RECHTLICHES
Unterauftragsverarbeiter
Zuletzt aktualisiert:
Versionierung
- Version: 1.1
- Stand: 2026-07-03
- Verantwortlich: Kotao GmbH, Köln, Deutschland
- Legal-Review: Rollenklassifizierung und Formulierungen zur Drittlandbasis wurden rechtlich geprüft und am 2026-07-03 freigegeben. Diese Seite ist die operative Veröffentlichung zum Auftragsverarbeitungsvertrag und ersetzt keine rechtliche Einzelfallprüfung.
Anwendungsbereich
Diese Seite benennt Drittanbieter, die personenbezogene Daten für Kotao verarbeiten können, wenn wir Plattform, Marketing-Website, E-Mail-Versand, Zahlungen, Observability, Analyse und optionale KI-Funktionen betreiben. Sie konsolidiert die Angaben zu Unterauftragsverarbeitern aus der Datenschutzerklärung und dem Auftragsverarbeitungsvertrag.
Liste der Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Verarbeitungsregion | Drittlandbasis |
|---|---|---|---|
| Cloudflare | DNS, CDN, WAF, Edge-Sicherheit, Bildauslieferung, Cache und Traffic-Routing für öffentliche und Anwendungssysteme. | Globales Edge-Netzwerk; Konto- und Supportzugriffe können aus den USA erfolgen. | EU-U.S. Data Privacy Framework (DPF) für zertifizierte US-Übermittlungen und Standard Contractual Clauses (SCC), soweit nach Cloudflares DPA erforderlich. |
| Neon | Managed Postgres-Datenbanken, Connection Pooling, Backups und Datenbankbetrieb für Anwendungsdaten. | Ausgewählte EU-Datenbankregionen für Produktionsworkloads, soweit konfiguriert; Support- und Servicebetrieb kann die USA und Unterauftragsverarbeiter des Anbieters einbeziehen. | Neon DPA/SCC für Übermittlungen außerhalb des EWR; DPF/SCC können für zertifizierte nachgelagerte US-Anbieter von Neon gelten. |
| Kotao-Payments-Zahlungsabwickler | Zahlungsabwicklung, Billing, Checkout, Betrugskontrollen, Steuer-/Zahlungsaufzeichnungen und Auszahlungsverarbeitung. | EWR/Vereinigtes Königreich und das jeweils anwendbare Verarbeitungsnetzwerk, abhängig von Zahlungsart, Händler und Standort der Endkundinnen und Endkunden. | DPF, SCC oder gleichwertige Transferkontrollen, soweit für den jeweiligen Zahlungsabwickler erforderlich. |
| Resend | Transaktionale und produktbezogene E-Mail-Zustellung, einschließlich Newsletter-Double-Opt-In und operativer Benachrichtigungen. | USA. | Resend DPF-Zertifizierung und Resend DPA/SCC. |
| Amazon SES | E-Mail-Relay-Infrastruktur und Zustellprotokolle, direkt oder über E-Mail-Anbieter genutzt. | Für die Leistungserbringung ausgewählte AWS-Regionen und globales E-Mail-Routing; US-Zugriffe können für Support und Betrieb erfolgen. | AWS DPF-Zertifizierung und AWS GDPR DPA/SCC. |
| PostHog | Einwilligungsbasierte Produktanalyse, Event-Funnels, Feature-Nutzungsanalyse und Produkttelemetrie. | PostHog Cloud EU, gehostet in Frankfurt am Main; Unterauftragsverarbeiter von PostHog können Support- oder Servicedaten außerhalb des EWR verarbeiten. | EU-Hosting für primäre Analysedaten; SCC/DPF-Kontrollen für Drittlandzugriffe durch PostHog oder dessen Unterauftragsverarbeiter, soweit anwendbar. |
| Sentry | Fehlerüberwachung, Release Health, Stack Traces, Performance-Telemetrie und Source-Map-Verarbeitung. | USA und Service-Standorte, die Sentry für die gehostete Observability-Plattform nutzt. | Sentry Data Privacy Framework (DPF) und SCC/UK Addendum gemäß Sentrys DPA. |
| OpenAI | Optionale KI-Funktionen, Prompt-/Completion-Verarbeitung, Embeddings sowie Sicherheits- und Missbrauchsüberwachung, wenn KI-Module aktiviert sind. | OpenAI Ireland für EWR- und Schweizer Kundendaten gemäß OpenAI DPA; Übermittlungen an OpenAI-Konzerngesellschaften oder Dritte außerhalb des EWR können zur Leistungserbringung erfolgen. | OpenAI DPA mit SCC oder Angemessenheitsbeschluss für Übermittlungen außerhalb des EWR/der Schweiz. |
Änderungsbenachrichtigung und Widerspruch
Kotao informiert mindestens 30 Tage im Voraus, bevor ein neuer Unterauftragsverarbeiter eingesetzt oder Zweck, Region oder Drittlandbasis eines bestehenden Unterauftragsverarbeiters wesentlich geändert wird. Die Benachrichtigung kann an den Account-Kontakt gesendet, auf dieser Seite veröffentlicht oder über einen anderen vertraglichen Benachrichtigungskanal erfolgen. Kunden können innerhalb der 30-Tage-Frist gemäß Auftragsverarbeitungsvertrag widersprechen.
Für ein Abo der Änderungsbenachrichtigungen oder einen Widerspruch schreiben Sie an legal@kotao.com mit dem Betreff Sub-processor notice.
Änderungsprotokoll
- 2026-07-03 — v1.1: Legal-Review abgeschlossen und Freigabe dokumentiert; Review-Vormerkung entfernt. Keine inhaltlichen Änderungen an der Liste.
- 2026-06-25 — v1.0: Erstveröffentlichung der namentlichen Unterauftragsverarbeiter, Zwecke, Verarbeitungsregionen, Drittlandbasis, 30-Tage-Änderungsbenachrichtigung und Legal-Review-Marker.
Rechtsbereich
Weitere Dokumente.
Datenschutz, Sicherheit, Vertragsbedingungen und Nutzungsregeln gehören zusammen, wenn Sie Kotao für mehrere Teams bewerten.
-
Allgemeine Geschäftsbedingungen
Die Bedingungen für die Nutzung der Kotao-Plattform und -Dienste.
-
Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag der Kotao GmbH gemäß Art. 28 DSGVO.
-
Bedingungen für die Zahlungsabwicklung (Kotao Payments)
Ergänzende Bedingungen für die integrierte Zahlungsabwicklung über die Kotao-Plattform.
-
Cookie-Richtlinie
Wie Kotao Cookies und ähnliche Technologien einsetzt.
-
Datenschutzerklärung
Wie die Kotao GmbH Ihre personenbezogenen Daten gemäß DSGVO erhebt, nutzt und schützt.
-
Impressum
Anbieterkennzeichnung der Kotao GmbH gemäß § 5 DDG.
-
Meldung rechtswidriger Inhalte (DSA)
Melde- und Abhilfeverfahren nach Art. 16 DSA und Kontaktstellen der Kotao GmbH.
-
Nutzungsrichtlinie
Auf der Kotao-Plattform verbotene Aktivitäten.
-
Sicherheitshinweise
Wie Sie Sicherheitslücken an Kotao melden.