Auftragsverarbeiter
Stand: Mai 2026
Zurück zur Datenschutzerklärung
Gemäß Art. 28 DSGVO setzt SaviCase folgende Auftragsverarbeiter ein. Mit allen Auftragsverarbeitern wurden — soweit erforderlich — Verträge zur Auftragsverarbeitung (AVV) abgeschlossen, die sicherstellen, dass personenbezogene Daten ausschließlich nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.
Sämtliche Auftragsverarbeiter hosten ihre Dienste innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet nicht statt.
| Auftragsverarbeiter | Rolle | Datenkategorien | Zweck | Hosting | AVV |
|---|---|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank-Hosting & S3 Object Storage | Alle in SaviCase gespeicherten Mandantendaten (PostgreSQL-Datenbank). Hochgeladene Dateien und Dokumente (PDF, Bilder, CSV-Exporte). Server-Logfiles (IP-Adresse, Zeitstempel, User-Agent). Auth-Datenbank (Supabase Auth, self-hosted). | Betrieb der gesamten SaviCase-Anwendung auf Hetzner-Rootservern (Nürnberg). Speicherung aller Applikationsdaten in PostgreSQL. Speicherung benutzergenerierter Dateien im S3-kompatiblen Object Storage. Hosting der selbstverwalteten Supabase-Instanz für Authentifizierung. | Deutschland (Nürnberg) – hetzner.com | Verfügbar |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Zahlungsdaten (Kreditkarteninformationen werden tokenisiert und nicht von SaviCase gespeichert). Rechnungsadresse, E-Mail-Adresse, Zahlungshistorie. | Abwicklung von Abonnement-Zahlungen (Stripe Checkout & Billing). Steuerkonforme Rechnungserstellung und -versand. | EU (Irland) – stripe.com | Verfügbar |
| Google Ireland Ltd. | OAuth-Provider, E-Mail-API, Kalender-API | Google-Nutzer-ID, E-Mail-Adresse, OAuth-Token. E-Mail-Inhalte (Gmail API, nur bei aktiver E-Mail-Integration). Kalender-Termine (Google Calendar API, nur bei aktiver Kalender-Synchronisation). | OAuth-Login (Sign-in with Google). Bidirektionale E-Mail-Synchronisation (Gmail API). Kalender-Synchronisation (Google Calendar API). | EU (Irland) – google.com | Verfügbar |
| Twilio Inc. (SendGrid) | E-Mail-Versand | E-Mail-Adresse des Empfängers, E-Mail-Inhalte (Benachrichtigungen, Einladungen, Export-Dateien per Link). Metadaten (Zustellstatus, Öffnungsrate). | Transaktionale E-Mails: Teameinladungen, Passwort-Zurücksetzung, Zahlungsbestätigungen, Export-Downloadlinks. Kein Marketing-Versand. | EU (Irland) – sendgrid.com | Verfügbar |
| PostHog Inc. | Produkt-Analytics | Pseudonyme Nutzungsdaten: Seitenaufrufe, Feature-Nutzung, Klick-Pfade. Keine personenbezogenen Inhalte aus Mandantendaten. | Analyse der Produktnutzung zur Verbesserung der Benutzerfreundlichkeit. Ausschließlich nach aktiver Einwilligung (Opt-in, konform Art. 6 Abs. 1 lit. a DSGVO). | EU (Frankfurt, Deutschland) – eu.i.posthog.com | Verfügbar |
Hinweis zu Auftragsverarbeitungsverträgen
Die oben verlinkten Dokumente sind die Standard-Datenverarbeitungsbedingungen (Data Processing Agreements, DPA) der jeweiligen Anbieter. Diese wurden von SaviSoft im Rahmen der Nutzung der entsprechenden Dienste akzeptiert. Die DPAs stellen sicher, dass alle Auftragsverarbeiter die gleichen Datenschutzstandards wie SaviCase einhalten und personenbezogene Daten ausschließlich gemäß unseren dokumentierten Weisungen verarbeiten.
Betroffene Personen können eine Kopie der mit einem bestimmten Auftragsverarbeiter geschlossenen Vereinbarung anfordern unter: info@savicase.de