Liste der Unterauftragsverarbeiter

Die Kategorien von Unterauftragsverarbeitern, die ChefSphere für den Dienst einsetzt, was sie verarbeiten, wo sie tätig sind, die Rechtsgrundlage für den Transfer und wie wir Sie vor Hinzufügen neuer Kategorien benachrichtigen.

Gültig ab: 23. April 2026

Version: v1.8.06 Minuten Lesezeit

Diese Seite listet die Kategorien von Unterauftragsverarbeitern auf, die ChefSphere OÜ („ChefSphere“) zur Erbringung des Dienstes einsetzt. Sie ergänzt die Datenschutzrichtlinie Abschnitt 5 (der die Empfängerkategorien in Prosa benennt) und unterstützt unsere Pflichten unter Art. 28 DSGVO und unter jeder Auftragsverarbeitungsvereinbarung („AVV“), die wir mit einer Kundin oder einem Kunden schließen. Sie ist bewusst in Kategorienform veröffentlicht: Eine namentliche Nennung einzelner Anbieter ist nach Art. 13/14 DSGVO nicht erforderlich, und Anbieterdetails können sich ändern, ohne dass sich die verarbeiteten personenbezogenen Daten ändern. Unternehmenskunden können eine AVV-Anlage mit namentlicher Anbieterliste anfordern unter [email protected].

1. Rechtsgrundlage für den Einsatz von Unterauftragsverarbeitern

Jeder Unterauftragsverarbeiter wird auf Grund einer schriftlichen Auftragsverarbeitungsvereinbarung eingesetzt, die die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt: Vertraulichkeit, Sicherheit, Kontrolle weiterer Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten, Löschung oder Rückgabe nach Dienstende, Audit-Zusammenarbeit und Weitergabe an deren Unterauftragsverarbeiter.
Wir führen vor der Beauftragung eine Anbieter-Risikobewertung durch. Bei jedem Transfer personenbezogener Daten außerhalb des EWR führen wir eine Transfer-Folgenabschätzung nach den EDPB-Empfehlungen 01/2020 durch, dokumentieren die Rechtsgrundlage des Transfers (Angemessenheit, DPF, SCCs) sowie die technischen und organisatorischen Schutzmaßnahmen.
Jeder Unterauftragsverarbeiter hat eine dokumentierte Zweckbindung: Er darf nur die Daten verarbeiten, die wir ihm zur Erbringung der konkret beauftragten Aufgabe übermitteln.
Wir prüfen die Liste mindestens jährlich und bei jeder wesentlichen Änderung.

2. Derzeit genutzte Kategorien

Die folgende Tabelle beschreibt die Kategorien, die ChefSphere einsetzt. Als EWR gekennzeichnete Kategorien operieren vollständig im Europäischen Wirtschaftsraum. Als EWR + Nicht-EER gekennzeichnete Kategorien umfassen mindestens einen Anbieter, dessen Produktionsregion außerhalb des EWR liegt; die Transfergrundlage ist angegeben.

#	Kategorie	Zweck (was verarbeitet wird)	Region	Transfergrundlage
1	Cloud-Hosting- und Objektspeicher-Anbieter	Anwendungs- und Datenhosting; nutzerhochgeladene Medien; Rezept- und Ebook-Dateien; Datenbank-Snapshots.	EWR primär; Hot-Standby in der Region.	Entfällt (EWR).
2	Content-Delivery- und Edge-Security-Anbieter	Caching öffentlicher Medien; Web Application Firewall; Bot-Abwehr; DDoS-Absorption.	Globales Edge; EWR-Terminierungen bevorzugt.	SCCs (Beschluss 2021/914) für Nicht-EWR-Edge-PoPs, ergänzt durch Verschlüsselung während der Übertragung und ruhend.
3	Zahlungsdienstleister und Abonnement-Abrechnung (Web)	Kartentokenisierung, Belastung, Erstattung, Auszahlung; Umsatzsteuer-/Steuerberechnung; DAC7-Verkäufermeldungen.	EWR- und US-Prozessoren.	DPF (Beschluss (EU) 2023/1795), sofern der Prozessor zertifiziert ist; sonst SCCs.
4	App Store und Google Play Billing	In-App-Käufe und Abonnements auf iOS und Android. Gemeinsame Verantwortlichkeit mit dem Store gemäß den veröffentlichten Bedingungen des Stores.	USA / EWR.	DPF oder SCCs je nach Store-Entität.
5	Marktplatz-Zahlung und Identitätsprüfung	KYC-Identitätsprüfung für Verkäufer und Autoren; Bankkonto-Erfassung; Stripe-Connect-Onboarding.	EWR + USA.	DPF / SCCs.
6	Transaktions-E-Mail-Zustellung	Konto-, Abrechnungs-, Sicherheits- und Transaktions-E-Mail. Kein Marketing.	EWR bevorzugt; EU-Endpunkte gewählt.	SCCs, falls Nicht-EWR-Endpunkt gewählt wird.
7	Push-Benachrichtigungs-Gateways	Zustellung von Push-Benachrichtigungen an Apple- und Google-Geräte.	US-Endpunkte sind bei APNs / FCM inhärent.	DPF / SCCs; nur Gerätetoken, kein Inhalt außerhalb der Transportverschlüsselung.
8	Echtzeit-Messaging und WebSocket-Anbieter	In-App-Chat, Präsenz, Tipp-Indikatoren, Live-Reaktionen.	EWR.	Entfällt (EWR).
9	Live-Video- und Audio-Streaming-Anbieter	Chef-Lives-Verteilung, Aufzeichnung, Low-Latency-RTMP / HLS / WebRTC-Relay.	EWR + globales Edge.	SCCs für Nicht-EWR-Relay-Edges.
10	KI- / ML-Modellanbieter (Text)	Betrieb des Konversationsassistenten AI Chef.	EWR-Residency-Vertrag, wo angeboten; sonst USA.	DPF / SCCs + vertragliches No-Training; keine personenbezogenen Kennungen. Siehe KI-Offenlegung Abschnitt 4.
11	KI- / ML-Modellanbieter (Bild / multimodal)	Kühlschrank- und Lebensmittelfoto-Analyse, Zutatenerkennung, Vorschläge für Barrierefreiheits-Alt-Text.	EWR-Residency-Vertrag, wo angeboten; sonst USA.	DPF / SCCs + vertragliches No-Training.
12	KI- / Moderations-Klassifikatoren (Text und Bild)	Automatisierte Inhaltssicherheitsprüfung vor Veröffentlichung (CSAM, Terror, Hass, Nacktheit, Selbstverletzung, verbotene Waren).	EWR + USA.	DPF / SCCs; Klassifikator-Ausgabe wird aufbewahrt; Rohinhalt beim Anbieter gemäß Abschnitt 4 des Aufbewahrungsplans des Anbieters gelöscht.
13	Versand-, Logistik- und Paketverfolgungs-Anbieter	Erzeugung von Versandlabels, Tarifvergleich, Tracking für weltweite Tools-Marktplatz-Bestellungen.	EWR + USA.	DPF / SCCs.
14	Fehlerüberwachung, Performance und Observability	Absturzberichte, strukturierte Logs, Anwendungsmetriken, Uptime-Pings.	EWR-Datenresidency-Option aktiviert.	Entfällt (EWR), wo aktiviert; sonst SCCs.
15	Analytics-Anbieter (First-Party, minimal)	Aggregierte Website-Analytics; keine Werbe-Cookies; respektiert GPC.	EWR-Datenresidency-Option aktiviert.	Entfällt (EWR), wo aktiviert.
16	Kundensupport-Werkzeuge	Support-Ticket-System; Helpdesk; E-Mail-Bearbeitung für [email protected] und Rechtspostfächer.	EWR.	Entfällt (EWR).

3. Was wir nicht nutzen

Werbe- / Retargeting-Netzwerke. Wir betreiben keine verhaltensbasierte Drittanbieter-Werbung im Dienst und beauftragen daher keinen Werbeanbieter.
Datenmakler. Wir kaufen oder verkaufen keine personenbezogenen Daten von oder an Datenmakler.
Große APIs zur Anreicherung von Verbraucherdaten. Wir reichern Nutzerprofile nicht mit gekauften Drittdaten an.
Sprachassistenten- / biometrische Fingerabdruck-SDKs. Keine sind integriert.

4. Unter-Unterauftragsverarbeiter

Jeder Unterauftragsverarbeiter in Abschnitt 2 kann eigene Auftragsverarbeiter zur Betrieb seiner Infrastruktur einsetzen (z. B. ein Cloud-Anbieter, der einen Transaktions-E-Mail-Dienst betreibt). Diese sind in der öffentlichen Unterauftragsverarbeiter-Liste des Anbieters oder in dessen AVV dokumentiert. Unsere AVV mit jedem Anbieter verbietet es, einen weiteren Unterauftragsverarbeiter einzusetzen, der nicht in der veröffentlichten Liste steht, ohne ChefSphere eine angemessene Widerspruchsmöglichkeit zu geben.

5. Änderungsmitteilungen

Wir bemühen uns, Nutzer über wesentliche Änderungen dieser Liste — Hinzufügen einer neuen Kategorie oder eines Anbieters, der personenbezogene Daten in einer neuen Region verarbeitet — mindestens 15 Kalendertage vor Wirksamkeit zu informieren. Die Mitteilung erfolgt auf dieser Seite und per E-Mail an Kunden, die den Feed zu Unterauftragsverarbeiter-Updates abonniert haben.
Eine kürzere Frist kann gelten, wenn Gesetz, Sicherheit oder ein betrieblicher Notfall schnelleres Handeln erfordern.
Eine positive Änderung (z. B. Verlagerung eines Prozessors von Nicht-EWR auf ausschließlich EWR) wird sofort wirksam.

Um Änderungsmitteilungen zu dieser Seite zu abonnieren, senden Sie eine Nachricht mit Betreff „Subscribe: Sub-processor updates“ an [email protected]. Wir unterhalten dafür eine eigene Verteilerliste.

6. Anforderung einer AVV-Anlage mit namentlicher Anbieterliste

Unternehmenskunden, Behörden und Forschende können eine namentliche Anbieterliste der von uns eingesetzten Unterauftragsverarbeiter mit Angabe jedes Anbieters, seiner Konzernzugehörigkeit, seiner primären Verarbeitungsregion und seiner Rolle im Datenfluss anfordern. Anfragen prüfen die Rechts- und DSB-Teams.

E-Mail: [email protected] mit Betreff „Named-vendor DPA schedule“.
Bearbeitungszeit: in der Regel 10 Werktage. Wir können zusätzliche Identifikation oder eine Vertraulichkeitsverpflichtung verlangen, bevor die namentliche Liste herausgegeben wird.

7. Internationale Datenübermittlungen

Alle Übermittlungen außerhalb des EWR sind in unserem Transfer-Register dokumentiert, das Datenschutzaufsichtsbehörden auf Anfrage gemäß Art. 30 DSGVO zur Verfügung steht. Die öffentliche Kurzfassung:

Vereinigtes Königreich: Angemessenheit nach Beschluss (EU) 2021/1772.
Vereinigte Staaten: Angemessenheit unter dem EU-US-Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795), sofern der US-Prozessor zum DPF zertifiziert ist und der Transfer in den Geltungsbereich der Zertifizierung fällt.
Sonstige Drittstaaten: Standardvertragsklauseln der Kommission (Beschluss (EU) 2021/914) ergänzt um eine Transfer-Folgenabschätzung, soweit durch die EDPB-Empfehlungen 01/2020 erforderlich.

Der vollständige Katalog der Beschlüsse und der für jeden Anbieter genutzten SCC-Module ist Unternehmenskunden nach Unterzeichnung einer gegenseitigen Geheimhaltungsvereinbarung zugänglich.

8. Ihre Rechte

Sie haben sämtliche in der Datenschutzrichtlinie Abschnitt 9 genannten Rechte, einschließlich Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Ein Betroffenenantrag kann ausdrücklich erfragen, welche Kategorien von Unterauftragsverarbeitern Ihre personenbezogenen Daten erhalten haben und zu welchem Zweck. Senden Sie den Antrag an [email protected] oder nutzen Sie die In-App-Datenschutzkontrollen.

9. Änderungen

Wir aktualisieren diese Seite, wenn eine Unterauftragsverarbeiter-Kategorie hinzugefügt, entfernt oder wesentlich geändert wird. Maßgeblich sind das Inkrafttretensdatum und die Version am Anfang dieser Seite.

10. Kontakt

DSB: [email protected]
Datenschutz / Betroffenenanfragen: [email protected]
Unternehmens-AVVs: [email protected]