Wie vermutlich viele andere auch, beschäftige ich mich sehr viel mit Drittlandübermittlungen, SCCs und DTIA.
Dabei stellen sich mir immer wieder die gleichen Fragen. Vielleicht hat hier jemand ein paar Erfahrungswerte.
So wie ich Klausel 14 der SCC verstehe, ist immer ein Data Transfer Impact Assessment (DTIA) durchzuführen, sobald die SCC vereinbart werden. Ein DTIA ist in der Regel aber recht umfangreich und aufwändig.
Daher mache ich regelmäßig die Erfahrung, eine ungläubige und/oder genervte Reaktion zu bekommen, wenn ich vorbringe, dass ein DTIA durchgeführt werden muss, auch wenn nur ein einziges kleines Tool eines US-Anbieters verwendet werden soll (und damit personenbezogene Daten in die USA übermittelt werden) und mit diesem einen Auftragsverarbeitungsvertrag inkl. SCC geschlossen wird.
Ich habe auch generell den Eindruck, dass die SCC sehr fleißig verwendet werden, dass aber kaum jemand ein DTIA durchführt.
Mich würde daher interessieren, ob meine oben genannte Rechtsauffassung, dass mit den SCCs immer auch ein DTIA notwendig ist, richtig ist; Gegenteiliges konnte ich bisher nicht finden. Falls tatsächlich immer ein DTIA notwendig ist, wenn SCC vereinbart werden, würden mich auch eure Erfahrungen mit DTIA interessieren - habt ihr auch den Eindruck, dass das nur selten beachtet wird? Wie bringt ihr es in der Beratung, im Unternehmen und co. vor? Wie kann man das praxistauglich und mit möglichst wenig Aufwand lösen?