Rechtliches

DPA-Audit-Sheet

Schrems II Compliance · Dokumentation Datenübermittlungen USA

Auditdatum: 27.04.2026 · Standard: DSGVO Art. 46 (Standardvertragsklauseln)

Übersicht US-Dienstleister

QuoteKit nutzt 7 Dienstleister, teilweise mit Standorten außerhalb der EU/EWR. Für alle USA-basierten Services liegen gültige Standardvertragsklauseln (SCCs) vor:

Service	Standort	Datenfluss	Status
Stripe	Dublin, Irland	Zahlungsdaten	✅ SCC vorhanden
Supabase	Frankfurt, DE*	Datenbank + Auth	✅ SCC vorhanden
Vercel	Frankfurt, DE*	Hosting	✅ SCC vorhanden
Resend	USA	E-Mail-Versand	✅ SCC vorhanden
Anthropic	San Francisco, USA	KI-API (Claude)	✅ SCC vorhanden
Groq	Mountain View, USA	Speech-to-Text	✅ SCC vorhanden
Sentry	San Francisco, USA	Error Monitoring	✅ SCC vorhanden

* Supabase und Vercel haben EU-Serverstandorte (Frankfurt), liegen aber unter US-Mutterkonzernen.

Schrems II Compliance

Status: ✅ ERFÜLLT
Alle 7 Dienstleister haben gültige Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO vorliegen. Die PDF-Dokumente sind im Projektrepository archiviert und müssen mindestens 10 Jahre aufbewahrt werden (GoBD).

Das EuGH-Urteil Schrems II (C-311/18) verpflichtet Unternehmen, Datenübermittlungen in die USA zusätzlich zu schützen. QuoteKit erfüllt diese Anforderung durch:

Standardvertragsklauseln (SCCs): Alle Dienstleister haben diese unterzeichnet
Datenminimierung: Sensible Daten (PII) werden vor Übermittlung gefiltert
Verschlüsselung: Alle Datenflüsse nutzen TLS 1.2 oder höher
Monitoring: Jährliche Überprüfung der SCC-Status und neuer Gerichtsurteile

Rechtsgrundlagen

DSGVO Art. 5 (Integrität und Vertraulichkeit)
Personenbezogene Daten sind gegen unbefugte Verarbeitung angemessen geschützt
DSGVO Art. 46 (Garantien für Drittlandübermittlung)
Standardvertragsklauseln als anerkannte Garantie
DSGVO Art. 28 (Auftragsverarbeitung)
Auftragsverarbeitungsverträge (AVV) sind in den DPAs integriert
EuGH C-311/18 (Schrems II)
SCCs allein reichen nicht; zusätzliche technische und organisatorische Maßnahmen erforderlich

Sicherheitsmaßnahmen

Zusätzlich zu den SCCs hat QuoteKit folgende Maßnahmen implementiert:

Claude API (Anthropic): PII-Filter aktiv — Namen, Adressen, IBANs werden vor API-Calls automatisch entfernt
Groq Whisper (Speech-to-Text): Audio-Aufnahmen werden nach Transkription sofort gelöscht, nicht zum Modell-Training verwendet
Sentry (Error Monitoring): beforeSend Hook mit automatischer PII-Redaction (E-Mails, Telefonnummern, IBANs maskiert)
TLS 1.2+ Verschlüsselung: Alle Datenübermittlungen zu US-Services verschlüsselt

Compliance-Checkliste

✓SCC-Dokumente vollständig vorhanden

✓Alle Dokumente sind aktuell (April 2026)

✓Datenflüsse dokumentiert

✓Datenminimierung umgesetzt

✓Datenschutzerklärung aktualisiert

✓Audit-Log mit Änderungsnachverfolgung aktiv

○Jährliche Überprüfung geplant (2027-04-27)

Nächste Schritte

Jährliche Überprüfung (2027-04-27):
DPA-Dokumente müssen mindestens jährlich überprüft werden (Gültigkeitsdauer, neue Gerichtsurteile)
Neue Dienstleister:
Falls neue Dienstleister hinzukommen → sofort DPA anfordern und dokumentieren
Schrems III / Supreme Court:
Nach neuen CJEU/SCOTUS Urteilen zur Überwachung überprüfen und Maßnahmen anpassen

Archivierung: Dieses Audit-Sheet und alle SCC-Dokumente sind im Projektrepository für die erforderliche 10-Jahres-Aufbewahrung archiviert. Für Datenschutz-Audits und Compliance-Prüfungen verfügbar.

Impressum Datenschutz AGB