📋Trust Center · Art. 28 DSGVO

Sub-Prozessoren

Vollstaendige Liste aller Auftragsverarbeiter, die KanzleiAI zur Erbringung seiner Dienstleistungen einsetzt. Jeder Sub-Prozessor ist vertraglich zur Einhaltung der DSGVO verpflichtet. Standard-Vertragsklauseln (SCC) gemäß EU-Kommission-Beschluss 2021/914 liegen vor.

Gesamt: 10 Sub-Prozessoren

CLOUD Act relevant: 7

Stand: 24. April 2026

⚠️ Hinweis CLOUD Act (US-Behörden-Zugriff)

Einige Sub-Prozessoren sind US-Konzernen zugeordnet und unterliegen damit dem US-amerikanischen CLOUD Act. Auch bei physischer Datenspeicherung in der EU kann theoretisch ein Herausgabeverlangen durch US-Behörden erfolgen. Für Mandate mit besonders hohen Vertraulichkeitsanforderungen (z.B. oeffentliche Hand, regulierte Branchen, strafrechtlich relevante Mandate) bieten wir einen EU-Souveraenitaets-Modus mit europäischen LLM-Providern ohne US-Nexus als Option.

☁️

Hosting & Infrastruktur

Vercel Inc.

Frontend-Hosting

Bereitstellung der Web-Anwendung, Edge-Caching, CDN für statische Inhalte.

CLOUD Act relevant

Standort: Frankfurt am Main (fra1)
AVV-Status: integriert · SCC vorhanden
Verarbeitete Datenkategorien: Session-Cookies · IP-Adressen (anonymisiert) · HTTP-Request-Metadaten
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

Neon Inc.

Datenbank-Hosting

PostgreSQL-Datenbank mit tenant-spezifischer Row-Level Security. Speicherung von Vertragsmetadaten, Analyse-Ergebnissen, Audit-Logs.

CLOUD Act relevant

Standort: Frankfurt (eu-central-1)
AVV-Status: integriert · SCC vorhanden
Verarbeitete Datenkategorien: Vertragstexte (verschlüsselt) · Analyse-Ergebnisse · Audit-Events · Nutzerdaten
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

Cloudflare, Inc.

CDN & DDoS-Schutz

Content Delivery, Bot-Abwehr, TLS-Termination am Edge.

CLOUD Act relevant

Standort: Global (EU-Routing bevorzugt)
AVV-Status: integriert · SCC vorhanden
Verarbeitete Datenkategorien: IP-Adressen · Request-Headers · User-Agent-Strings
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

🧠

KI-Anbieter (Multi-Provider-Routing)

Anthropic PBC

Primaeres KI-Modell (claude-sonnet-4.6)

Vertragsanalyse-Pipeline: Risiko-Bewertung und Formulierungsvorschlaege. Kein Training mit Kundendaten (Zero-Data-Retention-API).

CLOUD Act relevant

Standort: AWS us-east-1 (US) — EU-Hosting aktuell nicht verfügbar
AVV-Status: verfügbar · SCC vorhanden
Verarbeitete Datenkategorien: Extrahierter Vertragstext (Textauszug, max. 16000 Zeichen)
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

OpenAI, L.L.C.

Sekundaeres KI-Modell (gpt-4o-mini, gpt-4o)

Extraktionsphase der Vertragsanalyse (strukturierte Daten). Kein Training mit API-Daten (Opt-out-Default).

CLOUD Act relevant

Standort: Azure EU-Region (weu) bei Enterprise-Tier, sonst US
AVV-Status: verfügbar · SCC vorhanden
Verarbeitete Datenkategorien: Extrahierter Vertragstext · Prompt-Metadaten
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

Google LLC (Gemini API)

Optionales KI-Modell + OCR-Fallback (gemini-1.5-flash)

OCR-Extraktion bei gescannten PDFs ohne Text-Layer. Schnelle Voranalyse.

CLOUD Act relevant

Standort: Google Cloud EU (europe-west3)
AVV-Status: verfügbar · SCC vorhanden
Verarbeitete Datenkategorien: PDF-Binaerdaten (nur bei OCR-Fallback) · Extrahierter Text
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

🔐

Authentifizierung & Identitaet

NextAuth.js / Auth.js

Authentifizierungs-Framework

Self-hosted Session-Management auf Kunden-Infrastruktur. Keine Daten an Dritte.

Nicht relevant

Standort: Inhouse (integriert in Vercel-Deployment)
AVV-Status: integriert
Verarbeitete Datenkategorien: Email-Adressen · Session-Tokens
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

💳

Zahlungsabwicklung

Stripe Payments Europe, Ltd.

Zahlungsabwickler (Rechnungen, Abonnements)

Kreditkartenverarbeitung, SEPA-Lastschrift, Rechnungserstellung.

Teilweise relevant

Standort: Irland (EU)
AVV-Status: integriert · SCC vorhanden
Verarbeitete Datenkategorien: Zahlungsdaten · Rechnungsadresse · USt-ID
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

📊

Monitoring & Support

Sentry.io (Functional Software, Inc.)

Error-Tracking

Erfassung von Programmfehlern zur Fehleranalyse. Scrubbing sensibler Felder aktiv.

CLOUD Act relevant

Standort: Frankfurt (EU-Region)
AVV-Status: integriert · SCC vorhanden
Verarbeitete Datenkategorien: Fehler-Stacktraces · User-ID (pseudonymisiert)
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

Resend, Inc.

Transaktions-E-Mail

System-E-Mails (Passwort-Reset, Onboarding, Benachrichtigungen). Keine Newsletter.

Teilweise relevant

Standort: AWS eu-west-1 (Dublin)
AVV-Status: integriert · SCC vorhanden
Verarbeitete Datenkategorien: Email-Adressen · E-Mail-Inhalte (System-generiert)
Vertragsdokumente: DPA / AVV des Anbieters ansehen →

Änderungen an der Sub-Prozessoren-Liste

Kunden werden mindestens 30 Tage vor Aufnahme eines neuen Sub-Prozessors schriftlich informiert (Art. 28 Abs. 2 lit. d DSGVO). Die Widerspruchsfrist betraegt 14 Tage. Bei begruendetem Widerspruch wird im Einzelfall eine alternative Loesung gesucht.

← Datenschutzerklärung Trust Center →Benachrichtigungen anfordern