Anlage 3 – Genehmigte Unterauftragsverarbeiter (Subunternehmer)
Stand: 01/2026
Hinweis: Unterauftragsverarbeiter werden weisungsgebunden und nur im erforderlichen Umfang eingesetzt. Verarbeitungsorte/Regionen sind – soweit technisch konfigurierbar – vom Auftragnehmer entsprechend der Architektur (EU/europe-west3 Frankfurt) gewählt.
1) Google Cloud / Firebase / Firestore / reCAPTCHA
Service Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Hosting/Backend, Datenbank (Firestore), Cloud Functions, Cloud Storage, Firebase Hosting, Auth/Logging, Abuse-Schutz (reCAPTCHA)
Datenarten: Mandantendaten, Enduser-/Formulardaten, Logs/Metadaten, Auth-/Security-Daten
Verarbeitungsort/Region: EU – europe-west3 (Frankfurt) für Firestore/Functions/Cloud Run/Storage; Firebase Hosting EU (soweit konfiguriert)
Drittlandbezug: konzernbedingt nicht in jedem Fall technisch vollständig auszuschließen; geeignete Garantien nach Art. 44 ff. DSGVO soweit erforderlich
2) Strato (E-Mail Versand / SMTP)
Service Provider: STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland
Zweck: SMTP-Versand (TLS), Versandstatus-Logging
Datenarten: E-Mail-Adresse, ggf. Name/Betreff/Inhalt (je nach Mandantenprozess), Zustellstatus
Verarbeitungsort: Deutschland (anbieter-/produktabhängig; vertraglich zu prüfen)
Drittlandbezug: nach Vertrag/Setup zu prüfen
3) Stripe (Zahlungsabwicklung – nur Mandantenabrechnung)
Service Provider: Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
Zweck: Zahlungsabwicklung/Abrechnung für Lizenzen (Self-Service)
Datenarten: Abrechnungs-/Zahlungsdaten des Auftraggebers (Mandant), Transaktions-/Statusdaten; keine Endkundendaten/Formularinhalte
Verarbeitungsort: EU/konzernbedingt möglich
Drittlandbezug: nach Vertrag/Setup; geeignete Garantien nach Art. 44 ff. DSGVO soweit erforderlich
4) seven.io (SMS Versand – optional)
Service Provider: seven communications GmbH & Co. KG, Willestr. 4–6, 24103 Kiel, Deutschland
Zweck: Versand von SMS (nur wenn Auftraggeber diese Option beauftragt)
Datenarten: Mobilnummer, SMS-Inhalt, Versand-/Statusdaten (prozessabhängig)
Verarbeitungsort: nach Vertrag/Setup zu prüfen
Drittlandbezug: nach Vertrag/Setup zu prüfen
5) inSign (FES/QES Signatur – optional)
Service Provider: inSign GmbH, Am Bäckeranger 2, 85417 Marzling, Deutschland
Zweck: Erstellung eIDAS-konformer elektronischer Signaturen
Datenarten: signatur- und dokumentbezogene Daten, Kontaktdaten (prozessabhängig)
Verarbeitungsort: nach Vertrag/Setup zu prüfen
Drittlandbezug: nach Vertrag/Setup zu prüfen
6) Cloudflare (Custom Domain / Security – optional)
Service Provider: Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München, Deutschland
Zweck: Bereitstellung einer Custom Domain sowie Sicherheits-/Performance-Funktionen (je nach Konfiguration)
Datenarten: IP-Adresse, Request-Metadaten (Header/URL/User-Agent), Sicherheitslogs
Verarbeitungsort: globales Edge-Netz möglich; nach Vertrag/Setup zu prüfen
Drittlandbezug: möglich; geeignete Garantien nach Art. 44 ff. DSGVO soweit erforderlich
7) OpenAI (KI-API – optional)
Service Provider: OpenAI Ireland Ltd, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland
Zweck: KI-Assistenzfunktionen (nur bei Aktivierung durch den Auftraggeber)
Datenarten: Eingaben/Parameter in pseudonymisierter Form; keine Klartext-Identifikatoren (Name, Vorname, Anschrift sowie spezifische Kontaktdaten). Stattdessen kryptografische Referenz-ID. Ergebnisse enthalten ebenfalls die Referenz-ID; Zuordnung erfolgt ausschließlich im System des Auftragnehmers.
Verarbeitungsort: EU-Residenz soweit konfiguriert/angeboten; im Übrigen nach Vertrag/Setup
Drittlandbezug: konzernbedingt nicht in jedem Fall technisch vollständig auszuschließen; geeignete Garantien nach Art. 44 ff. DSGVO soweit erforderlich
8) Fusionbase (handelsregister.ai / Unternehmensdaten – optional)
Service Provider: Fusionbase GmbH, Agnes-Pockels-Bogen 1, 80992 München, Deutschland
Zweck: Abruf/Analyse von Unternehmensdaten juristischer Personen (nur bei Aktivierung)
Datenarten: Unternehmensstammdaten juristischer Personen; keine beabsichtigte Abfrage/Verarbeitung natürlicher Personen. Technische Metadaten (z. B. IP/API-Logs) können personenbezogen sein.
Verarbeitungsort: nach Vertrag/Setup zu prüfen (EU/Deutschland)
Drittlandbezug: nach Vertrag/Setup zu prüfen
9) Externer IT-/Entwicklungsdienstleister (Softwareentwicklung / Wartung)
Service Provider: Externer IT-Dienstleister (namentlich benannt gegenüber dem Auftraggeber auf Anfrage / im Rahmen von Audit- oder Nachweispflichten)
Anschrift: wird gegenüber dem Auftraggeber auf Anfrage bereitgestellt
Zweck: Weiterentwicklung, Wartung und Fehlerbehebung; Unterstützung bei Release/Deployment; technische Analyse von Störungen
Datenarten: je nach Fall technische Logdaten, Metadaten; Zugriff auf produktive Endkundendaten nur ausnahmsweise und nur nach dokumentierter Freigabe (Need-to-know)
Verarbeitungsort: EU/Deutschland (vertraglich festgelegt; Details auf Anfrage)
Drittlandbezug: ausgeschlossen, sofern vertraglich EU/Deutschland vereinbart; andernfalls nur unter geeigneten Garantien nach Art. 44 ff. DSGVO
10) Externer Datenschutzbeauftragter / Datenschutzdienstleister (INSECCO)
Service Provider: INSECCO – eine Marke der Alsterbyte IT Solutions GmbH, Friedrich-Penseler-Straße 15, 21337 Lüneburg, Deutschland
Zweck: Datenschutzberatung, Stellung des externen Datenschutzbeauftragten, Unterstützung bei Vorfällen und Betroffenenanfragen
Datenarten: grundsätzlich keine regelmäßige Verarbeitung; Zugriff nur anlassbezogen und soweit erforderlich (z. B. Audit/Vorfallbearbeitung), beschränkt auf das Minimum
Verarbeitungsort: Deutschland
Drittlandbezug: ausgeschlossen
Änderungen:
Änderungen oder Ergänzungen der Subunternehmer werden dem Auftraggeber vorab mitgeteilt; Widerspruchsrecht nach Art. 28 Abs. 2 DSGVO bleibt unberührt.
