Ihre Vorteile
-
Sichere Datenübermittlung mit Drittstaaten
Wir gestalten Ihre Datenübermittlung nach den neuen Standardvertragsklauseln (SCC-Module) und sorgen für Risikominimierung in der Auftragsverarbeitung.
-
Rechtssicherheit mit TIA
Bei Datentransfers in Drittstaaten bieten wir mit der Risikobewertung nach TIA rechtssichere Handlungsempfehlungen für Ihre Unternehmens-Compliance.
-
Hochqualifizierte Consultants
Die vielen unterschiedlichen Qualifikationen und Erfahrungen unserer Berater im Datenschutz und IT-Bereich sind in der Branche einzigartig.
Wir unterstützen Sie bei der Durchführung des TIA
Standardvertragsklauseln sind vertragliche Regelungen, mit denen Datenübermittlungen in unsichere Staaten außerhalb der EU / des Europäischen Wirtschaftsraum (EWR) abgesichert werden. Wenn Ihr Unternehmen beispielsweise IT-Dienstleistungen von einem Anbieter in Anspruch nimmt, dessen Sitz im Drittland ist, werden in der Regel Standardvertragsklauseln mit diesem Anbieter abgeschlossen. Die Europäische Kommission hat Anfang Juni 2021 neue Standardvertragsklauseln (SCC-Module) für internationale Datentransfers angenommen. Dabei wurden die Anforderungen der DSGVO sowie die neuen Vorgaben aus dem Schrems-II-Urteil berücksichtigt. Bis zum 27.12.2022 müssen alle bestehenden Standardvertragsklauseln durch die neuen SCCs ersetzt werden und zukünftig nur noch diese abgeschlossen werden. Die neuen Klauseln sind modular aufgebaut. Je nachdem, ob der Datenexporteur (Ihr Unternehmen) oder der Datenimporteur (der Empfänger im Drittstaat) datenschutzrechtlich als Verantwortlicher oder als Auftragsverarbeiter einzuordnen sind, greifen spezielle Regelungen.
Die neuen Standardvertragsklauseln erlegen den Parteien auch neue Informations- und Dokumentationspflichten auf. Dazu zählt unter anderem die Durchführung eines Transfer Impact Assessment (TIA). Der Europäische Datenschutzausschuss (EDSA) hat hierzu am 18.06.2021 die Version 2.0 der Empfehlungen veröffentlicht, wie durch zusätzliche Maßnahmen und weitere Vorgehensweisen ein angemessenes Schutzniveau beim Empfänger gewährleistet werden kann. Dieser Ansatz ist für das Erreichen eines angemessenen Schutzniveaus im Empfängerstaat Bestandteil des Transfer Impact Assessments.
Beim Transfer Impact Assessment handelt es sich um eine Risikobewertung, wonach Sie überprüfen müssen, ob der Empfänger durch geltendes Recht im Drittland gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen. Diese Prüfung dient der Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten im Drittland. Die Vertragsparteien sind verpflichtet, das Ergebnis dieser Prüfungen zu dokumentieren. Die Dokumentation ist umso dringlicher und wichtiger geworden, da die Aufsichtsbehörden die Datentransfers ausgesuchter Unternehmen anhand umfänglicher Fragebögen untersuchen.
Unsere auf die Datenschutzberatung spezialisierten Consultants unterstützen Sie bei der Durchführung des Transfer Impact Assessments und beim Ersetzen der alten Standardvertragsklauseln beziehungsweise dem Abschluss neuer Standardvertragsklauseln in dem jeweils zutreffenden Modul. Bei der Durchführung des Transfer Impact Assessments analysieren wir die individuellen Rahmenbedingungen Ihres Datentransfers und beraten Sie exklusiv auf dem Weg zu einer rechtssicheren Datenübermittlung. Mit pragmatischen Ansätzen und langjähriger Erfahrung im internationalen Kontext erstellen wir eine Risikobewertung des Datentransfers nach den Anforderungen des TIA und sprechen Handlungsempfehlungen aus. Die Erfüllung Ihrer Dokumentationspflichten können mit unserer Datenschutzmanagement Software Guardileo erfolgen. Dort besteht im Rahmen des Moduls „Drittlandtransfer-Prüfung“ die Möglichkeit, den Prozess der Datenübermittlung zu dokumentieren und regelmäßig neu zu bewerten. Neben der Drittlandtransfer-Prüfung bieten wir Ihnen mit Guardileo auf Wunsch weitere professionelle Funktionalitäten an, um den Datenschutz in Ihrem Unternehmen entsprechend den EU-Standards zu gestalten und zur ordnungsgemäßen Erfüllung Ihrer Nachweis- und Rechenschaftspflichten beizutragen.
Unsere Leistungen zum Transfer Impact Assessment
- Auswahl der für Sie geeigneten Standardvertragsklauseln (SCC-Module)
- Unterstützung während des Transfer Impact Assessments (TIA)
- Beratung über wirksame zusätzliche Maßnahmen für rechtssichere Datentransfers
- Beurteilung des Schutzniveaus in Drittländern (Risikobewertung)
- Individuelle Stellungnahmen für besondere Umstände bei der Datenübermittlung
- Erfüllung der Dokumentationspflichten mit unserer professionellen Datenschutzmanagement Software Guardileo
Häufig gestellte Fragen zum Transfer Impact Assessment
Wir sagen Ihnen, was Sie zum Transfer Impact Assessment wissen sollten.
Der Abschluss der neuen EU‑Standardvertragsklauseln wird erforderlich, wenn personenbezogene Daten in ein Land außerhalb der EU / des EWR übermittelt werden, ein Angemessenheitsbeschluss der EU‑Kommission für dieses Drittland nicht besteht und der Datenimporteur nicht über andere Transfermechanismen, wie beispielsweise Binding Corporate Rules verfügt. Bei Staaten ohne Angemessenheitsbeschluss wird angenommen, dass kein Datenschutzniveau gewährleistet wird, das den EU‑Standards im Wesentlichen gleichwertig ist. Insofern muss überprüft werden, ob geeignete Garantien i.S.d. Art. 46 DSGVO bestehen oder voraussichtlich geschaffen werden können. Neben der Möglichkeit von geeigneten Garantien müssen zusätzliche technische und organisatorische Maßnahmen ergriffen und implementiert werden, die das Datenschutzniveau erhöhen.
Der modulare Aufbau der neuen Standardvertragsklauseln (SCCs) erfordert zunächst die Auswahl des passenden Moduls. Im Anhang der SCCs müssen erforderliche Angaben über die Datenübermittlung gemacht werden. Nach den Empfehlungen der EDSA ist die Rechtslage im Drittland in Bezug auf die konkrete Datenübermittlung zu beurteilen, was auch in Klausel 14 der neuen SCCs festgelegt ist. Diese Vorgehensweise stellt das Transfer Impact Assessment dar.
Grundsätzlich liegt die Herausforderung darin, den Überblick über den Datenübermittlungsprozess zu behalten. Die Beurteilung des Schutzniveaus sowie die Erfüllung der Dokumentationspflichten erfordern ein strukturiertes Datenschutzmanagement, um den Aufsichtsbehörden die erforderlichen Nachweise vorlegen zu können.
Beim Datentransfer ist insbesondere wichtig, dass ein angemessenes Schutzniveau sichergestellt wird. Die Umstände des Einzelfalles und die Risiken in Drittländern erschweren die Abwägung, insbesondere durch die unterschiedlichen Interessen des Unternehmens auf der einen und den Datenschutzinteressen des Betroffenen auf der anderen Seite. Eine ausführliche Risikobewertung und deren Dokumentation sind daher unverzichtbar.
All diese Herausforderungen betonen die Dringlichkeit der Dokumentation aller Rahmenbedingungen und Abläufe, idealerweise in einem strukturierten Datenschutzmanagementsystem. Regelmäßige Neubewertungen können in diesem Falle auch direkt im System vorgenommen werden.
Bevor die Risikobewertung im Rahmen des TIA durchgeführt wird, müssen die entsprechenden Datenübermittlungen zunächst identifiziert werden.
Der nächste Schritt ist die Bestimmung des Übermittlungsinstruments. In der Regel sind es SCCs, ggf. können dies aber auch verbindliche interne Datenschutzvorschriften (Bindung Corporate Rules) oder andere in der DSGVO genannte Instrumente sein.
Im Anschluss sind die Umstände der Übermittlung und die Risiken im Übermittlungsland gegeneinander abzuwägen. Wenn sich die gewählte Garantie nach der Prüfung nicht als effektiv erweist, müssen im Einzelfall ergänzende Maßnahmen getroffen werden, die individuell auf die entsprechende Übermittlung anzupassen sind, um ein angemessenes Schutzniveau zu gewährleisten.
Alle Schritte und Ergebnisse dieser Prüfung (TIA) müssen dokumentiert werden.
Kompetenz von mehr als 70 Consultants
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download