Der EuGH hat in “Schrems II”-Urteil bekanntlich festgehalten, dass der EU-US Privacy Shield unwirksam ist und dass die Standardvertragsklauseln weiterhin verwendet werden können; dass bei Übermittlungen ins Ausland aber eine Risikoeinschätzung erforderlich ist (die man “Transfer Impact Assessment”, “TIA” nennen kann) und dass als Ergebnis zusätzliche Massnahmen – d.h. zusätzlich zu den Standardvertragsklauseln – erforderlich sein können, wobei diese Massnahmen technischer oder organisatorischer Natur sein können.
Offen ist vor diesem Hintergrund unter anderem, welche Punkte das TIA umfassen soll. Der EuGH hat hierzu wenig Konkretes festgehalten, ebenso wie im Anschluss an “Schrems II” die Aufsichtsbehörden. Der deutsche Bundesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI; zuständig für den öffentlichen Datenschutz) hat nun ein Prüfschema für Drittstaatentransfers veröffentlicht, das das TIA inhaltlich zwar kaum konkretisiert, die Diskussion aber etwas strukturieren kann.