Art. 28 DSGVO + EU AI Act
Subverarbeiter
Stand: Mai 2026
Diese Seite listet alle Drittanbieter, die im Rahmen unserer Dienstleistung personenbezogene Daten in unserem Auftrag verarbeiten oder mit denen wir gemeinsam Verantwortliche sind. Mit allen aufgeführten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Bei Datentransfers in Drittländer kommen die EU-Standardvertragsklauseln (SCC) zum Einsatz.
Änderungen an dieser Liste werden mindestens 30 Tage vor Wirksamwerden auf dieser Seite veröffentlicht. Kunden mit aktivem Vertrag können der Hinzunahme neuer Subverarbeiter widersprechen.
KI-Anbieter
| Anbieter | Dienst | Zweck | Region | AVV |
|---|
| Anthropic, PBC | Claude API (Sonnet 4, Haiku 4.5) | Textverstehen, Antwortgenerierung für KI-Lerncoach, Quiz-Erklärungen, Editor-Hilfen, Demo-Trainer, Evaluations-Texte | USA / EU-Endpoint (Standardvertragsklauseln nach Art. 46 DSGVO) | DPA |
| ElevenLabs Inc. | Text-to-Speech | Synthetische Stimmen in Demo-Voice-Trainern und KI-Dialogtrainern | USA (Standardvertragsklauseln) | DPA |
| Deepgram, Inc. | Nova-3 Speech-to-Text | Spracherkennung der Lerner-Eingaben in Voice-Trainern | USA (Standardvertragsklauseln) | DPA |
| OpenAI, LLC | Whisper API | Fallback-Spracherkennung wenn Deepgram nicht verfügbar | USA (Standardvertragsklauseln; API Data Usage Policy schließt Training aus) | DPA |
Hosting
| Anbieter | Dienst | Zweck | Region | AVV |
|---|
| Vercel, Inc. | Hosting / Edge-Computing | Auslieferung der Web-Anwendung, serverlose Funktionen | EU — Region Frankfurt (fra1) | DPA |
Datenbank
| Anbieter | Dienst | Zweck | Region | AVV |
|---|
| Supabase, Inc. | PostgreSQL-Datenbank + Storage + Auth-Backend | Speicherung von Nutzerdaten, Lernfortschritt, Kursinhalten, Bilduploads | EU (Frankfurt, eu-central-1) | DPA |
Auth
| Anbieter | Dienst | Zweck | Region | AVV |
|---|
| Clerk, Inc. | Authentifizierung / Session-Management | Login, Registrierung, Sitzungsverwaltung | USA / EU-Region buchbar (Standardvertragsklauseln) | DPA |
Mail
| Anbieter | Dienst | Zweck | Region | AVV |
|---|
| Resend, Inc. | Transaktions- und Marketing-E-Mail | Versand von Bestätigungs-Mails, Reminder, Evaluations-Ergebnissen, Zertifikaten | USA (Standardvertragsklauseln) | DPA |
Analytics
| Anbieter | Dienst | Zweck | Region | AVV |
|---|
| Umami Software, Inc. | Umami Cloud Web-Analytics | Cookieless Reichweitenmessung, datenschutzkonform ohne IP-Speicherung | EU — Region Frankfurt | DPA |
Hinweise zum Modell-Training
- Anthropic — Commercial Terms § 4.2: kein Training auf API-Inputs/Outputs (Default für API-Zugang).
- OpenAI — API Data Usage Policy seit 03/2023: kein Training auf API-Inputs/Outputs (Default für API-Zugang).
- Deepgram — Terms of Service: Customer Audio wird nicht für Modell-Training verwendet.
- ElevenLabs — auf bezahlten Plänen (Creator/Pro/Enterprise) ausgeschlossen; auf Free-Tier kann Training stattfinden. Wir betreiben einen bezahlten Plan.
Sonstige Hinweise
- Vercel und Supabase werden ausschließlich in EU-Regionen betrieben.
- Umami Cloud ist cookielos und speichert keine IP-Adressen.
- Clerk-Sessions werden über Cookies mit
HttpOnly + Secure + SameSite=Lax verwaltet.
Kontakt
Fragen zur Subverarbeiter-Liste oder zu unseren AVV beantworten wir unter datenschutz@dialogfitness.studio.