Wir setzen folgende Subprocessoren zur Erbringung unseres SaaS-Dienstes ein. Alle Subprocessoren sind durch AVV gem. Art. 28 DSGVO oder vergleichbare Vereinbarungen vertraglich gebunden.
Wir verpflichten uns, Änderungen dieser Liste mindestens 30 Tage vor Wirksamkeit per E-Mail an alle Auftraggeber anzukündigen. Du hast in dieser Frist ein Sonderkündigungsrecht, falls du dem neuen Subprocessor nicht zustimmst.
Kurs-Metadaten, anonymisierte Buchungsstatistiken, Support-Anfragetexte (pseudonymisiert; ohne Passwörter, Zahlungsdaten, Ausweis- oder Gesundheitsdaten)
Cloudflare
IP-Adressen (für DDoS-Schutz und DNS-Auflösung), keine personenbezogenen Plattform-Inhalte
pCloud
Verschlüsselte Datenbank-Backups (AES-256 at-rest); keine unverschlüsselten Klartextdaten
Drittland-Transfer-Garantien
Bei Subprocessoren in Drittländern (USA) erfolgt der Transfer auf Basis:
EU-US Data Privacy Framework (DPF) — alle US-Anbieter dieser Liste sind aktiv DPF-zertifiziert. Wir verifizieren den DPF-Status quartalsweise über dataprivacyframework.gov.
EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO, Fassung Durchführungsbeschluss (EU) 2021/914 — als Fallback bei Wegfall des DPF.