Stand: Juni 2026
Zur Bereitstellung unseres Dienstes greifen wir auf sorgfältig ausgewählte externe Dienstleister zurück, die in unserem Auftrag und nach unseren Weisungen personenbezogene Daten verarbeiten — sogenannte Auftragsverarbeiter (Art. 28 DSGVO). Mit jedem dieser Dienstleister haben wir einen Auftragsverarbeitungsvertrag (AVV) geschlossen, der die Verarbeitung auf den jeweils genannten Zweck beschränkt und ein angemessenes Schutzniveau sicherstellt.
Die Mehrheit unserer Sub-Prozessoren verarbeitet Daten ausschließlich innerhalb der Europäischen Union. Wo eine Verarbeitung in einem Drittland stattfindet, stützen wir die Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder auf Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, ergänzt um geeignete technische und organisatorische Maßnahmen. Die betroffenen Einträge sind in der Spalte „Internat. Transfer" entsprechend gekennzeichnet.
Liste der Sub-Prozessoren
Die folgenden Auftragsverarbeiter sind aktuell im Einsatz (Stand Juni 2026):
| Anbieter (Rechtsträger) | Sitz / Hosting | Zweck der Verarbeitung | Internat. Transfer |
|---|---|---|---|
| Supabase Inc. | AWS EU (Frankfurt, eu-central-1) | Datenbank, Authentifizierung, Dateispeicherung | Nein (EU) |
| Sendinblue GmbH (Brevo) | Berlin, DE; Hosting EU (Frankreich) | Transaktionale E-Mails (Auth, Systembenachrichtigungen) | Nein (EU) |
| Stripe Payments Europe Ltd. | Dublin, Irland | Zahlungsabwicklung, Subscription Billing | Nein (EU) |
| Mistral AI SAS | Paris, Frankreich | KI-Verarbeitung: Applicant-Chatbot, Dokumentenextraktion, Klassifikation | Nein (EU) |
| Locatiqs UG (Geoapify) | Berlin, DE; Hosting Hetzner DE | Adress-Autocomplete, Geocoding | Nein (EU) |
| Meta Platforms Ireland Ltd. (WhatsApp) | Dublin, Irland | WhatsApp Business API (Nutzerkommunikation nach Opt-in) | Ja (USA) |
| Heinlein Hosting GmbH (mailbox.org) | Berlin, DE | E-Mail-Dienst für Mietfall-Kommunikation | Nein (EU) |
| Microsoft Ireland Operations Ltd. (Azure) | Dublin, IE; RZ Germany West Central (Frankfurt) | Document Intelligence (OCR), Speech Services (Transkription) | Nein (EU) |
| Vercel Inc. | Covina, CA, USA | Application Hosting, Edge Functions, CDN + AI Gateway (Routing von KI-Anfragen an Modellanbieter) | Ja (USA) |
| Fly.io, Inc. | Chicago, IL, USA; Hosting EU (Frankfurt) | Container Hosting | Nein (EU) |
| Anthropic Ireland, Limited | EEA-Vertragsentität von Anthropic | KI: Vermieter-/WhatsApp-Assistent, via Vercel AI Gateway | USA (SCC) — in Prüfung |
| CookieYes Limited | Vereinigtes Königreich (Infrastruktur AWS, teils außerhalb UK) | Cookie-Consent-Management | UK (Angemessenheitsbeschluss) + ggf. SCC |
| PostHog Inc. | USA | Produkt-Analytik | Ja (USA) — SCC |
Übermittlung in Drittländer
Wo in der Spalte „Internat. Transfer" ein Drittland (z. B. USA) ausgewiesen ist, besteht für dieses Land kein Angemessenheitsbeschluss nach Art. 45 DSGVO. Die Übermittlung erfolgt in diesen Fällen auf Grundlage der Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c) DSGVO, ergänzt um geeignete Schutzmaßnahmen (u. a. Datenminimierung, Pseudonymisierung). Für das Vereinigte Königreich (CookieYes) liegt ein Angemessenheitsbeschluss der EU-Kommission vor.
Der genaue Transfer-Mechanismus für die über das Vercel AI Gateway bezogene KI-Verarbeitung (Anthropic Ireland, Limited) wird derzeit geprüft und in der Übersicht aktualisiert, sobald die Verifikation abgeschlossen ist.
AVV & Datenschutz
Die vertragliche Grundlage für den Einsatz dieser Sub-Prozessoren ist unser Auftragsverarbeitungsvertrag (AVV). Weitere Informationen dazu, welche personenbezogenen Daten wir zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten, findest du in unserer Datenschutzerklärung.
Bei Fragen zu unseren Auftragsverarbeitern wende dich an unsere für Datenschutz zuständige Stelle: datenschutz@locari.ai oder über das Kontaktformular.
Stand: Juni 2026