Documentation Index
Fetch the complete documentation index at: https://docs.salesfrank.com/llms.txt
Use this file to discover all available pages before exploring further.
Transfer Impact Assessments (TIAs)
SalesFrank — Another Side Ventures Free Zone LLC
Erstellt gemäß den Empfehlungen des Europäischen Datenschutzausschusses (EDSA/EDPB) — Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungsgarantien (Version 2.0, verabschiedet am 18.06.2021)
Verantwortliche Stelle (Datenexporteur): Another Side Ventures Free Zone LLC, Al Shohada Road, Ras Al Khaimah, VAE
EU-Vertreter gemäß Art. 27 DSGVO: Thomas Bergmann, info@salesfrank.com
Datum der Erstbewertung: März 2026
Nächste planmäßige Überprüfung: September 2026
TIA Nr. 1: ElevenLabs, Inc.
1. Identifizierung der Datenübermittlung
1.1 Datenexporteur
| Feld | Angabe |
|---|
| Name | Another Side Ventures Free Zone LLC |
| Rolle | Auftragsverarbeiter (im Verhältnis zum Kunden als Verantwortlichem) |
| Sitz | Ras Al Khaimah, VAE |
| EU-Vertreter | Thomas Bergmann, info@salesfrank.com |
| Kontakt Datenschutz | info@salesfrank.com |
1.2 Datenimporteur
| Feld | Angabe |
|---|
| Name | ElevenLabs, Inc. |
| Rolle | Unterauftragsverarbeiter |
| Sitz | New York, USA |
| Website | elevenlabs.io |
| DPA abgeschlossen | Ja — ElevenLabs Standard Data Processing Agreement |
| SCCs abgeschlossen | Ja — Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 04.06.2021, Modul 3 (Auftragsverarbeiter → Unterauftragsverarbeiter) |
| EU-US Data Privacy Framework | Prüfung der Zertifizierung: [zum Zeitpunkt der Bewertung zu verifizieren unter dataprivacyframework.gov] |
1.3 Art der übermittelten personenbezogenen Daten
| Datenkategorie | Beschreibung | Personenbezug |
|---|
| Audiodaten (Speech-to-Text) | Echtzeit-Audiostream der Stimme der angerufenen Person während des Telefonats | Ja — Stimme ist biometrisches Datum im weiteren Sinne; in Kombination mit Telefonnummer identifizierbar |
| Textdaten (Text-to-Speech) | Vom LLM generierter Antworttext, der in Sprache umgewandelt wird | Nein — enthält keine personenbezogenen Daten der angerufenen Person; synthetisch generierter Text |
1.4 Zweck der Übermittlung
Die Übermittlung erfolgt ausschließlich zum Zweck der:
- Sprachsynthese (Text-to-Speech): Umwandlung von KI-generierten Textantworten in natürlichsprachliche Audioausgabe für das Telefongespräch
- Spracherkennung (Speech-to-Text): Echtzeit-Transkription der gesprochenen Worte der angerufenen Person in Text, der anschließend vom LLM verarbeitet wird
1.5 Art der Verarbeitung
Die Verarbeitung durch ElevenLabs erfolgt als transiente Echtzeit-Stream-Verarbeitung (Real-Time Streaming):
- Audiodaten werden als kontinuierlicher Datenstrom an die ElevenLabs-API gesendet
- Die Verarbeitung erfolgt in Echtzeit im Arbeitsspeicher (RAM) der ElevenLabs-Server
- Das Ergebnis (transkribierter Text bzw. synthetisierte Sprache) wird unmittelbar an den Auftragnehmer zurückgestreamt
- Es erfolgt keine dauerhafte Speicherung der Audiodaten oder Transkripte bei ElevenLabs nach Abschluss der Echtzeitverarbeitung
- Die Verarbeitungsdauer pro Anfrage beträgt typischerweise wenige Sekunden
1.6 Häufigkeit und Umfang
- Verarbeitung erfolgt bei jedem über die Plattform geführten Telefongespräch
- Umfang: abhängig von der Anzahl und Dauer der Telefonate des jeweiligen Kunden
- Typische Gesprächsdauer: 30 Sekunden bis 5 Minuten pro Anruf
1.7 Kategorien betroffener Personen
- Kontaktpersonen (angerufene Personen): in der Regel geschäftliche Kontakte (B2B), wie Geschäftsführer, Vertriebsleiter oder sonstige Entscheidungsträger in Unternehmen
2. Bewertung der Rechtsordnung des Empfängerlandes (USA)
2.1 Allgemeine Bewertung
Die Vereinigten Staaten von Amerika verfügen über kein umfassendes Bundesdatenschutzgesetz, das dem Schutzniveau der DSGVO entspricht. Die Europäische Kommission hat jedoch am 10. Juli 2023 einen Angemessenheitsbeschluss für den EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO erlassen (Durchführungsbeschluss (EU) 2023/1795).
2.2 Relevante US-Gesetze und behördliche Zugriffsrechte
2.2.1 FISA Section 702 (Foreign Intelligence Surveillance Act)
- Anwendungsbereich: Ermöglicht US-Nachrichtendiensten die gezielte Überwachung der elektronischen Kommunikation von Nicht-US-Personen außerhalb der USA
- Relevanz für diese Übermittlung: ElevenLabs könnte theoretisch als „Electronic Communication Service Provider” einer Anordnung gemäß FISA 702 unterliegen
- Bewertung: Die tatsächliche Wahrscheinlichkeit einer Anordnung ist als sehr gering einzuschätzen (siehe Abschnitt 2.3)
2.2.2 Executive Order 12333
- Anwendungsbereich: Ermöglicht die Massenüberwachung von Kommunikationsdaten außerhalb der USA („upstream collection”)
- Relevanz für diese Übermittlung: Betrifft primär Daten, die über transatlantische Kabel übertragen werden
- Bewertung: Durch End-to-End-Verschlüsselung (TLS 1.2+) ist der Inhalt der übertragenen Daten auch bei Abfangen nicht lesbar
2.2.3 Executive Order 14086 (Oktober 2022)
- Schränkt die Überwachungstätigkeit der US-Nachrichtendienste ein
- Führt ein Beschwerdemechanismus für EU-Bürger ein (Data Protection Review Court — DPRC)
- Verlangt, dass Überwachungsmaßnahmen verhältnismäßig und notwendig sind
- Bildet die Grundlage für den EU-US Data Privacy Framework Angemessenheitsbeschluss
2.2.4 CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018)
- Anwendungsbereich: Ermöglicht US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen, auch wenn diese außerhalb der USA gespeichert sind
- Relevanz: Betrifft ElevenLabs als US-Unternehmen
- Bewertung: Der CLOUD Act erfordert einen richterlichen Beschluss und ist auf spezifische Ermittlungsverfahren beschränkt
2.3 Wahrscheinlichkeitsbewertung eines behördlichen Zugriffs
Die Wahrscheinlichkeit, dass US-Behörden auf die bei ElevenLabs verarbeiteten Daten zugreifen, wird aus folgenden Gründen als sehr gering eingestuft:
| Faktor | Bewertung |
|---|
| Art der Daten | Transiente Audiofragmente und synthetisierte Sprache — keine persistent gespeicherten Inhalte, keine Kommunikationsmetadaten im klassischen Sinne |
| Speicherdauer beim Datenimporteur | Keine dauerhafte Speicherung — Echtzeitverarbeitung im RAM, keine abrufbaren Archive |
| Art der betroffenen Personen | B2B-Geschäftskontakte in Europa — kein Bezug zu nationaler Sicherheit, Terrorismus oder Strafverfolgungsinteressen der USA |
| Art der Geschäftstätigkeit | Automatisierte Vertriebstelefonate (Sales Outreach) — kein Bezug zu Sektoren von geheimdienstlichem Interesse |
| Bisherige Erfahrungen | Keine bekannten Fälle, in denen US-Behörden auf transiente Sprachverarbeitungsdaten von B2B-SaaS-Plattformen zugegriffen haben |
| Praktische Umsetzbarkeit | Da keine dauerhafte Speicherung stattfindet, wäre ein Zugriff technisch nur in Echtzeit möglich — ein unverhältnismäßiger Aufwand für die Art der verarbeiteten Daten |
3. Ergänzende technische und organisatorische Maßnahmen
Zusätzlich zu den vertraglichen Garantien (SCCs, DPA) hat der Datenexporteur folgende ergänzende Maßnahmen implementiert:
3.1 Technische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Transportverschlüsselung | Alle Datenübertragungen an ElevenLabs erfolgen über TLS 1.2 oder höher. Die Verschlüsselung erfolgt Ende-zu-Ende zwischen den Systemen des Datenexporteurs und den ElevenLabs-API-Endpunkten. |
| Transiente Verarbeitung | Audiodaten werden ausschließlich als Echtzeitstream verarbeitet und nicht dauerhaft bei ElevenLabs gespeichert. Nach Abschluss der Verarbeitung jeder einzelnen Anfrage werden die Daten aus dem Arbeitsspeicher gelöscht. |
| Keine Sekundärnutzung | ElevenLabs ist vertraglich verpflichtet, die übermittelten Daten nicht für eigene Zwecke (z. B. Modelltraining) zu verwenden. |
| API-Authentifizierung | Der Zugang zur ElevenLabs-API erfolgt ausschließlich über authentifizierte API-Schlüssel, die sicher auf den EU-Servern des Datenexporteurs gespeichert sind. |
| Minimale Datenübermittlung | Es werden ausschließlich die für die Sprachverarbeitung erforderlichen Audiofragmente übermittelt — keine Telefonnummern, Namen, E-Mail-Adressen oder sonstige identifizierende Daten der angerufenen Personen. |
| Keine Speicherung auf EU-externen Endgeräten | Die dauerhafte Speicherung von Gesprächsaufzeichnungen und Transkripten erfolgt ausschließlich auf den EU-Servern des Datenexporteurs (Microsoft Azure, EU West). |
3.2 Organisatorische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Vertragliche Verpflichtung | DPA und SCCs mit ElevenLabs abgeschlossen, die Weisungsgebundenheit, Vertraulichkeit, Meldepflichten und Kontrollrechte regeln |
| Regelmäßige Überprüfung | Der Datenexporteur überprüft mindestens halbjährlich, ob sich die rechtlichen Rahmenbedingungen im Empfängerland geändert haben |
| Benachrichtigungspflicht | ElevenLabs ist vertraglich verpflichtet, den Datenexporteur unverzüglich zu informieren, wenn eine behördliche Anfrage bezüglich der verarbeiteten Daten eingeht |
| Aussetzung der Übermittlung | Der Datenexporteur hat das vertragliche Recht, die Datenübermittlung auszusetzen, wenn das Schutzniveau nicht mehr gewährleistet werden kann |
4. Gesamtbewertung und Ergebnis
4.1 Zusammenfassende Risikobewertung
| Bewertungskriterium | Ergebnis |
|---|
| Schwere des potenziellen Eingriffs | Gering — transiente Audiofragmente ohne dauerhafte Speicherung |
| Wahrscheinlichkeit eines behördlichen Zugriffs | Sehr gering — keine Relevanz für Nachrichtendienste oder Strafverfolgung |
| Wirksamkeit der vertraglichen Garantien | Hoch — SCCs, DPA, Benachrichtigungspflichten |
| Wirksamkeit der technischen Maßnahmen | Hoch — TLS-Verschlüsselung, transiente Verarbeitung, minimale Datenübermittlung |
| Praktische Durchsetzbarkeit von Betroffenenrechten | Gewährleistet — über den Datenexporteur und den EU-Vertreter |
4.2 Ergebnis
Die Übermittlung personenbezogener Daten an ElevenLabs, Inc. (USA) ist unter Berücksichtigung der vertraglichen Garantien (SCCs, DPA) und der implementierten ergänzenden technischen und organisatorischen Maßnahmen mit den Anforderungen der DSGVO vereinbar.
Die Kombination aus (1) der transienten Natur der Verarbeitung (keine dauerhafte Speicherung), (2) der minimalen Datenübermittlung (nur Audiofragmente, keine identifizierenden Metadaten), (3) der Transportverschlüsselung und (4) den vertraglichen Schutzmechanismen gewährleistet ein Schutzniveau, das dem in der EU im Wesentlichen gleichwertig ist.
Bewertung: ÜBERMITTLUNG ZULÄSSIG
4.3 Auflagen und Bedingungen
- Die Bewertung ist an die zum Zeitpunkt der Erstellung geltenden rechtlichen Rahmenbedingungen gebunden und wird bei wesentlichen Änderungen (z. B. Aufhebung des EU-US DPF Angemessenheitsbeschlusses, Änderung der US-Gesetzgebung) unverzüglich überprüft.
- Die planmäßige Überprüfung erfolgt spätestens im September 2026.
- Bei Bekanntwerden eines behördlichen Zugriffs auf die übermittelten Daten wird die Übermittlung unverzüglich ausgesetzt und die betroffenen Auftraggeber werden informiert.
TIA Nr. 2: Deepgram, Inc.
1. Identifizierung der Datenübermittlung
1.1 Datenexporteur
| Feld | Angabe |
|---|
| Name | Another Side Ventures Free Zone LLC |
| Rolle | Auftragsverarbeiter (im Verhältnis zum Kunden als Verantwortlichem) |
| Sitz | Ras Al Khaimah, VAE |
| EU-Vertreter | Thomas Bergmann, info@salesfrank.com |
| Kontakt Datenschutz | info@salesfrank.com |
1.2 Datenimporteur
| Feld | Angabe |
|---|
| Name | Deepgram, Inc. |
| Rolle | Unterauftragsverarbeiter |
| Sitz | San Francisco, Kalifornien, USA |
| Website | deepgram.com |
| DPA abgeschlossen | Ja — Deepgram Data Processing Agreement |
| SCCs abgeschlossen | Ja — Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, Modul 3 (Auftragsverarbeiter → Unterauftragsverarbeiter) |
| EU-US Data Privacy Framework | Prüfung der Zertifizierung: [zum Zeitpunkt der Bewertung zu verifizieren unter dataprivacyframework.gov] |
1.3 Art der übermittelten personenbezogenen Daten
| Datenkategorie | Beschreibung | Personenbezug |
|---|
| Audiodaten (Speech-to-Text) | Echtzeit-Audiostream der Stimme der angerufenen Person während des Telefonats | Ja — Stimme ist biometrisches Datum im weiteren Sinne; in Kombination mit Telefonnummer identifizierbar |
1.4 Zweck der Übermittlung
Die Übermittlung erfolgt ausschließlich zum Zweck der Spracherkennung (Speech-to-Text): Echtzeit-Transkription der gesprochenen Worte der angerufenen Person in Text, der anschließend vom LLM (gehostet auf Azure EU) verarbeitet wird.
1.5 Art der Verarbeitung
Die Verarbeitung durch Deepgram erfolgt als transiente Echtzeit-Stream-Verarbeitung (Real-Time Streaming):
- Audiodaten werden als kontinuierlicher Datenstrom an die Deepgram-API gesendet (WebSocket-Verbindung)
- Die Verarbeitung erfolgt in Echtzeit im Arbeitsspeicher der Deepgram-Server
- Das Ergebnis (transkribierter Text) wird innerhalb von Millisekunden an den Auftragnehmer zurückgestreamt
- Es erfolgt keine dauerhafte Speicherung der Audiodaten oder Transkripte bei Deepgram nach Abschluss der Echtzeitverarbeitung
- Deepgram verarbeitet die Daten nicht für Modelltraining oder andere Sekundärzwecke
- Die Verarbeitungsdauer pro Audiofragment beträgt typischerweise unter 500 Millisekunden
1.6 Häufigkeit und Umfang
- Verarbeitung erfolgt bei jedem über die Plattform geführten Telefongespräch, bei dem Deepgram als STT-Provider konfiguriert ist
- Umfang: abhängig von der Anzahl und Dauer der Telefonate des jeweiligen Kunden
- Typische Gesprächsdauer: 30 Sekunden bis 5 Minuten pro Anruf
1.7 Kategorien betroffener Personen
- Kontaktpersonen (angerufene Personen): in der Regel geschäftliche Kontakte (B2B), wie Geschäftsführer, Vertriebsleiter oder sonstige Entscheidungsträger in Unternehmen
2. Bewertung der Rechtsordnung des Empfängerlandes (USA)
Die Bewertung der Rechtsordnung der USA entspricht der in TIA Nr. 1 (ElevenLabs) durchgeführten Analyse. Insbesondere gelten die Ausführungen zu FISA Section 702, Executive Order 12333, Executive Order 14086, dem CLOUD Act sowie dem EU-US Data Privacy Framework Angemessenheitsbeschluss gleichermaßen für Deepgram.
2.1 Wahrscheinlichkeitsbewertung eines behördlichen Zugriffs
Die Wahrscheinlichkeit eines behördlichen Zugriffs wird aus denselben Gründen wie bei TIA Nr. 1 als sehr gering eingestuft:
| Faktor | Bewertung |
|---|
| Art der Daten | Transiente Audiofragmente — keine persistent gespeicherten Inhalte |
| Speicherdauer beim Datenimporteur | Keine dauerhafte Speicherung — Echtzeitverarbeitung, keine abrufbaren Archive |
| Art der betroffenen Personen | B2B-Geschäftskontakte in Europa — kein Bezug zu nationaler Sicherheit |
| Art der Geschäftstätigkeit | Automatisierte Vertriebstelefonate — kein geheimdienstlich relevanter Sektor |
| Praktische Umsetzbarkeit | Keine persistenten Daten vorhanden, die herausgegeben werden könnten |
3. Ergänzende technische und organisatorische Maßnahmen
3.1 Technische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Transportverschlüsselung | Alle Datenübertragungen an Deepgram erfolgen über TLS 1.2+ (HTTPS/WSS). WebSocket-Verbindungen für Echtzeitstreaming sind durchgehend verschlüsselt. |
| Transiente Verarbeitung | Audiodaten werden ausschließlich als Echtzeitstream verarbeitet. Deepgram speichert standardmäßig keine Audiodaten oder Transkripte nach Abschluss der Verarbeitung. |
| Keine Sekundärnutzung | Deepgram ist vertraglich verpflichtet, die übermittelten Audiodaten nicht für eigene Zwecke (z. B. Modelltraining, Analyse) zu verwenden. |
| API-Authentifizierung | Zugang über authentifizierte API-Schlüssel, sicher auf EU-Servern des Datenexporteurs gespeichert. |
| Minimale Datenübermittlung | Ausschließlich Audiofragmente — keine Telefonnummern, Namen, E-Mail-Adressen oder sonstige identifizierende Metadaten der angerufenen Personen. |
| Keine Speicherung auf EU-externen Endgeräten | Dauerhafte Speicherung der Transkripte ausschließlich auf EU-Servern des Datenexporteurs (Azure EU West). |
3.2 Organisatorische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Vertragliche Verpflichtung | DPA und SCCs mit Deepgram abgeschlossen |
| Regelmäßige Überprüfung | Halbjährliche Überprüfung der rechtlichen Rahmenbedingungen |
| Benachrichtigungspflicht | Deepgram informiert bei behördlichen Anfragen unverzüglich |
| Aussetzung der Übermittlung | Datenexporteur kann Übermittlung bei Schutzniveauänderung aussetzen |
4. Gesamtbewertung und Ergebnis
4.1 Zusammenfassende Risikobewertung
| Bewertungskriterium | Ergebnis |
|---|
| Schwere des potenziellen Eingriffs | Gering — transiente Audiofragmente ohne dauerhafte Speicherung |
| Wahrscheinlichkeit eines behördlichen Zugriffs | Sehr gering |
| Wirksamkeit der vertraglichen Garantien | Hoch — SCCs, DPA |
| Wirksamkeit der technischen Maßnahmen | Hoch — TLS, transiente Verarbeitung, minimale Daten |
| Praktische Durchsetzbarkeit von Betroffenenrechten | Gewährleistet |
4.2 Ergebnis
Die Übermittlung personenbezogener Daten an Deepgram, Inc. (USA) ist unter Berücksichtigung der vertraglichen Garantien und der ergänzenden Maßnahmen mit den Anforderungen der DSGVO vereinbar.
Bewertung: ÜBERMITTLUNG ZULÄSSIG
4.3 Auflagen und Bedingungen
Identisch mit TIA Nr. 1 — halbjährliche Überprüfung, Aussetzung bei Änderung der Rahmenbedingungen, unverzügliche Information bei behördlichem Zugriff.
TIA Nr. 3: Cartesia, Inc.
1. Identifizierung der Datenübermittlung
1.1 Datenexporteur
| Feld | Angabe |
|---|
| Name | Another Side Ventures Free Zone LLC |
| Rolle | Auftragsverarbeiter |
| Sitz | Ras Al Khaimah, VAE |
| EU-Vertreter | Thomas Bergmann, info@salesfrank.com |
| Kontakt Datenschutz | info@salesfrank.com |
1.2 Datenimporteur
| Feld | Angabe |
|---|
| Name | Cartesia, Inc. |
| Rolle | Unterauftragsverarbeiter |
| Sitz | USA |
| Website | cartesia.ai |
| DPA abgeschlossen | Ja — Cartesia Data Processing Agreement |
| SCCs abgeschlossen | Ja — Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, Modul 3 |
1.3 Art der übermittelten personenbezogenen Daten
| Datenkategorie | Beschreibung | Personenbezug |
|---|
| Textdaten (Text-to-Speech) | Vom LLM generierter Antworttext, der in Sprache umgewandelt wird | Nein — synthetisch generierter Text, enthält keine personenbezogenen Daten der angerufenen Person im engeren Sinne |
1.4 Zweck der Übermittlung
Ausschließlich Sprachsynthese (Text-to-Speech): Umwandlung von KI-generierten Textantworten in natürlichsprachliche Audioausgabe für das Telefongespräch.
1.5 Art der Verarbeitung
Transiente Echtzeit-Stream-Verarbeitung:
- Textdaten werden an die Cartesia-API gesendet
- Cartesia generiert daraus einen Audiostream, der unmittelbar an den Auftragnehmer zurückgesendet wird
- Keine dauerhafte Speicherung der Textdaten oder generierten Audiodaten bei Cartesia
- Verarbeitungsdauer pro Anfrage: typischerweise unter einer Sekunde
1.6 Häufigkeit und Umfang
- Verarbeitung bei jedem Telefongespräch, bei dem Cartesia als TTS-Provider konfiguriert ist
- Umfang: abhängig von Anzahl und Dauer der Telefonate
1.7 Kategorien betroffener Personen
- Indirekt: Kontaktpersonen (angerufene Personen), soweit deren Name oder kontextbezogene Informationen im generierten Antworttext enthalten sind
2. Bewertung der Rechtsordnung des Empfängerlandes (USA)
Die Bewertung entspricht der in TIA Nr. 1 durchgeführten Analyse.
2.1 Wahrscheinlichkeitsbewertung eines behördlichen Zugriffs
Die Wahrscheinlichkeit wird als extrem gering eingestuft — noch geringer als bei TIA Nr. 1 und Nr. 2, da:
| Faktor | Bewertung |
|---|
| Art der Daten | KI-generierte Textfragmente — kein unmittelbarer Personenbezug |
| Speicherdauer | Keine dauerhafte Speicherung |
| Inhalt | Synthetische Vertriebsantworten — kein geheimdienstliches Interesse |
| Praktische Relevanz | Es ist kein realistisches Szenario denkbar, in dem US-Behörden an KI-generierten Vertriebsantworten in deutscher Sprache Interesse hätten |
3. Ergänzende technische und organisatorische Maßnahmen
3.1 Technische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Transportverschlüsselung | TLS 1.2+ für alle API-Aufrufe |
| Transiente Verarbeitung | Keine dauerhafte Speicherung bei Cartesia |
| Keine Sekundärnutzung | Vertraglich ausgeschlossen |
| API-Authentifizierung | Authentifizierte API-Schlüssel, gespeichert auf EU-Servern |
| Minimaler Personenbezug | Übermittelt werden ausschließlich KI-generierte Texte — keine Telefonnummern, E-Mail-Adressen oder sonstige Identifikatoren |
3.2 Organisatorische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Vertragliche Verpflichtung | DPA und SCCs abgeschlossen |
| Regelmäßige Überprüfung | Halbjährlich |
| Benachrichtigungspflicht | Bei behördlichen Anfragen |
| Aussetzung | Bei Schutzniveauänderung |
4. Gesamtbewertung und Ergebnis
4.1 Zusammenfassende Risikobewertung
| Bewertungskriterium | Ergebnis |
|---|
| Schwere des potenziellen Eingriffs | Minimal — KI-generierter Text ohne unmittelbaren Personenbezug |
| Wahrscheinlichkeit eines behördlichen Zugriffs | Extrem gering |
| Wirksamkeit der Garantien | Hoch |
| Wirksamkeit der technischen Maßnahmen | Hoch |
4.2 Ergebnis
Die Übermittlung von Daten an Cartesia, Inc. (USA) ist mit den Anforderungen der DSGVO vereinbar. Aufgrund des minimalen bis nicht vorhandenen Personenbezugs der übermittelten Daten (KI-generierter Text) ist das Risiko für die Rechte und Freiheiten der betroffenen Personen als vernachlässigbar einzustufen.
Bewertung: ÜBERMITTLUNG ZULÄSSIG
TIA Nr. 4: Administrativer Fernzugriff aus den Vereinigten Arabischen Emiraten (VAE)
1. Identifizierung der Datenübermittlung
1.1 Beschreibung des Zugriffsszenarios
Die Another Side Ventures Free Zone LLC hat ihren Geschäftssitz in Ras Al Khaimah, Vereinigte Arabische Emirate. Autorisiertes Personal des Unternehmens greift von den VAE aus administrativ auf die Plattformsysteme zu, die auf Servern innerhalb der Europäischen Union betrieben werden (Microsoft Azure, Region EU West, Niederlande; Amazon Web Services, Region EU Frankfurt).
1.2 Art des Zugriffs
| Aspekt | Beschreibung |
|---|
| Art | Administrativer Fernzugriff (Remote Administration) — kein systematischer Datentransfer |
| Zweck | Systemverwaltung, Wartung, Fehlerbehebung, Deployment, Monitoring, Kundensupport |
| Häufigkeit | Regelmäßig (täglich), im Rahmen des normalen Geschäftsbetriebs |
| Zugreifende Personen | Ausschließlich autorisiertes internes Personal (Geschäftsführung, Entwicklungsteam) — keine externen Dienstleister |
| Zugriffsmethode | Verschlüsselte VPN-Verbindung mit Multi-Faktor-Authentifizierung |
1.3 Klarstellung: Kein Datentransfer im klassischen Sinne
Es ist wichtig hervorzuheben, dass es sich bei diesem Zugriffsszenario nicht um eine systematische Datenübermittlung in ein Drittland handelt:
- Alle personenbezogenen Daten verbleiben auf den EU-Servern. Es werden keine Daten in die VAE übertragen, kopiert, heruntergeladen oder dort gespeichert.
- Der Zugriff erfolgt über einen verschlüsselten Tunnel, durch den die Systeme in der EU administriert werden — vergleichbar mit dem Zugriff eines EU-Mitarbeiters im Homeoffice über VPN.
- Auf den Endgeräten in den VAE werden keine personenbezogenen Daten persistent gespeichert.
Dennoch wird dieses TIA vorsorglich durchgeführt, da der EDPB (Europäischer Datenschutzausschuss) klargestellt hat, dass auch ein lesender Fernzugriff aus einem Drittland unter bestimmten Umständen als „Übermittlung” im Sinne der DSGVO qualifiziert werden kann.
1.4 Art der potenziell einsehbaren personenbezogenen Daten
| Datenkategorie | Beschreibung |
|---|
| Nutzerdaten | Name, E-Mail, Telefonnummer der Plattformnutzer (Kunden) |
| Kontaktdaten | Telefonnummern, ggf. Namen und weitere vom Kunden hochgeladene Daten der Kontaktpersonen |
| Gesprächsdaten | Aufzeichnungen, Transkripte, Metadaten |
| Systemdaten | Server-Logs, Performance-Daten, Fehlerprotokolle |
2. Bewertung der Rechtsordnung der Vereinigten Arabischen Emirate
2.1 Datenschutzrechtlicher Rahmen
Die VAE haben in den letzten Jahren erhebliche Fortschritte im Bereich Datenschutz gemacht:
- Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (PDPL): Erstes umfassendes Bundesdatenschutzgesetz der VAE, in Kraft getreten am 02.01.2022, mit Durchführungsverordnung (Cabinet Decision No. 111 of 2023) seit 01.01.2024 wirksam. Das Gesetz orientiert sich in wesentlichen Teilen an der DSGVO und enthält Regelungen zu Verarbeitungsgrundsätzen, Betroffenenrechten, Datenschutzbeauftragten und Datenübermittlungen.
- DIFC Data Protection Law (DIFC Law No. 5 of 2020): Datenschutzgesetz der Freihandelszone Dubai International Financial Centre — nicht direkt anwendbar auf RAK FTZ, aber Indikator für das Datenschutzniveau in den VAE insgesamt.
- ADGM Data Protection Regulations 2021: Datenschutzregulierung der Freihandelszone Abu Dhabi Global Market — ebenfalls DSGVO-orientiert.
2.2 Behördliche Zugriffsrechte in den VAE
2.2.1 Federal Decree-Law No. 34 of 2021 (Cybercrime Law)
- Ermöglicht Strafverfolgungsbehörden den Zugriff auf elektronische Daten im Rahmen von Ermittlungen
- Erfordert in der Regel eine richterliche Anordnung
- Relevant primär für Straftaten, nicht für allgemeine Überwachung
2.2.2 Telecommunications and Digital Government Regulatory Authority (TDRA)
- Aufsichtsbehörde für Telekommunikation in den VAE
- Kann unter bestimmten Umständen Zugriff auf Kommunikationsdaten verlangen
- Primär auf in den VAE ansässige Telekommunikationsanbieter bezogen
2.2.3 Keine Massenüberwachungsgesetzgebung vergleichbar mit FISA 702
- Es gibt kein bekanntes VAE-Gesetz, das eine systematische Massenüberwachung ausländischer elektronischer Kommunikation ermöglicht, vergleichbar mit FISA Section 702
- Die VAE haben keine extraterritoriale Zuständigkeit über in der EU gespeicherte Daten
2.3 Wahrscheinlichkeitsbewertung eines behördlichen Zugriffs
| Faktor | Bewertung |
|---|
| Datenspeicherort | Alle Daten werden in der EU gespeichert — VAE-Behörden haben keine direkte technische Zugriffsmöglichkeit auf EU-Server |
| Art des Zugriffs | Rein administrativ — kein systematischer Datentransfer, keine lokale Speicherung |
| Art der Geschäftstätigkeit | B2B-SaaS-Plattform für Vertriebsautomatisierung — kein Bezug zu nationaler Sicherheit, Terrorismus oder regulierten Sektoren (Finanzdienstleistungen, Gesundheitswesen) |
| Rechtsgrundlage für Zugriff | VAE-Behörden hätten keine Rechtsgrundlage, den Zugriff auf in der EU gespeicherte Daten zu erzwingen; eine Herausgabeanordnung müsste den Rechtsweg über EU-Behörden nehmen |
| Art der betroffenen Personen | B2B-Geschäftskontakte in der EU — kein Bezug zu Interessen der VAE-Behörden |
| Bisherige Erfahrungen | Keine bekannten Fälle behördlicher Datenanforderungen in vergleichbaren Szenarien |
3. Ergänzende technische und organisatorische Maßnahmen
3.1 Technische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| VPN mit End-to-End-Verschlüsselung | Jeder Fernzugriff auf die EU-Produktivsysteme erfolgt ausschließlich über eine verschlüsselte VPN-Verbindung. Die Verschlüsselung erfolgt durchgehend vom Endgerät bis zum EU-Server. Dritte — einschließlich Internetdienstanbieter in den VAE — können weder den Inhalt der übertragenen Daten noch die Art der aufgerufenen Systeme einsehen. |
| Multi-Faktor-Authentifizierung (MFA) | Jeder administrative Zugriff erfordert neben dem Passwort einen zweiten Authentifizierungsfaktor (z. B. TOTP, Hardware-Key). Dies schützt vor unbefugtem Zugriff selbst bei Kompromittierung eines Passworts. |
| Keine lokale Datenspeicherung | Es werden keine personenbezogenen Daten auf Endgeräten in den VAE gespeichert, heruntergeladen, exportiert oder zwischengespeichert. Der Zugriff erfolgt ausschließlich über die verschlüsselte Verbindung; nach Ende der Sitzung verbleiben keine Daten auf dem Endgerät. |
| Rollenbasierte Zugriffskontrolle (RBAC) | Administrativer Zugriff ist durch ein striktes Rollenkonzept beschränkt. Nicht jeder Mitarbeiter hat Zugriff auf alle Datenkategorien. Der Zugriff auf personenbezogene Daten (z. B. Gesprächsaufzeichnungen) ist auf ein Minimum beschränkt und erfolgt nur, wenn dies für den Betrieb oder Support erforderlich ist (Need-to-Know-Prinzip). |
| Vollständige Zugriffsprotokollierung | Sämtliche administrativen Zugriffe auf die Produktivsysteme werden vollständig protokolliert (Zeitpunkt, Benutzer, IP-Adresse, durchgeführte Aktionen). Die Protokolle werden revisionssicher auf den EU-Servern gespeichert und können im Rahmen von Audits eingesehen werden. |
| Gerätesicherheit | Die für den Fernzugriff verwendeten Endgeräte unterliegen internen Sicherheitsrichtlinien (Festplattenverschlüsselung, aktuelle Betriebssystem-Updates, Bildschirmsperre, keine Installation nicht autorisierter Software). |
| Automatische Sitzungstrennung | VPN- und Systemsitzungen werden nach einer definierten Inaktivitätsperiode automatisch getrennt, um unbefugten Zugriff durch unbeaufsichtigte Endgeräte zu verhindern. |
3.2 Organisatorische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Vertraulichkeitsverpflichtung | Alle Mitarbeiter mit Zugriff auf personenbezogene Daten sind schriftlich zur Vertraulichkeit verpflichtet. |
| Sensibilisierung und Schulung | Regelmäßige Schulung zu Datenschutz, Informationssicherheit und sicherem Umgang mit Fernzugriff. |
| Zugriffsüberprüfung | Regelmäßige Überprüfung und Aktualisierung der Zugriffsberechtigungen — Entzug bei Aufgabenänderung oder Ausscheiden. |
| Incident-Response | Dokumentierter Prozess für den Umgang mit Sicherheitsvorfällen, einschließlich Meldung an betroffene Auftraggeber innerhalb von 24 Stunden. |
| EU-Vertreter | Benennung eines EU-Vertreters gemäß Art. 27 DSGVO (Thomas Bergmann, info@salesfrank.com) als direkte Anlaufstelle für Betroffene und Aufsichtsbehörden innerhalb der EU. |
4. Gesamtbewertung und Ergebnis
4.1 Zusammenfassende Risikobewertung
| Bewertungskriterium | Ergebnis |
|---|
| Art des Zugriffs | Administrativer Fernzugriff — kein systematischer Datentransfer |
| Datenspeicherort | Ausschließlich EU — keine Daten in den VAE |
| Schwere des potenziellen Eingriffs | Gering — lesender Zugriff über verschlüsselten Tunnel, keine lokale Speicherung |
| Wahrscheinlichkeit eines behördlichen Zugriffs | Sehr gering — kein Zugriff auf EU-Server möglich, keine relevante Geschäftstätigkeit für VAE-Behörden |
| Datenschutzgesetzgebung VAE | Bundesweites Datenschutzgesetz (PDPL 2021) vorhanden, DSGVO-orientiert |
| Wirksamkeit der technischen Maßnahmen | Sehr hoch — VPN, MFA, RBAC, keine lokale Speicherung, Protokollierung |
| Wirksamkeit der organisatorischen Maßnahmen | Hoch — Vertraulichkeitspflicht, Schulung, EU-Vertreter |
| Praktische Durchsetzbarkeit von Betroffenenrechten | Gewährleistet — über EU-Vertreter und Plattform-Dashboard |
4.2 Ergebnis
Der administrative Fernzugriff aus den VAE auf die in der EU gespeicherten und verarbeiteten Daten ist unter Berücksichtigung der implementierten technischen und organisatorischen Maßnahmen mit den Anforderungen der DSGVO vereinbar.
Die Bewertung stützt sich insbesondere auf folgende Kernargumente:
- Keine Datenübermittlung im materiellen Sinne: Alle personenbezogenen Daten verbleiben auf EU-Servern. Es werden keine Daten in die VAE übertragen, kopiert oder dort gespeichert. Der Zugriff ist funktional vergleichbar mit dem Fernzugriff eines Mitarbeiters innerhalb der EU über VPN.
- Umfassende technische Absicherung: Die Kombination aus VPN-Verschlüsselung, MFA, RBAC, Zugriffsprotokollierung und dem Verbot lokaler Datenspeicherung stellt sicher, dass selbst im theoretischen Fall eines behördlichen Zugriffs auf das Endgerät keine personenbezogenen Daten kompromittiert werden können.
- Geringes behördliches Zugriffsrisiko: Die VAE verfügen über keine extraterritoriale Zuständigkeit über EU-Server. Die Geschäftstätigkeit (B2B-SaaS für Vertriebsautomatisierung) ist für VAE-Behörden nicht von Interesse. Die VAE haben ein bundesweites Datenschutzgesetz (PDPL 2021) erlassen, das sich an der DSGVO orientiert.
- EU-Vertreter benannt: Gemäß Art. 27 DSGVO ist ein Vertreter in der EU benannt, der als direkte Anlaufstelle für Betroffene und Aufsichtsbehörden dient.
Bewertung: ZUGRIFF ZULÄSSIG
4.3 Auflagen und Bedingungen
- Planmäßige Überprüfung spätestens im September 2026.
- Bei wesentlichen Änderungen der VAE-Gesetzgebung oder der Zugriffsmodalitäten wird das TIA unverzüglich aktualisiert.
- Bei Bekanntwerden eines behördlichen Zugriffs auf die Systeme werden die betroffenen Auftraggeber unverzüglich informiert.
Anhang: Methodik und Referenzen
Angewandte Methodik
Die vorliegenden Transfer Impact Assessments wurden auf Grundlage der folgenden Leitlinien und Empfehlungen erstellt:
- EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0, adopted on 18 June 2021)
- EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures
- Schrems II — Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 16.07.2020, Rs. C-311/18 (Data Protection Commissioner / Facebook Ireland und Schrems)
- Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 04.06.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer
- Durchführungsbeschluss (EU) 2023/1795 der Europäischen Kommission vom 10.07.2023 zum EU-US Data Privacy Framework
Überprüfungsintervall
Alle Transfer Impact Assessments werden mindestens halbjährlich überprüft sowie anlassbezogen bei:
- Änderungen der Gesetzgebung im Empfängerland
- Änderungen der eingesetzten Unterauftragsverarbeiter
- Aufhebung oder Änderung von Angemessenheitsbeschlüssen
- Bekanntwerden behördlicher Zugriffe auf vergleichbare Dienste
- Wesentlichen Änderungen der Art oder des Umfangs der Datenverarbeitung
Another Side Ventures Free Zone LLC
Al Shohada Road, Ras Al Khaimah, VAE
EU-Vertreter: Thomas Bergmann, info@salesfrank.com
Datum der Erstellung: März 2026
Nächste planmäßige Überprüfung: September 2026
