Datenschutz · Anlage 2 zum AVV
Verzeichnis der Unterauftragsverarbeiter
Diese Seite ist die öffentliche Fassung der Anlage 2 (Formblatt 1 der Verhaltensregel Trusted Data Processor) zum Auftragsverarbeitungsvertrag (AVV) der AWARE7 GmbH. Sie nennt alle Unterauftragsverarbeiter bis zum Ende der Leistungskette sowie die eingesetzten Drittland-Garantien.
Version 1.0 · gültig ab 14. April 2026 · Fragen: E-Mail (Kevin Jäkel LL.B., HK2 Comtection GmbH, Externer Datenschutzbeauftragter)
Die vollständige Datenschutzerklärung der AWARE7-Website (inkl. Consent-basierter Dienste) findet sich unter /datenschutz.
Datenverarbeitung bei AWARE7: ausschließlich in der Europäischen Union.
AWARE7 selbst verarbeitet Kundendaten ausschließlich innerhalb der Europäischen Union. Eigenentwickelte KI-Systeme laufen auf einem eigenen Cluster innerhalb der EU. Für die Wertschöpfung gegenüber Kunden werden keine externen KI-Dienste (OpenAI, Google, Anthropic, etc.) eingesetzt. Eine Drittlandverarbeitung entsteht ausschließlich indirekt über den Sub-Prozessor Phished NV, wofür eine rein DE-basierte Alternative über AWARE7 selbst angeboten wird (siehe Eintrag 'phished', Feld 'euOnlyAlternative').
Verantwortliche Stelle
| Unternehmen | AWARE7 GmbH |
| Anschrift | Munscheidstraße 14, 45886 Gelsenkirchen |
| Register | AG Gelsenkirchen, HRB 14935 · USt-IdNr. DE321457114 |
| Datenschutzbeauftragter | Kevin Jäkel LL.B. (Externer Datenschutzbeauftragter, HK2 Comtection GmbH), E-Mail |
| Sicherheitsvorfälle | E-Mail · PGP: public key |
| Zertifizierungen | ISO/IEC 27001:2022 · ISO 9001 · AZAV |
Unterauftragsverarbeiter
Fünf Anbieter. Vier davon ausschließlich in der EU. Ein Anbieter (Phished) nutzt Google Cloud Platform mit Nordamerika-Regionen - dafür ist eine EU-only Alternative verfügbar.
Phished NV
Drittland-Berührung- Anschrift
- Belgien (siehe https://phished.io/privacy-security)
- Leistung
- Phishing-Simulationsplattform für Awareness-Kampagnen
- Kategorien personenbezogener Daten
- Namen, E-Mail-Adressen, Klick-/Interaktionsdaten von Schulungsteilnehmern
- Verarbeitungsorte
- BE, EU, US
- Garantien
- Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO
- Weitere Unter-Unterauftragsverarbeiter
- Google Cloud Platform (GCP) - Hosting in EU + Nordamerika-Regionen
- Zertifizierungen
- ISO 27001, SOC 2
- Datenschutzerklärung
- Quelle beim Anbieter
Hinweis zum Drittlandtransfer: Einzige Drittlandberührung in der gesamten Leistungskette von AWARE7. Phished nutzt Google Cloud Platform, einzelne Cloud-Regionen in Nordamerika. Für Datenflüsse in die USA gelten SCCs + ergänzende Maßnahmen gemäß TIA.
EU-only Alternative: Auf Wunsch des Verantwortlichen bietet AWARE7 eine alternative Phishing-Simulation an, die manuell und ausschließlich auf Systemen innerhalb Deutschlands durch AWARE7 selbst betrieben wird (kein Phished, kein GCP).
Heinlein Hosting GmbH (Mailbox.org)
EU-only- Anschrift
- Schwedter Straße 8/9A, 10119 Berlin, Deutschland
- Register
- AG Berlin-Charlottenburg, HRB 220010 B
- Leistung
- E-Mail-Hosting + Groupware (Postfächer kontakt@a7.de, sicherheit@a7.de, sales@a7.de, etc.)
- Kategorien personenbezogener Daten
- E-Mail-Inhalte, Absender-/Empfängerdaten, Anhänge mit pbD
- Verarbeitungsorte
- DE
- Garantien
- EU/EWR - keine Drittlandtransfer
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
Hetzner Online GmbH
EU-only- Anschrift
- Industriestraße 25, 91710 Gunzenhausen, Deutschland
- Register
- AG Ansbach, HRB 6089
- Leistung
- Server- und Cloud-Hosting (Root-Server + dedizierte Infrastruktur für AWARE7-Dienste)
- Kategorien personenbezogener Daten
- alle von AWARE7 auf Hetzner-Systemen gespeicherten Kundendaten, Log-/Metadaten
- Verarbeitungsorte
- DE, FI
- Garantien
- EU/EWR - keine Drittlandtransfer
- Zertifizierungen
- ISO 27001, DIN EN 50600
- Datenschutzerklärung
- Quelle beim Anbieter
Haufe-Lexware GmbH & Co. KG (Produkt: Lexware Office / Lexoffice)
EU-only- Anschrift
- Munzinger Straße 9, 79111 Freiburg im Breisgau, Deutschland
- Register
- AG Freiburg, HRA 4408
- Leistung
- Buchhaltung, Rechnungsstellung, Angebotsverwaltung - verarbeitet Kunden-Stammdaten und Rechnungsdaten
- Kategorien personenbezogener Daten
- Unternehmensname, Rechnungsadresse, Ansprechpartner, Rechnungs-/Zahlungsdaten
- Verarbeitungsorte
- DE
- Garantien
- EU/EWR - keine Drittlandtransfer
- Weitere Unter-Unterauftragsverarbeiter
- Rechenzentren Frankfurt am Main
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
BunnyWay d.o.o.
Drittland-Berührung- Anschrift
- Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien
- Leistung
- CDN und Video-Delivery für die AWARE7-Website (Edge-Caching von öffentlichen Assets). Geo-Steering ist so konfiguriert, dass Auslieferung ausschließlich von EU-Edge-Servern erfolgt.
- Kategorien personenbezogener Daten
- IP-Adressen, User-Agent-Strings, Abruf-Metadaten (Zeitpunkt, angeforderte URL)
- Verarbeitungsorte
- SI, EU
- Garantien
- EU/EWR - keine Drittlandtransfer (EU-only Geo-Steering aktiv)
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
Brevo GmbH (Deutschland) / Sendinblue SAS (Mutter)
EU-only- Anschrift
- Köpenicker Straße 126, 10179 Berlin, Deutschland (Mutter: 106 Boulevard Haussmann, 75008 Paris, Frankreich)
- Leistung
- Transaktions- und Newsletter-Mail-Versand (falls Verantwortlicher einwilligt)
- Kategorien personenbezogener Daten
- E-Mail-Adressen, Anrede/Name, Opt-in-/Opt-out-Status
- Verarbeitungsorte
- DE, FR
- Garantien
- EU/EWR - keine Drittlandtransfer
- Zertifizierungen
- ISO 27001
- Datenschutzerklärung
- Quelle beim Anbieter
Nutzung künstlicher Intelligenz
- Wertschöpfung (Kundenleistungen)
- Eigenes KI-Cluster in der EU; keine externen KI-Dienste für Aufgaben, die Auftraggeberdaten verarbeiten.
- Marketing
- Externe KI-Dienste (ChatGPT, Google Gemini, Anthropic Claude) werden ausschließlich für Marketingzwecke ohne Kundendaten eingesetzt.
Ausdrücklich nicht eingesetzt
- Microsoft (kein Microsoft 365, kein Azure, kein Copilot)
- Google (kein Workspace, kein GCP bei AWARE7 direkt - einziger indirekter Berührungspunkt: Sub-Prozessor Phished)
- Amazon (kein AWS, kein SES)
Änderungshistorie
- 14. April 2026 · Version 1.0: Initiale Liste mit 6 Sub-Prozessoren (Phished, Mailbox.org, Hetzner, Lexoffice, BunnyWay CDN, Brevo); DSB-Korrektur auf Kevin Jäkel LL.B. (HK2 Comtection GmbH)
Änderungen an dieser Liste werden bestehenden Auftraggebern mindestens 30 Tage vor Wirksamwerden in Textform angekündigt (siehe § 5 AVV). Fragen richten Sie an E-Mail .
