Übersicht aller Sub-Processors gemäss DSGVO Art. 28 Abs. 2 und 3 sowie revDSG Art. 9 Abs. 3 · Stand: 2026-05-02
Für den Betrieb der Plattform setzt die Anbieterin Sub-Processors ein. Diese Seite listet alle aktuellen Unter-Auftragsverarbeiter mit Zweck, Verarbeitungsregion und Status der Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA). Die Liste wird bei Änderungen aktualisiert; Kunden können gemäss AGB Ziff. 15 begründete Einwände innert 30 Tagen erheben.
| Provider | Zweck | Region | DPA-Status | Letzte Änderung |
|---|---|---|---|---|
| MongoDB Atlas | Datenbank-Hosting (operative Daten, CSFLE-verschlüsselte Felder, Audit-Trails) | europe-west6 (Zürich) | Atlas-DPA | 2026-05-02 |
| Google Cloud EMEA Limited (Cloud Run, Cloud Storage, Cloud KMS, Cloud DLP, Vertex AI) | Compute, Datei-Speicher, Schlüsselverwaltung (Schlüsselhoheit liegt bei der Anbieterin), Pseudonymisierung vor KI-Verarbeitung, KI-Verarbeitung | europe-west6 (Zürich) für operative Daten, europe-west1 (Belgien) für KI-Verarbeitung | Google Cloud Data Processing Addendum (gültig) | 2026-05-02 |
| AWS SES | Transaktionaler Mail-Versand (System-Benachrichtigungen, Login-Mails, Reports) | eu-central-1 (Frankfurt) | AWS-DPA | 2026-05-02 |
| Cloudflare Turnstile | Bot-Schutz für öffentliche Formulare (Login, Registrierung, Kontaktformulare) | global (Edge-Netzwerk) | Cloudflare-DPA | 2026-05-02 |
| Twilio | SMS-2FA für Portal-Benutzer (zweite Authentifizierungsstufe) | EU-Region | Twilio-DPA | 2026-05-02 |
| PostHog EU Cloud | Product Analytics — pseudonymisierte Produkt- und Verhaltens-Telemetrie (keine Klartext-Personendaten) | EU (Frankfurt) | PostHog-DPA | 2026-05-04 |
Operative Daten der Plattform (Datenbank, Dateispeicher, Audit-Logs) bleiben in der Schweiz (Region europe-west6, Zürich). Die KI-Verarbeitung erfolgt in der EU (Region europe-west1, Belgien); der konkrete KI-Sub-Processor ist in der obigen Tabelle aufgeführt. Mail-Versand läuft über AWS SES in der EU (eu-central-1, Frankfurt). Cloudflare Turnstile arbeitet als Edge-Service global, gibt jedoch nur ein anonymes Bot-Schutz-Token zurück und verarbeitet keine Plattform-Daten. Für etwaige Transfers in Drittstaaten gelten die Standardvertragsklauseln (SCC) der Europäischen Kommission.
Mit jedem oben gelisteten Sub-Processor besteht ein Auftragsverarbeitungsvertrag. Die DPAs sind im internen Compliance-Archiv abgelegt und werden Kunden auf Anfrage zur Einsicht bereitgestellt, soweit dies vertraglich oder gesetzlich erforderlich ist.
Die Anbieterin informiert Kunden über geplante Wechsel oder Ergänzungen der Sub-Processor-Liste. Einwände sind gemäss AGB Ziff. 15 innert 30 Tagen schriftlich an security@sothura.com zu richten. Bei berechtigten datenschutz- oder sicherheitsrelevanten Einwänden steht dem Kunden ein Sonderkündigungsrecht zu, sofern keine gleichwertige Alternative angeboten werden kann.