Eingesetzte Subunternehmer
Stand: 26. April 2026
Zur Erbringung der DRIFT-Order-Plattform setzen wir die folgenden Subunternehmer (Auftragsverarbeiter im Sinne des Art. 28 DSGVO) ein. Mit jedem besteht ein Vertrag zur Auftragsverarbeitung mit den von der EU-Kommission empfohlenen Standardvertragsklauseln, soweit eine Übermittlung in ein Drittland erfolgt.
Tenants werden mindestens 30 Tage vor Hinzunahme oder Wechsel eines Subunternehmers per E-Mail informiert (siehe AVV § 4 Abs. 3) und haben aus wichtigem Grund ein Widerspruchsrecht.
| Anbieter | Zweck | Sitz | Drittland | DPA |
|---|---|---|---|---|
| Hostinger International Ltd. | VPS-Hosting (App + Datenbank + Backups) | Zypern (EU) | Nein | DPA Hostinger International Ltd. → |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung Storefront + Subscription-Billing | Irland (EU); Konzern in USA | Nein | DPA Stripe Payments Europe Ltd. → |
| ElevenLabs Inc. SCC + EU-US Data Privacy Framework; Pseudonymisierung wo möglich; pro Tenant max. 1 Voice-Clone, automatische Löschung bei Ersatz | Voice-Agent (Speech-to-Text, Text-to-Speech, Konversations-KI, Sprachaufzeichnungen); Instant Voice Cloning (synthetische Stimm-Modelle aus Audio-Samples, ausschließlich mit ausdrücklicher Einwilligung der Stimm-Person nach Art. 9 DSGVO) | USA | ⚠ Ja | DPA ElevenLabs Inc. → |
| Anthropic, PBC SCC; vertraglich kein Modell-Training auf API-Daten | KI-Generierung von Voice-Agent-System-Prompts und Knowledge-Base | USA | ⚠ Ja | DPA Anthropic, PBC → |
| Resend Inc. SCC + EU-US DPF | Transaktions-Emails (Bestellbestätigungen, Passwort-Reset, Backup-Alerts) | USA | ⚠ Ja | DPA Resend Inc. → |
| GitHub, Inc. Nur Code + Deployment-Logs, keine Endkunden-Daten | Source-Code-Versionierung + CI/CD-Deployment | USA | ⚠ Ja | DPA GitHub, Inc. → |
| Google LLC (Cloud DNS / DoH) Übermittlung beschränkt auf Domain-Namen | DNS-over-HTTPS-Auflösung für Custom-Domain-Verifizierung | USA | ⚠ Ja | DPA Google LLC (Cloud DNS / DoH) → |
| Google LLC (Maps) Wird pro Storefront vom jeweiligen Tenant aktiviert; geplant Q3/2026 | Standortanzeige im Storefront — Click-to-Load (statische Vorschau, interaktive Karte erst nach aktivem Klick des Endkunden) | USA | ⚠ Ja | DPA Google LLC (Maps) → |
Drittland-Transfer (USA)
Für die mit „⚠ Ja" gekennzeichneten Anbieter findet eine Übermittlung in die USA statt. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Modul 2 / Modul 3) sowie — soweit zertifiziert — des EU-US Data Privacy Framework. Trotz dieser Garantien besteht das nach dem „Schrems-II"-Urteil des EuGH bekannte Risiko des Zugriffs durch US-Behörden (FISA 702, Cloud Act). DRIFT Order minimiert dieses Risiko durch Datensparsamkeit und Pseudonymisierung wo technisch möglich.