Sub-Processor-Liste
Anlage 1 zum Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO
discontinue.dev MAS GmbH · KI-Operations-Plattform für Hotels
Stand: 7. Juli 2026 · Version 7.1
Diese Liste benennt die von discontinue.dev eingesetzten Unterauftragsverarbeiter (Sub-Processors) für die im Auftrag der Hotel-Kunden verarbeiteten Hoteldaten aus den angebundenen Systemen (z. B. einem Property-Management-System). Sie ist verbindliche Anlage 1 zum DPA.
Vorbemerkung
- (1) Der Verantwortliche (Hotel) erteilt gem. Art. 28 Abs. 2 DSGVO eine allgemeine Genehmigung zum Einsatz der nachstehend genannten Unterauftragsverarbeiter.
- (2) discontinue.dev informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf das Hinzufügen, den Wechsel oder das Entfernen von Unterauftragsverarbeitern mindestens 14 Tage vor Inkrafttreten per E-Mail.
- (3) Der Verantwortliche kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. In diesem Fall sind die Parteien um eine einvernehmliche Lösung bemüht; andernfalls besteht ein außerordentliches Kündigungsrecht.
- (4) Alle Unterauftragsverarbeiter sind vertraglich (Auftragsverarbeitungsvertrag bzw. gleichwertige Vereinbarung) zur Einhaltung der Anforderungen des Art. 28 DSGVO verpflichtet. Bei Drittlandtransfers werden geeignete Garantien gem. Art. 46 DSGVO sichergestellt.
Abgrenzung: Sub-Processor vs. Software-Komponente
Was ist ein Sub-Processor? Als Unterauftragsverarbeiter gilt nur, wer im Auftrag von discontinue.dev personenbezogene Hotel-/Gästedaten verarbeitet und auf den eine Verarbeitung (mit-)ausgelagert wird. Nicht als Sub-Processor gelten:
- selbst betriebene (self-hosted) Software-Komponenten, bei denen keine Daten an einen Dritten übermittelt werden, und
- Dienste, bei denen discontinue.dev als eigener Verantwortlicher und ohne Hotel-/Gästedaten handelt (z. B. Google Analytics und Cookiebot, siehe Hinweis 2).
Haupttabelle der Unterauftragsverarbeiter
Oracle Cloud Infrastructure (Oracle Corporation)
- Dienst
- Hosting, Datenbank, Object Storage, Backup
- Verarbeitete Daten
- Alle Plattform-Daten inkl. abgerufener Daten aus den angebundenen Systemen (Reservierungen, Gästenamen) sowie Account-Daten
- Standort
- Frankfurt, Deutschland (EU)
- Transferbasis
- Verarbeitung in der EU, kein laufender Drittlandtransfer; für etwaige Konzern-/Supportzugriffe aus Drittländern SCCs gemäß Oracle Cloud Services Agreement inkl. DPA
Anthropic PBC
- Dienst
- KI-Modell (Claude API)
- Verarbeitete Daten
- Inhalte einzelner Reports/Agent-Läufe; kann Reservierungsdaten inkl. Gästenamen, Anrede, E-Mail, Aufenthaltsdaten und Sonderwünsche umfassen
- Standort
- USA
- Transferbasis
- EU-Standardvertragsklauseln (Modul 2, Art. 46 Abs. 2 lit. c DSGVO) + TIA; Non-Training; Speicherung höchstens 30 Tage (nur Missbrauchserkennung); siehe TIA
Mailgun Technologies, Inc. (Sinch Group)
- Dienst
- E-Mail-Versand von Reports/Benachrichtigungen
- Verarbeitete Daten
- Empfänger-E-Mail-Adresse und Report-Inhalte (können Gästenamen enthalten, wenn so konfiguriert)
- Standort
- EU-Region (Frankfurt), EU-Region-Pinning
- Transferbasis
- Verarbeitung in der EU; Mailgun-DPA mit SCCs für etwaige US-Support-Zugriffe
Stripe Payments Europe Ltd.
- Dienst
- Billing / Zahlungsabwicklung
- Verarbeitete Daten
- Ausschließlich Abrechnungsdaten (Plattform-Konto, Rechnungspositionen, Zahlungsmittel); keine Gästedaten oder Daten aus den angebundenen Systemen
- Standort
- Dublin, Irland (EU); Konzernverbindung Stripe Inc. (USA)
- Transferbasis
- Primärverarbeitung in der EU; SCCs für Konzernzugriffe; Stripe-DPA
Langfuse GmbH (Langfuse Cloud, EU-Region)
- Dienst
- Internes KI-/Run-Tracing (Observability der Agent-Läufe)
- Verarbeitete Daten
- Run-Traces der Agent-Läufe; können Report-/Lauf-Inhalte inkl. Gästenamen enthalten
- Standort
- Berlin, DE; Hosting in der EU (AWS, Irland)
- Transferbasis
- Verarbeitung in der EU, kein Drittlandtransfer; Langfuse-DPA gem. Art. 28 DSGVO
Hinweise
1.Langfuse (Langfuse Cloud, EU – Unterauftragsverarbeiter).
Das für das interne KI-/Run-Tracing eingesetzte Langfuse wird als Langfuse Cloud in der EU-Region genutzt (Anbieter: Langfuse GmbH, Berlin; Hosting in der EU). Da hierbei Run-Trace-Daten verarbeitet werden, die Inhalte aus Reports/Läufen (inkl. Gästenamen) enthalten können, ist Langfuse Unterauftragsverarbeiter und in der Haupttabelle gelistet. Die Verarbeitung findet ausschließlich in der EU statt (kein Drittlandtransfer); es besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.
2.Google Analytics / Tag Manager und Cookiebot (kein DPA-Sub-Processor).
Soweit discontinue.dev Google Analytics 4 / Google Tag Manager zur Analyse der eigenen Website- und Plattform-Nutzung einsetzt, handelt discontinue.dev insoweit als eigener Verantwortlicher (nicht als Auftragsverarbeiter des Hotels). Google verarbeitet dabei keine Gästedaten oder Daten aus den angebundenen Systemen, sondern misst ausschließlich das Bedienverhalten der Plattform-Nutzer/Website-Besucher. Google ist daher kein Unterauftragsverarbeiter im Rahmen dieses DPA. Gleiches gilt für die Consent-Management-Plattform Cookiebot (Usercentrics/Cybot A/S, Kopenhagen, Dänemark; Verarbeitung ausschließlich in der EU): Sie verarbeitet nur Einwilligungsdaten der Website-/Plattform-Nutzer (keine Gästedaten oder Daten aus den angebundenen Systemen) und ist daher ebenfalls kein Unterauftragsverarbeiter im Rahmen dieses DPA. Diese Hinweise dienen der Klarstellung; die Verarbeitung ist in der Datenschutzerklärung geregelt (Google: Einwilligung, EU-US Data Privacy Framework + SCCs; Cookiebot: Art. 6 Abs. 1 lit. c/f DSGVO, Verarbeitung in der EU).
3.Dynamisches Modell-Routing / Wechsel des Frameworks.
Wird künftig ein weiterer KI-Anbieter eingesetzt, wird dieser vorab gegen Non-Training, begrenzte Speicherdauer und das Vorliegen geeigneter Transfergarantien (SCCs) geprüft. Erst danach wird er als Unterauftragsverarbeiter in diese Liste aufgenommen und den Verantwortlichen mindestens 14 Tage vor Inkrafttreten angekündigt. Dies gilt entsprechend für selbst- bzw. lokal gehostete Modelle und andere API-Anbieter sowie für einen Wechsel des Agenten-/Orchestrierungs-Frameworks. Der Wechsel ist eine gewöhnliche Betriebsmaßnahme; das datenschutzrechtliche Widerspruchsrecht des Verantwortlichen bleibt unberührt, ein darüber hinausgehendes Sonderkündigungsrecht entsteht dadurch nicht.
4.Non-Training-Garantie und begrenzte Speicherdauer (Anthropic).
Anthropic PBC hat vertraglich zugesichert, dass über die API verarbeitete Daten nicht zum Training der Modelle verwendet werden; übermittelte Inhalte werden höchstens 30 Tage und ausschließlich zur Missbrauchserkennung gespeichert und anschließend automatisch gelöscht. Der Transfer in die USA stützt sich auf EU-Standardvertragsklauseln (Modul 2) samt Transfer-Impact-Assessment; eine DPF-Zertifizierung von Anthropic besteht nach Prüfung vom 05.07.2026 nicht (dataprivacyframework.gov; siehe TIA-Hinweis und Evidenzdokument).
5.Transfer-Impact-Assessment (USA).
Für den Drittlandtransfer in die USA (Anthropic PBC) liegt ein Transfer-Impact-Assessment (TIA) gem. „Schrems II“ (EuGH C-311/18) vor. Es kann unter datenschutz@discontinue.dev angefordert werden.
Änderungshistorie
Bei Fragen oder zur Anforderung weiterführender Dokumente (DPA, TIA, TOMs): datenschutz@discontinue.dev