Anlage B – Subprocessor- und Änderungsprotokoll
Diese Anlage dokumentiert die aktuell eingesetzten Unterauftragsverarbeiter (Sub-Processors) sowie Änderungen an datenschutzrelevanten Systemen und Verträgen. Sie ergänzt die Vereinbarung gemäß Art. 28 DSGVO.
1. Aktuell eingesetzte Unterauftragsverarbeiter
| Anbieter | Region | Zweck | Vertragliche Grundlage | Letzte Prüfung |
|---|---|---|---|---|
| Vercel Inc. | EU (Frankfurt) / USA | Hosting, Build & Bereitstellung | DPA + SCC | 2025-01 |
| Supabase Inc. | EU (Dublin) / USA | Datenbank, Authentifizierung, Storage | DPA + SCC | 2025-01 |
| Resend Inc. | USA | Transaktionaler E-Mail-Versand | DPA + SCC | 2025-01 |
| OpenAI LLC (optional) | USA | KI-Textgenerierung (Onboarding / Automatisierung) | DPA + SCC | 2025-01 |
Alle Übermittlungen in Drittländer sind durch EU-Standardvertragsklauseln (SCC) abgesichert. Änderungen oder neue Sub-Processor werden dem Verantwortlichen vorab mitgeteilt.
2. Änderungs- und Prüfprotokoll
Diese Übersicht dokumentiert die internen und externen Prüfungen der eingesetzten Unterauftragsverarbeiter gemäß Art. 28 DSGVO. Alle Einträge mit Status geprüft wurden zuletzt vollständig kontrolliert und entsprechen dem vereinbarten Schutzniveau.
| Datum | Bereich / Dienstleister | Änderung / Maßnahme | Ergebnis / Maßnahme | Nächste Prüfung | Status | Referenz |
|---|---|---|---|---|---|---|
| 2025-10-21 | Vercel Inc. | Überprüfung DPA / SCC | keine Änderungen erforderlich | 2026-04 | geprüft | DPA |
| 2025-10-21 | Supabase Inc. | Überprüfung DPA / SCC | keine Änderungen erforderlich | 2026-04 | geprüft | DPA |
| 2025-10-21 | Resend Inc. | Überprüfung DPA / SCC | keine Änderungen erforderlich | 2026-04 | geprüft | DPA |
| 2025-10-21 | OpenAI LLC (optional) | DPA Link aktualisiert (neue URL) | keine weiteren Maßnahmen erforderlich | 2026-04 | geprüft | DPA |
Stand: Oktober 2025. Nächste turnusmäßige Gesamtprüfung: April 2026. Zwischenprüfungen erfolgen bei wesentlichen Anbieter- oder Vertragsänderungen.
3. Review- und Prüfintervall
| Prüfkategorie | Intervall | Dokumentation |
|---|---|---|
| Sub-Processor-Liste | halbjährlich | Kontrolle der DPA-Gültigkeit / SCC Links |
| TOM-Anlage A | halbjährlich | Sicherheits- und Backup-Check (intern) |
| Datenschutz-Review | jährlich | Prüfung durch Alexander Dahm oder beauftragten Partner |
Diese Anlage ist Bestandteil der Muster-AVV.
Änderungen werden versioniert und mit Commit-Nachweis im internen Docs-Verzeichnis dokumentiert.
Diese Anlage gehört zur Muster-AVV. Änderungen werden versioniert.
→ Zur Hauptvereinbarung