Zum Hauptinhalt springen
Zurück zum AVV

Unterauftragsverarbeiter

Anlage 2 zum AVV | Stand: 2026.03.27

Übersicht

Diese Liste enthält alle Unterauftragsverarbeiter, die im Rahmen der Hebelki-Plattform personenbezogene Daten verarbeiten. Alle Anbieter wurden sorgfältig ausgewählt und verfügen über gültige Datenschutzvereinbarungen.

DPF= EU-US Data Privacy Framework zertifiziert
SCCs= Standard Contractual Clauses

Transfer Impact Assessments (TIA)

Bewertung der Datenübermittlungen in die USA gemäß Schrems II

Aktuelle Unterauftragsverarbeiter

Hetzner Online GmbH

Self-Hosted EU

VPS-Hosting, Datenbank, Objektspeicher, E-Mail

EU (Falkenstein, Deutschland)

DPA ansehen

Schutzmaßnahmen

  • Dedicated VPS in Falkenstein, Deutschland
  • PostgreSQL + pgvector (selbst gehostet, Docker)
  • S3-kompatible Objektspeicherung (Dokumente, Bilder)
  • E-Mail-Hosting (booking@, info@hebelki.de)
  • ISO 27001 zertifiziertes Rechenzentrum
  • Kein Datentransfer außerhalb der EU

Transfermechanismus

Kein Transfer (EU-Hosting, Deutschland)

Google Cloud (Vertex AI)

DPF Zertifiziert

KI-Chatbot, Embeddings, Spracherkennung, Sprachsynthese

EU (europe-west4, Niederlande)

DPA ansehen

Schutzmaßnahmen

  • Vertex AI (EU — europe-west4): Gemini 2.5 Pro für Chat, text-embedding-005 für Embeddings
  • Google Cloud Speech-to-Text (EU — europe-west4): Spracherkennung für Web und WhatsApp
  • Google Gemini: Sprachsynthese (TTS) für Voice Agent
  • Keine Verwendung für Modelltraining
  • ISO 27001, SOC 2 Type II zertifiziert
  • Datenverarbeitung ausschließlich in der EU

Transfermechanismus

EU-Hosting (kein Drittlandtransfer)

Stripe

DPF Zertifiziert

Zahlungsabwicklung

USA

DPA ansehen

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • PCI DSS Level 1 zertifiziert
  • SOC 2 Type II zertifiziert
  • Verschlüsselung aller Zahlungsdaten
  • Kein Zugriff auf vollständige Kartendaten durch Hebelki

Transfermechanismus

Data Privacy Framework + SCCs

Clerk

DPF Zertifiziert

Authentifizierung

USA

DPA ansehen

Schutzmaßnahmen

  • EU-US Data Privacy Framework (DPF) zertifiziert
  • Irische Datenschutzbehörde als Aufsicht
  • SOC 2 Type II
  • MFA und Session-Management

Transfermechanismus

Data Privacy Framework + SCCs

Twilio

SCCs

WhatsApp/SMS Messaging

USA

DPA ansehen

Schutzmaßnahmen

  • SCCs automatisch in ToS enthalten
  • Processor-Rolle standardmäßig
  • HIPAA-fähig
  • Nachrichtenprotokolle konfigurierbar

Transfermechanismus

Standard Contractual Clauses (SCCs)

Meta Platforms Ireland Ltd

DPF Zertifiziert

WhatsApp Cloud API — Nachrichtenübermittlung

EU (Dublin, Irland) / USA

DPA ansehen

Schutzmaßnahmen

  • WhatsApp Cloud API für Kundennachrichten
  • Verarbeitung von Telefonnummern und Nachrichteninhalten
  • EU-US Data Privacy Framework (DPF) zertifiziert
  • Daten werden gemäß Meta-Richtlinien nicht für Werbezwecke verwendet
  • Nachrichteninhalte Ende-zu-Ende verschlüsselt (WhatsApp-Protokoll)

Transfermechanismus

Data Privacy Framework + SCCs

Transfermechanismen erklärt

EU-US Data Privacy Framework (DPF)

US-Unternehmen können sich beim DPF selbst zertifizieren, um EU-Standards zu erfüllen. Die Zertifizierung wird vom US-Handelsministerium überwacht und ist für GDPR-konforme Datenübertragungen anerkannt.

Standard Contractual Clauses (SCCs)

Von der EU-Kommission genehmigte Vertragsklauseln für internationale Datentransfers. Module 2 (Controller → Processor) und Module 3 (Processor → Sub-processor) sind relevant.

EU-Datenresidenz

Einige Anbieter ermöglichen die Speicherung von Daten ausschließlich in der EU, wodurch kein internationaler Datentransfer stattfindet.

Änderungsmitteilungen

Mitteilungsfrist: Hebelki informiert Sie mindestens 14 Tage vor Aufnahme eines neuen Unterauftragsverarbeiters per E-Mail.

Widerspruch: Sie können innerhalb von 14 Tagen aus wichtigem Grund widersprechen. Bei berechtigtem Widerspruch und keiner Einigung besteht ein außerordentliches Kündigungsrecht.

Aktualisierungen: Diese Liste wird regelmäßig aktualisiert. Die aktuelle Version ist immer unter dieser URL abrufbar.

Zusammenfassung

AnbieterZweckStandortStatus
Hetzner Online GmbHVPS-Hosting, Datenbank, Objektspeicher, E-MailEU (Falkenstein, Deutschland)Self-Hosted EU
Google Cloud (Vertex AI)KI-Chatbot, Embeddings, Spracherkennung, SprachsyntheseEU (europe-west4, Niederlande)DPF Zertifiziert
StripeZahlungsabwicklungUSADPF Zertifiziert
ClerkAuthentifizierungUSADPF Zertifiziert
TwilioWhatsApp/SMS MessagingUSASCCs
Meta Platforms Ireland LtdWhatsApp Cloud API — NachrichtenübermittlungEU (Dublin, Irland) / USADPF Zertifiziert

Stand: 2026.03.27 | Version wird bei Änderungen aktualisiert
Bei Fragen wenden Sie sich an privacy@hebelki.de