Erfahrungen mit DTIA

Datenschutz
1

Wie vermutlich viele andere auch, beschäftige ich mich sehr viel mit Drittlandübermittlungen, SCCs und DTIA.
Dabei stellen sich mir immer wieder die gleichen Fragen. Vielleicht hat hier jemand ein paar Erfahrungswerte.

So wie ich Klausel 14 der SCC verstehe, ist immer ein Data Transfer Impact Assessment (DTIA) durchzuführen, sobald die SCC vereinbart werden. Ein DTIA ist in der Regel aber recht umfangreich und aufwändig.

Daher mache ich regelmäßig die Erfahrung, eine ungläubige und/oder genervte Reaktion zu bekommen, wenn ich vorbringe, dass ein DTIA durchgeführt werden muss, auch wenn nur ein einziges kleines Tool eines US-Anbieters verwendet werden soll (und damit personenbezogene Daten in die USA übermittelt werden) und mit diesem einen Auftragsverarbeitungsvertrag inkl. SCC geschlossen wird.
Ich habe auch generell den Eindruck, dass die SCC sehr fleißig verwendet werden, dass aber kaum jemand ein DTIA durchführt.

Mich würde daher interessieren, ob meine oben genannte Rechtsauffassung, dass mit den SCCs immer auch ein DTIA notwendig ist, richtig ist; Gegenteiliges konnte ich bisher nicht finden. Falls tatsächlich immer ein DTIA notwendig ist, wenn SCC vereinbart werden, würden mich auch eure Erfahrungen mit DTIA interessieren - habt ihr auch den Eindruck, dass das nur selten beachtet wird? Wie bringt ihr es in der Beratung, im Unternehmen und co. vor? Wie kann man das praxistauglich und mit möglichst wenig Aufwand lösen?

2

Ich stimme zu - dass es eins von mehren Themen ist, dass von Verantwortlichen zu locker gesehen wird.

Andere Themen wo die ebenfalls in diese Kategorie gehören wären DSFA, Dokumentation etc.

Aber es kommt auch drauf an wen du fragst… oft wird ein TIA quasi im Kopf gemacht ohne es wirklich zu dokumentieren und festzuhalten. Wenn man die Leute aber fragt sieht man das sie sich zu den Punkten gedanken machen (die einen mehr als die anderen).

Ich weise halt auf die Risiken hin und erkläre was es mit unsicheren Ländenr auf sich hat… also ich denke das es an eingen Stellen schon gut funktioniert und andere langsam aufwachen :slight_smile:

Praxistauglichkeit - da helfen Richtlinien und Vorlagen bzw. Muster oder Formulare die man erstellen kann. Eine optimale Variante habe ich noch nicht und freue mich auch über Input. Ich hatte hier vor einiger Zeit mal nach gefragt: Vorlagen / Muster für ein Transfer Impact Assesment