Sub-Auftragsverarbeiter

Nach Art. 28 Abs. 4 DSGVO listen wir hier die Kategorien und wesentlichen Sub-Auftragsverarbeiter auf, die im Rahmen des SlideBuddy-Betriebs personenbezogene Daten verarbeiten. Aus betrieblichen Gründen (technische Fortentwicklung, Verfügbarkeitsstrategie) können wir im Einzelfall weitere Auftragsverarbeiter derselben Kategorien einsetzen; diese werden den Auftraggebern auf Anfrage mitgeteilt.

Hosting und Datenbankbetrieb

Bereitstellung der Anwendung, Datenbank und Datei-Speicher. Verarbeitung ausschließlich in EU-Rechenzentren.

Hetzner Online GmbH

Gunzenhausen, Deutschland

Leistung: Cloud-Hosting (IaaS), PostgreSQL-Datenbank, Datei-Speicher

Verarbeitungsregion: Falkenstein / Nürnberg (DE)

Zweck: Betrieb der gesamten Anwendung. Speicherung der Account-Daten, Konversationen, hochgeladenen Quelldokumente und persönlichen Templates. ISO 27001 zertifiziert.

Datenkategorien: Sämtliche Anwendungsdaten (Account-Daten, Konversationen, Uploads, Audit-Log).

AVV / DPA des Anbieters →

KI-Inferenz

Verarbeitung hochgeladener Inhalte und Chat-Eingaben durch generative KI-Modelle zur Erstellung der Präsentationen. Sämtliche Inferenz erfolgt ausschließlich in EU-Regionen. Kein Training auf Kundendaten.

Mistral AI SAS

Paris, Frankreich

Leistung: LLM-Inferenz über die API „La Plateforme"

Verarbeitungsregion: Frankreich / Irland

Zweck: Generierung von Folien-Inhalten und Konversations-Antworten. Kein Training auf Kundendaten (No-Training-Modus). Eingaben/Ausgaben werden maximal 30 Tage zur Missbrauchserkennung vorgehalten.

Datenkategorien: Inhalte hochgeladener Quelldokumente, Chat-Eingaben, generierte Outputs, technische Request-Metadaten.

AVV / DPA des Anbieters →

Amazon Web Services EMEA SARL

Luxemburg (Konzernmutter: USA)

Leistung: AWS Bedrock — LLM-Inferenz in EU-Regionen

Verarbeitungsregion: Frankfurt (eu-central-1), Irland (eu-west-1)

Zweck: Generierung von Folien-Inhalten über Foundation Models in EU-Regionen. AWS-AVV abgeschlossen; Verarbeitung ausschließlich auf EU-Servern. Kein Training auf Kundendaten.

Datenkategorien: Inhalte hochgeladener Quelldokumente, Chat-Eingaben, generierte Outputs.

AVV / DPA des Anbieters →

Microsoft Ireland Operations Limited

Dublin, Irland (Konzernmutter: USA)

Leistung: Azure OpenAI Service — LLM-Inferenz in EU-Regionen

Verarbeitungsregion: West Europe (Amsterdam), Sweden Central

Zweck: Generierung von Folien-Inhalten über Azure OpenAI Foundation Models. Microsoft-DPA mit EU-Data-Boundary-Commitment. Kein Training auf Kundendaten.

Datenkategorien: Inhalte hochgeladener Quelldokumente, Chat-Eingaben, generierte Outputs.

AVV / DPA des Anbieters →

E-Mail-Versand

Versand transaktionaler E-Mails (Passwort-Reset, Account-Bestätigungen). Kein Versand von Marketing- oder Tracking-Mails.

SMTP-Provider (EU)

EU (konkreter Anbieter siehe aktuelle Subprozessoren-Liste auf Anfrage)

Leistung: SMTP-Transaktionsmail

Verarbeitungsregion: EU

Zweck: Versand von Passwort-Reset-Links und Account-Lösch-Bestätigungen.

Datenkategorien: E-Mail-Adresse, Inhalt der Transaktionsmail.

Verarbeitungsort: Die KI-Inferenz erfolgt ausschließlich in EU-Rechenzentren der eingesetzten Anbieter. Bei Auftragsverarbeitern mit US-Konzernmutter (Amazon, Microsoft) gilt die jeweilige EU-Tochtergesellschaft als unser Vertragspartner; vertragliche und technische Schutzmaßnahmen sind im jeweiligen DPA und in den AGB der Anbieter geregelt.

Änderungen: Geplante Änderungen der Sub-Auftragsverarbeiter werden Auftraggebern rechtzeitig vor Wirksamwerden mitgeteilt. Sie haben in diesem Fall ein Widerspruchsrecht. Auf Anfrage stellen wir den vollständigen Auftragsverarbeitungsvertrag (AVV) sowie das Verzeichnis der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO zur Verfügung.

Stand: Mai 2026