ai-finden.de
Startseite Lexikon Was ist eine TIA (Transfer Impact Assessment)?
Lexikon 🧠 Grundlagen

Was ist eine TIA (Transfer Impact Assessment)?

A. Blick A. Blick  ·  Stand: 11. Juni 2026  ·  Lesezeit: 7 Min.

Wenn ein KMU Cloud-Software nutzt, deren Server in den USA stehen, wird es früher oder später mit einer Frage konfrontiert: Sind meine Kundendaten dort sicher? Die Antwort liefert eine Transfer Impact Assessment — kurz TIA. Sie ist kein optionaler Best-Practice-Check, sondern datenschutzrechtlich verpflichtend, sobald personenbezogene Daten in sogenannte Drittländer übertragen werden.

Kurze Antwort

Eine TIA ist eine strukturierte Risikoanalyse, die ein Unternehmen durchführen muss, bevor es personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) überträgt — zum Beispiel in die USA. Sie prüft, ob der Empfänger die Daten trotz lokaler Gesetze ausreichend schützen kann. Das Ergebnis entscheidet, ob der Datentransfer zulässig ist und welche zusätzlichen Maßnahmen nötig sind.

Viele Unternehmen verwechseln die drei zentralen Instrumente des Drittlandtransfers:

InstrumentZweck
SCCs (Standardvertragsklauseln)Vertragliche Grundlage für den Transfer
DPF (Data Privacy Framework)Angemessenheitsbeschluss für zertifizierte US-Unternehmen
TIA (Transfer Impact Assessment)Risikoprüfung der tatsächlichen Schutzsituation im Zielland

SCCs und DPF regeln die rechtliche Grundlage — die TIA prüft, ob der Schutz in der Praxis tatsächlich greift.

Definition

Eine TIA (auch: Drittlandtransfer-Risikoanalyse) ergibt sich aus dem Schrems-II-Urteil des EuGH (2020) und dem Leitfaden 05/2021 des Europäischen Datenschutzausschusses (EDSA). Sie ergänzt die Standardvertragsklauseln (SCCs), die allein nicht mehr ausreichen, um die Rechtmäßigkeit eines Datentransfers zu belegen.

Eine TIA umfasst typischerweise:

  1. Zweck und Umfang des Transfers: Welche Datenkategorien werden übermittelt? An wen? Wie oft?
  2. Rechtslage im Empfängerland: Welche Gesetze erlauben Behördenzugriff auf Daten? (Beispiel USA: CLOUD Act, FISA 702)
  3. Praktische Schutzmaßnahmen: Setzt der Empfänger technische Maßnahmen um, die Behördenzugriff faktisch verhindern — z.B. Verschlüsselung mit EU-seitig gehaltenem Schlüssel?
  4. Schlussfolgerung: Ist der Transfer zulässig — oder müssen zusätzliche Maßnahmen ergriffen werden?

Die TIA wird dokumentiert und ist bei einer Prüfung durch die Datenschutzbehörde vorzulegen.

Beispiel aus der Praxis

Ein Handwerksbetrieb nutzt ein US-amerikanisches CRM-System für die Kundenverwaltung. Der Anbieter hat SCCs angeboten und einen AVV abgeschlossen — das galt bis 2020 als ausreichend.

Nach dem Schrems-II-Urteil muss der Betrieb zusätzlich prüfen: Kann der US-Anbieter trotz CLOUD Act die Kundendaten vor Behördenzugriffen schützen? Die Antwort hängt davon ab, ob der Anbieter technische Maßnahmen einsetzt, etwa eine Verschlüsselung, bei der nur der Betrieb den Schlüssel hält. Die TIA dokumentiert genau diese Prüfung. Das Ergebnis kann sein: Transfer mit zusätzlichen Maßnahmen zulässig — oder: Anbieterwechsel zu einem EU-basierten Anbieter empfehlenswert.

Typische Anwendungsfälle

  • Cloud-Software aus den USA: CRM, ERP, Buchhaltung, KI-Tools mit US-Servern
  • E-Mail-Marketing: Newsletter-Anbieter mit Datenverarbeitung in den USA
  • KI-Dienste: Sprachmodelle, die auf US-Infrastruktur laufen
  • Video-Konferenz-Tools: Zoom, Webex, Teams (je nach Serverstandort)
  • Sub-Auftragsverarbeiter: Wenn ein EU-Anbieter selbst US-Dienstleister einsetzt
  • Recruiting-Software: Bewerberdaten, die an US-basierte ATS-Systeme übermittelt werden

DSGVO-Relevanz

Die TIA ist keine freiwillige Übung — sie ist für Verantwortliche, die Daten in Drittländer übermitteln, nach Auffassung der Datenschutzbehörden verpflichtend, seit der EDSA-Leitfaden 05/2021 die Anforderungen aus dem Schrems-II-Urteil konkretisiert hat.

Wichtig für KMU:

  • Nicht nur bei direkten Transfers: Auch wenn der eigene EU-Dienstleister Sub-Auftragsverarbeiter in Drittländern hat, besteht Handlungspflicht
  • Kein Transfer ohne TIA: Wer Daten ohne TIA in ein Drittland überträgt und dabei die Rechtmäßigkeit des Transfers nicht belegen kann, riskiert DSGVO-Verstöße — bei schwerwiegenden Fällen können nach Art. 83 DSGVO Bußgelder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden
  • Data Privacy Framework (DPF): Seit 2023 gibt es für US-Transfers unter dem DPF-Abkommen erleichterte Bedingungen. Bei DPF-zertifizierten US-Unternehmen reduziert sich der Prüfaufwand in der Praxis häufig erheblich, da der Angemessenheitsbeschluss als Grundlage dient. Unternehmen sollten dennoch dokumentieren, auf welcher Basis sie den Transfer für zulässig halten — etwa durch einen kurzen Vermerk im Verarbeitungsverzeichnis.
  • Dokumentationspflicht: Die TIA gehört ins Verzeichnis der Verarbeitungstätigkeiten oder wird separat dokumentiert
  • EU-Anbieter als Alternative: Wer keine TIA durchführen möchte oder die Komplexität reduzieren will, kann gezielt Anbieter mit ausschließlicher Datenverarbeitung im EWR wählen — dann entfällt die Drittland-Problematik vollständig.

Handlungsempfehlung: Alle genutzten Cloud-Dienste auf Serverstandort prüfen. Für Dienste außerhalb des EWR eine TIA durchführen oder durch den Datenschutzbeauftragten durchführen lassen. Ergebnis schriftlich festhalten.

Verwandte Begriffe

  • Drittlandübermittlung: Der übergeordnete Begriff — Transfer personenbezogener Daten außerhalb des EWR
  • Schrems II: Das EuGH-Urteil, das die TIA-Anforderung ausgelöst hat
  • SCCs (Standardvertragsklauseln): Das vertragliche Fundament — wird durch die TIA inhaltlich abgesichert
  • Data Privacy Framework (DPF): Vereinfachter Transfer-Mechanismus für zertifizierte US-Unternehmen
  • Cloud Act: US-Gesetz, das TIAs bei US-Anbietern besonders relevant macht
  • AVV: Vertrag mit dem Datenempfänger — Grundvoraussetzung neben der TIA

Häufige Missverständnisse

  • “SCCs reichen seit Schrems II weiterhin aus.” Nicht mehr allein. SCCs sind weiterhin nötig, aber ohne begleitende TIA — und gegebenenfalls technische Zusatzmaßnahmen — reichen sie nach dem Schrems-II-Urteil nicht aus. Der EuGH hat klargestellt, dass der Verantwortliche selbst prüfen muss, ob der Schutz im Zielland dem EU-Standard entspricht.
  • “Eine TIA brauche ich nur bei sensiblen Daten.” Falsch. Eine TIA ist bei jedem Transfer personenbezogener Daten in ein Drittland relevant — unabhängig von der Datenkategorie. Bei besonders schützenswerten Daten (Art. 9 DSGVO) ist die Sorgfaltspflicht aber noch höher.
  • “Das erledigt der Software-Anbieter für mich.” Nein. Die Pflicht zur TIA liegt beim Verantwortlichen — also beim Unternehmen, das die Software nutzt. Anbieter stellen oft Vorlagen oder Informationen bereit, aber die abschließende Beurteilung liegt beim KMU.

Häufig gestellte Fragen

Muss ein KMU selbst eine TIA durchführen oder kann das der Datenschutzbeauftragte übernehmen? Den Datenschutzbeauftragten (DSB) einzubeziehen ist sinnvoll und üblich. Der DSB berät und kann die TIA als Teil seiner Beratungsleistung übernehmen — die formale Verantwortung liegt aber beim Unternehmen.

Brauche ich für Microsoft 365 oder ChatGPT eine TIA? Viele Datenschutzberater empfehlen eine dokumentierte Prüfung der Drittlandübermittlung, auch wenn Microsoft und OpenAI zusätzliche Schutzmaßnahmen, EU-Rechenzentren und DPF-Mechanismen anbieten. Für Microsoft 365 stellt Microsoft eigene TIA-Unterlagen bereit, die als Ausgangspunkt dienen. Für ChatGPT (OpenAI) gilt: Die Verarbeitung findet primär in den USA statt; eine Dokumentation der Prüfung ist empfehlenswert, insbesondere wenn Kundendaten oder vertrauliche Inhalte verarbeitet werden.

Wie aufwendig ist eine TIA? Das hängt vom Anbieter ab. Für Standardprodukte (z.B. Microsoft 365) gibt es fertige TIA-Vorlagen und Dokumentationen der Anbieter. Eine individuelle TIA für einen unbekannten US-Dienstleister kann mehr Zeit in Anspruch nehmen — typischerweise ein bis vier Stunden für einen erfahrenen Datenschützer.

Was passiert, wenn die TIA negativ ausfällt? Dann darf der Transfer in dieser Form nicht stattfinden. Optionen: zusätzliche technische Maßnahmen (z.B. Verschlüsselung mit EU-Schlüssel), Wechsel zu einem EU-Anbieter oder — wenn unvermeidbar — das Risiko dokumentieren und Alternativen prüfen.

Gilt die TIA auch für KI-Tools? Ja. Wer KI-Tools nutzt, die Daten auf Servern außerhalb des EWR verarbeiten, muss eine TIA durchführen. Manche Anbieter bieten inzwischen EU-Rechenzentren an — dann entfällt die Drittland-Problematik.

Wie oft muss eine TIA wiederholt werden? Immer wenn sich die Rechtslage im Empfängerland wesentlich ändert, der Anbieter wechselt oder sich die übermittelten Datenkategorien erheblich ändern.

Fazit

Eine TIA ist kein bürokratischer Mehraufwand, sondern die logische Konsequenz aus dem Schrems-II-Urteil: Wer Daten ins Ausland schickt, muss wissen, ob sie dort sicher sind. Für KMU, die internationale Cloud-Software nutzen, ist die TIA inzwischen unvermeidlich. Wer frühzeitig prüft — möglichst mit Unterstützung eines Datenschutzbeauftragten — spart sich spätere Nacharbeiten und reduziert rechtliches Risiko. Wer den Aufwand dauerhaft minimieren will, prüft beim nächsten Tool-Wechsel gezielt EU-Anbieter ohne Drittlandtransfer.

Passende Tooltests

Weiterführende Begriffe

Welches Tool passt zu dir?

Unser KI-Finder empfiehlt das optimale Tool für deine Situation — in 2 Minuten.

KI-Finder starten →