Sub-Processor-Liste

Anlage 1 zum Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO

discontinue.dev MAS GmbH · KI-Operations-Plattform für Hotels

Stand: 7. Juli 2026 · Version 7.1

Diese Liste benennt die von discontinue.dev eingesetzten Unterauftragsverarbeiter (Sub-Processors) für die im Auftrag der Hotel-Kunden verarbeiteten Hoteldaten aus den angebundenen Systemen (z. B. einem Property-Management-System). Sie ist verbindliche Anlage 1 zum DPA.

Vorbemerkung

  1. (1) Der Verantwortliche (Hotel) erteilt gem. Art. 28 Abs. 2 DSGVO eine allgemeine Genehmigung zum Einsatz der nachstehend genannten Unterauftragsverarbeiter.
  2. (2) discontinue.dev informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf das Hinzufügen, den Wechsel oder das Entfernen von Unterauftragsverarbeitern mindestens 14 Tage vor Inkrafttreten per E-Mail.
  3. (3) Der Verantwortliche kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. In diesem Fall sind die Parteien um eine einvernehmliche Lösung bemüht; andernfalls besteht ein außerordentliches Kündigungsrecht.
  4. (4) Alle Unterauftragsverarbeiter sind vertraglich (Auftragsverarbeitungsvertrag bzw. gleichwertige Vereinbarung) zur Einhaltung der Anforderungen des Art. 28 DSGVO verpflichtet. Bei Drittlandtransfers werden geeignete Garantien gem. Art. 46 DSGVO sichergestellt.

Abgrenzung: Sub-Processor vs. Software-Komponente

Was ist ein Sub-Processor? Als Unterauftragsverarbeiter gilt nur, wer im Auftrag von discontinue.dev personenbezogene Hotel-/Gästedaten verarbeitet und auf den eine Verarbeitung (mit-)ausgelagert wird. Nicht als Sub-Processor gelten:

  • selbst betriebene (self-hosted) Software-Komponenten, bei denen keine Daten an einen Dritten übermittelt werden, und
  • Dienste, bei denen discontinue.dev als eigener Verantwortlicher und ohne Hotel-/Gästedaten handelt (z. B. Google Analytics und Cookiebot, siehe Hinweis 2).

Haupttabelle der Unterauftragsverarbeiter

Oracle Cloud Infrastructure (Oracle Corporation)

Dienst
Hosting, Datenbank, Object Storage, Backup
Verarbeitete Daten
Alle Plattform-Daten inkl. abgerufener Daten aus den angebundenen Systemen (Reservierungen, Gästenamen) sowie Account-Daten
Standort
Frankfurt, Deutschland (EU)
Transferbasis
Verarbeitung in der EU, kein laufender Drittlandtransfer; für etwaige Konzern-/Supportzugriffe aus Drittländern SCCs gemäß Oracle Cloud Services Agreement inkl. DPA

Anthropic PBC

Dienst
KI-Modell (Claude API)
Verarbeitete Daten
Inhalte einzelner Reports/Agent-Läufe; kann Reservierungsdaten inkl. Gästenamen, Anrede, E-Mail, Aufenthaltsdaten und Sonderwünsche umfassen
Standort
USA
Transferbasis
EU-Standardvertragsklauseln (Modul 2, Art. 46 Abs. 2 lit. c DSGVO) + TIA; Non-Training; Speicherung höchstens 30 Tage (nur Missbrauchserkennung); siehe TIA

Mailgun Technologies, Inc. (Sinch Group)

Dienst
E-Mail-Versand von Reports/Benachrichtigungen
Verarbeitete Daten
Empfänger-E-Mail-Adresse und Report-Inhalte (können Gästenamen enthalten, wenn so konfiguriert)
Standort
EU-Region (Frankfurt), EU-Region-Pinning
Transferbasis
Verarbeitung in der EU; Mailgun-DPA mit SCCs für etwaige US-Support-Zugriffe

Stripe Payments Europe Ltd.

Dienst
Billing / Zahlungsabwicklung
Verarbeitete Daten
Ausschließlich Abrechnungsdaten (Plattform-Konto, Rechnungspositionen, Zahlungsmittel); keine Gästedaten oder Daten aus den angebundenen Systemen
Standort
Dublin, Irland (EU); Konzernverbindung Stripe Inc. (USA)
Transferbasis
Primärverarbeitung in der EU; SCCs für Konzernzugriffe; Stripe-DPA

Langfuse GmbH (Langfuse Cloud, EU-Region)

Dienst
Internes KI-/Run-Tracing (Observability der Agent-Läufe)
Verarbeitete Daten
Run-Traces der Agent-Läufe; können Report-/Lauf-Inhalte inkl. Gästenamen enthalten
Standort
Berlin, DE; Hosting in der EU (AWS, Irland)
Transferbasis
Verarbeitung in der EU, kein Drittlandtransfer; Langfuse-DPA gem. Art. 28 DSGVO

Hinweise

1.Langfuse (Langfuse Cloud, EU – Unterauftragsverarbeiter).

Das für das interne KI-/Run-Tracing eingesetzte Langfuse wird als Langfuse Cloud in der EU-Region genutzt (Anbieter: Langfuse GmbH, Berlin; Hosting in der EU). Da hierbei Run-Trace-Daten verarbeitet werden, die Inhalte aus Reports/Läufen (inkl. Gästenamen) enthalten können, ist Langfuse Unterauftragsverarbeiter und in der Haupttabelle gelistet. Die Verarbeitung findet ausschließlich in der EU statt (kein Drittlandtransfer); es besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

2.Google Analytics / Tag Manager und Cookiebot (kein DPA-Sub-Processor).

Soweit discontinue.dev Google Analytics 4 / Google Tag Manager zur Analyse der eigenen Website- und Plattform-Nutzung einsetzt, handelt discontinue.dev insoweit als eigener Verantwortlicher (nicht als Auftragsverarbeiter des Hotels). Google verarbeitet dabei keine Gästedaten oder Daten aus den angebundenen Systemen, sondern misst ausschließlich das Bedienverhalten der Plattform-Nutzer/Website-Besucher. Google ist daher kein Unterauftragsverarbeiter im Rahmen dieses DPA. Gleiches gilt für die Consent-Management-Plattform Cookiebot (Usercentrics/Cybot A/S, Kopenhagen, Dänemark; Verarbeitung ausschließlich in der EU): Sie verarbeitet nur Einwilligungsdaten der Website-/Plattform-Nutzer (keine Gästedaten oder Daten aus den angebundenen Systemen) und ist daher ebenfalls kein Unterauftragsverarbeiter im Rahmen dieses DPA. Diese Hinweise dienen der Klarstellung; die Verarbeitung ist in der Datenschutzerklärung geregelt (Google: Einwilligung, EU-US Data Privacy Framework + SCCs; Cookiebot: Art. 6 Abs. 1 lit. c/f DSGVO, Verarbeitung in der EU).

3.Dynamisches Modell-Routing / Wechsel des Frameworks.

Wird künftig ein weiterer KI-Anbieter eingesetzt, wird dieser vorab gegen Non-Training, begrenzte Speicherdauer und das Vorliegen geeigneter Transfergarantien (SCCs) geprüft. Erst danach wird er als Unterauftragsverarbeiter in diese Liste aufgenommen und den Verantwortlichen mindestens 14 Tage vor Inkrafttreten angekündigt. Dies gilt entsprechend für selbst- bzw. lokal gehostete Modelle und andere API-Anbieter sowie für einen Wechsel des Agenten-/Orchestrierungs-Frameworks. Der Wechsel ist eine gewöhnliche Betriebsmaßnahme; das datenschutzrechtliche Widerspruchsrecht des Verantwortlichen bleibt unberührt, ein darüber hinausgehendes Sonderkündigungsrecht entsteht dadurch nicht.

4.Non-Training-Garantie und begrenzte Speicherdauer (Anthropic).

Anthropic PBC hat vertraglich zugesichert, dass über die API verarbeitete Daten nicht zum Training der Modelle verwendet werden; übermittelte Inhalte werden höchstens 30 Tage und ausschließlich zur Missbrauchserkennung gespeichert und anschließend automatisch gelöscht. Der Transfer in die USA stützt sich auf EU-Standardvertragsklauseln (Modul 2) samt Transfer-Impact-Assessment; eine DPF-Zertifizierung von Anthropic besteht nach Prüfung vom 05.07.2026 nicht (dataprivacyframework.gov; siehe TIA-Hinweis und Evidenzdokument).

5.Transfer-Impact-Assessment (USA).

Für den Drittlandtransfer in die USA (Anthropic PBC) liegt ein Transfer-Impact-Assessment (TIA) gem. „Schrems II“ (EuGH C-311/18) vor. Es kann unter datenschutz@discontinue.dev angefordert werden.

Änderungshistorie

30.03.2026
1.0
Erstversion der Sub-Processor-Liste
19.05.2026
2.0
Konsolidierung nach Anwalts-/DSB-Review: Langfuse als Nicht-Sub-Processor entfernt; Mailgun EU-Region-Pinning ergänzt; Stripe-Standort Dublin präzisiert; Datenkategorien je Sub-Processor präzisiert; Verweis auf TIA für den USA-Transfer ergänzt
06.06.2026
3.0
Markdown-Fassung; Klarstellung Google/Google Analytics als Nicht-Sub-Processor ergänzt
06.06.2026
4.0
Rechtsprüfung: Anthropic nun DPF-zertifiziert → Transferbasis DPF (primär) + SCCs (Fallback)
06.06.2026
5.0
Cookiebot (Consent-Management) als Nicht-DPA-Sub-Processor klargestellt
17.06.2026
6.0
Langfuse als Unterauftragsverarbeiter (Langfuse Cloud, EU-Region) aufgenommen (zuvor als self-hosted geführt); Anlass: Umstellung auf Langfuse Cloud (EU)
05.07.2026
7.0
Präzisierung Anthropic: Zero-Data-Retention-Angabe durch begrenzte Speicherdauer (max. 30 Tage, nur Missbrauchserkennung) ersetzt; Non-Training unverändert
05.07.2026
7.1
Transferbasis Anthropic korrigiert: SCCs (Modul 2) + TIA statt DPF – Anthropic ist auf der DPF-Liste nicht geführt (Prüfung 05.07.2026); OCI-Zeile um SCC-Vorsorge für Supportzugriffe ergänzt

Bei Fragen oder zur Anforderung weiterführender Dokumente (DPA, TIA, TOMs): datenschutz@discontinue.dev