Nadja Bunk
Für BvD-Mitglieder: Arbeitshilfe Data Transfer Impact Assessment (TIA) – eine thematische Einführung
Der BvD veröffentlicht zusammen mit der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) und der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) die Arbeitshilfe „Datenverarbeitung in einem Drittland: Data Transfer Impact Assessment (TIA) – eine Einführung ins Thema“.
Als Drittland, oftmals auch Drittstaat genannt, werden aus europäischer Sicht alle Staaten bezeichnet, welche nicht zum Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR) gehören. Wenn unter Geltung der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten in einem oder mehreren Drittländern verarbeitet werden, muss gemäß Art. 44 S. 1 DSGVO zwingend allen in Kap. V DSGVO enthaltenen Bedingungen genügt werden, aber gleichermaßen auch alle anderen Vorgaben der DSGVO eingehalten werden. Es ist dabei unerheblich, ob die personenbezogenen Daten von einem innerhalb der EU befindlichen bzw. agierenden Verantwortlichen oder Auftragsverarbeiter einem anderen Verantwortlichen, einem anderen Auftragsverarbeiter oder sonstigen Dritten (wie z. B. einer staatlichen Behörde) in einem Drittland zur Kenntnisnahme oder Verarbeitung bereitgestellt werden. Die Vorgaben der DSGVO müssen uneingeschränkt gewährleistet werden.
Liegt kein Art. 45 DSGVO genügender Angemessenheitsbeschluss der EU-Kommission vor, dürfen entsprechend den Vorgaben von Art. 46 Abs. 1 DSGVO Verantwortliche oder Auftragsverarbeiter nur Daten in einem Drittland oder von einer internationalen Organisation verarbeiten lassen, wenn
a) geeignete Garantien vorgesehen sind, welche sicherstellen, dass das von der DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird, sowie
b) durchsetzbare Rechte und wirksame Rechtsbehelfe für betroffene Personen zur Verfügung stehen.
Die Beurteilung, ob diese Vorgaben erfüllt sind oder nicht, wird häufig als „Data Transfer Impact Assessment“ (DTIA) oder kürzer als „Transfer Impact Assessment“ (TIA) bezeichnet. In der von BvD und GMDS erstellten Arbeitshilfe wird dargestellt, worauf bei einer TIA zu achten ist und wie bei einer TIA vorgegangen werden kann. Hierzu werden einerseits die von der EU-Kommission bereitgestellten Instrumente aus Kap. V DSGVO betrachtet, die ihrerseits Einfluss auf die Anforderungen an eine TIA aufweisen, andererseits das Urteil des EuGH in der Sache Schrems II, aus welchem ebenfalls zu beachtende Anforderungen, die in einer TIA geprüft werden müssen, erwachsen.