Deutsch­land: Prüf­sche­ma des BfDI für Daten­trans­fers in Dritt­län­der

Der EuGH hat in “Schrems II”-Urteil bekannt­lich fest­ge­hal­ten, dass der EU-US Pri­va­cy Shield unwirk­sam ist und dass die Stan­dard­ver­trags­klau­seln wei­ter­hin ver­wen­det wer­den kön­nen; dass bei Über­mitt­lun­gen ins Aus­land aber eine Risi­ko­ein­schät­zung erfor­der­lich ist (die man “Trans­fer Impact Assess­ment”, “TIA” nen­nen kann) und dass als Ergeb­nis zusätz­li­che Mass­nah­men – d.h. zusätz­lich zu den Stan­dard­ver­trags­klau­seln – erfor­der­lich sein kön­nen, wobei die­se Mass­nah­men tech­ni­scher oder orga­ni­sa­to­ri­scher Natur sein kön­nen.

Offen ist vor die­sem Hin­ter­grund unter ande­rem, wel­che Punk­te das TIA umfas­sen soll. Der EuGH hat hier­zu wenig Kon­kre­tes fest­ge­hal­ten, eben­so wie im Anschluss an “Schrems II” die Auf­sichts­be­hör­den. Der deut­sche Bun­des­da­ten­schutz­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI; zustän­dig für den öffent­li­chen Daten­schutz) hat nun ein Prüf­sche­ma für Dritt­staa­ten­trans­fers ver­öf­fent­licht, das das TIA inhalt­lich zwar kaum kon­kre­ti­siert, die Dis­kus­si­on aber etwas struk­tu­rie­ren kann.