Unterauftragsverarbeiter

Liste gemäß Art. 28 Abs. 2 DSGVO in Verbindung mit AGB § 11b & Auftragsverarbeitungsvereinbarung (AVV)

Stand: 16. April 2026

Zweck dieser Liste

Im Rahmen der Bereitstellung der NexDeck-Plattform setzen wir technische Dienstleister ein, die im Sinne des Art. 28 DSGVO als Unterauftragsverarbeiter tätig werden. Diese Seite informiert transparent über alle aktuell eingesetzten Subprozessoren, den Verarbeitungszweck, die verarbeiteten Datenkategorien und die jeweilige Rechtsgrundlage für den Transfer.

Änderungen an dieser Liste werden gemäß AGB § 11b Abs. 5 mindestens 30 Tage vor Wirksamkeit per E-Mail an die im Konto hinterlegte Kontaktadresse angekündigt. Nutzer können der Hinzunahme neuer Subprozessoren aus berechtigten datenschutzrechtlichen Gründen widersprechen.

Abonnieren Sie den Subprozessor-Benachrichtigungs-Dienst über Ihre Konto-Einstellungen → Rechtliches.

Aktuell eingesetzte Subprozessoren

Vercel

Vercel Inc.

Hosting-Infrastruktur

Sitz: USA
Verarbeitungsregion: Frankfurt (eu-central-1)
Zweck: Bereitstellung der Web-Anwendung, Edge-Netzwerk, Deploy-Automatisierung
Datenkategorien: IP-Adresse, User-Agent
Request-Metadaten (URL, Statuscode)
Performance-Metriken
Transfergrundlage: EU-Standardvertragsklauseln + Data Privacy Framework (DPF)
Datenschutzerklärung: https://vercel.com/legal/privacy-policy · DPA

Supabase

Supabase, Inc.

Datenbank-, Auth- & Storage-Service

Sitz: USA
Verarbeitungsregion: Frankfurt (eu-central-1)
Zweck: Zentrale Multi-Tenant-Datenbank (PostgreSQL), Authentifizierung, Realtime-Updates, File Storage
Datenkategorien: Stamm- und Zugangsdaten (E-Mail, Name)
Geschäftsdaten (Rechnungen, Kunden, Projekte, Zeiterfassung)
Authentifizierungs-Tokens
Audit-Logs
Transfergrundlage: EU-Standardvertragsklauseln + DPA
Datenschutzerklärung: https://supabase.com/privacy · DPA

Amazon Web Services (AWS)

Amazon Web Services EMEA SARL

Cloud-Storage, E-Mail-Versand, OCR

Sitz: Luxemburg (Mutterkonzern USA)
Verarbeitungsregion: Frankfurt (eu-central-1) + Stockholm (eu-north-1)
Zweck: S3 Object Lock (WORM) für GoBD-konforme 10-Jahre-Archivierung, SES für transaktionale E-Mails, Textract für OCR, Bedrock für KI-Fallback
Datenkategorien: Finalisierte Rechnungs-PDFs (10 Jahre WORM)
Belege / Expense-Receipts
E-Rechnungen (ZUGFeRD XML)
DATEV-Exports (EXTF)
Transaktionale E-Mail-Metadaten (Open/Click Tracking)
Transfergrundlage: DPF + EU-Standardvertragsklauseln + GDPR DPA
Datenschutzerklärung: https://aws.amazon.com/de/privacy/ · DPA

Google Cloud Platform (Vertex AI, Document AI, Cloud Run)

Google Ireland Limited

KI-Modelle, Dokumentenverarbeitung, XSD-Validierung

Sitz: Irland (Mutterkonzern USA)
Verarbeitungsregion: europe-west1 (Belgien) für Claude; europe-west3 (Frankfurt) für Gemini & Document AI
Zweck: Claude Sonnet (Reasoning, via Vertex AI), Gemini 2.5 Flash (KB-Q&A, Vision-OCR, Embeddings), Document AI (Layout Parser für Belegerfassung), Cloud Run (E-Rechnung XSD-Validator)
Datenkategorien: Text-Prompts (mit PII-Redaktion vor Übertragung)
Bilder von Belegen / Plänen (temporär, keine Trainings-Nutzung)
E-Rechnung XML (zur Validierung)
Chat-Queries mit Tenant-Kontext
Transfergrundlage: EU-Datenresidenz (Frankfurt/Belgien) + DPF + Zero Data Retention + kein Training
Datenschutzerklärung: https://cloud.google.com/terms/data-processing-addendum · DPA

Anthropic (via AWS Bedrock — Fallback)

Amazon Web Services EMEA SARL (Vertrieb) / Anthropic PBC (Modelle)

KI-Modell-Fallback

Sitz: Luxemburg / USA
Verarbeitungsregion: eu-central-1 (Frankfurt)
Zweck: Claude Haiku als Fallback-Modell bei Vertex-AI-Ausfall oder Kostenoptimierung
Datenkategorien: Text-Prompts (mit PII-Redaktion)
Chat-Queries bei Fallback-Routing
Transfergrundlage: EU-Datenresidenz (Frankfurt) + DPF + AWS DPA + Anthropic Zero Data Retention
Datenschutzerklärung: https://aws.amazon.com/bedrock/

Deepgram

Deepgram, Inc.

Sprach-zu-Text (Streaming-STT)

Sitz: USA
Verarbeitungsregion: EU-Endpunkt (api.eu.deepgram.com)
Zweck: Echtzeit-Transkription für Sprach-Assistent und Voice-Commands (Nova-3 Modell)
Datenkategorien: Audio-Streams (während Nutzung, werden nicht dauerhaft gespeichert)
Transkribierter Text
Transfergrundlage: EU-Standardvertragsklauseln + DPF + Zero Data Retention
Datenschutzerklärung: https://deepgram.com/privacy

Azure OpenAI Whisper

Microsoft Ireland Operations Ltd.

Sprach-zu-Text (Batch-Transkription)

Sitz: Irland (Mutterkonzern USA)
Verarbeitungsregion: Sweden Central (EU)
Zweck: Batch-Transkription von Voice Notes (asynchron, z.B. nach Upload einer Sprachnotiz)
Datenkategorien: Audio-Dateien (nach Transkription ggf. gelöscht)
Transkribierter Text mit Tenant-Kontext
Transfergrundlage: EU-Datenresidenz (Sweden Central) + Microsoft Product Terms + Opt-Out für Trainings-Nutzung
Datenschutzerklärung: https://privacy.microsoft.com/ · DPA

Microsoft Azure Speech Services

Microsoft Ireland Operations Ltd.

Text-zu-Sprache (TTS)

Sitz: Irland
Verarbeitungsregion: westeurope (Niederlande)
Zweck: Sprachsynthese für Sprach-Assistent (de-DE-ConradNeural)
Datenkategorien: Text-Input zur Sprachausgabe
Stimm-Modell-Präferenz
Transfergrundlage: EU-Datenresidenz (westeurope) + Microsoft Product Terms
Datenschutzerklärung: https://privacy.microsoft.com/

Stripe Connect

Stripe Payments Europe Limited

Zahlungsabwicklung (Platform-Modell)

Sitz: Irland
Verarbeitungsregion: EU / weltweit
Zweck: Optionale Zahlungsabwicklung für Nutzer-Rechnungen ("Pay Now") via Stripe Connect Destination Charges. Plattform-Gebühren, KYC-Verifizierung des Connected Accounts.
Datenkategorien: Handelsregisterdaten der Nutzer (Connected Account Setup)
Zahlungsbeträge, Rechnungs-IDs, Plattform-Gebühren
Webhook-Events zu Kontostatus
Bankkontodaten werden ausschließlich von Stripe erhoben, NICHT von NexDeck gespeichert
Transfergrundlage: EU-Standardvertragsklauseln + DPF + Stripe Connect Account Agreement (SCAA)
Datenschutzerklärung: https://stripe.com/de/privacy · DPA

Unipile

Unipile SAS

Multi-Channel Messaging API

Sitz: Frankreich (EU)
Verarbeitungsregion: Frankreich
Zweck: Synchronisierter Posteingang für E-Mail (Gmail/Outlook), WhatsApp Business, LinkedIn, iCloud Mail + bidirektionale Kalender-Synchronisation. Hosted-Auth-Flow (keine Zugangsdaten werden bei NexDeck gespeichert).
Datenkategorien: Nachrichten-Inhalte (E-Mail-Bodies, WhatsApp-Chats, LinkedIn-DMs)
Anhänge, Kontaktlisten
Kalender-Events (Titel, Teilnehmer, Zeit, Ort)
Verbindungstoken (verschlüsselt gespeichert)
Transfergrundlage: EU-Ansässigkeit + DPA + technisch-organisatorische Maßnahmen
Datenschutzerklärung: https://www.unipile.com/privacy-policy/

Meta Platforms (via Unipile, nur bei WhatsApp-Nutzung)

Meta Platforms Ireland Ltd.

Messaging-Endpunkt (nur bei aktivem WhatsApp-Kanal)

Sitz: Irland (Mutterkonzern USA)
Verarbeitungsregion: Irland / USA
Zweck: Zustellung von WhatsApp-Nachrichten über WhatsApp Business API. Nur aktiv, wenn der Nutzer WhatsApp ausdrücklich verknüpft.
Datenkategorien: Telefonnummern der Endkunden
Nachrichteninhalte und Medien
Zustellungs- und Lesebestätigungen
Transfergrundlage: Meta DPA + DPF + EU-Standardvertragsklauseln
Datenschutzerklärung: https://www.whatsapp.com/legal/business-solution-terms/

LinkedIn (via Unipile, nur bei LinkedIn-Nutzung)

LinkedIn Ireland Unlimited Company

Messaging-Endpunkt (nur bei aktivem LinkedIn-Kanal)

Sitz: Irland
Verarbeitungsregion: EU
Zweck: Zustellung von LinkedIn-Nachrichten und Synchronisation von Kontakten. Nur bei ausdrücklicher Verknüpfung durch den Nutzer.
Datenkategorien: Messaging-Inhalte, Profilnamen, DM-Historie
Transfergrundlage: LinkedIn DPA + DPF
Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy

OneSignal

OneSignal, Inc. (EMEA HQ: London, UK)

Push-Benachrichtigungen

Sitz: USA (Muttergesellschaft); EU-Verarbeitung für EMEA-Kunden
Verarbeitungsregion: Primäre Rechenzentren in der Europäischen Union (Niederlande)
Zweck: Zustellung von Push-Benachrichtigungen auf iOS, Android und Web. Nutzt FCM (Android) und APNs (iOS) als Transport-Layer. EU/UK-IP-Adressen werden gemäß OneSignal-Standardkonfiguration nicht gespeichert.
Datenkategorien: Device-Token
Push-Payload (Titel, Textinhalt — Sanitizer aktiv, siehe push-sanitizer.ts)
Anonyme externe Nutzer-ID (Supabase-UUID, keine Klarnamen)
Transfergrundlage: EU-Datenresidenz (primäre Rechenzentren NL) + OneSignal DPA + EU-Standardvertragsklauseln für ggf. vorhandene Fallback-Transfers
Datenschutzerklärung: https://onesignal.com/privacy_policy · DPA

Google Firebase Cloud Messaging (FCM, via OneSignal)

Google Ireland Limited

Android-Push-Transport

Sitz: Irland
Verarbeitungsregion: EU / weltweit
Zweck: Zustellung von Push-Benachrichtigungen an Android-Geräte
Datenkategorien: Device-Token, Push-Payload
Transfergrundlage: Google DPA + DPF
Datenschutzerklärung: https://policies.google.com/privacy

Upstash (Redis + QStash Workflows)

Upstash Inc.

Event-/Workflow-Orchestrierung, Redis & Rate-Limiting

Sitz: USA
Verarbeitungsregion: eu-central-1 (Frankfurt)
Zweck: Asynchrone Hintergrund-Jobs (Rechnungserstellung, E-Mail-Versand, DATEV-Export, Dunning, Sync-Jobs) via QStash Workflows; Rate-Limiting und Session-Caching via Upstash Redis; zeitgesteuerte Nachrichten
Datenkategorien: Event-Payloads (Tenant-ID, Entity-IDs, minimale Geschäftsdaten)
Ausführungs-Logs der Workflows
IP-Adresse (temporär, Rate-Limiting)
Session-Tokens (kurzlebig)
Transfergrundlage: EU-Datenresidenz (Frankfurt) + DPF
Datenschutzerklärung: https://upstash.com/trust/privacy.pdf

Sentry

Functional Software, Inc.

Error-Tracking & Performance-Monitoring

Sitz: USA
Verarbeitungsregion: EU-Instanz (wenn konfiguriert)
Zweck: Erfassung von Laufzeitfehlern, Stack-Traces, Performance-Profiling zur Systemstabilisierung
Datenkategorien: Fehler-Stacktraces
URL-Pfad, anonymisierte User-ID
Browser-/Gerät-Infos
KEINE Formulareingaben oder sensible Geschäftsdaten (entsprechende Filter gesetzt)
Transfergrundlage: EU-Instanz + EU-Standardvertragsklauseln + DPF
Datenschutzerklärung: https://sentry.io/privacy/

Google Workspace (OAuth — nur bei Gmail/Calendar-Verknüpfung)

Google Ireland Limited

OAuth-Identitätsprovider (opt-in)

Sitz: Irland
Verarbeitungsregion: EU / weltweit
Zweck: Anmeldung und Kalender-/Mail-Synchronisation, wenn vom Nutzer aktiviert
Datenkategorien: E-Mail-Adresse, Name, Kalender-Scopes
Transfergrundlage: Google DPA + DPF
Datenschutzerklärung: https://policies.google.com/privacy

Microsoft Entra ID (OAuth — nur bei Outlook/Teams-Verknüpfung)

Microsoft Ireland Operations Ltd.

OAuth-Identitätsprovider (opt-in)

Sitz: Irland
Verarbeitungsregion: EU
Zweck: Anmeldung und Synchronisation mit Office 365 / Outlook, wenn vom Nutzer aktiviert
Datenkategorien: E-Mail-Adresse, Name, Organisations-Info (falls erlaubt)
Transfergrundlage: Microsoft DPA + DPF
Datenschutzerklärung: https://privacy.microsoft.com/

Apple Sign-In (OAuth — nur bei Apple-Login)

Apple Distribution International Ltd.

OAuth-Identitätsprovider (opt-in)

Sitz: Irland
Verarbeitungsregion: EU
Zweck: Anmeldung via Apple-ID (Pflichtangebot im iOS-App-Store)
Datenkategorien: Anonymisierte User-ID
Optional verschleierte E-Mail (Hide My Email)
Transfergrundlage: Apple DPA + DPF
Datenschutzerklärung: https://www.apple.com/legal/privacy/

Potentielle Fallback-Kategorien

Gemäß AGB § 11b Abs. 3 verwenden wir Anbieter-Kategorien. Innerhalb folgender Kategorien behalten wir uns vor, zusätzliche Anbieter einzusetzen oder bei Ausfall auf Fallback-Anbieter umzuschalten. Ein solcher Austausch innerhalb einer Kategorie mit gleichwertigem Schutzniveau gilt nicht als wesentliche Änderung dieser Liste.

Text-zu-Sprache-Fallback: Bei Ausfall von Azure Speech Services kann ein alternativer TTS-Anbieter eingesetzt werden (z.B. ElevenLabs Inc., Amazon Polly), sofern das Schutzniveau gleichwertig ist.
LLM-Fallback: Bei Kapazitäts-Ausfall der Primär-Modelle (Vertex AI Claude/Gemini) kann auf weitere LLM-Provider zurückgegriffen werden (z.B. Azure OpenAI, Mistral EU), sofern EU-Residenz und Zero Data Retention garantiert sind.
CDN / Edge-Caching: Zur Performance-Optimierung kann zusätzlich ein CDN eingesetzt werden (z.B. Cloudflare, Fastly), sofern EU-Routing und DPA vorhanden sind.

Änderungshistorie

17.04.2026 (abends) — OneSignal-Eintrag präzisiert: primäre Rechenzentren liegen in der EU (Niederlande), EMEA-HQ in London. EU/UK-IP-Adressen werden nicht gespeichert. Zusätzlich wurde auf NexDeck-Seite ein Push-Privacy-Sanitizer implementiert (siehe AGB § 11b) — Tenants können wählen, ob Push-Bodies volle Klarnamen enthalten (Default) oder auf Sperrbildschirm-Vorschau als Kategorie reduziert werden. ElevenLabs Inc. als dokumentierter Subprozessor entfernt — aktuell nicht im Einsatz, zukünftige TTS-Anbieter-Wechsel sind durch § 11b Abs. 3 abgedeckt (Kategorie-Ansatz).

17.04.2026 — Anthropic (Direct API) als Subprozessor entfernt. Chat-Titel-Generierung läuft nun ausschließlich über Vertex AI Claude Haiku (Belgien, europe-west1). Der bisherige US-Notfall-Fallback ist per „DSGVO Hard Fail“ im Claude-Client deaktiviert — fällt EU-Verarbeitung aus, wird der Dienst bewusst unterbrochen statt nach USA zu routen.

17.04.2026 — Migration der Workflow-Orchestrierung von Inngest, Inc. (USA) auf Upstash QStash Workflows (eu-central-1 Frankfurt). Inngest als Subprozessor entfernt, Upstash-Eintrag um Workflow-Funktion ergänzt. Keine Änderung an verarbeiteten Datenkategorien.

16.04.2026 — Initiale Veröffentlichung der Subprozessor-Liste. Umstellung von Azure OpenAI Embeddings / GPT-4o-mini auf Vertex AI Gemini (Frankfurt) und Vertex AI Claude (Belgien) als Primär-Provider. Azure OpenAI Whisper bleibt für Batch-STT aktiv.

Kontakt für Datenschutz-Fragen

Fragen zur Unterauftragsverarbeitung richten Sie bitte an: datenschutz@nexdeck.de

← Datenschutzerklärung AVV AGB Impressum