Datenschutz · Anlage 2 zum AVV
Verzeichnis der Unterauftragsverarbeiter
Diese Seite ist die öffentliche Fassung der Anlage 2 (Formblatt 1 der Verhaltensregel Trusted Data Processor) zum Auftragsverarbeitungsvertrag (AVV) der AWARE7 GmbH. Sie nennt alle Unterauftragsverarbeiter bis zum Ende der Leistungskette sowie die eingesetzten Drittland-Garantien.
Version 1.0 · gültig ab 14. April 2026 · Fragen: E-Mail (Kevin Jäkel LL.B., HK2 Comtection GmbH, Externer Datenschutzbeauftragter)
Die vollständige Datenschutzerklärung der AWARE7-Website (inkl. Consent-basierter Dienste) findet sich unter /datenschutz.
Die AWARE7 GmbH hat sich am 15. April 2026 auf die behördlich genehmigte Verhaltensregel Trusted Data Processor (Art. 40 DSGVO) verpflichtet. Kontrollstelle ist die DSZ Datenschutz Zertifizierungsgesellschaft mbH (Art. 41 DSGVO). Dieses Verzeichnis setzt Formblatt 1 der Verhaltensregel um.
Verzeichnis verpflichteter Unternehmen Beschwerdeverfahren der DSZ
Datenverarbeitung bei AWARE7: ausschließlich in der Europäischen Union.
AWARE7 selbst verarbeitet Kundendaten ausschließlich innerhalb der Europäischen Union. Eigenentwickelte KI-Systeme laufen auf einem eigenen Cluster innerhalb der EU. Für die Wertschöpfung gegenüber Kunden werden keine externen KI-Dienste (OpenAI, Google, Anthropic, etc.) eingesetzt. Eine Drittlandverarbeitung entsteht ausschließlich indirekt über den Sub-Prozessor Phished NV, wofür eine rein DE-basierte Alternative über AWARE7 selbst angeboten wird (siehe Eintrag 'phished', Feld 'euOnlyAlternative').
Verantwortliche Stelle
| Unternehmen | AWARE7 GmbH |
| Anschrift | Munscheidstraße 14, 45886 Gelsenkirchen |
| Register | AG Gelsenkirchen, HRB 14935 · USt-IdNr. DE321457114 |
| Datenschutzbeauftragter | Kevin Jäkel LL.B. (Externer Datenschutzbeauftragter, HK2 Comtection GmbH), E-Mail |
| Sicherheitsvorfälle | E-Mail · PGP: public key |
| Zertifizierungen | ISO/IEC 27001:2022 · ISO 9001 · AZAV |
Unterauftragsverarbeiter
Fünf Anbieter. Vier davon ausschließlich in der EU. Ein Anbieter (Phished) nutzt Google Cloud Platform mit Nordamerika-Regionen - dafür ist eine EU-only Alternative verfügbar.
Phished NV
Drittland-Berührung- Anschrift
- Belgien (siehe https://phished.io/privacy-security)
- Leistung
- Phishing-Simulationsplattform für Awareness-Kampagnen
- Kategorien personenbezogener Daten
- Namen, E-Mail-Adressen, Klick-/Interaktionsdaten von Schulungsteilnehmern
- Verarbeitungsorte
- BE, EU, US
- Garantien
- Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO
- Weitere Unter-Unterauftragsverarbeiter
- Google Cloud Platform (GCP) - Hosting in EU + Nordamerika-Regionen
- Zertifizierungen
- ISO 27001, SOC 2
- Datenschutzerklärung
- Quelle beim Anbieter
Hinweis zum Drittlandtransfer: Einzige Drittlandberührung in der gesamten Leistungskette von AWARE7. Phished nutzt Google Cloud Platform, einzelne Cloud-Regionen in Nordamerika. Für Datenflüsse in die USA gelten SCCs + ergänzende Maßnahmen gemäß TIA.
EU-only Alternative: Auf Wunsch des Verantwortlichen bietet AWARE7 eine alternative Phishing-Simulation an, die manuell und ausschließlich auf Systemen innerhalb Deutschlands durch AWARE7 selbst betrieben wird (kein Phished, kein GCP).
Heinlein Hosting GmbH (Mailbox.org)
EU-only- Anschrift
- Schwedter Straße 8/9A, 10119 Berlin, Deutschland
- Register
- AG Berlin-Charlottenburg, HRB 220010 B
- Leistung
- E-Mail-Hosting + Groupware (Postfächer kontakt@a7.de, sicherheit@a7.de, sales@a7.de, etc.)
- Kategorien personenbezogener Daten
- E-Mail-Inhalte, Absender-/Empfängerdaten, Anhänge mit pbD
- Verarbeitungsorte
- DE
- Garantien
- EU/EWR - keine Drittlandtransfer
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
Hetzner Online GmbH
EU-only- Anschrift
- Industriestraße 25, 91710 Gunzenhausen, Deutschland
- Register
- AG Ansbach, HRB 6089
- Leistung
- Server- und Cloud-Hosting (Root-Server + dedizierte Infrastruktur für AWARE7-Dienste)
- Kategorien personenbezogener Daten
- alle von AWARE7 auf Hetzner-Systemen gespeicherten Kundendaten, Log-/Metadaten
- Verarbeitungsorte
- DE, FI
- Garantien
- EU/EWR - keine Drittlandtransfer
- Zertifizierungen
- ISO 27001, DIN EN 50600
- Datenschutzerklärung
- Quelle beim Anbieter
Haufe-Lexware GmbH & Co. KG (Produkt: Lexware Office / Lexoffice)
EU-only- Anschrift
- Munzinger Straße 9, 79111 Freiburg im Breisgau, Deutschland
- Register
- AG Freiburg, HRA 4408
- Leistung
- Buchhaltung, Rechnungsstellung, Angebotsverwaltung - verarbeitet Kunden-Stammdaten und Rechnungsdaten
- Kategorien personenbezogener Daten
- Unternehmensname, Rechnungsadresse, Ansprechpartner, Rechnungs-/Zahlungsdaten
- Verarbeitungsorte
- DE
- Garantien
- EU/EWR - keine Drittlandtransfer
- Weitere Unter-Unterauftragsverarbeiter
- Rechenzentren Frankfurt am Main
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
BunnyWay d.o.o.
Drittland-Berührung- Anschrift
- Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien
- Leistung
- CDN und Video-Delivery für die AWARE7-Website (Edge-Caching von öffentlichen Assets). Geo-Steering ist so konfiguriert, dass Auslieferung ausschließlich von EU-Edge-Servern erfolgt.
- Kategorien personenbezogener Daten
- IP-Adressen, User-Agent-Strings, Abruf-Metadaten (Zeitpunkt, angeforderte URL)
- Verarbeitungsorte
- SI, EU
- Garantien
- EU/EWR - keine Drittlandtransfer (EU-only Geo-Steering aktiv)
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
Brevo GmbH (Deutschland) / Sendinblue SAS (Mutter)
EU-only- Anschrift
- Köpenicker Straße 126, 10179 Berlin, Deutschland (Mutter: 106 Boulevard Haussmann, 75008 Paris, Frankreich)
- Leistung
- Transaktions- und Newsletter-Mail-Versand (falls Verantwortlicher einwilligt)
- Kategorien personenbezogener Daten
- E-Mail-Adressen, Anrede/Name, Opt-in-/Opt-out-Status
- Verarbeitungsorte
- DE, FR
- Garantien
- EU/EWR - keine Drittlandtransfer
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
Nutzung künstlicher Intelligenz
- Wertschöpfung (Kundenleistungen)
- Eigenes KI-Cluster in der EU; keine externen KI-Dienste für Aufgaben, die Auftraggeberdaten verarbeiten.
- Marketing
- Externe KI-Dienste (ChatGPT, Google Gemini, Anthropic Claude) werden ausschließlich für Marketingzwecke ohne Kundendaten eingesetzt.
Ausdrücklich nicht eingesetzt
- Microsoft (kein Microsoft 365, kein Azure, kein Copilot)
- Google (kein Workspace, kein GCP bei AWARE7 direkt - einziger indirekter Berührungspunkt: Sub-Prozessor Phished)
- Amazon (kein AWS, kein SES)
Änderungshistorie
- 14. April 2026 · Version 1.0: Initiale Liste mit 6 Sub-Prozessoren (Phished, Mailbox.org, Hetzner, Lexoffice, BunnyWay CDN, Brevo); DSB-Korrektur auf Kevin Jäkel LL.B. (HK2 Comtection GmbH)
Wie werden Sie ueber Änderungen informiert?
Bestehende Auftraggeber werden automatisch ueber jede Änderung dieser Liste benachrichtigt:
- Textform-Benachrichtigung an die im AVV benannten weisungsberechtigten Personen (Formblatt 2)
- Mindestens 30 Tage vor Wirksamwerden (§ 5 Abs. 2 AVV)
- Mit allen Pflichtangaben gemäß Formblatt 1 sowie der Erläuterung der Konsequenzen bei Widerspruch
- Widerspruchsfrist mindestens 14 Tage ab Zugang (§ 5 Abs. 3 AVV)
Interessierte ohne aktiven AVV können per E-Mail an E-Mail um eine formlose Benachrichtigung bei Änderungen bitten.
Fragen an den Datenschutzbeauftragten: E-Mail . Quell-Daten dieser Seite: src/data/subprocessors.json, versioniert über Git-Historie.
