Zum Inhalt springen

Verzeichnis der Unterauftragsverarbeiter (Sub-AV-Liste)

gemäß Art. 28 Abs. 2 DSGVO

Verantwortlich: IT-Direkt GmbH, Aroser Allee 66, 13407 Berlin

Die IT-Direkt GmbH setzt bei der Erbringung des Maschinenschnittstellen-Dienstes (API-Integration) folgende Unterauftragsverarbeiter ein, die im Rahmen der Leistungserbringung Zugriff auf personenbezogene Daten haben oder diese verarbeiten können:

1. Hetzner Online GmbH

  1. 1.1 Unternehmen: Hetzner Online GmbH
  2. 1.2 Sitz: Industriestraße 25, 91710 Gunzenhausen, Deutschland
  3. 1.3 Zweck der Verarbeitung: Serverhosting, Datenspeicherung (verschlüsselte Zugangsdaten/Credentials), Zugriffsprotokolle (Logs), Datensicherung (Backups)
  4. 1.4 Verarbeitete Datenkategorien: Zugangsdaten (verschlüsselt), Authentifizierungstoken, Zugriffsprotokolle
  5. 1.5 Verarbeitungsort: Deutschland (EU)
  6. 1.6 Rechtsgrundlage: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, abgeschlossen über die Hetzner Cloud Console
  7. 1.7 Letzte Prüfung: März 2026

2. Microsoft Ireland Operations Limited

  1. 2.1 Unternehmen: Microsoft Ireland Operations Limited
  2. 2.2 Sitz: One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (EU)
  3. 2.3 Zweck der Verarbeitung: E-Mail-Versand und -Empfang über Exchange Online; Nachrichtenübermittlung
  4. 2.4 Verarbeitete Datenkategorien: E-Mail-Adressen, Nachrichteninhalte, Metadaten des E-Mail-Versands
  5. 2.5 Verarbeitungsort: EU (Irland), ggf. weitere Microsoft-Rechenzentren innerhalb der EU gemäß Microsoft-DPA
  6. 2.6 Rechtsgrundlage: Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO, abgeschlossen über Microsoft Online Services Terms (OST) / Microsoft Product Terms
  7. 2.7 Letzte Prüfung: März 2026

3. Meta Platforms Ireland Limited

  1. 3.1 Unternehmen: Meta Platforms Ireland Limited
  2. 3.2 Sitz: Merrion Road, Dublin 4, D04 X2K5, Irland (EU)
  3. 3.3 Zweck der Verarbeitung: Bereitstellung der WhatsApp Business API zur Abwicklung der Kundensupportkommunikation zwischen IT-Direkt und ihren Kunden (Versand und Empfang von WhatsApp-Nachrichten)
  4. 3.4 Verarbeitete Datenkategorien: Telefonnummern, Nachrichteninhalte (einschließlich angehängter Dateien), Metadaten des Nachrichtenversands und -empfangs (Zeitstempel, Zustell- und Lesestatus)
  5. 3.5 Verarbeitungsort: Irland (EU); Übermittlungen an Meta Platforms, Inc. (USA) und verbundene Unternehmen außerhalb der EU im Einzelfall möglich
  6. 3.6 Garantien für Drittlandübermittlungen: Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO); ergänzend Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
  7. 3.7 Rechtsgrundlage: Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO, abgeschlossen mit Meta Platforms Ireland Limited im Rahmen der WhatsApp Business Solution Terms
  8. 3.8 Letzte Prüfung: April 2026

4. Weenat SAS

  1. 4.1 Unternehmen: Weenat SAS
  2. 4.2 Sitz: 2 rue Crucy, 44000 Nantes, Frankreich (EU)
  3. 4.3 Zweck der Verarbeitung: Bereitstellung parzellen- und standortbezogener Wetter- und Umweltdaten (virtuelle Wetterstation) über die Weenat-API im Auftrag der IT-Direkt GmbH
  4. 4.4 Verarbeitete Datenkategorien: Geolokationsdaten (Koordinaten) der im Portal angelegten Parzellen bzw. Standorte, interne Parzellen-/Standort-Kennungen, Anfragezeiträume und technische Abfrageparameter
  5. 4.5 Verarbeitungsort: Frankreich (EU)
  6. 4.6 Rechtsgrundlage: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, abgeschlossen mit Weenat SAS
  7. 4.7 Letzte Prüfung: April 2026

5. Startec S.r.l.

  1. 5.1 Unternehmen: Startec S.r.l.
  2. 5.2 Sitz: Viale Stazione 26, 33079 Sesto al Reghena, Italien (EU)
  3. 5.3 Zweck der Verarbeitung: Bereitstellung der StarTec-API zur automatisierten Abfrage und Steuerung der vom Kunden angebundenen Maschinen im Auftrag der IT-Direkt GmbH
  4. 5.4 Verarbeitete Datenkategorien: Maschinenzugangscodes (Aufdruck auf der Maschine), interne Maschinen-/Anbindungs-Kennungen im Raindancer, technische Abfrageparameter und Steuerungsbefehle, von der Maschine zurückgemeldete Betriebs- und Statusdaten
  5. 5.5 Verarbeitungsort: Italien (EU)
  6. 5.6 Rechtsgrundlage: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, abgeschlossen mit Startec S.r.l.
  7. 5.7 Letzte Prüfung: April 2026

6. Anthropic, PBC (Claude API – KI-Hilfeassistent)

  1. 6.1 Unternehmen: Anthropic, PBC
  2. 6.2 Sitz: 548 Market St, PMB 90375, San Francisco, CA 94104, USA
  3. 6.3 EU-Vertreter gemäß Art. 27 DSGVO: Anthropic Ireland, Limited, 6th Floor, South Bank House, Barrow Street, Dublin 4, D04 TR29, Irland
  4. 6.4 Zweck der Verarbeitung: Bereitstellung des KI-Hilfeassistenten im Portal der IT-Direkt GmbH. Eingaben des angemeldeten Nutzers (Hilfetexte, Fragen) sowie ergänzende Kontextdaten aus dem Portal (z. B. aktuell aufgerufene Funktion, technische Konfigurations- und Statusinformationen) werden über die Claude-API an das KI-Modell übermittelt, um eine kontextbezogene Antwort des KI-Assistenten zu erzeugen.
  5. 6.5 Verarbeitete Datenkategorien:
    1. 6.5.1 Inhalt der Anfrage des Nutzers (Freitext);
    2. 6.5.2 Kontextdaten aus dem Portal (z. B. aufgerufene Funktion, Konfigurationsparameter, technische Sensor- und Statusdaten);
    3. 6.5.3 Eine pseudonyme Nutzer- oder Sitzungskennung zur technischen Zuordnung der Anfrage. Kontoinhaberdaten (Name, E-Mail-Adresse, Login-Kennung) werden nicht an die Claude-API übermittelt.
  6. 6.6 Verarbeitungsort: USA. Anthropic betreibt die Claude-API auf Infrastruktur in den Vereinigten Staaten (u. a. über die Unterauftragsverarbeiter Amazon Web Services und Google Cloud Platform).
  7. 6.7 Garantien für Drittlandübermittlungen: Übermittlung in die USA auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO; Anthropic, PBC ist im Data Privacy Framework List zertifiziert) sowie ergänzend auf Grundlage der von der EU-Kommission genehmigten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil des mit Anthropic abgeschlossenen Data Processing Addendums sind.
  8. 6.8 Rechtsgrundlage: Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) gemäß Art. 28 DSGVO, abgeschlossen mit Anthropic, PBC als Bestandteil der Anthropic Commercial Terms of Service. Anthropic verwendet Eingaben aus der API ausschließlich zur Erbringung der vertraglich vereinbarten Leistung und nicht zum Training der Claude-Modelle.
  9. 6.9 Aufbewahrung bei Anthropic: Eingaben und Ausgaben werden bei Anthropic für einen Zeitraum von bis zu 30 Tagen zu Sicherheits- und Missbrauchserkennungszwecken gespeichert und anschließend gelöscht. Eine Nutzung der Daten zum Training der Modelle findet zu keinem Zeitpunkt statt.
  10. 6.10 Eigene Unterauftragsverarbeiter von Anthropic: Anthropic setzt seinerseits Unterauftragsverarbeiter ein (insbesondere Amazon Web Services, Inc. und Google LLC). Die jeweils aktuelle Liste ist unter https://trust.anthropic.com abrufbar.
  11. 6.11 Letzte Prüfung: Mai 2026

7. Hinweise

  1. 7.1 Externe Drittanbieter, deren Schnittstellen (APIs) der Verantwortliche dem Auftragsverarbeiter zur Nutzung bereitstellt (z. B. Maschinenschnittstellen, ERP-Systeme, branchenspezifische Plattformen), sind keine Unterauftragsverarbeiter im Sinne dieser Liste. Sie handeln als eigenständige Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.
  2. 7.2 Diese Liste wird bei Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) aktualisiert. Kunden werden über Änderungen mit einer Vorankündigungsfrist von mindestens 14 Tagen per E-Mail informiert, gemäß § 6 des Auftragsverarbeitungsvertrags.
  3. 7.3 Für Rückfragen zu dieser Liste wenden Sie sich bitte an: datenschutz@it-direkt.de

Stand: 01.07.2026 | IT-Direkt GmbH, Aroser Allee 66, 13407 Berlin | +49 30 8900610 | info@it-direkt.de