Sub-Prozessoren

Stand: 13. Juni 2026

Mandatio Plus setzt zur Erbringung der vertraglich vereinbarten Leistungen Drittanbieter („Sub-Prozessoren") ein. Diese Seite listet alle derzeit eingesetzten Sub-Prozessoren auf, jeweils mit Sitz, konkreter Verarbeitungsregion, Verarbeitungszweck und Vertragsstand. Sie ist Bestandteil unseres Auftragsverarbeitungsvertrags (siehe DPA-Akzeptanz im Mandatio- Plus-Onboarding).

Vertrags-Status — was die Spalten bedeuten

  • AVV — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
  • SCC — EU-Standardvertragsklauseln in der Fassung (EU) 2021/914, für den Fall dass der Anbieter konzern­seitig mit den USA verbunden ist.
  • § 203 — Berufsgeheimnis-Vereinbarung nach § 203 Abs. 3 StGB / § 62 StBerG. Für die meisten US-Anbieter aktuell nicht explizit verfügbar — wo dort „Klärung läuft" steht, ist die Daten-Minimierung entsprechend verschärft.
  • ZDR — „Zero Data Retention": Eingaben werden nicht gespeichert und nicht zur Modell-Trainierung verwendet. Nur für AI-Sub-Prozessoren relevant.

Cloudflare, Inc.

Anbieter-DPA
Sitz
San Francisco, USA
Verarbeitungsregion
Europa (CF-Workers Edge, Frankfurt nahe)
Verarbeitungszweck
Mail-Proxy-Worker: empfängt eingehende Mandantenmails von Postmark und leitet sie an unsere Server weiter. Body wird kurzzeitig im RAM verarbeitet, nicht persistiert.
Datenkategorien
  • E-Mail-Header und -Body (kurzzeitig)
  • Datei-Anhänge (kurzzeitig)
AVV (Art. 28)Vorhanden (Standard-Terms)
SCCVorhanden (Standard-Terms)
§ 203 StGBKlärung läuft
Zero Data RetentionNicht erforderlich

Hinweis: Worker speichert keine Daten dauerhaft. Logging via Wrangler-Tail nur on-demand und ohne Body-Inhalt.

Postmark (ActiveCampaign LLC)

Anbieter-DPA
Sitz
Chicago, USA
Verarbeitungsregion
USA (Postmark-Server)
Verarbeitungszweck
E-Mail-Versand und Inbound-Verarbeitung. Eingehende Mandantenmails werden hier empfangen und ausgehende Antworten verschickt.
Datenkategorien
  • Absender + Empfänger-Adressen
  • E-Mail-Header und -Body
  • Datei-Anhänge
AVV (Art. 28)Vorhanden
SCCVorhanden
§ 203 StGBKlärung läuft
Zero Data RetentionNicht erforderlich

Hinweis: Verarbeitung derzeit auf US-Servern, abgesichert über EU-Standardvertragsklauseln (SCCs) und Auftragsverarbeitungsvertrag. Ein Wechsel auf Verarbeitung innerhalb der EU ist beim Anbieter angefragt und in Planung.

Vercel, Inc.

Anbieter-DPA
Sitz
San Francisco, USA
Verarbeitungsregion
Frankfurt am Main, Deutschland (fra1-Region)
Verarbeitungszweck
Application Hosting: führt unseren Code aus, verarbeitet Webhook-Eingänge, generiert KI-Anfragen, rendert das Dashboard.
Datenkategorien
  • Alle Mandantendaten während der Verarbeitung im RAM
  • Anwendungs-Logs (kurzzeitig, ohne Klartext-Mailinhalt)
AVV (Art. 28)Vorhanden
SCCVorhanden
§ 203 StGBKlärung läuft
Zero Data RetentionNicht erforderlich

Supabase, Inc.

Anbieter-DPA
Sitz
San Francisco, USA
Verarbeitungsregion
Frankfurt am Main, Deutschland (eu-central-1)
Verarbeitungszweck
Datenbank, Authentifizierung und Datei-Storage. Hier liegen Mandantenstamm­daten, E-Mail-Threads, Belege, Bescheide, Antwortentwürfe.
Datenkategorien
  • Mandantenstammdaten (Name, E-Mail, Adresse)
  • E-Mail-Threads
  • Belege, Kontoauszüge, Bescheide (PDF/Bild)
  • Antwortentwürfe
  • Auth-Daten (Passwort-Hash, Sessions)
AVV (Art. 28)Vorhanden
SCCVorhanden
§ 203 StGBKlärung läuft
Zero Data RetentionNicht erforderlich

Anthropic PBC

Anbieter-DPA
Sitz
San Francisco, USA
Verarbeitungsregion
Europa (Anthropic EU-Endpoint, Frankfurt + Dublin)
Verarbeitungszweck
KI-Klassifizierung eingehender Mails, KI-generierung von Antwortentwürfen, Vision-OCR von Belegen und Kontoauszügen.
Datenkategorien
  • E-Mail-Inhalte (vor Übermittlung pseudonymisiert: Steuernummern, IBANs, Telefonnummern und Mandantennamen werden durch generische Platzhalter ersetzt)
  • Wissensbasis-Auszüge (als Kontext für Drafts)
  • Belege und Bescheide (Vision-OCR — Inhalte sind in der Regel anbieter- bzw. transaktionsbezogen, nicht mandantenidentifizierend)
AVV (Art. 28)Vorhanden
SCCVorhanden
§ 203 StGBKlärung läuft
Zero Data RetentionNicht vorhanden

Hinweis: Zero Data Retention ist bei Anthropic ausschließlich für Enterprise-Kunden mit erheblichem Vertragsvolumen verfügbar — wurde am 13.06.2026 für Company Core GmbH abgelehnt. Standardretention 30 Tage zur Missbrauchs-Erkennung bleibt aktiv. Mitigation: alle an Anthropic übermittelten E-Mail-Texte werden vorher serverseitig pseudonymisiert (siehe lib/pseudonymize/redact.ts) — Anthropic sieht keine Mandanten-Klarnamen, Steuernummern, IBANs oder Telefonnummern.

OpenAI, L.L.C.

Anbieter-DPA
Sitz
San Francisco, USA
Verarbeitungsregion
Europa (OpenAI EU-Datacenter, Irland)
Verarbeitungszweck
Erstellung von Vektor-Embeddings für die semantische Suche in der Wissensbasis. Keine Generierung von Texten oder Vision-Analyse.
Datenkategorien
  • Wissensbasis-Texte (zur Vektorisierung)
  • Eingehende Mail-Auszüge (zur Ähnlichkeits-Suche)
AVV (Art. 28)Vorhanden
SCCVorhanden
§ 203 StGBKlärung läuft
Zero Data RetentionKlärung läuft

Hinweis: AVV unterschrieben am 13.06.2026 via Ironclad (OpenAI Ireland Ltd. als Vertragspartner für EU). Zero-Data-Retention separat beim Sales-Team angefragt — Status offen. Mitigation: an OpenAI gehen nur Embeddings-Anfragen (Wissensbasis-Texte zur Vektorisierung + kurze Ähnlichkeits-Suchen aus eingehenden Mails) und auch hier werden Identifier vor Übermittlung pseudonymisiert.

Stripe Payments Europe Ltd. (Stripe, Inc.)

Anbieter-DPA
Sitz
Dublin, Irland (Mutterkonzern USA)
Verarbeitungsregion
Europa (Dublin)
Verarbeitungszweck
Abrechnung der Mandatio-Plus-Abos. Verarbeitet Zahlungsdaten der Kanzlei (nicht der Mandanten der Kanzlei).
Datenkategorien
  • Rechnungs-Anschrift der Kanzlei
  • Zahlungs-Methoden-Daten (von Stripe selbst, nicht uns übermittelt)
  • Abo-Status und Tarif
AVV (Art. 28)Vorhanden
SCCVorhanden
§ 203 StGBNicht erforderlich
Zero Data RetentionNicht erforderlich

Hinweis: Verarbeitet KEINE Mandanten-Daten (= die Mandanten der Kanzlei) — nur Kanzlei-Abo-Daten. §203 daher nicht einschlägig.

Änderungen und Widerspruchsrecht

Beabsichtigte Änderungen an dieser Liste (Hinzuziehung oder Ersetzung eines Sub-Prozessors) werden der Kanzlei mit einer Vorlauffrist von 30 Tagen per E-Mail an die im Profil hinterlegte Adresse mitgeteilt. Die Kanzlei kann der Änderung innerhalb dieser Frist aus wichtigem Grund widersprechen; bei berechtigtem Widerspruch besteht ein Sonderkündigungsrecht.

Fragen?

Schreiben Sie uns gerne an datenschutz@mandatioplus.de.

← Zurück zur Datenschutzerklärung