Auftragsverarbeiter
Stand: Mai 2026
Zurück zur Datenschutzerklärung
Gemäß Art. 28 DSGVO setzt SaviCase folgende Auftragsverarbeiter ein. Mit allen Auftragsverarbeitern wurden — soweit erforderlich — Verträge zur Auftragsverarbeitung (AVV) abgeschlossen, die sicherstellen, dass personenbezogene Daten ausschließlich nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.
Sämtliche Auftragsverarbeiter hosten ihre Dienste innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet nicht statt.
| Auftragsverarbeiter | Rolle | Datenkategorien | Zweck | Hosting | AVV |
|---|---|---|---|---|---|
| Supabase Inc. | Auth-Provider & Datenbank-Hosting | E-Mail-Adresse, Passwort-Hash, Name, Team-Zugehörigkeit, Sitzungs-Cookies (Supabase Auth). Alle in SaviCase gespeicherten Mandantendaten (PostgreSQL-Datenbank). | Authentifizierung und Autorisierung der Nutzer (Supabase Auth). Persistente Speicherung aller Applikationsdaten (PostgreSQL-Datenbank via PgBouncer). | EU (Frankfurt, Deutschland) – supabase.io | Verfügbar |
| Hetzner Online GmbH | Server-Hosting & S3 Object Storage | Hochgeladene Dateien und Dokumente (PDF, Bilder, CSV-Exporte). Server-Logfiles (IP-Adresse, Zeitstempel, User-Agent) für Betrieb und Sicherheit. | Betrieb der SaviCase-Anwendung auf Hetzner-Rootservern (Nürnberg). Speicherung benutzergenerierter Dateien im S3-kompatiblen Object Storage (ebenfalls Nürnberg). | Deutschland (Nürnberg) – hetzner.com | Verfügbar |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Zahlungsdaten (Kreditkarteninformationen werden tokenisiert und nicht von SaviCase gespeichert). Rechnungsadresse, E-Mail-Adresse, Zahlungshistorie. | Abwicklung von Abonnement-Zahlungen (Stripe Checkout & Billing). Steuerkonforme Rechnungserstellung und -versand. | EU (Irland) – stripe.com | Verfügbar |
| Google Ireland Ltd. | OAuth-Provider, E-Mail-API, Kalender-API | Google-Nutzer-ID, E-Mail-Adresse, OAuth-Token. E-Mail-Inhalte (Gmail API, nur bei aktiver E-Mail-Integration). Kalender-Termine (Google Calendar API, nur bei aktiver Kalender-Synchronisation). | OAuth-Login (Sign-in with Google). Bidirektionale E-Mail-Synchronisation (Gmail API). Kalender-Synchronisation (Google Calendar API). | EU (Irland) – google.com | Verfügbar |
| Twilio Inc. (SendGrid) | E-Mail-Versand | E-Mail-Adresse des Empfängers, E-Mail-Inhalte (Benachrichtigungen, Einladungen, Export-Dateien per Link). Metadaten (Zustellstatus, Öffnungsrate). | Transaktionale E-Mails: Teameinladungen, Passwort-Zurücksetzung, Zahlungsbestätigungen, Export-Downloadlinks. Kein Marketing-Versand. | EU (Irland) – sendgrid.com | Verfügbar |
| PostHog Inc. | Produkt-Analytics | Pseudonyme Nutzungsdaten: Seitenaufrufe, Feature-Nutzung, Klick-Pfade. Keine personenbezogenen Inhalte aus Mandantendaten. | Analyse der Produktnutzung zur Verbesserung der Benutzerfreundlichkeit. Ausschließlich nach aktiver Einwilligung (Opt-in, konform Art. 6 Abs. 1 lit. a DSGVO). | EU (Frankfurt, Deutschland) – eu.i.posthog.com | Verfügbar |
| Hygraph (GraphCMS) | Content-Management-System (CMS) | Keine personenbezogenen Daten. Inhalte der Landing-Page, Blog-Artikel, FAQ und rechtliche Seiten (Impressum, Datenschutzerklärung, AGB). | Bereitstellung und Verwaltung statischer Webseiten-Inhalte. | EU (Frankfurt, Deutschland) – hygraph.com | Verfügbar |
Hinweis zu Auftragsverarbeitungsverträgen
Die oben verlinkten Dokumente sind die Standard-Datenverarbeitungsbedingungen (Data Processing Agreements, DPA) der jeweiligen Anbieter. Diese wurden von SaviSoft im Rahmen der Nutzung der entsprechenden Dienste akzeptiert. Die DPAs stellen sicher, dass alle Auftragsverarbeiter die gleichen Datenschutzstandards wie SaviCase einhalten und personenbezogene Daten ausschließlich gemäß unseren dokumentierten Weisungen verarbeiten.
Betroffene Personen können eine Kopie der mit einem bestimmten Auftragsverarbeiter geschlossenen Vereinbarung anfordern unter: info@savicase.de