Auftragsverarbeitungsvertrag

§ 1 Gegenstand, Umfang und Dauer

(1) Gegenstand dieses DPA ist die Verarbeitung personenbezogener Daten durch Caelex im Auftrag und auf Weisung des Kunden im Zuge der Bereitstellung der Caelex-Plattform und aller vertraglich vereinbarten Produkte (Atlas, Assure, Academy, API/Widget, Astra, Mission Control, Ephemeris, NCA Portal, Digital Twin, Sentinel, Verity, Generate, Dashboard, Assessments).

(2) Die Laufzeit entspricht der Laufzeit des Hauptvertrages. Rechte und Pflichten aus diesem DPA, die ihrer Natur nach fortbestehen sollen (insbesondere Löschpflichten, Vertraulichkeit, Haftung, Nachweispflichten), gelten über das Vertragsende hinaus.

(3) Verarbeitungsort ist primär die Europäische Union und der Europäische Wirtschaftsraum. Drittland-Verarbeitung erfolgt ausschließlich unter den Bedingungen des § 18 dieses DPA.

§ 2 Begriffsbestimmungen

Für diesen DPA gelten die Definitionen des Art. 4 DSGVO. Ergänzend:

„Verantwortlicher" — der Kunde gemäß Art. 4 Nr. 7 DSGVO. Der Kunde bestimmt Zwecke und Mittel der Verarbeitung.

„Auftragsverarbeiter" — Caelex gemäß Art. 4 Nr. 8 DSGVO. Caelex verarbeitet personenbezogene Daten im Auftrag des Kunden.

„Sub-Auftragsverarbeiter" — ein von Caelex eingesetzter Dritter, der personenbezogene Daten im Rahmen der Leistungserbringung verarbeitet (Art. 28 Abs. 4 DSGVO). Die aktuelle Liste ist Anlage 2 und unter caelex.eu/legal/sub-processors einsehbar.

„TOMs" — technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, dokumentiert in Anlage 1 dieses DPA.

„Schutzverletzung" — eine Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO.

§ 3 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung:

• Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern
• Abfragen, Beraten, Verwenden durch automatisierte Auswertung
• Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung
• Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten
• Automatisierte Auswertung durch KI-Systeme zur Unterstützung des Kunden (Astra, Generate, Dokumenten-Automation)

(2) Zwecke der Verarbeitung:

• Bereitstellung der vertraglich vereinbarten Produkte und Leistungen
• Account- und Nutzerverwaltung sowie Rechte- und Rollensteuerung
• Durchführung von Compliance-Assessments und Generierung von Compliance-Dokumenten
• Verwaltung von Dokumenten, Einreichungen und Audit-Trails des Kunden
• KI-gestützte Beantwortung von Fragen (Astra) auf Basis der Eingaben des Kunden
• Ermöglichung von Kollaboration zwischen Nutzern des Kunden
• Betriebssichere und beobachtbare Bereitstellung (Fehler-Monitoring, Performance-Metriken)
• Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten

(3) Die Verarbeitung erfolgt ausschließlich zu den in Abs. 2 genannten Zwecken. Eine Nutzung für eigene Zwecke des Auftragsverarbeiters — insbesondere für Werbung, Profiling für Dritte oder Training eigener oder fremder KI-Modelle — ist ausgeschlossen, soweit der Kunde nicht ausdrücklich und widerruflich in Textform zustimmt.

§ 4 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind je nach Nutzung des Kunden insbesondere folgende Datenkategorien:

• Stammdaten der Nutzer des Kunden (Name, E-Mail-Adresse, Sprache, Zeitzone)
• Authentifizierungsdaten (gehashte Passwörter, MFA-Tokens, WebAuthn-Credentials, Session-Tokens)
• Organisations- und Rollendaten (Organisationszugehörigkeit, Berechtigungen, Einladungen)
• Kommunikationsdaten (Support-Anfragen, In-App-Benachrichtigungen, Astra-Konversationen)
• Kundendaten im engeren Sinn (hochgeladene Dokumente, Assessment-Antworten, Compliance-Status, Risiken, Ephemeris-Daten, Satelliten-Telemetrie, Kunden-spezifische regulatorische Konfigurationen)
• Nutzungs- und Log-Daten (IP-Adressen, User-Agent, Zugriffszeitpunkte, Sicherheits-Events, Audit-Logs)
• Abrechnungs- und Vertragsdaten (Rechnungsadresse, Zahlungshistorie über Stripe; Zahlungsmittel werden nicht bei Caelex gespeichert)

Besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO sind nicht vorgesehen. Der Kunde ist verpflichtet, keine derartigen Daten in die Plattform einzubringen, soweit er mit Caelex keine gesonderte Vereinbarung getroffen hat.

§ 5 Kategorien der betroffenen Personen

Die Verarbeitung betrifft insbesondere:

• Nutzer des Kunden (eigene Mitarbeiter, Auftragnehmer, autorisierte Dritte)
• Geschäftskontakte des Kunden, deren Daten in die Plattform eingebracht werden (z.B. Ansprechpartner bei Behörden, NCA-Kontakte, Investorenkontakte bei Assure)
• Endkunden des Kunden, soweit deren Daten im Rahmen der Plattform-Nutzung verarbeitet werden

§ 6 Rechte und Pflichten des Verantwortlichen

(1) Der Kunde ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO und allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.

(2) Der Kunde stellt sicher, dass eine gültige Rechtsgrundlage (Art. 6, ggf. Art. 9, 10 DSGVO) für die Verarbeitung besteht und die erforderlichen Informationspflichten (Art. 13, 14 DSGVO) erfüllt sind.

(3) Der Kunde ist verpflichtet, alle Weisungen und Anfragen in Textform zu dokumentieren. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(4) Der Kunde benennt einen Ansprechpartner für datenschutzrechtliche Fragen. Bei Wechsel ist Caelex unverzüglich zu informieren.

§ 7 Allgemeine Pflichten des Auftragsverarbeiters

Caelex verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglichen Vereinbarungen und nach dokumentierten Weisungen des Kunden. Caelex:

• verarbeitet Daten nur auf dokumentierte Weisung des Kunden, auch bei Übermittlungen in Drittländer (vorbehaltlich § 18 dieses DPA);
• unterrichtet den Kunden unverzüglich, wenn eine Weisung nach Auffassung von Caelex gegen die DSGVO oder andere Datenschutzvorschriften verstößt; Caelex ist berechtigt, die Ausführung der Weisung auszusetzen, bis der Kunde sie bestätigt oder ändert;
• verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit oder stellt sicher, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
• implementiert und hält die TOMs nach § 9 und Anlage 1 aufrecht;
• bindet Sub-Auftragsverarbeiter nur gemäß § 10 und Anlage 2 ein;
• unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen bei der Wahrnehmung der Rechte betroffener Personen (§ 15 dieses DPA);
• unterstützt den Kunden bei Pflichten nach Art. 32–36 DSGVO (§§ 12, 13 dieses DPA);
• löscht oder gibt nach Wahl des Kunden alle personenbezogenen Daten nach Ende der Erbringung der Verarbeitungsleistung zurück und löscht vorhandene Kopien, sofern keine gesetzliche Pflicht zur Speicherung besteht (§ 14);
• stellt dem Kunden die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen (§ 16);
• benennt einen Datenschutzbeauftragten (DSB), soweit Caelex hierzu gesetzlich verpflichtet ist, und teilt den Namen sowie die Kontaktdaten dem Kunden auf Anforderung mit.

§ 8 Weisungsrecht

(1) Der Kunde erteilt Weisungen grundsätzlich in Textform an privacy@caelex.eu. Die Vereinbarung dieses DPA samt Anlagen und die Nutzung der Plattform nach ihren vertraglich vereinbarten Funktionen stellen ebenfalls Weisungen dar.

(2) Einzelweisungen sind verbindlich, wenn sie Caelex einen zumutbaren Aufwand abverlangen und mit dem vereinbarten Leistungsumfang vereinbar sind. Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, können von Caelex nach Aufwand berechnet oder abgelehnt werden.

(3) Caelex teilt dem Kunden die bei Caelex autorisierten Empfänger von Weisungen mit. Ändert sich diese Liste, informiert Caelex den Kunden unverzüglich.

§ 9 Technische und organisatorische Maßnahmen (TOMs)

(1) Caelex trifft geeignete TOMs gemäß Art. 32 DSGVO, die dem Stand der Technik, den Implementierungskosten sowie Art, Umfang, Umständen und Zwecken der Verarbeitung und dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind.

(2) Die TOMs sind in Anlage 1 dokumentiert und werden bei wesentlichen Änderungen fortgeschrieben. Caelex ist berechtigt, die TOMs weiterzuentwickeln, solange das Schutzniveau nicht unterschritten wird.

(3) Der Kunde bestätigt, die TOMs vor Vertragsabschluss geprüft und als angemessen bewertet zu haben.

§ 10 Sub-Auftragsverarbeiter

(1) Der Kunde erteilt Caelex die allgemeine schriftliche Genehmigung i.S.d. Art. 28 Abs. 2 S. 2 DSGVO zur Beauftragung der in Anlage 2 gelisteten Sub-Auftragsverarbeiter.

(2) Caelex verpflichtet seine Sub-Auftragsverarbeiter vertraglich zur Einhaltung eines Schutzniveaus, das den Pflichten aus diesem DPA im Wesentlichen entspricht, insbesondere zu ausreichenden TOMs und zur Einhaltung der Weisungen (Art. 28 Abs. 4 DSGVO).

(3) Caelex informiert den Kunden mindestens 30 Tage vor Aufnahme oder Austausch eines Sub-Auftragsverarbeiters. Die aktuelle Liste wird unter caelex.eu/legal/sub-processors veröffentlicht; der Kunde kann sich zum Benachrichtigungsservice anmelden.

(4) Der Kunde kann aus wichtigem, datenschutzbezogenem Grund in Textform Einspruch erheben. Bei berechtigtem Einspruch, dem Caelex nicht durch eine vergleichbare Alternative begegnen kann, hat der Kunde ein Sonderkündigungsrecht des Hauptvertrages zum Zeitpunkt des Wechsels.

(5) Die bloße Nutzung von Dienstleistern ohne Zugriff auf personenbezogene Daten (z.B. anonyme CDN-Bereitstellung, reine Paketzustellung) ist keine Unterauftragsverarbeitung i.S.d. DSGVO.

§ 11 Unterstützungspflichten

Caelex unterstützt den Kunden angemessen bei der Einhaltung seiner Pflichten nach den Art. 32 bis 36 DSGVO, insbesondere:

• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 DSGVO);
• rasche Wiederherstellbarkeit nach Zwischenfällen;
• Unterstützung bei der Meldung von Schutzverletzungen (§ 12);
• Unterstützung bei der Datenschutz-Folgenabschätzung (§ 13);
• Unterstützung bei der vorherigen Konsultation mit der Aufsichtsbehörde, soweit erforderlich.

Unterstützungsleistungen, die über die in diesem DPA vereinbarten Pflichten hinausgehen, werden von Caelex nach Zeitaufwand zu branchenüblichen Sätzen berechnet.

§ 12 Meldung von Schutzverletzungen

(1) Caelex informiert den Kunden unverzüglich, spätestens innerhalb von 72 Stunden ab Kenntniserlangung, schriftlich oder in Textform über Schutzverletzungen personenbezogener Daten, die dem Zuständigkeitsbereich von Caelex zuzurechnen sind.

(2) Die Meldung enthält, soweit bekannt: Art der Schutzverletzung, Kategorien und ungefähre Zahl der Betroffenen, Kategorien und ungefähre Zahl der betroffenen Datensätze, wahrscheinliche Folgen, ergriffene Abhilfemaßnahmen.

(3) Der Kunde ist verantwortlich für die Meldung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und gegebenenfalls an betroffene Personen (Art. 34 DSGVO). Caelex unterstützt bei der Erstellung der Meldungen.

(4) Der zentrale Meldekanal bei Caelex ist security@caelex.eu sowie privacy@caelex.eu. Caelex führt ein Register aller Schutzverletzungen und stellt diesen Eintrag dem Kunden auf Anforderung zur Verfügung.

§ 13 Datenschutz-Folgenabschätzung

(1) Soweit der Kunde nach Art. 35 DSGVO zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt Caelex mit angemessenen Informationen, insbesondere durch Bereitstellung von Produktbeschreibungen, TOMs, Sub-Auftragsverarbeiter-Informationen und ggf. Zusammenfassungen interner Risikoanalysen.

(2) Caelex ist nicht verpflichtet, eigene Datenschutz-Folgenabschätzungen an den Kunden herauszugeben, soweit diese Geschäftsgeheimnisse enthalten.

§ 14 Rückgabe und Löschung

(1) Nach Beendigung der Erbringung der Verarbeitungsleistung stellt Caelex dem Kunden die personenbezogenen Daten innerhalb von 30 Tagen in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung (Export). Nach Ablauf der Exportfrist oder auf Wunsch des Kunden erfolgt die Löschung.

(2) Die Löschung erfolgt auf allen Produktivsystemen binnen 30 Tagen, auf Backup-Systemen spätestens mit Ablauf des regulären Backup-Zyklus von 90 Tagen. Die Löschung wird protokolliert; der Kunde kann eine Löschbestätigung anfordern.

(3) Gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Pflichten) gehen der Löschung vor. Caelex informiert den Kunden, welche Daten aus welchem Grund und für welche Dauer weiter aufbewahrt werden müssen.

(4) Aggregierte, vollständig anonymisierte Daten ohne Personenbezug und ohne Re-Identifizierungsmöglichkeit dürfen für statistische und Produktverbesserungszwecke weiter genutzt werden.

§ 15 Rechte der betroffenen Personen

(1) Caelex unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen (Art. 15–22 DSGVO), insbesondere durch Self-Service-Funktionen, Exporte und gezielte Löschung.

(2) Wendet sich eine betroffene Person unmittelbar an Caelex, leitet Caelex den Antrag unverzüglich an den Kunden weiter und beantwortet ihn nicht selbst, soweit nicht ausdrücklich durch den Kunden angewiesen oder rechtlich zwingend.

§ 16 Nachweise und Kontrollen

(1) Caelex stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO und dieses DPA zur Verfügung, insbesondere durch Bereitstellung aktueller TOM-Dokumentation, Sub-Auftragsverarbeiter-Liste und ggf. Auditberichten Dritter (z.B. ISO 27001-Zertifikate des Hostings, SOC 2 Reports).

(2) Der Kunde ist berechtigt, einmal pro Kalenderjahr — bei begründetem Anlass (z.B. dokumentierte Schutzverletzung) auch häufiger — eine Überprüfung durchzuführen. Die Überprüfung erfolgt nach Ankündigung mit mindestens 30 Kalendertagen Vorlauf.

(3) Überprüfungen sollen die Geschäftstätigkeit von Caelex nicht unangemessen beeinträchtigen, werden vorrangig durch Vorlage von Dokumentation, Zertifikaten und schriftlichen Auskünften erfüllt. Vor-Ort-Prüfungen erfolgen nur, wenn Dokumentenprüfung nicht ausreicht.

(4) Der Kunde kann die Überprüfung durch einen geeigneten, zur Berufsverschwiegenheit verpflichteten Dritten (z.B. zugelassener Wirtschaftsprüfer) durchführen lassen. Wettbewerber von Caelex sind als Prüfer ausgeschlossen.

(5) Kosten für eigene Prüfungen trägt der Kunde, außer die Prüfung deckt wesentliche Mängel auf, die Caelex zu vertreten hat.

§ 17 Haftung

(1) Für die Haftung nach Art. 82 DSGVO gelten die allgemeinen Bestimmungen der DSGVO. Im Innenverhältnis gilt ergänzend der Haftungsrahmen aus § 26 der AGB V3.0.

(2) Soweit Caelex und Kunde gesamtschuldnerisch haften, haftet im Innenverhältnis diejenige Partei vorrangig, deren Verantwortungsbereich die Ursache zuzurechnen ist.

(3) Der Kunde stellt Caelex im Innenverhältnis von Ansprüchen frei, die auf Weisungen des Kunden oder auf Rechtswidrigkeit der Verarbeitung in der Sphäre des Kunden beruhen.

§ 18 Internationale Datentransfers

(1) Eine Übermittlung personenbezogener Daten in Drittländer i.S.d. Art. 44 ff. DSGVO erfolgt ausschließlich, wenn eine Rechtsgrundlage nach Art. 45 bis 49 DSGVO vorliegt.

(2) Für Transfers an Sub-Auftragsverarbeiter mit Sitz in den USA oder anderen Drittstaaten ohne Angemessenheitsbeschluss nutzt Caelex die EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914, Modul 2 (Controller-to-Processor) oder Modul 3 (Processor-to-Processor), in der jeweils aktuellen Fassung.

(3) Wo anwendbar, nutzt Caelex ergänzend das EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795).

(4) Ergänzende Schutzmaßnahmen (Verschlüsselung, Zugriffsbeschränkung, Transparenzberichte) werden in den TOMs in Anlage 1 dokumentiert.

(5) Der Kunde stimmt mit Abschluss dieses DPA den in Anlage 2 beschriebenen Drittlandtransfers ausdrücklich zu.

§ 19 Geheimhaltung

(1) Caelex verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit. Die Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort.

(2) Ergänzend gilt die Vertraulichkeitsklausel § 22 der AGB V3.0.

§ 20 Sonstige Bestimmungen

(1) Änderungen und Ergänzungen dieses DPA bedürfen der Textform. Dies gilt auch für die Änderung dieser Schriftformklausel.

(2) Sollten einzelne Bestimmungen dieses DPA unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Im Falle eines Widerspruchs zwischen diesem DPA und anderen Vereinbarungen der Parteien geht dieser DPA für die hier geregelten Gegenstände vor.

(4) Für diesen DPA gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(5) Die deutsche Fassung dieses DPA ist rechtlich maßgeblich. Englischsprachige Fassungen dienen ausschließlich der Information.

Anlage 1 Technische und organisatorische Maßnahmen (TOMs)

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Hostinginfrastruktur in zertifizierten Rechenzentren (ISO 27001, SOC 2 Type II) der Infrastrukturpartner. Caelex selbst betreibt keine On-Prem-Server mit Produktivdaten.
• Zugangskontrolle: Multi-Faktor-Authentifizierung für alle privilegierten Zugänge (TOTP und/oder WebAuthn/FIDO2). Passwort-Policy mit Mindestlänge 12, Hash mittels bcrypt (12 Runden). Automatische Account-Sperre nach fünf fehlgeschlagenen Login-Versuchen binnen 15 Minuten.
• Zugriffskontrolle: Role-Based Access Control (RBAC) mit Rollen Owner, Admin, Manager, Member, Viewer. Prinzip der minimalen Berechtigung. Trennung von Mandantendaten durch pro-Organisation-Isolation auf Anwendungs- und Datenbankschicht.
• Trennungskontrolle: Mandantentrennung auf Ebene der Anwendungs-Datenbank; separate Schlüsselableitung pro Organisation bei feldweisem Encryption.
• Pseudonymisierung / Verschlüsselung: sensible Datenbankfelder (VAT, Bankverbindungen, Steuer-ID, Policen-Nummern) werden mittels AES-256-GCM und Scrypt-Schlüsselableitung pro Mandant verschlüsselt. Transportverschlüsselung ausnahmslos TLS 1.2+.

B. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: Datenübermittlung ausschließlich verschlüsselt. Interne Service-Service-Kommunikation über authentifizierte Kanäle. API-Aufrufe über HMAC-signierte Requests bei sensiblen Endpunkten.
• Eingabekontrolle: Revisionssichere Audit-Logs mit SHA-256-Hash-Verkettung jeder Änderung. Audit-Log manipulationssicher durch Hash-Chain. Aufbewahrungsfristen je nach Datenkategorie.

C. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

• Backups: automatisch täglich, kryptographisch geschützt; Aufbewahrung mindestens 30 Tage (Point-in-Time Recovery des Datenbanksystems).
• Verfügbarkeitsziel: 99,5 % monatlich (siehe § 16 AGB).
• Hochverfügbarkeit durch verteilte Edge-Infrastruktur und regionsübergreifende Replikation der Datenbank.
• Regelmäßige Wiederherstellungstests.

D. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Datenschutz-Management: dokumentierte Verfahren; privacy@caelex.eu als zentraler Kanal.
• Incident-Response: dokumentierter Prozess mit 72-Stunden-Meldefrist (Art. 33 DSGVO).
• Anomalieerkennung und Intrusion-Monitoring mit automatisierten Alerts (Honey-Token, Brute-Force-Detection, Anomalie-Detection-Engine).
• Security-Audit-Logs inkl. Login-Events, API-Aufrufen, Änderungen an Zugriffsrechten.
• Regelmäßige Abhängigkeits- und Schwachstellenprüfungen (Dependabot, CodeQL, TruffleHog Secret Scanning, OWASP Dependency Checks).
• Auftragskontrolle: Sub-Auftragsverarbeiter vertraglich verpflichtet, siehe Anlage 2.
• Datenschutzfreundliche Voreinstellungen (Privacy by Default) bei der Benutzeroberfläche.

E. Organisatorische Maßnahmen

• Verpflichtung der Mitarbeiter auf Vertraulichkeit und Datenschutz; regelmäßige Schulungen.
• Dokumentierte Richtlinien zu Passwort- und Gerätesicherheit.
• Getrennte Umgebungen für Entwicklung, Staging und Produktion.
• Zwei-Personen-Prinzip bei Produktivänderungen mit hohem Risiko.
• Pre-Commit-Hooks (ESLint, TypeScript, Geheimnis-Scan) vor Commits.

Anlage 2 Sub-Auftragsverarbeiter

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter werden hier in Kategorien genannt. Die vollständige, aktuelle Liste ist unter caelex.eu/legal/sub-processors abrufbar.

• Hosting / Edge Network: Vercel Inc. (USA) — Standardvertragsklauseln Modul 3; EU-US DPF; Daten überwiegend in EU-Regionen.
• Datenbank (Managed Postgres): Neon Inc. (USA) — EU-Datenhaltung (eu-central-1); Standardvertragsklauseln Modul 3.
• Rate Limiting / Caching: Upstash Inc. (USA) — Standardvertragsklauseln Modul 3; EU-US DPF.
• Zahlungsabwicklung: Stripe Payments Europe Ltd. (Irland) — eigenverantwortlich für Zahlungsdaten; Caelex speichert keine Kartendaten.
• E-Mail-Versand: Resend Inc. (USA) — Standardvertragsklauseln Modul 3.
• Fehler- und Performance-Monitoring: Functional Software Inc. (dba Sentry, USA) — konfiguriert mit PII-Scrubbing.
• KI-Inferenz: Anthropic PBC (USA) — Standardvertragsklauseln Modul 3; Eingaben werden nicht zum Modell-Training genutzt (Zero-Data-Retention-Vereinbarung).

Bei Änderungen dieser Liste informiert Caelex den Kunden mindestens 30 Tage im Voraus (§ 10 dieses DPA).