Datenschutz
Subprocessor-Liste
Übersicht aller technischen Subdienstleister, die im Rahmen unseres Betriebs Berührung mit personenbezogenen Daten haben können — mit Zweck, Standort, Rechtsgrundlage und Datenumfang. Verständnis-Hilfe für Datenschutzbeauftragte und Compliance-Teams.
| Anbieter | Zweck | Standort | Rechtsgrundlage | Datenumfang |
|---|---|---|---|---|
| Hetzner Online GmbH | Anwendungs-Hosting (Backend, PostgreSQL-Datenbank, Auth, SMTP-Mailrelay) | Deutschland (Falkenstein / Nürnberg) | AVV nach Art. 28 DSGVO | Survey-Antworten, Nutzerkonten, gesamte Anwendungsdaten |
| Flowluap GmbH | Betrieb des SMTP-Mailrelays (Mailcow) auf Hetzner-Infrastruktur | Deutschland | Konzern-AVV nach Art. 28 DSGVO | Versand transaktionaler E-Mails (Verifikation, Passwort-Reset, Welcome) |
| Cloudflare, Inc. | Hosting aller Frontend-Apps via Cloudflare Workers (Marketing-Website, App, Survey, Auth, Admin), CDN, DDoS-Schutz, DNS | EU-Edge (Frankfurt) · Hauptsitz USA | AVV nach Art. 28 DSGVO + EU-SCC + Cloudflare DPA | Routing aller HTTP-Anfragen inkl. Survey-Antworten im Transit. Antworten werden bei Cloudflare nicht gespeichert, sondern an die Hetzner-Backend-Infrastruktur weitergegeben. |
| Functional Software, Inc. (Sentry) | Fehler-Tracking (technische Logs aus Backend und Frontend) | EU-Region (Frankfurt) — sentry.io managed | AVV nach Art. 28 DSGVO + EU-SCC | Anwendungsfehler, Stack-Traces (keine Survey-Antworten) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland · Datenfluss EU + USA | EU-SCC + Stripe DPA | Rechnungs- und Zahlungsdaten (keine Survey-Antworten) |
| PostHog, Inc. | Produkt-Analytics auf der Marketing-Website | EU-Region (Frankfurt) · Konzernsitz USA | EU-SCC + PostHog DPA | Nutzungsverhalten Marketing-Website (keine Survey-Antworten) |
| Google Ireland Ltd. (Analytics & Ads) | Reichweitenmessung und Conversion-Tracking auf der Marketing-Website | Irland · Datenfluss EU + USA | EU-SCC + Google DPA, Einwilligung im Cookie-Banner | Marketing-Website (keine Survey-Antworten) |
| Google Ireland Ltd. (Workspace OAuth) | Single Sign-On via Google-Konto (optional) | Irland · Datenfluss EU + USA | EU-SCC + Google DPA | Authentifizierung — nur bei aktiver Wahl durch den Nutzer |
| Microsoft Ireland Operations Ltd. | Single Sign-On via Microsoft Entra (optional) | Irland · Datenfluss EU + USA | EU-SCC + Microsoft DPA | Authentifizierung — nur bei aktiver Wahl durch den Nutzer |
Was zählt als Subprocessor?
Im Sinne von Art. 28 Abs. 4 DSGVO sind Subprocessor alle Dienstleister, die wir mit der Verarbeitung personenbezogener Daten beauftragen, die im Rahmen unserer Leistungserbringung anfallen. Dazu zählen Hosting, E-Mail-Versand, Authentifizierung und Fehler-Tracking. Reine Marketing-Tools auf der öffentlichen Website (z. B. Reichweitenmessung) verarbeiten keine Survey-Antworten und sind in der Spalte „Datenumfang" entsprechend markiert.
Drittstaatentransfer
Wo Datenflüsse außerhalb der EU/EWR möglich sind, stützen wir die Übermittlung auf die EU-Standardvertragsklauseln (SCC) in Verbindung mit zusätzlichen technischen und organisatorischen Maßnahmen (TOM). Survey-Antworten verbleiben ausschließlich auf Servern in Deutschland.
Benachrichtigung über Änderungen
Kunden mit aktivem AVV werden mindestens 30 Tage vor Aufnahme eines neuen oder Wechsel eines bestehenden Subprocessors informiert. Eine Widerspruchsmöglichkeit ergibt sich aus dem AVV.
Fragen zur Subprocessor-Liste oder zu einem konkreten Anbieter beantworten wir gerne unter datenschutz@safe-mind.de.