SoSafe – Liste der Unterauftragsverarbeiter
Inkrafttreten am 17. April 2025
SoSafe beauftragt die folgenden Drittunternehmen (als „Unterauftragsverarbeiter“ bezeichnet) mit der Verarbeitung personenbezogener Daten im Auftrag seiner Kunden. Diese Unterauftragsverarbeiter arbeiten im Rahmen vertraglicher Vereinbarungen mit SoSafe und gewährleisten die Einhaltung der in der SoSafe-Auftragsverarbeitungsvertrag dargelegten Verpflichtungen.
Um die Einhaltung der Bestimmungen zu gewährleisten, führt SoSafe jährliche Überprüfungen seiner Unterauftragsverarbeiter durch und verlangt von ihnen, geeignete technische und organisatorische Maßnahmen zu ergreifen. Diese Maßnahmen sollen die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen gewährleisten.
In der nachstehenden Liste sind die Unterauftragsverarbeiter aufgeführt, die zu Bereitstellung der Awareness-Building-Leistungen von SoSafe verwendet werden.
Unterauftragsverarbeiter | Optional / Standard | Adresse | Zweck der Verarbeitung | Ort der Datenspeicherung |
Amazon Web Services EMEA SARL (Amazon Web Services, Inc. als Vertragspartnerin der EU Standardvertragsklauseln) | Standard | 38 Avenue John F. Kennedy L-1855, Luxemburg Luxemburg | Hosting aller aktuellen und zukünftigen Komponenten, die für die Funktionalität des Betriebs der SoSafe Plattform erforderlich sind, einschließlich API-Schnittstellen, Datenspeicherungssystemen, Analyse-Tools, Hosting von (optionalen) AI-Chatbots und Tooling, und Kommunikationsfähigkeiten. Der Auftragsverarbeiter hat die folgenden Maßnahmen zum Schutz der Daten getroffen: – Speicherung und, insoweit dies seitens AWS seinen Kunden für den jeweiligen Service angeboten wird, Verarbeitung aller Daten des Verantwortlichen in zertifizierten Rechenzentren in der EU (Frankfurt a.M.). – Verschlüsselung aller Kundendaten durch einen vom Auftragnehmer generierten Masterschlüssel, damit weder AWS noch sonstige Drittparteien Zugriff auf Kundendaten erhalten, weder innerhalb noch außerhalb der EU / des EWR. – Abschluss eines Auftragsverarbeitungsvertrag sowie den Abschluss der EU-Standardvertragsklauseln ((EU) 2021/914, 4.6.2021, Modul 2 und 3), inkl. zahlreicher Verpflichtungen der AWS zum Umgang und der Transparenz bei etwaigen Behördenanfragen. – Amazon Web Services, Inc., ist aktiver Teilnehmer des EU-US Data Privacy Framework. – Datenschutzrechtliche Expertenmeinung zum Einsatz von AWS beim Auftragsverarbeiter, das auf Wunsch übermittelt werden kann. | EU |
Atlassian Pty Ltd. | Standard | Level 6, 341 George Street, Sydney, NSW 2000 Australien | Bereitstellung von Support Software (Customer Support Cloud Solution) für Kundenservices (Supportformular oder E-Mail an support@sosafe.de). Atlassian wird nur dann als Unterauftragsverarbeiter eingesetzt, wenn der Verantwortliche den Kundensupport des Auftragnehmers nutzt oder anderweitig mit dem Auftragsverarbeiter zu operativen Zwecken im Zusammenhang mit seinen Awareness-Building-Leistungen interagiert. – ISO27001-Zertifikat ist hier erhältlich: https://www.atlassian.com/trust/compliance/resources/iso27001. – SOC 2 -Zertifikat ist hier erhältlich: https://www.atlassian.com/trust/compliance/resources/soc2. – Weitere Informationen sind hier erhältlich: https://www.atlassian.com/trust und dataprotection@atlassian.com Der Auftragsverarbeiter hat die folgenden Maßnahmen zum Schutz der Daten getroffen: – Hosting und Verarbeitung aller Daten des Verantwortlichen in Rechenzentren in der Europäischen Union (Irland, Frankfurt) und, insoweit eine EU-beschränkte Lösung nicht angeboten wird (gemäß Atlassian’s Aussagen), in Australien. – Verschlüsselung aller Daten mit branchenüblichen Verschlüsselungsprodukten sowohl bei der Übertragung als auch im Ruhezustand. – Abschluss eines Auftragsverarbeitungsvertrages sowie der Abschluss der EU-Standardvertragsklauseln ((EU) 2021/914 vom 4.6.2021, Module 2 und 3) – Transfer Impact Assessment (TIA), der von unserem externen Datenschutzbeauftragten erstellt wurde. | EU and, to the extent a EU-only solution is not available by Atlassian, Australia. |
Planhat AB | Standard | Malmskillnadsgatan 13, 111 57 Stockholm Schweden | Verwaltung von Kundenkonten (Customer Success Management und Account Management) und für jede andere Interaktion mit dem Verantwortlichen in Bezug auf die Awareness-Building-Leistungen eingesetzt. Planhat ist nur dann ein Unterauftragsverarbeiter, wenn der Verantwortliche die kundenorientierten Funktionen von SoSafe (d. h. Customer Success, Implementierung, Support) nutzt oder anderweitig mit dem Auftragsverarbeiter in Bezug auf seine Awareness-Building-Leistungen interagiert. – SOC 2 Typ II-Zertifikat kann hier angefordert werden: compliance@planhat.com. – Weitere Informationen: https://www.planhat.com/security-statement/ Der Auftragsverarbeiter hat die folgenden Maßnahmen zum Schutz der Daten getroffen: – Hosting und Verarbeitung aller Daten in Rechenzentren in der Europäischen Union (Irland) Server-Hosting-Anbieter: Google Cloud EMEA Limited, ISO 27001 zertifiziert. – Verschlüsselung: — Alle übertragenen Daten werden mit Transport Layer Security (TLS / HTTPS) verschlüsselt. — Daten im Ruhezustand, die von Planhat-Kunden innerhalb der Planhat-App bereitgestellt werden, werden mit dem Industriestandard AES-256 gespeichert. – Abschluss eines Auftragsverarbeitungsvertrages. | EU |
Datadog Inc. | Standard | 620 8th Ave., 45th Fl., New York, NY 10018 USA | Technischer Monitoringdienst für Hybrid-Cloud-Apps, bereitgestellt auf einer SaaS-basierten Datenanalyseplattform. – ISO/IEC 27017:2015 Zertifikat ist hier erhältlich: https://trust.datadoghq.com/?itemUid=1fed9faa-4a87-427c-9a95-96b4d6bf66b7&source=documents_card – SOC 2 Typ I und II Zertifikate können hier angefordert werden: security@datadoghq.com – Weitere Informationen: https://trust.datadoghq.com/ Der Auftragsverarbeiter hat die folgenden Maßnahmen zum Schutz der Daten getroffen: – Hosting und Verarbeitung aller Daten in Rechenzentren in der Europäischen Union – Verschlüsselung: — Daten im Ruhezustand werden mit AES 256 verschlüsselt. — Alle Daten, die zwischen Datadog und Datadog-Benutzern übertragen werden, werden mit Transport Layer Security (TLS) und HTTP Strict Transport Security (HSTS) geschützt. Wenn die verschlüsselte Kommunikation unterbrochen wird, kann auf die Datadog-App nicht zugegriffen werden. – Abschluss eines Auftragsverarbeitungsvertrages sowie Abschluss der EU-Standardvertragsklauseln ((EU) 2021/914). – Datadog, Inc. ist aktiver Teilnehmer des EU-US Data Privacy Framework. | EU |
(Optional) Kombo Technologies GmbH | Optional | Lohmühlenstraße 65, 12435 Berlin Deutschland | Integration des Active Directory des Auftraggebers. Dieser Anbieter ist nur insoweit erforderlich, als der Verantwortliche eine Active Directory-Integration für das automatische Hochladen und die regelmäßige Aktualisierung von Nutzerdaten auf der Plattform des Auftragsverarbeiters verlangt. Der Auftragsverarbeiter hat die folgenden Maßnahmen zum Schutz der Daten getroffen: – Alle Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert. Server-Hosting-Anbieter: Google Cloud EMEA Limited. – Die Kombo Technologies GmbH ist ISO27001 zertifiziert. Der Zugang zum Zertifikat kann hier beantragt werden: https://security.kombo.dev/?itemUid=1fed9faa-4a87-427c-9a95-96b4d6bf66b7&source=click/. Weitere Informationen zu den technischen und organisatorischen Sicherheitsmaßnahmen der Kombo Technologies GmbH finden Sie unter security.kombo.dev. – Verschlüsselung: — Alle Kundendaten werden im Ruhezustand (data at rest) mit symmetrischer AES-256-Verschlüsselung verschlüsselt, einschließlich der Sicherungskopien. — Data in transit: Der gesamte ausgehende Datenverkehr (zu Integrations-APIs) verwendet die höchste TLS-Version, die von der API der jeweiligen Integration zur Verfügung gestellt wird (z. B. Google Workspace). Der gesamte eingehende Datenverkehr über die Kombo-API verwendet zwingend TLS 1.3. Verbindungen von den Anwendungs-Workloads von Kombo zur Datenbank von Kombo verwenden ebenfalls TLS 1.3 mit einer AES-256-Verschlüsselung. – Abschluss eines Auftragsverarbeitungsvertrags. | EU |
(Optional) OpenAI Ireland Ltd. (OpenAI OpCo, LLC als Vertragspartner der Vereinbarung zur Auftragsverarbeitung) | Optional | 1st Floor, The Liffey Trust Centre 117-126 Sheriff Street Upper Dublin 1, D01 YC43 Ireland | Bereitstellung von interaktivem Awareness und Support sowie anderen KI-gestützten Tools, soweit dies vom Verantwortlichen ausgewählt wurde. – SOC 2- und SOC 3-Zertifikate sind auf Anfrage erhältlich: https://trust.openai.com/; – Weitere Informationen zu den technischen und organisatorischen Sicherheitsmaßnahmen von OpenAI finden Sie unter https://trust.openai.com/ (das “Trust Portal”). Der Auftragsverarbeiter hat die folgenden Maßnahmen zum Schutz der Daten getroffen: – Verschlüsselung: — OpenAI hält Industry Best Practices für die Verschlüsselung ein, zu denen insbesondere gehören: — Verschlüsselung ruhender Daten in Produktionsdatenspeichern mit starken Verschlüsselungsalgorithmen; — Verschlüsselung von Daten während der Übertragung; — Vollständige Festplattenverschlüsselung auf allen Unternehmens-Workstations erforderlich. – Abschluss eines Auftragsverarbeitungsvertrages sowie Abschluss der EU-Standardvertragsklauseln. | EU und, sofern eine EU-exklusive Lösung nicht verfügbar ist, USA. |
SoSafe SE handelt als Unterauftragsverarbeiter, wenn sie im Auftrag eines anderen Unternehmens (anders als SoSafe SE) Daten verarbeitet.
Ausführliche Informationen zur Datenverarbeitung und Sicherheitsmaßnahmen finden Sie im SoSafe Trust Center.