Transparenz · Art. 28 DSGVO
Subprozessoren
& Drittland-Transfers
Vollständige Liste aller Dienstleister, die im Rahmen unserer Produkte personenbezogene Daten verarbeiten. Für B2B-Einkäufer, Compliance-Verantwortliche und neugierige Kunden.
Stand: 23. April 2026
Kern-Daten in Deutschland
Ihre produktiven Mandanten- und Mitarbeiterdaten (VVT, AVV, TOMs, Datenpannen, DSAR, Assessments, Schulungsfortschritt) liegen ausschließlich auf Servern der Hetzner Online GmbH in den ISO-27001-zertifizierten Rechenzentren Falkenstein und Nürnberg. Verschlüsselt at Rest und in Transit. Kein US-Transfer für diese Daten.
Rand-Services mit klarer Rechtsgrundlage
Für E-Mail-Versand, Zahlungen, KI-Features und CDN nutzen wir bewusst wenige, etablierte Dienstleister. Alle US-Anbieter sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Standardvertragsklauseln + Transfer Impact Assessment greifen als Fallback.
Vollständige Liste
Hetzner Online GmbH
Kern-Infrastruktur- Sitz
- Gunzenhausen, DE (Rechenzentren Falkenstein + Nürnberg)
- Betroffene Produkte
- alle (Hugo DSB, Hugo Shield, Hugo Check)
- Rolle
- Hosting · Rechenzentrum · Server- und Storage-Infrastruktur
- Rechtsgrundlage (primär)
- EU-intern – kein Drittland-Transfer
- Fallback
- —
- Zertifizierungen
- ISO 27001, ISO 9001, ISO 14001, TÜV-geprüft, DIN EN 50600
- Hinweis
- Unsere gesamte Primär-Datenhaltung (Postgres, Storage, Self-Hosted Supabase) läuft auf Hetzner-Servern in Deutschland.
Resend Inc.
Rand-Service- Sitz
- San Francisco, USA
- Betroffene Produkte
- alle
- Rolle
- Transaktions-E-Mails (Signup-Bestätigung, Rechnungen, System-Benachrichtigungen)
- Rechtsgrundlage (primär)
- EU-US Data Privacy Framework (DPF) – Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023
- Fallback
- Standardvertragsklauseln SCC 2021/914 + Transfer Impact Assessment
- Zertifizierungen
- DPF-zertifiziert, SOC 2 Type II
- Hinweis
- Versendete E-Mails enthalten keine produktiven Kundendaten außerhalb des E-Mail-Inhalts selbst.
Brevo (Sendinblue SAS)
Rand-Service- Sitz
- Paris, FR
- Betroffene Produkte
- alle
- Rolle
- CRM, Meetings (Online-Terminbuchung), Marketing- und Onboarding-Mails
- Rechtsgrundlage (primär)
- EU-intern – kein Drittland-Transfer
- Fallback
- —
- Zertifizierungen
- ISO 27001, Privacy Shield (historisch), GDPR-Compliance
- Hinweis
- Marketing-Kontakte (newsletter.fraghugo.de) und Meeting-Bookings via meet.brevo.com/fraghugo.
Stripe Inc.
Rand-Service- Sitz
- San Francisco, USA
- Betroffene Produkte
- alle
- Rolle
- Zahlungsabwicklung, Rechnungsdaten, Subscription-Management
- Rechtsgrundlage (primär)
- EU-US Data Privacy Framework (DPF)
- Fallback
- SCC 2021/914 + TIA
- Zertifizierungen
- DPF-zertifiziert, PCI-DSS Level 1, SOC 1 + SOC 2
- Hinweis
- Rechnungsdaten werden aus § 257 HGB / § 147 AO für 10 Jahre bei Stripe aufbewahrt. Kreditkarten- und Bankdaten sehen wir nie im Klartext.
OpenAI, L.L.C.
Rand-Service- Sitz
- San Francisco, USA
- Betroffene Produkte
- Hugo DSB Pro, Hugo DSB Enterprise
- Rolle
- KI-Features im Pro- und Enterprise-Tarif (DSE-Generator, VVT-Vorschläge, Hugo-Chatbot, Maßnahmenpläne)
- Rechtsgrundlage (primär)
- EU-US Data Privacy Framework (DPF) + Data Processing Addendum (DPA) nach Art. 28 DSGVO
- Fallback
- SCC 2021/914 + TIA
- Zertifizierungen
- DPF-zertifiziert
- Hinweis
- Wir nutzen ausschließlich die OpenAI API Platform, nicht ChatGPT Consumer. Inputs werden laut OpenAI API Data Usage Policy NICHT zum Training von Modellen genutzt (Default seit März 2023). Speicherung maximal 30 Tage zur Missbrauchs-Erkennung, danach Löschung. Das OpenAI DPA ist unterzeichnet.
Cloudflare, Inc.
Rand-Service- Sitz
- San Francisco, USA
- Betroffene Produkte
- alle
- Rolle
- CDN, DNS, DDoS-Schutz, Web Application Firewall
- Rechtsgrundlage (primär)
- EU-US Data Privacy Framework (DPF)
- Fallback
- SCC 2021/914 + TIA
- Zertifizierungen
- DPF-zertifiziert, ISO 27001, SOC 2 Type II
- Hinweis
- Cloudflare sieht HTTP-Metadaten (Hostname, Pfad, IP). Produktive Nutzlasten sind TLS-verschlüsselt.
Ausdrücklich NICHT Subprozessor
Diese Dienste erfassen keine produktiven Kundendaten und sind daher formal keine Subprozessoren im Sinne von Art. 28 DSGVO. Wir listen sie trotzdem, damit Sie vollständige Transparenz haben.
Microsoft Clarity
Läuft ausschließlich auf den Marketing-Seiten (fraghugo.de) mit explizitem Opt-in via Cookie-Banner. Erfasst KEINE produktiven Kundendaten aus den Hugo-Apps (DSB, Shield, Check).
Matomo Analytics
Self-hosted auf eigenem Server (metomo.it-support-hamburg-24x7.de), DSGVO-konform, keine Daten-Übermittlung an Dritte.
AVV & Änderungshinweise
Mit jedem zahlenden Kunden schließen wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. Den Mustervertrag können Sie als PDF herunterladen. Der AVV enthält die vollständige Liste dieser Subprozessoren, die Technisch-Organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO sowie die Drittland-Transfer-Regelungen nach Kapitel V DSGVO.
Änderungen an dieser Liste teilen wir aktiven Kunden mindestens 4 Wochen vor Inkrafttreten in Textform mit. Innerhalb dieser Frist besteht ein Widerspruchsrecht aus wichtigem datenschutzrechtlichen Grund (§ 8 des AVV).
Fragen zu einem konkreten Subprozessor, Transfer Impact Assessment, oder unserem DSB Nils Oehmichen? info@fraghugo.de – Antwort innerhalb von 24 Stunden.
