← Zurück zur DatenschutzerklärungArt. 28 Abs. 4 DSGVO

Subprozessoren

Vollständige Liste aller Subunternehmen, die wir zur Erbringung der Pulse-Marken-Score-Analysen einsetzen. Jedes davon ist über einen schriftlichen Auftragsverarbeitungsvertrag (AVV) gebunden. Drittland-Übermittlungen sind durch Standardvertragsklauseln (SCCs) + dokumentierte Transfer Impact Assessments abgesichert.

Stand: 25. Mai 2026. Änderungen werden mindestens 30 Tage vor Wirksamkeit per Email an alle aktiven Kunden mitgeteilt. Widerspruchsrecht nach Art. 28 Abs. 2 Satz 2 DSGVO besteht.

Vercel

Hosting

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Zweck
Hosting der Anwendung (Next.js Edge + Serverless Functions). Statisches Asset-Caching via CDN.
Standort
Frankfurt (fra1) · Datenverarbeitung in EU
Verarbeitete Datenkategorien
User-IP-Adresse (Request-Logs, 24 h) · Request-Pfade · Browser-User-Agent
Drittland-Mechanismus
SCCs + Vercel-DPA, Cloud Act Risk via TIA dokumentiert
Zertifizierungen
SOC 2 Type 2, ISO 27001, PCI DSS
Auftragsverarbeitungs-Vertrag (DPA)
vercel.com/legal/dpa

Supabase

Datenbank

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Zweck
Postgres-Datenbank, Authentifizierung (Email + Magic-Link), Storage für Logos + Screenshots, Row-Level-Security.
Standort
AWS Frankfurt (eu-central-1) · ausschließlich EU-Region
Verarbeitete Datenkategorien
Email + Auth-Token · Marken-URL + Marken-Tiefe-Eingaben · Audit-Snapshots + Cluster-Daten · User-Brand-Beziehungen
Drittland-Mechanismus
Hosting komplett in EU, DPA mit SCCs
Zertifizierungen
SOC 2 Type 2, HIPAA-ready
Auftragsverarbeitungs-Vertrag (DPA)
supabase.com/legal/dpa

Anthropic (Claude)

AI

Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA

Zweck
Pulse: Marken-Score-LLM-Auswertung (Tonalität, Persona-Eindruck, Werte-Extraktion). bemailed: optionale KI-Vorschläge im Newsletter-Editor (Tonalität, Betreffzeilen, Inhalts-Ideen) — Inputs ausschließlich Newsletter-Entwurfs-Texte, keine Empfänger-Daten.
Standort
USA · Übermittlung erforderlich
Verarbeitete Datenkategorien
Gecrawlte Website-Inhalte (öffentlich, Pulse) · Marken-Tiefe-Antworten (Pulse) · Newsletter-Entwurfs-Texte + Marken-Kontext (bemailed)
Drittland-Mechanismus
SCCs (EU-Kommissions-Standardvertragsklauseln) + Transfer Impact Assessment (TIA). Daten werden laut Anthropic nicht für Model-Training verwendet (Commercial Tier).
Zertifizierungen
SOC 2 Type 2
Auftragsverarbeitungs-Vertrag (DPA)
www.anthropic.com/legal/data-processing-addendum

OpenAI

AI

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA · EU-Vertretung: OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland

Zweck
(1) Text-Embeddings (text-embedding-3-small) für Eigenständigkeits-/Distinctiveness-Score (Vektor-Ähnlichkeit gecrawlter Marken-Texte gegen Branchen-Korpus). (2) DALL·E 3 Bild-Generierung im Instagram-Post-Studio (User-Prompt → PNG für IG-Post).
Standort
USA · Übermittlung erforderlich
Verarbeitete Datenkategorien
Gecrawlte Marken-Texte (öffentlich, Embedding-Input) · Branchen-Korpus-Texte (öffentlich) · User-Eingaben + Brand-Kontext für DALL·E-Bild-Prompts (Thema, Marken-Name, Branche, Stil-Hint)
Drittland-Mechanismus
Standard-Vertragsklauseln (Beschluss 2021/914 EU-Kommission) + OpenAI-DPA (Auftragsverarbeitung gem. Art. 28 DSGVO). API-Inputs werden laut OpenAI nicht für Model-Training verwendet (API-Default seit 1.3.2023) und nach max. 30 Tagen gelöscht. TIA dokumentiert in docs/legal/TIA-OpenAI.md.
Zertifizierungen
SOC 2 Type 2
Auftragsverarbeitungs-Vertrag (DPA)
openai.com/policies/data-processing-addendum

Resend

Email

Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Zweck
Transaktionale + Marketing-Emails (Welcome, Sonntag-Brief, Feedback-Bestätigung).
Standort
AWS us-east-1 · Übermittlung erforderlich
Verarbeitete Datenkategorien
Empfänger-Email · Email-Inhalt · Versand-Logs (Open/Click optional, aktuell deaktiviert)
Drittland-Mechanismus
SCCs + Resend-DPA. Email-Inhalte werden 30 Tage zu Debugging-Zwecken gespeichert.
Zertifizierungen
SOC 2 Type 2
Auftragsverarbeitungs-Vertrag (DPA)
resend.com/legal/dpa

Stripe

Zahlungen

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin 2, Ireland

Zweck
Zahlungsabwicklung Pro + Pro Plus-Abonnements, Booking-Pakete. Derzeit pausiert, wird mit dem produktiven Pricing-Launch wieder aktiviert.
Standort
EU-Region (Irland) · Daten-Verarbeitung in EU
Verarbeitete Datenkategorien
Email + Rechnungsadresse · Zahlungsdaten (von Stripe direkt erfasst — niemals an Pulse weitergeleitet) · Subscription-Status
Drittland-Mechanismus
Stripe ist EU-Entität (Irland). Keine Drittland-Übermittlung.
Zertifizierungen
PCI DSS Level 1, SOC 1, SOC 2, ISO 27001
Auftragsverarbeitungs-Vertrag (DPA)
stripe.com/legal/dpa

Sentry

Monitoring

Functional Software, Inc., 132 Hawthorne Street, San Francisco, CA 94107, USA

Zweck
Error-Tracking + Performance-Monitoring. DSGVO-konform konfiguriert (sendDefaultPii: false, 10 % Trace-Sample).
Standort
USA · EU-Region (Frankfurt) wenn Sentry-EU-Plan aktiv
Verarbeitete Datenkategorien
Stack-Traces + Error-Context (keine PII) · Browser- + OS-Info · Request-Pfade
Drittland-Mechanismus
SCCs + Sentry-DPA. PII-Filtering aktiv (kein Email, keine IP, keine User-Inputs).
Zertifizierungen
SOC 2 Type 2, ISO 27001
Auftragsverarbeitungs-Vertrag (DPA)
sentry.io/legal/dpa/

Browserless

Web-Crawl

Browserless Inc., USA

Zweck
Headless-Chrome-Rendering für Marken-Audit (Hero-Screenshot, JavaScript-rendering, OG-Daten).
Standort
USA · Übermittlung erforderlich
Verarbeitete Datenkategorien
Gecrawlte URLs (öffentlich) · Screenshots der Marken-Website
Drittland-Mechanismus
SCCs + DPA. Inputs sind ausschließlich öffentlich zugängliche URLs.
Zertifizierungen
Keine veröffentlichten
Auftragsverarbeitungs-Vertrag (DPA)
www.browserless.io/legal/dpa

Serper

Web-Crawl

Serper.dev, USA

Zweck
Google-Suchergebnis-API für Marken-Auffindbarkeit-Cluster (Knowledge-Panel, SERP-Treffer).
Standort
USA · Übermittlung erforderlich
Verarbeitete Datenkategorien
Marken-Name + URL als Such-Query
Drittland-Mechanismus
SCCs. Inputs sind nur Marken-Namen (öffentliche Information).
Zertifizierungen
Keine veröffentlichten
Auftragsverarbeitungs-Vertrag (DPA)
serper.dev/privacy

Google (Places API)

Web-Crawl

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA · EU-Vertretung: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck
Places-API-Abfragen (Text-Search + Place-Details) für den Cluster Lokale Präsenz — Google-Business-Profile-Vollständigkeit, Adress-Konsistenz, Foto-Anzahl, Bewertungs-Schnitt.
Standort
USA · Übermittlung erforderlich (Google ist DPF-zertifiziert)
Verarbeitete Datenkategorien
Marken-Name + Stadt als Such-Query · Marken-Website-URL (öffentlich)
Drittland-Mechanismus
EU-US Data Privacy Framework (Google ist DPF-zertifiziert) + SCCs (Google-Cloud-DPA enthält Standardvertragsklauseln). Inputs sind ausschließlich Marken-Namen + Städte (keine personenbezogenen Daten von Pulse-Usern).
Zertifizierungen
EU-US DPF, ISO 27001, ISO 27017, ISO 27018, SOC 2 Type 2
Auftragsverarbeitungs-Vertrag (DPA)
cloud.google.com/terms/data-processing-addendum

Tranco (DistriNet KU Leuven)

Web-Crawl

DistriNet Research Group, Department of Computer Science, KU Leuven, Celestijnenlaan 200A, B-3001 Leuven, Belgien

Zweck
Tranco-Rank-Abfrage (wissenschaftlicher Top-1M-Domain-Index, https://tranco-list.eu) als Hard-Signal für die Sichtbarkeits-Dimension (Domain-Authority-Proxy).
Standort
EU (Belgien) · keine Drittland-Übermittlung
Verarbeitete Datenkategorien
Domain-Name der Marke (öffentlich)
Drittland-Mechanismus
Hosting in der EU (Belgien, akademische Infrastruktur KU Leuven). Inputs sind ausschließlich öffentliche Domain-Namen.
Zertifizierungen
Keine veröffentlichten
Auftragsverarbeitungs-Vertrag (DPA)
tranco-list.eu/privacy

LinkedIn

Social

LinkedIn Corporation, 1000 W Maude Avenue, Sunnyvale CA, USA · EU-Vertretung: LinkedIn Ireland Unlimited Company, Dublin

Zweck
OAuth-Authentifizierung (Sign-In) + Company-Page-Crawl für Brand-Touchpoint-Daten (Follower, Posts der letzten 90 Tage, Engagement-Stats). Aktivierung nur nach expliziter User-Einwilligung im Portal.
Standort
USA · DPF-zertifiziert (EU-US Data Privacy Framework)
Verarbeitete Datenkategorien
OAuth-Access-Token + Refresh-Token (verschlüsselt gespeichert) · LinkedIn-Profile-ID + Email (bei SSO) · Vorname + Nachname + Avatar-URL (UI-Anzeige) · Company-Page-URN + öffentliche Posts (für Score-Crawl)
Drittland-Mechanismus
EU-US DPF + SCCs (LinkedIn-DPA enthält Standardvertragsklauseln). User-Einwilligung über OAuth-Click-Wrap nach Art. 6 Abs. 1 lit. a DSGVO. TIA dokumentiert in docs/legal/TIA-LinkedIn.md.
Zertifizierungen
EU-US DPF (Microsoft-Konzern), ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II
Auftragsverarbeitungs-Vertrag (DPA)
www.linkedin.com/legal/l/dpa

Meta (Facebook + Instagram)

Social

Meta Platforms, Inc., 1 Hacker Way, Menlo Park CA 94025, USA · EU-Vertretung: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland

Zweck
OAuth-Authentifizierung (Mit Facebook verbinden) + Crawl der Facebook-Page + verknüpfter Instagram-Business-Account-Daten für Brand-Touchpoint-Score (Follower, öffentliche Posts der letzten 90 Tage, Engagement-Stats). Lesender Zugriff über Meta Graph API. Aktivierung nur nach expliziter User-Einwilligung im Portal.
Standort
USA · DPF-zertifiziert (EU-US Data Privacy Framework)
Verarbeitete Datenkategorien
OAuth-User-Access-Token Long-Lived (verschlüsselt gespeichert, AES-256-GCM) · Page-Access-Tokens pro verwalteter Page (verschlüsselt) · Meta-User-ID + Name + Email (optional) + Avatar-URL · Facebook-Page-ID + Instagram-Business-Account-ID · Öffentliche Page-/IG-Posts + Engagement-Stats (für Score-Crawl)
Drittland-Mechanismus
EU-US DPF + SCCs (Meta-Joint-Controller-Addendum enthält Standardvertragsklauseln). User-Einwilligung über OAuth-Click-Wrap nach Art. 6 Abs. 1 lit. a DSGVO. TIA dokumentiert in docs/legal/TIA-Meta.md.
Zertifizierungen
EU-US DPF, ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II
Auftragsverarbeitungs-Vertrag (DPA)
www.facebook.com/legal/terms/businesstools_jointcontroller