Internes Dokument · nicht öffentlich verlinkt
Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA)
1. Zweck und Anlass
Diese Folgenabschätzung prüft, ob bei der Übermittlung personenbezogener Daten in Drittländer (insbesondere die USA) im Rahmen des Betriebs der KiNi WebApp ein der EU im Wesentlichen gleichwertiges Schutzniveau gewährleistet ist. Sie ist erforderlich, weil einzelne Auftragsverarbeiter Daten in den USA verarbeiten bzw. US-Konzernverbindungen haben. Die Hauptverarbeitung (App + Datenbank) findet ausschließlich in Deutschland statt (Hetzner, EU) – siehe Verarbeitungsverzeichnis und TOM.
1a. Methodik (EDSA-Empfehlungen 01/2020)
Die vorliegende TIA folgt der vom EDSA empfohlenen Sechs-Schritte-Methodik:
- Schritt 1 — Mapping der Übermittlung: Identifikation jedes Sub-Auftragsverarbeiters mit Drittland-Bezug, übermittelte Datenarten, Zweck, Volumen, Häufigkeit (siehe §2 unten).
- Schritt 2 — Transfer-Tool nach Art. 46 DSGVO: Auswahl und Dokumentation des verwendeten Transfer-Mechanismus (SCC 2021/914 Modul 2; ergänzend EU-US Data Privacy Framework, sofern zertifiziert; siehe §3).
- Schritt 3 — Bewertung des Drittland-Rechts und der Praxis: Insbesondere Section 702 FISA, Executive Order 14086 (US-Geheimdienst-Schutzmaßnahmen 2022), Bulk-Collection-Praxis; konkrete Wahrscheinlichkeit eines Zugriffs auf die übermittelten Daten (siehe §4).
- Schritt 4 — Zusätzliche Schutzmaßnahmen (Supplementary Measures): Technische (Verschlüsselung in Transit, ggf. Ende-zu-Ende), organisatorische (Datenminimierung, kurzfristige Löschung) und vertragliche Maßnahmen (siehe §5).
- Schritt 5 — Verfahrensschritte: Vertragliche Verpflichtung der Sub-Verarbeiter zur unverzüglichen Meldung behördlicher Auskunftsersuchen („Government Access Request"); Reaktionsplan im Datenpannen-Verfahren.
- Schritt 6 — Re-Evaluation: Mindestens jährlich sowie anlassbezogen bei Wechsel des Sub-Verarbeiters, neuer höchstrichterlicher Rechtsprechung (z. B. Schrems-III-Szenario) oder veröffentlichten Behörden-Empfehlungen (siehe §7).
2. Betroffene Übermittlungen
| Empfänger | Zweck | Daten | Drittland |
|---|---|---|---|
| Hetzner Online GmbH | Hosting App + DB | alle App-Daten | keines (DE/EU) |
| Postmark (ActiveCampaign / AC PM LLC) | Transaktions-E-Mails (Login, Recovery, Benachrichtigungen) | E-Mail-Adresse, Name, Nachrichteninhalt, Metadaten | USA |
| Stripe (Stripe Payments Europe Ltd.) | Zahlungsabwicklung, Subscription | Name, E-Mail, Zahlungs-/Rechnungsdaten des Mandanten | EU-Vertragspartner, Konzern-Onward-Transfer USA |
| Apple / Google / Mozilla (Push-Dienste) | Web-Push-Auslieferung je nach Endgerät/Browser | Push-Endpoint-URL; Inhalt VAPID-/E2E-verschlüsselt | USA |
Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) werden an diese Empfänger übermittelt.
3. Übermittlungs-Mechanismus (Art. 46)
| Empfänger | Mechanismus |
|---|---|
| Hetzner | Kein Drittland-Transfer. EU-Serverstandort, AVV nach Art. 28 vorhanden. |
| Postmark / AC PM | EU-U.S. Data Privacy Framework (DPF) zertifiziert + EU-Standardvertragsklauseln (SCC, Modul 2/3) als Fallback. Aufsichtsbehörde Irland. |
| Stripe | Vertragspartner ist Stripe Payments Europe Ltd. (Irland). Für Konzern-Onward-Transfers: SCC + DPF-Zertifizierung von Stripe, LLC. |
| Push-Dienste | SCC der jeweiligen Anbieter; Push-Nutzdaten zusätzlich Ende-zu-Ende-verschlüsselt (VAPID), sodass der Push-Dienst die Inhalte nicht lesen kann. |
Für die USA besteht seit dem Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 zum EU-U.S. Data Privacy Framework ein anerkanntes Schutzniveau für DPF-zertifizierte Empfänger. Übermittlungen an DPF-zertifizierte US-Empfänger sind damit nach Art. 45 DSGVO zulässig; die SCC dienen als zusätzliche Absicherung bzw. Fallback.
4. Risikobewertung (Recht & Praxis im Drittland)
Maßgebliches Restrisiko sind US-Überwachungsgesetze (insb. FISA § 702, EO 12333), die theoretisch behördlichen Zugriff auf bei US-Anbietern verarbeitete Daten ermöglichen. Risikomindernd wirken:
- Angemessenheitsbeschluss DPF (2023): Die USA haben mit dem DPF Rechtsbehelfe (Data Protection Review Court) und Verhältnismäßigkeits-Bindungen für Nachrichtendienste eingeführt, die der Beschluss als angemessen bewertet.
- Art der Daten: Es werden nur einfache Kontakt-, Kommunikations- und Abrechnungsdaten übermittelt – keine besonderen Kategorien, keine hochsensiblen Profile. Geringe Eingriffsintensität für die Betroffenen.
- Geringe Wahrscheinlichkeit: Die übermittelten Daten (Mitarbeiter-/Lieferanten-Mails von KMU/Vereinen/Gemeinden) sind für US-Nachrichtendienste typischerweise nicht von Interesse.
5. Zusätzliche Schutzmaßnahmen (Supplementary Measures)
- Verschlüsselung in Transit: TLS 1.2+ auf allen Verbindungen zu den Auftragsverarbeitern.
- Ende-zu-Ende-Verschlüsselung Push: Push-Inhalte sind VAPID-verschlüsselt; der Push-Dienst sieht nur den Endpoint, nicht den Inhalt.
- Datenminimierung: An Postmark gehen nur die für den jeweiligen Mailversand nötigen Felder; Tracking (Open/Link) ist nicht aktiviert.
- Kurze Speicherfristen beim Verarbeiter: Postmark löscht Kundendaten 30 Tage nach Vertragsende; siehe auch Löschkonzept.
- Vertragliche Garantien: SCC + DPF + AVV mit Melde-, Audit- und Unterstützungspflichten (vgl. abgelegte Sub-Prozessor-AVVs).
6. Ergebnis
Unter Berücksichtigung des Angemessenheitsbeschlusses DPF (2023), der ergänzenden SCC, der Art und geringen Sensibilität der übermittelten Daten sowie der zusätzlichen technischen Maßnahmen (TLS, E2E-Push, Datenminimierung) wird das Schutzniveau für die beschriebenen Drittland-Übermittlungen als der EU im Wesentlichen gleichwertig und damit zulässig bewertet. Ein Aussetzen der Übermittlungen ist derzeit nicht erforderlich.
7. Überprüfung
Diese TIA ist mindestens jährlich sowie anlassbezogen zu überprüfen – insbesondere bei: Wegfall/Änderung des DPF-Angemessenheitsbeschlusses, neuer EuGH-Rechtsprechung, Wechsel eines Auftragsverarbeiters oder wesentlicher Änderung der übermittelten Datenarten. Verantwortlich: Stefan Eschbach.