Zurück zur Unterauftragsverarbeiter-Liste

Transfer Impact Assessments (TIA)

Transferfolgenabschätzungen gemäß Schrems II | Stand: 2026-02-07 | Version 2.0

Was ist eine TIA?

Eine Transfer Impact Assessment (TIA) dokumentiert die Bewertung von Datenübermittlungen in Drittländer außerhalb des EWR. Sie beantwortet die Frage: "Können die Rechte der betroffenen Personen bei dieser Übermittlung wirksam geschützt werden?"

Diese Bewertung ist erforderlich für Übermittlungen auf Basis von Standardvertragsklauseln (SCCs) gemäß der Schrems II-Entscheidung des EuGH (C-311/18).

Kontext: Unterauftragsverarbeitungskette

Die Übermittlungen erfolgen im Rahmen von Unterauftragsverarbeitungen gemäß Art. 28 Abs. 4 DSGVO. Die Verarbeitungskette ist:

Kunde (Verantwortlicher)Hebelki (Auftragsverarbeiter)Dienstanbieter (Unterauftragsverarbeiter)

Alle nachfolgenden Übermittlungen nutzen daher SCC Modul 3 (Processor → Processor).

Anwendungsbereich

TIA erforderlich

  • • Neon (USA)
  • • OpenRouter (USA)
  • • Twilio (USA)
  • • Vercel (USA/Global)
  • • Fly.io (USA/EU)

Keine eigenständige TIA erforderlich (DPF-basierte Übermittlung)

  • • Clerk (EU-US DPF zertifiziert)
  • • Cloudflare R2 (EU-US DPF + EU-Option)
  • • SMTP Server (EU, selbst gehostet)

Die Anbieter sind nach dem EU-US Data Privacy Framework zertifiziert; eine vertiefte Schrems-II-Risikoprüfung ist daher nicht erforderlich, wird jedoch im Rahmen des allgemeinen Risikomanagements berücksichtigt.

Übergreifende Grundsätze

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Es werden ausschließlich die für den jeweiligen Zweck erforderlichen Daten übermittelt. Personenbezogene Daten werden nur in dem Umfang verarbeitet, der für die Erbringung der jeweiligen Dienstleistung notwendig ist.

Kundenwahlmöglichkeit

Kunden können bestimmte Drittanbieter-Integrationen (z.B. KI-Funktionen) deaktivieren und so die Übermittlung personenbezogener Daten an diese Anbieter vermeiden. Die entsprechenden Einstellungen sind im Dashboard verfügbar.

Verschlüsselungskontrolle

Verschlüsselungsschlüssel für die Datenbank werden nicht durch US-Behörden kontrolliert und liegen außerhalb des direkten Zugriffs der Dienstanbieter. Die Entschlüsselung erfolgt ausschließlich im Rahmen der autorisierten Datenverarbeitung.

1. Beschreibung der Übermittlungen

DatenexporteurDatenimporteurLandRechtsmechanismus
Hebelki (Auftragsverarbeiter)NeonUSA (AWS)SCCs (Modul 3: Processor → Processor, Art. 28 Abs. 4 DSGVO)
Hebelki (Auftragsverarbeiter)OpenRouterUSASCCs (Modul 3: Processor → Processor, Art. 28 Abs. 4 DSGVO)
Hebelki (Auftragsverarbeiter)TwilioUSASCCs (Modul 3: Processor → Processor, Art. 28 Abs. 4 DSGVO)
Hebelki (Auftragsverarbeiter)VercelUSA / Global (Edge)SCCs (Modul 3: Processor → Processor, Art. 28 Abs. 4 DSGVO)
Hebelki (Auftragsverarbeiter)Fly.ioUSA / EU (Region wählbar)SCCs (Modul 3: Processor → Processor, Art. 28 Abs. 4 DSGVO)

Hinweis: Es werden standardmäßig keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO übermittelt.

2. Rechtliche Bewertung (USA)

a) Unterliegen die Anbieter Gesetzen zum behördlichen Zugriff?

Ja. US-Anbieter unterliegen potenziell FISA Section 702 und EO 12333. Diese Gesetze ermöglichen US-Behörden unter bestimmten Umständen den Zugriff auf Daten für Zwecke der nationalen Sicherheit.

b) Bewertung nach Notwendigkeit und Verhältnismäßigkeit

Die verarbeiteten Daten unterliegen einer geringen Wahrscheinlichkeit für behördlichen Zugriff, basierend auf folgenden objektiven Kriterien:

  • Keine systematische Massenverarbeitung: Die Daten betreffen einzelne Geschäftskunden und deren Endkunden, keine Massenkommunikation oder großflächige Verbraucherprofilierung.
  • Keine Kommunikationsdienste i.S.d. US-Überwachungsfokus: Die genutzten Dienste sind SaaS-Infrastruktur (Datenbank, Hosting, API-Gateway), keine Electronic Communication Service Provider im Sinne von FISA.
  • Keine Bulk-Data-Strukturen: Die verarbeiteten Daten (Buchungstermine, Kontaktdaten, Chat-Nachrichten) sind granular und geschäftsbezogen, nicht aggregiert oder für Massenanalysen geeignet.
  • Hohe technische und rechtliche Hürden: Ein behördlicher Zugriff würde erheblichen rechtlichen und technischen Aufwand erfordern (Gerichtsbeschluss, Zugriff auf verschlüsselte Daten, Identifizierung relevanter Datensätze).

c) Schlussfolgerung zur Verhältnismäßigkeit (EDPB-konform)

Unter Anwendung der EDPB-Empfehlungen 01/2020 zur ergänzenden Maßnahmen für Übermittlungen kommen wir zu folgendem Ergebnis:

"Ein behördlicher Zugriff wäre selbst im Fall einer Anordnung nur unter erheblichem rechtlichem und technischem Aufwand möglich und stünde außer Verhältnis zum verfolgten Zweck. Die Art der verarbeiteten Daten (geschäftliche Buchungsdaten, Kontaktinformationen) weist keinen erkennbaren nachrichtendienstlichen Wert auf. Die implementierten technischen Maßnahmen (Verschlüsselung, Zugriffskontrollen, Zero Data Retention) reduzieren das Risiko weiter."

3. Technische und organisatorische Schutzmaßnahmen

Neon

Bereitstellung von PostgreSQL-Datenbankdiensten für die SaaS-Plattform

Niedriges Risiko

Datenkategorien

  • Geschäftsdaten der Kunden
  • Kontaktdaten der Endkunden (Name, E-Mail, Telefon)
  • Buchungsdaten und Termine
  • Technische Metadaten (Zeitstempel, IDs)

Schutzmaßnahmen

  • Verschlüsselung at-rest (AES-256)
  • TLS 1.3 für alle Übertragungen
  • SOC 2 Type II Zertifizierung
  • Logische Mandantentrennung
  • Automatische Backups mit Point-in-Time Recovery
  • Kein routinemäßiger Zugriff auf Kundeninhalte; Zugriff nur im Rahmen von Wartung und Incident-Response unter strengen Zugriffskontrollen

OpenRouter

KI/LLM-API-Gateway für Chatbot-Verarbeitung

Mittleres Risiko

Datenkategorien

  • Chat-Nachrichten (Kundenanfragen)
  • Konversationskontext
  • Keine persistente Speicherung (Zero Data Retention)

Schutzmaßnahmen

  • Zero Data Retention (ZDR) Policy aktiviert
  • Keine Speicherung von Prompts oder Antworten
  • TLS-Verschlüsselung für alle API-Aufrufe
  • Enterprise SCCs verfügbar
  • Modellauswahl durch Hebelki kontrolliert
  • Keine Nutzung für KI-Training

Zusätzliche Hinweise

OpenRouter fungiert als API-Gateway. Je nach Modellauswahl werden weitere Unterauftragsverarbeiter (z.B. Anthropic, Google) eingebunden, die jeweils eigenen technischen und organisatorischen Maßnahmen unterliegen.

Diese Anbieter sind in der Unterauftragsverarbeiterliste aufgeführt und vertraglich durch SCCs bzw. gleichwertige Garantien eingebunden.

Twilio

WhatsApp- und SMS-Messaging-Dienste

Niedriges Risiko

Datenkategorien

  • Telefonnummern der Endkunden
  • Nachrichteninhalte
  • Zustellungsmetadaten
  • Opt-In/Opt-Out-Status

Schutzmaßnahmen

  • SOC 2 Type II und ISO 27001 zertifiziert
  • HIPAA-fähige Infrastruktur
  • Nachrichtenprotokolle konfigurierbar (Aufbewahrung)
  • TLS für alle API-Verbindungen
  • Regionale Datenverarbeitung möglich
  • Processor-Rolle standardmäßig

Vercel

App-Hosting und Edge-Funktionen für die Webanwendung

Niedriges Risiko

Datenkategorien

  • HTTP-Anfragen und -Antworten
  • Session-Daten (verschlüsselt)
  • Technische Logs (IP-Adressen werden ausschließlich in gekürzter oder pseudonymisierter Form verarbeitet, soweit technisch konfiguriert)
  • Keine persistente Kundendatenspeicherung

Schutzmaßnahmen

  • SOC 2 Type II zertifiziert
  • Automatisches SSL/TLS
  • DDoS-Schutz inklusive
  • Edge-Funktionen mit minimaler Latenz
  • Logs automatisch rotiert und gelöscht
  • Keine langfristige Datenspeicherung

Fly.io

Worker-Services für Hintergrundaufgaben (n8n Workflows)

Niedriges Risiko

Datenkategorien

  • Workflow-Ausführungsdaten
  • Webhook-Payloads
  • Temporäre Verarbeitungsdaten

Schutzmaßnahmen

  • Übermittlungen erfolgen auf Basis von SCCs; EU-Regionen werden bevorzugt genutzt, um Drittlandübermittlungen zu minimieren
  • Container-Isolation
  • Verschlüsselte Volumes
  • Keine langfristige Datenspeicherung
  • Automatische Container-Bereinigung

4. Schlussfolgerung

Unter Berücksichtigung der Art der Daten (primär geschäftliche Buchungsdaten und Kontaktinformationen), des Zwecks der Verarbeitung (Bereitstellung von SaaS-Infrastrukturdiensten), des rechtlichen Rahmens im Zielland (USA mit FISA 702/EO 12333, jedoch ohne systematischen Fokus auf diese Datenkategorien), der Notwendigkeit und Verhältnismäßigkeit eines hypothetischen behördlichen Zugriffs (hoher Aufwand bei geringem nachrichtendienstlichem Wert), und der implementierten technischen und organisatorischen Schutzmaßnahmen (Verschlüsselung, Zugriffskontrollen, vertragliche Bindungen, Zero Data Retention) kommt der Datenexporteur zu dem Schluss, dass die Übermittlungen das durch EU-Recht garantierte Schutzniveau nicht untergraben und die Rechte der betroffenen Personen weiterhin wirksam geschützt sind.

Besondere Bewertung: OpenRouter (KI-Verarbeitung)

OpenRouter stellt das höchste Risiko in diesem Stack dar, da Chat-Nachrichten mit potenziell sensiblen Kundeninformationen verarbeitet werden.

Unterauftragsverarbeiterkette (API-Gateway-Modell)

OpenRouter fungiert als API-Gateway. Je nach Modellauswahl werden weitere Unterauftragsverarbeiter (z.B. Anthropic, Google) eingebunden, die jeweils eigenen technischen und organisatorischen Maßnahmen unterliegen.

Diese Anbieter sind in der Unterauftragsverarbeiterliste aufgeführt und vertraglich durch SCCs bzw. gleichwertige Garantien eingebunden.

Risikomitigierende Faktoren:

  • Zero Data Retention (ZDR): Prompts und Antworten werden nicht gespeichert
  • Keine KI-Training: Kundendaten werden nicht für Modelltraining verwendet
  • Transiente Verarbeitung: Daten existieren nur während der API-Anfrage
  • TLS-Verschlüsselung: Alle Übertragungen sind verschlüsselt
  • Modellauswahl: Hebelki kontrolliert, welche Modelle verwendet werden
  • Deaktivierbar: Kunden können KI-Funktionen vollständig deaktivieren

Empfehlung: Kunden sollten darauf hingewiesen werden, keine hochsensiblen Daten (z.B. Gesundheitsinformationen, Finanzdetails) über den Chatbot zu übermitteln. Diese Warnung ist im Chatbot-Disclaimer enthalten.

Übergreifende organisatorische Maßnahmen

Vertragliche Absicherung

  • SCCs (Modul 3) mit allen US-Anbietern abgeschlossen
  • DPAs (Data Processing Agreements) aktiv
  • Unterauftragsverarbeiter-Transparenz gewährleistet
  • Vertragliche Benachrichtigungspflichten bei behördlichen Anfragen

Laufende Überwachung

  • Jährliche Überprüfung dieser TIA
  • Monitoring von Rechtsänderungen (US/EU)
  • Incident-Response-Prozess dokumentiert
  • Regelmäßige Überprüfung der DPF-Zertifizierungen

Dokumentation

Erstellt von

Hebelki Compliance

Datum

2026-02-07

Nächste Überprüfung

Februar 2027

Diese TIA wird bei wesentlichen Änderungen der Infrastruktur, nach Sicherheitsvorfällen, bei neuen regulatorischen Anforderungen oder bei Änderungen der Rechtslage in Drittländern aktualisiert.

Version 2.0 | Stand: 2026-02-07
Bei Fragen wenden Sie sich an privacy@hebelki.de