Unterauftragsverarbeiter

Stand: 03.06.2026

Für den Betrieb der Bewillo-Plattform setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter bzw. Unterauftragsverarbeiter ein. Diese Liste schafft Transparenz darüber, welche Dienste welche Daten wo verarbeiten — auch dort, wo ein in der EU betriebener Dienst von einem US-Unternehmen bereitgestellt wird. Sie ergänzt unsere Datenschutzerklärung und kann von unseren Auftraggebern (Bildungsträgern) für die eigene Auftragsverarbeitung herangezogen werden.

Hinweis zur Datenübermittlung: Mehrere der unten aufgeführten Dienste werden von Unternehmen mit Sitz in den USA betrieben; die Verarbeitung erfolgt überwiegend auf Servern in der EU (Frankfurt am Main). Nach US-Recht (CLOUD Act, FISA 702) kann ein behördlicher Zugriff auf Daten, die der Kontrolle eines US-Unternehmens unterliegen, nicht vollständig ausgeschlossen werden. Wir sichern Übermittlungen über EU-Standardvertragsklauseln (SCCs) bzw. das EU-US Data Privacy Framework (DPF), Verschlüsselung und Datenminimierung ab. Details in der Datenschutzerklärung.

Eingesetzte Dienste

Vercel

Vercel Inc. · USA

Zweck: Hosting der Anwendung, Auslieferung der Website (CDN)
Verarbeitungsregion: fra1 / eu-central-1 (Frankfurt) — Server-Funktionen
Datenkategorien: Zugriffsdaten (IP-Adresse, Browser-/Geräteinformationen, Zeitstempel)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Server-Funktionen sind auf die Region Frankfurt (fra1) festgelegt.

Datenschutzhinweise des Anbieters

Vercel Blob

Vercel Inc. · USA

Zweck: Speicherung generierter Antragsdokumente (PDF)
Verarbeitungsregion: fra1 (Frankfurt)
Datenkategorien: Antrags- und Teilnehmerdaten in Dokumentform
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Blob-Store auf die Region Frankfurt (fra1) festgelegt; Vercel als US-Unternehmen bleibt über DPF/SCCs abgesichert.

Datenschutzhinweise des Anbieters

Neon

Neon, LLC (Databricks-Konzern) · USA

Zweck: Datenbank (PostgreSQL) der Plattform
Verarbeitungsregion: AWS eu-central-1 (Frankfurt)
Datenkategorien: alle Antrags-, Teilnehmer- und Kontodaten
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Seit der Übernahme durch Databricks firmiert Neon als Neon, LLC; der AVV läuft über die Databricks-Konzernvereinbarung.

Datenschutzhinweise des Anbieters

Clerk

Clerk, Inc. · USA

Zweck: Authentifizierung und Nutzerkonten
Verarbeitungsregion: USA (keine EU-Datenresidenz)
Datenkategorien: E-Mail-Adresse, Name, Login-Metadaten
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Authentifizierungsdaten werden in den USA verarbeitet; der Drittlandtransfer ist über DPF und SCCs abgesichert.

Datenschutzhinweise des Anbieters

AWS Bedrock

Amazon Web Services, Inc. · USA

Zweck: KI-Inferenz für Begründungstexte
Verarbeitungsregion: eu-central-1 (Frankfurt)
Datenkategorien: Name, Rolle, Bildungsabschluss und Tätigkeiten (datenminimiert; ohne SVN, Adresse, Geburtsdatum, E-Mail, Bankdaten)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Bedrock speichert Ein-/Ausgaben nicht dauerhaft, nutzt sie nicht zum Training und gibt sie nicht an Modellanbieter weiter; Verarbeitung in der EU-Region Frankfurt.

Datenschutzhinweise des Anbieters

Fly.io

Fly.io, Inc. · USA

Zweck: Hosting des KI-Gateways und der Hintergrundverarbeitung
Verarbeitungsregion: fra (Frankfurt)
Datenkategorien: Begründungstext-Prompt in Übertragung: Name, Rolle, Bildungsabschluss, Tätigkeiten (ohne SVN/Adresse/Geburtsdatum/E-Mail/Bankdaten)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Region Frankfurt; als US-Unternehmen ohne separate EU-Rechtseinheit — Drittlandtransfer über DPF/SCCs abgesichert.

Datenschutzhinweise des Anbieters

Anthropic (über AWS Bedrock)

Zugriff ausschließlich über Amazon Bedrock — kein Direktvertrag · USA

Zweck: KI-Modell (Claude-Familie) innerhalb von AWS Bedrock
Verarbeitungsregion: eu-central-1 (Frankfurt)
Datenkategorien: Prompt-Daten: Name, Rolle, Bildungsabschluss, Tätigkeiten (ohne SVN/Adresse/Geburtsdatum/E-Mail/Bankdaten)
Übermittlung / Schutz: über den AWS-AVV abgedeckt

Das Modell wird ausschließlich innerhalb von AWS Bedrock aufgerufen; kein eigenständiger Zugriff, kein Training, keine Weitergabe.

Resend

Plus Five Five, Inc. (Resend) · USA

Zweck: Versand transaktionaler E-Mails (Magic-Links, Benachrichtigungen)
Verarbeitungsregion: Versand-Region EU (Irland); Speicherung in den USA
Datenkategorien: E-Mail-Adresse, Name, Nachrichteninhalt (Link)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Die EU-Versandregion (eu-west-1, Irland) steuert nur den Versandweg, nicht den Speicherort: Laut Resend werden alle Kontodaten, E-Mail-Metadaten, Empfängerdaten, Logs und API-Daten unabhängig von der gewählten Versandregion in den USA gespeichert. Der EU-US-Transfer ist über AVV, EU-US Data Privacy Framework und SCCs abgesichert.

Datenschutzhinweise des Anbieters

Upstash

Upstash, Inc. · USA

Zweck: Rate-Limiting / Missbrauchsschutz (Redis)
Verarbeitungsregion: AWS eu-central-1 (Frankfurt)
Datenkategorien: IP-Adresse / Kennung (kurzlebig)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Als US-Unternehmen trotz EU-Region (Frankfurt) CLOUD-Act-relevant; Drittlandtransfer über DPF/SCCs abgesichert.

Datenschutzhinweise des Anbieters

PostHog

PostHog Inc. · USA

Zweck: Produktanalyse (nur mit Einwilligung)
Verarbeitungsregion: PostHog Cloud EU — AWS eu-central-1 (Frankfurt)
Datenkategorien: Nutzungsereignisse, pseudonyme Kennung (IP-Erfassung in der EU-Cloud standardmäßig deaktiviert)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Verarbeitung nur nach Ihrer Einwilligung; Analysedaten in der EU-Cloud (Frankfurt).

Datenschutzhinweise des Anbieters

Sentry

Functional Software, Inc. · USA

Zweck: Fehler- und Diagnoseüberwachung
Verarbeitungsregion: EU (Frankfurt) — de.sentry.io
Datenkategorien: technische Fehlerdaten, ggf. IP-Adresse
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Fehlerdaten in Frankfurt; Kontostammdaten werden zentral in den USA gehalten.

Datenschutzhinweise des Anbieters

HubSpotfakultativ

HubSpot, Inc. · USA

Zweck: CRM-Synchronisation (optional, vom Kunden aktiviert)
Verarbeitungsregion: EU-Rechenzentrum Frankfurt (abhängig von der Portal-Konfiguration)
Datenkategorien: Antrags- und Kontaktdaten
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Nur bei ausdrücklicher Aktivierung durch den Kunden; das EU-Rechenzentrum hängt von der HubSpot-Portal-Konfiguration ab.

Datenschutzhinweise des Anbieters

Stripe

Stripe Payments Europe, Ltd. (Irland) / Stripe, Inc. (USA) · Irland / USA

Zweck: Zahlungsabwicklung
Verarbeitungsregion: Keine wählbare EU-Residenz; Übermittlung in die USA
Datenkategorien: Zahlungsdaten (Karten-/Bankdaten, Rechnungsdaten)
Übermittlung / Schutz: AVV · EU-US Data Privacy Framework · SCCs

Stripe handelt für Zahlungsdaten überwiegend als eigenständiger Verantwortlicher; EU-Vertragspartner ist Stripe Payments Europe, Ltd. (Irland).

Datenschutzhinweise des Anbieters

Selbst gehostete Infrastruktur

Die folgenden Komponenten betreiben wir selbst in Frankfurt am Main; sie sind keine Drittanbieter-Unterauftragsverarbeiter:

DocuSeal — Digitale Signaturseite — selbst gehostet in Frankfurt am Main
Inngest — Hintergrundverarbeitung (Workflows) — selbst gehostet in Frankfurt am Main

Änderungen dieser Liste

Wir aktualisieren diese Liste, wenn sich der Kreis der eingesetzten Dienste ändert. Auftraggeber, mit denen ein Auftragsverarbeitungsvertrag (AVV) besteht, informieren wir über die Hinzunahme oder den Austausch eines Unterauftragsverarbeiters mit angemessener Vorankündigung, sodass ein Widerspruchsrecht ausgeübt werden kann. Maßgeblich ist jeweils die hier veröffentlichte Fassung mit dem oben genannten Stand.