Anhang 3 zum AVV · 365tec / Daniel Ovadia Stand: April 2026 · Version 1.0

Anhang 3 — Transfer Impact Assessment (TIA)

gemäß EDPB Recommendations 01/2020 · Schrems II-konforme Drittland-Bewertung

Zweck dieses Dokuments: Die TIA dokumentiert die Bewertung der Drittland-Datenübermittlungen nach Art. 44–49 DSGVO und folgt der 6-Schritte-Methodik der Empfehlungen des Europäischen Datenschutzausschusses (EDPB) 01/2020. Sie wird durch den Auftragsverarbeiter (365tec) geführt und auf Anforderung dem Auftraggeber (Verantwortlicher) zur Erfüllung seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zur Verfügung gestellt. Die TIA ersetzt keine Rechtsberatung; sie ist eine sachliche Risikobewertung mit nachvollziehbarer Quellenverlinkung.

Verantwortlicher für diese TIA: Daniel Ovadia · 365tec · Karlsruhe · info@365tec.de

Gliederung

Anlass und Methodik
Schritt 1 — Mapping der Übermittlungen
Schritt 2 — Übermittlungsinstrumente (Art. 46-Garantien)
Schritt 3 — Bewertung des Drittlandsrechts
Schritt 4 — Anbieter-spezifische Bewertungen
Schritt 4 (Forts.) — Maßnahmen-Matrix
Schritt 5 — Implementierungsschritte
Schritt 6 — Re-Assessment
Restrisiko-Gesamtbewertung
Änderungshistorie

§ 1 Anlass und Methodik

Mit dem Urteil Schrems II (EuGH C-311/18, 16.07.2020) hat der EuGH klargestellt, dass für jede Datenübermittlung in ein Drittland (insbesondere die USA) die Tragfähigkeit der eingesetzten Garantien (Art. 46 DSGVO, regelmäßig EU-Standardvertragsklauseln) zu prüfen und durch ergänzende Maßnahmen zu untermauern ist, soweit das Drittland kein angemessenes Schutzniveau bietet. Die EDPB-Empfehlungen 01/2020 (final, 18.06.2021) konkretisieren diese Pflicht in einem 6-Schritte-Schema.

Diese TIA folgt diesem Schema (§§ 2–8). Die Bewertung der US-Subprocessoren beruht auf öffentlich zugänglichen Quellen (USC, Privacy Shield/DPF-Listings, EuGH-Rechtsprechung, EDPB-Empfehlungen, Anbieter-Privacy-Notices); sie ist keine rechtsgutachtliche Stellungnahme. Re-Assessment-Trigger und -Frequenz siehe § 8.

§ 2 Schritt 1 — Mapping der Übermittlungen

Die folgende Tabelle dokumentiert pro Subprocessor die übermittelten Datenarten, den Zweck, das Empfänger-Land sowie die Übermittlungs-Form. Sie greift auf die Datenfeld-Matrix in Anhang 2 § 2.3a zurück.

Anbieter	Übermittelte Datenarten	Zweck	Empfänger-Land	Form / Frequenz
Synthflow AI Inc.	Audio-Stream (Echtzeit), Transkript, Telefonnummer, Klarname (im Voice-Inhalt enthalten)	KI-geführtes Telefoninterview (STT, Dialog-Steuerung, TTS)	USA	synchron (HTTPS/WebRTC), 30–60 Min pro Buchung
Anthropic PBC	Transkript-Auszüge, Stammdaten der Buchung (Branche, Firmen-Größe, Rolle)	LLM-Inferenz: Strukturierung des Interviews, Generierung des Reports	USA	asynchron (HTTPS-API), 1–5 Anfragen pro Buchung
Twilio Inc.	Telefonnummer, Anrufmetadaten, Audiostream (Routing-Buffer)	Telefonie-Routing (PSTN-Anbindung)	USA (Atlanta)	synchron während Anruf

§ 3 Schritt 2 — Übermittlungsinstrumente (Art. 46-Garantien)

Anbieter	SCC-Modul	SCC-Datum/Version	DPA-Status	DPF-Status (Stand 04/2026)
Synthflow AI Inc.	Modul 2 (Verantwortlicher → AV)	Beschluss 2021/914 v. 04.06.2021	DPA-Abschluss als Voraussetzung für produktive Nutzung; bis dahin keine Aufnahme C1-pflichtiger Auftraggeber.	nicht zertifiziert. DPF-Listing
Anthropic PBC	Modul 2 (Verantwortlicher → AV)	Beschluss 2021/914 v. 04.06.2021	Anthropic-DPA aktiv; Commercial Terms 04/2026 verbieten Modell-Training mit API-Daten.	nicht zertifiziert. DPF-Listing
Twilio Inc.	Modul 2 (Verantwortlicher → AV)	Beschluss 2021/914 v. 04.06.2021	Twilio-DPA aktiv. Voice-Insights-Opt-out aktiviert.	zertifiziert. DPF-Listing

§ 4 Schritt 3 — Bewertung des Drittlandsrechts

Nachfolgend werden für jeden Anbieter die einschlägigen US-Zugriffsnormen aufgeführt, soweit sie für die übermittelten Datenarten anwendbar sein können. Die Klassifikation als „Electronic Communication Service Provider" (ECSP, 50 USC § 1881(b)(4)) bzw. „Electronic Communication Service" (ECS) folgt der erweiterten Linie der EDPB-Empfehlungen 01/2020.

Norm	Synthflow	Anthropic	Twilio
FISA Section 702 (50 USC § 1881a)	anwendbar (ECSP, Audio-/Inhaltsdaten)	anwendbar nach EDPB-Linie (ECSP umstritten)	anwendbar (klassischer ECSP/ECS)
Executive Order 12333	Transit-Risiko (US-Backbones)	Verarbeitung in US-Rechenzentren	Transit-Risiko + US-Routing
Section 215 USA PATRIOT Act / NSL	Metadaten anwendbar; Inhalte über § 702	Metadaten anwendbar; Inhalte über § 702	Metadaten – klassischer NSL-Anwendungsfall
CLOUD Act (Cross-Border-Production-Order)	anwendbar	anwendbar	anwendbar
EO 14086 (10/2022) / DPRC	Beschwerderecht formal offen, ohne DPF kein erleichterter Pfad	Beschwerderecht formal offen, ohne DPF kein erleichterter Pfad	greift voll (DPRC zugänglich über BfDI/EDPB-Kanal)

Ehrliche Einordnung: SCCs und ergänzende Maßnahmen reduzieren bei Klartext-Inhalts-Daten (Audio, unmaskierte Transkripte) das Risiko eines US-Behörden-Zugriffs nicht auf Null. Sie sind Risikoreduktion, nicht Eliminierung. Diese Tatsache wird in der Restrisiko-Bewertung pro Anbieter (§ 5) und in der Gesamtbewertung (§ 9) explizit berücksichtigt.

§ 5 Schritt 4 — Anbieter-spezifische Bewertungen

5.1 Synthflow AI Inc. — Voice-AI-Plattform

Übermittelte Daten	Audio-Stream (Echtzeit), Transkript, Telefonnummer, im Voice-Inhalt enthaltene Klarnamen
FISA 702 / CLOUD Act	anwendbar (ECSP)
EO 12333	Mittel- bis Hoch-Risiko (transatlantisches Routing)
Section 215 / NSL	Metadaten anwendbar; Inhalte über § 702
DPF-Schutz (04/2026)	nein
EO 14086 / DPRC	Beschwerdeweg formal vorhanden, ohne DPF-Privileg
Ergänzende Maßnahmen (wirksam)	SCC Modul 2 + DPA-Vorbedingung Pre-Call-Fact-Sheet: Auftraggeber-Hinweis zur Vermeidung sensibler Inhalte Datenminimierung (kein Klartext-Volltext über das Notwendige hinaus) 30-Tage-Audio-Retention bei 365tec Schriftliches No-Training-Acknowledgment als Vorbedingung produktiver Nutzung Bewusste Beibehaltung der US-Routing-Architektur als operative Basis (Twilio Atlanta); ergänzende Maßnahmen siehe Maßnahmen-Matrix § 6.
Restrisiko	HOCH — Klartext-Audio/Stimme als (potenziell) biometrisches Datum + kein DPF + ECSP-Status. Pseudonymisierung der Telefonnummer hilft nicht; Stimme bleibt identifizierend. Realistisch wirksamer Schutz nur durch EU-Hosting / EU-Anbieter-Wechsel.

5.2 Anthropic PBC — LLM-API „Claude"

Übermittelte Daten	Transkript-Auszüge, Stammdaten der Buchung; keine Audio-Daten
FISA 702 / CLOUD Act	anwendbar nach EDPB-Linie (ECSP umstritten, konservativ angenommen)
EO 12333	Mittel-Risiko (Verarbeitung in US-Rechenzentren)
Section 215 / NSL	Metadaten anwendbar; Inhalte über § 702
DPF-Schutz (04/2026)	nein
EO 14086 / DPRC	Beschwerdeweg formal vorhanden, ohne DPF-Privileg
Ergänzende Maßnahmen (wirksam)	SCC Modul 2 + DPA Anthropic Commercial Terms 04/2026: API-Inhalte standardmäßig nicht zum Modell-Training; Trust-&-Safety-Speicherung max. 30 Tage Datenminimierung: nur Transkript-Auszüge, keine Audio-Daten UUID-basierte Buchungs-Referenz statt Klarnamen in Logs Pseudonymisierung (PII-NER) vor LLM-Inferenz: internes Roadmap-Item, ohne fixe Zeitleiste — bis Implementierung wirken Datenminimierung + Pre-Call-Sheet als kompensatorische Maßnahmen
Restrisiko	MITTEL — kein Audio, Datenminimierung wirkt; nach Implementierung der PII-NER-Pipeline sinkt Restrisiko auf NIEDRIG-MITTEL.

5.3 Twilio Inc. — Telefonie-Provider

Übermittelte Daten	Telefonnummern, Anrufmetadaten, Audiostream (Routing-Buffer, transitorisch)
FISA 702 / CLOUD Act	anwendbar (klassischer ECSP/ECS)
EO 12333	Hoch bei US-Backbone-Transit; Inhaltsdaten verbleiben bei 365tec auf Servern in Deutschland.
Section 215 / NSL	klassischer NSL-Anwendungsfall (Metadaten)
DPF-Schutz (04/2026)	ja (zertifiziert, Listing-URL dataprivacyframework.gov/list)
EO 14086 / DPRC	greift voll, Beschwerdeweg über BfDI/EDPB-Kanal
Ergänzende Maßnahmen (wirksam)	SCC Modul 2 zusätzlich zum DPF (Doppelabsicherung für Schrems-III-Fall) Voice-Insights-Opt-out aktiviert (reduziert Metadaten-Speicherung) Voice-Insights-Opt-out aktiviert; DPF + EO 14086 wirken als rechtliche Schutzschicht; Inhaltsdaten verbleiben bei 365tec auf Servern in Deutschland.
Restrisiko	NIEDRIG-MITTEL — DPF + EO 14086 reduzieren das Risiko gegenüber Nicht-zertifizierten US-Anbietern. FISA 702 bleibt grundsätzlich wirksam, daher kein „NIEDRIG"-Rating.

§ 6 Schritt 4 (Forts.) — Maßnahmen-Matrix

Die folgende Matrix mappt eingesetzte ergänzende Maßnahmen auf die Kategorien der EDPB-Empfehlungen 01/2020 (Annex II).

Maßnahme (EDPB Annex II)	Synthflow	Anthropic	Twilio
1.1 Encryption in transit (TLS 1.2/1.3)	✓ aktiv	✓ aktiv	✓ aktiv
1.1 Encryption at rest beim Empfänger	nicht durchgreifend (Klartext-Verarbeitung erforderlich)	nicht durchgreifend (Klartext-Verarbeitung erforderlich)	nicht durchgreifend (Routing-Buffer)
1.2 Pseudonymisierung vor Übermittlung	nicht praktikabel (Voice-Identität)	internes Roadmap-Item (PII-NER), ohne fixe Zeitleiste	nicht praktikabel (Telefonnummer = identifizierend)
2 SCC Modul 2 + DPA	SCC ✓; DPA als Vorbedingung	✓ beide	✓ beide
2 Subprocessor-Transparenz + 30-Tage-Veto	✓	✓	✓
2 Trainings-Opt-out	als Vorbedingung schriftlich einzuholen	per Commercial Terms 04/2026 zugesichert	Voice-Insights-Opt-out aktiviert
3 Datenminimierung + Pre-Call-Sheet	✓	✓	✓
3 Kurze Speicherfristen bei 365tec	30 Tage (Audio) / 90 Tage (Transkript)	90 Tage (Inputs/Outputs)	nicht relevant (transitorisch)
3 Logging / Audit-Trail (append-only)	✓ bei 365tec	✓ bei 365tec	✓ bei 365tec

§ 7 Schritt 5 — Implementierungsschritte

Folgende Implementierungs-Status liegen zum Stand 04/2026 vor:

Aktiv umgesetzt: SCC Modul 2 mit allen drei Anbietern; TLS 1.2/1.3-Pflicht; UUID-basierte Pseudonymisierung in technischen Logs; 30/90-Tage-Retention bei 365tec; Pre-Call-Fact-Sheet; Audit-Trail in Tabelle audit_events; Webhook-Token-Schutz timing-safe; Subprocessor-Information mit 30-Tage-Vorlauf (AVV § 8 Abs. 2).
In Vorbereitung: PII-NER-Maskierung der Transkript-Auszüge vor Anthropic-Inferenz (Roadmap-Item).

§ 8 Schritt 6 — Re-Assessment

Diese TIA wird unter folgenden Ereignissen unverzüglich überprüft und bei Bedarf aktualisiert (Trigger):

Neues EuGH-Urteil zur Drittlandübermittlung (insb. „Schrems III"), Aufhebung oder Änderung des EU-US Data Privacy Framework
Neue oder geänderte US-Gesetze mit Auswirkungen auf FISA 702, EO 12333, Section 215, CLOUD Act
Aufnahme oder Wechsel eines Subprocessors
Änderung der vertraglichen Zusicherungen eines bestehenden Subprocessors (insb. Trainings-Klauseln, Aufbewahrung, DPF-Status)
Datenpanne mit Drittlandsbezug
EDPB-Update zu den Recommendations 01/2020 oder zu einschlägigen Themen

Reguläre Frequenz: jährlich, unabhängig von Triggern.

Nächster regulärer Re-Assessment-Termin: April 2027.

§ 9 Restrisiko-Gesamtbewertung

Anbieter	Restrisiko	Begründung
Synthflow	HOCH	Klartext-Voice; kein DPF; ECSP-Status; ergänzende Maßnahmen begrenzt wirksam
Anthropic	MITTEL	nur Transkript-Auszüge, Datenminimierung wirkt; sinkt nach PII-NER-Implementierung
Twilio	NIEDRIG-MITTEL	DPF + EO 14086 greifen; Voice-Insights-Opt-out aktiviert; Inhaltsdaten verbleiben bei 365tec auf Servern in Deutschland.

Gesamteinschätzung: Tragbares Restrisiko für Auftraggeber außerhalb der Berufsgeheimnis-Branchen. Für berufsgeheimnispflichtige Auftraggeber (Anwalt, Notariat, Arztpraxis, Steuerkanzlei — siehe Anhang 2 § 4) gelten erhöhte Anforderungen: Pre-Call-Fact-Sheet, eigenverantwortliche Vermeidung sensibler Inhalte durch den Berufsträger, ggf. Vorab-Information der zuständigen Berufskammer. Die strategische Empfehlung lautet: Evaluation eines EU-only-Stacks für diese Auftraggeber-Gruppe, sobald praxistauglich verfügbar.

§ 10 Änderungshistorie

Datum	Version	Änderung
April 2026	1.0	Erstfassung. Pro Anbieter (Synthflow, Anthropic, Twilio) FISA 702 / EO 12333 / DPF-Bewertung mit Stand 04/2026, Maßnahmen-Matrix, Restrisiko-Klassifikation, Re-Assessment-Trigger und reguläre Frequenz festgelegt.