Dieses Dokument listet alle Subunternehmer, die PrivacyBee AG als Auftragnehmer im Rahmen der Erbringung der PrivacyBee SaaS-Leistungen einsetzt und die dabei personenbezogene Daten im Auftrag der Partner (Kunden) verarbeiten. Die Genehmigung der nachfolgend aufgeführten Subunternehmer erfolgt mit Abschluss des AVV und gilt für alle aktiven Lizenzen und Testphasen.
2. Verzeichnis genehmigter Subunternehmer
Anbieter / Subunternehmer | Sitz / Serverstandort | Zweck der Verarbeitung | Verarbeitete Datenarten | Betroffene Personen | Transfermechanismus |
Anbieter mit EU- bzw. CH-Sitz (kein Drittlandtransfer) | |||||
Bexio AG | Schweiz Schweiz | Buchhaltungs- und Rechnungsstellungssoftware (Kundenfakturen, Buchungen) | Name, Adresse, E-Mail, Rechnungsdaten, Zahlungsstatus der Partner | Partner / Mitarbeitende | CH-Sitz; Angemessenheitsbeschluss EU-CH gilt |
Pipedrive OÜ / Pipedrive Inc. | Estland (EU) – Pipedrive OÜ; USA – Pipedrive Inc. EU (AWS Frankfurt / Irland) | CRM-System für das Management von Partneranfragen und den Vertriebsprozess | Name, Funktion, Unternehmen, E-Mail, Telefon, Kommunikationshistorie, Dealstatus, Notizen zu Partneranfragen | Kontaktpersonen potenzieller und bestehender Partner / Kunden | Vertragspartner Pipedrive OÜ (EU-Sitz, Estland); EU-Hosting (AWS Frankfurt/Irland) — kein Drittlandtransfer. |
US-Anbieter mit aktivem DPF (EU–US Data Privacy Framework) | |||||
Microsoft Corporation | USA EU (Microsoft 365 EU Data Boundary verfügbar) | Microsoft 365 (Outlook, OneDrive, Teams) als interner Workspace für E-Mail, Dateiablage und Kommunikation | E-Mail-Inhalte, OneDrive-Dokumente, Kalendereinträge, Nutzerkonten, Kommunikationsmetadaten | Mitarbeitende PrivacyBee | DPF aktiv (EU, UK, Schweiz); EU Data Boundary aktivierbar; SCCs im DPA SCC: Im DPA enthalten |
Google LLC – Looker Studio / BigQuery | USA EU | Business Intelligence: Looker Studio für interne Dashboards und Reporting; BigQuery für Datenverarbeitung und Analyse (Nutzungsstatistiken, Plattform-KPIs) | Plattform-Nutzungsdaten (aggregiert/pseudonymisiert), Kampagnen-KPIs, interne Metriken; keine direkten Personendaten | Mitarbeitende PrivacyBee (interne Analyse) | DPF aktiv (EU, UK, Schweiz); SCCs im DPA; Processor-Verhältnis (Art. 28) SCC: Im DPA enthalten |
Stripe Inc. | USA EU | Zahlungsabwicklung (Lizenzgebühren, Kreditkartenbelastungen) | Name, Adresse, E-Mail, Zahlungsdaten (tokenisiert), Transaktionsdaten | Partner / Kunden | DPF aktiv (EU, UK, Schweiz) SCC: Im DPA enthalten |
Slack Technologies LLC (Salesforce) | USA USA / EU | Interne Team-Kommunikation und Kollaboration | Nachrichteninhalte, Dateianhänge, Nutzerprofile, Metadaten | Mitarbeitende PrivacyBee | DPF aktiv unter Salesforce-Zertifizierung (EU, UK, Schweiz) SCC: Im DPA enthalten |
Heroku Inc. (Salesforce) | USA EU | PaaS-Hosting der PrivacyBee-Applikation und -Services | Alle §2-Daten des AVV (Kundenstammdaten, Consent-Daten, technische Identifier) | Partner, Kunden, Websiten-besucher der Endkunden | DPF aktiv unter Salesforce-Zertifizierung; EU-Region empfohlen SCC: Im DPA enthalten |
Mailchimp (Intuit / The Rocket Science Group LLC) | USA USA | E-Mail-Kommunikation mit Investoren (Newsletter, Updates, Investor Relations) | E-Mail-Adresse, Name, Kampagneninteraktionen | Investoren und Investoren-interessenten | DPF aktiv unter Intuit-Zertifizierung (EU, UK, Schweiz) SCC: Im DPA enthalten |
Customer.io Inc. | USA EU | Automatisierter E-Mail-Versand und Customer-Lifecycle-Kommunikation an Partner | E-Mail-Adresse, Name, Nutzungsverhalten in der Plattform, Trigger-Events | Partner / Kunden | DPF aktiv (EU, UK, Schweiz) SCC: Im DPA enthalten |
Notion Labs Inc. | USA USA | Interne Wissensdatenbank, Projektdokumentation, Prozesshandbücher | Interne Dokumente, Projektnamen, Mitarbeiterdaten (Namen, Rollen) | Mitarbeitende PrivacyBee | DPF aktiv (EU, UK, Schweiz) SCC: Im DPA enthalten |
Freshdesk (Freshworks Inc.) | USA EU | Kundensupport-Ticketsystem (1st-Level-Support für Partner) | Name, E-Mail, Ticketinhalt, Supporthistorie, Anhänge | Partner / Kunden | DPF aktiv (EU, UK, Schweiz) SCC: Im DPA enthalten |
Consent-pflichtige Analyse- und Marketing-Dienste (nur nach Einwilligung aktiv) | |||||
Hotjar Ltd. (Contentsquare) | Malta (EU) EU (Irland) | Verhaltensanalyse der Besucher auf privacybee.io: Heatmaps, Session Recordings, Scrolltiefe — nur nach Consent | IP-Adresse (anonymisiert), Mausbewegungen, Klickdaten, Scrolltiefe, Seitenaufrufe, Hotjar-Cookie (_hjSessionUser, _hjSession) | Besucher der PrivacyBee-Marketing-Website (privacybee.io) | EU-Sitz (Malta); Server EU (Irland) — kein Drittlandtransfer. Muttergesellschaft Contentsquare (FR) ebenfalls EU. |
Amplitude Inc. | USA (San Francisco, CA) USA (AWS US-West) | A/B-Tests auf privacybee.io: Messung von Varianten-Performance, Conversion-Optimierung — nur nach Consent; Cookie-Setzung ePrivacy-pflichtig | Amplitude-Cookie (amplitude_id), Geräte-ID, anonymisierte Event-Daten (Variante A/B, Klick, Conversion); keine Klarnamen oder E-Mail-Adressen | Besucher der PrivacyBee-Marketing-Website (privacybee.io) | DPF aktiv (EU, UK, Schweiz); SCCs im DPA DPF: Aktiv SCC: Im DPA enthalten |
Google LLC – Analytics / Ads | USA USA / weltweit | Google Analytics 4 (GA4): Verhaltensanalyse der Besucher auf privacybee.io — nur nach Consent Google Ads: Conversion-Tracking und Remarketing — nur nach Consent | Cookie-IDs (_ga, _gid), Client-ID, IP-Adresse (anonymisiert), Browser/OS, Gerät Verhaltensdaten: besuchte Seiten, Events, Session-Dauer, Traffic-Quelle, Conversion-Events | Besucher der PrivacyBee-Marketing-Website (privacybee.io) | DPF: Aktiv SCC: Im DPA enthalten |
Meta Platforms, Inc. / Meta Platforms Ireland Ltd. | USA (Meta Platforms, Inc.); Irland (Meta Platforms Ireland Ltd.) USA / weltweit | Facebook Pixel auf privacybee.io: Conversion-Tracking, Remarketing, Zielgruppenbildung — nur nach Consent | Cookie-IDs (_fbp, _fbc), IP-Adresse, Browser-Fingerprint, User-Agent Verhaltensdaten: besuchte Seiten, Klick-Events, Conversion-Events Advanced Matching (falls aktiviert): gehashte E-Mail-Adresse | Besucher der PrivacyBee-Marketing-Website (privacybee.io) | DPF: Aktiv SCC: Nicht primär (Joint Controller) |
US-Anbieter mit erhöhtem Prüfbedarf (kein DPF / Sonderstatus) | |||||
OpenAI L.L.C. | USA USA (kein EU-Hosting) | Use Case A: KI-gestützte Generierung von Dienste-Beschreibungen für anonymisierte Script-Bezeichnungen (kein Personenbezug) Use Case B: KI-gestützte Extraktion und Strukturierung von Impressumsdaten aus gescrapten Website-Inhalten | Use Case A: Script-Bezeichnung / URL-Pfad ohne Domain (kein Personenbezug) Use Case B: Firmenname (inkl. Einzelunternehmer), Website-URL, Land, gescrapte Impressuminhalte (Name, Adresse, E-Mail, Telefon) | Use Case A: keine; Use Case B: Websitebetreiber als betroffene Personen (insb. Einzelunternehmer) | Kein DPF. Transferbasis: SCCs 2021/914 Modul 2 via OpenAI DPA v.010126 (unterzeichnet 24.03.2026). TIA-2026-001-OpenAI liegt vor. DPF: Nicht vorhanden SCC: Abgeschlossen (SCC Modul 2, OpenAI DPA v.010126) TIA: Erforderlich – TIA-2026-001-OpenAI liegt vor |