Transfer Impact Assessment (TIA) — Stub

Stand: 06.05.2026 · Version 1.0.0

Hinweis: Dies ist ein vorläufiger Stub. Die finale TIA wird vor Produktivgang gemeinsam mit dem Datenschutzbeauftragten der Verantwortlichen erstellt und ist auf Anfrage einsehbar.

1. Anlass

Die Plattform nutzt Cloud-Provider (Vercel, Supabase) mit US-amerikanischen Mutterkonzernen, deren physische Datenverarbeitung jedoch in EU-Rechenzentren (Frankfurt am Main, fra1 / eu-central-1) stattfindet. Diese TIA bewertet die Risiken einer indirekten Drittlandsexposition und dokumentiert ergänzende Maßnahmen.

2. Rechtsrahmen

  • EuGH "Schrems II" (C-311/18) — Drittlandstransfer nur bei "im Wesentlichen gleichwertigem Schutzniveau"
  • EDSA-Empfehlung 01/2020 — Methodik für TIA in 6 Schritten
  • Standardvertragsklauseln 2021/914 als Grundlage
  • DSGVO Art. 44–49 — allgemeine Vorgaben zum internationalen Datenverkehr

3. Verarbeitete Daten

  • Lieferanten-Stammdaten (Firmenname, Anschrift, USt-IdNr.)
  • Kontaktdaten (Name, E-Mail, Telefon)
  • Bankverbindung (IBAN, BIC) — verschlüsselt at rest (AES-256)
  • Vertragsdaten (Bestellungen, Angebote, Preise)
  • Zertifikate, Materialzeugnisse (technisch)

Keine besonderen Kategorien (Art. 9 DSGVO).

4. Risikobewertung — US-Behörden-Zugriff

FISA 702: betrifft "Electronic Communication Service Providers"; Vercel + Supabase potenziell erfasst.

CLOUD Act: extraterritorialer Datenzugriff durch US-Behörden auf Daten in der Custody von US-Unternehmen — auch in EU-Rechenzentren.

Eintrittswahrscheinlichkeit für unsere Datenkategorien: Niedrig. Lieferanten-Stammdaten + IBAN haben keinen Bezug zu US-Geheimdienstinteressen. Sektor: B2B Mittelstand, kein politisch sensibler Bereich.

Schadenshöhe bei Eintritt: Mittel. IBAN-Offenlegung bei Eintritt wäre wirtschaftlich relevant, aber kein Personenschaden.

5. Ergänzende Maßnahmen (TOMs nach EDSA)

  • Verschlüsselung at rest: AES-256 (Supabase Postgres TDE; Storage-Buckets verschlüsselt)
  • Verschlüsselung in transit: TLS 1.3
  • End-to-End-Encryption-Infrastruktur: ECDH-Key-Exchange für sensible E2EE-Inhalte (Schlüssel verbleiben beim Verantwortlichen, kein Plattform-Klartext-Zugriff)
  • Zugriffsprotokollierung: Audit-Log für alle sicherheitskritischen Aktionen (insb. IBAN-Änderungen)
  • Pseudonymisierung: User-IDs in Logs sind UUIDs ohne Namensbezug
  • Vertragliche Lock-in der EU-Region: Region-Pinning auf Frankfurt; Re-Lokalisierung erfordert Zustimmung
  • Datenminimierung: keine US-spezifischen Datenkategorien (z. B. SSN) gespeichert

6. Restrisiko-Bewertung

Mit den ergänzenden Maßnahmen und der niedrigen Eintrittswahrscheinlichkeit wird das Restrisiko als akzeptabel eingestuft. Eine erneute Bewertung erfolgt mindestens jährlich oder bei wesentlichen Änderungen (neuer Sub-Auftragsverarbeiter, geänderter EU-/US-Rechtsrahmen).

7. Aktualisierung

DatumAnlassVerantwortlich
06.05.2026Initialerstellung (Stub)Gluth Systemtechnik GmbH
TBDFinalisierung mit DSB der Käufer-OrgTBD

8. Verfügbarkeit

Die finale TIA ist nicht öffentlich, sondern wird auf schriftliche Anforderung des Verantwortlichen bereitgestellt. Anfragen an: info@gluth.eu.