Anlage: Subprocessor Register

Guventa – Governance Version 1.1 | Stand FEB 2026

Die aktuellste Version ist jederzeit abrufbar unter https://guventa.de/security/subprocess

0. Zweck, Rechtsgrundlage und Geltungsbereich

(1) Diese Anlage dokumentiert die von Guventa eingesetzten Unterauftragsverarbeiter im Sinne von Art. 28 Datenschutz-Grundverordnung (EU) (DSGVO), soweit Guventa im Rahmen der Plattform- und Leistungsbereitstellung personenbezogene Daten im Auftrag verarbeitet.
(2) Dieses Register gilt organisationsweit für Guventa und umfasst Plattformbetrieb, Websitebetrieb sowie interne Produktivitäts- und Beratungsprozesse, soweit dabei personenbezogene Daten verarbeitet werden können. Optionale Dienste werden nur aufgeführt, sofern sie technisch aktiviert sind oder als aktivierbare Option bereitgehalten werden.
(3) Subprozessoren werden ausschließlich insoweit eingesetzt, wie dies technisch erforderlich, funktional aktiviert oder für die Leistungserbringung notwendig ist. Dienste, die ausschließlich optional sind, sind als „optional“ gekennzeichnet.
(4) Guventa verfolgt eine strukturierte Subprozessor-Governance nach folgenden Prinzipien: risikobasierte Auswahl, vertragliche Absicherung (AVV), Drittlandtransfer-Absicherung, technische und organisatorische Mindeststandards, regelmäßige Evaluierung und dokumentierte Änderungsmitteilungen.

1. Standard für Drittlandtransfers (DPF/SCC/TOM)

(1) Soweit ein Subprozessor außerhalb der EU/des EWR verarbeitet oder Zugriff haben kann, erfolgt eine Drittlandübermittlung ausschließlich auf Grundlage anwendbarer Transfermechanismen.
(2) DPF gilt nur, sofern der jeweilige Anbieter zum Zeitpunkt der Verarbeitung nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert ist. Sofern DPF nicht anwendbar ist oder ein Anbieter nicht (mehr) zertifiziert ist, stützt sich Guventa auf EU-Standardvertragsklauseln (SCC) sowie ergänzende technische und organisatorische Maßnahmen (TOM).

2. Konsistenter Mindestinhalt je Subprozessor-Eintrag

(1) Jeder Eintrag dokumentiert mindestens: Anbieter/Unternehmen, Kategorie, Zweck/Funktion, typische Datenkategorien, Verarbeitungsort/Sitz, Drittlandtransfer-Status und -Mechanismus sowie Aktivierungsstatus (aktiv/optional).
(2) Für KI-relevante Verarbeitungen werden ergänzend Training-Nutzung („No-Train“ soweit vertraglich/technisch verfügbar), Retention (Zero/Min-Retention soweit verfügbar) und Scope (z. B. nur native Funktionen, Marketplace/Addons ausgenommen) dokumentiert.

3. Kernplattform-Infrastruktur (Plattformbetrieb)

3.1 LeadConnector LLC (HighLevel)

(1) Kategorie: Kernplattform (CRM, Automationen, Hosting, Identitäten, Medien/Assets, Systembetrieb).
(2) Zweck/Funktion: Bereitstellung und Betrieb der SaaS-Kerninfrastruktur für das Kundenportal cs.guventa.de einschließlich CRM-Datenbank, Automationen, Funnels/Seiten/Forms (soweit genutzt), Nutzerverwaltung, Protokollierung und Systembetrieb.
(3) Typische Datenkategorien: Account- und Stammdaten, Nutzer-/Rolleninformationen, Kommunikationsdaten, Endkunden-/Lead-Daten (kundenseitig), Content/CRM-Inhalte, Systemmetadaten, ggf. Medien/Uploads.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig; Details gemäß HighLevel/LeadConnector-Dokumentation).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv, systemkritisch; ein selektiver Ausschluss ist technisch nicht möglich.

4. Sicherheits- und Edge-Infrastruktur

4.1 Cloudflare, Inc.

(1) Kategorie: Edge Security (CDN, DNS, DDoS-Schutz, WAF, TLS/Proxy).
(2) Zweck/Funktion: Schutz und Auslieferung der Website und/oder von Guventa-eigenen Serverdiensten; zusätzlich kann Cloudflare als vorgelagerter Sicherheitslayer innerhalb der HighLevel-Infrastruktur genutzt werden.
(3) Typische Datenkategorien: IP-Adressen, Request-Metadaten, Security-Events, ggf. Logdaten nach Konfiguration.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig; globale Edge-Verarbeitung möglich).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv, sofern Guventa Cloudflare direkt vorschaltet; zusätzlich indirekt möglich durch HighLevel-Vorschaltung.

5. EU-Hosting für Integrations- und Logging-Systeme

5.1 Hetzner Online GmbH

(1) Kategorie: Hosting/Compute (EU-Infrastruktur).
(2) Zweck/Funktion: Bereitstellung von Server- und Rechenzentrumsinfrastruktur für Guventa-eigene Systeme, insbesondere Integrationsdienste und Consent-Logging.
(3) Typische Datenkategorien: System- und Betriebsdaten, ggf. personenbezogene Daten aus Plattform-/Websiteprozessen je nach angebundenem Dienst, insbesondere Consent-Logs ab 25. Februar 2026.
(4) Sitz/Verarbeitungsort: Deutschland/Finnland (Standortauswahl je nach Bereitstellung; typischerweise Nürnberg, Falkenstein oder Helsinki).
(5) Drittlandtransfer: nein (EU-Verarbeitung).
(6) Aktivierungsstatus: aktiv; Guventa betreibt eigene Server ausschließlich über Hetzner.

6. Consent-Management und Consent-Logging (immer aktiv)

6.1 GuventaCookieEngine (Consent UI im Browser) und zentrales Consent-Logging (Hetzner)

(1) Kategorie: Consent-Management/Compliance Logging.
(2) Zweck/Funktion: Erhebung und Speicherung der Consent-Entscheidung (ja/nein pro Kategorie) sowie Nachweisführung (Consent-ID, Zeitstempel, Kategorien, Richtlinienversion, Domain/Host). Das Consent-System ist stets aktiv, da auch eine Ablehnung („nein“) als Zustandsinformation gespeichert wird.
(3) Typische Datenkategorien: Consent-ID oder vergleichbarer Identifier, Zeitstempel, Kategorien/Status, Richtlinienversion, Domain/Host; optional technisch notwendige Metadaten.
(4) Verarbeitungsorte: Browser (JavaScript) sowie zentraler Log-Server in der EU (Hetzner) ab 25. Februar 2026.
(5) Drittlandtransfer: nein (zentrales Logging in der EU); browserseitige Verarbeitung erfolgt auf dem Endgerät des Nutzers.
(6) Aktivierungsstatus: aktiv; Consent-Logging ist integraler Bestandteil des Betriebs.
(7) Hinweis zur IP-Adressverarbeitung: Die Speicherung einer IP-Adresse im Consent-Log ist nur vorgesehen, sofern dies rechtlich erforderlich und verhältnismäßig ist; andernfalls wird sie nicht gespeichert. Rechtsgrundlagen und konkrete Ausgestaltung folgen den jeweils anwendbaren Vorgaben und der Datenminimierung.

7. Kommunikations-Infrastruktur (E-Mail, SMS, Voice)

7.1 Twilio Inc.

(1) Kategorie: Messaging/Voice (SMS, Voice, Messaging-Dienste).
(2) Zweck/Funktion: Zustellung von SMS, Abwicklung von Voice- und Messaging-Funktionen sowie providerseitige Compliance-Mechanismen.
(3) Typische Datenkategorien: Telefonnummern, Kommunikationsmetadaten, Zustell- und Statusdaten, ggf. Inhalte je nach Kanal und Funktion.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv (über HighLevel/LeadConnector-Nutzung).

7.2 Mailgun Technologies, Inc.

(1) Kategorie: E-Mail-Infrastruktur (Versand/Empfang, Zustellbarkeit).
(2) Zweck/Funktion: E-Mail-Versandinfrastruktur, Zustell- und Bounce-Handling sowie Zustellbarkeitsmetadaten.
(3) Typische Datenkategorien: E-Mail-Adressen, Zustell-/Statusmetadaten, ggf. Inhalte je nach Konfiguration.
(4) Sitz/Verarbeitungsort: USA und/oder EU (region- und konfigurationsabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv (über HighLevel/LeadConnector LC Mail).

8. Zahlungsabwicklung und Billing

8.1 Stripe, Inc.

(1) Kategorie: Payments/Billing (Zahlungsabwicklung, Abonnements, Fraud-Prevention).
(2) Zweck/Funktion: Zahlungsabwicklung, Abonnementverwaltung, Betrugsprävention, Zahlungsstatus, Chargeback-Handling.
(3) Typische Datenkategorien: Zahlungsmetadaten, Rechnungs-/Transaktionsdaten, Kundenstammdaten (abrechnungsrelevant), Fraud- und Risikoindikatoren (anbieterabhängig).
(4) Sitz/Verarbeitungsort: USA und/oder Irland (anbieter- und kontokonfigurationsabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv.

9. Buchhaltung

9.1 Haufe Service Center GmbH (Lexware)

(1) Kategorie: Buchhaltung/Steuerdokumentation.
(2) Zweck/Funktion: Rechnungs- und Steuerdokumentation, Buchhaltungsprozesse und Belegmanagement.
(3) Typische Datenkategorien: Rechnungsdaten, Kundendaten (abrechnungsrelevant), Zahlungszuordnungen, steuerliche Dokumentationsdaten.
(4) Sitz/Verarbeitungsort: Deutschland (EU-Verarbeitung).
(5) Drittlandtransfer: nein.
(6) Aktivierungsstatus: aktiv.

10. Social-Media- und Kommunikations-Integrationen (optional/aktivierungsabhängig)

10.1 Meta Platforms, Inc.

(1) Kategorie: Messaging/Integration (WhatsApp, Facebook, Instagram), optional Marketing-Technologien.
(2) Zweck/Funktion: Messenger-Integrationen und ggf. Marketing-/Conversion-Tracking, sofern aktiv geschaltet.
(3) Typische Datenkategorien: Messaging-Metadaten, ggf. Inhalte je nach Kanal, Identifier/Trackingdaten sofern aktiviert.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: optional; aktivierungsabhängig.

10.2 LinkedIn Corporation (Microsoft)

(1) Kategorie: B2B-Integrationen und ggf. Marketing-/Conversion-Technologien (Insight Tag), sofern aktiviert.
(2) Zweck/Funktion: B2B-Schnittstellen und ggf. Conversion-Analyse/Tracking, sofern aktiv geschaltet.
(3) Typische Datenkategorien: Identifier/Trackingdaten sofern aktiviert, ggf. Interaktionsmetadaten.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: optional; aktivierungsabhängig.

11. Webanalyse und UX-Optimierung (aktiv)

11.1 Google LLC (Google Analytics GA4)

(1) Kategorie: Webanalyse/Analytics.
(2) Zweck/Funktion: statistische Auswertung der Website-Nutzung, Reichweitenmessung und Produktoptimierung, sofern aktiv und nur nach Consent.
(3) Typische Datenkategorien: Online-Identifier, Nutzungs- und Interaktionsdaten, Gerätedaten, IP-Adresse bzw. IP-gekürzte Verarbeitung soweit konfiguriert, Consent-Status.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv; consent-gebunden.

11.2 Microsoft Corporation (Microsoft Clarity)

(1) Kategorie: UX-Optimierung/Session Analytics.
(2) Zweck/Funktion: Heatmaps und Interaktionsanalyse zur UX-Optimierung, sofern aktiv und nur nach Consent.
(3) Typische Datenkategorien: Online-Identifier, Interaktionsdaten, Geräte-/Browserdaten, ggf. maskierte Formulardaten nach Konfiguration, Consent-Status.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv; consent-gebunden.

12. Affiliate-Tracking (optional, nur auf Affiliate-Landingpages und während Checkout-Attribution)

12.1 Guventa Affiliate-System

(1) Kategorie: Attribution/Partnerzuordnung.
(2) Zweck/Funktion: Zuordnung von Partner-IDs zur Abrechnung/Attribution, beschränkt auf Affiliate-Landingpages und den Zeitraum der Checkout-Zuordnung, sofern aktiviert.
(3) Typische Datenkategorien: Partner-ID/Attributions-Identifier, Zeitstempel, ggf. Kampagnenparameter, Consent-Status.
(4) Verarbeitungsort: EU (sofern Guventa-intern gehostet); andernfalls abhängig vom eingesetzten Dienst.
(5) Drittlandtransfer: nur sofern ein Drittanbieter eingesetzt wird; Mechanismus gemäß Abschnitt 1.
(6) Aktivierungsstatus: optional; aktivierungsabhängig.

13. KI- und Produktivitäts-Infrastruktur (intern; nur bei Aktivierung; No-Train/Retention planabhängig)

13.1 Google LLC (Google Workspace)

(1) Kategorie: Produktivität/Kollaboration (E-Mail, Authentifizierung, Dokumente, Meetings).
(2) Zweck/Funktion: Unternehmens-E-Mail, Authentifizierung, Dokumentenmanagement, Videokonferenzen; optionale Meeting-Aufzeichnungen, Transkription und KI-gestützte Auswertungen innerhalb von Workspace/Meet, soweit aktiv geschaltet.
(3) Typische Datenkategorien: Kommunikationsdaten, Meeting-Metadaten, Inhalte von Dokumenten/Chats/Meetings je nach Nutzung, Identitätsdaten, Zugriffsdaten.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1 (DPF sofern zertifiziert, andernfalls SCC + TOM).
(6) Aktivierungsstatus: aktiv (intern).

13.2 Google LLC (Gemini/NotebookLM innerhalb Google Workspace, Webbrowser-Nutzung)

(1) Kategorie: KI/Assistenz (intern).
(2) Zweck/Funktion: KI-gestützte Assistenzfunktionen über Workspace-Konten (Gemini im Workspace, NotebookLM), einschließlich Zusammenfassungen/Analyse innerhalb des Workspace-Kontexts, soweit genutzt.
(3) Typische Datenkategorien: Eingaben (Prompts), Inhalte/Dateien je nach Nutzeraktion, Ausgaben (KI-Resultate), Metadaten.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1.
(6) Aktivierungsstatus: aktiv (intern); No-Train/Retention abhängig von Workspace/AI-Plan und Konfiguration.

13.3 OpenAI (ChatGPT Business)

(1) Kategorie: KI/Assistenz (intern).
(2) Zweck/Funktion: KI-gestützte Assistenz für Beratung, Qualitätssicherung und interne Prüfprozesse, soweit genutzt.
(3) Typische Datenkategorien: Eingaben (Prompts), Ausgaben, ggf. Dateien/Anhänge je nach Nutzung, Metadaten.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1.
(6) Aktivierungsstatus: aktiv (intern); No-Train/Retention gemäß Business-Plan und Konfiguration.

13.4 Anthropic PBC (optional; ohne Kundendetails)

(1) Kategorie: KI/Assistenz (intern).
(2) Zweck/Funktion: KI-Modelle für interne Zwecke, ohne Verarbeitung von Kundendetails, sofern genutzt.
(3) Typische Datenkategorien: Eingaben/Ausgaben ohne Kundendetails; Metadaten.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1.
(6) Aktivierungsstatus: optional; nur bei Aktivierung.

13.5 HighLevel-native KI-Funktionen (Zero Data Retention – Anbieterzusage; Marketplace/Addons ausgenommen)

(1) Kategorie: Plattform-KI (innerhalb HighLevel/LeadConnector).
(2) Zweck/Funktion: KI-Funktionen, die nativ in der HighLevel-Plattform bereitgestellt werden, soweit genutzt.
(3) Typische Datenkategorien: Prompts/Eingaben, Ausgaben, ggf. Inhalte/CRM-Kontext je nach Feature-Nutzung.
(4) Sitz/Verarbeitungsort: USA (anbieterabhängig, über LeadConnector/HighLevel-Infrastruktur).
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1.
(6) Aktivierungsstatus: aktiv (native Nutzung); No-Train/Retention: Zero Data Retention gemäß mündlicher Anbieterzusage; schriftliche/öffentliche Bestätigung wird angestrebt; ausdrücklich ausgenommen sind Marketplace-Addons und Drittanbieter-Integrationen mit eigener KI-Logik.

14. Support- und Servicepartner (Zugriffsmöglichkeit; aktiv)

14.1 Extendly

(1) Kategorie: Support/Operational Services.
(2) Zweck/Funktion: Support- und Umsetzungsleistungen im Auftrag von Guventa, soweit für den Betrieb und die Betreuung von Kundenaccounts erforderlich.
(3) Typische Datenkategorien: Account- und Ticketdaten, Kommunikationsdaten, ggf. CRM-Kontext und Konfigurationsdaten je nach Supportauftrag.
(4) Sitz/Verarbeitungsort: nach Anbieterangabe; Zugriff/Verarbeitung abhängig vom Supportumfang.
(5) Drittlandtransfer: möglich; Mechanismus gemäß Abschnitt 1, sofern Zugriff/Verarbeitung außerhalb EU erfolgt.
(6) Aktivierungsstatus: aktiv.

15. Governance-Mechanismen und Systemrelevanz

(1) Guventa betreibt ein strukturiertes Subprozessor-Management mit dokumentierten Auswahlkriterien, Prüfung von Zertifizierungen (z. B. ISO 27001, SOC 2), vertraglicher Absicherung, regelmäßiger Evaluierung und dokumentierten Änderungsmitteilungen.
(2) Ein selektiver Ausschluss systemkritischer Subprozessoren ist technisch nicht möglich, soweit diese für den Plattformbetrieb zwingend erforderlich sind. In solchen Fällen kann Guventa die Leistung ohne diese Subprozessoren nicht erbringen.
(3) Wesentliche Änderungen werden in geeigneter Weise angekündigt; die Ausgestaltung eines Widerspruchsmechanismus richtet sich nach den vertraglichen Regelungen (AGB/AVV), soweit anwendbar.