Update: 28.09.2022
-> Einarbeitungen von Klarstellungen und verdeutlichen von Inhalten.
Der Weg zur TIA
Ein Transfer-Impact-Assessment ist ein Risiko-Assessment und konzentriert sich auf den Datentransfer in ein unsicheres Drittland. Es gilt den Transfer so genau wie möglich zu bestimmen, die Rechtsgrundlagen für den Transfer festzulegen und das Risiko der Übertragung und Verarbeitung in z.B. den USA einzuschätzen. Im Rahmen Zusammenarbeit wurden den Businesskunden Unterlagen zur Verfügung gestellt (z.B. EU Standardvertragsklauseln), aber keine TIA an sich.
Die Microsoft Veröffentlichung- eine TIA?
Genügt das Addendum-International Data Transfer oder benötigt man noch eine eigene TIA?
Zunächst ist schon festgestellt worden, dass das nun veröffentlichte Dokument keine TIA ist. Es ist nur ein auch benötigtes Addendum-International Data Transfer zu den EU Standardvertragsklauseln. Daher muss man sich doch der Frage stellen:
Die zwei Meinungen zum Erstellen einer TIA für Microsoft 365
Nun gibt es zwei Meinungen zu dem Thema Microsoft TIA für Microsoft 365 und auch die Azure Dienste. Der Transfer findet zwischen Microsoft Irland und Microsoft Corp. USA statt und betrifft Diagnose- und Telemetriedaten und weitere Daten die zu Abrechnungszwecken, aber auch zu Zwecken der Skalierung und Finanzreporting transferiert werden. Dazu kommen noch Daten, die der Kunde selber in die USA schickt, entweder bei der Nutzung der Dienste (mit Auftrag an MS dies zu tun) oder selber durch kopieren von Daten in die USA (Multi-Geo) auch als Auftrag an Microsoft.
Die eine Meinung sagt, dass sich die Aufsichtsbehörden an Microsoft selber wenden sollen und nicht an den Kunden, da Microsoft selber Verantwortlicher ist für diese Übertragung. Microsoft müsste daher die TIA vorlegen.
Die andere Meinung hat die Auffassung, dass aus der Rolle des Vertrages (DPA, TIA, EA) ein Auftragsverhältnis vorliegt. Dies hat dann das Ergebnis, dass Microsoft im Auftrag / also autorisiert durch den Kunden Daten in die USA versendet. Diese mit TOMs abgesichert, wie Pseudonymisierung, Verschlüsselung und als Transferwerkzeug die EU-Standardvertragsklauseln. Folglich muss in jedem Fall eine TIA durch den Verantwortlichen erstellt werden.
Einschätzung
Die Veröffentlichung des Addendum-International Data Transfer ist keine vollumfängliches Transfer-Impact Assessment, wie wir es uns vielleicht alle gewünscht hätten. Damit muss man sich nun doch wieder mit der obigen Frage beschäftigen eine TIA anzufertigen oder doch auf die von Microsoft (nicht öffentlich) zu verweisen.
Meiner Auffassung nach ist das nun veröffentlichte Dokument, das Addendum-International Data Transfer, ein wichtiger Schritt und Ergänzung zu den EU Standardvertagsklauseln und der DPA, aber eben keine vollständige TIA. Deshalb muss immer noch eine TIA vom Verantwortlichen erstellt werden. Dennoch kann man dieses Dokument, die Standardvertragsklauseln, das entsprechende .pdf von Microsoft und einige andere Quellen gut nutzen, um eine TIA zu erstellen.