Transparenz-Register

Sub-Auftragsverarbeiter

Sub-processors — List of Caelex sub-processors under Art. 28(2) GDPR

Stand · Effective: 25. April 2026 · 12 aktive Unterauftragsverarbeiter · 12 active sub-processors

Diese Seite führt alle Dienstleister auf, die Caelex im Rahmen der Plattform-Bereitstellung als Sub-Auftragsverarbeiter im Sinne von Art. 28 Abs. 2 DSGVO einsetzt. Jede Position gibt Zweck, Datenarten, Verarbeitungsort und Transfermechanismus transparent an.

This page lists all service providers engaged by Caelex as sub-processors within the meaning of Art. 28(2) GDPR. Each entry transparently discloses purpose, data types, processing location and transfer mechanism.

Gemäß DPA § 10 informieren wir bestehende Kunden mindestens 30 Tage vor Aufnahme oder Austausch eines Sub-Auftragsverarbeiters. Hier für Benachrichtigungen anmelden.

Hosting & Edge Network · Hosting & Edge Network

Vercel Inc.

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Website Provider DPA

Zweck · Purpose: Bereitstellung der Plattform über das globale Edge-Netzwerk, Build- und Deploy-Orchestrierung, Serverless-Funktionen.; Serving the platform through the global edge network, build and deploy orchestration, serverless functions.
Datenarten · Data types: Sämtliche zur Auslieferung der Anwendung benötigten Daten (Anwendungscode, Request-Metadaten, IP-Adressen), flüchtige Anwendungsdaten während der Verarbeitung.; All data required to serve the application (application code, request metadata, IP addresses), transient application data during processing.
Verarbeitungsort · Location: USA mit Edge-Regionen weltweit; Caelex nutzt vorrangig EU-Regionen (fra1, cdg1) für dynamische Requests
Transfer-Mechanismus · Transfer mechanism: EU-Standardvertragsklauseln (Modul 3) · EU-US Data Privacy Framework

Managed Postgres · Managed Postgres

Neon Inc.

Neon Inc., 2261 Market St #4474, San Francisco, CA 94114, USA

Website Provider DPA

Zweck · Purpose: Betrieb der Produktivdatenbank (PostgreSQL), inkl. Backups und Point-in-Time-Recovery.; Operating the production database (PostgreSQL), including backups and point-in-time recovery.
Datenarten · Data types: Alle persistierten Anwendungsdaten: Nutzer-, Organisations-, Assessment-, Dokument-, Audit-Log-, Bookmark- und Kommunikationsdaten.; All persisted application data: user, organisation, assessment, document, audit-log, bookmark and communication data.
Verarbeitungsort · Location: EU-Region eu-central-1 (Frankfurt, Deutschland)
Transfer-Mechanismus · Transfer mechanism: Verarbeitung innerhalb der EU; Verwaltungs-Zugriffe aus den USA werden durch EU-Standardvertragsklauseln (Modul 3) abgesichert

Rate-Limiting & Caching · Rate limiting & caching

Upstash Inc.

Upstash Inc., 900 Mission St #203, San Francisco, CA 94103, USA

Website Provider DPA

Zweck · Purpose: Rate-Limiting für API- und Widget-Endpunkte; serverloses Redis-Caching für Session-Tokens und kurzlebige Zähler.; Rate limiting for API and widget endpoints; serverless Redis caching for session tokens and short-lived counters.
Datenarten · Data types: IP-Adressen und User-IDs zu Rate-Limit-Zwecken (TTL < 24h), Session- und MFA-Tokens (kurzlebig).; IP addresses and user IDs for rate-limit purposes (TTL < 24h), session and MFA tokens (short-lived).
Verarbeitungsort · Location: EU-Region eu-west-1 (Dublin, Irland)
Transfer-Mechanismus · Transfer mechanism: Verarbeitung innerhalb der EU; EU-US DPF für USA-Support-Zugriffe; Standardvertragsklauseln Modul 3

Zahlungsabwicklung · Payments

Stripe Payments Europe Ltd.

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Ireland

Website Provider DPA

Zweck · Purpose: Abwicklung von Zahlungen, Abrechnung, Rechnungsstellung, Abo-Verwaltung. Stripe ist für Zahlungsdaten eigenverantwortlicher Datenverarbeiter.; Payment processing, billing, invoicing, subscription management. Stripe is an independent controller for payment data.
Datenarten · Data types: Rechnungsadresse, Umsatz- und Steuernummern, Zahlungshistorie. Kartendaten werden ausschließlich bei Stripe gespeichert (PCI DSS Level 1), nicht bei Caelex.; Billing address, VAT and tax IDs, payment history. Card data is stored only with Stripe (PCI DSS Level 1), not with Caelex.
Verarbeitungsort · Location: Irland (EU); Teilverarbeitung in USA und Großbritannien
Transfer-Mechanismus · Transfer mechanism: Hauptverarbeitung in der EU; internationale Transfers über EU-Standardvertragsklauseln und UK-Addendum

Transaktionale E-Mails · Transactional email

Resend Inc.

Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Website Provider DPA

Zweck · Purpose: Versand transaktionaler E-Mails (Login-Links, Rechnungen, Benachrichtigungen, Support-Kommunikation).; Sending transactional email (login links, invoices, notifications, support communication).
Datenarten · Data types: E-Mail-Adressen der Empfänger, Betreff, E-Mail-Inhalt (nur während Zustellung, keine dauerhafte Speicherung bei Caelex-Aktivierung); Recipient email addresses, subject, email content (only during delivery; no permanent storage when Caelex configures accordingly).
Verarbeitungsort · Location: USA mit EU-Edge-Regionen
Transfer-Mechanismus · Transfer mechanism: EU-Standardvertragsklauseln Modul 3 · optional EU-Datenhaltung aktiv

Fehler- & Performance-Monitoring · Error & performance monitoring

Functional Software Inc. (dba Sentry)

Functional Software Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA

Website Provider DPA

Zweck · Purpose: Erfassung von Laufzeitfehlern und Performance-Metriken zur Produktstabilität und Sicherheitsbeobachtung.; Capturing runtime errors and performance metrics for product stability and security observability.
Datenarten · Data types: Stack-Traces, Browser- und OS-Informationen, Request-Metadaten, anonymisierte User-IDs. PII-Scrubbing vor Übertragung aktiviert.; Stack traces, browser and OS information, request metadata, anonymised user IDs. PII scrubbing enabled before transmission.
Verarbeitungsort · Location: EU-Region (Frankfurt) mit Fallback USA
Transfer-Mechanismus · Transfer mechanism: Verarbeitung primär in EU; EU-Standardvertragsklauseln Modul 3 für USA-Fallback

KI-Inferenz (Claude) · AI inference (Claude)

Anthropic PBC

Anthropic PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA

Website Provider DPA

Zweck · Purpose: Ausführung der Large-Language-Model-Anfragen für Astra (Compliance-Copilot), Atlas (Anwalts-Modus), Generate 2.0 und automatische Dokumentengenerierung.; Running large-language-model requests for Astra (compliance copilot), Atlas (legal-counsel mode), Generate 2.0 and automated document generation.
Datenarten · Data types: Nutzer-Prompt, vom Nutzer bereitgestellter Kontext, Konversations-ID (nur Astra). Zero-Data-Retention-Vereinbarung aktiv: keine Speicherung bei Anthropic nach Beantwortung, keine Nutzung zum Modelltraining.; User prompt, user-provided context, conversation ID (Astra only). Zero-data-retention agreement active: no storage at Anthropic after response, no use for model training.
Verarbeitungsort · Location: Primär EU (Frankfurt/Irland, AWS Bedrock via Vercel AI Gateway); Fallback USA (Anthropic Direkt-API) — siehe `src/lib/atlas/anthropic-client.ts`
Transfer-Mechanismus · Transfer mechanism: Primärer Pfad (EU-Bedrock): kein Drittlandtransfer — Verarbeitung in der EU. Fallback-Pfad (USA): EU-US Data Privacy Framework (Anthropic ist DPF-zertifiziert) · EU-Standardvertragsklauseln Modul 3 · Zero-Data-Retention-Zusage (Anthropic Enterprise).

KI-Embeddings (semantische Recherche) · AI embeddings (semantic search)

OpenAI, L.L.C.

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA · Routed via Vercel AI Gateway

Website Provider DPA

Zweck · Purpose: Erzeugung von Vektor-Embeddings (text-embedding-3-small @ 512 Dimensionen) für die Atlas-Korpus-Semantiksuche und die Phase-5+ Personal-Library-Recall. Routing über das Vercel AI Gateway — keine direkte Vertragsbeziehung zwischen OpenAI und Caelex; OpenAI wirkt als Sub-Sub-Processor von Vercel.; Vector embedding generation (text-embedding-3-small @ 512 dims) for Atlas corpus semantic search and the Phase 5+ Personal Library recall. Routed through Vercel AI Gateway — no direct contractual relationship between OpenAI and Caelex; OpenAI acts as a sub-sub-processor under Vercel.
Datenarten · Data types: Nutzer-Anfragetext (kurze Such-Queries) und Library-Eintragstexte (Titel + ggf. ursprüngliche Frage + erste 3.000 Zeichen des Inhalts) zur Vektor-Repräsentation. Keine Klartext-Speicherung über die API-Aufruf-Dauer hinaus (OpenAI Zero-Data-Retention für API-Kunden seit 2023).; User query text (short search queries) and library-entry texts (title + optional original question + first 3,000 chars of content) for vector representation. No plaintext retention beyond the API call duration (OpenAI Zero-Data-Retention for API customers since 2023).
Verarbeitungsort · Location: USA
Transfer-Mechanismus · Transfer mechanism: EU-US Data Privacy Framework (zertifiziert) · Standardvertragsklauseln · Zero-Data-Retention für API-Aufrufe · Routing über Vercel AI Gateway (kein eigener Vertrag mit Caelex)

Objektspeicher (Dokumente, Anhänge) · Object storage (documents, attachments)

Cloudflare, Inc.

Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA

Website Provider DPA

Zweck · Purpose: Speicherung von Nutzer-hochgeladenen Dokumenten, Mandantenanlagen, generierten PDF-Reports und sonstigen Datei-Anhängen via Cloudflare R2 (S3-kompatibel). R2 wird ausschließlich serverseitig adressiert; signierte URLs sind kurzlebig (Stunden, nicht Tage).; Storage of user-uploaded documents, mandate attachments, generated PDF reports and other file attachments via Cloudflare R2 (S3-compatible). R2 is addressed server-side only; signed URLs are short-lived (hours, not days).
Datenarten · Data types: Dateiinhalte (Dokumente, Bilder, PDFs), Datei-Metadaten (Name, MIME-Type, Größe), Caelex-interne Zuordnungs-IDs (Organisation, Nutzer, Mandant). Keine Klartext-Indizierung. Verschlüsselung at-rest durch Cloudflare-Standard (AES-256).; File contents (documents, images, PDFs), file metadata (name, MIME type, size), Caelex-internal assignment IDs (organisation, user, mandate). No plaintext indexing. At-rest encryption via Cloudflare standard (AES-256).
Verarbeitungsort · Location: EU-Region (Frankfurt) als bevorzugte Storage-Region; Cloudflare global edge für signierte URL-Auslieferung
Transfer-Mechanismus · Transfer mechanism: Verarbeitung in EU-Region; EU-Standardvertragsklauseln Modul 3 für US-Verwaltungs-Zugriff; Cloudflare ist DPF-zertifiziert

Geschäftsereignis-Monitoring · Business-event monitoring

LogSnag

LogSnag (operated by Shayan Taslim, registered in Canada)

Website Provider DPA

Zweck · Purpose: Server-seitiges Tracking aussagekräftiger Geschäftsereignisse (Anmeldungen, Stornierungen, Compliance-Meilensteine, Fehler-Cluster) für Operator-Alerting. Keine Profilbildung, keine Werbe- oder Marketing-Auswertung.; Server-side tracking of significant business events (signups, cancellations, compliance milestones, error clusters) for operator alerting. No profiling, no advertising or marketing analysis.
Datenarten · Data types: Ereignistyp, Channel, kurze Beschreibung, Caelex-interne IDs (User, Organisation), Zeitstempel. Keine E-Mail-Adressen, keine PII-Klartextfelder. Kein Browser- oder Geräte-Fingerprinting (Server-only).; Event type, channel, short description, Caelex-internal IDs (user, organisation), timestamp. No email addresses, no PII plaintext fields. No browser or device fingerprinting (server-only).
Verarbeitungsort · Location: Kanada
Transfer-Mechanismus · Transfer mechanism: Übermittlung an Drittland mit EU-Angemessenheitsbeschluss (Kanada — Decision 2002/2/EG); zusätzlich Standardvertragsklauseln im Anbietervertrag

Web-Analytics (cookielos) · Web analytics (cookieless)

Vercel Inc. (Web Analytics)

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Website Provider DPA

Zweck · Purpose: Aggregierte Reichweiten- und Nutzungsstatistiken (Seitenaufrufe, Verweildauer, Geräteklasse). Cookielos und ohne Cross-Site-Tracking. Wird ausschließlich nach ausdrücklicher Einwilligung des Nutzers (Cookie-Banner: Analytics-Toggle aktiv) geladen — siehe `src/components/ConditionalAnalytics.tsx`.; Aggregated reach and usage statistics (page views, dwell time, device class). Cookieless and without cross-site tracking. Loaded only after explicit user consent (Cookie banner: analytics toggle on) — see `src/components/ConditionalAnalytics.tsx`.
Datenarten · Data types: Pfad der aufgerufenen Seite, anonymisierte Geräte-Klasse, Referrer-Domain, Sitzungs-Hash (gerollt). Keine IP-Adressen, keine Cookies, keine User-IDs.; Path of the visited page, anonymised device class, referrer domain, rolled session hash. No IP addresses, no cookies, no user IDs.
Verarbeitungsort · Location: USA (Vercel) mit globaler Edge-Aggregation; Caelex bevorzugt EU-Edge-Regionen
Transfer-Mechanismus · Transfer mechanism: EU-Standardvertragsklauseln Modul 3 · EU-US Data Privacy Framework (Vercel ist zertifiziert)

Performance-Monitoring (Core Web Vitals) · Performance monitoring (Core Web Vitals)

Vercel Inc. (Speed Insights)

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Website Provider DPA

Zweck · Purpose: Erfassung der Core Web Vitals (LCP, INP, CLS, TTFB) zur Beobachtung der Wahrnehmungs-Performance der Plattform. Wird ausschließlich nach ausdrücklicher Einwilligung des Nutzers (Cookie-Banner: Performance-Toggle aktiv) geladen — siehe `src/components/ConditionalAnalytics.tsx`.; Collection of Core Web Vitals (LCP, INP, CLS, TTFB) to observe perceived platform performance. Loaded only after explicit user consent (Cookie banner: performance toggle on) — see `src/components/ConditionalAnalytics.tsx`.
Datenarten · Data types: Performance-Messwerte (Millisekunden), Pfad der gemessenen Seite, anonymisierte Geräte- und Verbindungsklasse. Keine IP-Adressen, keine Cookies, keine personenbezogenen Identifikatoren.; Performance metrics (milliseconds), path of the measured page, anonymised device and connection class. No IP addresses, no cookies, no personal identifiers.
Verarbeitungsort · Location: USA (Vercel) mit globaler Edge-Aggregation
Transfer-Mechanismus · Transfer mechanism: EU-Standardvertragsklauseln Modul 3 · EU-US Data Privacy Framework (Vercel ist zertifiziert)

Auftragsverarbeitungsvertrag (DPA) →Datenschutzerklärung AGB