Internes Dokument · nicht öffentlich verlinkt

Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA)

KiNi WebApp · Verantwortlicher: Stefan Eschbach (Kleinunternehmer, § 19 UStG) · Lehmattweg 3, 79664 Wehr · info@kini.solutions
Stand: 2026-05-28 · Grundlage: Art. 44–46 DSGVO, „Schrems II" (EuGH C-311/18), EDSA-Empfehlungen 01/2020 · Anlage zum Verarbeitungsverzeichnis

1. Zweck und Anlass

Diese Folgenabschätzung prüft, ob bei der Übermittlung personenbezogener Daten in Drittländer (insbesondere die USA) im Rahmen des Betriebs der KiNi WebApp ein der EU im Wesentlichen gleichwertiges Schutzniveau gewährleistet ist. Sie ist erforderlich, weil einzelne Auftragsverarbeiter Daten in den USA verarbeiten bzw. US-Konzernverbindungen haben. Die Hauptverarbeitung (App + Datenbank) findet ausschließlich in Deutschland statt (Hetzner, EU) – siehe Verarbeitungsverzeichnis und TOM.

1a. Methodik (EDSA-Empfehlungen 01/2020)

Die vorliegende TIA folgt der vom EDSA empfohlenen Sechs-Schritte-Methodik:

  1. Schritt 1 — Mapping der Übermittlung: Identifikation jedes Sub-Auftragsverarbeiters mit Drittland-Bezug, übermittelte Datenarten, Zweck, Volumen, Häufigkeit (siehe §2 unten).
  2. Schritt 2 — Transfer-Tool nach Art. 46 DSGVO: Auswahl und Dokumentation des verwendeten Transfer-Mechanismus (SCC 2021/914 Modul 2; ergänzend EU-US Data Privacy Framework, sofern zertifiziert; siehe §3).
  3. Schritt 3 — Bewertung des Drittland-Rechts und der Praxis: Insbesondere Section 702 FISA, Executive Order 14086 (US-Geheimdienst-Schutzmaßnahmen 2022), Bulk-Collection-Praxis; konkrete Wahrscheinlichkeit eines Zugriffs auf die übermittelten Daten (siehe §4).
  4. Schritt 4 — Zusätzliche Schutzmaßnahmen (Supplementary Measures): Technische (Verschlüsselung in Transit, ggf. Ende-zu-Ende), organisatorische (Datenminimierung, kurzfristige Löschung) und vertragliche Maßnahmen (siehe §5).
  5. Schritt 5 — Verfahrensschritte: Vertragliche Verpflichtung der Sub-Verarbeiter zur unverzüglichen Meldung behördlicher Auskunftsersuchen („Government Access Request"); Reaktionsplan im Datenpannen-Verfahren.
  6. Schritt 6 — Re-Evaluation: Mindestens jährlich sowie anlassbezogen bei Wechsel des Sub-Verarbeiters, neuer höchstrichterlicher Rechtsprechung (z. B. Schrems-III-Szenario) oder veröffentlichten Behörden-Empfehlungen (siehe §7).

Die folgenden Abschnitte konkretisieren die Schritte 1–6 für jeden eingesetzten Sub-Verarbeiter.

2. Betroffene Übermittlungen

EmpfängerZweckDatenDrittland
Hetzner Online GmbHHosting App + DBalle App-Datenkeines (DE/EU)
Postmark (ActiveCampaign / AC PM LLC)Transaktions-E-Mails (Login, Recovery, Benachrichtigungen)E-Mail-Adresse, Name, Nachrichteninhalt, MetadatenUSA
Stripe (Stripe Payments Europe Ltd.)Zahlungsabwicklung, SubscriptionName, E-Mail, Zahlungs-/Rechnungsdaten des MandantenEU-Vertragspartner, Konzern-Onward-Transfer USA
Apple / Google / Mozilla (Push-Dienste)Web-Push-Auslieferung je nach Endgerät/BrowserPush-Endpoint-URL; Inhalt VAPID-/E2E-verschlüsseltUSA

Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) werden an diese Empfänger übermittelt.

3. Übermittlungs-Mechanismus (Art. 46)

EmpfängerMechanismus
HetznerKein Drittland-Transfer. EU-Serverstandort, AVV nach Art. 28 vorhanden.
Postmark / AC PMEU-U.S. Data Privacy Framework (DPF) zertifiziert + EU-Standardvertragsklauseln (SCC, Modul 2/3) als Fallback. Aufsichtsbehörde Irland.
StripeVertragspartner ist Stripe Payments Europe Ltd. (Irland). Für Konzern-Onward-Transfers: SCC + DPF-Zertifizierung von Stripe, LLC.
Push-DiensteSCC der jeweiligen Anbieter; Push-Nutzdaten zusätzlich Ende-zu-Ende-verschlüsselt (VAPID), sodass der Push-Dienst die Inhalte nicht lesen kann.

Für die USA besteht seit dem Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 zum EU-U.S. Data Privacy Framework ein anerkanntes Schutzniveau für DPF-zertifizierte Empfänger. Übermittlungen an DPF-zertifizierte US-Empfänger sind damit nach Art. 45 DSGVO zulässig; die SCC dienen als zusätzliche Absicherung bzw. Fallback.

4. Risikobewertung (Recht & Praxis im Drittland)

Maßgebliches Restrisiko sind US-Überwachungsgesetze (insb. FISA § 702, EO 12333), die theoretisch behördlichen Zugriff auf bei US-Anbietern verarbeitete Daten ermöglichen. Risikomindernd wirken:

5. Zusätzliche Schutzmaßnahmen (Supplementary Measures)

6. Ergebnis

Unter Berücksichtigung des Angemessenheitsbeschlusses DPF (2023), der ergänzenden SCC, der Art und geringen Sensibilität der übermittelten Daten sowie der zusätzlichen technischen Maßnahmen (TLS, E2E-Push, Datenminimierung) wird das Schutzniveau für die beschriebenen Drittland-Übermittlungen als der EU im Wesentlichen gleichwertig und damit zulässig bewertet. Ein Aussetzen der Übermittlungen ist derzeit nicht erforderlich.

7. Überprüfung

Diese TIA ist mindestens jährlich sowie anlassbezogen zu überprüfen – insbesondere bei: Wegfall/Änderung des DPF-Angemessenheitsbeschlusses, neuer EuGH-Rechtsprechung, Wechsel eines Auftragsverarbeiters oder wesentlicher Änderung der übermittelten Datenarten. Verantwortlich: Stefan Eschbach.


Internes Nachweisdokument gemäß Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und EDSA-Empfehlungen 01/2020. Keine Rechtsberatung. Nicht zur Veröffentlichung bestimmt; auf Anfrage der Aufsichtsbehörde vorzulegen.