Compliance · Article 11.8
Auftragsverarbeiter: wer Clozo nutzt, wohin Daten fließen und warum das sicher ist
Clozo nutzt 10 Auftragsverarbeiter für den Betrieb des Dienstes (gemäß Datenschutzerklärung §6); 6 sind EU-ansässig, 5 sind US-ansässig mit aktiver EU-US-Datenschutzrahmen-Zertifizierung + Standardvertragsklauseln + zusätzlichen Maßnahmen, die in unserem Transfer Impact Assessment dokumentiert sind. Crisp wurde in BATCH-2026-05-07-003 BUG-001 hinzugefügt.
Modernes SaaS läuft auf Infrastruktur Dritter. Die Frage im Sinne der DSGVO lautet nicht „nutzen Sie Dritte?", sondern „kontrollieren Sie die Beziehung und dokumentieren Sie die Schutzmaßnahmen?" Clozo führt eine veröffentlichte Liste aller Auftragsverarbeiter, der von ihnen erhaltenen Daten und des rechtlichen Mechanismus für Übermittlungen außerhalb der EU. Dieser Artikel erläutert die Liste, die Kategorien und den Schrems-II-Rahmen, der US-Übermittlungen regelt.
Why this works this way
Die vollständige Auftragsverarbeiterliste (entspricht docs/compliance/RoPA.md „Auftragsverarbeiterliste" und Datenschutzerklärung §6 – 10 Einträge):
| # | Auftragsverarbeiter | Funktion | Region | Übermittlungsmechanismus |
|---|---|---|---|---|
| 1 | Stripe Payments Europe Ltd + Stripe Inc. | Abonnementabrechnung + Zahlungsabwicklung (EU-seitige Verantwortliche in Irland; US-seitige Verarbeiterin für bestimmte Vorgänge) | Irland (primär) + USA (Delaware) | Intern EU + EU-US DPF + SCC Modul 2 |
| 2 | Railway Corp. | Backend + Celery + PostgreSQL-Hosting | EU (Region: europe-west4, Niederlande) | EU-US DPF + SCC (Kontrollebene in USA) |
| 3 | Cloudflare Inc. | Edge-CDN, DDoS, Workers (Frontend, Marketing-Site, Admin) | Globale Edge mit EU-Region-Routing für Eingangsverkehr | EU-US DPF + SCC |
| 4 | PostHog Inc. | Produkt-Analytics – Erfassung auf EU-Servern (eu.i.posthog.com) | UK-Hauptsitz; EU-Instanz in Frankfurt, Deutschland | UK-Angemessenheitsbeschluss + SCC |
| 5 | Google Ireland Ltd + Google LLC | Google Ads + GA4-Konversionsattribution | Irland (Verantwortliche) → USA (Auftragsverarbeiterin) | EU-US DPF + Google SCC |
| 6 | Resend Inc. | Transaktionaler E-Mail-Versand | USA (Delaware), mit EU-Frankfurt-Zustellinfrastruktur | EU-US DPF + SCC Modul 2 + Resend DPA |
| 7 | Gotenberg | PDF-Rendering – selbst gehostet auf Railway | EU (innerhalb Railway) | Intern EU |
| 8 | Cloudflare R2 | Objektspeicher für PDFs und E-Rechnungs-XML | EWR-Region | Intern EU |
| 9 | Crisp IM SAS + Crisp IM, Inc | Kundensupport-Chat (einwilligungsgesteuert) | Frankreich (primär) + USA | EU-US DPF + SCC |
| 10 | Sentry (Functional Software, Inc.) | Fehlerüberwachung | EU-Region (de.sentry.io) | Intern EU (mit US-Fallback unter SCC bei EU-Instanzausfall) |
Der Schrems-II-Rahmen. Das Urteil des Gerichtshofs der Europäischen Union in Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems (Rechtssache C-311/18, 2020) erklärte das EU-US Privacy Shield für ungültig und entschied, dass US-Überwachungsrecht (insbesondere FISA Section 702 und Executive Order 12333) keinen „im Wesentlichen gleichwertigen" Schutz wie die DSGVO für in die USA übermittelte EU-Personendaten gewährleistet. Zwei Konsequenzen:
1. SCC (Standardvertragsklauseln) bleiben als rechtlicher Mechanismus gültig – Beschluss (EU) 2021/914 veröffentlichte 2021 die neuen modularen SCC – aber der Verantwortliche muss beurteilen, ob der Importeur aufgrund des lokalen Überwachungsrechts tatsächlich gleichwertigen DSGVO-Schutz gewährleisten kann. Diese Beurteilung ist das Transfer Impact Assessment (TIA). 2. Zusätzliche Maßnahmen (Verschlüsselung, Pseudonymisierung, Datensparsamkeit) können erforderlich sein, wo lokales Recht sonst unverhältnismäßigen Zugang ermöglichen würde.
Der EU-US-Datenschutzrahmen (DPF), in Kraft seit dem 10. Juli 2023 (Durchführungsbeschluss der Kommission (EU) 2023/1795), stellt die Angemessenheit für teilnehmende US-Importeure wieder her. Unternehmen zertifizieren sich beim US-Handelsministerium; Zertifizierungen sind unter https://www.dataprivacyframework.gov/list aufgeführt. Alle fünf US-Auftragsverarbeiter von Clozo verfügen zum Datum dieser Dokumentenversion über eine aktive DPF-Zertifizierung.
Clozos TIA-Ansatz (vollständiges Dokument unter docs/compliance/TIA_us_subprocessors.md):
Für jeden US-Auftragsverarbeiter wenden wir die EDPB-Empfehlungen 01/2020 in sechs Schritten an:
1. Übermittlungen kennen: in der obigen Tabelle dokumentiert mit Volumen + Zweck + Rechtsgrundlage.
2. Übermittlungsinstrument identifizieren: DPF (primär) + SCC Modul 2 (Backup) + auftragsverarbeiterspezifischer DPA.
3. Wirksamkeit bewerten: je Importeur Überprüfung der FISA-702-/EO-12333-/CLOUD-Act-Exposition.
4. Zusätzliche Maßnahmen ergreifen: Pseudonymisierung (SHA-256-Hashing für Google), Datensparsamkeit (keine personenbezogenen Daten über das Notwendige hinaus), Verschlüsselung im Ruhezustand und bei der Übertragung, Aufbewahrungsfristen.
5. Verfahrensschritte: DPA unterzeichnen, jährlich aktive DPF-Zertifizierung verifizieren, TIA dokumentieren, Feld recipients in RoPA aktualisieren, Datenschutzerklärung §5/§6 aktualisieren.
6. Neubewertung: ausgelöst durch Schrems-III-Urteil, DPF-Entzug oder Auftragsverarbeiterwechsel.
Wesentliche Bewertungen je Importeur (aus dem TIA):
- Stripe: nicht als Electronic Communication Service Provider nach FISA 702 eingestuft (ist ein Zahlungsabwickler nach Bank Secrecy Act). Risiko GERING. DPF + SCC ausreichend. - Resend: E-Mail-Dienst – könnte plausibel als ECSP eingestuft werden, aber Volumen ist gering + Inhalt ist transaktional (kein Marketing, kein Targeting). Risiko GERING mit zusätzlichen Maßnahmen. - Google: historisch in FISA-702-Anordnungen genannt. Abhilfemaßnahme: wir senden nur SHA-256-gehashte Kennungen + Klick-IDs + Transaktionswerte – ohne Klartext nicht umkehrbar, pseudonym, aggregiert. Consent Mode v2 an jeden Upload angehängt. Netto: DPF + SCC + Pseudonymisierung = „im Wesentlichen gleichwertiger Schutz". - PostHog: Erfassung auf EU-Servern; nur operativer Support (Debugging, Bereitschaft) kann US-weit erfolgen. Nur pseudonyme IDs. Netto: DPF + SCC + EU-Erfassungszuständigkeit = angemessen. - Cloudflare: potenziell als ECSP nach FISA 702 für CDN-Rolle eingestuft. Abhilfemaßnahme: Datensparsamkeit (nur IP + Pfad + Statuscode, keine Nutzdaten). Transparenzberichte zeigen ca. 0 FISA-Anordnungen für Nicht-US-Kleinstvolumen-Objekte. Netto: DPF + SCC + Edge-Minimierung angemessen.
Neuer Auftragsverarbeiter-Prozess (Art. 28(2)): Clozos Nutzungsbedingungen erteilen allgemeine Einwilligung zur Nutzung von Auftragsverarbeitern. Wenn wir einen neuen hinzufügen:
1. Auftragsverarbeiterliste in diesem Artikel + RoPA.md + Datenschutzerklärung §5/§6 aktualisieren.
2. Alle bestehenden Kunden mindestens 30 Tage im Voraus per E-Mail benachrichtigen.
3. Das 30-Tage-Fenster ist Ihre Einspruchsfrist – wenn Sie aus berechtigten Gründen Einspruch erheben, können Sie den Vertrag mit Erstattung vorausbezahlter Gebühren kündigen.
4. Feld recipients der betroffenen ProcessingActivity-Zeile in der Produktion aktualisieren.
Troubleshooting
Keep reading
Compliance
GDPR: what Clozo stores about you, why, and for how long
Clozo runs 13 distinct processing activities under GDPR Art. 30. Each one has a documented purpose, a lawful basis under Art. 6(1), a recipient list, and a retention window. This article is the user-facing summary of our Records of Processing Activities.
Compliance
Data-subject requests: how clients exercise GDPR rights and what you must do
Articles 15–22 GDPR give your clients the right to access, correct, port, or erase the personal data you hold about them. As a controller of *your* clients' data, you have one month to respond. Clozo's tooling helps you answer each request efficiently.