Unterauftragsverarbeiter
CRA Evidence setzt die folgenden Unterauftragsverarbeiter zur Erbringung unserer Dienste ein. Diese Liste wird gemäß Artikel 28 DSGVO und unserem Auftragsverarbeitungsvertrag gepflegt.
Änderungsbenachrichtigung
Wir benachrichtigen Kunden mindestens 30 Tage vor dem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters. Sie können Updates abonnieren, indem Sie privacy@craevidence.com kontaktieren.
Wenn Sie Einwände gegen einen neuen Unterauftragsverarbeiter haben, können Sie diese innerhalb von 30 Tagen nach Erhalt der Benachrichtigung unter privacy@craevidence.com vorbringen.
Infrastruktur-Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| Amazon Web Services (AWS) | Cloud-Hosting, Computing und Speicherung | Alle Kundendaten | eu-west-1 (Dublin, Irland) |
| Amazon RDS | Verwaltete PostgreSQL-Datenbank | Alle strukturierten Daten (Konten, Produkte, Schwachstellen) | eu-west-1 (Dublin, Irland) |
| Amazon S3 | Objektspeicherung | SBOMs, technische Dokumente, Firmware-Images | eu-west-1 (Dublin, Irland) |
| Amazon CloudFront | Content-Delivery und Edge-Sicherheit | Statische Assets, Request-Routing | EU-Edge-Standorte |
| Amazon SES | Transaktionaler E-Mail-Versand | E-Mail-Adressen, Benachrichtigungsinhalte | eu-west-1 (Dublin, Irland) |
Anwendungs-Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| Google Workspace | SMTP-Relay für E-Mail-Zustellung | E-Mail-Adressen, E-Mail-Inhalte | Globale Google-Infrastruktur (EU-SCCs enthalten) |
| Stripe | Zahlungsabwicklung | Rechnungsname, E-Mail, Zahlungsmethode | USA (EU-SCCs / DPF) |
| Cloudflare Turnstile | Bot-Schutz bei Registrierung und Anmeldung | IP-Adresse, Browser-Fingerprint | Edge-Verarbeitung (keine PII gespeichert) |
| Tailscale | Zero-Trust-VPN für administrativen Infrastrukturzugang | Gerätemetadaten von Mitarbeitern, Netzwerkzugriffsprotokolle (keine Kundeninhalte) | Koordinationsserver: Kanada/USA; Datenverkehr: Peer-to-Peer-WireGuard innerhalb von AWS EU |
| PostHog | Produktanalyse (Cookie-loser Modus auf öffentlichen Seiten, vollständige Analyse für authentifizierte Benutzer mit Einwilligung) | Seitenaufrufe, Funktionsnutzung, anonymisierte Interaktionsdaten | EU (eu.posthog.com, Frankfurt, Deutschland) |
Selbst gehostete Komponenten
| Komponente | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| Trivy (Aqua Security) | Schwachstellen-Scanning von SBOMs | SBOM-Inhalt, Paket-Metadaten | Selbst gehostet in unserer AWS-Infrastruktur (eu-west-1) |
Hinweise
- Alle Kundendaten werden ausschließlich in der EU gespeichert (AWS eu-west-1, Dublin, Irland).
- Stripe verarbeitet Zahlungsdaten in den USA unter Standardvertragsklauseln (SCCs) und dem EU-US-Datenschutzrahmen (DPF).
- Google Workspace ist durch das Cloud Data Processing Addendum (CDPA) abgedeckt, das Standardvertragsklauseln für internationale Übermittlungen enthält.
- Cloudflare Turnstile verarbeitet Daten am Edge ausschließlich zum Bot-Schutz. Es werden keine personenbezogenen Daten gespeichert.
- Trivy läuft vollständig innerhalb unserer eigenen Infrastruktur und sendet keine Daten an externe Dienste.
- Der Koordinationsserver von Tailscale verwaltet ausschließlich Geräteidentität und Schlüsselaustausch. Sämtlicher Datenverkehr fließt Peer-to-Peer mit WireGuard-Verschlüsselung innerhalb unserer AWS-Infrastruktur. Keine Kundendaten passieren Tailscale-Server.
- PostHog arbeitet auf öffentlichen Seiten im Cookie-losen Modus und erfasst nur anonymisierte Seitenaufrufdaten, ohne Cookies zu setzen oder lokalen Speicher zu verwenden. Für authentifizierte Benutzer, die der Analyse zustimmen, bietet PostHog Einblicke in die Funktionsnutzung. Alle Daten werden in der EU (Frankfurt, Deutschland) verarbeitet.
Kontakt
Für Fragen zu unseren Unterauftragsverarbeitern kontaktieren Sie privacy@craevidence.com.
Zuletzt aktualisiert: Februar 2026.