Vor sechs Jahren im Juli entschied der Europäische Gerichtshof in Schrems II (Rechtssache C-311/18), dass personenbezogene Daten, die aus der EU in ein Drittland übermittelt werden, einen "im Wesentlichen gleichwertigen" Schutz genießen müssen — und dass Organisationen, die Daten übermitteln, dies selbst überprüfen müssen, Übermittlung für Übermittlung. Damit war die Transfer Impact Assessment geboren.
Sechs Jahre später bleibt sie der operativ unangenehmste Teil der DSGVO-Compliance für KMU. Die meisten Datenflüsse berühren die USA, das Vereinigte Königreich, Indien oder Brasilien. Die meisten Organisationen wissen nicht, in welches Land ihr Cookie-Tracking-SDK sich meldet. Und das EU-US Data Privacy Framework — 2023 als Ersatz für das ungültige Privacy Shield verabschiedet — steht selbst unter rechtlicher Anfechtung in Schrems III, mit einer EuGH-Entscheidung erwartet Ende 2026 oder Anfang 2027.
Dieser Leitfaden erklärt, was eine Transfer Impact Assessment im Jahr 2026 von einem KMU tatsächlich verlangt, die sechs Schritte, die einen TIA verteidigungsfähig machen, und wie Sie sie in die Datenkarte integrieren, die Sie bereits pflegen.
Was ist eine Transfer Impact Assessment?
Eine Transfer Impact Assessment (TIA) ist die dokumentierte Analyse, die DSGVO-Kapitel V verlangt, wenn personenbezogene Daten aus dem EWR in ein Drittland (ein Land außerhalb des EWR) übermittelt werden. Sie beantwortet zwei Fragen:
- Ist die Übermittlung durch einen Artikel-46-Übermittlungsmechanismus geschützt — Standardvertragsklauseln, Binding Corporate Rules, einen genehmigten Verhaltenskodex oder ein Zertifizierungssystem?
- Bietet das Recht des empfangenden Landes einen im Wesentlichen gleichwertigen Schutz wie die DSGVO — oder benötigen Sie zusätzliche Maßnahmen (Verschlüsselung, Pseudonymisierung, vertragliche Ergänzungen), um die Lücke zu schließen?
Die erste Frage ist vertraglich. Die zweite ist die schwierige. EDPB-Empfehlungen 01/2020 legen die Methodik fest; nationale Aufsichtsbehörden haben mit länderspezifischen Leitfäden darauf aufgebaut.
Eine TIA ist keine einmalige Übung. Die Analyse muss überarbeitet werden, wenn sich das Recht des empfangenden Landes ändert (ein neues Überwachungsgesetz, ein Gerichtsurteil), wenn sich die Übermittlungsvereinbarung ändert (neuer Auftragsverarbeiter, neuer Unterauftragsverarbeiter) oder nach einem schwerwiegenden Vorfall.
Das Schrems-II-Erbe: warum es TIAs gibt
Im Juli 2020 erklärte der EuGH das EU-US Privacy Shield in Schrems II für ungültig. Das Gericht stellte fest, dass US-Überwachungsgesetze (FISA Section 702, Executive Order 12333) US-Geheimdiensten Zugriff auf personenbezogene Daten von EU-Bürgern gaben, der mit den Schutzstandards der DSGVO unvereinbar war — und dass das US-Rechtssystem keinen wirksamen Rechtsbehelf für Nicht-US-Personen bot.
Das Urteil hat nicht nur das Privacy Shield für ungültig erklärt. Es etablierte eine Methodik: Jeder Übermittlungsmechanismus — SCC, BCR, was auch immer — funktioniert nur, wenn der rechtliche Kontext des empfangenden Landes tatsächlich zulässt, dass die Schutzbestimmungen im Vertrag wirksam sind. Eine Klausel, die den Importeur verpflichtet, Zugriffsanfragen ausländischer Behörden abzulehnen, ist bedeutungslos, wenn lokales Recht zur Einhaltung zwingt.
EDPB-Empfehlungen 01/2020 (endgültige Fassung November 2020) übersetzten das Urteil in die Sechs-Schritt-TIA-Methodik, die seitdem weitgehend stabil geblieben ist. Nationale Aufsichtsbehörden — die CNIL in Frankreich, die AP in den Niederlanden, die deutschen Aufsichtsbehörden, die AEPD in Spanien, die ICO im Vereinigten Königreich — haben Umsetzungshinweise veröffentlicht, aber der EDPB-Rahmen ist die gemeinsame Grundlage.
Wann braucht ein KMU eine TIA?
Drei Auslöser, alle Routine für jedes KMU, das gängige SaaS nutzt:
- Jeder Auftragsverarbeiter in einem Drittland. US-CRMs, US-Analyseplattformen, indische Helpdesk-Anbieter, philippinische BPO-Dienste. Wenn sie EU-personenbezogene Daten verarbeiten, brauchen Sie eine TIA pro Auftragsverarbeiter (oder pro Unterauftragsverarbeiter, wenn Übermittlungen verkettet sind).
- Jede Unterauftragsverarbeiter-Beziehung, die Grenzen überschreitet. Ihre EU-gehostete SaaS nutzt einen indischen Support-Vertragspartner, der Tickets mit EU-personenbezogenen Daten lesen kann — das ist eine Übermittlung.
- Jeder KI-Dienst, der Daten außerhalb der EU verarbeitet. Die meisten Anbieter großer Modelle verarbeiten Inferenz in US-Rechenzentren. Auch wenn der Vertrag "EU-gehostet" sagt, fragen Sie, wo die Inferenz tatsächlich läuft.
Was ist mit Angemessenheitsbeschlüssen? Stand April 2026 genießen vierzehn Jurisdiktionen einen Angemessenheitsbeschluss: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich und Uruguay. Eine Übermittlung in eines dieser Länder erfordert keine vollständige TIA — die Europäische Kommission hat die Analyse für Sie durchgeführt. Sie dokumentieren die Übermittlung weiterhin in Ihrem Verarbeitungsverzeichnis, aber zusätzliche Maßnahmen sind nicht nötig.
Die USA sind ein Sonderfall. Das EU-US Data Privacy Framework (DPF) bietet Angemessenheit für US-Organisationen, die sich selbst zertifizieren. Stand April 2026 ist dieser Rahmen noch in Kraft, aber unter Anfechtung beim EuGH (Schrems III). Viele EU-KMU greifen einer möglichen Ungültigkeitserklärung vor, indem sie US-Übermittlungen so behandeln, als gäbe es keine Angemessenheit — vollständige TIAs und zusätzliche Maßnahmen, auch wenn der Empfänger DPF-zertifiziert ist. Das ist konservativ; es ist auch verteidigungsfähig.
Die EDPB-Sechs-Schritt-TIA-Methodik
EDPB-Empfehlungen 01/2020 legen die kanonische Struktur fest. Jeder Schritt ist ein Abschnitt in Ihrem TIA-Dokument.
Schritt 1: Kennen Sie Ihre Übermittlung
Dokumentieren Sie, wer was an wen übermittelt, wohin und zu welchem Zweck. Ohne dies ist der Rest unmöglich. Erfassen Sie pro Übermittlung:
- Den Exporteur (Sie oder Ihr Auftragsverarbeiter)
- Den Importeur (die empfangende Organisation)
- Die Kategorien betroffener Personen und personenbezogener Daten
- Das Volumen und die Häufigkeit
- Den Zweck
- Weiterleitungen (Unterauftragsverarbeiter, Unter-Unterauftragsverarbeiter)
Das sind genau die Daten, die Ihr Verarbeitungsverzeichnis bereits enthält, wenn Ihre Datenkarte aktuell ist. Der DSGVO-Datenmapping-Leitfaden deckt die Inventarschicht ab.
Schritt 2: Identifizieren Sie das Übermittlungsinstrument
Identifizieren Sie für jede Übermittlung den Artikel-46-Mechanismus: 2021-SCCs, BCRs, einen genehmigten Verhaltenskodex oder ein Zertifizierungssystem. Die meisten KMU-Übermittlungen verwenden SCCs (die Standardvertragsklauseln der Europäischen Kommission, im Juni 2021 in vier Modulen modernisiert: C2C, C2P, P2C, P2P).
Wenn kein Artikel-46-Instrument die Übermittlung abdeckt, können Sie sich nicht auf Artikel-49-Ausnahmen stützen, außer in eng definierten Fällen — ausdrückliche Einwilligung, Notwendigkeit zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses. Artikel-49-Ausnahmen sind außergewöhnlich, kein Notnagel für Routineverarbeitung.
Schritt 3: Bewerten Sie das Recht des Drittlandes
Ermöglicht das Recht des importierenden Landes, dass die Schutzbestimmungen in den SCCs wirksam sind? Das ist der schwierige Schritt. Sie bewerten:
- Überwachungsgesetze (haben ausländische Geheimdienste Zugriff?)
- Behördliche Zugriffsregime (Anordnungen, Vorladungen, National Security Letters)
- Wirksamer Rechtsbehelf (können betroffene EU-Bürger Zugriffe anfechten?)
- Unabhängigkeit der Aufsichtsbehörden
Länderspezifische Bewertungen, die von Branchenverbänden, Aufsichtsbehörden und Anwaltskanzleien veröffentlicht werden, können zitiert werden. Die CNIL pflegt eine nützliche Länderrisikomatrix; der EDPB hat bestimmte Länder — die USA unter FISA 702, China unter dem National Intelligence Law, Russland, Indien unter den IT-Regeln — als Hochrisiko gekennzeichnet.
Schritt 4: Identifizieren Sie zusätzliche Maßnahmen
Wenn das Recht des Drittlandes keinen im Wesentlichen gleichwertigen Schutz bietet, müssen zusätzliche Maßnahmen die Lücke schließen. EDPB-Empfehlungen identifizieren drei Kategorien:
- Technisch — starke Verschlüsselung mit Schlüsseln in der EU, Pseudonymisierung, Secure Multi-Party Computation. Dies ist die am besten verteidigungsfähige Kategorie.
- Vertraglich — zusätzliche Klauseln, die den Importeur verpflichten, Zugriffsanfragen anzufechten, den Exporteur zu benachrichtigen, Transparenzberichte zu veröffentlichen. Nützlich, aber begrenzt; Verträge können nationales Recht nicht außer Kraft setzen.
- Organisatorisch — interne Richtlinien zur Beantwortung von Zugriffsanfragen, Schulungen, Governance. Nützlich als Beweis für Sorgfalt.
Die Kombination hängt von der Datenkategorie und dem Risiko ab. Für besondere Kategorien personenbezogener Daten, die an einen US-Auftragsverarbeiter gesendet werden, ist Ende-zu-Ende-Verschlüsselung mit in der EU gehaltenen Schlüsseln im Wesentlichen die Untergrenze. Für risikoarme Betriebsdaten können vertragliche Maßnahmen ausreichen.
Schritt 5: Dokumentieren Sie die Bewertung
Die TIA ist selbst ein Dokument. Sie erfasst die Analyse aus den Schritten 1–4, das Ergebnis (akzeptabel / erfordert weitere Maßnahmen / nicht zulässig), die übernommenen zusätzlichen Maßnahmen, die verantwortliche Person und das nächste Überprüfungsdatum. Ohne Dokumentation können Sie der Aufsichtsbehörde keine Compliance nachweisen.
Ein seriöses TIA-Tool speichert die Bewertung als strukturierte Daten — keine Word-Datei in einem SharePoint-Ordner — sodass Sie Fragen wie "zeige mir alle TIAs für Übermittlungen in die USA, die als bedingt genehmigt abgeschlossen wurden" beantworten können. Hier zahlt sich auch die Integration mit Ihrem DSFA-Workflow aus: Dieselbe Verarbeitung kann Gegenstand sowohl einer Artikel-35-DSFA als auch einer Kapitel-V-TIA sein, und die Dokumentation sollte sich nicht doppeln.
Schritt 6: Erneut bewerten
Drei Auslöser erzwingen eine Neubewertung:
- Eine wesentliche Änderung im Recht des importierenden Landes (ein neues Überwachungsgesetz, ein Gerichtsurteil wie Schrems II oder dessen späterer Nachfolger)
- Eine wesentliche Änderung in der Übermittlung (neuer Auftragsverarbeiter, neuer Unterauftragsverarbeiter, neue Datenkategorie)
- Ein schwerwiegender Vorfall (eine Datenschutzverletzung beim Importeur, eine eingegangene behördliche Zugriffsanfrage)
Über die Auslöser hinaus fängt eine geplante jährliche Überprüfung Drift ab. Jede TIA sollte das nächste Überprüfungsdatum aufzeichnen.
Die Übermittlungslandschaft 2026
Eine Momentaufnahme dessen, was ein KMU heute pro Land vorfindet.
Vereinigte Staaten. EU-US Data Privacy Framework in Kraft; Schrems III beim EuGH anhängig mit einer Entscheidung erwartet Ende 2026 oder Anfang 2027. DPF-zertifizierte US-Importeure können nach geltendem Recht als angemessen behandelt werden, aber konservative Praxis wendet zusätzliche Maßnahmen ohnehin an. Ende-zu-Ende-Verschlüsselung mit in der EU gehaltenen Schlüsseln bleibt die stärkste technische Maßnahme.
Vereinigtes Königreich. Angemessenheitsbeschluss in Kraft, Erneuerung 2026. Das Vereinigte Königreich ist in einigen Bereichen von der DSGVO abgewichen (gelockerte Cookie-Regeln, lockerere KI-Regulierung), behält aber DSGVO-äquivalente Übermittlungsregeln bei. Die britische ICO ist weitgehend mit dem EDPB abgestimmt.
Indien. Kein Angemessenheitsbeschluss. Der Digital Personal Data Protection Act 2023 hat einige Grundschutzmaßnahmen angehoben, aber Überwachungsbefugnisse unter den IT-Regeln bleiben ein Bedenken. Behandeln Sie als Hochrisiko; zusätzliche Maßnahmen erforderlich.
China. Kein Angemessenheitsbeschluss. Das Personal Information Protection Law (PIPL) verlangt ausdrückliche Einwilligung für grenzüberschreitende Übermittlungen und behördliche Sicherheitsbewertungen für große Übermittlungen. Kombiniert mit dem National Intelligence Law erfordern Übermittlungen nach China starke zusätzliche Maßnahmen oder Ausnahmen.
Brasilien. Noch kein Angemessenheitsbeschluss, aber das LGPD bietet DSGVO-ähnlichen Schutz. Die Europäische Kommission hat Brasilien für eine mögliche Angemessenheitsbewertung 2026 markiert. Behandeln Sie als mittleres Risiko; Standard-SCCs plus Überwachung sind in der Regel verteidigungsfähig.
TIAs in Ihre Datenkarte integrieren
Ein TIA-Tool, das von Ihrem Übermittlungsinventar getrennt ist, macht die Arbeit doppelt. Jede Übermittlung in Ihrer Datenkarte sollte bereits enthalten:
- Das Zielland
- Den Übermittlungsmechanismus
- Die Rechtsgrundlage
- Die Datenkategorie
- Das Volumen und die Häufigkeit
Wenn diese Daten strukturiert sind, wird das Erstellen einer TIA zu einer Frage der Bestätigung der Heuristik und des Hinzufügens der länderspezifischen Analyse. Readmodel® behandelt jede Übermittlung in Ihrer Karte als Kandidat für eine TIA: Wenn das Zielland außerhalb der Angemessenheitsliste liegt, kennzeichnet das System die Übermittlung im Risikoregister und bietet einen TIA-Workflow, der die Schritte 1, 2 und 6 aus dem Inventar vorbefüllt.
Für den breiteren DSFA-Workflow, der oft parallel zu einer TIA läuft, siehe den DPIA-Automatisierungstools-Leitfaden.
Transfer Impact Assessment: häufig gestellte Fragen
Ist eine Transfer Impact Assessment nach DSGVO gesetzlich vorgeschrieben? Der DSGVO-Text verwendet den Begriff "Transfer Impact Assessment" nicht. Die Anforderung ergibt sich aus Schrems II (EuGH C-311/18) und EDPB-Empfehlungen 01/2020, die die Artikel 44–49 der DSGVO auslegen. Aufsichtsbehörden erwarten nun eine dokumentierte TIA für jede Übermittlung in ein Drittland ohne Angemessenheit. Praktisch: ja — durch Rechtsprechung und EDPB-Leitlinien.
Brauche ich eine TIA für Übermittlungen in die USA unter dem EU-US Data Privacy Framework? Strenge Lesart: nein — DPF-Zertifizierung bietet Angemessenheit. Praktische Lesart: ja, leichtgewichtig. Die Schrems-III-Klage bedeutet, dass sich der DPF-Status ändern könnte. Eine TIA zu dokumentieren, die zu dem Schluss kommt "angemessen unter DPF, Überwachung auf Rechtsänderungen", gibt Ihnen sowohl Compliance heute als auch Schutz für die Zukunft, falls der Rahmen fällt.
Was ist der Unterschied zwischen einer TIA und einer DSFA? Eine DSFA (Artikel 35) bewertet Hochrisiko-Verarbeitung auf ihre Auswirkungen auf Betroffene. Eine TIA (Kapitel V via Schrems II) bewertet, ob eine Übermittlung in ein Drittland einen DSGVO-äquivalenten Schutz aufrechterhält. Dieselbe Verarbeitung kann beide erfordern: Hochrisiko-Verarbeitung mit Drittlandübermittlung erfordert sowohl eine DSFA ALS AUCH eine TIA. Moderne Compliance-Tools speichern beide als verknüpfte Datensätze.
Brauchen kleine Unternehmen eine TIA? Wenn Sie Nicht-EU-SaaS verwenden, das personenbezogene Daten verarbeitet — und fast jedes KMU tut das — ja. Es gibt keine Artikel-30(5)-ähnliche Mitarbeiteranzahl-Ausnahme für Übermittlungen. Die Tiefe der Analyse kann verhältnismäßig sein, aber die Dokumentation muss vorhanden sein.
Was ist der Unterschied zwischen SCCs und BCRs? SCCs sind die vorab genehmigten Standardverträge der Europäischen Kommission, die jedes Paar von Organisationen übernehmen kann. Sie wurden im Juni 2021 mit vier Modulen modernisiert. BCRs (Binding Corporate Rules) sind konzerninterne Regeln für große multinationale Gruppen, die von einer Aufsichtsbehörde genehmigt wurden. BCRs sind teuer zu erlangen, aber im Maßstab einfacher zu betreiben; SCCs sind zugänglich, erfordern aber Arbeit pro Beziehung. Die meisten KMU verwenden SCCs.
Kann ich mich auf Artikel-49-Ausnahmen verlassen? Für Routineverarbeitung nein. Die Ausnahmen sind für enge, außergewöhnliche Fälle vorgesehen: ausdrückliche Einwilligung für eine bestimmte Übermittlung, Notwendigkeit zur Vertragserfüllung mit der betroffenen Person, wichtige Gründe des öffentlichen Interesses. Der EDPB war nachdrücklich, dass Artikel 49 kein Workaround für fehlende Artikel-46-Mechanismen ist.
Wie oft sollte ich meine TIAs aktualisieren? Drei Auslöser erzwingen eine Aktualisierung: eine Änderung im Recht des importierenden Landes, eine Änderung in der Übermittlungsvereinbarung, ein schwerwiegender Vorfall. Eine geplante jährliche Überprüfung fängt Drift ab. Die meisten Aufsichtsbehörden erwarten, dass TIAs zum Zeitpunkt der Inspektion nicht älter als 12 Monate sind.
Was passiert, wenn Schrems III das EU-US Data Privacy Framework für ungültig erklärt? Wenn der EuGH das DPF für ungültig erklärt, verlieren DPF-zertifizierte US-Importeure ihren Angemessenheitsstatus. KMU, die präventiv zusätzliche Maßnahmen angewendet haben, werden weitgehend unbetroffen sein. KMU, die sich ausschließlich auf das DPF verlassen, müssen rasch SCCs plus zusätzliche Maßnahmen einführen oder die Verarbeitung zurück in den EWR verlagern. Die Lehre aus 2020 (Privacy-Shield-Ungültigkeitserklärung): Konservative Praxis jetzt erspart Ihnen ein Krisenmanagement später.
Beginnen Sie heute mit der Dokumentation Ihrer Übermittlungen
Eine TIA ist kein einmaliges Formular — sie ist Dokumentation, die der Realität folgen muss, wohin Ihre Daten gehen, wer Zugriff hat und unter welchem Rechtsregime. Das Dateninventar ist das Fundament; die TIA wird darauf aufgebaut.
Erstellen Sie ein kostenloses Readmodel®-Konto, dokumentieren Sie Ihre Dienste und Übermittlungen, und das System kennzeichnet jede grenzüberschreitende Übermittlung, die eine TIA benötigt. Vorlagen für die EDPB-Sechs-Schritt-Methodik, länderspezifische Risikohinweise und Integration mit dem DSFA-Workflow sind in jedem Tarif verfügbar, einschließlich des kostenlosen Explore-Plans.