Bitkom Transfer Impact Assessment Tool (BiTIAT)

Die Übermittlung von personenbezogenen Daten basierend auf den EU-Standarddatenschutzklauseln erfordert eine Beurteilung der besonderen Umstände der Übermittlung sowie der relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes. Diese Prüfung wird auch Transfer Impact Assessment (TIA) genannt.

Der Arbeitskreis Datenschutz des Bitkom hat seine Expertise in einer Systematik zur Unterstützung eines solchen TIA gebündelt und in dieses Tool (BiTIAT) überführt.

Das BiTIAT nimmt Ihnen die Pflichten als Verantwortliche/Verantwortlicher und Datenexporteur nicht ab, sondern bietet ein strukturiertes Rahmenwerk für die Bewertung und Dokumentation. Es stellt auch keine Rechtsberatung dar. Im Falle von Unsicherheiten bei der Dateneingabe sollten Sie fachlich qualifizierte Hilfe in Anspruch nehmen. Das gilt auch bei der Entscheidung über die Anwendung zusätzlicher Maßnahmen. Lassen Sie sich auch bei der Entscheidung zu Datentransfers kompetent beraten.

Den finalen Report können Sie als Word-Datei exportieren und ggf. auch noch anpassen. Sie können ihn zum Bestandteil weiterer Dokumentationen machen. Er enthält auch einige Erläuterungen zur Methode, um die Prüfung beispielsweise durch eine Aufsichtsbehörde zu unterstützen.

Das Tool bewertet ausschließlich zusätzliche Gefährdungen, die sich aus dem Umstand der Übermittlung von personenbezogenen Daten in ein unsicheres Drittland ergeben. Daher müssen Sie die grundsätzliche Zulässigkeit der Verarbeitung sowie die allgemein notwendigen technischen und organisatorischen Maßnahmen vorher feststellen.

Ferner wird der Abschluss von aktuell gültigen Standarddatenschutzklauseln vorausgesetzt.

Zur Nutzung des Tools müssen Sie über ein Mindestmaß an Kenntnissen über die Datenübermittlung verfügen. Das schließt insbesondere Informationen zur Herkunft und zum Schutzbedarf der Daten sowie zur weiteren Verarbeitungskette ein. Natürlich müssen Sie auch das betreffende Drittland kennen.

Bei der Auswahl von Maßnahmen aus dem Maßnahmenprofil bedarf es Kenntnisse und Expertise über die Umsetzbarkeit von Maßnahmen im konkreten Szenario. Daher kann es ratsam sein, in einem ersten Durchlauf ohne Bewertung von einzelnen Maßnahmen einen Export des Reports zu erzeugen und die vorgeschlagenen Maßnahmen mit den Experten und ggf. dem Datenimporteur zu besprechen. Anschließend können Sie in einem zweiten Durchlauf die vollständige Bewertung von Maßnahmen im Tool hinterlegen und einen finalen Report erzeugen.

Das BiTIAT bietet Ihnen einen Rahmen für die Durchführung Ihrer Transfer Impact Assessments und stellt Ihnen zudem die erforderliche Dokumentation bereit. Es standardisiert die Analyse des Drittlands und des jeweiligen Datentransfers. Die Software schlägt Ihnen zudem zusätzliche Schutzmaßnahmen vor. Mögliche Gefährdungen für relevante Datenschutzziele der DSGVO verknüpfen die genannten Komponenten. Die Modellierung dieser Gefährdungen ist zentraler Baustein der bereitgestellten Standardisierung und Automatisierung.

Von Ihnen eingegebene Daten wirken als Eingangsgrößen für die Ermittlung von möglichen Gefährdungen für die Freiheiten und Rechte der Betroffenen, die Gewährleistungsziele. Diese Gefährdungen werden zunächst in Echtzeit für den Datenübermittlungsvorgang berechnet („Übermittlungsprofil“). Für einige Länder wurden bereits Analysen nach den Maßgaben der Standarddatenschutzklauseln durchgeführt. Hieraus wurden ebenfalls Gefährdungen für die Gewährleistungsziele ermittelt (das sogenannte „Drittlandsprofil“).

Das Tool verknüpft im Hintergrund das Übermittlungs- und das Drittlandsprofil. Es entsteht ein Gefährdungsprofil für die konkrete Übermittlung.

In der Software sind Schutzmaßnahmen verschiedener Kategorien hinterlegt (organisatorisch, technisch, vertraglich). Die Zuordnung der einzelnen Maßnahmen zu einzelnen Gefährdungen ist statisch vorbestimmt. Das BiTIAT stellt sie aber in Abhängigkeit vom Gefährdungsprofil dynamisch zusammen („Maßnahmenprofil“). Das Maßnahmenprofil ist die Arbeitsgrundlage für Ihre Bewertungen und Entscheidungen.

Das BiTIAT beruht also neben den statischen Festlegungen vor allem auf Ihrer Dateneingabe. Die Software speichert Daten nur flüchtig. Sie können einmal begonnene Assessments nicht zwischenspeichern. Führen Sie sie also am besten zu Ende. Exportieren Sie am Ende die Ergebnisse als Word-Datei. Andernfalls beginnen Sie die Analyse nach Unterbrechung bitte neu.