V der DSGVO in Betracht. Eine Rechtsgrundlage gem. Art. 6 oder Art. 9 DSGVO ist niemals alleinige Rechtfertigung für einen Datentransfer in Drittstaaten. Aber auch eine solche Rechtsgrundlage muss für den Verarbeitungsvorgang der Übermittlung neben der Rechtsgrundlage aus Kapitel V DSGVO bestehen. 

 Nach der geltenden Rechtslage ist eine Datentransfer-Folgenabschätzung (TIA) immer dann erforderlich, wenn eine Datenübermittlung auf Grundlage von Art. 46 DSGVO erfolgt – also etwa unter Verwendung von Standardvertragsklauseln (SCCs) oder verbindlichen internen Datenschutzvorschriften (BCRs). 

In diesen Fällen muss der Datenexporteur eigenständig prüfen und dokumentieren, ob im Empfängerland ein der EU im Wesentlichen gleichwertiges Datenschutzniveau besteht. 

Bei Übermittlungen auf Grundlage eines Angemessenheitsbeschlusses nach Art. 45 DSGVO ist eine TIA nicht erforderlich, da die Europäische Kommission das angemessene Schutzniveau bereits festgestellt hat. 

Aus Gründen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und angesichts möglicher rechtlicher Unsicherheiten – insbesondere im Hinblick auf die Bestandskraft des EU-US Data Privacy Frameworks – kann jedoch eine kurze dokumentarische Prüfung sinnvoll sein. 

Erfolgt eine Übermittlung auf Grundlage einer Ausnahme nach Art. 49 DSGVO, sollte ebenfalls eine TIA oder zumindest eine strukturierte Risikoabwägung vorgenommen werden, um zu dokumentieren, dass keine andere geeignete Übermittlungsgrundlage bestand und dass die Voraussetzungen der Ausnahme tatsächlich erfüllt sind. 

Schritt 3: Analyse des rechtlichen Umfelds im Empfängerland 

Dieser Schritt ist das Herzstück jeder TIA. 
Hier wird untersucht, ob im Empfängerland Gesetze oder Praktiken existieren, die den Datenschutz gefährden könnten, etwa weitreichende Überwachungsbefugnisse von Sicherheitsbehörden oder fehlende Rechtsbehelfe für betroffene Personen. 

In der Praxis werden hierzu häufig offizielle Quellen genutzt, etwa: 

  • die Länderberichte des Europäischen Datenschutzausschusses, 
  • die Berichte der Europäischen Kommission zu Angemessenheitsentscheidungen, 
  • sowie rechtswissenschaftliche Analysen oder FISA/CLOUD-Act-Reports für die USA. 

Die Bewertung erfolgt idealerweise nach einem einheitlichen Risikomaßstab, z. B. „niedrig, moderat, hoch“. 
Bei hohen Risiken müssen zwingend zusätzliche Maßnahmen vorgesehen werden. 

Schritt 4: Bewertung der tatsächlichen Zugriffsmöglichkeiten 

Neben dem formellen Rechtsrahmen ist zu prüfen, ob Behörden im Empfängerland realistischen Zugriff auf die übertragenen Daten haben. 
Ein Beispiel: Wenn ein US-Dienstleister personenbezogene Daten ausschließlich Ende-zu-Ende-verschlüsselt verarbeitet und keinen Zugriff auf Klartextdaten besitzt, ist das Risiko faktisch gering. selbst wenn US-Gesetze theoretisch Zugriff erlauben würden. 

Hier zeigt sich, dass das TIA sowohl juristische als auch technische Expertise erfordert. 
Die Beurteilung erfolgt immer einzelfallbezogen und kann je nach Datenkategorie (z. B. Mitarbeiterdaten, Gesundheitsdaten, Nutzungsdaten) variieren. 

Schritt 5: Festlegung ergänzender Maßnahmen 

Wenn das Schutzniveau im Drittland nicht ausreicht, sind zusätzliche Maßnahmen erforderlich. 
Diese können technischer, organisatorischer oder vertraglicher Natur sein, etwa: 

  • Technische Maßnahmen: Verschlüsselung, Pseudonymisierung, Datenminimierung, Segmentierung, Tokenisierung; 
  • Organisatorische Maßnahmen: Zugriffs- und Berechtigungskonzepte, interne Richtlinien, Schulungen; 
  • Vertragliche Zusicherungen: Verpflichtung des Empfängers, behördliche Auskunftsersuchen anzufechten oder Betroffene zu informieren. 

Technische Maßnahmen haben hierbei Vorrang vor vertraglichen, insbesondere wenn die Daten vor staatlichem Zugriff in den Drittstaaten geschützt werden sollen.  

Schritt 6: Dokumentation und Rechenschaft 

Abschließend müssen alle Ergebnisse, Bewertungen und Entscheidungen vollständig dokumentiert werden. 
Die TIA dient als Nachweis im Sinne des Rechenschaftsprinzips (Art. 5 Abs. 2 DSGVO). 
Sie sollte nachvollziehbar darlegen: 

  • welche Risiken identifiziert wurden, 
  • welche Schutzmaßnahmen ergriffen wurden, 
  • und warum der Datentransfer letztlich als zulässig angesehen wird. 

Diese Dokumentation kann von Aufsichtsbehörden angefordert werden und sollte daher jederzeit aktuell und überprüfbar sein. 

4. Schnittstellen zu anderen Datenschutzinstrumenten 

Die Datentransfer-Folgenabschätzung steht nicht isoliert, sondern ergänzt andere Datenschutzinstrumente: 

  • Sie vertieft die Risikoanalyse der Datenschutz-Folgenabschätzung (Art. 35 DSGVO), wenn diese internationale Übermittlungen betrifft. 
  • Sie ist Teil des TOM-Konzepts, da technische und organisatorische Maßnahmen integraler Bestandteil des Schutzes sind. 
  • Sie bildet eine Grundlage für das Vertragsmanagement, insbesondere beim Einsatz externer Auftragsverarbeiter. 

Ein konsistentes Datenschutz-Managementsystem sollte daher sicherstellen, dass TIA-Ergebnisse mit den übrigen Compliance-Dokumenten verzahnt sind. 

Unser Tipp:

Die Durchführung einer TIA stellt Verantwortliche und Datenschutzbeauftrage regelmäßig vor große Herausforderungen. In PLANIT // PRIMA kann eine TIA anhand einer etablierten und benutzerfreundlichen Checkliste einfach erstellt werden.  Jetzt Beratungsgespräch vereinbaren!

Weitere Beiträge

Datentransfer-Folgenabschätzung (Transfer Impact Assessment) nach der DSGVO 

Internationale Datentransfers gehören längst zum operativen Alltag nahezu jedes Unternehmens: Cloud-Services, konzerninterne Systeme, Support-Dienstleistungen

Datenübermittlung in die USA und andere Drittländer

Die Übermittlung personenbezogener Daten in sogenannte „Drittländer“, also Staaten außerhalb der Europäischen Union (EU)

Die juristische Zeitenwende: Wie Jurist:innen 2026 arbeiten und warum KI dabei Ihr wichtigster Partner ist 

Der Rechtsmarkt steht nicht mehr vor einer digitalen Transformation. War 2024 noch das Jahr

Wer darf Datenschutzbeauftragter werden? – Anforderungen nach Art. 37 Abs. 5 DSGVO  

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet viele Unternehmen und Behörden zur Benennung eines Datenschutzbeauftragten (DSB). Doch

Datenschutz im Bewerbungsverfahren 

Informationspflichten, Löschkonzept, Betroffenenrechte und aktuelle Rechtsprechung des BAG Das Bewerbungsverfahren ist ein sensibler Schnittpunkt

Datenschutz und IT-Sicherheit in der Praxis: Der Mensch als zentrales Risiko 

Der wichtigste – und oft größte – Schwachpunkt in der IT-Sicherheit und im Datenschutz

Datenschutz bei Fotoaufnahmen: So navigieren Unternehmen sicher durch die rechtlichen Stolperfallen von DSGVO und Recht am eigenen Bild 

Fotos sind aus der modernen Unternehmenskommunikation, dem unverzichtbaren Employer Branding und einer professionellen Außendarstellung nicht mehr

Der Digitale Omnibus: Was Geschäftsführer und Datenschützer jetzt über die EU-Gesetzesreform wissen müssen 

Das europäische Digitalrecht ist seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in stetigem Wandel. Mit

Datenschutzsoftware wechseln – Visualisierung des Umstiegs von einer alten zu einer modernen Datenschutzlösung

Datenschutzsoftware wechseln – so gelingt der Umstieg ohne Chaos

Viele Unternehmen merken irgendwann: Die aktuelle Datenschutzsoftware passt nicht mehr. Prozesse sind unübersichtlich, Funktionen

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024