energydesk · v2026-05 · Anlage 2 zum AVV
Liste der Sub-Auftragsverarbeiter
gemäß Art. 28 Abs. 2 und Abs. 4 DSGVO
Stand: Mai 2026
Zustimmung und Widerspruchsrecht. Der Verantwortliche
stimmt mit Annahme des AVV der Beauftragung der
unten aufgeführten Sub-Auftragsverarbeiter zu (allgemeine schriftliche
Genehmigung im Sinne des Art. 28 Abs. 2 Satz 2 DSGVO). Der
Auftragnehmer informiert den Verantwortlichen über jede beabsichtigte
Änderung in Bezug auf Hinzuziehung oder Ersetzung weiterer
Auftragsverarbeiter mindestens 30 Tage vor Wirksamwerden.
Der Verantwortliche kann innerhalb dieser Frist Einspruch erheben.
1. Aktive Sub-Auftragsverarbeiter
| Anbieter | Zweck | Ort | Rolle |
|---|---|---|---|
|
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen |
Hosting (App-Server, PostgreSQL, Document-/Photo-Volumes, Backups) | EU · Deutschland | Sub-AV |
|
Push-Service der Browser-Anbieter (Apple Push Notification Service, Google Firebase Cloud Messaging, Mozilla autopush, Microsoft WNS — je nach Endgerät) |
Auslieferung von Web-Push-Benachrichtigungen an die jeweiligen Endgeräte | global · z. T. Drittland | Sub-AV (technisch unumgänglich für Web-Push-Standard) |
|
IONOS SE Elgendorfer Straße 57, 56410 Montabaur |
SMTP-Versand transaktionaler Emails (Verifikation, Account-Freigabe, Mitarbeiter-Einladung, Passwort-Reset, Bewerbungs-Benachrichtigung) | EU · Deutschland | Sub-AV |
2. Nicht-Sub-AV-Drittparteien (eigene Verantwortlichkeit)
Die folgenden Anbieter werden im Rahmen des Betriebs eingesetzt, sind aber datenschutzrechtlich eigenständige Verantwortliche und keine Sub-Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Sie sind hier zur Information aufgeführt.
| Anbieter | Verarbeitung | Ort | Status |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Zahlungsabwicklung Subscription (Operator zahlt an Dynkhues GmbH) | EU · Irland | eigener Verantwortlicher |
| Google LLC (nur bei optionalem „Login mit Google") |
OAuth-Authentifizierung der Operator-User | USA · DPF-zertifiziert | eigener Verantwortlicher |
| Indeed Inc. (nur bei aktivem Karriereseiten-Feed) |
Übernahme öffentlicher Stellenanzeigen via Feed-Crawl | USA | eigener Verantwortlicher; nur outbound, keine personenbezogenen Bewerberdaten |
3. Lokale Verarbeitungen ohne externen Anbieter
Die folgenden Funktionen werden ausschließlich lokal auf der vom Auftragnehmer betriebenen Infrastruktur ausgeführt, also ohne Hinzuziehung externer Sub-AVs:
- OCR-Erkennung für Tagesabschluss-PDFs —
tesseractim App-Container - Bild-Komprimierung von Aufgaben-Foto-Capture — clientseitig im Browser
- PDF-Erzeugung für Belehrungs- und Aufgaben-Bestätigungen — serverseitig
4. Geplante / in Prüfung befindliche Anbieter
Sobald neue Sub-AVs eingeführt werden (z. B. externer OCR-Anbieter,
Monitoring-Service, Email-Marketing-Tool), werden sie hier mindestens
30 Tage vor Wirksamwerden gelistet und der Verantwortliche
benachrichtigt.
5. Pflege dieses Verzeichnisses
- Jede Änderung erfordert ein Hochzählen von
LEGAL_VERSIONinlib/legal/consent.ts. - Operator-Information per Email an die hinterlegte Konto-Adresse; Widerspruchsfrist 30 Tage.
- Interne Prozess-Doku:
runbooks/sub-av-onboarding.md.