Auftragsverarbeitung nach Art. 28 DSGVO
Subprozessoren
Eingesetzte Auftragsverarbeiter und Subprozessoren der TravelControl-Plattform. Stand 2026-05-12.
| Anbieter | Funktion | Sitz | Drittland | AVV |
|---|---|---|---|---|
Supabase Inc. SOC 2 Type II, HIPAA | Datenbank, Auth, Storage AVV gezeichnet (2026-05-02). Daten-Region EU/Frankfurt; Holding USA — SCC im DPA enthalten. | USA (Holding); EU-Region Frankfurt für Datenbank | Ja | ✓ vorhanden |
Vercel Inc. SOC 2 Type II | Hosting, CDN, Edge-Functions DPA online akzeptiert: vercel.com/legal/dpa. Server-Region konfigurierbar (EU); SCC im DPA. | USA | Ja | ✓ vorhanden |
Anthropic PBC | KI-API für Sentiment-Analyse von Support-Tickets DPA + SCC automatisch durch Akzeptanz der Commercial Terms of Service eingeschlossen. Personenbezogene Daten werden vor Übertragung pseudonymisiert (PII-Stripping + Hash). | USA | Ja | ✓ vorhanden |
Sentry GmbH | Error-Tracking, Observability DPA signiert; Hosting in EU-Region (de.sentry.io) — kein Drittlandtransfer. | Deutschland (EU-Region) | Nein (EU/EWR) | ✓ vorhanden |
MailerLite UAB | Newsletter-Versand (Marketing) AVV vorhanden. | Litauen (EU) | Nein (EU/EWR) | ✓ vorhanden |
Resend (Resend, Inc.) | Transaktions-E-Mail-Versand (Welcome-Mails, Magic-Link, Meeting-Bestätigung, QBR-Ready-Mail) Sprint-2 S2-1 (2026-05-12): DPA signiert über Resend Standard-Terms (https://resend.com/legal/dpa). Drittlandtransfer: SCC + EU-US Data Privacy Framework als Garantie. Verarbeitete Daten: E-Mail-Adresse + Inhalt (Welcome-Link / Termin-Daten / Customer-Org-Name). Speicherung max. 30 Tage in Resend-Logs. | USA (Delaware) | Ja | ✓ vorhanden |
Freshworks Inc. (Freshdesk) | Support-Ticket-System (Datenquelle) AVV vorhanden; EU-Hosting konfiguriert — kein Drittlandtransfer. Tickets fließen aus Freshdesk → TravelControl per API-Sync. | EU-Hosting | Nein (EU/EWR) | ✓ vorhanden |
Pipedrive OÜ | CRM DPA existiert und geprüft. | Estland (EU) | Nein (EU/EWR) | ✓ vorhanden |
Datagap | Externer Datenschutzbeauftragter (DSB) AVV unterzeichnet seit 12/2025 (Item TC-30D-021). | Deutschland (EU) | Nein (EU/EWR) | ✓ vorhanden |
GitHub, Inc. | Source-Code-Hosting, CI Verarbeitet keine produktiven Kundendaten, nur Code + Build-Logs — AVV nach Art. 28 DSGVO nicht erforderlich. | USA | Ja | nicht erforderlich |
✓ Status dieser Liste
Stand 2026-05-02: Alle AVVs / DPAs liegen vor bzw. sind akzeptiert. Verbleibend: juristische Final-Prüfung jeder einzelnen Vereinbarung durch unseren externen DSB Datagap (datagap.de) — insbesondere Drittland-Transfer-Folgen- abschätzungen (TIA) für Supabase, Vercel, Anthropic.