Transfer-Folgenabschätzung
FOLGENABSCHÄTZUNG FÜR DATENÜBERMITTLUNGEN
Zuletzt aktualisiert: 19. März 2026
Diese Folgenabschätzung für Datenübermittlungen („TIA") wurde von Acira AI LLC („Acira AI", „wir", „uns") gemäß den Anforderungen des Urteils des Gerichtshofs der Europäischen Union in der Rechtssache Datenschutzkommissar gegen Facebook Ireland Limited und Maximillian Schrems (Rechtssache C-311/18, „Schrems II") und den Empfehlungen des Europäischen Datenschutzausschusses (EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen) erstellt.
Diese TIA bewertet die Angemessenheit des Schutzes für personenbezogene Daten, die im Zusammenhang mit der Bereitstellung unserer Dienste aus dem Europäischen Wirtschaftsraum („EWR"), dem Vereinigten Königreich, der Schweiz und Kanada in die USA und andere Drittländer übermittelt werden.
Diese TIA kann zur Vereinfachung in andere Sprachen übersetzt werden. Bei Konflikten oder Widersprüchen zwischen der englischen Fassung und einer übersetzten Fassung hat die englische Fassung Vorrang.
INHALTSVERZEICHNIS
- ÜBERBLICK ÜBER ÜBERMITTLUNGEN
- ART DER ÜBERMITTELTEN DATEN
- ÜBERMITTLUNGSMECHANISMEN
- BEWERTUNG DER GESETZE DES ZIELLANDES
- BEWERTUNG DER DATENFLÜSSE NACH DIENSTLEISTER
- ERGÄNZENDE MASSNAHMEN
- RISIKOBEWERTUNG
- SCHLUSSFOLGERUNG
- ÜBERPRÜFUNGSPLAN
- KONTAKT
1. ÜBERBLICK ÜBER ÜBERMITTLUNGEN
1.1 Kontext
Acira AI ist eine Software-as-a-Service-Plattform, die es Unternehmen und Einzelpersonen ermöglicht, KI-gestützte Websites zu erstellen, zu verwalten und zu hosten. Wenn Nutzer Websites erstellen, auf die Besucher aus dem EWR, dem Vereinigten Königreich, der Schweiz oder Kanada zugreifen, können personenbezogene Daten dieser Besucher in die USA und andere Standorte übermittelt und verarbeitet werden, an denen unsere Infrastrukturanbieter tätig sind.
1.2 Parteien
- Datenexporteur: Der Website-Betreiber (unser Kunde, der als Verantwortlicher handelt) und für Analysedaten Acira AI als gemeinsam Verantwortlicher.
- Datenimporteur: Acira AI LLC, eingetragen in Nevada, USA, handelnd als Auftragsverarbeiter (und gemeinsam Verantwortlicher für Analysedaten).
- Unterauftragsverarbeiter: Von Acira AI beauftragte Drittanbieter (in Abschnitt 5 aufgeführt).
1.3 Übermittlungsziele
| Ziel | Anbieter | Grundlage |
|---|---|---|
| Vereinigte Staaten und Europäische Union (Stockholm) | AWS | SCCs + Ergänzende Maßnahmen (USA); Intra-EWR für automatisierte besucherbezogene Vorgänge für EU-Ansässige |
| Vereinigte Staaten | Stripe, Fireworks AI, xAI | SCCs + Ergänzende Maßnahmen |
| Global (Edge-Standorte) | Cloudflare | SCC + Ergänzende Maßnahmen |
| Israel | BrightData (nur nutzerbetrieben) | SCC + Ergänzende Maßnahmen |
| Europäische Union | Black Forest Labs, ScreenshotOne, CloudConvert | Intra-EWR (kein Übermittlungsmechanismus erforderlich) |
2. ART DER ÜBERMITTELTEN DATEN
2.1 Kategorien personenbezogener Daten
Die übermittelten personenbezogenen Daten hängen von den vom Website-Betreiber aktivierten Funktionen und den Interaktionen der Website-Besucher ab. Folgende Kategorien können übermittelt werden:
| Datenkategorie | Beschreibung | Sensitivität | Umfang |
|---|---|---|---|
| Analyseidentifikatoren | Täglich rotierender kryptografischer Hash aus IP + User-Agent + Datum (pseudonymisiert) | Niedrig | Hoch (jeder Seitenaufruf) |
| Besuchermetadaten | Land, Region, Sprache, Gerätetyp, Browser, Betriebssystem, Referrer-Domain, UTM-Parameter | Niedrig | Hoch (jeder Seitenaufruf) |
| IP-Adressen | Als Metadaten bei Formulareinsendungen und Chatbot-Gesprächen gespeichert; für Analysen gehasht; vorübergehend zur Bot-Challenge-Verifizierung; vorübergehend zur Ratenbegrenzung gespeichert (bis zu 7 Tage) | Mittel | Mittel |
| Formulareinsendungsinhalt | Von Besuchern eingegebene Freitextfelder (Namen, E-Mails, Nachrichten usw.) | Variabel (je nach Formular) | Niedrig bis Mittel |
| Chatbot-Nachrichten | Besuchernachrichten und KI-generierte Antworten (max. 2.000 Zeichen pro Nachricht) | Niedrig bis Mittel | Niedrig |
| Datei-Uploads | Von Besuchern über Website-Formulare hochgeladene Dateien (Bilder, Dokumente) | Variabel | Niedrig |
| Sitzungsidentifikatoren | Serverseitige Sitzungs-IDs und clientseitige Sitzungscookies | Niedrig | Hoch |
| Authentifizierungsdaten | Passwörter für passwortgeschützte Website-Bereiche (nur in gehashter Form gespeichert) | Hoch (aber gehasht) | Niedrig |
2.2 Kategorien betroffener Personen
- Besucher von Websites, die auf der Acira AI-Plattform gehostet werden
- Nutzer, die Konten auf Websites erstellen, die auf der Plattform gehostet werden
- Nutzer, die Formulare ausfüllen, mit Chatbots interagieren oder Dateien auf gehosteten Websites hochladen
2.3 Nicht übermittelte Daten
- Geolokalisierungsdaten: IP-zu-Standort-Abfragen werden am Netzwerkrand von unserem Infrastrukturanbieter durchgeführt. Es werden keine Besucher-IP-Adressen an externe Geolokalisierungsdienste übermittelt.
- Rohe Analyse-IP-Adressen: Es wird nur ein täglich rotierender kryptografischer Hash gespeichert; rohe IPs werden in Analysesystemen nicht persistiert.
- Passwörter im Klartext: Es werden nur kryptografische Hashes gespeichert und übermittelt.
3. ÜBERMITTLUNGSMECHANISMEN
3.1 Primärer Mechanismus: Standardvertragsklauseln
Wir stützen uns auf die Standardvertragsklauseln der Europäischen Kommission (SCC), die durch den Durchführungsbeschluss (EU) 2021/914 der Kommission angenommen wurden, insbesondere:
- Modul Eins (Verantwortlicher zu Verantwortlichem): Für Übermittlungen von Analysedaten, bei denen Acira AI als gemeinsam Verantwortlicher mit dem Website-Betreiber handelt (siehe DPA Abschnitt 2.3).
- Modul Zwei (Verantwortlicher zu Auftragsverarbeiter): Für Übermittlungen personenbezogener Besucherdaten vom Website-Betreiber (Verantwortlicher) an Acira AI (Auftragsverarbeiter).
- Modul Drei (Auftragsverarbeiter zu Unterauftragsverarbeiter): Für Weiterübermittlungen von Acira AI an unsere Unterauftragsverarbeiter.
3.2 Übermittlungen in das Vereinigte Königreich, die Schweiz und nach Kanada
- Vereinigtes Königreich: Der britische internationale Datenübermittlungsnachtrag zu den EU-SCC gilt.
- Schweiz: Die SCC gelten mit den Änderungen, die das Schweizer Bundesgesetz über den Datenschutz (DSG) vorschreibt.
- Kanada: Übermittlungen stützen sich auf vertragliche Schutzmaßnahmen mit jedem Unterauftragsverarbeiter, die Verpflichtungen auferlegen, die mit dem Personal Information Protection and Electronic Documents Act (PIPEDA) und den geltenden provinziellen Datenschutzgesetzen vereinbar sind, kombiniert mit den in Abschnitt 6 beschriebenen ergänzenden technischen und organisatorischen Maßnahmen. Einzelheiten siehe DPA Abschnitt 7.4.
3.3 Übermittlungsmechanismen der Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Übermittlungsmechanismus |
|---|---|
| Amazon Web Services | SCC (AWS DPA), ISO 27001/27017/27018 zertifiziert |
| Cloudflare | SCC (Cloudflare DPA), ISO 27001 zertifiziert |
| Stripe | SCC (Stripe DPA), PCI DSS Level 1 zertifiziert |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Typ II, ISO 27001/27701/42001 zertifiziert |
| xAI | SCC (xAI DPA mit EU-SCC) |
| BrightData | SCC (BrightData DPA) |
4. BEWERTUNG DER GESETZE DES ZIELLANDES
4.1 Vereinigte Staaten
Die USA sind das primäre Ziel für übermittelte Daten. Folgende US-Gesetze sind für diese Bewertung relevant:
4.1.1 Foreign Intelligence Surveillance Act (FISA), Abschnitt 702
FISA Abschnitt 702 ermächtigt die US-Regierung, Anbieter elektronischer Kommunikationsdienste zu zwingen, Zugang zu Kommunikation von Nicht-US-Personen außerhalb der USA für Auslandsgeheimdienstzwecke zu gewähren.
Risikobewertung:
- Anwendbarkeit: FISA Abschnitt 702 gilt für „elektronische Kommunikationsdienstanbieter" gemäß der Definition in 50 U.S.C. § 1881(b)(4). Acira AI ist eine SaaS-Website-Hosting-Plattform, kein traditioneller Telekommunikationsanbieter. Unsere Unterauftragsverarbeiter (AWS, Cloudflare) unterliegen eher FISA-Abschnitt-702-Anweisungen.
- Umfang der gefährdeten Daten: Die von uns verarbeiteten personenbezogenen Daten bestehen hauptsächlich aus Website-Besucheranalysen (pseudonymisiert), Formulareinsendungen und Chatbot-Nachrichten. Diese Daten sind wahrscheinlich nicht von geheimdienstlichem Interesse.
- Praktische Wahrscheinlichkeit: Wir haben noch nie eine FISA-Abschnitt-702-Anweisung erhalten und schätzen die praktische Wahrscheinlichkeit, eine solche zu erhalten, als sehr gering ein, angesichts der Art unserer Dienste und der von uns verarbeiteten Daten.
4.1.2 Executive Order 12333
EO 12333 ermächtigt US-Geheimdienste zur Durchführung von Überwachungsaktivitäten, einschließlich der Massensammlung von Signalgeheimdienstinformationen. Sie gilt für Daten während der Übertragung und zwingt private Unternehmen nicht zur Kooperation.
Risikobewertung:
- Minderung: Alle während der Übertragung anfallenden Daten werden mit TLS verschlüsselt. Die Massenabfangung verschlüsselter Daten während der Übertragung würde keine personenbezogenen Klartextdaten ergeben.
- Praktische Wahrscheinlichkeit: Gering. Die durch unsere Dienste verarbeiteten Daten haben nicht den Charakter, der typischerweise von Signalgeheimdienstinformationen anvisiert wird.
4.1.3 Executive Order 14086 und das EU-USA-Datenschutzrahmenabkommen
Executive Order 14086 (Oktober 2022) führte zusätzliche Schutzmaßnahmen für Signalgeheimdienstaktivitäten ein, darunter:
- Anforderungen an Notwendigkeit und Verhältnismäßigkeit bei der Geheimdienstsammlung
- Einen zweistufigen Beschwerdemechanismus (Beauftragter für bürgerliche Freiheiten + Datenschutz-Überprüfungsgericht), der EU-/UK-/Schweizer Personen zur Verfügung steht
- Beschränkungen bei der Massensammlung
Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für das EU-USA-Datenschutzrahmenabkommen (DPF) angenommen. Obwohl Acira AI derzeit nicht nach dem DPF selbstzertifiziert ist, gelten die Schutzmaßnahmen gemäß EO 14086 weitgehend für alle Datenübermittlungen in die USA und kommen allen betroffenen Personen zugute, unabhängig vom verwendeten Übermittlungsmechanismus.
4.1.4 CLOUD Act
Der Clarifying Lawful Overseas Use of Data (CLOUD) Act erlaubt US-Strafverfolgungsbehörden, in den USA ansässige Anbieter zu zwingen, Daten unabhängig vom Speicherort zu produzieren, vorbehaltlich eines gültigen Haftbefehls oder Gerichtsbeschlusses.
Risikobewertung:
- Schutzmaßnahmen: Der CLOUD Act erfordert ein gültiges Rechtsverfahren (Haftbefehl, Vorladung oder Gerichtsbeschluss). Er ermächtigt keinen wahllosen Massenaugang.
- Comity-Bestimmungen: Der CLOUD Act enthält einen Comity-Rahmen, der es Anbietern erlaubt, Anordnungen anzufechten, die ausländischem Recht widersprechen.
- Praktische Wahrscheinlichkeit: Gering für Website-Besucherdaten. Strafverfolgungsanfragen würden eher auf bestimmte, krimineller Aktivitäten verdächtige Konten abzielen, nicht auf Besucheranalysen oder Formulareinsendungen.
4.2 Israel (BrightData)
BrightData hat seinen Sitz in Israel. Israel verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission (2011/61/EU), was bedeutet, dass Übermittlungen nach Israel ähnlich wie Intra-EWR-Übermittlungen behandelt werden. BrightData verarbeitet jedoch auch Daten an anderen globalen Standorten. Wir stellen fest, dass:
- BrightData-Verarbeitung nur auf Nutzeranweisung erfolgt (während der Website-Erstellung für den Inhaltsimport) oder bei geplanten SERP-Trackings.
- Keine personenbezogenen Daten von Website-Besuchern werden an BrightData übermittelt.
4.3 Kanada (Übermittlungen von Kanada in die USA)
Personenbezogene Daten von Website-Besuchern mit Standort in Kanada können zur Verarbeitung in die USA übermittelt werden. Folgende kanadische Gesetze sind für diese Bewertung relevant:
4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA regelt die Erhebung, Nutzung und Offenlegung personenbezogener Daten durch Organisationen des privaten Sektors im Rahmen kommerzieller Aktivitäten. PIPEDA-Grundsatz 4.1.3 verlangt, dass Organisationen vertragliche oder andere Mittel einsetzen, um einen vergleichbaren Schutzstandard zu gewährleisten, wenn personenbezogene Daten zur Verarbeitung an Dritte übermittelt werden, einschließlich Übermittlungen außerhalb Kanadas.
Risikobewertung:
- Vergleichbarer Schutz: Die in Abschnitt 6 beschriebenen ergänzenden Maßnahmen (Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Datensparsamkeit) bieten einen Schutzstandard, der dem unter PIPEDA geforderten vergleichbar ist. Mit allen Unterauftragsverarbeitern bestehen schriftliche Datenverarbeitungsverträge.
- Kein Angemessenheitserfordernis: Anders als die DSGVO verbietet PIPEDA keine Übermittlungen in Länder ohne „Angemessenheits"-Feststellung. Organisationen müssen durch vertragliche und andere Mittel einen vergleichbaren Schutz sicherstellen, den wir umgesetzt haben.
4.3.2 Provinzielle Datenschutzgesetzgebung
Albertas Personal Information Protection Act (PIPA), British Columbias Personal Information Protection Act (PIPA) und Quebecs Gesetz zum Schutz personenbezogener Daten im Privatsektor stellen für bestimmte Provinzen zusätzliche Anforderungen:
Risikobewertung:
- Quebec Gesetz 25: Quebecs modernisiertes Datenschutzgesetz (in Kraft seit September 2023) erfordert eine Datenschutz-Folgenabschätzung vor der Übermittlung personenbezogener Daten außerhalb Quebecs, und die übertragende Organisation muss sichergestellt haben, dass die Informationen angemessen geschützt werden. Unsere vertraglichen Schutzmaßnahmen, ergänzenden technischen Maßnahmen und die Art der Daten (hauptsächlich pseudonymisierte Analysen und Interaktionen auf Websites kleiner Unternehmen) unterstützen eine Feststellung eines angemessenen Schutzes.
- Alberta und BC: Albertas und BCs PIPAs verlangen, dass Organisationen einen vergleichbaren Schutz für übermittelte Daten sicherstellen. Unsere vertraglichen und technischen Schutzmaßnahmen erfüllen diese Anforderung.
4.3.3 US-Regierungszugang aus kanadischer Perspektive
Die gleichen in Abschnitt 4.1 bewerteten US-Regierungszugangsrisiken gelten für kanadische Datenübermittlungen. Die geringe Wahrscheinlichkeit des Regierungszugangs (angesichts der Art der Daten und unseres Unternehmensprofils), kombiniert mit den ergänzenden Maßnahmen in Abschnitt 6, gewährleistet, dass personenbezogene Daten, die von Kanada in die USA übermittelt werden, einen vergleichbaren Schutzstandard erhalten, wie er nach kanadischem Datenschutzrecht erforderlich ist.
4.4 Globale Edge-Standorte (Cloudflare)
Cloudflare betreibt ein globales Netzwerk von Edge-Standorten. EU-Besucheranfragen werden typischerweise am nächstgelegenen Cloudflare-Point-of-Presence verarbeitet, der für EU-Besucher in der Regel ein EU-Standort ist.
- Anfrageroutung, TLS-Terminierung und Bot-Schutz erfolgen am nächstgelegenen Edge-Standort.
- Für Website-Betreiber, die als EU-Ansässige identifiziert wurden, ist der persistente Speicher (mit Formulareinsendungen, Chatbot-Gesprächen und Sitzungsdaten) mithilfe der Cloudflare-Jurisdiktions-API jurisdiktionell auf die Europäische Union beschränkt. Für Nicht-EU-Website-Betreiber befindet sich der persistente Speicher in der Nähe der geografischen Region des Betreibers, kann jedoch außerhalb der EU liegen.
- Analysedaten werden an von Cloudflare verwalteter Infrastruktur verarbeitet.
5. BEWERTUNG DER DATENFLÜSSE NACH DIENSTLEISTER
5.1 Amazon Web Services (USA)
| Datenfluss | Beteiligte personenbezogene Daten | Zweck |
|---|---|---|
| Datenbankspeicher | Formulareinsendungsmetadaten (IP, Land, Region), Chatbot-Gesprächsaufzeichnungen, Dateimetadaten, Sitzungsaufzeichnungen | Persistente Speicherung von Website-Besucherdaten |
| Dateispeicher | Hochgeladene Dateien (Bilder, Dokumente), Bereitstellungs-Snapshots | Dateispeicherung |
| KI-Inferenz | Dateiinhalt (für KI-Beschreibungen), E-Mail-Inhalt (zur Spam-Erkennung) | KI-gestützte Beschreibungen und Spam-Klassifizierung |
| Inhaltsmoderation | Hochgeladene Bilder | Inhaltsmoderation (Erkennung von Nacktheit/explizitem Inhalt) |
| E-Mail-Zustellung | E-Mail-Adressen, Nachrichteninhalte | Transaktionale E-Mail-Zustellung und Benachrichtigungen über Inhaltseinreichungen. Für in der EU ansässige Website-Betreiber werden diese Vorgänge in der Europäischen Union (Stockholm) verarbeitet. |
| Spracherkennung | E-Mail-Nachrichtentext | Spracherkennung |
AWS-Schutzmaßnahmen:
- ISO 27001, 27017, 27018 zertifiziert
- SOC 1/2/3 Berichte verfügbar
- Daten im Ruhezustand mit branchenüblicher Verschlüsselung verschlüsselt
- Daten während der Übertragung verschlüsselt (TLS)
- Mindestberechtigungs-Zugriffskontrollen pro Systemkomponente
- Primäre Dienste in den Vereinigten Staaten gehostet; automatisierte besucherbezogene Vorgänge (Benachrichtigungen über Inhaltseinreichungen und transaktionale E-Mail-Zustellung) für in der EU ansässige Website-Betreiber werden in der Europäischen Union (Stockholm) verarbeitet
5.2 Cloudflare (Global)
| Datenfluss | Beteiligte personenbezogene Daten | Zweck |
|---|---|---|
| Edge-Routing | IP-Adressen, HTTP-Header, Anfrage-URLs | Anfrageroutung, DDoS-Schutz, TLS-Terminierung |
| Website-Hosting | Seiteninhalt, Besuchermetadaten | Website-Hosting und -Lieferung |
| Persistenter Speicher | Formulareinsendungen, Chatbot-Gespräche, Sitzungsdaten, Nutzertabellendaten | Zustandsbehafteter Website-Speicher |
| Analysen | Pseudonymisierter Besucher-Hash, Land, Gerät, Browser, Referrer, UTM | Datenschutzfreundliche Besucheranalysen |
| KI-Inferenz | Chatbot-Nachrichten, Formularfeldkurzfassungen | KI-Chatbot-Antworten, Spam-Erkennung |
| Asset-Speicher | Website-Assets (Bilder, Dateien) | Statische Asset-Speicherung und CDN-Lieferung |
Cloudflare-Schutzmaßnahmen:
- ISO 27001 zertifiziert, SOC 2 Typ II
- TLS 1.2+ für alle Verbindungen
- Cloudflare DPA mit SCC verfügbar
- Edge-Verarbeitung bedeutet, dass EU-Besucherdaten für die Anfragebehandlung typischerweise an EU-Edge-Standorten verarbeitet werden
- Für als EU-Ansässige identifizierte Website-Betreiber ist der persistente Speicher (der Formulareinreichungen, Chatbot-Konversationen, Sitzungsdaten und Benutzertabellendaten enthält) über die Jurisdiktions-API von Cloudflare jurisdiktionell auf die Europäische Union beschränkt, wodurch sichergestellt wird, dass diese Daten ausschließlich in EU-Rechenzentren gespeichert und verarbeitet werden. Backend-API-Aufrufe vom Edge (für Benachrichtigungen über Inhaltseinreichungen und transaktionale E-Mail-Zustellung) werden an die in der EU befindliche AWS-Infrastruktur weitergeleitet.
- KI-Inferenz behält keine Eingabedaten für Training
5.3 Stripe (USA)
| Datenfluss | Beteiligte personenbezogene Daten | Zweck |
|---|---|---|
| Zahlungsverarbeitung | Rechnungsdaten des Website-Betreibers (Name, E-Mail, Zahlungsmethode) | Abonnement- und Domain-Zahlungsverarbeitung |
Hinweis: Stripe erhält keine personenbezogenen Daten von Website-Besuchern. Nur die Rechnungsinformationen des Website-Betreibers (unseres Kunden) werden von Stripe verarbeitet.
Stripe-Schutzmaßnahmen:
- PCI DSS Level 1 zertifiziert
- ISO 27001 zertifiziert
- Stripe DPA mit SCC verfügbar
5.4 KI-Inferenzanbieter (USA)
Fireworks AI und xAI bieten KI-Modellinferenzdienste an.
| Datenfluss | Beteiligte personenbezogene Daten | Zweck |
|---|---|---|
| Textgenerierung (Website-Inhalt) | Website-Inhalt (keine Besucherdaten) | Erstellung und Bearbeitung von Website-Inhalten |
| Bildgenerierung | Textprompts (keine Besucherdaten) | Bilderstellung für Websites |
| Konversations-KI (Chat-Agent) | Plattformnutzername, E-Mail, Sprachpräferenz und Gesprächsverlauf | KI-gestützter Assistent für Plattformnutzer (Website-Betreiber) |
Hinweis: Diese KI-Anbieter erhalten keine personenbezogenen Daten von Website-Besuchern. Die Chatbot-Funktion (für Website-Besucher) verwendet Cloudflare Workers AI (bewertet in Abschnitt 5.2), nicht diese Anbieter. Der KI-Konversationsassistent der Plattform – von Website-Betreibern zur Verwaltung ihrer Websites genutzt – sendet jedoch personenbezogene Daten von Plattformnutzern (Name, E-Mail-Adresse und Gesprächsverlauf) an diese Anbieter als Teil der Antworterstellung. Für diese Verarbeitung handelt Acira AI als Verantwortlicher (nicht Auftragsverarbeiter), und die betroffenen Personen sind unsere Plattformnutzer (Website-Betreiber), nicht deren Website-Besucher. Dieser Datenfluss wird durch unsere Datenschutzrichtlinie und unsere Vereinbarungen mit diesen Anbietern geregelt, nicht durch den Auftragsverarbeiter-Rahmen des DPA für Besucherdaten.
Modellfamilien: Diese Infrastrukturanbieter hosten und betreiben KI-Modelle verschiedener Dritter. Die verwendeten spezifischen Modelle und Modellfamilien können sich im Laufe der Zeit ändern. Modellentwickler erhalten keinen Zugang zu Nutzerdaten – alle Datenverarbeitung erfolgt ausschließlich in der Infrastruktur der aufgeführten Unterauftragsverarbeiter, unabhängig davon, wo ein Modell ursprünglich entwickelt wurde. Die gesamte KI-Inferenzverarbeitung verbleibt in der Infrastruktur unserer aufgeführten Unterauftragsverarbeiter. Keine Nutzerdaten werden an Modellentwickler oder an Infrastrukturen außerhalb der in dieser Bewertung aufgeführten Unterauftragsverarbeiter übermittelt. Eine aktuelle Liste der verwendeten Modellfamilien ist auf Anfrage erhältlich unter legal@acira.ai.
5.5 BrightData (Israel / Global)
| Datenfluss | Beteiligte personenbezogene Daten | Zweck |
|---|---|---|
| Webdatensammlung | Öffentlich verfügbare Webinhalte (keine Besucherdaten) | Inhaltsimport während der Website-Erstellung (nutzerbetrieben) |
| SERP-Tracking | Suchbegriffe (keine Besucherdaten) | Überwachung von Keyword-Rankings |
Hinweis: BrightData verarbeitet keine personenbezogenen Daten von Website-Besuchern. Es verarbeitet öffentlich verfügbare Webinhalte auf Nutzeranweisung und verfolgt Suchmaschinen-Rankings für nutzerdefinierte Keywords.
5.6 EU-basierte Anbieter (Keine Übermittlung)
| Anbieter | Standort | Zweck |
|---|---|---|
| Black Forest Labs | Deutschland (EU) | KI-Bildgenerierung (Flux-Modelle) |
| ScreenshotOne | Europäische Union | Website-Screenshot-Erstellung |
| CloudConvert | Deutschland (EU) | Dateiformat-Konvertierung |
Diese Anbieter verarbeiten Daten innerhalb der EU und stellen keine internationale Übermittlung dar. Black Forest Labs erhält nur Textprompts zur Bildgenerierung; es sind keine personenbezogenen Daten beteiligt.
6. ERGÄNZENDE MASSNAHMEN
Zusätzlich zu den SCC implementieren wir folgende ergänzende Maßnahmen, um einen im Wesentlichen gleichwertigen Schutzstandard für übermittelte personenbezogene Daten sicherzustellen:
6.1 Technische Maßnahmen
| Maßnahme | Beschreibung |
|---|---|
| Verschlüsselung während der Übertragung | Alle zwischen Besuchern, Edge-Netzwerk und Backend-Diensten übertragenen Daten sind mit TLS (mindestens TLS 1.2) verschlüsselt. Die interne Dienst-zu-Dienst-Kommunikation verwendet verschlüsselte Kanäle. |
| Verschlüsselung im Ruhezustand | Alle Datenbankeinträge, Dateispeicher und edge-gehosteter persistenter Speicher sind im Ruhezustand mit branchenüblicher Verschlüsselung verschlüsselt, die vom jeweiligen Infrastrukturanbieter verwaltet wird. |
| Pseudonymisierung | Besucheranalysen verwenden einen täglich rotierenden kryptografischen Hash (IP + User-Agent + Datum) anstelle der Speicherung roher IP-Adressen. Dieser Hash kann nicht umgekehrt werden und rotiert alle 24 Stunden, wodurch tagesübergreifendes Tracking verhindert wird. |
| Datensparsamkeit | Analysen erfassen nur Metadaten auf Aggregatebene (Land, Gerätetyp, Browser). Rohe IP-Adressen werden in Analysen nicht gespeichert. Chatbot-Nachrichten sind auf 2.000 Zeichen begrenzt. |
| Passwort-Hashing | Alle Besucherpasswörter (für geschützte Bereiche der Website) werden vor der Speicherung mit starken kryptografischen Algorithmen und zufälligen Salts pro Nutzer gehasht. Klartext-Passwörter werden niemals gespeichert oder übertragen. |
| Zugriffskontrollen | Mindestberechtigungs-Zugriffsrichtlinien beschränken jede Systemkomponente auf die Ressourcen, die sie benötigt. API-Tokens pro Website beschränken den Zugriff auf einzelne Websites. |
| Netzwerkisolation | Backend-Dienste kommunizieren über interne Netzwerke. Website-Hosting läuft in isolierten Ausführungs-Sandboxen. Benutzerdefinierte Codeausführung verwendet WebAssembly-basiertes Sandboxing. |
| Jurisdiktionelle Datenresidenz | Für als EU-Ansässige identifizierte Website-Betreiber ist der persistente Speicher, der Besucherdaten enthält (Formulareinreichungen, Chatbot-Konversationen, Sitzungsdaten und Benutzertabellendaten), jurisdiktionell auf die Europäische Union beschränkt, wodurch sichergestellt wird, dass diese Daten ausschließlich in EU-Rechenzentren gespeichert und verarbeitet werden. Automatisierte besucherbezogene Vorgänge (Benachrichtigungen über Inhaltseinreichungen und transaktionale E-Mail-Zustellung) werden ebenfalls innerhalb der in der EU befindlichen Infrastruktur verarbeitet. |
| Automatisierte Löschung | Sitzungsdaten verfallen nach 30 Tagen Inaktivität. Temporäre Dateien werden innerhalb von 24 Stunden gelöscht. Bot-Challenge-Daten sind flüchtig und werden nicht dauerhaft gespeichert. |
6.2 Organisatorische Maßnahmen
| Maßnahme | Beschreibung |
|---|---|
| Vertraulichkeit des Personals | Alle Mitarbeiter mit Zugang zu personenbezogenen Daten sind durch Vertraulichkeitsverpflichtungen gebunden. |
| Due Diligence bei Unterauftragsverarbeitern | Unterauftragsverarbeiter werden vor der Beauftragung auf ihre Sicherheitspraktiken und Datenschutz-Compliance geprüft. Mit allen Unterauftragsverarbeitern bestehen schriftliche DPAs. |
| Vorfallreaktion | Verfahren zur Benachrichtigung über Datenschutzverletzungen gewährleisten, dass Verantwortliche innerhalb von 72 Stunden nach Bestätigung einer Verletzung personenbezogener Daten benachrichtigt werden. |
| Datenaufbewahrungsrichtlinien | Dokumentierte Aufbewahrungsfristen mit automatisierter Durchsetzung (TTL-basierte Löschung, Lebenszyklusrichtlinien). |
| Sicherheitsüberwachung | Strukturierte Protokollierung, automatisierte Sicherheitsüberwachung und Einbruchserkennung. Fehler- und Diagnoseprotokolle werden bis zu 30 Tage aufbewahrt. |
6.3 Vertragliche Maßnahmen
| Maßnahme | Beschreibung |
|---|---|
| Standardvertragsklauseln | SCC (Modul Eins, Modul Zwei und Modul Drei) sind durch Verweis in unser DPA einbezogen. |
| SCC für Unterauftragsverarbeiter | Schriftliche Vereinbarungen mit jedem Unterauftragsverarbeiter auferlegen Datenschutzverpflichtungen, die nicht weniger schützend sind als die in unserem DPA. |
| Benachrichtigung über Regierungszugang | Wir verpflichten uns, Verantwortliche über Regierungszugangsanfragen zu benachrichtigen, soweit gesetzlich erlaubt, wie in unseren Allgemeinen Geschäftsbedingungen beschrieben. |
| Anfechtungsverpflichtung | Wir verpflichten uns, Regierungszugangsanfragen anzufechten, die wir für zu weitreichend oder rechtswidrig halten. |
7. RISIKOBEWERTUNG
7.1 Wahrscheinlichkeit des Regierungszugangs
| Faktor | Bewertung |
|---|---|
| Art der Daten | Hauptsächlich pseudonymisierte Analysen, Formulareinsendungen und Chatbot-Nachrichten von Websites kleiner Unternehmen. Diese Daten haben einen geringen Geheimdienstwert. |
| Datenmenge | Gering bis moderat. Jede Website bedient ihre eigene Besucherbasis; Daten werden nicht plattformübergreifend für Überwachungszwecke aggregiert. |
| Unternehmensprofil | Acira AI ist ein kleines SaaS-Unternehmen, das Websites kleiner Unternehmen hostet. Wir sind kein Telekommunikationsanbieter oder hochkarätiges Überwachungsziel. |
| Historische Anfragen | Zum Datum dieser Bewertung hat Acira AI noch nie eine FISA-Abschnitt-702-Anweisung, einen National Security Letter oder eine Regierungsanfrage nach Massenzugang zu Kundendaten erhalten. |
| Unterauftragsverarbeiterprofil | AWS und Cloudflare sind große Infrastrukturanbieter, die Transparenzberichte veröffentlichen. Ihre Transparenzberichte zeigen, dass Regierungsanfragen auf bestimmte Konten abzielen, nicht auf Massenzugang zu gehosteten Inhalten. |
Gesamtwahrscheinlichkeit: GERING
7.2 Auswirkung bei Zugang
| Faktor | Bewertung |
|---|---|
| Datensensitivität | Der Großteil der übermittelten Daten hat eine geringe Sensitivität (pseudonymisierte Analysen, Metadaten von Website-Besuchern). Formulareinsendungen können je nach Website mittlere Sensitivitätsdaten enthalten (Namen, E-Mail-Adressen, Nachrichten). |
| Wirksamkeit der Pseudonymisierung | Analysedaten können nicht ohne Zugang zu den täglich rotierenden Hash-Komponenten (IP + User-Agent + Datum) mit Personen verknüpft werden, die nicht gespeichert werden. |
| Umfang der Exposition | Jeder staatliche Zugriff würde auf bestimmte Konten oder Websites beschränkt sein, nicht auf die gesamte Plattform. Die Datenisolierung pro Website durch dedizierte Speicherinstanzen begrenzt den Umfang einer möglichen Kompromittierung. Für in der EU ansässige Website-Betreiber sind der persistente Speicher und die automatisierte besucherbezogene Verarbeitung (Benachrichtigungen über Inhaltseinreichungen und transaktionale E-Mail-Zustellung) auf die EU beschränkt, was die Exposition gegenüber dem Zugriff der US-Regierung auf diese Daten weiter einschränkt. |
Gesamtauswirkung: GERING bis MITTEL (je nach Sensitivität der von einzelnen Website-Betreibern gesammelten Daten)
7.3 Bewertung des Restrisikos
Angesichts der geringen Wahrscheinlichkeit des Regierungszugangs, der ergänzenden technischen Maßnahmen (Verschlüsselung, Pseudonymisierung, Datensparsamkeit) und der durch EO 14086 eingeführten zusätzlichen Schutzmaßnahmen bewerten wir, dass das Restrisiko für betroffene Personen gering ist und dass die ergänzenden Maßnahmen zusammen mit den SCC (für EWR-/UK-/Schweizer Übermittlungen) und vertraglichen Schutzmaßnahmen (für kanadische Übermittlungen) einen Schutzstandard bieten, der dem innerhalb des EWR garantierten im Wesentlichen gleichwertig und dem nach kanadischem Datenschutzrecht geforderten vergleichbar ist.
8. SCHLUSSFOLGERUNG
Auf Grundlage dieser Bewertung kommen wir zu folgendem Schluss:
Die aus dem EWR/UK/Schweiz/Kanada in die USA übermittelten personenbezogenen Daten im Zusammenhang mit der Bereitstellung unserer Dienste profitieren von einem im Wesentlichen gleichwertigen Schutzstandard wie dem nach EU-Datenschutzrecht garantierten und einem vergleichbaren Schutzstandard wie dem nach kanadischem Datenschutzrecht geforderten.
Die Standardvertragsklauseln, kombiniert mit den in Abschnitt 6 beschriebenen ergänzenden technischen, organisatorischen und vertraglichen Maßnahmen, gehen angemessen auf die in dieser Bewertung identifizierten Risiken ein.
Die Art der Daten (hauptsächlich pseudonymisierte Analysen und Interaktionen auf Websites kleiner Unternehmen mit ihren Besuchern) und das Profil des Datenimporteurs (ein kleines SaaS-Unternehmen, kein Telekommunikationsanbieter) verringern das praktische Risiko staatlicher Überwachung erheblich.
Die durch Executive Order 14086 und den damit verbundenen Beschwerdemechanismus eingeführten Schutzmaßnahmen bieten zusätzliche Sicherheiten, von denen alle betroffenen Personen profitieren, unabhängig vom verwendeten Übermittlungsmechanismus.
Für kanadische Übermittlungen gewährleisten die hierin beschriebenen vertraglichen Schutzmaßnahmen und ergänzenden Maßnahmen einen vergleichbaren Schutzstandard wie den nach PIPEDA und den geltenden provinziellen Datenschutzgesetzen, einschließlich Quebecs modernisiertem Datenschutzgesetz, geforderten.
Wir werden weiterhin Entwicklungen im US-amerikanischen Überwachungsrecht und -praxis sowie Entwicklungen im kanadischen Datenschutzrecht (einschließlich des vorgeschlagenen Consumer Privacy Protection Act) beobachten und diese TIA neu bewerten, falls sich die Umstände wesentlich ändern.
Die Übermittlungen können vorbehaltlich der fortgesetzten Anwendung der SCC und der hierin beschriebenen ergänzenden Maßnahmen fortgesetzt werden.
9. ÜBERPRÜFUNGSPLAN
Diese TIA wird überprüft und aktualisiert:
- Jährlich, mindestens, oder
- Bei wesentlichen Änderungen der geltenden Gesetze oder Vorschriften (einschließlich Änderungen an FISA, dem CLOUD Act, EO 14086, PIPEDA oder den kanadischen provinziellen Datenschutzgesetzen),
- Bei Änderungen an unseren Unterauftragsverarbeitern oder der Art der übermittelten Daten,
- Bei einem Gerichtsurteil, das die Gültigkeit der SCC oder die Angemessenheit des US-amerikanischen Datenschutzes wesentlich beeinflusst.
10. KONTAKT
Bei Fragen zu dieser Folgenabschätzung für Datenübermittlungen wenden Sie sich bitte an:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Telefon: 888-389-1189
E-Mail: legal@acira.ai
Ihre Privatsphäre, unsere Priorität
Wir verkaufen Ihre Daten nicht, wir verwenden keine Tracking-Cookies — deshalb sehen Sie hier kein Cookie-Banner. Wir respektieren Global Privacy Control, und für EU-Kunden werden Besucherdaten ausschließlich innerhalb der Europäischen Union gespeichert und verarbeitet.
Acira AI
Erstellen Sie schöne Websites mit KI. Keine Programmierung erforderlich.
Mit Stolz in den Vereinigten Staaten entwickelt
© 2026 Acira AI LLC. Alle Rechte vorbehalten.