Subauftragsverarbeiter
Stand: Mai 2026 · Version 1.1
Diese Liste ist Bestandteil unserer Auftragsverarbeitungs-Vereinbarung (AVV) und dokumentiert alle Subauftragsverarbeiter, die für den Betrieb von Smart Legal Pro eingesetzt werden. Änderungen kündigen wir mindestens 30 Tage im Voraus an; Auftraggeber können der Änderung schriftlich widersprechen.
Aktive Subprozessoren
| Anbieter | Zweck | Standort | Transfer-Mechanismus | DPA |
|---|---|---|---|---|
| Lovable Tech AB | Hosting, Edge-Compute, Datenbank (PostgreSQL), Authentifizierung, Storage | Schweden / EU (AWS Frankfurt eu-central-1) | EU/EEA — kein Drittlandtransfer / no third-country transfer | Link |
| Requesty Ltd (UK) | AI-Router/Gateway zu führenden LLM-Anbietern. EU-Routing aktiv: Verarbeitung über den Frankfurt-Endpunkt, Inferenz ausschließlich auf EU-Modellen (AWS Bedrock Frankfurt / Google Vertex EU). Zero-Retention konfiguriert (keine Speicherung von Anfragen oder Antworten), kein Training auf Kundendaten. Der Modell-Mix variiert je nach Aufgabe, bleibt aber innerhalb der EU. | Verarbeitung EU (router.eu.requesty.ai, Frankfurt; Inferenz AWS Bedrock Frankfurt / Google Vertex EU); Gesellschaftssitz Vereinigtes Königreich | Inhalte in der EU verarbeitet — kein Transfer in unsichere Drittländer. Vertragspartner Requesty Ltd (UK) unter EU-Angemessenheitsbeschluss (Art. 45 DSGVO) / content processed in the EU; contractor Requesty Ltd (UK) under the EU adequacy decision | Link |
| ElevenLabs, Inc. | Sprachverarbeitung für das optionale Live-Sprachgespräch mit dem KI-Agenten (Spracherkennung, Sprachausgabe, Gesprächssteuerung). Nur nach ausdrücklicher Einwilligung; kein Training auf Kundendaten; Audio-Löschung nach Transkription, Metadaten max. 30 Tage. | USA | EU-SCC (2021/914) + Einwilligung Art. 49 Abs. 1 lit. a DSGVO / explicit consent | Link |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (Karten, SEPA, Wallets), Rechnungs- und Steuerdaten | Irland / EU; Konzernverbund USA | Intra-EU + EU-SCC für Konzernverbund | Link |
| Brevo SAS (vormals Sendinblue) | Transaktionale E-Mails (Magic-Link, Quittungen, System-Benachrichtigungen) | Frankreich / EU | EU/EEA | Link |
| Cloudflare, Inc. | CDN, DDoS-Schutz, TLS-Terminierung (über Hosting-Provider) sowie Turnstile-Bot-Schutz auf dem Registrierungsformular (IP, anonymisierte Browser-/Geräte-Signale, kein Tracking-Cookie). | USA mit EU-Pops | EU-SCC + EU-US DPF | Link |
Nachgelagerte KI-Modellanbieter (über Requesty)
Requesty leitet Verarbeitungsaufträge an führende LLM-Anbieter (z. B. Google, OpenAI, Anthropic) weiter; der Modell-Mix variiert je nach Aufgabe. Diese Anbieter sind Sub-Unternehmer von Requesty — nicht direkte Vertragspartner von Smart Legal Pro. Drittlandübermittlungen sind über den AVV von Requesty abgesichert, inkl. EU-Standardvertragsklauseln (2021/914, Modul 3), Zero-Retention und vertraglichem Trainingsverbot auf Kundendaten. Separate SCCs mit einzelnen LLM-Anbietern sind nicht erforderlich, solange die Processor-Kette über Requesty dokumentiert ist.
Auftragnehmer / Verantwortliche
MaSa Tech und Betriebs GmbH, Rathenaustr. 58a, 14612 Falkensee, Deutschland — info@smartlegalpro.com
Drittlandstransfer & Garantien
Sofern Subprozessoren personenbezogene Daten in Drittländer übermitteln, erfolgt dies ausschließlich auf Grundlage der EU-Standardvertragsklauseln (Beschluss (EU) 2021/914, Modul 2 und/oder Modul 3), ergänzt durch ein Transfer Impact Assessment (TIA) und – soweit verfügbar – das EU-US Data Privacy Framework. Zusätzliche technische Schutzmaßnahmen: TLS 1.3 in transit, AES-256 at rest, serverseitige PII-Maskierung vor ausgehenden KI-Calls, Zero-Retention beim AI-Gateway.
Benachrichtigung über Änderungen
Auftraggeber, die eine Vorab-Benachrichtigung bei Änderungen wünschen, abonnieren bitte unsere Subprozessor-Updates per E-Mail an info@smartlegalpro.com mit Betreff: Subprozessor-Updates.