Anlage: Subprocessor Register

Guventa – Governance Version 1.0
Stand: Februar 2026

Diese Anlage dokumentiert die von Guventa eingesetzten Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO.

Guventa verfolgt eine strukturierte Subprozessor-Governance, die auf folgenden Prinzipien basiert:

• Risikobasierte Auswahl

• Vertragsbasierte Absicherung (AVV)

• Drittlandtransfer-Absicherung gemäß Art. 44 ff. DSGVO

• Technische und organisatorische Mindeststandards

• Regelmäßige Evaluierung

Subprozessoren werden ausschließlich insoweit eingesetzt, wie dies technisch erforderlich oder funktional aktiviert ist.

1. Kernplattform-Infrastruktur

LeadConnector LLC (HighLevel)

Bereitstellung der SaaS-Kerninfrastruktur (CRM, Automationen, Hosting).
Sitz: USA
Transfermechanismus: DPF, SCCs oder gleichwertige Garantien

HighLevel fungiert als primäre Plattformbasis.

2. Sicherheits- und Edge-Infrastruktur

Cloudflare, Inc.

CDN, DNS, DDoS-Schutz, WAF, Sicherheitslayer.
Verarbeitung kann IP-Adressen und Metadaten umfassen.
Sitz: USA
Transfermechanismus: DPF, SCCs

3. EU-Hosting für Integrationssysteme

Hetzner Online GmbH

Bereitstellung von Server- und Rechenzentrumsinfrastruktur.
Sitz: Deutschland
Verarbeitung innerhalb der EU.

4. Kommunikations-Infrastruktur

Twilio Inc.

SMS, Voice, Messaging-Dienste.
Verarbeitung von Telefonnummern und Kommunikationsmetadaten.
Sitz: USA
Transfermechanismus: DPF, SCCs

Mailgun Technologies, Inc.

E-Mail-Versandinfrastruktur.
Sitz: USA / EU
Transfermechanismus: DPF, SCCs

5. KI-Infrastruktur

OpenAI, L.L.C.

Bereitstellung generativer KI-Modelle.
Sitz: USA
Transfermechanismus: DPF, SCCs

Anthropic PBC

Bereitstellung von KI-Modellen.
Sitz: USA
Transfermechanismus: DPF, SCCs

6. Produktivitäts- und Kollaborations-Infrastruktur

Google LLC (Google Workspace)

Bereitstellung von:

• Unternehmens-E-Mail

• Authentifizierung

• Dokumentenmanagement

• Videokonferenzen

• optionale Meeting-Aufzeichnungen und KI-gestützte Transkription

Sitz: USA
Transfermechanismus: DPF, SCCs

Meeting-Aufzeichnungen oder KI-gestützte Auswertungen erfolgen ausschließlich bei aktivierter Funktion und unterliegen internen Zugriffs- und Löschrichtlinien.

7. Zahlungsabwicklung

Stripe, Inc.

Zahlungsabwicklung und Abonnementverwaltung.
Sitz: USA / Irland
Transfermechanismus: DPF, SCCs

8. Buchhaltung

Haufe Service Center GmbH (Lexware)

Rechnungs- und Steuerdokumentation.
Sitz: Deutschland
EU-Verarbeitung

9. Social-Media-Integrationen

Meta Platforms, Inc.

Messenger-Integrationen (WhatsApp, Facebook, Instagram).
Sitz: USA
Transfermechanismus: DPF, SCCs

LinkedIn Corporation (Microsoft)

B2B-Schnittstellen.
Sitz: USA
Transfermechanismus: DPF, SCCs

Governance-Mechanismen

Guventa betreibt ein strukturiertes Subprozessor-Management:

• Dokumentierte Auswahlkriterien

• Prüfung von Zertifizierungen (z. B. ISO 27001, SOC 2)

• Vertragliche Absicherung

• Änderungsmitteilung mit Widerspruchsmechanismus

• Systemrelevanz-Klausel

Ein selektiver Ausschluss systemkritischer Subprozessoren ist technisch nicht möglich.