Anlage 3: Subprozessoren und Dienstleister
1. Zweck und Aufbau
Diese Seite bündelt die externen Dienstleister und Modellanbieter, die xpand im Rahmen ihrer Angebote einsetzt. Sie ist nach Bereichen gegliedert, damit erkennbar bleibt, welcher Dienst für welches Angebot relevant ist:
- Gemeinsam genutzte Basisdienste — Dienste, die Website, Workspace und Academy zugleich tragen (Abschnitt 3).
- Website xpandai.one — zusätzliche Dienste des Webauftritts (Abschnitt 4).
- Workspace xpandAI workspace — Modell- und Verarbeitungsdienste der KI-Plattform (Abschnitt 5).
- Academy xpandAI Academy — Dienste der Kurs- und Lernangebote (Abschnitt 6).
Die datenschutzrechtliche Rolle unterscheidet sich je Bereich. Bei Website und Academy verarbeitet xpand in eigener Verantwortlichkeit; die dort genannten Anbieter sind Auftragsverarbeiter, Dienstleister oder Empfänger. Im Workspace verarbeitet xpand personenbezogene Daten, die der Kunde einbringt, im Auftrag des Kunden; die in Abschnitt 5 genannten Anbieter sind insoweit Unterauftragsverarbeiter. Abschnitt 5 bildet zugleich die Subprozessorenliste im Sinne des Auftragsverarbeitungsvertrags (Anlage 1).
Diese Liste ist mit der Datenschutzerklärung abgestimmt. Dienste, die dort als „in Prüfung“ geführt werden (derzeit MailerLite und der Hostinger AI Assistant), sind hier noch nicht aufgenommen und werden erst nach Bestätigung ergänzt.
2. Änderungsmechanismus
xpand informiert über neue oder ersetzende Subprozessoren mindestens 30 Tage vor produktivem Einsatz, soweit dies praktisch möglich ist.
Soweit eine Auftragsverarbeitung betroffen ist, können Kunden aus wichtigem datenschutzrechtlichem Grund widersprechen. Ist keine zumutbare Lösung möglich, kann xpand den betroffenen Dienst oder Modellpfad deaktivieren oder das betroffene Vertragsverhältnis nach Maßgabe der AGB beenden.
3. Gemeinsam genutzte Basisdienste
Diese Dienste werden bereichsübergreifend für Website, Workspace und Academy eingesetzt.
| Anbieter | Funktion | Bereiche | Datenkategorien | Region / Verarbeitung | Rolle | Drittlandtransfer | Transfergrundlage |
|---|---|---|---|---|---|---|---|
| Hostinger | Hosting der Website und des Workspace-VPS, Backups | Website, Workspace, Academy | Account-, Plattform-, Inhalts-, Log- und Backupdaten | EU (DE/LT je VPS- und Backup-Standort) | Auftragsverarbeiter | nein bei EU-Verarbeitung | Hostinger-DPA; SCC für Transfers außerhalb des EWR |
| WordPress | Website- und Account-System | Website, Academy | Account-, Formular-, Nutzungsdaten | im Hostinger-Setup | lokal betriebene Softwarekomponente | nein bei Self-Hosting | keine externe Übermittlung bei Self-Hosting |
| MemberPress | Mitgliedschaft, Pakete, Berechtigungen, Kurszugang | Website, Workspace, Academy | Account-, Vertrags-, Paketdaten | im WordPress-Setup (Hostinger) | Plugin; Anbieter Caseproof, LLC (USA) nur für Lizenz-/Supportdaten | nur Lizenz-/Supportdaten | lokaler Betrieb; für Lizenz-/Supportdaten SCC |
| miniOrange | Login- und SSO-Brücke (WordPress ↔︎ Workspace) | Website, Workspace | Login-, Identitäts-, Attribut-, Sessiondaten | Anbieter miniOrange Inc. (USA); Cloud bei AWS North Virginia (USA) und Stockholm (EU) | Auftragsverarbeiter | möglich | miniOrange-DPA; SCC für Transfers außerhalb des EWR |
| Stripe | Zahlungsabwicklung (nur auf Buchungs-/Registrierungsseiten) | Website, Workspace, Academy | Zahlungs-, Rechnungs-, Vertrags-, Geräte- und Browserdaten, IP-Adresse | EU-Vertragspartner (Stripe Payments Europe, Ltd.); konzernverbundene Empfänger u. a. Stripe, Inc. (USA) | Zahlungsdienstleister, je nach Verarbeitung auch eigenständig Verantwortlicher | ja | Stripe-DPA; geeignete Garantien nach DSGVO Kapitel V, insbesondere SCC |
4. Website (xpandai.one)
Zusätzliche Dienste des Webauftritts. Verantwortliche Stelle ist xpand; die Anbieter sind Auftragsverarbeiter, Dienstleister oder Empfänger. Die externen Frontend-Dienste werden nur beim Aufruf der jeweiligen Funktion bzw. nach Einwilligung geladen.
| Anbieter | Funktion | Datenkategorien | Region / Verarbeitung | Rolle | Drittlandtransfer | Transfergrundlage |
|---|---|---|---|---|---|---|
| SolidWP (iThemes Media LLC) | Website-Sicherheit, Schutz vor Angriffen | IP-Adresse, Login-Versuche, Logdaten | lokal auf den eigenen Servern installiert | Dienstleister, lokal betrieben | grundsätzlich nein (lokaler Betrieb) | berechtigtes Interesse; lokaler Betrieb auf eigener Infrastruktur |
| Borlabs (Borlabs GmbH) | Cookie-Consent-Verwaltung | Einwilligungsdaten (im Browser gespeichert) | Deutschland / EU | Software-Komponente; keine Übermittlung an den Anbieter | nein | keine Übermittlung der Einwilligungsdaten an den Anbieter |
| OpenAI (KI-Funktionen der Website) | sprachbasierter Assistent (api.openai.com/v1/realtime, WebRTC) und textbasierte KI-Funktionen | Texteingaben, Prompts, Antworten, technische Metadaten, IP-Adresse, ggf. Audio-/Sprachdaten | OpenAI Ireland Ltd. (Irland) sowie OpenAI US | Auftragsverarbeiter | ja, soweit US-Empfänger eingebunden | OpenAI-DPA und Standardvertragsklauseln; kein DPF |
| Font Awesome (Fonticons, Inc.) | Icon-Fonts (use.fontawesome.com) | IP-Adresse, Browser- und Gerätedaten, Abrufzeitpunkt | USA | Dienstleister / Empfänger | ja | Garantien nach Art. 44 ff. DSGVO, insbesondere SCC |
| Gravatar (Automattic Inc.) | Profilbilder in Konten-/Community-Bereichen (secure.gravatar.com) | gehashte E-Mail-Adresse, IP-Adresse, Browser-/Gerätedaten, Abrufzeitpunkt | USA | Dienstleister / Empfänger | ja | Garantien nach Art. 44 ff. DSGVO, insbesondere SCC |
| MemberPress GeoIP / VAT (cspf-locate.herokuapp.com) | Länder-/Steuererkennung für Umsatzsteuer und Lokalisierung (mpvat.js) | IP-Adresse, Browser-/Gerätedaten, Abrufzeitpunkt | US-Infrastruktur (MemberPress / Caseproof) | Dienstleister | ja | Garantien nach Art. 44 ff. DSGVO |
5. Workspace (xpandAI workspace)
Modell- und Verarbeitungsdienste der KI-Plattform. Soweit der Kunde personenbezogene Daten in den Workspace einbringt, verarbeitet xpand diese im Auftrag des Kunden; die folgenden Anbieter sind insoweit Unterauftragsverarbeiter. Dieser Abschnitt ist die Subprozessorenliste im Sinne des Auftragsverarbeitungsvertrags (Anlage 1).
Die Plattformoberfläche wird mit der selbst gehosteten Software OpenWebUI auf dem Hostinger-VPS betrieben (siehe Abschnitt 3). OpenWebUI ist eine im Eigenbetrieb genutzte Softwarekomponente und kein gesonderter externer Subprozessor.
| Anbieter | Funktion | Pakete / Pfade | Datenkategorien | Region / Verarbeitung | Rolle | Drittlandtransfer | Transfergrundlage |
|---|---|---|---|---|---|---|---|
| IONOS | deutscher Modellpfad openai/gpt-oss-120b / Infrastruktur | Basic, ggf. Plus/Pro | Prompts, Kontext, ggf. Dateiauszüge | Deutschland | Modell-/Infrastrukturdienstleister / Subprozessor | nein bei DE-Verarbeitung | AV-/DPA-Grundlage mit Anbieter; kein Drittlandtransfer bei DE-Verarbeitung |
| Microsoft Azure / Azure OpenAI | EU-Verarbeitungszone für Premium-Modelle | Plus, ggf. Pro | Prompts, Kontext, ggf. Dateiauszüge, technische Metadaten | Datenzonenstandard (EUR) | Modell-/Cloudanbieter / Subprozessor | nein für Plus bei Nutzung der EU-Verarbeitungszone; ja bei Global-/US-Pfaden | Microsoft DPA; EU-Verarbeitungszone für Plus; bei Drittlandtransfer DPF + SCC/DPA, soweit vom Dienst abgedeckt |
| Mistral | EU-Modellpfad | Plus/Pro, soweit freigeschaltet | Prompts, Kontext, ggf. Dateiauszüge | Frankreich/EU | Modellanbieter / Subprozessor | nein bei EU-Verarbeitung | Anbieter-DPA; kein Drittlandtransfer bei EU-Verarbeitung |
| Google Vertex AI / Gemini Enterprise Agent Platform | EU- und optionaler internationaler Modellpfad | Plus für EU-Pfade; Pro für internationale Pfade, soweit freigeschaltet | Prompts, Kontext, ggf. Dateiauszüge | EU-Pfad bzw. US/internationaler Pfad je Auswahl | Modell-/Cloudanbieter / Subprozessor | nein bei EU-Verarbeitungspfad; ja bei internationalen Pfaden | Google Cloud DPA; bei US-/Drittlandpfaden DPF + SCC/DPA, soweit vom Dienst abgedeckt |
| OpenAI direkt | internationaler Modellpfad, ggf. Bildmodellpfad | Pro | Prompts, Kontext, ggf. Dateiauszüge, ggf. Bildinhalte oder Bildprompts | USA / international je Vertrag | Modellanbieter / Subprozessor | ja | OpenAI DPA und Standardvertragsklauseln; kein DPF-Nachweis in der Anbieterakte |
| Anthropic / Claude | internationaler Modellpfad | Pro | Prompts, Kontext, ggf. Dateiauszüge | USA / international je Vertrag | Modellanbieter / Subprozessor | ja | Anthropic DPA und Standardvertragsklauseln; kein DPF-Nachweis in der Anbieterakte |
| Google Gemini direkt | internationaler Modellpfad, ggf. Bildmodellpfad, soweit gesondert freigeschaltet | Pro | Prompts, Kontext, ggf. Dateiauszüge, ggf. Bildinhalte oder Bildprompts | international je Produktpfad | Modellanbieter / Subprozessor oder Empfänger je Setup | ja | Google-Vertragsgrundlagen je Produktpfad; DPF + SCC/DPA, soweit vom Dienst abgedeckt |
| OpenRouter | Modellrouting an Downstream-Anbieter | Pro, soweit freigeschaltet | Prompts, Kontext, Modellroutingdaten | gemischt / downstream-abhängig | Modellroutinganbieter | ja oder gemischt | Anbieterbedingungen/DPA; zusätzliche Bewertung der nachgelagerten Anbieter je Modellpfad erforderlich |
Paketbezogene Kurzlogik
| Paket | Subprozessor-/Transferlogik |
|---|---|
| Basic | Basisdienste + IONOS/deutscher Modellpfad; keine internationalen Modellanbieter bei bestimmungsgemäßer Nutzung |
| Plus | Basic + Azure Datenzonenstandard (EUR) / EU-Modellpfade (z. B. Mistral, Vertex EU); keine internationalen Modellanbieter bei bestimmungsgemäßer Nutzung |
| Pro | Basic + Plus + internationale Modellanbieter; Anlage 4 (Drittlands- und Modellpfadmodul) erforderlich |
6. Academy (xpandAI Academy)
Verantwortliche Stelle ist xpand. Die Academy wird über die gemeinsam genutzten Basisdienste bereitgestellt, insbesondere WordPress und MemberPress im Hostinger-Setup (Abschnitt 3). Ein gesondertes Learning Management System wird nach aktuellem Stand nicht eingesetzt; die Lern- und Kursverwaltung erfolgt innerhalb von WordPress/MemberPress.
Für die Bereitstellung von Kursvideos kommt ein externer Dienst hinzu:
| Anbieter | Funktion | Datenkategorien | Region / Verarbeitung | Rolle | Drittlandtransfer | Transfergrundlage |
|---|---|---|---|---|---|---|
| Bunny Stream (BunnyWay d.o.o.) | Video-Hosting der Academy (iframe.mediadelivery.net); Einbindung über Borlabs-Service-Gruppe „Externe Medien“, Laden erst nach Einwilligung | IP-Adresse, technische Browserdaten, Abrufzeitpunkte, Videonutzungsdaten | Ljubljana, Slowenien (EU) | Auftragsverarbeiter / Dienstleister | nein (Anbietersitz in Slowenien) | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG); kein Drittlandtransfer nach heutigem Stand |
Setzt xpand für einzelne Kurse oder Inhalte weitere externe Plattformen ein, werden diese hier ergänzt.