Transfer Impact Assessment (TIA) — Stub
Stand: 06.05.2026 · Version 1.0.0
Hinweis: Dies ist ein vorläufiger Stub. Die finale TIA wird vor Produktivgang gemeinsam mit dem Datenschutzbeauftragten der Verantwortlichen erstellt und ist auf Anfrage einsehbar.
1. Anlass
Die Plattform nutzt Cloud-Provider (Vercel, Supabase) mit US-amerikanischen Mutterkonzernen, deren physische Datenverarbeitung jedoch in EU-Rechenzentren (Frankfurt am Main, fra1 / eu-central-1) stattfindet. Diese TIA bewertet die Risiken einer indirekten Drittlandsexposition und dokumentiert ergänzende Maßnahmen.
2. Rechtsrahmen
- EuGH "Schrems II" (C-311/18) — Drittlandstransfer nur bei "im Wesentlichen gleichwertigem Schutzniveau"
- EDSA-Empfehlung 01/2020 — Methodik für TIA in 6 Schritten
- Standardvertragsklauseln 2021/914 als Grundlage
- DSGVO Art. 44–49 — allgemeine Vorgaben zum internationalen Datenverkehr
3. Verarbeitete Daten
- Lieferanten-Stammdaten (Firmenname, Anschrift, USt-IdNr.)
- Kontaktdaten (Name, E-Mail, Telefon)
- Bankverbindung (IBAN, BIC) — verschlüsselt at rest (AES-256)
- Vertragsdaten (Bestellungen, Angebote, Preise)
- Zertifikate, Materialzeugnisse (technisch)
Keine besonderen Kategorien (Art. 9 DSGVO).
4. Risikobewertung — US-Behörden-Zugriff
FISA 702: betrifft "Electronic Communication Service Providers"; Vercel + Supabase potenziell erfasst.
CLOUD Act: extraterritorialer Datenzugriff durch US-Behörden auf Daten in der Custody von US-Unternehmen — auch in EU-Rechenzentren.
Eintrittswahrscheinlichkeit für unsere Datenkategorien: Niedrig. Lieferanten-Stammdaten + IBAN haben keinen Bezug zu US-Geheimdienstinteressen. Sektor: B2B Mittelstand, kein politisch sensibler Bereich.
Schadenshöhe bei Eintritt: Mittel. IBAN-Offenlegung bei Eintritt wäre wirtschaftlich relevant, aber kein Personenschaden.
5. Ergänzende Maßnahmen (TOMs nach EDSA)
- Verschlüsselung at rest: AES-256 (Supabase Postgres TDE; Storage-Buckets verschlüsselt)
- Verschlüsselung in transit: TLS 1.3
- End-to-End-Encryption-Infrastruktur: ECDH-Key-Exchange für sensible E2EE-Inhalte (Schlüssel verbleiben beim Verantwortlichen, kein Plattform-Klartext-Zugriff)
- Zugriffsprotokollierung: Audit-Log für alle sicherheitskritischen Aktionen (insb. IBAN-Änderungen)
- Pseudonymisierung: User-IDs in Logs sind UUIDs ohne Namensbezug
- Vertragliche Lock-in der EU-Region: Region-Pinning auf Frankfurt; Re-Lokalisierung erfordert Zustimmung
- Datenminimierung: keine US-spezifischen Datenkategorien (z. B. SSN) gespeichert
6. Restrisiko-Bewertung
Mit den ergänzenden Maßnahmen und der niedrigen Eintrittswahrscheinlichkeit wird das Restrisiko als akzeptabel eingestuft. Eine erneute Bewertung erfolgt mindestens jährlich oder bei wesentlichen Änderungen (neuer Sub-Auftragsverarbeiter, geänderter EU-/US-Rechtsrahmen).
7. Aktualisierung
| Datum | Anlass | Verantwortlich |
|---|---|---|
| 06.05.2026 | Initialerstellung (Stub) | Gluth Systemtechnik GmbH |
| TBD | Finalisierung mit DSB der Käufer-Org | TBD |
8. Verfügbarkeit
Die finale TIA ist nicht öffentlich, sondern wird auf schriftliche Anforderung des Verantwortlichen bereitgestellt. Anfragen an: info@gluth.eu.