Transfer-Folgenabschätzung (TIA) – Einbeziehung von Anthropic

ISMS Copilot hat eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) für internationale Datentransfers in die Vereinigten Staaten gemäß den Anforderungen von Kapitel V der DSGVO durchgeführt. Dieser Artikel erläutert die Ergebnisse der Bewertung, die implementierten ergänzenden Maßnahmen und wie sich der Advanced Data Protection Mode auf Ihre Transferpflichten auswirkt.

Was ist eine Transfer-Folgenabschätzung?

Unter der DSGVO und dem Schrems-II-Urteil müssen Organisationen, die personenbezogene Daten in Länder außerhalb der EU/des EWR übermitteln, prüfen, ob die Gesetze des Ziellandes einen angemessenen Schutz bieten. Standardvertragsklauseln (SCCs) allein reichen unter Umständen nicht aus – Sie müssen bewerten, ob zusätzliche Schutzmaßnahmen erforderlich sind.

Eine TIA bewertet folgendes:

• Gesetze im Zielland, die den staatlichen Zugriff auf Daten ermöglichen könnten

• Ob Ihr Datenimporteur (Unterauftragsverarbeiter) diesen Gesetzen unterliegen könnte

• Technische und organisatorische Maßnahmen, die identifizierte Risiken mindern

• Ob die Kombination aus SCCs und ergänzenden Maßnahmen einen angemessenen Schutz bietet

Die TIA von ISMS Copilot: US-basierte KI-Anbieter

Umfang der Bewertung

ISMS Copilot hat eine Transfer-Folgenabschätzung für US-basierte Unterauftragsverarbeiter durchgeführt, die verwendet werden, wenn der Advanced Data Protection Mode deaktiviert ist:

• xAI (Grok): KI-Konversationsverarbeitung

• OpenAI: KI-Konversation und Dokumentenanalyse

• Anthropic (Claude): KI-Konversationsverarbeitung

• SendGrid (Twilio): Zustellung von transaktionalen E-Mails

• Kit (ConvertKit): Onboarding- und Produktupdate-E-Mails

Rechtlicher Rahmen: Zugriff durch US-Behörden

Die TIA hat US-Überwachungsgesetze bewertet, die einen behördlichen Zugriff ermöglichen könnten:

FISA Section 702

• Ermöglicht es US-Geheimdiensten, US-Unternehmen zur Herausgabe von Kommunikation nicht-US-amerikanischer Personen zu zwingen

• Gilt für „Anbieter von elektronischen Kommunikationsdiensten“

• Die Zielerfassung muss zu auslandsgeheimdienstlichen Zwecken erfolgen

Executive Order 12333

• Regelt auslandsgeheimdienstliche Aktivitäten

• Kann das Abfangen von Daten während der Übertragung ermöglichen

CLOUD Act

• Ermöglicht es US-Strafverfolgungsbehörden, die Offenlegung von Daten zu erzwingen, die von US-Unternehmen gehalten werden, selbst wenn diese im Ausland gespeichert sind

• Erfordert ein rechtliches Verfahren (Haftbefehl oder Vorladung)

Ergebnisse der Risikobewertung

Die TIA von ISMS Copilot kam zu dem Schluss, dass Risiken durch die folgenden Faktoren gemindert werden:

Art der verarbeiteten Daten

• Compliance-bezogene Anfragen und Richtlinienentwürfe

• Im Allgemeinen keine Kommunikationsinhalte, die durch FISA 702 anvisiert werden

• Erreicht wahrscheinlich nicht die Schwelle für „auslandsgeheimdienstliche Zwecke“ zur Zielerfassung

Begrenzte Speicherung durch KI-Anbieter

• xAI, OpenAI, Anthropic: 30-tägige Aufbewahrung nur zur Missbrauchsüberwachung

• Keine dauerhafte Speicherung oder Indizierung für Geheimdienstzwecke

• Vertragliches Verbot der Nutzung von Daten für das Modelltraining

Ende-zu-Ende-Verschlüsselung

• TLS 1.3-Verschlüsselung schützt Daten bei der Übertragung

• Reduziert das Risiko einer Massenerfassung unter EO 12333

Keine Beweise für Regierungsanfragen

• xAI, OpenAI, Anthropic und E-Mail-Anbieter haben keine Berichte über den Erhalt von behördlichen Zugriffsanfragen für ISMS Copilot-Kundendaten gemeldet

• Transparenzberichte zeigen gezielte Strafverfolgungsanfragen, keine Massenüberwachung

Ergänzende Maßnahmen

Über die Standardvertragsklauseln hinaus implementiert ISMS Copilot diese ergänzenden technischen und organisatorischen Maßnahmen:

Technische Maßnahmen

• Verschlüsselung bei der Übertragung: TLS 1.3 für alle Datentransfers

• Verschlüsselung im Ruhezustand: EU-Datenbank mit AES-256 verschlüsselt

• Begrenzte Aufbewahrung: 30-tägiger Cache der KI-Anbieter gegenüber permanenter Speicherung

• Benutzergesteuerte Aufbewahrung: Kunden legen ihre eigenen Datenaufbewahrungsfristen fest (1 Tag bis 7 Jahre)

• PII-Reduktionsmodus: Optionale clientseitige Schwärzung personenbezogener Daten vor der KI-Verarbeitung

Vertragliche Maßnahmen

• Kein Training mit Daten: KI-Anbietern ist die Nutzung von Kundendaten für das Modelltraining vertraglich untersagt

• Standardvertragsklauseln: Von der EU-Kommission genehmigte SCCs mit allen US-Unterauftragsverarbeitern

• Nur Missbrauchsüberwachung: 30-tägige Aufbewahrung beschränkt auf die Erkennung von Plattformmissbrauch, keine kommerzielle Nutzung

Maßnahmen zur Benutzerkontrolle

• Advanced Data Protection Mode: Benutzer können auf reine EU-Verarbeitung umstellen (Mistral AI, keine Speicherung), um US-Transfers vollständig zu vermeiden

• Workspace-Isolierung: Kundendaten werden getrennt, um die Exposition in jeder einzelnen Anfrage zu begrenzen

• Datenminimierung: Es werden nur wesentliche Daten erhoben; keine demografischen oder unnötigen persönlichen Informationen

Wie der Advanced Data Protection Mode die TIA-Pflichten ändert

Standardmodus (Advanced Data Protection AUS)

Wenn der erweiterte Datenschutz deaktiviert ist:

• Ort der KI-Verarbeitung: Vereinigte Staaten (xAI, OpenAI, Anthropic)

• Übertragungsmechanismus: Standardvertragsklauseln + ergänzende Maßnahmen

• TIA-Anforderung: Organisationen, die der DSGVO unterliegen, sollten eine eigene TIA durchführen oder sich auf die TIA von ISMS Copilot berufen

• Aufbewahrung durch KI-Anbieter: 30 Tage (temporärer Cache zur Missbrauchsüberwachung)

• E-Mail-Transfers: Finden unabhängig von der KI-Einstellung weiterhin über US-Anbieter (SendGrid/Kit) statt

Advanced Data Protection EIN (Nur-EU-Modus)

Wenn der erweiterte Datenschutz aktiviert ist:

• Ort der KI-Verarbeitung: Europäische Union (Mistral AI, Frankfurt)

• Übertragungsmechanismus: Kein internationaler Transfer für die KI-Verarbeitung (EU-zu-EU)

• TIA-Anforderung: Für die KI-Verarbeitung nicht erforderlich (kein Transfer außerhalb der EU/des EWR)

• Aufbewahrung durch KI-Anbieter: Keine Speicherung (Zero Retention) – Daten werden in Echtzeit verarbeitet und verworfen

• E-Mail-Transfers: Finden weiterhin über US-Anbieter (SendGrid/Kit) statt; TIA für E-Mails weiterhin erforderlich

E-Mail-Transfers bleiben unabhängig vom Modus bestehen

Selbst bei aktiviertem Advanced Data Protection Mode beinhalten E-Mail-Kommunikationen Transfers in die USA:

• SendGrid (Twilio): Transaktionale E-Mails (Kontoverifizierung, Passwort-Resets, Sicherheitswarnungen)

• Kit (ConvertKit): Onboarding-Sequenzen und Produkt-Updates (optional, Abmeldung möglich)

• Übertragene Daten: E-Mail-Adressen, Interaktionsdaten (Öffnungen, Klicks), Nachrichten-Metadaten

• Schutzmaßnahmen: Standardvertragsklauseln, Verschlüsselung bei der Übertragung, DSGVO-konforme AVVs

Um E-Mail-Transfers zu minimieren, können sich Benutzer von nicht wesentlichen Kommunikationen abmelden.

Durchführung einer eigenen TIA

Wann Sie eine eigene Bewertung benötigen

Organisationen sollten eine eigene TIA durchführen, wenn:

• Sie besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) über ISMS Copilot verarbeiten

• Ihre Risikotoleranz von der Bewertung durch ISMS Copilot abweicht

• Ihre Datenschutzbehörde organisationsspezifische TIAs verlangt

• Kundenverträge unabhängige Transferbewertungen vorschreiben

• Sie große Mengen personenbezogener Daten von EU-Bürgern verarbeiten

Schlüsselfragen für Ihre TIA

Berücksichtigen Sie bei der Durchführung Ihrer eigenen Bewertung:

Datensensibilität

• Welche Arten von personenbezogenen Daten laden Sie hoch?

• Enthalten sie besondere Kategorien (Gesundheit, Biometrie, politische Meinungen)?

• Wie würde ein unbefugter behördlicher Zugriff den betroffenen Personen schaden?

Wahrscheinlichkeit des Zugriffs

• Könnten Ihre Compliance-Daten die Schwelle für „auslandsgeheimdienstliche Zwecke“ unter FISA 702 erreichen?

• Sind Sie oder Ihre Kunden potenzielle Ziele staatlicher Überwachung?

• Verarbeiten Sie Daten im Zusammenhang mit nationaler Sicherheit, Terrorismus oder organisierter Kriminalität?

Ergänzende Maßnahmen

• Sind die technischen Maßnahmen von ISMS Copilot (Verschlüsselung, begrenzte Aufbewahrung) für Ihren Anwendungsfall ausreichend?

• Sollten Sie den Advanced Data Protection Mode für die reine EU-Verarbeitung aktivieren?

• Sollten Sie den PII-Reduktionsmodus aktivieren, um personenbezogene Daten vor der KI-Verarbeitung zu schwärzen?

• Benötigen Sie eine zusätzliche Anonymisierung vor dem Hochladen von Dokumenten?

Alternative Lösungen

• Wenn Risiken nicht gemindert werden können: Können Sie den Transfer vermeiden, indem Sie den Advanced Data Protection Mode aktivieren?

• Können Sie Daten anonymisieren, bevor Sie ISMS Copilot verwenden?

• Sollten Sie die Nutzung von ISMS Copilot auf ausschließlich nicht-personenbezogene Daten beschränken?

Ressourcen für Ihre TIA

• UK ICO: Transfer Risk Assessments

• EDPB-Empfehlungen 01/2020 zu ergänzenden Maßnahmen

• CNIL: How to carry out a Transfer Impact Assessment

• ISMS Copilot Auftragsverarbeitungsvertrag (Abschnitt 3: Internationaler Datentransfer)

• Verzeichnis von Verarbeitungstätigkeiten für detaillierte Informationen zu Unterauftragsverarbeitern

Entscheidungshilfe: Welchen Modus sollten Sie verwenden?

Verwenden Sie den Advanced Data Protection Mode (Nur-EU), wenn:

• Ihre Organisation verbindliche EU-Datenresidenz-Anforderungen hat

• Sie personenbezogene Daten von EU-Bürgern verarbeiten und die TIA-Compliance vereinfachen wollen

• Kundenverträge eine datenverarbeitung in den USA untersagen

• Sie besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeiten

• Ihre Datenschutzbehörde eine ausschließliche Verarbeitung in der EU verlangt

• Ihre Risikobewertung ergibt, dass US-Transfers inakzeptable Risiken darstellen

• Sie die Speicherung durch KI-Anbieter (Zero Retention) für maximalen Datenschutz wünschen

Der Standardmodus kann akzeptabel sein, wenn:

• Sie nur Compliance-Dokumentation ohne personenbezogene Daten verarbeiten

• Ihre TIA ergibt, dass ergänzende Maßnahmen angemessenen Schutz bieten

• Sie nicht der DSGVO unterliegen (Nicht-EU-Organisation, keine EU-Datensubjekte)

• Sie nur unkritische Compliance-Inhalte verarbeiten (generische Richtlinien, Frameworks)

• Eine 30-tägige Aufbewahrung durch KI-Anbieter gemäß Ihren Richtlinien akzeptabel ist

Dokumentation von Transfers in Ihrem VVT

Wenn Sie ISMS Copilot zur Verarbeitung personenbezogener Daten nutzen, dokumentieren Sie dies in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT):

Standardmodus (Advanced Data Protection AUS)

• Unterauftragsverarbeiter: ISMS Copilot (EU), xAI (US), OpenAI (US), SendGrid (US), Kit (US)

• Transferziele: Vereinigte Staaten

• Transfermechanismen: Standardvertragsklauseln, Verschlüsselung, begrenzte Aufbewahrung

• TIA-Referenz: „Berufung auf die Transfer-Folgenabschätzung von ISMS Copilot vom [Datum]“ oder „Interne TIA am [Datum] durchgeführt“

Advanced Data Protection Mode (EIN)

• Unterauftragsverarbeiter: ISMS Copilot (EU), Mistral AI (EU), SendGrid (US), Kit (US)

• Transferziele: Vereinigte Staaten (nur E-Mail)

• Transfermechanismen: Standardvertragsklauseln für E-Mail-Anbieter

• TIA-Referenz: „KI-Verarbeitung erfolgt in der EU (kein Transfer); E-Mail-Transfers durch SCCs abgedeckt“

Siehe ISMS Copilot Verzeichnis von Verarbeitungstätigkeiten für eine Vorlage, auf die Sie sich beziehen können.

Best Practices

Für EU-Organisationen

• Aktivieren Sie standardmäßig den Advanced Data Protection Mode, um TIA-Komplexität zu vermeiden

• Dokumentieren Sie ISMS Copilot in Ihrem VVT mit den entsprechenden Details zu Unterauftragsverarbeitern

• Informieren Sie betroffene Personen über die Nutzung von KI-Tools für die Compliance-Verarbeitung (Datenschutzhinweis)

• Anonymisieren Sie personenbezogene Daten vor dem Hochladen, wann immer möglich

• Führen Sie eine DSFA durch, wenn Sie besondere Datenkategorien oder in großem Umfang personenbezogene Daten verarbeiten

Für Compliance-Berater

• Prüfen Sie die Datenresidenz-Anforderungen jedes Kunden, bevor Sie einen Modus wählen

• Erstellen Sie separate Workspaces pro Kunde, um Daten zu isolieren

• Führen Sie ISMS Copilot als Unterauftragsverarbeiter in Ihren Kunden-AVVs auf

• Informieren Sie Kunden darüber, welchen Modus Sie verwenden und warum

• Aktivieren Sie den PII-Reduktionsmodus für zusätzlichen Schutz beim Umgang mit Audit-Berichten, die Mitarbeiternamen enthalten

Minimierung von Transferrisiken

• Advanced Data Protection Mode aktivieren: Eliminiert Transfers für die KI-Verarbeitung vollständig

• PII-Reduktionsmodus aktivieren: Schwärzt personenbezogene Daten, bevor sie KI-Anbieter erreichen

• Abmeldung von nicht wesentlichen E-Mails: Reduziert Transfers durch E-Mail-Anbieter

• Kurze Aufbewahrungsfristen festlegen: Begrenzt die Dauer der Datenspeicherung

• Vor dem Upload anonymisieren: Entfernen oder pseudonymisieren Sie persönliche Identifikatoren

Häufig gestellte Fragen (FAQ)

Muss ich eine eigene TIA durchführen, wenn ich ISMS Copilot verwende?

Das kommt darauf an. Wenn Sie den Standardmodus nutzen und personenbezogene Daten von EU-Bürgern verarbeiten, sollten Sie entweder eine eigene TIA durchführen oder die Berufung auf die Bewertung von ISMS Copilot dokumentieren. Wenn Sie den Advanced Data Protection Mode aktivieren, verbleibt die KI-Verarbeitung in der EU und erfordert keine TIA (E-Mail-Transfers erfordern jedoch weiterhin eine).

Eliminiert der Advanced Data Protection Mode die Transferpflichten vollständig?

Nein. Er eliminiert Transfers für die KI-Verarbeitung, aber E-Mail-Kommunikationen nutzen weiterhin US-basierte Anbieter (SendGrid, Kit). Diese E-Mail-Transfers unterliegen weiterhin den Anforderungen von Kapitel V der DSGVO und sollten in Ihrem VVT dokumentiert werden.

Was passiert, wenn meine Datenschutzbehörde die TIA von ISMS Copilot ablehnt?

Falls Ihre Behörde zu dem Schluss kommt, dass US-Transfers inakzeptable Risiken bergen, aktivieren Sie den Advanced Data Protection Mode, um KI-Workloads ausschließlich in der EU zu verarbeiten. Damit entfällt die Notwendigkeit einer TIA für die KI-Verarbeitung.

Kann ich ISMS Copilot für besondere Kategorien von Daten verwenden?

Ja, aber mit Vorsicht. Aktivieren Sie den Advanced Data Protection Mode (EU-only), den PII-Reduktionsmodus, legen Sie kurze Aufbewahrungsfristen fest und führen Sie eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch. Stellen Sie sicher, dass Sie eine Rechtsgrundlage gemäß Art. 9 haben.

Wie oft sollte ich meine TIA überprüfen?

Überprüfen Sie Ihre TIA, wenn:

• ISMS Copilot Unterauftragsverarbeiter oder Datenflüsse ändert

• Sich die US-Überwachungsgesetze ändern

• Ihre Datenschutzbehörde neue Leitlinien herausgibt

• Sich die Art oder das Volumen der verarbeiteten Daten erheblich ändert

Wo finde ich die Standardvertragsklauseln von ISMS Copilot?

SCCs sind in die Verträge mit den Unterauftragsverarbeitern integriert. Kontaktieren Sie den Support über das Help Center, um Kopien der SCCs für Ihre Anbieterbewertung oder Audit-Zwecke anzufordern.

Zugehörige Ressourcen

• Auftragsverarbeitungsvertrag (AVV) – Vollständiger rechtlicher Rahmen für die Datenverarbeitung bei ISMS Copilot

• Advanced Data Protection Mode – So aktivieren Sie die Nur-EU-Verarbeitung

• Überblick über Datenkontrollen – Aufbewahrung, PII-Reduktion und Datenschutzeinstellungen

• Datenschutz & DSGVO-Konformität – Ihre Rechte und DSGVO-Umsetzung

• Verzeichnis von Verarbeitungstätigkeiten (VVT) – Liste der Unterauftragsverarbeiter und Verarbeitungsdetails

Hilfe erhalten

Bei Fragen zu Transfer-Folgenabschätzungen oder internationalen Datentransfers:

• Prüfen Sie den Auftragsverarbeitungsvertrag bezüglich der rechtlichen Transfermechanismen

• Kontaktieren Sie den Support über das Help Center für TIA-Dokumentationen oder SCC-Kopien

• Geben Sie „TIA-Anfrage“ oder „Transfer Impact Assessment“ im Betreff an

• Besuchen Sie die Security Collection für umfassende Compliance-Dokumentation