Anhang 2 zum AVV · 365tec / Daniel Ovadia Stand: April 2026 · Version 1.1

Anhang 2 — Liste der Unterauftragsverarbeiter

Subprocessor-Liste · KI-Potenzialanalyse · gemäß Art. 28 Abs. 4 DSGVO

Übersicht: Die Verarbeitung der Inhaltsdaten (Sprachaufzeichnung, Transkript, Dokumente, Reports) findet überwiegend auf einem self-hosted Server in Deutschland statt. Externe Dienstleister werden nur dort eingesetzt, wo dies für die Leistungserbringung zwingend erforderlich ist (insbesondere Sprach-Telefonie und LLM-Inferenz).

§ 1 Datenfluss-Übersicht

Phase	Datenfluss
Buchung	Kunde → 365tec (DE) → Mollie B.V. (NL) zur Zahlungsabwicklung
Telefoninterview	Kunde → Telefonie-Provider (Twilio US, Caller-ID Atlanta) → Synthflow (US Voice-AI-Plattform) → 365tec (DE)
Auswertung	365tec (DE) → Anthropic Claude API (US) für LLM-Inferenz → 365tec (DE) für Speicherung des Reports
Termin-Buchung	Kunde → Cal.com (self-hosted DE bei 365tec) → 365tec (DE)
E-Mail-Versand	365tec (DE) → IONOS SMTP (DE) → Empfänger

§ 2 Subprocessoren — Detailliste

2.1 In der Europäischen Union

Anbieter	Zweck	Sitz	Verarbeitete Daten · Rechtsgrundlage
IONOS SE (Server-Hosting)	Bereitstellung des dedizierten Servers, auf dem die Anwendung, Datenbank und Object-Storage betrieben werden.	Montabaur · Deutschland	Sämtliche Inhaltsdaten (auf physikalischer Storage-Ebene) · Art. 28 DSGVO; AVV mit IONOS abgeschlossen.
IONOS SMTP (E-Mail-Versand)	Versand transaktionaler E-Mails (Buchungsbestätigung, Report, Termin-Einladung, Follow-up).	Deutschland	Empfänger-E-Mail-Adresse, Mail-Inhalt · Art. 28 DSGVO; gleicher AVV wie Hosting.
Let's Encrypt (ISRG) (TLS-Zertifikate)	Ausstellung der TLS-Zertifikate. Keine Übermittlung personenbezogener Daten zur Zertifikatsausstellung.	Internet Security Research Group · USA / EU-Operation	Domainname, IP-Adresse zum Zeitpunkt der ACME-Challenge · technisch notwendig (kein personenbezogener Datentransfer im Inhaltssinne).

2.1a Eigenständig Verantwortliche Empfänger (nicht Auftragsverarbeiter)

Folgende Anbieter sind keine Auftragsverarbeiter iSd Art. 28 DSGVO, sondern verarbeiten die ihnen übermittelten Daten als eigenständig Verantwortliche (Art. 4 Nr. 7 DSGVO) bzw. ggf. Joint Controller (Art. 26 DSGVO). Sie sind hier transparenzhalber gelistet, fallen aber nicht unter die Subprocessor-Verpflichtungen aus AVV § 8.

Anbieter	Zweck	Sitz	Übermittelte Daten · Rechtsgrundlage
Mollie B.V. (Zahlungsdienstleister)	Abwicklung der Zahlung (Kreditkarte, SEPA, PayPal etc.). 365tec erhält keine Karten- oder Kontodaten.	Amsterdam · Niederlande (DNB-aufsichtspflichtige E-Geld-Institution)	Name, E-Mail, Rechnungsadresse, Buchungsbetrag, Zahlungsmethode. Mollie verarbeitet diese Daten zur Erfüllung eigener gesetzlicher Pflichten (PSD2, AMLD5, KYC, Steuer-/Aufbewahrungsfristen) und tritt insoweit als eigenständig Verantwortlicher auf. Rechtsgrundlage gegenüber dem zahlenden Kunden: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mollies eigene Datenschutzhinweise: www.mollie.com/de/privacy.

2.2 Self-hosted im EU-Rechenzentrum von 365tec

Komponente	Zweck	Anmerkung
annie-api (Fastify, Node.js)	Anwendungs-Backend für Intake, Webhooks, Admin, Reports.	Quellcode unter Kontrolle von 365tec; kein externer Cloud-Anbieter.
PostgreSQL	Speicherung von Buchungen, Transkripten, Audit-Logs.	Bindet ausschließlich an localhost; nicht von außen erreichbar.
MinIO (S3-kompatibler Object-Storage)	Speicherung von Audio-Dateien und hochgeladenen Dokumenten.	Self-hosted; SSE-S3 (AES-256) auf Bucket-Ebene aktiviert.
Cal.com (self-hosted)	Termin-Buchung für den abschließenden Review-Call.	Self-hosted unter `cal.365tec.de`; nicht die SaaS-Variante `cal.com`.
nginx, fail2ban, firewalld, SELinux	Reverse-Proxy, TLS-Termination, Intrusion-Prävention, Host-Hardening.	Open-Source-Komponenten; keine Übermittlung personenbezogener Daten an Dritte.

2.3 In Drittländern (USA) — mit Standardvertragsklauseln

Drittland-Hinweis: Die nachfolgenden Subprocessoren haben ihren Sitz in den USA. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln Modul 2 — Verantwortlicher zu Auftragsverarbeiter) und ggf. ergänzend auf Grundlage des EU-US Data Privacy Frameworks, soweit der jeweilige Anbieter dort gelistet ist. 365tec führt eine Transfer Impact Assessment (TIA) je Anbieter; die TIA-Detail-Dokumentation wird auf Anforderung des Auftraggebers vorgelegt. Aufgrund des FISA Section 702 / Executive Order 12333-Zugriffsrahmens für US-Behörden verbleibt — auch bei SCCs und ergänzenden Maßnahmen — ein Restrisiko, das in der TIA bewertet ist.

Anbieter	Zweck	Sitz · DPF-Status (Stand 04/2026)	Verarbeitete Daten · Garantien · Trainings-Klausel
Synthflow AI Inc. (Voice-AI-Plattform)	Durchführung des KI-geführten Telefoninterviews (Sprach-Erkennung, Dialog-Steuerung, Sprachsynthese).	USA DPF-zertifiziert: nein (Stand 04/2026)	Sprachaufzeichnung, Transkript des Telefongesprächs, Telefonnummer (technisch unvermeidbar). Rechtsgrundlage: SCCs Modul 2 (Beschluss 2021/914 v. 04.06.2021). Trainings-Klausel: Synthflow nutzt Inhalte des Voice-Streams nicht für Modell-Trainings (Standard-Vertragslage Synthflow Inc.). Die Verarbeitung erfolgt bewusst über die US-Infrastruktur des Anbieters; ergänzende Schutzmaßnahmen siehe TIA. Hinweis: DPA-Abschluss ist Voraussetzung produktiver Nutzung — bis dahin keine Aufnahme C1-pflichtiger Auftraggeber.
Anthropic PBC (LLM-API „Claude")	Auswertung und Strukturierung des Interviews; Generierung des Report-Texts.	USA DPF-zertifiziert: nein (Stand 04/2026)	Transkript-Auszüge, Stammdaten der Buchung. Rechtsgrundlage: SCCs Modul 2. Anthropic-DPA abgeschlossen. Modelle: `claude-sonnet-4-5` (Extraktion), `claude-opus` (Reports). Trainings-Klausel: Nach den zum Stand April 2026 geltenden Anthropic Commercial Terms verwendet Anthropic API-Inhalte standardmäßig nicht zum Modell-Training. Bei Trust-&-Safety-Vorfällen (z. B. Verstöße gegen die Usage Policy) kann Anthropic Inhalte bis zu 30 Tage zur Missbrauchsanalyse aufbewahren. Die jeweils aktuelle Fassung ist unter www.anthropic.com/legal verlinkt.
Twilio Inc. (Telefonie-Provider, Atlanta)	Bereitstellung der Telefonnummer und Anruf-Routing für das Voice-Interview, soweit nicht von Synthflow direkt erbracht.	USA DPF-zertifiziert: ja (Stand 04/2026, Listing-URL: dataprivacyframework.gov)	Telefonnummern, Anrufmetadaten, Audiostream. Rechtsgrundlage: SCCs Modul 2 + DPF. Twilio-DPA abgeschlossen. Trainings-/Service-Improvement-Klausel: Twilio kann gemäß seiner Privacy Notice aggregierte und de-identifizierte Anrufmetadaten zur Service-Verbesserung nutzen; eine Verwendung von Inhaltsdaten zu solchen Zwecken ist über das Voice-Insights-Opt-out untersagt. Caller-ID ist eine US-Nummer aus Atlanta (+1 470 …); das Routing erfolgt bewusst über US-Infrastruktur.

2.3a Datenfeld-Matrix Drittland

Welche Datenfelder werden tatsächlich an welchen US-Anbieter übermittelt?

Datenfeld	Synthflow	Anthropic	Twilio
Telefonnummer der Teilnehmenden	ja (Anruf-Routing)	nein	ja (technisch unvermeidbar)
Audiostream / Sprachaufzeichnung	ja (STT/TTS)	nein	ja (Routing-Buffer)
Transkript-Volltext	ja (intern)	ja (Auszüge zur Analyse)	nein
Klarname / Firmenname	ja (im Voice-Inhalt)	ja (im Transkript-Auszug)	nein
Hochgeladene Dokumente	nein	ggf. (Auszüge zur Analyse)	nein
Buchungs-/Rechnungsdaten	nein	nein	nein

§ 3 Maßnahmen zur Risiko-Reduktion bei Drittland-Transfers

Datenminimierung: Es werden nur die für die Leistungserbringung zwingend erforderlichen Daten an Drittland-Subprocessoren übermittelt (siehe Datenfeld-Matrix § 2.3a). Insbesondere werden keine Bestandsdaten und keine Inhalte besonderer Datenkategorien (Art. 9 DSGVO) bewusst übermittelt.
Pseudonymisierung (Status 04/2026): Buchungen werden in technischen Logs mit UUID, nicht mit Klarnamen referenziert. Eine systematische server-seitige Maskierung von Eigennamen/PII im Transkript-Auszug vor Übergabe an die LLM-API ist als internes Roadmap-Item dokumentiert (NER-Pipeline; ohne fixe Zeitleiste). Bis zur Implementierung gelten die Maßnahmen Datenminimierung, Zweckbindung, kurze Speicherfristen sowie der Hinweis im Pre-Call-Fact-Sheet zur Vermeidung sensibler Inhalte als kompensatorische Maßnahmen; die TIA berücksichtigt das Restrisiko.
Verschlüsselung in der Übertragung: Alle Anfragen an Drittland-APIs erfolgen ausschließlich über TLS 1.2/1.3.
Zweckbindung: Verträge mit Drittland-Subprocessoren begrenzen die Nutzung der übermittelten Daten ausschließlich auf die vertraglich vereinbarte Leistung. Aussagen zur Modell-Trainings-Praxis sind in der Tabelle § 2.3 anbieter-spezifisch dokumentiert.
Kurze Speicherfristen: Sprachaufzeichnungen werden bei 365tec nach 30 Tagen, Transkripte/Reports nach 90 Tagen automatisiert gelöscht (siehe AVV § 12). Speicherfristen bei den Drittland-Subprocessoren richten sich nach deren jeweiliger Retention-Policy.
Hinweise an Betroffene: Der Auftraggeber wird über das Drittland-Routing aufgeklärt (Pre-Call-Fact-Sheet); die Mitarbeiter werden gemäß AVV § 5 vom Auftraggeber vor Beginn des Telefoninterviews informiert.
EDPB 6-Schritte-Methodik (Empfehlungen 01/2020): Die TIA folgt der EDPB-Methodik (Schritt 1 Mapping → Schritt 6 Re-Assessment) und wird mindestens jährlich überprüft.

§ 4 Hinweise für Auftraggeber mit besonderen Berufsgeheimnissen (§ 203 StGB)

Auftraggeber, die berufsrechtlich besonderen Verschwiegenheitspflichten unterliegen — insbesondere Anwaltskanzleien, Notariate, Arztpraxen und Steuerkanzleien — werden ausdrücklich darauf hingewiesen:

Es dürfen keine Mandanten-, Patienten-, Klienten- oder Falldaten in das Telefoninterview oder die hochgeladenen Dokumente einfließen, da diese sonst über US-Subprocessoren laufen würden.
Die Analyse beschränkt sich auf interne Kanzlei-/Praxis-Prozesse (Mandatsannahme, Aktenführung, Abrechnung, Kommunikation, Wissensmanagement) ohne Bezug zu konkreten Mandaten.
Vor dem Telefoninterview erhalten die Teilnehmenden ein Pre-Call-Fact-Sheet mit konkreten Beispielen für zulässige und unzulässige Inhalte.
Wird im Gespräch unbeabsichtigt eine vertrauliche Information genannt, kann der Teilnehmer jederzeit „bitte stoppen und löschen" sagen — die KI-Assistenz markiert das Segment, und es wird unverzüglich aus dem Transkript und der Audio-Datei entfernt.

§ 5 Änderungshistorie

Datum	Version	Änderung
April 2026	1.0	Erstfassung.
April 2026	1.1	Mollie aus Subprocessor-Tabelle in den neuen Abschnitt § 2.1a „Eigenständig Verantwortliche" verschoben (Mollie ist Zahlungsdienstleister mit eigenen gesetzlichen Pflichten, kein Auftragsverarbeiter). Drittland-Aussagen pro Anbieter präzisiert (DPF-Status, Trainings-Klauseln). Datenfeld-Matrix § 2.3a ergänzt. Pseudonymisierungs-Aussage zu „sofern technisch möglich" ehrlich auf Roadmap-Item umformuliert. EDPB-6-Schritte-Methodik referenziert.

§ 6 Geplante Subprocessoren / Beobachtungs-Liste

Folgende Anbieter werden geprüft, sind aber zum Stand dieser Liste nicht aktiv im Datenfluss:

Lokale LLM-Inferenz auf EU-Servern (Mistral / Aleph Alpha) — Evaluation für Pseudonymisierungs-Stufe geplant.

Eine Aufnahme erfolgt erst nach AVV-Abschluss, TOM-Prüfung und Information der Auftraggeber gemäß AVV § 8.