Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Datenverarbeitung in einem Drittland: Data Transfer Impact Assessment (TIA) – eine Einführung ins Thema

Als Drittland, oftmals auch Drittstaat genannt, werden aus europäischer Sicht alle Staaten bezeichnet, welche nicht zum Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR) gehören. Wenn unter Geltung der Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten in einem oder mehreren Drittländern verarbeitet werden, muss gemäß Art. 44 S. 1 DS-GVO zwingend allen in Kap. V DS-GVO enthaltenen Bedingungen genügt werden, aber gleichermaßen auch alle anderen Vorgaben der DS-GVO eingehalten werden. Dabei ist es unerheblich, ob die personenbezogenen Daten von einem innerhalb der EU befindlichen bzw. agierenden Verantwortlichen oder Auftragsverarbeiter einem anderen Verantwortlichen, Auftragsverarbeiter oder sonstigen Dritten (wie z. B. staatlichen Behörden) in einem Drittland zur Kenntnisnahme oder Verarbeitung bereitgestellt werden; die Vorgaben der DS-GVO müssen eingehalten werden.
Liegt kein Art. 45 DS-GVO genügender Angemessenheitsbeschluss der EU-Kommission vor, dürfen entsprechend den Vorgaben von Art. 46 Abs. 1 DS-GVO Verantwortliche oder Auftragsverarbeiter nur Daten in einem Drittland oder von einer internationalen Organisation verarbeiten lassen, wenn
  • geeignete Garantien vorgesehen sind, welche sicherstellen, dass das von der DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird, sowie
  • durchsetzbare Rechte und wirksame Rechtsbehelfe für betroffene Personen zur Verfügung stehen.
    • Die Beurteilung, ob diese Vorgaben erfüllt sind oder nicht, wird häufig als „Data Transfer Impact Assessment“ (DTIA) oder kürzer als „Transfer Impact Assessment“ (TIA) bezeichnet. Im Folgenden wird dargestellt, worauf bei einer TIA zu achten ist und wie bei einer TIA vorgegangen werden kann. Hierzu werden einerseits die von der EU-Kommission bereitgestellten Instrumente aus Kap. V DS-GVO betrachtet, die ihrerseits Einfluss auf die Anforderungen an eine TIA aufweisen, andererseits das Urteil des EuGH in der Sache Schrems II, aus welchem ebenfalls zu beachtende Anforderungen, die in einer TIA geprüft werden müssen, erwachsen.
    Neben der Ausarbeitung, in der beschrieben wird, was eine DTIA/TIA ist und wie sie durchgeführt wird, wird auch eine Excel-Tabelle für eine TIA bereitgestellt, um darzustellen, wie praktisch mit dem Thema umgegangen werden kann. Zur Illustration wurde an einem fiktiven Beispiel gezeigt, wie man eine Prüfung einer Drittland-Verarbeitung durchführen kann. Die Excel-Tabelle enthält ein Makro, welches in der Ausarbeitung beschrieben wird.

    Die Praxishilfe wurde von den Verbänden unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/deed.de“ bzw. für den vollständigen Lizenztext auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/legalcode“.

    Download der Ausarbeitung:

    (Stand: 10. April 2023) Bitte beachten: Microsoft sperrt bei aus dem Internet stammenden Excel-Dateien alle Makros. Einen Hinweis zum Entsperren findet man unter function openCCbanner() { var el = document.querySelector('.cc-revoke'); el.click(); }