TIA (Transfer Impact Assessment)
EDSA Empfehlung 01/2020 — Drittland-Risikobewertung
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Transfer Impact Assessment ist die strukturierte Bewertung, ob im Empfängerland personenbezogene Daten effektiv geschützt sind — gefordert seit EuGH C-311/18 (Schrems II) und konkretisiert in EDSA-Empfehlung 01/2020.
Was ist TIA (Transfer Impact Assessment)?
TIA-Mindestschritte:
- Beschreibung der Übermittlung
- Identifikation des Übermittlungsinstruments (SCC, BCR)
- Effektivität im Drittland prüfen
- Zusätzliche Maßnahmen identifizieren
- Verfahrensschritte
- Re-Evaluation
Praxisbeispiel
Für Microsoft 365 mit US-Sub-Verarbeitern: TIA dokumentiert FISA 702-Risiko, Verschlüsselung in Transit + at-rest, Customer-Lockbox-Funktion, EU-Datenboundary.
Häufig gestellte Fragen
Pflicht für jeden Anbieter?
Bei Drittland ja. Bei DPF-zertifizierten US-Anbietern empfohlen.
Wer macht TIA?
Verantwortlicher (Sie). Empfänger muss kooperieren (Art. 28 + AVV).
Wie oft erneuern?
Bei wesentlichen Änderungen + mindestens jährlich.