Trust · Subprocessors

Die vollständige Liste. Immer aktuell.

Wir veröffentlichen jeden Anbieter, der Kundendaten verarbeitet - Name, Zweck, Region, Status. Sie erhalten mindestens 30 Tage Vorlauffrist, bevor wir einen neuen Subprocessor einsetzen - keine E-Mail nötig, um die Liste einzusehen.

Änderungen abonnieren DPA lesen

Subprocessor-Verzeichnisv2026.Q2

VendorStatus

VercelA
AWSA
E2BA
ClerkA
ConvexA

Published registerPublic · auditable

Auf einen Blick

Wie das Verzeichnis heute aussieht.

Eine aktuelle Übersicht der Anbieter, die Kundendaten in unserem Auftrag verarbeiten - und wann sich an der Liste zuletzt etwas bewegt hat.

Aktive Subprocessors

Anstehende Aufnahmen

2026-05-17

Zuletzt aktualisiert

30 Tage

Vorlauffrist

Unsere Policy

Transparenz, by default.

Standardmäßig öffentlich

Jeder Subprocessor steht namentlich auf dieser Seite. Keine NDA, kein Support-Ticket, keine E-Mail-Hürde. Wer ihn nutzt, sieht ihn.

30 Tage Vorlauffrist

Bevor wir einen neuen Subprocessor einsetzen, erhalten Sie mindestens dreißig Tage, um ihn zu prüfen, Bedenken zu äußern oder zu widersprechen.

Widerspruchsrecht

Passt ein vorgeschlagener Subprocessor nicht zu Ihren Anforderungen, können Sie schriftlich widersprechen. Wir erarbeiten eine Lösung mit Ihnen oder honorieren Ihr Kündigungsrecht nach DPA.

Die Liste

Alle Subprocessors, die Kundendaten verarbeiten.

Filtern Sie nach Kategorie oder Region. Klicken Sie auf einen Anbieternamen, um dessen öffentliche Website zu öffnen. Die Status-Pills zeigen, ob ein Anbieter aktiv, geplant oder eingestellt ist.

Kategorie

Regionen

Anbieter	Kategorie	Zweck	Datenkategorien	Regionen	Status	Seit
Vercel	Infrastruktur	Web-Hosting, Edge-Functions, CDN.	Account-MetadatenMarketing-Analytics	USEU	Aktiv	2025-Q1
AWS	Infrastruktur	Cloud-Compute, Storage, Networking.	Code-Snapshots der KundenRun-Logs	EU (Frankfurt)US (Virginia)	Aktiv	2025-Q1
E2B	Runtime	Sandbox-Linux-VMs für Agent-Ausführung.	Kunden-CodeCommand-Output	EUUS	Aktiv	2025-Q1
Clerk	Identity	Authentifizierung, Sessions, Nutzerdaten.	E-MailNameOAuth-Identifier	USEU	Aktiv	2025-Q1
Convex	Datenbank	Realtime-Applikationsdatenbank.	Account-MetadatenWorkflow-State	US	Aktiv	2025-Q1
Resend	E-Mail	Transaktionale und Benachrichtigungs-E-Mails.	E-MailName	USEU	Aktiv	2025-Q1
Sentry	Observability	Application-Error-Tracking.	FehlerkontextNutzer-Identifier	US	Aktiv	2025-Q1
Stripe	Payments	Subscription-Billing und Zahlungsabwicklung.	E-MailRechnungsadresseZahlungsmittel	USEU	Aktiv	2025-Q2
PostHog	Observability	Produkt-Analytics und Session-Insights.	Pseudonyme Nutzungsereignisse	EU	Anstehend	2026-Q2
Anthropic	Runtime	KI-Modell-Inferenz (Claude-Familie).	Promptsgenerierte Outputs	US	Aktiv	2025-Q2

VercelAktiv

InfrastrukturSeit · 2025-Q1

Zweck

Web-Hosting, Edge-Functions, CDN.

Datenkategorien

Account-MetadatenMarketing-Analytics

Regionen

USEU

AWSAktiv

InfrastrukturSeit · 2025-Q1

Zweck

Cloud-Compute, Storage, Networking.

Datenkategorien

Code-Snapshots der KundenRun-Logs

Regionen

EU (Frankfurt)US (Virginia)

E2BAktiv

RuntimeSeit · 2025-Q1

Zweck

Sandbox-Linux-VMs für Agent-Ausführung.

Datenkategorien

Kunden-CodeCommand-Output

Regionen

EUUS

ClerkAktiv

IdentitySeit · 2025-Q1

Zweck

Authentifizierung, Sessions, Nutzerdaten.

Datenkategorien

E-MailNameOAuth-Identifier

Regionen

USEU

ConvexAktiv

DatenbankSeit · 2025-Q1

Zweck

Realtime-Applikationsdatenbank.

Datenkategorien

Account-MetadatenWorkflow-State

Regionen

ResendAktiv

E-MailSeit · 2025-Q1

Zweck

Transaktionale und Benachrichtigungs-E-Mails.

Datenkategorien

E-MailName

Regionen

USEU

SentryAktiv

ObservabilitySeit · 2025-Q1

Zweck

Application-Error-Tracking.

Datenkategorien

FehlerkontextNutzer-Identifier

Regionen

StripeAktiv

PaymentsSeit · 2025-Q2

Zweck

Subscription-Billing und Zahlungsabwicklung.

Datenkategorien

E-MailRechnungsadresseZahlungsmittel

Regionen

USEU

PostHogAnstehend

ObservabilitySeit · 2026-Q2

Zweck

Produkt-Analytics und Session-Insights.

Datenkategorien

Pseudonyme Nutzungsereignisse

Regionen

AnthropicAktiv

RuntimeSeit · 2025-Q2

Zweck

KI-Modell-Inferenz (Claude-Familie).

Datenkategorien

Promptsgenerierte Outputs

Regionen

Letzte Änderungen

Alles, was sich auf dieser Seite bewegt hat.

Ein reines Append-Only-Log mit Aufnahmen, Entfernungen und materiellen Änderungen. Neues erscheint hier mindestens dreißig Tage vor Inkrafttreten.

2026-Q2AufgenommenPostHog
Anstehende Aufnahme - Produkt-Analytics mit EU-Residency.
2025-Q2AufgenommenStripe
Rollout des Subscription-Billings.
2025-Q2AufgenommenAnthropic
KI-Modell-Inferenz für die Claude-Familie.
2025-Q1AufgenommenSentry
Error-Tracking und Release-Health.
2025-Q1AufgenommenResend
Versand transaktionaler E-Mails.
2025-Q1AufgenommenConvex · Clerk · E2B
Datenbank, Authentifizierung und Sandbox-Runtime gemeinsam onboarded.
2025-Q1AufgenommenVercel · AWS
Kern-Infrastruktur zum Launch.

Auf dem Laufenden bleiben

30 Tage Vorlauffrist einrichten.

Schicken Sie uns eine E-Mail - wir nehmen Sie in den Benachrichtigungsverteiler auf. Sie hören von uns nur, wenn sich an diesem Verzeichnis tatsächlich etwas ändert.

Frequenz: nur bei tatsächlichen Änderungen.

Benachrichtigungen abonniereninfo@codecourier.dev

Vendor-Due-Diligence

Wie wir jeden Anbieter prüfen, bevor er hier landet.

Ein Anbieter kommt erst auf das Verzeichnis, wenn er dieselbe Prüfung durchlaufen hat, die jeder Kunde selbst machen würde.

Security-Review

Wir lesen die SOC-2- bzw. ISO-27001-Berichte des Anbieters und gleichen ab, ob die Kontrollen zur Datenkategorie passen, die wir ihm anvertrauen.

DPA unterzeichnet

Vor jeder produktiven Datenverarbeitung liegt ein unterzeichneter Auftragsverarbeitungsvertrag vor.

Datenresidenz geprüft

Wir fixieren die Verarbeitungsregion und stellen sicher, dass EU-Kundendaten in EU-Regionen bleiben, wo immer der Anbieter dies unterstützt.

Versicherung verifiziert

Wir prüfen die Cyber-Haftpflichtdeckung auf Höhe, die einen Vorfall beim Anbieter auffangen kann, und revalidieren bei jeder Vertragsverlängerung.

Backup-Abdeckung

Wir bestätigen Backup-, Aufbewahrungs- und Restore-Fähigkeiten, damit ein Anbieterausfall kein Kundendaten-Ausfall wird.

Exit-Plan vorbereitet

Für jeden Anbieter gibt es einen dokumentierten Exit-Plan - Exportformat, Aufbewahrungsfenster, Löschnachweis - schriftlich, bevor wir unterschreiben.

Rechtsgrundlage

Verankert in unserer DPA.

Der Einsatz von Subprocessors richtet sich nach Art. 28 Abs. 2–4 DSGVO sowie Ziffer 5 unserer DPA. Wir stützen uns auf eine vorherige allgemeine schriftliche Genehmigung in Verbindung mit einer Mitteilungspflicht bei jeder Änderung des Verzeichnisses.

Sie behalten das Recht, jedem neuen Subprocessor zu widersprechen. Lässt sich Ihr Widerspruch nicht durch eine Mitigation auflösen, gibt Ihnen die DPA ein Kündigungsrecht für den betroffenen Service.

Jeder Subprocessor auf dieser Seite hat sich zu Datenschutzpflichten verpflichtet, die nicht weniger schützend sind als die, die wir Ihnen schulden. Bei Datentransfers aus der EU/dem EWR greifen die EU-Standardvertragsklauseln samt ergänzender Maßnahmen.

DPA lesen DSGVO-Verpflichtungen ansehen

FAQ

Subprocessor-spezifisch.

Wie oft wird diese Seite aktualisiert?

Wir aktualisieren das Verzeichnis in dem Moment, in dem ein Anbieter aufgenommen, entfernt oder wesentlich verändert wird. Das "Zuletzt aktualisiert"-Datum oben auf der Seite ist maßgeblich - bewegt es sich, hat sich auch an der Liste etwas verändert.

Was, wenn ich einem neuen Subprocessor widerspreche?

Schreiben Sie uns innerhalb der 30-tägigen Vorlauffrist. Wir besprechen eine Mitigation - alternativer Anbieter, Reduktion des Verarbeitungsumfangs, zusätzliche Schutzmaßnahmen. Finden wir keine tragfähige Lösung, können Sie den betroffenen Service nach DPA ohne Strafzahlung kündigen.

Sehen Subprocessors meinen Quellcode?

Nur diejenigen, die wir explizit dafür gekennzeichnet haben - derzeit die Runtime- und Infrastruktur-Anbieter, die Code in Ihrem Auftrag ausführen. Identity-, Payments-, E-Mail- und Observability-Anbieter erhalten niemals Quellcode; sie sehen nur die Metadaten, die für ihre Funktion notwendig sind.

Wo veröffentlichen Sie historische Versionen der Liste?

Das Änderungs-Log auf dieser Seite ist der historische Datensatz. Wir arbeiten append-only - Einträge werden nicht entfernt, wenn ein Anbieter eingestellt wird, sondern markiert. Wenn Sie einen Point-in-Time-Snapshot für eine Beschaffungsakte benötigen, schreiben Sie uns - wir schicken ein signiertes PDF.

Sind Sub-Subprocessors abgedeckt?

Ja. Jeder Subprocessor auf dieser Liste ist vertraglich verpflichtet, gleichwertige Pflichten an seine eigenen Subprocessors weiterzugeben. Wir halten den primären Anbieter unter unserer DPA für deren Performance verantwortlich.

Kann ich zusätzliche Vendor-Zusagen verlangen?

Enterprise-Kunden können vendor-spezifische Sondervereinbarungen verhandeln - etwa Beschränkung auf bestimmte Regionen, zusätzliche Verschlüsselungs-Kontrollen oder den vollständigen Ausschluss eines benannten Anbieters. Sprechen Sie uns an.

Subprocessors bei CodeCourier

Möchten Sie den Vertrag hinter dieser Liste?

DPA-Seite Legal kontaktieren

14 Tage kostenlos · keine Kreditkarte

Stellen Sie Ihren ersten KI-Ingenieur ein.
Bis zum Mittag live.

5 Minuten Onboarding. Erster PR innerhalb einer Stunde. Jederzeit kündbar.

Ersten Agenten deployen 20-Min-Demo buchen

Die vollständige Liste. Immer aktuell.

Wie das Verzeichnis heute aussieht.

Transparenz, by default.

Standardmäßig öffentlich

30 Tage Vorlauffrist

Widerspruchsrecht

Alle Subprocessors, die Kundendaten verarbeiten.

Alles, was sich auf dieser Seite bewegt hat.

30 Tage Vorlauffrist einrichten.

Wie wir jeden Anbieter prüfen, bevor er hier landet.

Security-Review

DPA unterzeichnet

Datenresidenz geprüft

Versicherung verifiziert

Backup-Abdeckung

Exit-Plan vorbereitet

Verankert in unserer DPA.

Subprocessor-spezifisch.

Möchten Sie den Vertrag hinter dieser Liste?

Stellen Sie Ihren ersten KI-Ingenieur ein.Bis zum Mittag live.

Stellen Sie Ihren ersten KI-Ingenieur ein.
Bis zum Mittag live.