Zurück zur Startseite

Unsere Unterauftragsverarbeiter

Transparenz über unsere Technologie-Partner

Stand: 21. November 2025

Wir legen großen Wert auf Transparenz, Sicherheit und den Schutz Ihrer Daten. Um unsere spezialisierten SaaS- und Agentur-Dienstleistungen zu erbringen, arbeiten wir mit führenden Technologiepartnern zusammen. Diese Partner agieren als „Unterauftragsverarbeiter" im Sinne von Art. 28 DSGVO.

Wir haben mit jedem dieser Anbieter Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) geschlossen, die den Schutz Ihrer Daten nach europäischen Standards (DSGVO) sicherstellen.

1. Kerninfrastruktur & Hosting

Das Fundament unserer Dienste

Hier werden Ihre Daten physisch gespeichert und verarbeitet. Alle Kern-Services sind auf EU-Regionen konfiguriert.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Vercel Inc.

USA (DPF)

Anwendungshosting der SaaS-Plattform (nexdeck.app) - Frontend, API-Routen, Serverless- und Edge-Functions, Middleware. Projekt-Region und Middleware sind auf Frankfurt (fra1) konfiguriert. DPA mit Vercel unterzeichnet.EU (Frankfurt / fra1)

Supabase Inc.

USA (DPF)

Datenbank, Authentifizierung & Storage - PostgreSQL, Auth, Row-Level-Security, Object Storage. Projekt-Region Frankfurt. Cloudflare wird von Supabase als technischer Sub-Subprozessor (CDN/Edge) eingesetzt.EU (Frankfurt)

Hostinger International Ltd.

Zypern

Webhosting der Marketing-Webseite (nexdeck.de) inkl. Domain- und DNS-Verwaltung. Server-Standort Frankfurt.EU (Frankfurt)

Upstash, Inc.

USA (DPF)

Redis-basierter Rate-Limiting- und Cache-Store. Betrieben in AWS eu-central-1 (Frankfurt) — CNAME global-eu2.upstash.io.EU (Frankfurt)

Google Ireland Limited (Google Workspace)

Irland

Interne E-Mail-Kommunikation, Terminverwaltung, Dokumentenablage. Wird nicht für Kundendaten der SaaS-Plattform verwendet.EU / USA (DPF)

2. Dateispeicher & E-Mail

AWS-Infrastruktur in der EU

Amazon Web Services wird für Dateispeicher, revisionssichere Archivierung und transaktionalen E-Mail-Versand eingesetzt.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Amazon Web Services EMEA SARL (S3)

Luxemburg

Dateispeicher für hochgeladene Dokumente, Angebote, Belege (Bucket-Region Frankfurt, eu-central-1, AES-256 verschlüsselt at-rest).EU (Frankfurt, eu-central-1)

Amazon Web Services EMEA SARL (S3 Archive)

Luxemburg

Revisionssichere WORM-Archivierung von Rechnungen (GoBD-konform) und öffentlichen Assets wie Logos und Briefköpfen (Region Stockholm, eu-north-1).EU (Stockholm, eu-north-1)

Amazon Web Services EMEA SARL (SES + SQS)

Luxemburg

Versand transaktionaler E-Mails (Rechnungen, Alerts), Bounce-/Complaint-Tracking und eingehende Kündigungsverarbeitung (Region Stockholm, eu-north-1).EU (Stockholm, eu-north-1)

3. Zahlungen & externe APIs

Spezialisierte SaaS-Funktionen

Dienste für Zahlungsabwicklung und Kommunikationskanal-Integration.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Stripe Payments Europe, Ltd.

Irland

Zahlungsabwicklung - Kreditkarten und Abonnements. Primäre Verarbeitung in Irland; Stripe, Inc. (USA) kann als Sub-Subprozessor eingesetzt werden (DPF-zertifiziert + SCC).EU (Irland) / USA (DPF)

Stripe, Inc. (Financial Connections)

USA

Bankkonten-Anbindung zur alternativen Authentifizierung und zum Kontobewegungsabgleich. Stripe agiert hier als eigenständig Verantwortlicher, nicht als Auftragsverarbeiter.USA (DPF-zertifiziert)

PayPal (Europe) S.à r.l. et Cie

Luxemburg

Alternative Zahlungsart für Checkout.Luxemburg (EU)

Unipile SAS

Frankreich

Multi-Channel-Messaging — Integration von WhatsApp, LinkedIn und E-Mail. Hosting bei Scaleway Paris — kein Drittland-Transfer.Frankreich (EU)

Meta Platforms Ireland Ltd.

Irland / USA

WhatsApp Business API — Nachrichtenzustellung an Endkunden über die Unipile-Integration.Irland (EU) / USA (DPF)

LinkedIn Ireland Unlimited Company

Irland

LinkedIn-Messaging — Nachrichtenversand über die Unipile-Integration.EU

OneSignal, Inc.

USA (DPF)

Push-Benachrichtigungen (Mobile) — primäre Rechenzentren in den Niederlanden (EU). Push-Privacy-Sanitizer aktiv.EU (Niederlande)

Google Ireland Limited (Firebase Cloud Messaging)

Irland

Android-Push-Transport — technischer Zustellkanal für Push-Nachrichten über OneSignal an Android-Geräte.EU / weltweit

4. Künstliche Intelligenz & Sprachverarbeitung

KI-gestützte Dienste in der EU

NexDeck setzt für KI- und Sprach-Funktionen ausschließlich Anbieter mit EU-Region-Konfiguration ein. Es werden keine US-Regionen als Primär-Endpunkt verwendet.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Microsoft Ireland Operations Ltd. (Azure OpenAI)

Irland

LLM-Embeddings und Audio-Transkription (Whisper) für Company Brain und Voice-Funktionen. Endpoint: Sweden Central (Stockholm).EU (Sweden Central)

Microsoft Ireland Operations Ltd. (Azure TTS)

Irland

Sprachausgabe (Text-to-Speech) des Voice Assistants. Region: West Europe (Amsterdam).EU (West Europe / Amsterdam)

Google Ireland Limited (Vertex AI)

Irland

LLM-Inferenz für Claude (Anthropic, Vertex-Deployment Belgien) und Gemini sowie Google Document AI für OCR und Cohere-Rerank für RAG-Optimierung. Region: europe-west3 (Frankfurt), Claude-Endpoint Belgien.EU (europe-west3 Frankfurt / Belgien)

Google Cloud EMEA Limited (Cloud Run)

Irland

Container-Dienste für E-Rechnungs-Validierung (XSD-Validator, Factur-X, ZUGFeRD). Region: europe-west3 (Frankfurt).EU (europe-west3 Frankfurt)

Deepgram, Inc.

USA (SCC)

Spezialisierte Echtzeit-Sprach-zu-Text-Erkennung (Voice Live). Endpunkt api.eu.deepgram.com. Zusätzlich ist mip_opt_out=true gesetzt — wir haben der Nutzung unserer Daten für Modelltraining explizit widersprochen.EU

Anthropic PBC (über AWS Bedrock)

Luxemburg (AWS EMEA)

Claude Haiku als KI-Fallback-Modell. Bereitstellung über AWS Bedrock in Frankfurt (eu-central-1) — kein direkter API-Zugang zu Anthropic USA. Die Anthropic Direct API ist nicht mehr im Einsatz.EU (Frankfurt, eu-central-1)

5. Workflow & Monitoring

Technische Hilfsdienste

Dienste für Job-Orchestrierung, Fehlerüberwachung und interne Analyse.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Upstash, Inc. (QStash / Workflow)

USA (DPF)

Workflow-Orchestrierung, Scheduler und durable Hintergrund-Tasks. Läuft auf derselben AWS-Infrastruktur in Frankfurt (eu-central-1) wie der bereits eingesetzte Upstash Redis. Kein Drittland-Routing von Event-Payloads — alle Daten bleiben in der EU.EU (Frankfurt, eu-central-1)

Functional Software, Inc. (Sentry)

USA (DPF)

Error-Tracking und Performance-Monitoring. Eingesetzt wird der deutsche Ingest-Endpoint ingest.de.sentry.io (Region Deutschland).Deutschland (EU)

Vercel Inc. (Speed Insights)

USA (DPF)

Aggregierte, nicht-cookie-basierte Seiten-Metriken (Core Web Vitals). Über vitals.vercel-insights.com.Global Edge / USA (DPF)

6. Authentifizierung (OAuth-Provider)

Identitätsanbieter für die Anmeldung

NexDeck unterstützt Social-Login über folgende Anbieter. Dabei werden nur die für die Authentifizierung notwendigen Daten (Name, E-Mail, Profilbild) verarbeitet.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Google Ireland Limited (Google OAuth)

Irland

Anmeldung über ein bestehendes Google-Konto (Sign in with Google).EU / weltweit

Microsoft Ireland Operations Ltd. (Entra ID / Microsoft OAuth)

Irland

Anmeldung über ein bestehendes Microsoft-Konto.EU

Apple Distribution International Ltd. (Sign in with Apple)

Irland

Anmeldung über eine bestehende Apple-ID.EU

7. Marketing-Webseite

Tools für nexdeck.de

Nur relevant für die Marketing-Webseite, nicht für die SaaS-Plattform.

UnternehmenDienstleistung / ZweckVerarbeitungsort

Google Ireland Limited (Google Analytics)

Irland

Web-Analyse der Marketing-Webseite mit IP-Anonymisierung. Lädt erst nach Cookie-Einwilligung.EU / USA (DPF)

Datenverarbeitung — EU-Region-Strategie

Primär: Verarbeitung ausschließlich in der EU

Alle Kern-Services von NexDeck — Anwendungshosting, Datenbank, Dateispeicher, E-Mail-Versand, KI- und Sprachverarbeitung — sind so konfiguriert, dass sie ausschließlich in EU-Regionen laufen. Wir haben die folgenden Regionen bewusst gewählt, um Drittlandtransfers zu minimieren:

  • Frankfurt (Vercel fra1, Supabase, AWS eu-central-1, Upstash, Vertex AI europe-west3, Anthropic via AWS Bedrock)
  • Stockholm (AWS eu-north-1 für Archiv und SES, Azure OpenAI Sweden Central)
  • Amsterdam / Niederlande (Azure TTS West Europe, OneSignal primäre Rechenzentren)
  • Frankreich (Unipile auf Scaleway Paris)
  • Belgien (Claude via Google Vertex AI)
  • Deutschland (Sentry ingest.de.sentry.io)
  • Irland (Meta/WhatsApp, LinkedIn, Stripe, Google/Firebase, OAuth-Provider)

Ausnahmen: Drittlandtransfers

In wenigen, klar abgegrenzten Fällen ist eine Übermittlung in Drittländer (insbesondere USA) technisch nicht vermeidbar. Diese Übermittlungen erfolgen ausschließlich unter den Voraussetzungen der Art. 44 ff. DSGVO auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF) und – ergänzend oder alternativ – auf Basis von EU-Standardvertragsklauseln (SCC):

  • Vercel Inc. (USA): Die Projekt-Region ist auf fra1 Frankfurt konfiguriert; der Unternehmenssitz sowie einige Management-/Analytics-Komponenten (Speed Insights) liegen in den USA. DPA unterzeichnet, DPF-zertifiziert.
  • Supabase Inc. (USA): Datenverarbeitung in Frankfurt; Sitz und Management-Plane in den USA. DPF + SCC.
  • Upstash Inc. (USA): Datenverarbeitung in Frankfurt (AWS eu-central-1); Unternehmenssitz USA. DPF.
  • Stripe, Inc. / Stripe Financial Connections (USA): DPF-zertifiziert.
  • OneSignal, Inc. (USA): Primäre Rechenzentren in den Niederlanden (EU); Unternehmenssitz USA. DPF.
  • Meta Platforms, Inc. (USA): WhatsApp Business API — primäre Verarbeitung über Meta Platforms Ireland Ltd. (Irland); Unternehmenssitz USA. DPF.
  • Deepgram, Inc. (USA): Verarbeitung über den EU-Endpoint; Unternehmenssitz USA. SCC. Modelltraining-Opt-out aktiv.
  • Sentry / Functional Software, Inc. (USA): Ingestion in Deutschland (ingest.de.sentry.io); Unternehmenssitz USA. DPF.

Diese Liste wird regelmäßig aktualisiert.

Bei Fragen zu unseren Unterauftragsverarbeitern kontaktieren Sie uns unter datenschutz@nexdeck.de