Transfer Impact Assessment für eine gelungene Partnerschaft

Haben Sie sich als kleines oder mittleres Unternehmen in Mecklenburg-Vorpommern (MV) dazu entschieden, personenbezogene Daten zu verarbeiten? In diesem Fall tragen Sie die volle Verantwortung für Daten, auf die die Datenschutz-Grundverordnung (DSGVO) stets ihr scharfsichtiges Auge richtet. Möchten Sie mit einem Unternehmen eines Drittstaates eine Partnerschaft eingehen, stößt die Scharfsichtigkeit jedoch an ihre Grenzen. Drittstaaten liegen nämlich außerhalb des Geltungsbereichs der DSGVO.

Wenn Sie jetzt glauben, dass Sie den kryptisch anmutenden Formulierungen der Datenschutz-Grundverordnung durch eine solche Partnerschaft entgehen können, liegen Sie falsch. Der Datenschutz schraubt die zu erfüllenden Ansprüche im Falle einer Übermittlung von personenbezogenen Daten an einen Drittstaat sogar noch höher. Für Sie bedeutet das: Es ist Zeit für eine Datenschutzberatung in MV, denn als Verantwortlicher (Datenexporteur) verarbeiten Sie zwar Daten auf in Europa liegenden Servern, aber der für Sie leistungserbringende Auftragsverarbeiter (Datenimporteur) befindet sich in einem Drittstaat.

Drittstaaten sind alle Staaten, die entweder nicht Mitgliedstaaten der Europäischen Union (EU) sind oder einem Staat der Europäischen Freihandelszone (EFTA) angehören. Aktuell besteht die EFTA aus Norwegen, Island, Liechtenstein und der Schweiz.

Achtung: Eine Datenübermittlung an Drittstaaten liegt nicht nur bei einer physischen Übermittlung von Daten vor, sondern auch bei vertraglich geregelten Zugriffsrechten durch Dritte. Solche Zugriffsrechte zur Datenverarbeitung können beispielsweise mit Unternehmen in den USA bestehen. Beauftragen Sie demnach einen Softwareanbieter in einem Drittstaat

, müssen Sie neben den allgemeinen Vorschriften nach Art. 28 DSGVO (Auftragsverarbeiter) noch zusätzliche Vorsorgemaßnahmen treffen. Warum? Das europäische Datenschutzniveau soll auf diese Weise gemäß den geforderten Garantien der Artikel 44 bis 49 DSGVO gewährleistet werden.

Eine der möglichen Garantien für die Datenübermittlung an Drittstaaten ist die Verwendung von EU- Standardvertragsklauseln (Standard Contractual Clauses – SCC / Art. 46 Abs. 2 c DSGVO). Zu diesen Vertragsvorlagen, die dem Abschluss von Auftragsverarbeitungsverträgen dienen, müssen Sie zusätzlich noch ein Transfer Impact Assessment (TIA) anfertigen. Es handelt sich dabei um eine zentrale Neuerung in den Klauseln der SCC, die die Einhaltung der Klauseln sicherstellen soll. Das ist der Fall, weil diese Klauseln von nationalem Recht abhängig gemacht werden. Dazu kommen gegebenenfalls zusätzliche Maßnahmen. Das heißt: Sie müssen eine eigenständige Analyse für eine wirksame Drittlandsübermittlung anfertigen.

Wenn Sie nun nach festen Mustervorlagen für ein TIA suchen, bleibt Ihre Suche leider erfolglos. Es gibt dazu weder Muster noch feste Standards. Wir vom Datenschutz MV beraten Sie hierzu ausführlich. Welche relevanten Fragen Sie parallel zur SCC beantworten müssen, erläutern wir Ihnen gerne vornehmlich in den Regionen Güstrow, Rostock, Waren und Wismar.

Nach oben scrollen