TIA-Check­lis­te für Dritt­lands­über­mitt­lun­gen

Set­zen Sie in Ihrem Unter­neh­men exter­ne Dienst­leis­ter ein, die ihren Sitz außer­halb der Euro­päi­schen Uni­on haben? Ver­ar­bei­ten die­se Unter­neh­men per­so­nen­be­zo­gen Daten?

Pro­blem: unsi­che­re Dritt­län­der

Die aktu­el­len daten­schutz­recht­li­chen Anfor­de­run­gen sind in die­sem Bereich der­zeit sehr umfang­reich. Ein ein­fa­cher Ver­trag zur Auf­trags­ver­ar­bei­tung (AV-Ver­trag), wie er bei­spiels­wei­se mit Dienst­leis­tern inner­halb der Euro­päi­schen Uni­on geschlos­sen wird, reicht lei­der nicht aus. Erfor­der­lich ist eine genaue Prü­fung der Art. 44 ff. DSGVO.

Ange­mes­sen­heits­be­schluss

Besteht für das Land, in dem der Dienst­leis­ter sei­nen Sitz hat, ein Ange­mes­sen­heits­be­schluss der Euro­päi­schen Kom­mis­si­on (Art. 45 DSGVO), ist die Sache rela­tiv ein­fach. Die Lis­te der Län­der, für die ein Ange­mes­sen­heits­be­schluss ver­öf­fent­licht wur­de, ist abruf­bar unter: https://​ec​.euro​pa​.eu/​i​n​f​o​/​l​a​w​/​l​a​w​-​t​o​p​i​c​/​d​a​t​a​-​p​r​o​t​e​c​t​i​o​n​/​i​n​t​e​r​n​a​t​i​o​n​a​l​-​d​i​m​e​n​s​i​o​n​-​d​a​t​a​-​p​r​o​t​e​c​t​i​o​n​/​a​d​e​q​u​a​c​y​-​d​e​c​i​s​i​o​n​s_de. Dar­un­ter fal­len bei­spiels­wei­se:

  • Kana­da (Tei­le davon)
  • Schweiz
  • Groß­bri­tan­ni­en

Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses — SCC)

In den über­wie­gen­den Fäl­len müs­sen Sie mit Ihrem Dienst­leis­ter die sog. EU-Stan­dard­ver­trags­klau­seln ver­ein­ba­ren. Eine ein­fa­che Unter­zeich­nung eines vor­ge­fer­tig­ten Mus­ter­ver­trags reicht aller­dings lei­der nicht aus. Klau­sel 14 des Mus­ter­ver­trags sieht vor, dass die Par­tei­en ein sog. „Trans­fer Impact Assess­ment“ (TIA) durch­füh­ren und dies zu einem posi­ti­ven Ergeb­nis kommt. Die gro­ben Rah­men­be­din­gun­gen sind zwar in Klau­sel 14 auf­ge­führt, aller­dings kei­ne aus­füll­ba­re Check­lis­te.

Trans­fer Impact Assess­ment (TIA) Mus­ter

Unter­neh­men war­ten daher sehn­lichst dar­auf, dass Daten­schutz­ex­per­ten Mus­ter-Check­lis­ten für die TIA Prü­fung ver­öf­fent­li­chen. Bis­her wur­den u.a. die­se Vor­la­gen ver­öf­fent­licht:

All­ge­mei­ne Mus­ter

BfDI — Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit

Der BfDI hat ein Prüf­sche­ma Dritt­staa­ten­trans­fer im Stil eines Ent­schei­dungs­bau­mes ver­öf­fent­licht.

GDD — Gesell­schaft für Daten­schutz und Daten­si­cher­heit e.V.

Der GDD hat eine Pra­xis­hil­fe zu den daten­schutz­recht­li­chen Anfor­de­run­gen an inter­na­tio­na­le Daten­trans­fers ver­öf­fent­licht. Die­se besteht aus 22 DIN A 4 Sei­ten und liegt im pdf-For­mat als kos­ten­frei­er Down­load zur Ver­fü­gung:

One­Trust

One­Trust berät Unter­neh­men in den Berei­chen Daten­schutz, Sicher­heit, Data Gover­nan­ce und Com­pli­ance und bie­tet auch Soft­ware­lö­sun­gen für die­se Berei­che an.

aepb — agen­cia espa­nola pro­tecci­on datos

Die spa­ni­sche Auf­sichts­be­hör­de für den Daten­schutz ver­öf­fent­lich­te im Juni 2021 ein kos­ten­frei­es pdf zum The­ma „Risk Manage­ment und Impact Assess­ment in the Pro­ces­sing of Per­so­nal Data. Gleich­zei­tig wur­de eine Excel­lis­te ver­öf­fent­lich, um eine kon­kre­te Prü­fung sogleich struk­tu­riert zu doku­men­tie­ren.

Rechts­an­walt Rosen­thal

Der schwei­zer Rechts­an­walt ver­öf­fent­lich­te eine Excel­lis­te, um die Prü­fung struk­tu­riert durch­zu­füh­ren und zu doku­men­tie­ren. Dar­in befin­den sich mitt­ler­wei­le auch eini­ge Bei­spie­le von durch­ge­führ­ten TIA-Prü­fun­gen zur Ver­an­schau­li­chung.

pree­co | daten­schutz und infor­ma­ti­ons­si­cher­heit

Der Soft­ware­her­stel­ler pree­co inte­griert seit Neu­es­tem in sei­ne o.g. Soft­ware ein Modul, mit dem TIA-Prü­fun­gen durch­ge­führt wer­den kön­nen. Die Soft­ware ist kos­ten­pflich­tig. Eine kos­ten­freie Demo ist ver­füg­bar.

secu­ri­serv

Mus­ter für spe­zi­el­le Anwen­dungs­be­rei­che

Ado­be

Ado­be Inc. ver­öf­fent­licht auf sei­nen Web­sei­ten eine Infor­ma­ti­on zur Nut­zung ihrer Pro­duk­te. Stand des Doku­ments ist unklar.

Ama­zon Web Ser­vice

Ama­zon Web Ser­vices, Inc. hat für den Ein­satz von AWS im Sep­tem­ber 2021 eine Vor­la­ge bereit­ge­stellt.

Atlas­si­an

Der Soft­ware­her­stel­ler Atlas­si­an stellt für sei­ne Anwen­der ein bereits vor­aus­ge­füll­tes Assess­ment öffent­lich zur Ver­fü­gung.

Micro­soft (Nie­der­län­di­sche Regie­rung)

Ein Data Pro­tec­tion Impact Assess­ment spe­zi­ell für den Ein­satz von Micro­soft Teams in Kom­bi­na­ti­on mit One­Dri­ve, Share­point Online und Azu­re Acti­ve Direc­to­ry ver­öf­fent­lich­te die nie­der­län­di­sche Regie­rung zum Down­load.

Bild von StockS­nap auf Pix­a­bay

Hat Ihnen der Beitrag gefallen? Wurden Ihre Fragen vollständig beantwortet?

Dann teilen Sie den Beitrag gerne mit Ihren Bekannten, Freunden und Kollegen!