Document status
DE
Subprozessorenliste
Anlage 3 zum AVV für Chatline
Aktuelle Liste der eingesetzten und vorgesehenen Unterauftragnehmer für Chatline.
Diese Anlage listet die zum Stand dieses Dokuments eingesetzten oder produktiv vorgesehenen Unterauftragnehmer von HeyHo Systems GmbH im Zusammenhang mit der Bereitstellung von Chatline auf. Die Einbindung erfolgt jeweils nur, soweit dies für die Erbringung der vertraglich geschuldeten Leistungen erforderlich ist.
Änderungen der Subprozessorenliste erfolgen nach Maßgabe des AVV. Die jeweils aktuelle Fassung kann dem Auftraggeber zusätzlich online oder im Kundenportal bereitgestellt werden.
| Unterauftragnehmer | Sitz / Land | Funktion / Zweck | Verarbeitete Daten / Einsatzbereich | Drittlandbezug / Transfergrundlage |
|---|---|---|---|---|
| Twilio | Irland / USA | Kommunikationsinfrastruktur für WhatsApp und Telefonie | Rufnummern, Nachrichteninhalte, Kommunikations- und Verbindungsmetadaten | Möglicher Drittlandbezug in die USA; Twilio bietet ein DPA an und verweist für konzerninterne Transfers u. a. auf Binding Corporate Rules sowie auf Zertifizierung nach dem EU-US Data Privacy Framework. |
| OpenAI | Irland / USA | LLM-Verarbeitung und KI-gestützte Inhaltsanalyse | Kommunikationsinhalte, Transkripte, strukturierte Ausgaben, Metadaten | Bei EWR-/CH-Kunden wird das DPA mit OpenAI Ireland Ltd. geschlossen; je nach Service kann ein Drittlandbezug bestehen. OpenAI stellt ein DPA mit SCC-Bezug bereit; für bestimmte Business-Produkte/Setups ist EU-Datenresidenz verfügbar. |
| Anthropic | USA | LLM-Verarbeitung und KI-gestützte Inhaltsanalyse | Kommunikationsinhalte, Transkripte, strukturierte Ausgaben, Metadaten | Möglicher Drittlandbezug in die USA; Anthropic integriert sein DPA einschließlich SCCs in die Commercial Terms. Nach öffentlich dokumentierter Standardkonfiguration kann Datenspeicherung in den USA erfolgen. |
| Irland / USA | Cloud-, Sprach- und Infrastrukturleistungen (z. B. STT/TTS oder ergänzende Cloud-Dienste) | Audio-/Textdaten, Infrastruktur- und Betriebsdaten, technische Metadaten | Möglicher Drittlandbezug; Google stellt ein Cloud Data Processing Addendum bereit und verweist für relevante Übermittlungen auf SCCs. | |
| Amazon Web Services (AWS) | USA | Hosting-, Speicher-, Netzwerk-, Backup- und Infrastrukturleistungen | Gehostete Anwendungsdaten, Betriebsdaten, Backups, Logs | Möglicher Drittlandbezug; das AWS GDPR Data Processing Addendum gilt automatisch und enthält SCC-Regelungen. |
| ElevenLabs | USA | Text-to-Speech / Sprachsynthese | Textinhalte, Sprachparameter, erzeugte Audiodaten, technische Metadaten | Möglicher Drittlandbezug in die USA; ElevenLabs stellt ein DPA bereit und veröffentlicht eine EU-US Data Privacy Framework Policy. |
| Better Stack | USA | Monitoring, Logging, Incident- und Betriebsunterstützung | Technische Fehler-, Monitoring- und Protokolldaten | Nach Anbieterangaben werden Daten standardmäßig in EU-Regionen gespeichert; gleichwohl kann aufgrund des US-Anbieterbezugs ein Drittlandbezug zu prüfen sein. Maßgeblich sind die DPA-/Vertragsunterlagen des Anbieters. |
| Salesforce | USA | CRM- und vertriebsbezogene Prozesse / operative Kundenverwaltung | Geschäftliche Kontakt- und Vertragsdaten, Support- und Vertriebsinformationen | Möglicher Drittlandbezug in die USA; Salesforce stellt ein DPA bereit und verweist ergänzend auf eigene BCRs sowie Zertifizierung nach dem EU-US Data Privacy Framework. |
| Heroku (Salesforce) | USA | Anwendungsplattform / Hosting und Deployment | Gehostete Anwendungsdaten, Betriebsdaten, Logs | Möglicher Drittlandbezug in die USA; Heroku ist Teil der Salesforce-Vertrags- und Subprozessordokumentation. |
| Stripe | USA / Irland | Zahlungsabwicklung, Abrechnung und Billing-bezogene Prozesse | Abrechnungs-, Zahlungs-, Kontakt- und Transaktionsdaten | Stripe stellt ein DPA bereit; Stripe verweist auf das EU-US Data Privacy Framework und auf ergänzende Transfermechanismen. Je nach Vertragskonstellation können Stripe-Gesellschaften in den USA oder in Europa eingebunden sein. |
| Vercel | USA | Hosting, Deployment und Frontend-/Web-Infrastruktur | Gehostete Web-/App-Daten, technische Protokolle, Betriebsdaten | Möglicher Drittlandbezug in die USA; Vercel stellt ein DPA bereit und ist nach eigenen Angaben nach dem EU-US Data Privacy Framework zertifiziert. |
Hinweis: Die vorstehende Liste bildet den derzeitigen Stand der produktiv eingesetzten bzw. vorgesehenen Unterauftragnehmer ab. Maßgeblich ist die jeweils aktuelle, vom Auftragnehmer bereitgestellte Fassung.