Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA) - Anthropic überall hinzugefügt

ISMS Copilot hat eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA) für internationale Datentransfers in die Vereinigten Staaten gemäß den Anforderungen von Kapitel V der DSGVO durchgeführt. Dieser Artikel erläutert die Ergebnisse der Bewertung, die implementierten ergänzenden Maßnahmen und wie sich der Modus für erweiterten Datenschutz auf Ihre Transferverpflichtungen auswirkt.

Was ist eine Datentransfer-Folgenabschätzung (TIA)?

Gemäß der DSGVO und dem Schrems-II-Urteil müssen Organisationen, die personenbezogene Daten in Länder außerhalb der EU/des EWR übermitteln, prüfen, ob die Gesetze des Ziellandes einen angemessenen Schutz bieten. Standardvertragsklauseln (Standard Contractual Clauses, SCCs) allein reichen möglicherweise nicht aus – Sie müssen bewerten, ob zusätzliche Schutzmaßnahmen erforderlich sind.

Eine TIA bewertet:

Gesetze im Zielland, die den Zugriff von Behörden auf Daten ermöglichen könnten
Ob Ihr Datenimporteur (Unterauftragsverarbeiter) diesen Gesetzen unterliegen könnte
Technische und organisatorische Maßnahmen zur Minderung identifizierter Risiken
Ob die Kombination aus SCCs + ergänzenden Maßnahmen einen angemessenen Schutz bietet

Diese Bewertung gilt, wenn der Modus für erweiterten Datenschutz AUS ist (Standard). Wenn er AN ist, bleibt die KI-Verarbeitung in der EU, was die Transferverpflichtungen erheblich vereinfacht.

TIAs von ISMS Copilot: KI-Anbieter-Transfers

ISMS Copilot unterhält eine Datentransfer-Folgenabschätzung für internationale Datentransfers. Das aktuelle KI-Anbieter-Routing ist in den verbindlichen rechtlichen Dokumenten in unserem Trust Center dokumentiert:

Aktuelles Routing (maßgeblich laut Trust Center):
• Erweiterter Datenschutz AN: Mistral AI (EU, keine Speicherung) — kein internationaler Transfer für KI-Verarbeitung
• Bezahlt + ADP AUS: Anthropic Claude (US, bis zu 30 Tage Speicherung zur Missbrauchskontrolle)
• Kostenlos/Null-Tarif + ADP AUS: OpenRouter-Aggregator leitet an geprüfte Anbieter weiter (Inceptron, DeepInfra, Cerebras, Google Vertex)
• E-Mail-Anbieter: SendGrid, Kit (US, SCCs)

Die vollständige Liste der Unterauftragsverarbeiter mit Standorten und Aufbewahrungsdetails finden Sie hier:

Diese verbindlichen Dokumente werden aktualisiert, sobald sich die Vereinbarungen mit KI-Anbietern ändern.

Wie der Modus für erweiterten Datenschutz die TIA-Verpflichtungen ändert

Standardmodus (Erweiterter Datenschutz AUS)

Wenn der erweiterte Datenschutz deaktiviert ist:

Ort der KI-Verarbeitung: Vereinigte Staaten (xAI, OpenAI, Anthropic)
Transfermechanismus: Standardvertragsklauseln + ergänzende Maßnahmen
TIA-Erfordernis: Organisationen, die der DSGVO unterliegen, sollten eine eigene TIA durchführen oder sich auf die TIA von ISMS Copilot verlassen
Speicherung durch KI-Anbieter: 30 Tage (temporärer Cache zur Missbrauchskontrolle)
E-Mail-Übermittlungen: Erfolgen weiterhin an US-Anbieter (SendGrid/Kit), unabhängig von der KI-Einstellung

Wenn Sie den Standardmodus für die Verarbeitung personenbezogener Daten von EU-Bürgern nutzen, dokumentieren Sie diesen Transfer in Ihrem Verzeichnis von Verarbeitungstätigkeiten und stützen Sie sich auf die TIA von ISMS Copilot oder führen Sie eine eigene Bewertung durch.

Erweiterter Datenschutz AN (Nur-EU-Modus)

Wenn der erweiterte Datenschutz aktiviert ist:

Ort der KI-Verarbeitung: Europäische Union (Mistral AI, Frankfurt)
Transfermechanismus: Kein internationaler Transfer für die KI-Verarbeitung (EU-zu-EU)
TIA-Erfordernis: Nicht erforderlich für die KI-Verarbeitung (keine Übermittlung außerhalb der EU/des EWR)
Speicherung durch KI-Anbieter: Keine Speicherung (Zero Retention) — Daten werden in Echtzeit verarbeitet und verworfen
E-Mail-Übermittlungen: Erfolgen weiterhin an US-Anbieter (SendGrid/Kit); TIA für E-Mails weiterhin erforderlich

Der Modus für erweiterten Datenschutz macht eine TIA für die KI-Verarbeitung überflüssig und vereinfacht die Einhaltung der DSGVO erheblich. E-Mail-Übermittlungen an US-Anbieter bleiben jedoch bestehen und erfordern weiterhin eine Bewertung.

E-Mail-Übermittlungen bleiben unabhängig vom Modus bestehen

Selbst wenn der erweiterte Datenschutz aktiviert ist, beinhalten E-Mail-Kommunikationen Transfers in die USA:

SendGrid (Twilio): Transaktionale E-Mails (Kontoverifizierung, Passwort-Resets, Sicherheitswarnungen)
Kit (ConvertKit): Onboarding-Sequenzen und Produkt-Updates (optional, Abmeldung möglich)
Übermittelte Daten: E-Mail-Adressen, Interaktionsdaten (Öffnungen, Klicks), Nachrichten-Metadaten
Schutzmaßnahmen: Standardvertragsklauseln, Verschlüsselung während der Übertragung, DSGVO-konforme Auftragsverarbeitungsverträge (DPAs)

Um E-Mail-Übermittlungen zu minimieren, können sich Benutzer von nicht essenzieller Kommunikation abmelden.

Durchführung einer eigenen TIA

Wann Sie eine eigene Bewertung benötigen

Organisationen sollten eine eigene TIA durchführen, wenn:

Sie besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) über ISMS Copilot verarbeiten
Ihre Risikotoleranz von der Bewertung von ISMS Copilot abweicht
Ihre Datenschutzbehörde organisationsspezifische TIAs verlangt
Kundenverträge unabhängige Transferbewertungen vorschreiben
Sie große Mengen personenbezogener Daten von EU-Bürgern verarbeiten

Kernfragen für Ihre TIA

Berücksichtigen Sie bei der Durchführung Ihrer eigenen Bewertung:

Datensensibilität

Welche Arten von personenbezogenen Daten laden Sie hoch?
Enthält es besondere Datenkategorien (Gesundheit, Biometrie, politische Meinungen)?
Wie würde ein unbefugter staatlicher Zugriff den betroffenen Personen schaden?

Wahrscheinlichkeit des Zugriffs

Könnten Ihre Compliance-Daten den Schwellenwert für „ausländische Geheimdienstinformationen“ gemäß FISA 702 erreichen?
Sind Sie oder Ihre Kunden potenzielle Ziele staatlicher Überwachung?
Verarbeiten Sie Daten im Zusammenhang mit nationaler Sicherheit, Terrorismus oder organisierter Kriminalität?

Ergänzende Maßnahmen

Sind die technischen Maßnahmen von ISMS Copilot (Verschlüsselung, begrenzte Speicherung) für Ihren Anwendungsfall ausreichend?
Sollten Sie den Modus für erweiterten Datenschutz für eine reine EU-Verarbeitung aktivieren?
Sollten Sie den Modus zur PII-Reduzierung aktivieren, um personenbezogene Daten vor der KI-Verarbeitung zu schwärzen?
Benötigen Sie eine zusätzliche Anonymisierung, bevor Sie Dokumente hochladen?

Alternative Lösungen

Wenn Risiken nicht gemindert werden können, können Sie den Transfer durch Aktivierung des Modus für erweiterten Datenschutz vermeiden?
Können Sie Daten vor der Nutzung von ISMS Copilot anonymisieren?
Sollten Sie die Nutzung von ISMS Copilot auf ausschließlich nicht-personenbezogene Daten beschränken?

Ressourcen für Ihre TIA

UK ICO: Transfer Risk Assessments
EDPB-Empfehlungen 01/2020 zu ergänzenden Maßnahmen
CNIL: How to carry out a Transfer Impact Assessment
ISMS Copilot Auftragsverarbeitungsvertrag (Abschnitt 3: Internationale Datentransfers)
Verzeichnis von Verarbeitungstätigkeiten für detaillierte Informationen zu Unterauftragsverarbeitern

Entscheidungsleitfaden: Welchen Modus sollten Sie verwenden?

Verwenden Sie den Modus für erweiterten Datenschutz (nur EU), wenn:

Ihre Organisation verbindliche Anforderungen an die Datenspeicherung in der EU hat
Sie personenbezogene Daten von EU-Bürgern verarbeiten und die Einhaltung der TIA-Vorgaben vereinfachen möchten
Kundenverträge die Datenverarbeitung in den USA untersagen
Sie besondere Kategorien personenbezogener Daten verarbeiten (Art. 9 DSGVO)
Ihre Datenschutzbehörde eine reine EU-Verarbeitung verlangt
Ihre Risikobewertung ergibt, dass US-Transfers unannehmbare Risiken darstellen
Sie eine Speicherung von Null (Zero Retention) durch den KI-Anbieter für maximalen Datenschutz wünschen

Compliance-Berater, die mit europäischen Kunden zusammenarbeiten, sollten standardmäßig den Modus für erweiterten Datenschutz verwenden, um strenge Anforderungen an die Datensouveränität zu erfüllen und die Einhaltung der DSGVO zu vereinfachen.

Der Standardmodus kann akzeptabel sein, wenn:

Sie nur Compliance-Dokumentation ohne personenbezogene Daten verarbeiten
Ihre TIA ergibt, dass ergänzende Maßnahmen einen angemessenen Schutz bieten
Sie nicht der DSGVO unterliegen (Nicht-EU-Organisation, keine EU-Datensubjekte)
Sie nur unkritische Compliance-Inhalte verarbeiten (allgemeine Richtlinien, Frameworks)
Eine 30-tägige Speicherung durch den KI-Anbieter gemäß Ihren Richtlinien akzeptabel ist

Dokumentation von Transfers in Ihrem VVT (ROPA)

Wenn Sie ISMS Copilot zur Verarbeitung personenbezogener Daten nutzen, dokumentieren Sie dies in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT):

Standardmodus (Erweiterter Datenschutz AUS)

Unterauftragsverarbeiter: ISMS Copilot (EU), xAI (US), OpenAI (US), SendGrid (US), Kit (US)
Transferziele: Vereinigte Staaten
Transfermechanismen: Standardvertragsklauseln, Verschlüsselung, begrenzte Speicherung
TIA-Referenz: „Beruhend auf der Datentransfer-Folgenabschätzung von ISMS Copilot vom [Datum]“ oder „Interne TIA am [Datum] durchgeführt“

Modus für erweiterten Datenschutz (AN)

Unterauftragsverarbeiter: ISMS Copilot (EU), Mistral AI (EU), SendGrid (US), Kit (US)
Transferziele: Vereinigte Staaten (nur E-Mail)
Transfermechanismen: Standardvertragsklauseln für E-Mail-Anbieter
TIA-Referenz: „KI-Verarbeitung erfolgt in der EU (kein Transfer); E-Mail-Transfers durch SCCs abgedeckt“

Eine Vorlage, auf die Sie Bezug nehmen können, finden Sie im Verzeichnis von Verarbeitungstätigkeiten von ISMS Copilot.

Bewährte Praktiken

Für EU-Organisationen

Aktivieren Sie standardmäßig den Modus für erweiterten Datenschutz, um TIA-Komplexität zu vermeiden
Dokumentieren Sie ISMS Copilot in Ihrem VVT mit den entsprechenden Angaben zu Unterauftragsverarbeitern
Informieren Sie betroffene Personen über die Nutzung von KI-Tools für die Compliance-Verarbeitung (Datenschutzhinweis)
Anonymisieren Sie personenbezogene Daten nach Möglichkeit vor dem Hochladen
Führen Sie eine Datenschutz-Folgenabschätzung (DSFA) durch, wenn Sie besondere Datenkategorien oder in großem Umfang personenbezogene Daten verarbeiten

Für Compliance-Berater

Prüfen Sie die Anforderungen jedes Kunden an den Datenstandort, bevor Sie einen Modus wählen
Erstellen Sie separate Workspaces pro Kunde, um Daten zu isolieren
Nehmen Sie ISMS Copilot als Unterauftragsverarbeiter in die Auftragsverarbeitungsverträge (DPAs) Ihrer Kunden auf
Informieren Sie Kunden darüber, welchen Modus Sie verwenden und warum
Aktivieren Sie den Modus zur PII-Reduzierung für zusätzlichen Schutz beim Umgang mit Audit-Berichten, die Mitarbeiternamen enthalten

Minimierung von Transferrisiken

Modus für erweiterten Datenschutz aktivieren: Eliminiert Transfers für die KI-Verarbeitung vollständig
Modus zur PII-Reduzierung aktivieren: Schwärzt personenbezogene Daten, bevor sie die KI-Anbieter erreichen
Abmeldung von nicht essenziellen E-Mails: Reduziert Transfers an E-Mail-Anbieter
Kurze Aufbewahrungsfristen festlegen: Begrenzt die Dauer der Datenspeicherung
Vor dem Hochladen anonymisieren: Personenbezogene Identifikatoren entfernen oder pseudonymisieren

Häufig gestellte Fragen (FAQ)

Muss ich eine eigene TIA durchführen, wenn ich ISMS Copilot verwende?

Das kommt darauf an. Wenn Sie den Standardmodus verwenden und personenbezogene Daten von EU-Bürgern verarbeiten, sollten Sie entweder eine eigene TIA durchführen oder die Nutzung der Bewertung von ISMS Copilot dokumentieren. Wenn Sie den Modus für erweiterten Datenschutz aktivieren, bleibt die KI-Verarbeitung in der EU und erfordert keine TIA (E-Mail-Übermittlungen jedoch weiterhin).

Eliminiert der Modus für erweiterten Datenschutz die Transferverpflichtungen vollständig?

Nein. Er eliminiert Transfers für die KI-Verarbeitung, aber die E-Mail-Kommunikation erfolgt weiterhin über US-basierte Anbieter (SendGrid, Kit). Diese E-Mail-Übermittlungen unterliegen weiterhin den Anforderungen von Kapitel V der DSGVO und sollten in Ihrem VVT dokumentiert werden.

Was passiert, wenn meine Datenschutzbehörde die TIA von ISMS Copilot ablehnt?

Wenn Ihre Datenschutzbehörde zu dem Schluss kommt, dass US-Transfers unannehmbare Risiken darstellen, aktivieren Sie den Modus für erweiterten Datenschutz, um KI-Workloads ausschließlich in der EU zu verarbeiten. Damit entfällt die Notwendigkeit einer TIA für die KI-Verarbeitung.

Kann ich ISMS Copilot für besondere Datenkategorien verwenden?

Ja, aber mit Vorsichtsmaßnahmen. Aktivieren Sie den Modus für erweiterten Datenschutz für die reine EU-Verarbeitung, aktivieren Sie den Modus zur PII-Reduzierung, legen Sie kurze Aufbewahrungsfristen fest und führen Sie eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch. Stellen Sie sicher, dass Sie eine Rechtsgrundlage gemäß Art. 9 haben.

Wie oft sollte ich meine TIA überprüfen?

Überprüfen Sie Ihre TIA, wann immer:

ISMS Copilot Unterauftragsverarbeiter oder Datenflüsse ändert
sich die US-Überwachungsgesetze ändern
Ihre Datenschutzbehörde neue Leitlinien herausgibt
sich die Art oder Menge der von Ihnen verarbeiteten Daten erheblich ändert

Wo finde ich die Standardvertragsklauseln von ISMS Copilot?

SCCs sind in die Verträge mit Unterauftragsverarbeitern integriert. Kontaktieren Sie den Support über das Hilfe-Center, um Kopien der SCCs für Ihre Anbieterbewertung oder für Audit-Zwecke anzufordern.

Weiterführende Ressourcen

Auftragsverarbeitungsvertrag (DPA) — Vollständiger rechtlicher Rahmen für die Datenverarbeitung durch ISMS Copilot
Modus für erweiterten Datenschutz — So aktivieren Sie die reine EU-Verarbeitung
Übersicht der Datenkontrollen — Speicherung, PII-Reduzierung und Privatsphäre-Einstellungen
Datenschutz & DSGVO-Konformität — Ihre Rechte und Umsetzung der DSGVO
Verzeichnis von Verarbeitungstätigkeiten (VVT/ROPA) — Liste der Unterauftragsverarbeiter und Verarbeitungsdetails

Hilfe erhalten

Bei Fragen zu Datentransfer-Folgenabschätzungen oder internationalen Datentransfers:

Prüfen Sie den Auftragsverarbeitungsvertrag hinsichtlich rechtlicher Transfermechanismen
Kontaktieren Sie den Support über das Hilfe-Center für TIA-Dokumentationen oder SCC-Kopien
Geben Sie „TIA-Anfrage“ oder „Transfer Impact Assessment“ in Ihrer Betreffzeile an
Besuchen Sie die Security Collection für umfassende Compliance-Dokumentation

War das hilfreich?