← Zurück zur Datenschutzerklärung (bemailed)Art. 28 Abs. 4 DSGVO

Subprozessoren für bemailed

Vollständige Liste der Subunternehmen, die wir zur Erbringung von bemailed (DSGVO-konformer Newsletter-Versand) einsetzen. Jedes davon ist über einen schriftlichen Auftragsverarbeitungsvertrag (AVV) gebunden. Drittland-Übermittlungen sind durch Standardvertragsklauseln (SCCs) + dokumentierte Transfer Impact Assessments abgesichert.

Stand: 25. Mai 2026. Änderungen werden mindestens 30 Tage vor Wirksamkeit per Email an alle aktiven Kunden mitgeteilt. Widerspruchsrecht nach Art. 28 Abs. 2 Satz 2 DSGVO besteht.

AWS SES

Email

Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg (EU-Vertrag) · Mutterkonzern: Amazon.com, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA

Zweck
Mail-Versand-Infrastruktur für das bemailed-Newsletter-Tool (Simple Email Service). Verarbeitet Header, Body und Empfänger-Adresse für Routing, Zustellung und Anti-Spam-Reputation. Bounce- und Complaint-Handling.
Standort
AWS-Region Frankfurt (eu-central-1) · Datenverarbeitung in EU. Vertragspartner ist die EU-Tochter AWS EMEA SARL (Luxemburg).
Verarbeitete Datenkategorien
Empfänger-E-Mail-Adresse · Newsletter-Header + Body · Versand-Status (Delivered / Bounce / Complaint) · Message-ID + Timestamp
Drittland-Mechanismus
EU-Hosting durch AWS EMEA SARL. Für etwaige Konzern-Zugriffe der US-Muttergesellschaft enthält das AWS-DPA Standardvertragsklauseln + zusätzliche Garantien (Service Terms § 12).
Zertifizierungen
ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI DSS, C5 (BSI Cloud Computing)
Auftragsverarbeitungs-Vertrag (DPA)
aws.amazon.com/service-terms/

IONOS

Domain

IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland

Zweck
Domain- und DNS-Hosting für bemailed.de sowie Unterstützung beim DNS-Setup der kundenspezifischen Versand-Domain via Domain Connect (1-Klick-Konfiguration von DKIM/SPF/DMARC).
Standort
Deutschland · keine Drittland-Übermittlung
Verarbeitete Datenkategorien
Domain-Namen (öffentlich) · DNS-Records (TXT/CNAME für DKIM, SPF, DMARC) · Konto-Daten des Domain-Inhabers (Whois-Pflichtdaten)
Drittland-Mechanismus
Hosting komplett in Deutschland. IONOS ist deutsche Gesellschaft, kein US-Bezug.
Zertifizierungen
ISO 27001, ISO 9001, PCI DSS
Auftragsverarbeitungs-Vertrag (DPA)
www.ionos.de/terms-gtc/terms-privacy

Anthropic (Claude)

AI

Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA

Zweck
Pulse: Marken-Score-LLM-Auswertung (Tonalität, Persona-Eindruck, Werte-Extraktion). bemailed: optionale KI-Vorschläge im Newsletter-Editor (Tonalität, Betreffzeilen, Inhalts-Ideen) — Inputs ausschließlich Newsletter-Entwurfs-Texte, keine Empfänger-Daten.
Standort
USA · Übermittlung erforderlich
Verarbeitete Datenkategorien
Gecrawlte Website-Inhalte (öffentlich, Pulse) · Marken-Tiefe-Antworten (Pulse) · Newsletter-Entwurfs-Texte + Marken-Kontext (bemailed)
Drittland-Mechanismus
SCCs (EU-Kommissions-Standardvertragsklauseln) + Transfer Impact Assessment (TIA). Daten werden laut Anthropic nicht für Model-Training verwendet (Commercial Tier).
Zertifizierungen
SOC 2 Type 2
Auftragsverarbeitungs-Vertrag (DPA)
www.anthropic.com/legal/data-processing-addendum

Supabase

Datenbank

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Zweck
Postgres-Datenbank, Authentifizierung (Email + Magic-Link), Storage für Logos + Screenshots, Row-Level-Security.
Standort
AWS Frankfurt (eu-central-1) · ausschließlich EU-Region
Verarbeitete Datenkategorien
Email + Auth-Token · Marken-URL + Marken-Tiefe-Eingaben · Audit-Snapshots + Cluster-Daten · User-Brand-Beziehungen
Drittland-Mechanismus
Hosting komplett in EU, DPA mit SCCs
Zertifizierungen
SOC 2 Type 2, HIPAA-ready
Auftragsverarbeitungs-Vertrag (DPA)
supabase.com/legal/dpa

Vercel

Hosting

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Zweck
Hosting der Anwendung (Next.js Edge + Serverless Functions). Statisches Asset-Caching via CDN.
Standort
Frankfurt (fra1) · Datenverarbeitung in EU
Verarbeitete Datenkategorien
User-IP-Adresse (Request-Logs, 24 h) · Request-Pfade · Browser-User-Agent
Drittland-Mechanismus
SCCs + Vercel-DPA, Cloud Act Risk via TIA dokumentiert
Zertifizierungen
SOC 2 Type 2, ISO 27001, PCI DSS
Auftragsverarbeitungs-Vertrag (DPA)
vercel.com/legal/dpa

Stripe

Zahlungen

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin 2, Ireland

Zweck
Zahlungsabwicklung Pro + Pro Plus-Abonnements, Booking-Pakete. Derzeit pausiert, wird mit dem produktiven Pricing-Launch wieder aktiviert.
Standort
EU-Region (Irland) · Daten-Verarbeitung in EU
Verarbeitete Datenkategorien
Email + Rechnungsadresse · Zahlungsdaten (von Stripe direkt erfasst — niemals an Pulse weitergeleitet) · Subscription-Status
Drittland-Mechanismus
Stripe ist EU-Entität (Irland). Keine Drittland-Übermittlung.
Zertifizierungen
PCI DSS Level 1, SOC 1, SOC 2, ISO 27001
Auftragsverarbeitungs-Vertrag (DPA)
stripe.com/legal/dpa

Sentry

Monitoring

Functional Software, Inc., 132 Hawthorne Street, San Francisco, CA 94107, USA

Zweck
Error-Tracking + Performance-Monitoring. DSGVO-konform konfiguriert (sendDefaultPii: false, 10 % Trace-Sample).
Standort
USA · EU-Region (Frankfurt) wenn Sentry-EU-Plan aktiv
Verarbeitete Datenkategorien
Stack-Traces + Error-Context (keine PII) · Browser- + OS-Info · Request-Pfade
Drittland-Mechanismus
SCCs + Sentry-DPA. PII-Filtering aktiv (kein Email, keine IP, keine User-Inputs).
Zertifizierungen
SOC 2 Type 2, ISO 27001
Auftragsverarbeitungs-Vertrag (DPA)
sentry.io/legal/dpa/