Rechtliches
Auftragsverarbeitungsverträge (AVV)
Stand: 2026-05-12 · gemäß Art. 28 DSGVO
Auf dieser Seite dokumentieren wir alle eingebundenen Auftragsverarbeiter inkl. Vertragsstatus, Zweck, Datenarten und Speicherort. Die Liste wird laufend aktualisiert; AVV-Dokumente werden auf Anfrage in Auszügen zur Verfügung gestellt.
TODO — Anwalts-Review erforderlich: Vor Live-Schaltung durch Datenschutz-Beauftragte:n und Fachjurist:in prüfen lassen.
Provider-Übersicht
| Provider | Zweck | Datenarten | Standort | AVV-Status |
|---|---|---|---|---|
| Hetzner Online GmbH Standard-AVV von Hetzner unterzeichnet, EU-Hosting. | Hosting (Postgres, App-Server, Worker) | Alle Plattform-Daten (Server-seitig verschlüsselt) | Deutschland (Falkenstein / Nürnberg) | ✅ Standard-AVV akzeptiert |
| Anthropic PBC TODO: AVV signieren + DPF-Zertifizierung verifizieren. Aktuell nur Sandbox-Nutzung. | KI-Inferenz für Begründungs-Generierung (Claude API) | Pseudonymisierte Begründungs-Inputs (keine Klarnamen, keine SVN) | USA — Standardvertragsklauseln + EU-US Data Privacy Framework | 🔴 TODO |
| OpenAI, L.L.C. TODO: AVV mit OpenAI signieren. PDF→Text-Extraktion läuft seit Umstellung lokal (kein externer OCR-Subprozessor mehr). | Text-Embeddings für RAG / Similarity-Search (text-embedding-3-small) | Pseudonymisierte Text-Snippets (Tätigkeit, Maßnahmen-Titel) | USA — Standardvertragsklauseln + EU-US Data Privacy Framework | 🔴 TODO |
| Resend TODO: AVV-Vertragslage prüfen + ggf. EU-Alternative evaluieren. | Transaktionale E-Mails (Magic-Links, Reminders) | Empfänger-E-Mail-Adressen, Mail-Body-Templates | USA — Standardvertragsklauseln | 🔴 TODO |
| PandaDoc AVV-Entwurf in Review. | e-Signatur für Vollmachten und Verträge | Vertragsdokumente, Signatur-Metadaten, Empfänger-Daten | USA — Standardvertragsklauseln | 🟡 In Vorbereitung |
| Fillout TODO: AVV-Status klären, ggf. EU-Alternative. | Form-Builder für Onboarding-Formulare | Form-Submissions (Teilnehmer-Daten, Dokumente) | USA — Standardvertragsklauseln | 🔴 TODO |
| Memberspot AVV unterzeichnet. | Auslieferung von Lerninhalten an Teilnehmer:innen | E-Mail, Vor-/Nachname, Kurs-Zuordnung | Deutschland | ✅ Signiert |
| GitHub GitHub-DPA akzeptiert. | Source-Code-Verwaltung (kein Endkund:innen-PII) | Quellcode-Repositories, Entwickler-Metadaten, Issue-Tracker | USA — Standardvertragsklauseln | ✅ Standard-AVV akzeptiert |
Sub-Auftragsverarbeiter
Die hier gelisteten Auftragsverarbeiter setzen ihrerseits Sub-Auftragsverarbeiter ein. Die jeweilige aktuelle Liste findet sich in den verlinkten Datenschutzhinweisen der Provider.
Datenübertragung in Drittländer
Soweit Daten in Länder außerhalb der EU/EWR übertragen werden, sind geeignete Garantien gemäß Art. 46 DSGVO sichergestellt — entweder durch Standardvertragsklauseln (SCC, neue Version 2021) oder durch Zertifizierungsmechanismen wie das EU-US Data Privacy Framework.
Auskunft & Kontakt
Auf Anfrage stellen wir AVV-Auszüge und Sub-Prozessor-Listen zur Verfügung. Anfragen bitte an [TODO: dsb@…].
Dieses Dokument ist druckbar (Browser → Datei → Drucken).