← Zurück zur StartseiteUnterauftragsverarbeiter
Stand: April 2026 · Version 1.0 · Anhang 1 zum AVV
Wir arbeiten mit einer kleinen, sorgfältig ausgewählten Gruppe von Dienstleistern zusammen, um KI-Kollegen zu betreiben. Jeder dieser Unterauftragsverarbeiter hat einen Auftragsverarbeitungsvertrag (DPA) mit uns abgeschlossen und erfüllt die Anforderungen nach Art. 28 DSGVO.
Änderungen an dieser Liste werden Verantwortlichen mindestens 30 Tage vor Wirksamwerden in Textform mitgeteilt, mit der Möglichkeit zum Widerspruch aus wichtigem Grund.
Vercel Inc.
Hosting & Infrastruktur
DPASOC 2 Type II
- Verarbeitungsort
- Frankfurt am Main (Region fra1)
- Firmensitz
- Covina, CA, USA
- Zweck
- Bereitstellung der Webanwendung, API-Laufzeit, Content-Delivery
- Verarbeitete Daten
- HTTP-Request-Logs (IP, User-Agent, URL, Zeitstempel), Verarbeitungsinhalte während Laufzeit
- Drittland-Transfer
- US-Mutter. Rechtsgrundlage: EU-Standardvertragsklauseln 2021/914 Modul 3 + EU-US Data Privacy Framework
- Zertifizierungen
- SOC 2 Type II, ISO 27001, ISO 27701, ISO 27018, PCI DSS
Supabase Inc.
Datenbank (Postgres)
DPASOC 2 Type II
- Verarbeitungsort
- Frankfurt (AWS EU-Central-1)
- Firmensitz
- Delaware, USA / Singapore
- Zweck
- Datenbankhaltung: Kundenstamm, Wissensbasis, Event-Logs, Warteliste
- Verarbeitete Daten
- Strukturierte Kunden- und Endkundendaten, Konversations-Metadaten, Audit-Logs
- Drittland-Transfer
- Nur bei Support-Vorgängen. Rechtsgrundlage: EU-Standardvertragsklauseln
- Zertifizierungen
- SOC 2 Type II, HIPAA-ready
Upstash Inc.
In-Memory-Store (Redis)
DPASOC 2 Type II
- Verarbeitungsort
- Irland (EU-West-1) oder Frankfurt
- Firmensitz
- Walnut, CA, USA
- Zweck
- Rate-Limiting, Session-State, Warteliste
- Verarbeitete Daten
- Temporäre Session-Daten, IP-basierte Rate-Limit-Zähler (gehasht), Waitlist-E-Mails
- Drittland-Transfer
- Nur bei Support-Vorgängen. Rechtsgrundlage: EU-Standardvertragsklauseln
- Zertifizierungen
- SOC 2 Type II, ISO 27001
Anthropic PBC
KI-Modell-Provider
DPASOC 2 Type II
- Verarbeitungsort
- US-Rechenzentren mit EU-Zugangspunkten, wo verfügbar
- Firmensitz
- San Francisco, CA, USA
- Zweck
- LLM-Inferenz (Claude Sonnet 4.6 / Haiku 4.5) für Agenten-Antworten
- Verarbeitete Daten
- Nachrichteninhalte im Verarbeitungskontext, System-Prompts mit Wissensbasis
- Drittland-Transfer
- USA. EU-Standardvertragsklauseln 2021/914 Modul 3 + zusätzliche Schutzmaßnahmen nach TTDSG
- Zertifizierungen
- SOC 2 Type II, HIPAA-ready, ISO 42001 (AI Management)
✓ Keine Nutzung zum KI-Training — vertraglich zugesichert (Anthropic Commercial Terms)
Meta Platforms Ireland Limited
WhatsApp Business Cloud API
DPAISO 27001
- Verarbeitungsort
- EU-Rechenzentren von Meta
- Firmensitz
- Dublin, Irland
- Zweck
- Empfang und Versand von WhatsApp-Nachrichten
- Verarbeitete Daten
- Telefonnummern, Nachrichteninhalte, Zeitstempel, Zustell-Status
- Drittland-Transfer
- Minimiert durch Meta-EU-Entität. Bei US-Transfers: SCC + EU-US DPF
- Zertifizierungen
- ISO 27001, ISO 27018, SOC 2 Type II
Resend Inc.
Transaktionale E-Mails
DPASOC 2 Type II
- Verarbeitungsort
- Frankfurt / Dublin (EU-Region)
- Firmensitz
- San Francisco, CA, USA
- Zweck
- Versand von Bestätigungs-, Eskalations- und Report-E-Mails
- Verarbeitete Daten
- Empfänger-Adresse, Absender, Betreff, Inhalt, Zeitstempel, Delivery-Status
- Drittland-Transfer
- US-Mutter. Rechtsgrundlage: EU-Standardvertragsklauseln
- Zertifizierungen
- SOC 2 Type II
Stripe Payments Europe Ltd.
Zahlungsabwicklung (SaaS-Abo)
DPAPCI DSS Level 1
- Verarbeitungsort
- EU-Rechenzentren
- Firmensitz
- Dublin, Irland
- Zweck
- Abrechnung der monatlichen KI-Kollegen-Gebühr (nicht Endkunden-Transaktionen)
- Verarbeitete Daten
- Name, Rechnungsadresse, E-Mail, Zahlungsdaten des Verantwortlichen
- Drittland-Transfer
- Minimiert durch Stripe-EU-Entität
- Zertifizierungen
- PCI DSS Level 1, SOC 1, SOC 2, ISO 27001
Nicht als Unterauftragsverarbeitung geltende Leistungen
Folgende Leistungen werden genutzt, gelten aber nach herrschender Auslegung nicht als Unterauftragsverarbeitung:
- Telekommunikationsdienste (Internet-Anbindung des Auftragsverarbeiters)
- Office-Infrastruktur (nur interne Korrespondenz, keine Kundendaten-Verarbeitung)
- Externe Rechts- und Steuerberatung (eigene Berufsgeheimnisträger)
Fragen? kontakt@denkhebel.de