# Resend Data Processing Addendum — Snapshot

**Quelle:** https://resend.com/legal/dpa
**Snapshot-Datum:** 18. Mai 2026
**Anbieter:** Resend / Plus Five Five, Inc.

> ⚠ **Hinweis:** Zusammenfassung der Kern-Inhalte. Den vollständigen
> Wortlaut bitte direkt unter der Quell-URL abrufen.
> Für Audit-PDF: Cmd+P im Browser.

---

## Kern-Inhalt

### Definitionen (§1)
- **Data Subject** = Person in EEA / unter EU-Datenschutzrecht + "Consumers" nach CCPA
- **Personal Information** = personenbezogene Daten i. S. d. DSGVO
- **Authorized Sub-Processors** = explizit gelistete Subunternehmen

### Data-Processing-Beziehung (§2)
- Resend agiert als **Processor** für Kunden-personenbezogene Daten
- Kunde verantwortlich für: Rechtmäßigkeit + Richtigkeit der übergebenen Daten
- Verarbeitung beschränkt auf Email-Versand + Zustell-Dokumentation

### Subprozessoren (§4)
- **14 Tage Vorlauf** bei neuen Subprozessoren
- Aktuelle Liste: https://resend.com/legal/subprocessors
- Widerspruchsrecht innerhalb von 14 Tagen
- Bei Widerspruch: Vertragsbeendigung möglich

### Drittland-Transfer (§6)
- Übermittlung in die **USA** via **Standardvertragsklauseln (SCCs)**
- Resend ist im **EU-US Data Privacy Framework** + **UK Data Privacy Framework** zertifiziert
- Zusätzliche Schutz-Massnahmen TIA-konform

### Betroffenenrechte (§7)
- Resend leitet Auskunfts-Anfragen direkt an Kunden weiter
- Resend stellt angemessene Unterstützung bei DSGVO-Compliance-Anfragen bereit

### Sicherheits-Maßnahmen (§5 + Exhibit C)
- Verschlüsselung at Rest + in Transit
- Access Controls + Multi-Factor Authentication
- Jährliche Penetration-Tests
- Incident-Response-Verfahren

### Resend als Controller (§9)
- Für **eigene** Account-/Usage-Daten ist Resend selbst Verantwortlicher
- Geregelt in Resend-Privacy-Policy: https://resend.com/legal/privacy-policy

---

## Akzeptanz-Mechanismus

Wie bei Vercel + Anthropic: **kein separater "Sign DPA"-Button**.
Die DPA ist Bestandteil der Resend Terms of Service und wird **automatisch
incorporated** sobald der Resend-Account angelegt + die ToS akzeptiert wurden.

Für Audit-Doku: schriftliche Bestätigungs-Anfrage an `privacy@resend.com`:

```
Subject: DPA acknowledgement — Essential Advertising GmbH

Hi Resend privacy team,

per Art. 28 GDPR, kindly confirm that the current Data Processing Addendum
at https://resend.com/legal/dpa applies to our account (organization
contact: dk@essentialadvertising.de).

Best regards,
Daniel Klantke
Essential Advertising GmbH
```

---

## Pulse-Setup

- **Account:** Essential Advertising GmbH
- **Verarbeitete Daten:** Empfänger-Email + Email-Inhalt (Welcome, Sonntag-Brief, Lösch-Bestätigung)
- **Retention:** Email-Inhalte werden 30 Tage bei Resend zu Debugging-Zwecken aufbewahrt
- **Drittland-Mechanismus:** SCCs + EU-US Data Privacy Framework + TIA (siehe `docs/legal/TIA-Resend.md`)