Loading…
Das Urteil des EuGH vom 16. Juli 2020 in der Rechtssache Schrems II erklärte das EU-US Privacy Shield für ungültig und stellte klar, dass Standardvertragsklauseln, obwohl grundsätzlich weiterhin gültig, nicht herangezogen werden können, wenn das Recht des Bestimmungslandes den von ihnen gebotenen Schutz untergräbt. Verantwortliche und Auftragsverarbeiter müssen für jede Übermittlung eine Transfer-Folgenabschätzung (TIA) durchführen.
Die Empfehlungen 01/2020 des EDPB legen eine sechsstufige Methodik fest. Gut durchgeführt, dokumentiert eine TIA die Übermittlung, das Rechtsregime im Bestimmungsland, die angewandten ergänzenden Maßnahmen und Ihre Schlussfolgerung — belastbar im Audit. Schlecht durchgeführt, ist sie eine Häkchen-Übung, die unter der Durchsetzung zerbröselt.
Das EU-US Data Privacy Framework (DPF) von 2023 stellte die Angemessenheit für Übermittlungen an zertifizierte US-Importeure wieder her. Es deckt jedoch nicht alle Übermittlungen ab, kann erneut angefochten werden (Schrems III ist eingereicht), und die meisten Nicht-US-Übermittlungen stützen sich weiterhin auf SCCs, die eine TIA erfordern.
Die Rechtssache (C-311/18) hob das Privacy Shield auf und warnte die Nutzer von SCCs. Der EuGH stellte fest, dass:
Praktisch gesehen: SCCs allein reichen nicht aus. Die TIA ist der dokumentarische Nachweis, dass Sie die Arbeit geleistet haben.
Sie können keine TIA für etwas durchführen, von dem Sie nichts wissen. Inventarisieren Sie:
Nutzen Sie Ihr ROPA nach Artikel 30 als Ausgangspunkt, prüfen Sie es aber gegen die tatsächliche Infrastruktur. Cloud-Anbieter replizieren oder weichen standardmäßig häufig auf Nicht-EWR-Regionen aus — dies zählt als Übermittlung.
Das Herzstück der TIA. Bewerten Sie für jedes Bestimmungsland:
Die EDPB-Empfehlung 02/2020 legt den Rahmen der „wesentlichen Garantien“ fest. Für US-Übermittlungen sind FISA Section 702 und Executive Order 12333 die zentralen Bedenken. Für Nicht-US: Bewerten Sie die Gesetze des Landes spezifisch — viele TIAs setzen für risikoarme Länder ohne Prüfung standardmäßig ein generisches „angemessen“ an, was genau das ist, was Aufsichtsbehörden bemängeln.
Drei Kategorien. Wenden Sie jede in Kombination an:
Auslöser für eine Neubewertung:
Am 10. Juli 2023 erließ die Europäische Kommission einen Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF). Für Übermittlungen an US-ansässige Unternehmen, die sich für das DPF zertifiziert haben, entspricht die Rechtswirkung einem vollständigen Angemessenheitsbeschluss — keine SCCs, keine TIA für die DPF-zertifizierte Übermittlung erforderlich.
Praktischer Rat: Wo Ihr US-Importeur DPF-zertifiziert ist, stützen Sie sich für diese Übermittlung auf die DPF-Angemessenheit, halten Sie aber im Hintergrund abgeschlossene SCCs vor und führen Sie zur Zukunftssicherung dennoch TIAs durch.
Pro "Übermittlungsszenario" — typischerweise pro Bestimmungsland + pro Importeur. Sie können Übermittlungen an denselben Importeur, die ähnliche Daten betreffen, in einer TIA zusammenfassen. Die Analyse des Landesrechts ist für Übermittlungen in dasselbe Land wiederverwendbar.
Nein — der EDSA hat klargestellt (Leitlinien 05/2021), dass Übermittlungen im Rahmen des extraterritorialen Anwendungsbereichs nach Artikel 3 Absatz 2 weiterhin die Einhaltung des Übermittlungsmechanismus nach Kapitel V erfordern. Nutzen Sie Artikel 3 nicht als Schlupfloch.
Rechtlich ja, doch eine Übermittlung stark verschlüsselter Daten, bei der der Importeur keinen entschlüsselten Zugriff hat, ist eine geradezu lehrbuchhafte ergänzende Maßnahme. Viele TIAs kommen genau auf dieser Grundlage zu dem Schluss, dass die Übermittlung erfolgen kann.
Ein wichtiger Datenpunkt, aber nicht ausschlaggebend. Der EDSA hat klargestellt: Subjektive Praxis kann die Gleichwertigkeit der Rechtsordnung nicht ersetzen. Dokumentieren Sie die historische Null-Ersuchen-Bilanz als unterstützenden Nachweis, stützen Sie die TIA jedoch nicht darauf.
Ja — das ist die ausdrückliche Schlussfolgerung des EDSA in Schritt 6. In der Praxis benachrichtigen viele Verantwortliche zusätzlich (oder stattdessen) ihre Aufsichtsbehörde, wie es Klausel 14(f) der SCCs vorschreibt. Dokumentieren Sie die Entscheidung sorgfältig.
Wir erstellen TIAs für Ihre Übermittlungsszenarien — ausgefüllte SCC-Module, spezifizierte ergänzende Maßnahmen, mit Zitaten belegte Analyse des Landesrechts. Prüfungsbereit in 2–4 Wochen pro Szenario.