What is a Transfer Impact Assessment under GDPR?

A Transfer Impact Assessment (TIA) evaluates whether personal data transferred outside the EEA will receive essentially equivalent protection in the destination country. Required after the Schrems II ruling, a TIA examines the recipient country's surveillance laws, government access powers, and available legal remedies. If gaps exist, organizations must implement supplementary measures like encryption or pseudonymization. Meta was fined EUR 1.2B in 2023 partly for inadequate transfer safeguards.

What are Standard Contractual Clauses for international data transfers?

Standard Contractual Clauses (SCCs) are pre-approved contract templates issued by the European Commission that provide legal grounds for transferring personal data outside the EEA. The current version, adopted in June 2021, covers four transfer scenarios: controller-to-controller, controller-to-processor, processor-to-processor, and processor-to-controller. SCCs alone are not always sufficient. After Schrems II, organizations must also verify that the destination country's laws do not undermine the contractual protections.

Grenzüberschreitende Datenübertragungen

Navigate transfer mechanisms for data leaving the EEA.

What Is Grenzüberschreitende Datenübertragungen?

Unter grenzüberschreitenden Datenübermittlungen gemäß DSGVO versteht man jede Übertragung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Land, für das kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Kapitel V der Verordnung schränkt diese Übermittlungen ein und verlangt von Organisationen, bestimmte Sicherheitsvorkehrungen zu treffen, bevor sie personenbezogene Daten in Drittländer übermitteln. Diese Übung versetzt Sie in ein Szenario, in dem Ihr Unternehmen Kundendaten an einen Dienstleister mit Sitz außerhalb des EWR übertragen muss. Sie bewerten, ob das Zielland über einen Angemessenheitsbeschluss verfügt, und wählen, falls nicht, den geeigneten Übertragungsmechanismus aus. Das gebräuchlichste Instrument sind Standardvertragsklauseln (SCCs), die die Europäische Kommission im Juni 2021 mit einem modularen Ansatz aktualisiert hat, der vier Übertragungsszenarien abdeckt. Aber SCCs allein reichen nicht immer aus. Gemäß dem Urteil des Gerichtshofs in Schrems II (Rechtssache C-311/18, Juli 2020) müssen Sie außerdem eine Transfer Impact Assessment (TIA) durchführen, um zu bewerten, ob die Gesetze des Ziellandes im Wesentlichen einen gleichwertigen Schutz wie das EU-Recht bieten. Die Übung führt Sie durch eine realistische TIA und untersucht die Überwachungsbefugnisse der Regierung, den Zugang zu Rechtsbehelfen und das Vorhandensein einer unabhängigen Aufsicht. Sie üben ergänzende Maßnahmen wie Verschlüsselung und Pseudonymisierung, die Schutzlücken schließen können. Die im Mai 2023 gegen Meta Platforms verhängte Geldbuße in Höhe von 1,2 Milliarden Euro wegen unzureichender Übertragungsgarantien macht diesen Bereich zu einem der Compliance-Bereiche mit dem höchsten Risiko im Rahmen der DSGVO.

What You'll Learn in Grenzüberschreitende Datenübertragungen

Stellen Sie fest, ob für ein Datenübermittlungsziel ein EU-Angemessenheitsbeschluss vorliegt oder alternative Schutzmaßnahmen erforderlich sind
Wählen Sie das richtige Modul der Standardvertragsklausel für das spezifische Übertragungsszenario aus und implementieren Sie es
Führen Sie eine Transfer-Folgenabschätzung durch, bei der der rechtliche Rahmen des Ziellandes anhand von EU-Standards bewertet wird
Setzen Sie ergänzende technische Maßnahmen wie Verschlüsselung und Pseudonymisierung ein, um erkannte Schutzlücken zu schließen
Dokumentieren Sie die Übertragungsbegründung und die Sicherheitsvorkehrungen, um den behördlichen Prüfungs- und Rechenschaftspflichten gerecht zu werden

Grenzüberschreitende Datenübertragungen — Training Steps

Einführung

Heute hat die Datenschutzbehörde eine Prüfung der internationalen Datenübertragungen Ihrer Organisation angefordert.
Die Audit-Anfrage

Die DPA-Prüfungsanfrage ist spezifisch – sie möchte eine Dokumentation für alle Übermittlungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) sehen. Dazu gehört die Identifizierung: Welche Datenströme die EWR-Grenzen überschreiten Welche Übertragungsmechanismen vorhanden sind (Standardvertragsklauseln, Angemessenheitsentscheidungen usw.) Ob für jede Übertragung geeignete Schutzmaßnahmen bestehen Sie müssen das Datenflussdiagramm-Tool verwenden, um alle grenzüberschreitenden Übertragungen zu verfolgen und zu dokumentieren.
Öffnen des Datenflussdiagramms

Um Ihre grenzüberschreitenden Überweisungen ordnungsgemäß zu dokumentieren, müssen Sie über das Compliance-Portal auf das Datenflussdiagramm-Tool zugreifen. Diese Anwendung bietet eine visuelle Darstellung, wie sich personenbezogene Daten durch die Systeme Ihres Unternehmens bewegen – von den Erfassungspunkten über die Speicherung und Verarbeitung bis hin zu etwaigen Übermittlungen an Dritte. Anhand des Diagramms können Sie erkennen, welche Datenströme innerhalb des EWR verbleiben und welche internationale Grenzen überschreiten.
Das Diagramm verstehen

Das Datenflussdiagramm zeigt alle Entitäten an, die die Kundendaten von InnovateTech verarbeiten. Jeder Knoten stellt eine andere Entität dar – betroffene Personen (Kunden), Verantwortliche (InnovateTech), Auftragsverarbeiter (Drittanbieter) und Speichersysteme. Knoten sind nach Standort farblich gekennzeichnet – grüne Knoten liegen innerhalb des EWR, während orange Knoten außerhalb des EWR liegen und potenzielle grenzüberschreitende Transferpunkte darstellen. Die Linien zwischen den Knoten zeigen, wie Daten durch Ihre Systeme fließen.
Identifizierung der EU-Datenerhebung

Zunächst müssen Sie verstehen, woher die Kundendaten stammen. InnovateTech sammelt über seine Website und mobile App personenbezogene Daten von EU-Kunden. Zu diesen Daten gehören Namen, E-Mail-Adressen, Zahlungsinformationen und Nutzungsanalysen. Wählen Sie den Knoten „EU-Kunde“, um Details darüber anzuzeigen, welche personenbezogenen Daten erfasst werden und wie diese in Ihre Systeme gelangen.
Rückverfolgung von Daten zu internen Systemen

Verfolgen Sie nun, wie Kundendaten von der Erfassung bis zu Ihren internen Verarbeitungssystemen fließen. Die EU-Kundendaten gelangen zunächst auf den EU-Server von InnovateTech, der als primäres Controller-System in Dublin, Irland, dient. Dieser anfängliche Fluss bleibt vollständig innerhalb des EWR – für den Datentransfer zwischen EU-Mitgliedstaaten sind keine besonderen Übertragungsmechanismen erforderlich.
Entdecken Sie US Cloud Storage

Wenn Sie Ihre Analyse fortsetzen, stellen Sie fest, dass Kundendaten für Notfallwiederherstellungszwecke nach AWS US-East repliziert werden. Hierbei handelt es sich um eine grenzüberschreitende Übertragung – die Daten verlassen den EWR und gehen in die Vereinigten Staaten. Den USA liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor, sodass für diese Übermittlung zusätzliche Schutzmaßnahmen erforderlich sind.
Identifizierung der US-Übertragung

Diese Übertragung an AWS US-East erfordert eine sorgfältige Dokumentation. Der Fluss überträgt Kunden-PII, einschließlich Namen, E-Mails und Kontodaten, an Server in Virginia, USA. Da es in den USA keinen Angemessenheitsbeschluss gibt, muss sich InnovateTech auf Standardvertragsklauseln (SCCs) stützen, um angemessene Schutzmaßnahmen für diese Übertragung zu gewährleisten. Sie müssen dies offiziell als grenzüberschreitende Übertragung kennzeichnen, für die eine Compliance-Dokumentation erforderlich ist.
Discovering India Support-Team

Ihre Analyse zeigt einen weiteren grenzüberschreitenden Transfer – Kundendaten sind für das Support-Team von InnovateTech in Bangalore, Indien, zugänglich. Supportmitarbeiter greifen auf Kundendatensätze zu, um Tickets zu lösen und technische Hilfe zu leisten. Auch in Indien fehlt eine Angemessenheitsentscheidung, was bedeutet, dass für diese Übertragung die gleichen Standardvertragsklauseln gelten wie für die US-Übertragung.
Identifizierung des Indien-Transfers

Das Support-Team in Indien fungiert als Auftragsverarbeiter – es greift im Namen von InnovateTech auf Kundendaten zu, um Support-Services bereitzustellen. Dies erfordert eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) mit integrierten SCCs. Bei dieser Übertragung handelt es sich um andere Datenkategorien als bei der US-Speicherung – hauptsächlich Kundenkontaktinformationen und Support-Ticketdetails. Sie müssen dies als separate grenzüberschreitende Überweisung dokumentieren.

What Is Grenzüberschreitende Datenübertragungen?

What You'll Learn in Grenzüberschreitende Datenübertragungen

Grenzüberschreitende Datenübertragungen — Training Steps

Einführung

Die Audit-Anfrage

Öffnen des Datenflussdiagramms

Das Diagramm verstehen

Identifizierung der EU-Datenerhebung

Rückverfolgung von Daten zu internen Systemen

Entdecken Sie US Cloud Storage

Identifizierung der US-Übertragung

Discovering India Support-Team

Identifizierung des Indien-Transfers