Demo ansehen

Sub-Auftragsverarbeiter

Verantwortlicher (Auftraggeber): Tenant von Wirtix
Auftragsverarbeiter: Wirtix, Tobias Hintzsche, Sanderglacisstraße 7, 97072 Würzburg
Stand: 2026-05-27

Der Verantwortliche genehmigt mit Abschluss des AVV folgende Unterauftragsverarbeiter. Wirtix verpflichtet jeden Unterauftragsverarbeiter vertraglich auf datenschutzrechtliche Pflichten substantiell vergleichbar mit den Pflichten des AVV nach Art. 28 Abs. 4 DSGVO.

Übersicht

#

Anbieter

Sitz

Verarbeitungsregion

Zweck

Drittlandtransfer-Garantie

1

Vercel Inc.

USA

EU (Frankfurt fra1) + USA (Edge)

Hosting, Functions, Blob Storage, KV, WAF, CDN, AI Gateway

DPF + SCC

2

Neon Inc.

USA

EU (AWS eu-central-1 Frankfurt)

Postgres-Datenbank

DPF + SCC

3

Clerk Inc.

USA

USA

Authentifizierung, Session-Management, Org-Management

DPF (Adequacy Decision 10.07.2023)

4

Resend Inc.

USA

EU (eu-west-1 Ireland) — verifiziert 2026-05-26

Transaktions-Emails, Sending Domains

DPF + SCC

5

Stripe Payments Europe Ltd.

Irland

EU

Zahlungsabwicklung, Abonnements

Innerhalb EWR — keine Drittland-Garantie nötig

6

Upstash Inc.

USA

EU (Frankfurt)

Rate-Limiting, Domain-Cache (KV)

DPF + SCC

7

Functional Software Inc. (Sentry)

USA

EU-Instanz (de.sentry.io Frankfurt) — verifiziert 2026-05-26

Error-Tracking, Performance-Monitoring

DPF + SCC

8

Gladia SAS

Frankreich (Paris)

EU

Audio-Transkription (Voice-Input des KI-Assistenten)

Innerhalb EWR — keine Drittland-Garantie nötig

9

Google Ireland Ltd.

Irland

EU

Google Analytics 4 (per Tenant via OAuth)

Innerhalb EWR

10

Meta Platforms Ireland Ltd.

Irland

EU + USA (Konzern)

Posting an Instagram Graph API (per Tenant via OAuth)

EWR-Sitz; Konzern-Weitergabe an Meta Platforms Inc. (USA) via DPF

11

650 Industries, Inc. (Betreiberin von Expo)

USA (Palo Alto, CA)

USA

Push-Benachrichtigungs-Relay für die Wirtix-Mobile-App

DPF (Angemessenheitsbeschluss Art. 45 DSGVO)

Hinweis zu KI-Modellen: Wirtix nutzt KI-Sprachmodelle ausschließlich über das Vercel AI Gateway (Sub-Processor #1). Es besteht kein direktes Vertragsverhältnis zwischen Wirtix und den dahinter liegenden Modell-Anbietern (z. B. Anthropic, Google Gemini, OpenAI). Die Modell-Anbieter sind Sub-Prozessoren von Vercel; ihre aktuelle Liste sowie Drittlandtransfer-Garantien ergeben sich aus der Vercel-Sub-Processor-Liste (https://vercel.com/legal/sub-processors). Zero Data Retention (ZDR) ist team-weit aktiviert — Prompts und Antworten werden nach Request-Abschluss permanent gelöscht, keine Persistenz, kein Training.

1. Vercel Inc.

  • Anschrift: 440 N Barranca Ave #4133, Covina, CA 91723, USA
  • EU-Vertreter: Vercel B.V., Niederlande
  • Verarbeitete Datenkategorien: Alle in Wirtix verarbeiteten Daten (Tenant-Inhalte, Logs, Caching, Email-Metadaten, AI-Prompts)
  • Verarbeitungszweck: Hosting der Wirtix-Plattform inkl. Serverless Functions, Persistenz (Blob, KV), Edge-Routing, AI-Gateway-Routing
  • Region-Konfiguration: Functions in fra1 (Frankfurt), Edge-Routing global
  • Drittlandtransfer: Ja (USA für Control-Plane, Edge-Cache global). Garantie: DPF-Zertifizierung + Standardvertragsklauseln (SCC)
  • DPA: https://vercel.com/legal/dpa
  • Sub-Processors-Liste: https://vercel.com/legal/sub-processors
  • Trust Center: https://security.vercel.com/

2. Neon Inc.

  • Anschrift: 209 Eddy Street, Apt 4, Ithaca, NY 14850, USA
  • Verarbeitete Datenkategorien: Alle Tenant-Inhalte, User-Accounts, Conversations, AI-Tool-Calls, OAuth-Tokens (verschlüsselt)
  • Verarbeitungszweck: Persistente Datenhaltung (PostgreSQL)
  • Region-Konfiguration: AWS eu-central-1 (Frankfurt)
  • Drittlandtransfer: Indirekt über US-Mutterkonzern (CLOUD Act). Garantie: DPF + SCC
  • DPA: https://neon.tech/dpa
  • Backup-Strategie: Neon PITR-Branches, EU-intern

3. Clerk Inc.

  • Anschrift: 660 King Street, San Francisco, CA 94107, USA
  • EU-Vertreter nach Art. 27 DSGVO: VeraSafe Ltd., 33 Pearse Street, Dublin 2, Irland
  • Verarbeitete Datenkategorien: Email-Adresse, Passwort-Hash, Session-Cookies, Org-Zugehörigkeit, ggf. Profilbild
  • Verarbeitungszweck: Authentifizierung der Wirtix-Tenant-User, Session-Management, Multi-Tenant Org-Membership
  • Region-Konfiguration: Hosting nur USA (keine EU-Region verfügbar Stand 2026-05)
  • Drittlandtransfer: Ja (USA). Garantie: DPF-Zertifizierung nach Adequacy Decision der EU-Kommission vom 10.07.2023 (C(2023) 4745 final) — vollwertige Angemessenheitsentscheidung nach Art. 45 DSGVO
  • DPA: https://clerk.com/legal/dpa
  • GDPR-Notice: https://clerk.com/legal/gdpr

4. Resend Inc.

  • Anschrift: 2261 Market Street #5039, San Francisco, CA 94114, USA
  • Verarbeitete Datenkategorien: Email-Adressen Empfänger (Tenants + deren Endkunden), Email-Inhalte (Welcome, Trial-Reminder, Custom-Domain-Mails)
  • Verarbeitungszweck: Zustellung transaktionaler Emails, Verwaltung Custom Sending Domains
  • Region-Konfiguration: Alle Sending Domains (app.wirtix.de, inbox.wirtix.de, wirtix.de, sowie Tenant-Custom-Domains) verifiziert auf eu-west-1 (Ireland). Stand: 2026-05-26
  • Drittlandtransfer: Daten werden in Irland (EWR) verarbeitet. Konzern-Mutterstruktur in USA — Garantie für etwaige interne Weiterleitung: DPF + SCC
  • DPA: https://resend.com/legal/dpa

5. Stripe Payments Europe Ltd.

  • Anschrift: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
  • Verarbeitete Datenkategorien: Tenant-Billing-Daten (Name, Anschrift, USt-ID, Zahlungsmittel-Metadaten — Karten-Daten direkt bei Stripe, niemals bei Wirtix)
  • Verarbeitungszweck: Abonnement-Verwaltung, Zahlungsabwicklung, Rechnungsstellung, Trial-Management
  • Drittlandtransfer: Stripe-EU-Konzerngesellschaft in Irland, Verarbeitung innerhalb EWR. Konzern-interne Weitergabe an Stripe Inc. (USA) ggf. via DPF + SCC abgedeckt
  • DPA: https://stripe.com/legal/dpa

6. Upstash Inc.

  • Anschrift: 800 W El Camino Real Suite 180, Mountain View, CA 94040, USA
  • Verarbeitete Datenkategorien: Domain→Tenant-Mappings, Rate-Limit-Counter (IP-basiert, kurzlebig)
  • Verarbeitungszweck: Performance-Cache für Domain-Lookups (Multi-Tenant Routing), Rate-Limiting gegen Brute-Force & Spam
  • Region-Konfiguration: EU (Frankfurt)
  • Drittlandtransfer: Indirekt über US-Mutterkonzern. Garantie: DPF + SCC
  • DPA: https://upstash.com/trust/dpa

7. Functional Software Inc. (Sentry)

  • Anschrift: 132 Hawthorne Street, San Francisco, CA 94107, USA
  • Verarbeitete Datenkategorien: Error-Stack-Traces, Tenant-IDs (als Tag), HTTP-Request-Metadaten, ggf. User-IDs (kein Klartext-Email), Browser-Replays bei Errors
  • Verarbeitungszweck: Fehler-Tracking, Performance-Monitoring, Incident-Response
  • Region-Konfiguration: Account auf EU-Instanz (de.sentry.io, Frankfurt) — verifiziert 2026-05-26
  • Drittlandtransfer: Verarbeitung innerhalb EWR (Frankfurt). Konzern-Mutterstruktur in USA — Garantie für etwaige interne Weiterleitung: DPF + SCC
  • DPA: https://sentry.io/legal/dpa/

8. Gladia SAS

  • Anschrift: 226 Bd Voltaire, 75011 Paris, Frankreich
  • Verarbeitete Datenkategorien: Sprachaufnahmen (Audio-Snippets aus Voice-Input des KI-Assistenten), zugehörige Transkripte
  • Verarbeitungszweck: Speech-to-Text-Transkription für Voice-Befehle im Wirtix-Admin und in der Mobile-App
  • Region-Konfiguration: Im Starter-Tier von Gladia ist keine explizite Region-Auswahl im UI verfügbar; Gladia hat seinen Hauptsitz und seine primären Server in Paris, Frankreich. Für Enterprise-Konten ist Multi-Region-Hosting wählbar — sollte bei Wachstum von Wirtix nachgezogen werden.
  • Drittlandtransfer: Nach Anbieter-Auskunft Verarbeitung innerhalb EWR (Frankreich). Bei dedizierter Region-Garantie via Enterprise-Plan zukünftig kontraktuell fixierbar.
  • Compliance-Profil: GDPR, SOC 2 Type 2, ISO 27001, HIPAA
  • Datenhaltung: Audio-Inputs werden nach Transkription nicht in Wirtix persistiert; Gladia-seitige Retention nach DPA
  • DPA: auf Anfrage über Gladia-Account
  • Website: https://www.gladia.io/

9. Google Ireland Ltd.

  • Anschrift: Gordon House, Barrow Street, Dublin 4, Irland
  • Verarbeitete Datenkategorien:
  • GA4: anonymisierte Website-Nutzungs-Statistiken der Tenant-Endkunden (über OAuth pro Tenant)
  • Verarbeitungszweck: Analytics-Dashboards im Tenant-Admin
  • Drittlandtransfer: Verarbeitung primär EU (Google Ireland). Konzern-Weitergabe an Google LLC (USA) via DPF
  • Controller-Terms: https://business.safety.google/gdprcontrollerterms/

10. Meta Platforms Ireland Ltd.

  • Anschrift: Merrion Road, Dublin 4, D04 X2K5, Irland
  • Verarbeitete Datenkategorien:
  • Long-Lived Access Token (60 Tage, refreshable) für die Instagram Graph API, AES-256-GCM-verschlüsselt bei Wirtix
  • Instagram-Business-Account-ID, öffentlicher Username des verbundenen Accounts
  • Zum Zeitpunkt der Veröffentlichung an die Graph API übermittelte Inhalte (Bilder, Karussell-Bilder, Captions, Hashtags)
  • Verarbeitungszweck: Veröffentlichung von vom Tenant freigegebenen Beiträgen auf dem mit OAuth verbundenen Instagram-Business-Account
  • Rolle: Datenempfänger und im Verhältnis zum Tenant gemeinsam Verantwortlicher nach Art. 26 DSGVO (Page Controller Addendum). Keine Auftragsverarbeitung im engeren Sinne, Aufnahme in dieses Verzeichnis aus Transparenzgründen.
  • Drittlandtransfer: EWR-Sitz (Dublin). Konzern-Weitergabe an Meta Platforms Inc. (USA) via DPF (Angemessenheitsbeschluss Art. 45 DSGVO).
  • Compliance-Profil: EU-US Data Privacy Framework zertifiziert
  • Datenrichtlinien:
  • Meta-Datenrichtlinie: https://www.facebook.com/privacy/policy
  • Instagram-Datenrichtlinie: https://privacycenter.instagram.com/policy/
  • Meta Platform Terms (Developer): https://developers.facebook.com/terms/

11. 650 Industries, Inc. (Betreiberin der Marke „Expo")

  • Anschrift: 624 University Avenue, 1st Floor, Palo Alto, CA 94301, USA
  • Markenname / Produkt: Expo (Expo Push Service, Expo Application Services / EAS)
  • Verarbeitete Datenkategorien:
  • pseudonyme Expo Push Tokens (Format ExponentPushToken[…])
  • Plattform-Kennung (iOS / Android)
  • Push-Inhalte (Titel, Text) — können je nach Anlass personenbezogene Daten enthalten (z. B. Kundenname aus Rechnungs-Entwurf)
  • interne Verknüpfungs-IDs für die Deep-Link-Navigation in der App
  • Verarbeitungszweck: Push-Benachrichtigungs-Relay für die Wirtix-Mobile-App. Auslieferung erfolgt über Apple Push Notification Service (Apple Inc., USA) für iOS bzw. Firebase Cloud Messaging (Google LLC, USA) für Android. Apple und Google sind Sub-Sub-Auftragsverarbeiter und werden in der Sub-Processor-Liste von Expo geführt.
  • Drittlandtransfer: 650 Industries, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss Art. 45 DSGVO). Die DPF-Compliance besteht laut Expo-Changelog seit Ablösung des Privacy Shield (2023); die Privacy Policy wurde mit dem expliziten DPF-Hinweis im Dezember 2024 öffentlich aktualisiert. Apple und Google sind ebenfalls DPF-zertifiziert.
  • Datenhaltung: Expo speichert Push-Tokens dauerhaft (zur Auslieferung künftiger Benachrichtigungen); Push-Inhalte werden nur für die Dauer des Auslieferungs-Vorgangs verarbeitet und anschließend gelöscht (Expo-Auskunft).
  • Compliance-Profil: GDPR-, CCPA-, EU-US-DPF-konform
  • Datenrichtlinien:
  • Expo Privacy Policy: https://expo.dev/privacy
  • Expo Privacy Explained: https://expo.dev/privacy-explained
  • Expo GDPR-Dokumentation: https://docs.expo.dev/regulatory-compliance/gdpr/
  • Expo Sub-Processors: https://expo.dev/privacy/subprocessors
  • Expo Trust Center: https://expo.dev/trust

Änderungen am Sub-Processor-Verzeichnis

Wirtix wird den Verantwortlichen mindestens 30 Tage vor Aufnahme oder Wechsel eines Unterauftragsverarbeiters schriftlich informieren. Der Verantwortliche kann der Beauftragung innerhalb dieser Frist aus wichtigem Grund widersprechen.