Wie Sie ein Transfer Impact Assessment durchführen – Eine Schritt-für-Schritt-Anleitung für Unternehmensgruppen mit mehreren Einheiten
Seit Schrems II erfordert jeder internationale Datentransfer ein dokumentiertes Transfer Impact Assessment. Doch wenn Sie Datentransfers über Dutzende von Tochtergesellschaften, Anbietern und Rechtsordnungen hinweg verwalten, gerät der Prozess schnell aus den Fugen.
Dieser Leitfaden liefert Ihnen die genaue Methodik – und eine kostenlose Vorlage, mit der Sie sie noch heute umsetzen.
Kostenlose TIA-Vorlage & Checkliste herunterladenWarum Transfer Impact Assessments zu den schwierigsten Teilen Ihres Datenschutzprogramms gehören
Der EDSA hat Ihnen ein sechsstufiges Rahmenwerk an die Hand gegeben. Was er Ihnen nicht gegeben hat, ist eine Möglichkeit, es über Dutzende von Einheiten, Hunderte von Anbietern und sich ständig wandelnde regulatorische Rahmenbedingungen hinweg zu steuern.
200–500+
Internationale Transferbeziehungen, typisch für Organisationen mit über 50 Einheiten
Basierend auf Priverion-Plattformdaten bei Unternehmenskunden mit mehreren Einheiten
Auslegungslücken in den EDSA-Leitlinien
Die EDSA-Empfehlungen 01/2020 skizzieren eine klare sechsstufige Methodik – in der Theorie. In der Praxis erfordert allein Schritt 3 (die Bewertung der «Gesetze und Praxis» der Empfängerländer) eine juristische Analyse, die eine Doktorarbeit füllen könnte. Wenn Ihre Organisation Daten über Auftragsverarbeiter und Unterauftragsverarbeiter in 15 verschiedene Rechtsordnungen übermittelt, verlangt jede Bewertung eine eigene Recherche: Überwachungsgesetze, Rahmenbedingungen für staatlichen Zugriff, Rechtsstaatlichkeitsindikatoren. Es gibt keine zentrale Datenbank. Keine standardisierte Bewertung. Jedes TIA wird zu einem massgeschneiderten juristischen Rechercheprojekt – und die meisten Datenschutzbeauftragten sind nicht als juristische Rechercheteams aufgestellt.
30–40 Std.
Stunden, die ein einzelner Datenschutzbeauftragter ohne strukturiertes System pro TIA aufwenden kann
Basierend auf Gesprächen mit Fachleuten und Priverion-Onboarding-Bewertungen bei Kunden
Die Tabellenkalkulationsfalle bei zunehmender Grösse
Für einen einzelnen Transfer ist ein TIA handhabbar – selbst in einem Word-Dokument. Aber gruppenweit? Die meisten Teams erstellen einmalige Bewertungen in Tabellen, ohne Verbindung zu ihrem Verarbeitungsverzeichnis, ohne Rezertifizierungs-Workflow und ohne Möglichkeit nachzuvollziehen, welche TIAs betroffen sind, wenn ein Anbieter Unterauftragsverarbeiter wechselt oder sich der Angemessenheitsstatus eines Landes ändert. Das Ergebnis: Bewertungen, die im Moment ihrer Fertigstellung bereits veraltet sind, und ein Datenschutzbeauftragter, der in Dokumentationspflege versinkt, statt strategische Datenschutzarbeit zu leisten. Das ist kein Prozess – das ist ein Hamsterrad.
2023–24
Jahre aktiver Durchsetzung gegen unzureichende Transferdokumentation durch europäische Datenschutzbehörden
Durchsetzungsmassnahmen von Datenschutzbehörden in Deutschland, Frankreich und Österreich gegen Lücken bei der Transfer-Compliance
Durchsetzung ist nicht mehr nur theoretisch
Aufsichtsbehörden in Deutschland, Frankreich und Österreich gehen über die allgemeine DSGVO-Durchsetzung hinaus und nehmen gezielt unzureichende Transferdokumentation ins Visier. Die Zeiten von «Wir haben SCC, wir sind abgesichert» sind vorbei. Datenschutzbehörden erwarten heute dokumentierte TIAs, die eine echte Bewertung des Rechts im Empfängerland belegen – keine reine Pflichtübung. Für Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, bedeutet das: Die Datentransfers jeder Tochtergesellschaft sind eine potenzielle Prüffläche. Eine Dokumentationslücke einer einzelnen Einheit wird zum regulatorischen Risiko der gesamten Gruppe.
Wie Sie ein Transfer Impact Assessment durchführen: Schritt für Schritt
Diese Methodik folgt den EDSA-Empfehlungen 01/2020 zu zusätzlichen Massnahmen, angepasst für Organisationen, die Datentransfers über mehrere Einheiten hinweg verwalten. Jeder Schritt enthält praxisnahe Hinweise für die gruppenweite Umsetzung.
Schritt 1 von 6
Erfassen Sie Ihre Datentransfers
Bevor Sie Risiken bewerten können, benötigen Sie ein vollständiges Inventar jedes internationalen Datentransfers in Ihrer Gruppe. Das bedeutet, nicht nur direkte Übermittlungen in Drittländer zu erfassen, sondern auch Weiterübermittlungen durch Auftragsverarbeiter und Unterauftragsverarbeiter – über jede Tochtergesellschaft hinweg.
Dokumentieren Sie für jeden Transfer:
- die übermittelnde Einheit und die empfangende Einheit oder den Auftragsverarbeiter
- die Kategorien der übermittelten personenbezogenen Daten
- den Zweck und die Rechtsgrundlage des Transfers
- das Zielland und etwaige Ziele von Weiterübermittlungen
- den vorhandenen Transfermechanismus (SCC, BCR, Angemessenheitsbeschluss, Ausnahmeregelung)
Tipp für mehrere Einheiten
Hier zahlt sich gruppenweites Management aus. Das einheitsübergreifende Daten-Mapping von Priverion verknüpft Datentransfers automatisch mit Ihren Einträgen im Verarbeitungsverzeichnis. Wechselt ein Anbieter seine Unterauftragsverarbeiter, wird das TIA jeder betroffenen Einheit zur Überprüfung markiert – nicht nur dasjenige der Einheit, die den Vertrag unterzeichnet hat.
Schritt 2 von 6
Überprüfen Sie Ihren Transfermechanismus
Stellen Sie sicher, dass sich jeder Transfer auf einen gültigen Rechtsmechanismus nach Kapitel V der DSGVO stützt. Seit Schrems II reichen Standardvertragsklauseln allein nicht mehr aus – sie bleiben aber für die meisten Organisationen der Ausgangspunkt.
Überprüfen Sie für jeden Transfer:
- welche Version der SCC vorliegt (die modularen Klauseln von 2021 sollten inzwischen vollständig übernommen sein)
- ob das richtige Modul gilt (Verantwortlicher zu Verantwortlichem, Verantwortlicher zu Auftragsverarbeiter, Auftragsverarbeiter zu Auftragsverarbeiter oder Auftragsverarbeiter zu Verantwortlichem)
- ob BCR genehmigt wurden, sofern zutreffend
- ob für das Zielland ein Angemessenheitsbeschluss gilt – und ob er das konkrete Transferszenario abdeckt
Häufige Stolperfalle
Viele Organisationen gehen davon aus, dass das EU-US Data Privacy Framework alle US-Transfers abdeckt. Es gilt nur für Übermittlungen an zertifizierte Organisationen, die auf der Website des Data Privacy Framework gelistet sind. Ist Ihr US-Anbieter nicht zertifiziert, benötigen Sie weiterhin SCC und ein vollständiges TIA.
Schritt 3 von 6
Bewerten Sie die Rechtslage und Praxis des Empfängerlandes
Dies ist der rechtlich anspruchsvollste Schritt – und derjenige, bei dem die meisten Organisationen Schwierigkeiten haben. Sie müssen beurteilen, ob die Gesetze und die Praxis des Empfängerlandes ein Schutzniveau gewährleisten, das dem in der EU garantierten «im Wesentlichen gleichwertig» ist.
Zentrale Bewertungsbereiche sind unter anderem:
- Gesetze zu staatlicher Überwachung und massenhafter Datenerfassung (z. B. FISA Section 702 für die USA, RIPA für das Vereinigte Königreich)
- Zugriff von Strafverfolgungsbehörden auf personenbezogene Daten – unter welchen Bedingungen und mit welcher Massnahme
- Existenz und Wirksamkeit unabhängiger Datenschutzbehörden
- gerichtliche Rechtsschutzmechanismen, die betroffenen Personen in der EU zur Verfügung stehen
- Rechtsstaatlichkeitsindikatoren und Einhaltung internationaler Menschenrechtsinstrumente
Zu konsultierende Quellen: EDSA-Referenzdokumente zur Angemessenheit, EuGH-Rechtsprechung, Berichte nationaler Datenschutzbehörden, Freedom-House-Bewertungen sowie die Gesetzgebung des Empfängerlandes selbst.
Wie Priverion hilft
Die KI-gestützte TIA-Erstellung von Priverion füllt länderspezifische Rechtsbewertungen anhand öffentlich verfügbarer regulatorischer Quellen vor. Die KI unterstützt, indem sie relevante Rechtsrahmen und Risikoindikatoren aufzeigt – die endgültige Bewertung bleibt jedoch immer Ihre. Die KI unterstützt, Menschen entscheiden.
Schritt 4 von 6
Identifizieren und ergreifen Sie zusätzliche Massnahmen
Zeigt Ihre Bewertung in Schritt 3, dass die Gesetze des Empfängerlandes keinen im Wesentlichen gleichwertigen Schutz bieten, müssen Sie zusätzliche Massnahmen – technische, organisatorische oder vertragliche – umsetzen, die die Lücke schliessen.
Beispiele für zusätzliche Massnahmen:
- Technisch: Verschlüsselung bei Übertragung und im Ruhezustand, bei der der Datenimporteur nicht auf die Entschlüsselungsschlüssel zugreifen kann; Pseudonymisierung, bei der die Zuordnungstabelle in der EU verbleibt; aufgeteilte Verarbeitung über mehrere Rechtsordnungen hinweg
- Organisatorisch: strenge Zugriffskontrollen, die begrenzen, wer im Empfängerland auf personenbezogene Daten zugreifen kann; interne Richtlinien zu behördlichen Zugriffsanfragen; Selbstverpflichtungen zur Transparenzberichterstattung
- Vertraglich: erweiterte Auditrechte; Pflicht, behördliche Zugriffsanfragen anzufechten; Benachrichtigungspflichten, die über die Anforderungen der SCC hinausgehen
Seien Sie ehrlich zu den Grenzen
Nicht jede Transferlücke lässt sich schliessen. Wenn die Gesetze des Empfängerlandes den Datenimporteur dazu zwingen, behördlichen Zugriff so zu gewähren, dass Verschlüsselung oder vertragliche Schutzmassnahmen ausgehebelt werden, ist keine zusätzliche Massnahme ausreichend. In solchen Fällen darf der Transfer nicht erfolgen – und Ihr TIA sollte diese Schlussfolgerung ausdrücklich dokumentieren.
Schritt 5 von 6
Setzen Sie die von Ihrem Transfermechanismus geforderten Verfahrensschritte um
Je nach den von Ihnen ergriffenen zusätzlichen Massnahmen müssen Sie unter Umständen formelle Verfahrensschritte unternehmen, um sie in Kraft zu setzen. Dies variiert je nach Transfermechanismus:
- Für SCC mit zusätzlichen Massnahmen: geänderte oder ergänzende Vertragsklauseln mit dem Datenimporteur abschliessen
- Für BCR mit zusätzlichen Massnahmen: sicherstellen, dass die Änderungen in der BCR-Dokumentation berücksichtigt werden, und bei Bedarf eine erneute Genehmigung Ihrer federführenden Aufsichtsbehörde einholen
- Für technische Massnahmen: die technischen Konfigurationen umsetzen und dokumentieren, einschliesslich Verschlüsselungsstandards, Schlüsselverwaltungspraktiken und Zugriffskontrollarchitekturen
Dokumentieren Sie alles. Die hier unternommenen Verfahrensschritte bilden den Kern Ihres Prüfpfads – und die Nachweise, die Sie einer Aufsichtsbehörde vorlegen, wenn diese Ihre TIA-Dokumentation einsehen möchte.
Schritt 6 von 6
Beobachten und überprüfen Sie in angemessenen Abständen erneut
Ein TIA ist keine einmalige Übung. Sie sind verpflichtet, Entwicklungen im rechtlichen Rahmen des Empfängerlandes zu beobachten und Ihre Bewertung bei jeder wesentlichen Änderung – oder in regelmässigen Abständen – neu vorzunehmen.
Auslösende Ereignisse für eine Neubewertung sind unter anderem:
- neue Gesetzgebung im Empfängerland, die den behördlichen Zugriff auf Daten betrifft
- Änderungen in der Unterauftragsverarbeiter-Kette Ihres Anbieters, die neue Empfängerländer einführen
- Gerichtsentscheidungen, die Angemessenheitsbeschlüsse für ungültig erklären oder in Frage stellen (wie Schrems II beim Privacy Shield)
- Leitlinien von Aufsichtsbehörden, die Erwartungen für bestimmte Transferszenarien präzisieren
- Änderungen bei den Kategorien oder dem Volumen der übermittelten Daten
Die gruppenweite Herausforderung
Für Organisationen mit mehreren Einheiten ist Schritt 6 der Punkt, an dem der Tabellenansatz vollständig zusammenbricht. Wenn ein Unterauftragsverarbeiter wechselt oder sich die Rechtslage eines Landes verändert, welche TIAs in welchen Tochtergesellschaften sind betroffen? Die automatisierten Rezertifizierungs-Workflows von Priverion markieren jede betroffene Bewertung über Ihre gesamte Gruppe hinweg – damit Sie systematisch neu bewerten können statt reaktiv.
Laden Sie die Vorlage und Checkliste für das Transfer Impact Assessment herunter
Eine praxisnahe, EDSA-konforme TIA-Vorlage, die für Organisationen entwickelt wurde, die Datentransfers über mehrere Einheiten hinweg verwalten. Kein generisches Formular – ein strukturiertes Bewertungsrahmenwerk, das Ihr gesamtes Datenschutzteam einheitlich nutzen kann.
Die Vorlage enthält:
- vorstrukturierte Abschnitte für alle 6 vom EDSA empfohlenen TIA-Schritte
- länderspezifische Bewertungsfelder für die Rechtsanalyse des Empfängerlandes
- eine Entscheidungsmatrix für zusätzliche Massnahmen mit praktischen Beispielen
- eine Checkliste mit Auslösern für Neubewertungen zur laufenden Beobachtung
- gruppenweite Koordinationsfelder für Implementierungen mit mehreren Einheiten
Kein Spam. Wir senden Ihnen ausschliesslich die Vorlage und relevante Ressourcen zur Datenschutz-Compliance. Abmeldung jederzeit möglich.
Was sich ändert, wenn TIAs Teil Ihres Datenschutzprogramms sind – und nicht davon losgelöst
Der grösste Wandel liegt nicht in der Vorlage oder im Tool – sondern darin, TIAs mit Ihrem Verarbeitungsverzeichnis, Ihren Anbieterbewertungen und Ihren Rezertifizierungs-Workflows zu verknüpfen, sodass alles automatisch aktuell bleibt.
«Vor Priverion verwalteten wir Aktualisierungen des Verarbeitungsverzeichnisses, indem wir Geschäftsbereichen über mehrere Tochtergesellschaften hinterherliefen. Jetzt ist die Rezertifizierung vollständig automatisiert. Unser Datenschutzbeauftragter konzentriert sich auf strategische Datenschutzarbeit statt auf Tabellenpflege.»
Flugzeughersteller
Luftfahrthersteller mit mehreren Tochtergesellschaften, Schweiz
60% weniger administrativer Compliance-Aufwand – erste 6 Monate nach der Einführung
«Eine 100%ige Abdeckung der Anbieter-Risikobewertung über unsere gesamte Organisation hinweg zu erreichen, hat verändert, wie wir an die Transfer-Compliance herangehen. Jeder Anbieter, jeder Unterauftragsverarbeiter, jede Rechtsordnung – dokumentiert und nachverfolgbar.»
Ein Gesundheitsdienstleister
Gesundheitsgruppe, Schweiz
100% Abdeckung der Anbieter-Risikobewertung über alle Einheiten hinweg
«Allein bei der ISO 27001-Vorbereitung haben wir über 200 Stunden eingespart. Dank der automatisierten Nachweispakete mussten wir vor Audits keine Dokumentation mehr zusammensuchen – sie war bereits vorhanden.»
Ein Medizintechnikunternehmen
Medizintechnik, Schweiz
Über 200 eingesparte Stunden bei der ISO 27001-Vorbereitung, 3 Monate vor dem Auditzeitplan
Warum Mid-Market-Unternehmen von OneTrust wechseln
Sie sollten weder ein sechsstelliges Budget noch ein eigenes Administrationsteam benötigen, nur um den Datenschutz über Ihre Gruppe hinweg zu verwalten. Das ändert sich, wenn Sie auf eine Plattform umsteigen, die darauf ausgelegt ist, wie Mid-Market-Unternehmen tatsächlich arbeiten.
Die Erfahrung mit Enterprise-Plattformen
Preise pro Modul und pro Nutzer
Die Kosten steigen unvorhersehbar, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetgespräche werden zu jährlichen Verhandlungen.
US-Hauptsitz, globales Hosting
Unterliegt dem US CLOUD Act. In einer Welt nach Schrems II können Ihre Datenschutz-Management-Daten selbst ein grenzüberschreitendes Transferrisiko begründen.
Für die Fortune 500 entwickelt
Funktionsreich bis zur Komplexität. Mid-Market-Teams nutzen oft weniger als 20% der Plattform, zahlen aber für 100%.
Monatelange Implementierung
Erfordert eigene Projektteams und Berater für die Einrichtung. Die Wertschöpfung wird in Quartalen gemessen, nicht in Wochen.
Über 200 oberflächliche Integrationen
Beeindruckende Anzahl an Konnektoren, doch viele erfordern individuelle Konfiguration und laufende Wartung, für die Ihr Team keine Zeit hat.
Die Erfahrung mit Priverion
Planbare, allumfassende Preise
Basierend auf der Anzahl der Einheiten und der Organisationsgrösse – nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen, keine Überraschungsrechnungen. Ihr CFO wird die Planbarkeit zu schätzen wissen.
In der Schweiz entwickelt und gehostet
Garantierte europäische Datenhaltung mit vollständiger Datenverarbeitung innerhalb der Schweizer Infrastruktur. Kein Marketing-Häkchen – eine rechtliche Voraussetzung für grenzüberschreitende Datentransfers in einer Welt nach Schrems II.
Eigens für Gruppen mit mehreren Einheiten entwickelt
Jede Funktion existiert, weil ein Datenschutzbeauftragter, der die Compliance über mehrere Tochtergesellschaften verwaltet, sie gebraucht hat. Kein Ballast, keine Funktionen, die Sie nie nutzen werden. Gruppen mit über 50 Einheiten in mehreren Rechtsordnungen arbeiten heute mit Priverion.
Einsatzbereit in Wochen, nicht Monaten
Ein Flugzeughersteller kam vom unterzeichneten Vertrag zu einer Reduktion des administrativen Compliance-Aufwands um 60% innerhalb der ersten 6 Monate – inklusive vollständig automatisierter Rezertifizierung des Verarbeitungsverzeichnisses über alle Einheiten hinweg.
Fallstudie Flugzeughersteller, erste 6 Monate nach der Einführung
Tiefe Integrationen dort, wo sie zählen
Eigens entwickelte Konnektoren für HR-, Beschaffungs- und IT-Asset-Management-Systeme – die Abläufe, die Datenschutz-Compliance tatsächlich vorantreiben. Weniger Integrationen, kein Wartungsaufwand.
Ein Hinweis darauf, was wir nicht tun
Wir decken nicht ab


