Auftragsverarbeiter
Auftragsverarbeiter (Subprocessors)
Stand: 20. Mai 2026 · Letzte Aktualisierung der Liste
Diese Seite listet alle Auftragsverarbeiter gemäß Art. 28 DSGVO, die ArchiTech AI UG (haftungsbeschränkt) für den Betrieb von Tutel-DE einsetzt. Die Liste wird laufend aktualisiert. Schulen mit aktivem Auftragsverarbeitungsvertrag (AVV) werden über Subprozessor-Änderungen vor Inkrafttreten informiert (Art. 28 Abs. 2 i.V.m. AVV §4).
Bei Rückfragen oder zur Anforderung konkreter DPAs: info@tutel.app.
| Dienstleister | Rolle | Region | Drittland-Transfer | AVV/DPA |
|---|---|---|---|---|
| Supabase, Inc. Aufgenommen: 2025-09 (Plattform-Start) | Datenbank (Postgres), Authentifizierung, Edge Functions, File Storage Datenflüsse: Konten, KI-Tutoring-Speicherung, Familien-Beziehungen, Klassen, Audit-Logs | eu-north-1 (Stockholm, Schweden) | Innereuropäisch — kein Drittlandtransfer für PROD-Datenebene | 🔲Ausstehend (PandaDoc-Signatur) |
| Vercel Inc. Aufgenommen: 2025-09 (Plattform-Start) | Webhosting, Edge-Runtime, Cron-Plattform Datenflüsse: Alle HTTP-Anfragen, Edge-Function-Hosting, Cron-Jobs | Deploys: fra1 (Frankfurt, Deutschland). Control-Plane: USA | SCCs (EU-Kommission 2021/914 Modul 2) via Vercel-DPA Schedule 3 | ✅Auto-binding ToS |
| Stripe Payments Europe, Ltd. Aufgenommen: 2025-09 (Plattform-Start) | Zahlungsabwicklung, Rechnungsstellung, Abo-Verwaltung Datenflüsse: Stripe-Customer-IDs, Subscription-State, Rechnungsdaten (PCI DSS Level 1 bei Stripe; keine Kartendaten auf Tutel-Servern) | Dublin (Irland); Stripe, Inc. (USA) als Mutterkonzern | SCCs via Stripe-DPA | ✅Auto-binding ToS |
| Resend (Plus Five Five, Inc.) Aufgenommen: 2025-09 (Plattform-Start) | Transaktionaler und Outreach-E-Mail-Versand Datenflüsse: Welcome-, Verification-, Magic-Link-, Einladungs-, B2B-Outreach- und Newsletter-E-Mails | USA | SCCs via Resend-DPA | ✅Auto-binding ToS |
| Mistral AI SAS Aufgenommen: 2025-09 (Plattform-Start) | KI-Modell-API für Tutoring + Question-Engine-Grading Datenflüsse: KI-Antworten im Tutor-Chat, Grading-Warm-Tone-Rewrites; Zero-Retention-API-Mode | Frankreich | Innereuropäisch — kein Drittlandtransfer | 🔲Ausstehend (via Mistral-Dashboard / sales@mistral.ai) |
| Intuition Machines, Inc. (hCaptcha) Aufgenommen: 2025-09 (Plattform-Start) | Bot-Schutz-Challenge am Signup-Formular Datenflüsse: Challenge-Token + IP bei Signup; keine Persistierung auf Tutel-Servern | USA (Delaware) | SCCs via hCaptcha-DPA | 🔲Ausstehend (via hCaptcha-Dashboard) |
| Upstash, Inc. Aufgenommen: 2025-09 (Plattform-Start) | Redis-basierter Rate-Limit-Speicher Datenflüsse: Sliding-Window Rate-Limit-Counter; per-User-Bucket-Keys (UUID, keine PII) | EU (genaue Region zu verifizieren) | SCCs falls Sub-Region außerhalb EU | 🔲Ausstehend (Self-serve über Upstash-Dashboard) |
| Google Ireland Ltd. Aufgenommen: 2025-09 (Plattform-Start) | OAuth-Identitätsprovider (Google Sign-In) Datenflüsse: OAuth-Login-Flow; OIDC sub + Email + Name (transient) | Irland | Innereuropäisch primär; Standard Google Cloud DPA | 🔲Ausstehend (Standard Google Cloud DPA) |
| IServ GmbH (schul-gehostete Instanzen) Aufgenommen: 2026-05 (Pre-Launch) | OIDC-Identitätsprovider B2B SSO Datenflüsse: OIDC-Login-Flow für B2B-Schulen (pre-launch; PR-1 + 1b) | Deutschland (jeweils schul-gehostet) | Kein — Schul-Hosting in Deutschland | N/AKein zentraler DPA — Abdeckung via Schul-AVV |
| Functional Software, Inc. (Sentry) Aufgenommen: 2025-09 (Plattform-Start); Disclosure 2026-05 | Anwendungs-Fehler-Monitoring Datenflüsse: Server-, Client- und Edge-Fehler-Events; pseudonymisierte user_id (sha256); rekursiver PII-Scrub via beforeSend | EU-Hosting auf de.sentry.io (Frankfurt); Mutterkonzern USA | SCCs via Sentry-DPA | 🔲Ausstehend (Download via sentry.io/legal/dpa) |
| Plausible (selbst-gehostet) Aufgenommen: 2025-09 (Plattform-Start) | Cookielose Web-Analytics Datenflüsse: URL, Referrer, User-Agent-Klasse, Geräteklassen-Aggregat; keine Cookies, keine User-ID | EU (operator-managed Server) | Kein — eigene Infrastruktur | N/AEigene Infrastruktur — kein externer Auftragsverarbeiter |
Legende
- ✅ AVV/DPA in Kraft (auto-binding via Anbieter-ToS oder unterzeichnet)
- 🔲 AVV/DPA ausstehend — entweder herunterladen oder Signatur einholen
- N/A Kein zentraler AVV notwendig (eigene Infrastruktur oder schul-gehostete Lösung mit eigener AVV-Kette)
Informations- und Widerspruchsrechte
Schulen mit aktivem Vertrag werden über Subprozessor-Änderungen per E-Mail an die im AVV hinterlegte Schul-Verwaltungs-Adresse benachrichtigt. Widerspruch gegen einen neuen Subprozessor kann innerhalb von 30 Tagen nach Mitteilung schriftlich erfolgen (info@tutel.app); ArchiTech AI UG sucht in diesem Fall eine alternative Lösung oder bietet eine außerordentliche Vertragskündigung an.
Verweise
- Datenschutzerklärung (§§7–8 enthält die Rechtsgrundlagen pro Auftragsverarbeiter)
- AGB
- Auf Anfrage stellen wir die jeweiligen AVV-PDFs für Schul-Verträge bereit.
Historie
- 2026-05-20: Erste öffentliche Veröffentlichung der vollständigen Auftragsverarbeiter-Liste. Sentry, Upstash, Google (OAuth), IServ und Plausible zur Liste hinzugefügt (zuvor nur teilweise in der Datenschutzerklärung erwähnt). Meta Platforms aus der Liste entfernt (kein Meta-Pixel im Einsatz, nur Ads Manager — keine personenbezogenen Datenflüsse von Tutel-Besuchern an Meta).