Subprozessoren

Dienstleister, die für Betrieb, Anmeldung, Abrechnung, E-Mail, Storage oder AI-Verarbeitung eingesetzt werden können.

Stand: 28.05.2026Deutschland- und EU-relevante Pflichten berücksichtigtJuristische Endfreigabe vor zahlungspflichtigem Livegang erforderlich

Launch-Prüfung

Anwalt / Datenschutzbeauftragter vor zahlungspflichtigem Livegang

Register-, Steuer-, Rechnungs- und Zahlungsdaten final verifizieren
Subprozessoren, Regionen, TOMs und Transfermechanismen final dokumentieren
AVV/DPA, AGB, Widerruf, Kündigung und Datenschutzerklärung final juristisch freigeben
Consent-Management aktivieren, bevor optionale Tracking- oder Marketing-Technologien eingebunden werden

E-Mail-/Passwort-Login ist im Code als serverseitig gehashter Credential-Zugang vorbereitet.
Google OAuth/OpenID Connect ist im Code als freiwillige Login-Option vorbereitet.
Aktive Zahlungs-, Newsletter-, Marketing-, Heatmap- oder externe Analytics-Skripte wurden im aktuellen Web-Code-Audit nicht als produktive Website-Technologie freigegeben.
AI-Modellanbieter, produktives Hosting, Transaktionsmail, Storage, Monitoring und Zahlungsabwicklung müssen für den jeweiligen Serverbetrieb konkret dokumentiert werden.
Produktive Kundendaten dürfen nur über freigegebene Subprozessoren und freigegebene Betriebsmodi verarbeitet werden.

Hosting und Infrastruktur: Server, Datenbank, Speicher, Netzwerk, Backups und technische Betriebsumgebung.
Authentifizierung: Google OAuth/OpenID Connect, wenn Nutzer diese Login-Methode auswählen.
Zahlung und Abrechnung: Zahlungsanbieter, Rechnungsstellung, Banking, Steuer- und Buchhaltungsprozesse, soweit aktiviert.
E-Mail und Kommunikation: Transaktionsmails für Login, Trial, Rechnungen, Sicherheit, Kündigung, Datenschutz und Support.
AI-Verarbeitung: Modellanbieter oder lokale Modelle für digitale Mitarbeiter, Zusammenfassungen, Klassifikation, Evidence Packs und Workflows, soweit im Kundenkontext freigegeben.
Monitoring und Sicherheit: Logging, Fehleranalyse, Missbrauchsschutz, Verfügbarkeitsüberwachung und Sicherheitsereignisse.

Subprozessoren werden nach Anbietername, Zweck, Datenkategorie, Standort, Region, Transfermechanismus und Schutzmaßnahmen dokumentiert.
B2B-Kunden erhalten die jeweils aktuelle Liste im Rahmen des AVV/DPA-Prozesses.
Wesentliche Änderungen werden nach dem vereinbarten AVV-Verfahren mitgeteilt.
Subprozessoren dürfen Kundendaten nur im dokumentierten Zweck und im Rahmen der Weisungen verarbeiten.
Kunden erhalten je nach Vertrag eine Widerspruchs- oder Freigabemöglichkeit für neue produktive Subprozessoren.

Produktive Drittlandtransfers, produktive AI-Subprozessoren und Verarbeitung besonderer Kategorien personenbezogener Daten bleiben ohne ausdrückliche Freigabe gesperrt.
Wenn ein neuer Anbieter für Hosting, E-Mail, Payment, Storage, Monitoring oder AI eingesetzt wird, muss die Subprozessorliste vor produktiver Nutzung aktualisiert werden.
Fehlt für einen Anbieter die dokumentierte Rechtsgrundlage, der AVV/DPA-Status oder der Transfermechanismus, darf er für Kundendaten nicht produktiv genutzt werden.