Zurück zum AVV

Unterauftragsverarbeiter

Anlage 2 zum AVV | Stand: 2026.02

Übersicht

Diese Liste enthält alle Unterauftragsverarbeiter, die im Rahmen der Hebelki-Plattform personenbezogene Daten verarbeiten. Alle Anbieter wurden sorgfältig ausgewählt und verfügen über gültige Datenschutzvereinbarungen.

DPF= EU-US Data Privacy Framework zertifiziert
SCCs= Standard Contractual Clauses

Transfer Impact Assessments (TIA)

Bewertung der Datenübermittlungen in die USA gemäß Schrems II

Aktuelle Unterauftragsverarbeiter

Neon

SCCs

Datenbank (PostgreSQL)

USA (AWS)

DPA ansehen

Schutzmaßnahmen

  • 72h Breach-Benachrichtigung
  • SOC 2 Type II zertifiziert
  • Verschlüsselung at-rest (AES-256)
  • Automatische Backups

Transfermechanismus

Standard Contractual Clauses (SCCs)

OpenRouter

SCCs

KI/LLM API Gateway

USA

DPA ansehen

Schutzmaßnahmen

  • Zero Data Retention (ZDR) Option
  • Enterprise SCCs verfügbar
  • Keine Speicherung von Prompts
  • Modellauswahl durch Hebelki
  • API-Gateway für nachgelagerte KI-Anbieter

Transfermechanismus

Standard Contractual Clauses (SCCs)

Anthropic (via OpenRouter)

SCCs

KI-Modellanbieter (Claude)

USA

DPA ansehen

Schutzmaßnahmen

  • Zero Data Retention bei API-Nutzung
  • Keine Verwendung für Modelltraining
  • SOC 2 Type II zertifiziert
  • Transiente Verarbeitung nur während API-Anfrage

Transfermechanismus

Standard Contractual Clauses (SCCs)

Google (via OpenRouter)

SCCs

KI-Modellanbieter (Gemini)

USA

DPA ansehen

Schutzmaßnahmen

  • Zero Data Retention bei API-Nutzung
  • Keine Verwendung für Modelltraining
  • ISO 27001 und SOC 2 zertifiziert
  • Transiente Verarbeitung nur während API-Anfrage

Transfermechanismus

Standard Contractual Clauses (SCCs)

OpenAI

SCCs

Voice Realtime API + Whisper Transkription

USA

DPA ansehen

Schutzmaßnahmen

  • Voice Realtime API für Telefon-Assistent
  • Whisper Transkription (transient)
  • Zero Data Retention bei API-Nutzung
  • Keine Verwendung für Modelltraining
  • SOC 2 Type II zertifiziert

Transfermechanismus

Standard Contractual Clauses (SCCs)

Stripe

DPF Zertifiziert

Zahlungsabwicklung

USA

DPA ansehen

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • PCI DSS Level 1 zertifiziert
  • SOC 2 Type II zertifiziert
  • Verschlüsselung aller Zahlungsdaten
  • Kein Zugriff auf vollständige Kartendaten durch Hebelki

Transfermechanismus

Data Privacy Framework + SCCs

Clerk

DPF Zertifiziert

Authentifizierung

USA

DPA ansehen

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • Irische Datenschutzbehörde als Aufsicht
  • SOC 2 Type II
  • MFA und Session-Management

Transfermechanismus

Data Privacy Framework + SCCs

Twilio

SCCs

WhatsApp/SMS Messaging

USA

DPA ansehen

Schutzmaßnahmen

  • SCCs automatisch in ToS enthalten
  • Processor-Rolle standardmäßig
  • HIPAA-fähig
  • Nachrichtenprotokolle konfigurierbar

Transfermechanismus

Standard Contractual Clauses (SCCs)

Cloudflare R2

DPF Zertifiziert

Objektspeicherung (Bilder, Dateien)

EU

DPA ansehen

Schutzmaßnahmen

  • EU-US Data Privacy Framework zertifiziert
  • EU-Datenresidenz-Option
  • S3-kompatibel
  • Automatische Verschlüsselung

Transfermechanismus

EU Data Residency + DPF

Vercel

SCCs

App-Hosting (Edge Network)

USA/Global

DPA ansehen

Schutzmaßnahmen

  • GDPR-konform
  • Edge-Funktionen weltweit
  • Automatisches SSL
  • DDoS-Schutz inklusive

Transfermechanismus

Standard Contractual Clauses (SCCs)

Fly.io

SCCs

Worker-Services (n8n)

USA/EU

DPA ansehen

Schutzmaßnahmen

  • EU-Regionen bevorzugt genutzt
  • Region-Auswahl möglich (EU)
  • Container-Isolierung
  • Verschlüsselte Volumes

Transfermechanismus

Standard Contractual Clauses (SCCs) + EU-Region

SMTP Server (hebelki.de)

Self-Hosted EU

E-Mail-Versand

EU (Deutschland)

Schutzmaßnahmen

  • Selbst gehostet in EU
  • Kein Datentransfer außerhalb EU
  • TLS-Verschlüsselung
  • Keine Drittanbieter-Abhängigkeit

Transfermechanismus

Kein Transfer (EU-Hosting)

Transfermechanismen erklärt

EU-US Data Privacy Framework (DPF)

US-Unternehmen können sich beim DPF selbst zertifizieren, um EU-Standards zu erfüllen. Die Zertifizierung wird vom US-Handelsministerium überwacht und ist für GDPR-konforme Datenübertragungen anerkannt.

Standard Contractual Clauses (SCCs)

Von der EU-Kommission genehmigte Vertragsklauseln für internationale Datentransfers. Module 2 (Controller → Processor) und Module 3 (Processor → Sub-processor) sind relevant.

EU-Datenresidenz

Einige Anbieter ermöglichen die Speicherung von Daten ausschließlich in der EU, wodurch kein internationaler Datentransfer stattfindet.

Änderungsmitteilungen

Mitteilungsfrist: Hebelki informiert Sie mindestens 14 Tage vor Aufnahme eines neuen Unterauftragsverarbeiters per E-Mail.

Widerspruch: Sie können innerhalb von 14 Tagen aus wichtigem Grund widersprechen. Bei berechtigtem Widerspruch und keiner Einigung besteht ein außerordentliches Kündigungsrecht.

Aktualisierungen: Diese Liste wird regelmäßig aktualisiert. Die aktuelle Version ist immer unter dieser URL abrufbar.

Zusammenfassung

AnbieterZweckStandortStatus
NeonDatenbank (PostgreSQL)USA (AWS)SCCs
OpenRouterKI/LLM API GatewayUSASCCs
Anthropic (via OpenRouter)KI-Modellanbieter (Claude)USASCCs
Google (via OpenRouter)KI-Modellanbieter (Gemini)USASCCs
OpenAIVoice Realtime API + Whisper TranskriptionUSASCCs
StripeZahlungsabwicklungUSADPF Zertifiziert
ClerkAuthentifizierungUSADPF Zertifiziert
TwilioWhatsApp/SMS MessagingUSASCCs
Cloudflare R2Objektspeicherung (Bilder, Dateien)EUDPF Zertifiziert
VercelApp-Hosting (Edge Network)USA/GlobalSCCs
Fly.ioWorker-Services (n8n)USA/EUSCCs
SMTP Server (hebelki.de)E-Mail-VersandEU (Deutschland)Self-Hosted EU

Stand: 2026.02 | Version wird bei Änderungen aktualisiert
Bei Fragen wenden Sie sich an privacy@hebelki.de