Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Anlage 3 zum AVV · Drittlandtransfer

EU-Standardvertragsklauseln (Modul 3) + Transfer Impact Assessment

Diese Anlage ist Bestandteil des Auftragsverarbeitungsvertrags (/avv) und wird nur dann aktiv, wenn ein Sub-Prozessor ausserhalb der EU/des EWR eingesetzt wird.

Stand 15. April 2026: Einziger relevanter Sub-Prozessor mit Drittland-Bezug

Zum Zeitpunkt dieser Fassung betrifft Anlage 3 ausschliesslich Phished NV, deren Phishing-Simulations-Plattform auf Google Cloud Platform laeuft - mit Regionen in Nordamerika. Fuer alle uebrigen Sub-Prozessoren (Heinlein, Hetzner, Lexoffice, BunnyWay, Brevo) erfolgt die Verarbeitung ausschliesslich in EU/EWR; Anlage 3 ist dort nicht anwendbar. Die aktuelle Liste: /subunternehmer.

1. Rechtsgrundlage: EU-Standardvertragsklauseln

Als vertragliche Garantie im Sinne des Art. 46 Abs. 2 lit. c DSGVO kommen die von der Europaeischen Kommission erlassenen Standarddatenschutzklauseln zur Anwendung:

  • Durchfuehrungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 ueber Standardvertragsklauseln fuer die Uebermittlung personenbezogener Daten an Drittlaender gemaess der Verordnung (EU) 2016/679.
  • Anwendung: Modul 3 (Uebermittlung zwischen Auftragsverarbeiter und Unterauftragsverarbeiter).
  • Primaerquelle (verbindliche Fassung, DE): EUR-Lex 32021D0914.

2. Transfer Impact Assessment (TIA)

Ergaenzend zu den SCCs fuehrt AWARE7 ein dokumentiertes Transfer Impact Assessment (TIA) gemaess den Empfehlungen des Europaeischen Datenschutzausschusses durch (EDPB Empfehlungen 01/2020 vom 18.06.2021 zu ergaenzenden Massnahmen).

Inhalte des TIA

  1. Beschreibung der Uebermittlung: Kategorien, Zwecke, Empfaenger, Wiederholungshaeufigkeit, Rechtsgrundlage.
  2. Identifizierung der Uebermittlungswerkzeuge: welche SCC-Module greifen, welche ergaenzenden Garantien.
  3. Bewertung der rechtlichen Situation im Empfangsstaat: Zugriffsrechte staatlicher Stellen, Anforderungen an den Dienstleister, Rechtsmittel fuer Betroffene.
  4. Identifizierung und Umsetzung ergaenzender Massnahmen: technisch (Verschluesselung, Pseudonymisierung), vertraglich (erweiterte Auditrechte, Transparenzpflichten), organisatorisch (Data-Minimierung, Zugriffsbeschraenkung).
  5. Dokumentation und periodische Ueberpruefung: mindestens jaehrlich bzw. bei wesentlichen Aenderungen.

3. Ergaenzende Massnahmen bei Phished / GCP

  • Datenminimierung: ausschliesslich fuer die Phishing-Simulation erforderliche Daten (E-Mail, Name, Interaktionsdaten) - keine sensiblen Kategorien gemaess Art. 9 DSGVO.
  • Verschluesselung at rest und in transit gemaess GCP-Standards; zusaetzliche Massnahmen gemaess ISO 27001 / SOC 2 von Phished.
  • Protokollierte Zugriffe bei Phished (SOC 2-Nachweis auf Anforderung).
  • EU-only Alternative: Auf Wunsch des Verantwortlichen bietet AWARE7 eine manuell und ausschliesslich in Deutschland durch AWARE7 selbst betriebene Phishing-Simulation an - dann entfaellt jeder Drittland-Bezug. Siehe /subunternehmer (Eintrag Phished NV, Feld EU-only Alternative).

4. Rueckwirkung bei Widerruf von Angemessenheits-Instrumenten

Sollten die EU-Kommission oder der EuGH die verwendeten Garantie-Instrumente (SCCs, Angemessenheitsbeschluesse wie das EU-US Data Privacy Framework) fuer unwirksam erklaeren oder wesentlich einschraenken, informiert AWARE7 den Verantwortlichen unverzueglich. Die Parteien pruefen gemeinsam ergaenzende Garantien bzw. - falls keine Loesung moeglich - die Einstellung der betroffenen Drittland-Verarbeitung innerhalb einer angemessenen Frist.

5. Abruf der konkreten SCC-Ausfertigung und des TIA

Die zum Sub-Prozessor Phished NV konkret geschlossene SCC-Ausfertigung (einschliesslich Anhaenge, Beschreibung der uebermittelten Daten, ergaenzende Massnahmen) sowie das zugehoerige TIA stellt AWARE7 dem Verantwortlichen auf Anforderung innerhalb von 14 Tagen zur Verfuegung. Kontakt: datenschutz@a7.de.

Version 1.0 · Stand 15. April 2026 · Bestandteil des AVV V2.1. Diese Anlage wird aktualisiert, wenn ein weiterer Drittland-Sub-Prozessor hinzukommt oder sich die aktuelle Drittland-Konstellation aendert. Aenderungen werden den Auftraggebern gemaess § 5 Abs. 2 AVV mitgeteilt.