Zum Hauptinhalt springen
Zurück zur Unterauftragsverarbeiter-Liste

Transfer Impact Assessments (TIA)

Transferfolgenabschätzungen gemäß Schrems II | Stand: 2026-03-27 | Version 6.0

Was ist eine TIA?

Eine Transfer Impact Assessment (TIA) dokumentiert die Bewertung von Datenübermittlungen in Drittländer außerhalb des EWR. Sie beantwortet die Frage: "Können die Rechte der betroffenen Personen bei dieser Übermittlung wirksam geschützt werden?"

Diese Bewertung ist erforderlich für Übermittlungen auf Basis von Standardvertragsklauseln (SCCs) gemäß der Schrems II-Entscheidung des EuGH (C-311/18).

Kontext: Unterauftragsverarbeitungskette

Die Übermittlungen erfolgen im Rahmen von Unterauftragsverarbeitungen gemäß Art. 28 Abs. 4 DSGVO. Die Verarbeitungskette ist:

Kunde (Verantwortlicher)Hebelki (Auftragsverarbeiter)Dienstanbieter (Unterauftragsverarbeiter)

Alle nachfolgenden Übermittlungen nutzen daher SCC Modul 3 (Processor → Processor).

Anwendungsbereich

TIA erforderlich

  • • Twilio (USA)
  • • Meta Platforms Ireland Ltd (EU/USA)
  • • Clerk (USA)
  • • Stripe (USA)

Keine eigenständige TIA erforderlich (EU-Verarbeitung)

  • • Hetzner Online GmbH (EU, Deutschland)
  • • Google Cloud (EU — europe-west4 (Niederlande))

Diese Anbieter verarbeiten Daten ausschließlich in der EU; eine vertiefte Schrems-II-Risikoprüfung ist daher nicht erforderlich, wird jedoch im Rahmen des allgemeinen Risikomanagements berücksichtigt.

Übergreifende Grundsätze

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Es werden ausschließlich die für den jeweiligen Zweck erforderlichen Daten übermittelt. Personenbezogene Daten werden nur in dem Umfang verarbeitet, der für die Erbringung der jeweiligen Dienstleistung notwendig ist.

Kundenwahlmöglichkeit

Kunden können bestimmte Drittanbieter-Integrationen (z.B. KI-Funktionen) deaktivieren und so die Übermittlung personenbezogener Daten an diese Anbieter vermeiden. Die entsprechenden Einstellungen sind im Dashboard verfügbar.

Verschlüsselungskontrolle

Verschlüsselungsschlüssel für die Datenbank werden nicht durch US-Behörden kontrolliert und liegen außerhalb des direkten Zugriffs der Dienstanbieter. Die Entschlüsselung erfolgt ausschließlich im Rahmen der autorisierten Datenverarbeitung.

1. Beschreibung der Übermittlungen

DatenexporteurDatenimporteurLandRechtsmechanismus
Hebelki (Auftragsverarbeiter)TwilioUSASCCs (Modul 3: Processor → Processor, Art. 28 Abs. 4 DSGVO)
Hebelki (Auftragsverarbeiter)Meta Platforms Ireland LtdEU (Dublin, Irland) / USAData Privacy Framework + SCCs (Modul 3: Processor → Processor)
Hebelki (Auftragsverarbeiter)ClerkUSAData Privacy Framework + SCCs
Hebelki (Auftragsverarbeiter)StripeUSAData Privacy Framework + SCCs

Hinweis: Es werden standardmäßig keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO übermittelt.

2. Rechtliche Bewertung (USA)

a) Unterliegen die Anbieter Gesetzen zum behördlichen Zugriff?

Ja. US-Anbieter unterliegen potenziell FISA Section 702 und EO 12333. Diese Gesetze ermöglichen US-Behörden unter bestimmten Umständen den Zugriff auf Daten für Zwecke der nationalen Sicherheit.

b) Bewertung nach Notwendigkeit und Verhältnismäßigkeit

Die verarbeiteten Daten unterliegen einer geringen Wahrscheinlichkeit für behördlichen Zugriff, basierend auf folgenden objektiven Kriterien:

  • Keine systematische Massenverarbeitung: Die Daten betreffen einzelne Geschäftskunden und deren Endkunden, keine Massenkommunikation oder großflächige Verbraucherprofilierung.
  • Keine Kommunikationsdienste i.S.d. US-Überwachungsfokus: Die genutzten Dienste sind SaaS-Infrastruktur (Datenbank, Hosting, API-Gateway), keine Electronic Communication Service Provider im Sinne von FISA.
  • Keine Bulk-Data-Strukturen: Die verarbeiteten Daten (Buchungstermine, Kontaktdaten, Chat-Nachrichten) sind granular und geschäftsbezogen, nicht aggregiert oder für Massenanalysen geeignet.
  • Hohe technische und rechtliche Hürden: Ein behördlicher Zugriff würde erheblichen rechtlichen und technischen Aufwand erfordern (Gerichtsbeschluss, Zugriff auf verschlüsselte Daten, Identifizierung relevanter Datensätze).

c) Schlussfolgerung zur Verhältnismäßigkeit (EDPB-konform)

Unter Anwendung der EDPB-Empfehlungen 01/2020 zur ergänzenden Maßnahmen für Übermittlungen kommen wir zu folgendem Ergebnis:

"Ein behördlicher Zugriff wäre selbst im Fall einer Anordnung nur unter erheblichem rechtlichem und technischem Aufwand möglich und stünde außer Verhältnis zum verfolgten Zweck. Die Art der verarbeiteten Daten (geschäftliche Buchungsdaten, Kontaktinformationen) weist keinen erkennbaren nachrichtendienstlichen Wert auf. Die implementierten technischen Maßnahmen (Verschlüsselung, Zugriffskontrollen, Zero Data Retention) reduzieren das Risiko weiter."

3. Technische und organisatorische Schutzmaßnahmen

Twilio

WhatsApp- und SMS-Messaging-Dienste

Niedriges Risiko

Datenkategorien

  • Telefonnummern der Endkunden
  • Nachrichteninhalte
  • Zustellungsmetadaten
  • Opt-In/Opt-Out-Status

Schutzmaßnahmen

  • SOC 2 Type II und ISO 27001 zertifiziert
  • HIPAA-fähige Infrastruktur
  • Nachrichtenprotokolle konfigurierbar (Aufbewahrung)
  • TLS für alle API-Verbindungen
  • Regionale Datenverarbeitung möglich
  • Processor-Rolle standardmäßig

Meta Platforms Ireland Ltd

WhatsApp Cloud API — Nachrichtenübermittlung

Niedriges Risiko

Datenkategorien

  • Telefonnummern der Endkunden
  • Nachrichteninhalte (Text, Bilder, Sprachnachrichten)
  • Zeitstempel und Zustellungsbestätigungen
  • Lesebestätigungen

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • Ende-zu-Ende Verschlüsselung (WhatsApp Signal-Protokoll)
  • Keine Verwendung von WhatsApp-Daten für Werbezwecke
  • Meta Data Processing Terms (Art. 28 DSGVO)
  • Europäischer Hauptsitz (Dublin, Irland)
  • Regelmäßige Transparenzberichte veröffentlicht

Zusätzliche Hinweise

Meta verarbeitet Nachrichteninhalte nicht zum Training von KI-Modellen.

Die europäische Niederlassung (Meta Platforms Ireland Ltd) ist primärer Vertragspartner für EU-Kunden.

Clerk

Authentifizierung und Session-Management

Niedriges Risiko

Datenkategorien

  • E-Mail-Adressen der Geschäftskunden
  • Namen (Vor- und Nachname)
  • Session-Daten und OAuth-Tokens
  • Login-Zeitstempel

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • SOC 2 Type II zertifiziert
  • Multi-Faktor-Authentifizierung (MFA) verfügbar
  • Session-Management mit konfigurierbarem Timeout
  • Keine Weitergabe an Dritte

Stripe

Zahlungsabwicklung und Abonnement-Verwaltung

Niedriges Risiko

Datenkategorien

  • Zahlungsdaten (tokenisiert — Hebelki hat keinen Zugriff auf Kartendaten)
  • E-Mail-Adressen für Rechnungen
  • Rechnungsadressen
  • Abonnement-Status

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • PCI DSS Level 1 zertifiziert (höchste Sicherheitsstufe)
  • SOC 2 Type II und ISO 27001 zertifiziert
  • Vollständige Verschlüsselung aller Zahlungsdaten
  • Stripe fungiert als eigenständiger Verantwortlicher für Zahlungsdaten

4. Schlussfolgerung

Unter Berücksichtigung der Art der Daten (primär geschäftliche Buchungsdaten und Kontaktinformationen), des Zwecks der Verarbeitung (Bereitstellung von SaaS-Infrastrukturdiensten), des rechtlichen Rahmens im Zielland (USA mit FISA 702/EO 12333, jedoch ohne systematischen Fokus auf diese Datenkategorien), der Notwendigkeit und Verhältnismäßigkeit eines hypothetischen behördlichen Zugriffs (hoher Aufwand bei geringem nachrichtendienstlichem Wert), und der implementierten technischen und organisatorischen Schutzmaßnahmen (Verschlüsselung, Zugriffskontrollen, vertragliche Bindungen, Zero Data Retention) kommt der Datenexporteur zu dem Schluss, dass die Übermittlungen das durch EU-Recht garantierte Schutzniveau nicht untergraben und die Rechte der betroffenen Personen weiterhin wirksam geschützt sind.

Übergreifende organisatorische Maßnahmen

Vertragliche Absicherung

  • SCCs (Modul 3) mit allen US-Anbietern abgeschlossen
  • DPAs (Data Processing Agreements) aktiv
  • Unterauftragsverarbeiter-Transparenz gewährleistet
  • Vertragliche Benachrichtigungspflichten bei behördlichen Anfragen

Laufende Überwachung

  • Jährliche Überprüfung dieser TIA
  • Monitoring von Rechtsänderungen (US/EU)
  • Incident-Response-Prozess dokumentiert
  • Regelmäßige Überprüfung der DPF-Zertifizierungen

Dokumentation

Erstellt von

Hebelki Compliance

Datum

2026-03-27

Nächste Überprüfung

Februar 2027

Diese TIA wird bei wesentlichen Änderungen der Infrastruktur, nach Sicherheitsvorfällen, bei neuen regulatorischen Anforderungen oder bei Änderungen der Rechtslage in Drittländern aktualisiert.

Version 6.0 | Stand: 2026-03-27
Bei Fragen wenden Sie sich an privacy@hebelki.de