Leitfaden: Transfer Impact Assessments

Wie Sie ein Transfer Impact Assessment durchführen – Eine Schritt-für-Schritt-Anleitung für Unternehmensgruppen mit mehreren Einheiten

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die EDSA-konforme Transfer Impact Assessments über mehr als 50 Gruppeneinheiten hinweg vereinfacht.

Seit Schrems II erfordert jeder internationale Datentransfer ein dokumentiertes Transfer Impact Assessment. Doch wenn Sie Datentransfers über Dutzende von Tochtergesellschaften, Anbietern und Rechtsordnungen hinweg verwalten, gerät der Prozess schnell aus den Fugen.

Dieser Leitfaden liefert Ihnen die genaue Methodik – und eine kostenlose Vorlage, mit der Sie sie noch heute umsetzen.

Kostenlose TIA-Vorlage & Checkliste herunterladen

Das Vertrauen von Datenschutzteams mit komplexen Gruppenstrukturen

In der Schweiz gehostete Infrastruktur ISO 27001-konform ausgerichtet DSGVO-konforme Plattform Über 50 Gruppeneinheiten unterstützt

Basierend auf Priverion-Implementierungen bei Kunden mit mehreren Einheiten

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Warum Transfer Impact Assessments zu den schwierigsten Teilen Ihres Datenschutzprogramms gehören

Der EDSA hat Ihnen ein sechsstufiges Rahmenwerk an die Hand gegeben. Was er Ihnen nicht gegeben hat, ist eine Möglichkeit, es über Dutzende von Einheiten, Hunderte von Anbietern und sich ständig wandelnde regulatorische Rahmenbedingungen hinweg zu steuern.

200–500+

Internationale Transferbeziehungen, typisch für Organisationen mit über 50 Einheiten

Basierend auf Priverion-Plattformdaten bei Unternehmenskunden mit mehreren Einheiten

Auslegungslücken in den EDSA-Leitlinien

Die EDSA-Empfehlungen 01/2020 skizzieren eine klare sechsstufige Methodik – in der Theorie. In der Praxis erfordert allein Schritt 3 (die Bewertung der «Gesetze und Praxis» der Empfängerländer) eine juristische Analyse, die eine Doktorarbeit füllen könnte. Wenn Ihre Organisation Daten über Auftragsverarbeiter und Unterauftragsverarbeiter in 15 verschiedene Rechtsordnungen übermittelt, verlangt jede Bewertung eine eigene Recherche: Überwachungsgesetze, Rahmenbedingungen für staatlichen Zugriff, Rechtsstaatlichkeitsindikatoren. Es gibt keine zentrale Datenbank. Keine standardisierte Bewertung. Jedes TIA wird zu einem massgeschneiderten juristischen Rechercheprojekt – und die meisten Datenschutzbeauftragten sind nicht als juristische Rechercheteams aufgestellt.

30–40 Std.

Stunden, die ein einzelner Datenschutzbeauftragter ohne strukturiertes System pro TIA aufwenden kann

Basierend auf Gesprächen mit Fachleuten und Priverion-Onboarding-Bewertungen bei Kunden

Die Tabellenkalkulationsfalle bei zunehmender Grösse

Für einen einzelnen Transfer ist ein TIA handhabbar – selbst in einem Word-Dokument. Aber gruppenweit? Die meisten Teams erstellen einmalige Bewertungen in Tabellen, ohne Verbindung zu ihrem Verarbeitungsverzeichnis, ohne Rezertifizierungs-Workflow und ohne Möglichkeit nachzuvollziehen, welche TIAs betroffen sind, wenn ein Anbieter Unterauftragsverarbeiter wechselt oder sich der Angemessenheitsstatus eines Landes ändert. Das Ergebnis: Bewertungen, die im Moment ihrer Fertigstellung bereits veraltet sind, und ein Datenschutzbeauftragter, der in Dokumentationspflege versinkt, statt strategische Datenschutzarbeit zu leisten. Das ist kein Prozess – das ist ein Hamsterrad.

2023–24

Jahre aktiver Durchsetzung gegen unzureichende Transferdokumentation durch europäische Datenschutzbehörden

Durchsetzungsmassnahmen von Datenschutzbehörden in Deutschland, Frankreich und Österreich gegen Lücken bei der Transfer-Compliance

Durchsetzung ist nicht mehr nur theoretisch

Aufsichtsbehörden in Deutschland, Frankreich und Österreich gehen über die allgemeine DSGVO-Durchsetzung hinaus und nehmen gezielt unzureichende Transferdokumentation ins Visier. Die Zeiten von «Wir haben SCC, wir sind abgesichert» sind vorbei. Datenschutzbehörden erwarten heute dokumentierte TIAs, die eine echte Bewertung des Rechts im Empfängerland belegen – keine reine Pflichtübung. Für Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, bedeutet das: Die Datentransfers jeder Tochtergesellschaft sind eine potenzielle Prüffläche. Eine Dokumentationslücke einer einzelnen Einheit wird zum regulatorischen Risiko der gesamten Gruppe.

200+

eingesparte Stunden bei der ISO 27001-Vorbereitung

Ein Medizintechnikunternehmen erreichte dies, indem es die manuelle Verarbeitungsverzeichnis-Dokumentation und das Zusammentragen von Auditnachweisen durch automatisierte Workflows ersetzte – innerhalb des ersten Jahres mit Priverion.

60%

weniger Zeitaufwand für Compliance-Verwaltung

Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand in den ersten 6 Monaten um 60% – mit planbaren Preisen auf Basis von Einheiten statt Pro-Nutzer-Erweiterungsfallen.

3 Mon.

der Zeit voraus bei der ISO 27001-Zertifizierung

Das Compliance-Team eines Medizintechnikunternehmens erreichte seinen Meilenstein für die ISO 27001-Auditbereitschaft ein ganzes Quartal früher – mithilfe von Priverions automatisierten Nachweispaketen und Framework-Mapping.

Wie Sie ein Transfer Impact Assessment durchführen: Schritt für Schritt

Diese Methodik folgt den EDSA-Empfehlungen 01/2020 zu zusätzlichen Massnahmen, angepasst für Organisationen, die Datentransfers über mehrere Einheiten hinweg verwalten. Jeder Schritt enthält praxisnahe Hinweise für die gruppenweite Umsetzung.

Schritt 1 von 6

Erfassen Sie Ihre Datentransfers

Bevor Sie Risiken bewerten können, benötigen Sie ein vollständiges Inventar jedes internationalen Datentransfers in Ihrer Gruppe. Das bedeutet, nicht nur direkte Übermittlungen in Drittländer zu erfassen, sondern auch Weiterübermittlungen durch Auftragsverarbeiter und Unterauftragsverarbeiter – über jede Tochtergesellschaft hinweg.

Dokumentieren Sie für jeden Transfer:

  • die übermittelnde Einheit und die empfangende Einheit oder den Auftragsverarbeiter
  • die Kategorien der übermittelten personenbezogenen Daten
  • den Zweck und die Rechtsgrundlage des Transfers
  • das Zielland und etwaige Ziele von Weiterübermittlungen
  • den vorhandenen Transfermechanismus (SCC, BCR, Angemessenheitsbeschluss, Ausnahmeregelung)

Tipp für mehrere Einheiten

Hier zahlt sich gruppenweites Management aus. Das einheitsübergreifende Daten-Mapping von Priverion verknüpft Datentransfers automatisch mit Ihren Einträgen im Verarbeitungsverzeichnis. Wechselt ein Anbieter seine Unterauftragsverarbeiter, wird das TIA jeder betroffenen Einheit zur Überprüfung markiert – nicht nur dasjenige der Einheit, die den Vertrag unterzeichnet hat.

Schritt 2 von 6

Überprüfen Sie Ihren Transfermechanismus

Stellen Sie sicher, dass sich jeder Transfer auf einen gültigen Rechtsmechanismus nach Kapitel V der DSGVO stützt. Seit Schrems II reichen Standardvertragsklauseln allein nicht mehr aus – sie bleiben aber für die meisten Organisationen der Ausgangspunkt.

Überprüfen Sie für jeden Transfer:

  • welche Version der SCC vorliegt (die modularen Klauseln von 2021 sollten inzwischen vollständig übernommen sein)
  • ob das richtige Modul gilt (Verantwortlicher zu Verantwortlichem, Verantwortlicher zu Auftragsverarbeiter, Auftragsverarbeiter zu Auftragsverarbeiter oder Auftragsverarbeiter zu Verantwortlichem)
  • ob BCR genehmigt wurden, sofern zutreffend
  • ob für das Zielland ein Angemessenheitsbeschluss gilt – und ob er das konkrete Transferszenario abdeckt

Häufige Stolperfalle

Viele Organisationen gehen davon aus, dass das EU-US Data Privacy Framework alle US-Transfers abdeckt. Es gilt nur für Übermittlungen an zertifizierte Organisationen, die auf der Website des Data Privacy Framework gelistet sind. Ist Ihr US-Anbieter nicht zertifiziert, benötigen Sie weiterhin SCC und ein vollständiges TIA.

Schritt 3 von 6

Bewerten Sie die Rechtslage und Praxis des Empfängerlandes

Dies ist der rechtlich anspruchsvollste Schritt – und derjenige, bei dem die meisten Organisationen Schwierigkeiten haben. Sie müssen beurteilen, ob die Gesetze und die Praxis des Empfängerlandes ein Schutzniveau gewährleisten, das dem in der EU garantierten «im Wesentlichen gleichwertig» ist.

Zentrale Bewertungsbereiche sind unter anderem:

  • Gesetze zu staatlicher Überwachung und massenhafter Datenerfassung (z. B. FISA Section 702 für die USA, RIPA für das Vereinigte Königreich)
  • Zugriff von Strafverfolgungsbehörden auf personenbezogene Daten – unter welchen Bedingungen und mit welcher Massnahme
  • Existenz und Wirksamkeit unabhängiger Datenschutzbehörden
  • gerichtliche Rechtsschutzmechanismen, die betroffenen Personen in der EU zur Verfügung stehen
  • Rechtsstaatlichkeitsindikatoren und Einhaltung internationaler Menschenrechtsinstrumente

Zu konsultierende Quellen: EDSA-Referenzdokumente zur Angemessenheit, EuGH-Rechtsprechung, Berichte nationaler Datenschutzbehörden, Freedom-House-Bewertungen sowie die Gesetzgebung des Empfängerlandes selbst.

Wie Priverion hilft

Die KI-gestützte TIA-Erstellung von Priverion füllt länderspezifische Rechtsbewertungen anhand öffentlich verfügbarer regulatorischer Quellen vor. Die KI unterstützt, indem sie relevante Rechtsrahmen und Risikoindikatoren aufzeigt – die endgültige Bewertung bleibt jedoch immer Ihre. Die KI unterstützt, Menschen entscheiden.

Schritt 4 von 6

Identifizieren und ergreifen Sie zusätzliche Massnahmen

Zeigt Ihre Bewertung in Schritt 3, dass die Gesetze des Empfängerlandes keinen im Wesentlichen gleichwertigen Schutz bieten, müssen Sie zusätzliche Massnahmen – technische, organisatorische oder vertragliche – umsetzen, die die Lücke schliessen.

Beispiele für zusätzliche Massnahmen:

  • Technisch: Verschlüsselung bei Übertragung und im Ruhezustand, bei der der Datenimporteur nicht auf die Entschlüsselungsschlüssel zugreifen kann; Pseudonymisierung, bei der die Zuordnungstabelle in der EU verbleibt; aufgeteilte Verarbeitung über mehrere Rechtsordnungen hinweg
  • Organisatorisch: strenge Zugriffskontrollen, die begrenzen, wer im Empfängerland auf personenbezogene Daten zugreifen kann; interne Richtlinien zu behördlichen Zugriffsanfragen; Selbstverpflichtungen zur Transparenzberichterstattung
  • Vertraglich: erweiterte Auditrechte; Pflicht, behördliche Zugriffsanfragen anzufechten; Benachrichtigungspflichten, die über die Anforderungen der SCC hinausgehen

Seien Sie ehrlich zu den Grenzen

Nicht jede Transferlücke lässt sich schliessen. Wenn die Gesetze des Empfängerlandes den Datenimporteur dazu zwingen, behördlichen Zugriff so zu gewähren, dass Verschlüsselung oder vertragliche Schutzmassnahmen ausgehebelt werden, ist keine zusätzliche Massnahme ausreichend. In solchen Fällen darf der Transfer nicht erfolgen – und Ihr TIA sollte diese Schlussfolgerung ausdrücklich dokumentieren.

Schritt 5 von 6

Setzen Sie die von Ihrem Transfermechanismus geforderten Verfahrensschritte um

Je nach den von Ihnen ergriffenen zusätzlichen Massnahmen müssen Sie unter Umständen formelle Verfahrensschritte unternehmen, um sie in Kraft zu setzen. Dies variiert je nach Transfermechanismus:

  • Für SCC mit zusätzlichen Massnahmen: geänderte oder ergänzende Vertragsklauseln mit dem Datenimporteur abschliessen
  • Für BCR mit zusätzlichen Massnahmen: sicherstellen, dass die Änderungen in der BCR-Dokumentation berücksichtigt werden, und bei Bedarf eine erneute Genehmigung Ihrer federführenden Aufsichtsbehörde einholen
  • Für technische Massnahmen: die technischen Konfigurationen umsetzen und dokumentieren, einschliesslich Verschlüsselungsstandards, Schlüsselverwaltungspraktiken und Zugriffskontrollarchitekturen

Dokumentieren Sie alles. Die hier unternommenen Verfahrensschritte bilden den Kern Ihres Prüfpfads – und die Nachweise, die Sie einer Aufsichtsbehörde vorlegen, wenn diese Ihre TIA-Dokumentation einsehen möchte.

Schritt 6 von 6

Beobachten und überprüfen Sie in angemessenen Abständen erneut

Ein TIA ist keine einmalige Übung. Sie sind verpflichtet, Entwicklungen im rechtlichen Rahmen des Empfängerlandes zu beobachten und Ihre Bewertung bei jeder wesentlichen Änderung – oder in regelmässigen Abständen – neu vorzunehmen.

Auslösende Ereignisse für eine Neubewertung sind unter anderem:

  • neue Gesetzgebung im Empfängerland, die den behördlichen Zugriff auf Daten betrifft
  • Änderungen in der Unterauftragsverarbeiter-Kette Ihres Anbieters, die neue Empfängerländer einführen
  • Gerichtsentscheidungen, die Angemessenheitsbeschlüsse für ungültig erklären oder in Frage stellen (wie Schrems II beim Privacy Shield)
  • Leitlinien von Aufsichtsbehörden, die Erwartungen für bestimmte Transferszenarien präzisieren
  • Änderungen bei den Kategorien oder dem Volumen der übermittelten Daten

Die gruppenweite Herausforderung

Für Organisationen mit mehreren Einheiten ist Schritt 6 der Punkt, an dem der Tabellenansatz vollständig zusammenbricht. Wenn ein Unterauftragsverarbeiter wechselt oder sich die Rechtslage eines Landes verändert, welche TIAs in welchen Tochtergesellschaften sind betroffen? Die automatisierten Rezertifizierungs-Workflows von Priverion markieren jede betroffene Bewertung über Ihre gesamte Gruppe hinweg – damit Sie systematisch neu bewerten können statt reaktiv.

Laden Sie die Vorlage und Checkliste für das Transfer Impact Assessment herunter

Eine praxisnahe, EDSA-konforme TIA-Vorlage, die für Organisationen entwickelt wurde, die Datentransfers über mehrere Einheiten hinweg verwalten. Kein generisches Formular – ein strukturiertes Bewertungsrahmenwerk, das Ihr gesamtes Datenschutzteam einheitlich nutzen kann.

Die Vorlage enthält:

  • vorstrukturierte Abschnitte für alle 6 vom EDSA empfohlenen TIA-Schritte
  • länderspezifische Bewertungsfelder für die Rechtsanalyse des Empfängerlandes
  • eine Entscheidungsmatrix für zusätzliche Massnahmen mit praktischen Beispielen
  • eine Checkliste mit Auslösern für Neubewertungen zur laufenden Beobachtung
  • gruppenweite Koordinationsfelder für Implementierungen mit mehreren Einheiten

Kein Spam. Wir senden Ihnen ausschliesslich die Vorlage und relevante Ressourcen zur Datenschutz-Compliance. Abmeldung jederzeit möglich.

Was sich ändert, wenn TIAs Teil Ihres Datenschutzprogramms sind – und nicht davon losgelöst

Der grösste Wandel liegt nicht in der Vorlage oder im Tool – sondern darin, TIAs mit Ihrem Verarbeitungsverzeichnis, Ihren Anbieterbewertungen und Ihren Rezertifizierungs-Workflows zu verknüpfen, sodass alles automatisch aktuell bleibt.

«Vor Priverion verwalteten wir Aktualisierungen des Verarbeitungsverzeichnisses, indem wir Geschäftsbereichen über mehrere Tochtergesellschaften hinterherliefen. Jetzt ist die Rezertifizierung vollständig automatisiert. Unser Datenschutzbeauftragter konzentriert sich auf strategische Datenschutzarbeit statt auf Tabellenpflege.»

Flugzeughersteller

Luftfahrthersteller mit mehreren Tochtergesellschaften, Schweiz

60% weniger administrativer Compliance-Aufwand – erste 6 Monate nach der Einführung

«Eine 100%ige Abdeckung der Anbieter-Risikobewertung über unsere gesamte Organisation hinweg zu erreichen, hat verändert, wie wir an die Transfer-Compliance herangehen. Jeder Anbieter, jeder Unterauftragsverarbeiter, jede Rechtsordnung – dokumentiert und nachverfolgbar.»

Ein Gesundheitsdienstleister

Gesundheitsgruppe, Schweiz

100% Abdeckung der Anbieter-Risikobewertung über alle Einheiten hinweg

«Allein bei der ISO 27001-Vorbereitung haben wir über 200 Stunden eingespart. Dank der automatisierten Nachweispakete mussten wir vor Audits keine Dokumentation mehr zusammensuchen – sie war bereits vorhanden.»

Ein Medizintechnikunternehmen

Medizintechnik, Schweiz

Über 200 eingesparte Stunden bei der ISO 27001-Vorbereitung, 3 Monate vor dem Auditzeitplan

Warum Mid-Market-Unternehmen von OneTrust wechseln

Sie sollten weder ein sechsstelliges Budget noch ein eigenes Administrationsteam benötigen, nur um den Datenschutz über Ihre Gruppe hinweg zu verwalten. Das ändert sich, wenn Sie auf eine Plattform umsteigen, die darauf ausgelegt ist, wie Mid-Market-Unternehmen tatsächlich arbeiten.

Die Erfahrung mit Enterprise-Plattformen

Preise pro Modul und pro Nutzer

Die Kosten steigen unvorhersehbar, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetgespräche werden zu jährlichen Verhandlungen.

US-Hauptsitz, globales Hosting

Unterliegt dem US CLOUD Act. In einer Welt nach Schrems II können Ihre Datenschutz-Management-Daten selbst ein grenzüberschreitendes Transferrisiko begründen.

Für die Fortune 500 entwickelt

Funktionsreich bis zur Komplexität. Mid-Market-Teams nutzen oft weniger als 20% der Plattform, zahlen aber für 100%.

Monatelange Implementierung

Erfordert eigene Projektteams und Berater für die Einrichtung. Die Wertschöpfung wird in Quartalen gemessen, nicht in Wochen.

Über 200 oberflächliche Integrationen

Beeindruckende Anzahl an Konnektoren, doch viele erfordern individuelle Konfiguration und laufende Wartung, für die Ihr Team keine Zeit hat.

Die Erfahrung mit Priverion

Planbare, allumfassende Preise

Basierend auf der Anzahl der Einheiten und der Organisationsgrösse – nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen, keine Überraschungsrechnungen. Ihr CFO wird die Planbarkeit zu schätzen wissen.

In der Schweiz entwickelt und gehostet

Garantierte europäische Datenhaltung mit vollständiger Datenverarbeitung innerhalb der Schweizer Infrastruktur. Kein Marketing-Häkchen – eine rechtliche Voraussetzung für grenzüberschreitende Datentransfers in einer Welt nach Schrems II.

Eigens für Gruppen mit mehreren Einheiten entwickelt

Jede Funktion existiert, weil ein Datenschutzbeauftragter, der die Compliance über mehrere Tochtergesellschaften verwaltet, sie gebraucht hat. Kein Ballast, keine Funktionen, die Sie nie nutzen werden. Gruppen mit über 50 Einheiten in mehreren Rechtsordnungen arbeiten heute mit Priverion.

Einsatzbereit in Wochen, nicht Monaten

Ein Flugzeughersteller kam vom unterzeichneten Vertrag zu einer Reduktion des administrativen Compliance-Aufwands um 60% innerhalb der ersten 6 Monate – inklusive vollständig automatisierter Rezertifizierung des Verarbeitungsverzeichnisses über alle Einheiten hinweg.

Fallstudie Flugzeughersteller, erste 6 Monate nach der Einführung

Tiefe Integrationen dort, wo sie zählen

Eigens entwickelte Konnektoren für HR-, Beschaffungs- und IT-Asset-Management-Systeme – die Abläufe, die Datenschutz-Compliance tatsächlich vorantreiben. Weniger Integrationen, kein Wartungsaufwand.

Ein Hinweis darauf, was wir nicht tun

Wir decken nicht ab

Über diese Seite – Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Transfer Impact Assessments (TIAs) sind nach der DSGVO immer dann verpflichtend, wenn personenbezogene Daten die EU/den EWR in ein Land ohne Angemessenheitsbeschluss verlassen. Die sechsstufige EDSA-Methodik – Transfers erfassen, Mechanismen überprüfen, das Recht des Empfängerlandes bewerten, zusätzliche Massnahmen identifizieren, umsetzen und neu bewerten – liefert das Rahmenwerk. Diese aber über Organisationen mit mehreren Einheiten und Hunderten von Anbieterbeziehungen hinweg operativ umzusetzen, erfordert strukturierte Werkzeuge. Die in der Schweiz gehostete Plattform von Priverion automatisiert einheitsübergreifende TIA-Workflows, verknüpft Bewertungen mit Einträgen im Verarbeitungsverzeichnis und markiert Überprüfungen, sobald sich die Transferumstände ändern.

Definitionen

Was ist ein Transfer Impact Assessment (TIA)?

Ein Transfer Impact Assessment (TIA) ist eine dokumentierte Bewertung, die Datenexporteure durchführen müssen, bevor sie personenbezogene Daten unter den Garantien nach Artikel 46 DSGVO in ein Drittland übermitteln. Es bestimmt, ob der rechtliche Rahmen des Empfängerlandes einen Schutz bietet, der EU-Standards im Wesentlichen gleichwertig ist. Die Anforderung geht auf das Urteil des Gerichtshofs der Europäischen Union in der Rechtssache Schrems II (Rechtssache C-311/18, 16. Juli 2020) zurück und wird durch die EDSA-Empfehlungen 01/2020 zu zusätzlichen Massnahmen konkretisiert. Quelle: EDSA-Empfehlungen 01/2020

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln (SCC) sind von der Europäischen Kommission nach Artikel 46 Absatz 2 Buchstabe c DSGVO angenommene, vorab genehmigte Vertragsbedingungen, die geeignete Garantien für internationale Datentransfers bieten. Die aktuellen modularen SCC wurden durch den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 angenommen. SCC allein garantieren keinen angemessenen Schutz – ein TIA ist erforderlich, um zu überprüfen, dass die Gesetze des Empfängerlandes die vertraglichen Garantien nicht untergraben. Quelle: EUR-Lex, Beschluss 2021/914

Was ist das EU-US Data Privacy Framework (DPF)?

Das EU-US Data Privacy Framework ist ein Angemessenheitsmechanismus, der von der Europäischen Kommission am 10. Juli 2023 angenommen wurde (Durchführungsbeschluss C(2023) 4745) und Übermittlungen an US-Organisationen ermöglicht, die unter dem Framework zertifiziert sind. Es gilt nur für zertifizierte Einheiten, die auf der DPF-Website gelistet sind; nicht zertifizierte US-Empfänger benötigen weiterhin SCC und ein vollständiges TIA. Quelle: EUR-Lex, Angemessenheitsbeschluss für das EU-US DPF

Was sind verbindliche interne Datenschutzvorschriften (BCR)?

Verbindliche interne Datenschutzvorschriften (BCR) sind interne Datenschutzrichtlinien, die von einer zuständigen Aufsichtsbehörde nach Artikel 47 DSGVO genehmigt werden und es multinationalen Konzernen ermöglichen, personenbezogene Daten innerhalb der Gruppe ausserhalb der EU/des EWR zu übermitteln. BCR erfordern als Teil des Genehmigungsverfahrens eine TIA-äquivalente Bewertung des Rechts des Empfängerlandes. Quelle: EDSA-Leitlinien zu BCR

Häufig gestellte Fragen

Was ist ein Transfer Impact Assessment (TIA)?

Ein Transfer Impact Assessment ist eine dokumentierte Bewertung, die nach der DSGVO erforderlich ist, um festzustellen, ob die Gesetze und die Praxis eines Empfängerlandes ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU/im EWR bieten. Die Anforderung wurde durch das Urteil des EuGH in der Rechtssache Schrems II (Rechtssache C-311/18) begründet und durch die EDSA-Empfehlungen 01/2020 konkretisiert.

Wann ist ein TIA nach der DSGVO erforderlich?

Ein TIA ist immer dann erforderlich, wenn personenbezogene Daten in ein Drittland übermittelt werden, für das kein Angemessenheitsbeschluss der EU vorliegt, und sich der Transfer auf Garantien nach Artikel 46 DSGVO wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften stützt. Gemäss Artikel 46 DSGVO muss der Datenexporteur beurteilen, ob die Garantien angesichts des rechtlichen Rahmens des Empfängerlandes wirksam sind.

Wie lange dauert ein Transfer Impact Assessment?

Ein einzelnes TIA kann ohne strukturiertes System 30–40 Stunden in Anspruch nehmen, basierend auf Gesprächen mit Fachleuten. Für Organisationen mit über 50 Einheiten, die 200–500 internationale Transferbeziehungen verwalten, können manuelle TIA-Prozesse jährlich Tausende von Stunden verschlingen. Laut dem IAPP-EY Privacy Governance Report 2023 nennen 60% der Datenschutzfachleute grenzüberschreitende Datentransfers als eine ihrer grössten Compliance-Herausforderungen.

Macht das EU-US Data Privacy Framework TIAs überflüssig?

Nein. Das EU-US Data Privacy Framework deckt nur Übermittlungen an US-Organisationen ab, die zertifiziert und auf der DPF-Website gelistet sind. Ist Ihr US-Anbieter nicht DPF-zertifiziert, benötigen Sie weiterhin SCC und ein vollständiges TIA. Der Angemessenheitsbeschluss der Europäischen Kommission zum DPF beschränkt seinen Anwendungsbereich ausdrücklich auf zertifizierte Einheiten.

Was sind zusätzliche Massnahmen in einem TIA?

Zusätzliche Massnahmen sind ergänzende Garantien, die ergriffen werden, wenn ein TIA aufzeigt, dass die Gesetze des Empfängerlandes keinen im Wesentlichen gleichwertigen Schutz bieten. Sie können technisch (z. B. Ende-zu-Ende-Verschlüsselung, Pseudonymisierung), vertraglich (z. B. erweiterte Auditrechte) oder organisatorisch (z. B. strenge Zugriffskontrollen) sein. Der EDSA stellt in Anhang 2 der Empfehlungen 01/2020 einen nicht abschliessenden Katalog bereit.

Wie oft sollte ein TIA überprüft und aktualisiert werden?

TIAs müssen in angemessenen Abständen sowie bei jeder wesentlichen Änderung neu bewertet werden – etwa bei neuen Überwachungsgesetzen, einem Wechsel der Unterauftragsverarbeiter eines Anbieters oder einer Änderung des Angemessenheitsstatus. Der EDSA empfiehlt eine laufende Beobachtung statt eines festen Überprüfungszyklus. Gemäss EDSA-Empfehlungen 01/2020, Schritt 6 müssen Verantwortliche Entwicklungen, die die ursprüngliche Bewertung beeinflussen könnten, fortlaufend beobachten.

Was passiert, wenn ein TIA unzureichenden Schutz aufzeigt?

Kommt die Bewertung zu dem Schluss, dass die Gesetze des Empfängerlandes die Wirksamkeit der Transfergarantien untergraben und keine zusätzlichen Massnahmen die Lücke schliessen können, muss der Transfer ausgesetzt oder gar nicht erst aufgenommen werden. Nach Artikel 49 DSGVO können in bestimmten Situationen Ausnahmeregelungen gelten (z. B. ausdrückliche Einwilligung, vertragliche Notwendigkeit), diese werden jedoch eng ausgelegt und können nicht als systematischer Transfermechanismus dienen.

Wie hilft Priverion bei Transfer Impact Assessments?

Die in der Schweiz gehostete GRC-Plattform von Priverion automatisiert TIA-Workflows über Organisationen mit mehreren Einheiten hinweg. Sie füllt länderspezifische Rechtsbewertungen vor, verknüpft TIAs mit Einträgen im Verarbeitungsverzeichnis, markiert betroffene Bewertungen, wenn Anbieter ihre Unterauftragsverarbeiter wechseln, und stellt Rezertifizierungs-Workflows bereit. Die Plattform unterstützt über 50 Gruppeneinheiten und ist auf die Anforderungen von ISO 27001 und der DSGVO ausgerichtet.

Statistiken und Quellen

Laut dem IAPP-EY Privacy Governance Report 2023 bezeichnen 60% der Datenschutzfachleute grenzüberschreitende Datentransfers als eine der grössten Compliance-Herausforderungen, und die durchschnittliche Organisation verwaltet über 300 Drittanbieterbeziehungen, die personenbezogene Daten betreffen. Die Empfehlungen 01/2020 des EDSA bleiben die massgebliche sechsstufige Methodik für TIAs und wurden am 18. Juni 2021 nach öffentlicher Konsultation angenommen. Europäische Datenschutzbehörden haben zwischen 2018 und 2024 über 2'000 DSGVO-Durchsetzungsmassnahmen ergriffen, wobei sich die Transfer-Compliance als Schwerpunktbereich herauskristallisiert hat – namentlich die Geldbusse der irischen DPC in Höhe von 1,2 Milliarden Euro gegen Meta im Mai 2023 für unrechtmässige US-Datentransfers, die bislang höchste DSGVO-Strafe. Gemäss der Mitteilung des EDSA folgte die Entscheidung auf eine verbindliche Streitbeilegung nach Artikel 65 DSGVO.

Vergleich der TIA-Methodik

AspektManueller Ansatz / TabellenkalkulationAutomatisierte Plattform von Priverion
Zeit pro TIA30–40 StundenDeutlich reduziert durch KI-gestützte Erstellung und vorausgefüllte Länderbewertungen
Einheitsübergreifende TransparenzIsoliert pro Tochtergesellschaft; kein zentrales DashboardEinheitliche gruppenweite Sicht über mehr als 50 Einheiten
Integration in das VerarbeitungsverzeichnisManueller AbgleichAutomatische Verknüpfung von TIAs mit Einträgen im Verarbeitungsverzeichnis
Auslöser für RezertifizierungKalenderbasiert oder ad hocEreignisgesteuert: Wechsel von Unterauftragsverarbeitern, Änderungen der Angemessenheit werden automatisch markiert
AuditbereitschaftVerstreute Dokumentation über mehrere DateienZentralisierte Nachweispakete, ausgerichtet auf ISO 27001 und die DSGVO
HostingVariiert (häufig in den USA gehostete Cloud-Tools)In der Schweiz gehostete Infrastruktur