Anlage 2 zum AVV. Letzte Aktualisierung: 2026-05-05
Folgende Subunternehmer sind im Sinne des Art. 28 Abs. 2 DSGVO genehmigt. Eine Änderung wird dem Verantwortlichen mit mindestens 30 Tagen Vorlauf mitgeteilt.
| Subunternehmer | Sitz | Datenstandort | Zweck | Daten | DPA-Status |
|---|---|---|---|---|---|
| Vercel Inc. | USA | EU (FRA, CDG via Edge-Network) | Hosting des Frontends | Anonyme Edge-Zugriffsdaten, keine Inhaltspersistenz | DPA mit Standardvertragsklauseln |
| Supabase Inc. | USA | EU (AWS eu-central-1, Frankfurt) | Datenbank (Postgres), Authentifizierung, Storage | Sämtliche personenbezogenen Anwendungsdaten | DPA mit Standardvertragsklauseln + EU-Residenz |
| Resend Inc. | USA | EU (Frankfurt) | Versand transaktionaler E-Mails | E-Mail-Adresse, Versand-Metadaten — keine Inhalte sensibler Kategorien | DPA mit Standardvertragsklauseln |
Hinweise
Datenresidenz
Sämtliche personenbezogenen Daten werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert. Backups werden ebenfalls in EU-Rechenzentren gehalten.
Drittlandsübermittlungen
Es findet keine Übermittlung in Drittländer statt. Vercel und Supabase haben EU-Datenresidenz vertraglich zugesichert; ein Zugriff durch US-amerikanische Behörden ist durch die Standardvertragsklauseln und ergänzende Maßnahmen (Verschlüsselung at-rest, transparenz-orientierte Provider) nach Schrems-II-Bewertung als ausreichend abgesichert.
Geplante zukünftige Subunternehmer
Zum jetzigen Zeitpunkt sind keine weiteren Subunternehmer geplant. Für zukünftige Erweiterungen (z. B. Wearable-Integration, externe Übersetzungsdienste, Zahlungsanbieter) wird der Verantwortliche im Rahmen von § 5.4 AVV informiert.
Audit-Recht
Der Verantwortliche kann Einsicht in die DPAs der Subunternehmer auf schriftliche Anfrage verlangen.