TIA-Checkliste für Drittlandsübermittlungen

Setzen Sie in Ihrem Unternehmen externe Dienstleister ein, die ihren Sitz außerhalb der Europäischen Union haben? Verarbeiten diese Unternehmen personenbezogen Daten?

Problem: unsichere Drittländer

Die aktuellen datenschutzrechtlichen Anforderungen sind in diesem Bereich derzeit sehr umfangreich. Ein einfacher Vertrag zur Auftragsverarbeitung (AV-Vertrag), wie er beispielsweise mit Dienstleistern innerhalb der Europäischen Union geschlossen wird, reicht leider nicht aus. Erforderlich ist eine genaue Prüfung der Art. 44 ff. DSGVO.

Angemessenheitsbeschluss

Besteht für das Land, in dem der Dienstleister seinen Sitz hat, ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO), ist die Sache relativ einfach. Die Liste der Länder, für die ein Angemessenheitsbeschluss veröffentlicht wurde, ist abrufbar unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de. Darunter fallen beispielsweise:

  • Kanada (Teile davon)
  • Schweiz
  • Großbritannien

Standardvertragsklauseln (Standard Contractual Clauses – SCC)

In den überwiegenden Fällen müssen Sie mit Ihrem Dienstleister die sog. EU-Standardvertragsklauseln vereinbaren. Eine einfache Unterzeichnung eines vorgefertigten Mustervertrags reicht allerdings leider nicht aus. Klausel 14 des Mustervertrags sieht vor, dass die Parteien ein sog. „Transfer Impact Assessment“ (TIA) durchführen und dies zu einem positiven Ergebnis kommt. Die groben Rahmenbedingungen sind zwar in Klausel 14 aufgeführt, allerdings keine ausfüllbare Checkliste.

Transfer Impact Assessment (TIA) Muster

Unternehmen warten daher sehnlichst darauf, dass Datenschutzexperten Muster-Checklisten für die TIA Prüfung veröffentlichen. Bisher wurden u.a. diese Vorlagen veröffentlicht:

BfDI – Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Der BfDI hat ein Prüfschema Drittstaatentransfer im Stil eines Entscheidungsbaumes veröffentlicht.

GDD – Gesellschaft für Datenschutz und Datensicherheit e.V.

Der GDD hat eine Praxishilfe zu den datenschutzrechtlichen Anforderungen an internationale Datentransfers veröffentlicht. Diese besteht aus 22 DIN A 4 Seiten und liegt im pdf-Format als kostenfreier Download zur Verfügung:

OneTrust

OneTrust berät Unternehmen in den Bereichen Datenschutz, Sicherheit, Data Governance und Compliance und bietet auch Softwarelösungen für diese Bereiche an.

aepb – agencia espanola proteccion datos

Die spanische Aufsichtsbehörde für den Datenschutz veröffentlichte im Juni 2021 ein kostenfreies pdf zum Thema „Risk Management und Impact Assessment in the Processing of Personal Data. Gleichzeitig wurde eine Excelliste veröffentlich, um eine konkrete Prüfung sogleich strukturiert zu dokumentieren.

Die niederländische Regierung

Ein Data Protection Impact Assessment speziell für den Einsatz von Microsoft Teams in Kombination mit OneDrive, Sharepoint Online und Azure Active Directory veröffentlichte die niederländische Regierung zum Download.

Rechtsanwalt Rosenthal

Der schweizer Rechtsanwalt veröffentlichte eine Excelliste, um die Prüfung strukturiert durchzuführen und zu dokumentieren. Darin befinden sich mittlerweile auch einige Beispiele von durchgeführten TIA-Prüfungen zur Veranschaulichung.

preeco | datenschutz und informationssicherheit

Der Softwarehersteller preeco integriert seit Neuestem in seine o.g. Software ein Modul, mit dem TIA-Prüfungen durchgeführt werden können. Die Software ist kostenpflichtig. Eine kostenfreie Demo ist verfügbar.

Atlassian

Der Softwarehersteller Atlassian stellt für seine Anwender ein bereits vorausgefülltes Assessment öffentlich zur Verfügung.

securiserv

Bild von StockSnap auf Pixabay

Teilen Sie diesen Beitrag auf Social-Media:

Marc Oliver Giel

Benötigen Sie Unterstützung?

Melden Sie sich mit Ihrem Anliegen - wir unterstützen Sie bei Ihrer Datenschutz-Herausforderung

Weitere Beiträge

Scroll to Top