Skip to main content
Clozo

Transfer Impact Assessment (TIA) — Zusammenfassung

Zuletzt aktualisiert: 13. Mai 2026

Nach dem Schrems-II-Urteil des EuGH (C-311/18, Juli 2020) müssen Verantwortliche, die personenbezogene Daten in Drittländer übermitteln, ein Transfer Impact Assessment (TIA) gemäß Art. 44-49 DSGVO und EDPB-Empfehlungen 01/2020 dokumentieren. Diese Seite ist die öffentliche Zusammenfassung des internen TIA von Clozo; die vollständige Fassung ist auf Anfrage an legal@useclozo.com für AEPD-Prüfer und betroffene Personen verfügbar.

Vom TIA erfasste Sub-Prozessoren

Vier US-basierte Sub-Prozessoren: Resend Inc. (transaktionale E-Mails), Anthropic PBC (KI-Textverbesserung, genutzt als Kernfunktion des Dienstes gemäß Art. 6(1)(b) DSGVO — PII-bereinigt vor Übertragung, keine Einwilligung erforderlich), Cloudflare Inc. (CDN + Edge-Sicherheit + R2-Speicher), PostHog Inc. (zustimmungsgesteuerte Produktanalyse) und Functional Software, Inc. (Sentry — Fehlerüberwachung, EU-Region, SCC unterzeichnet). Hinweis: Stripe Payments Europe Ltd. (Irland, EU) ist der Daten-Importeur für Zahlungen — kein Drittlandsübermittlung; etwaige US-Weitergaben unterliegen Stripes eigener SCC-Kette, jährlich neu bewertet. Jeder operiert entweder mit aktiver EU-US Data Privacy Framework (DPF)-Zertifizierung oder Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021) oder beidem. Die vollständige Liste mit Land, Übermittlungsmechanismus und Datenkategorien wird unter /subprocessors veröffentlicht.

Sub-Prozessoren OHNE TIA-Pflicht

Crisp IM SAS (Frankreich), Geoapify GmbH (Deutschland), Gotenberg (selbst gehostet auf Railway EU), VIES (EU-Institution): alle innerhalb der EU/EWR tätig — kein TIA erforderlich. Sentry verwendet die EU-Region, sofern verfügbar.

Sechs-Stufen-Methodik gemäß EDPB

(1) Übermittlungen kennen — jeder US-Importeur dokumentiert mit Datenkategorien und Volumen; (2) Übermittlungswerkzeug identifizieren — DPF primär, SCC als Backup; (3) Drittlandsrecht beurteilen — US FISA 702 + EO 12333 + CLOUD Act je Importeur analysiert; (4) Ergänzende Maßnahmen identifizieren — Verschlüsselung in transit (TLS 1.3) und im Ruhezustand (AES-256-äquivalent), PII-Scrubbing vor Übertragung an Anthropic (apps/common/ai_scrub), Datenminimierung; (5) Verfahrens- und vertragliche Maßnahmen umsetzen — AVV mit jedem US-Sub-Prozessor signiert; (6) In angemessenen Abständen neu bewerten — jährliche Überprüfung plus bei einem Schrems-III-Urteil, DPF-Entzug oder Sub-Prozessor-Wechsel.

Schlussfolgerung

DPF-Zertifizierung plus SCC Modul 2/3 plus die aufgeführten ergänzenden Maßnahmen bieten ein Schutzniveau, das mit Art. 46 DSGVO im Wesentlichen gleichwertig ist. Das Restrisiko (US-Behördenzugriff über FISA 702) ist für die von Clozo durchgeführten Übermittlungen materiell reduziert, weil (a) Anthropic-Daten vor Übermittlung PII-bereinigt sind, (b) Stripe kein elektronischer Kommunikationsdienstleister im Sinne von FISA 702 ist, (c) transaktionale E-Mail-Inhalte über Resend nicht werblich und volumenarm sind, (d) Cloudflare-Verkehr nur Metadaten ohne Klartext-Geschäftsinhalt protokolliert wird. Anthropic ist ausdrücklich NICHT EU-US DPF zertifiziert — SCC sind der alleinige Übermittlungsmechanismus, dokumentiert in AVV §7 und Datenschutzerklärung §6.

Vollständiges TIA anfordern

AEPD-Prüfer und Betroffene, die ihre Rechte nach Art. 15 DSGVO ausüben, können das vollständige interne TIA-Dokument per E-Mail an legal@useclozo.com anfordern. Das vollständige Dokument enthält Bedrohungsmodelle je Importeur, Transparenzberichte und Status der rechtlichen Überprüfung. Das interne TIA wird der spanischen DSB/Rechtsberatung zur Überprüfung vorgelegt (Ziel 2026-Q3), bevor es vom Status ENTWURF auf AKTIV gesetzt wird.

Zurück zur Anmeldung·Datenschutzerklärung·AV-Vertrag·Sub-Prozessoren·Nutzungsbedingungen·Impressum