Unterauftragsverarbeiter

Stand: 4. Mai 2026 — Version 3.1 (Korrigierte Release Edition)

Übersicht

Zur Erbringung des Dienstes Augenblick-Control setzt die Augenblick-Effekt UG (haftungsbeschränkt) die nachfolgend aufgeführten Unterauftragsverarbeiter ein. Mit allen aktiven Unterauftragsverarbeitern besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO bzw. ein gleichwertiges Rechtsinstrument, jeweils in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO. Bei den unter „Geplante Unterauftragsverarbeiter" aufgeführten Anbietern wird der entsprechende Vertrag vor Aktivierung abgeschlossen; bis dahin findet keine Verarbeitung von Kundendaten durch diese Anbieter statt.

Diese Liste ist Bestandteil unseres Auftragsverarbeitungsvertrages (AVV) und entspricht der dort enthaltenen Anlage 2.

Verfahren bei Änderungen

Änderungen an dieser Liste — insbesondere die Hinzuziehung neuer oder der Austausch bestehender Unterauftragsverarbeiter — werden unseren Kunden gemäß § 10 Abs. 2 des AVV mindestens vierzehn (14) Kalendertage vor Wirksamwerden in Textform angekündigt.

Bestehende Kunden haben das Recht, beabsichtigten Änderungen aus berechtigten datenschutzrechtlichen Gründen innerhalb der Ankündigungsfrist in Textform zu widersprechen. Im Falle eines berechtigten Widerspruchs gelten die in § 10 Abs. 3 des AVV vorgesehenen Verfahrensregeln.

Benachrichtigungs-Abonnement: Auf Anfrage per E-Mail an datenschutz@augenblick-control.de können Kunden eine verbindliche persönliche Benachrichtigung über jede Änderung dieser Liste abonnieren. Die persönliche Benachrichtigung erfolgt zusätzlich zur allgemeinen Bekanntgabe gemäß § 10 Abs. 2 des AVV und stellt sicher, dass berechtigte Ansprechpartner des Kunden zeitnah über Änderungen informiert werden. Über frühere Versionen dieser Liste informieren wir auf schriftliche Anfrage des Verantwortlichen, soweit dies für den jeweiligen Vertragszeitraum relevant ist.

Wesentliche Unterauftragsverarbeiter (Hauptverarbeitung)

1. Google Ireland Limited

• Anschrift: Gordon House, Barrow Street, Dublin 4, Irland
• Verarbeitungszweck: Hosting der gesamten Plattform — Firebase Hosting (Website), Cloud Run (Backend-Dienste), Cloud Firestore (Datenbank), Cloud Storage (Datei-Speicherung), Pub/Sub (Nachrichten-Queue)
• Ort der Verarbeitung: Region europe-west3 (Frankfurt am Main, Deutschland), innerhalb der EU
• Drittlandtransfer: Personenbezogene Daten können in Einzelfällen an die Konzernmutter Google LLC (USA) übermittelt werden, insbesondere bei technischem Support, betriebsnotwendigen Wartungsvorgängen oder bei Inanspruchnahme von Dienstleistungen, die ausschließlich aus der globalen Google-Infrastruktur erbracht werden
• Angemessenheitsgarantie: EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss EU 2023/1795 vom 10.07.2023); Google Cloud Data Processing Addendum (DPA) vom 09. April 2024
• Datenschutzerklärung: policies.google.com/privacy
• Subprocessors-Liste Google: cloud.google.com/terms/subprocessors

2. Stripe Payments Europe Ltd.

• Anschrift: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
• Verarbeitungszweck: Subscription-Management (Rechnungserstellung, Verwaltung wiederkehrender Abrechnungen, Stripe Customer Portal, Webhook-Übermittlung von Statusinformationen) sowie Zahlungsabwicklung für kostenpflichtige Tarife
• Doppelte Rolle: Stripe agiert teils als unser Auftragsverarbeiter (Art. 28 DSGVO — für das Subscription-Management in unserem Auftrag), teils als eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO — für die Zahlungsabwicklung selbst, Risiko- und Betrugsprävention sowie Erfüllung gesetzlicher Pflichten als nach §§ 10 ff. ZAG zugelassener Zahlungsdienstleister gemäß Geldwäschegesetz und PSD2). In dieser zweiten Rolle ist Stripe kein Unterauftragsverarbeiter im engeren Sinne, sondern eigener Verantwortlicher; die Aufnahme in dieser Liste erfolgt zur Transparenz und im Hinblick auf die teilweise Auftragsverarbeitung (Subscription-Management).
• Ort der Verarbeitung: Irland (EU); Hauptverarbeitung innerhalb der EU. Stripe Payments Europe Ltd. ist von der Central Bank of Ireland als E-Money Institution zugelassen.
• Drittlandtransfer: Personenbezogene Daten können in Einzelfällen an die Konzernmutter Stripe, LLC (vormals Stripe, Inc.; Umfirmierung mit Wirkung zum 03.01.2026, San Francisco, USA) übermittelt werden, insbesondere bei technischem Support, globalen Betrugspräventions-Analysen (Stripe Radar) oder bei vom Kunden initiierter Auswahl von Stripe-Funktionen, die ausschließlich in der US-Infrastruktur verfügbar sind
• Angemessenheitsgarantie: EU-US Data Privacy Framework (DPF) — Stripe, LLC ist DPF-zertifiziert; ergänzend Standardvertragsklauseln der EU-Kommission (Durchführungsbeschluss EU 2021/914 vom 04.06.2021); Stripe Data Processing Addendum
• Zertifizierungen: Stripe ist nach ISO/IEC 27001, SOC 1 Type II, SOC 2 Type II sowie PCI-DSS Level 1 (höchste Stufe für Zahlungsdienstleister) zertifiziert
• Datenschutzerklärung: stripe.com/de/privacy
• DPA: stripe.com/legal/dpa
• Subprocessors-Liste Stripe: stripe.com/legal/service-providers

Optionale Unterauftragsverarbeiter (nur bei Aktivierung bestimmter Funktionen)

3. Google Ireland Limited (Firebase Cloud Messaging)

• Anschrift: Gordon House, Barrow Street, Dublin 4, Irland
• Verarbeitungszweck: Versand von Push-Benachrichtigungen an Endgeräte über die jeweils plattformspezifische Push-Vermittlungs-Infrastruktur:
  • Web-App: Firebase Cloud Messaging (FCM) über die Web Push API des verwendeten Browsers (in Chrome/Edge direkte FCM-Vermittlung; in Firefox/Safari Vermittlung über die jeweilige Browser-Push-Infrastruktur);
  • iOS-App: FCM in Kombination mit dem Apple Push Notification Service (APNs) — Apple Inc. agiert hierbei als eigener Verantwortlicher und nicht als Unterauftragsverarbeiter (siehe Abschnitt „Hinweise zu Nicht-Unterauftragsverarbeitern" weiter unten);
  • Android-App: FCM als native Push-Infrastruktur.
• Aktivierung: Push-Benachrichtigungen werden bei Nutzung der App in den Tarifen Premium und Enterprise zugestellt. Endnutzer können die Push-Benachrichtigungen in den App-Einstellungen sowie über die Browser- bzw. Geräte-Einstellungen jederzeit deaktivieren; in diesem Fall erfolgt keine Übermittlung an FCM.
• Ort der Verarbeitung: EU/global (Push-Infrastruktur von Google wird global betrieben)
• Drittlandtransfer: Eine Übermittlung an die Konzernmutter Google LLC (USA) erfolgt regelmäßig im Rahmen des globalen Push-Mitteilungsdienstes
• Angemessenheitsgarantie: EU-US Data Privacy Framework (DPF); Google Cloud DPA vom 09.04.2024

Geplante Unterauftragsverarbeiter (derzeit nicht aktiv)

Die folgenden Unterauftragsverarbeiter sind zum Stand dieser Liste nicht aktiv in der Plattform integriert. Sie werden vor Aktivierung gemäß § 10 Abs. 2 des AVV mit einer Frist von 14 Tagen angekündigt. Sobald sie aktiv eingesetzt werden, wird diese Liste entsprechend aktualisiert.

4. Twilio Ireland Limited (SendGrid) — geplant

• Anschrift: 70 Sir John Rogerson's Quay, Dublin 2, Irland
• Geplanter Verarbeitungszweck: Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Wiederherstellung, System-Benachrichtigungen)
• Geplanter Ort der Verarbeitung: Vertragspartner ist Twilio Ireland Limited (Dublin, EU); die technische E-Mail-Versand-Infrastruktur von SendGrid wird global betrieben, sodass eine Übermittlung an die Konzernmutter Twilio, Inc. (San Francisco, USA) bei jedem E-Mail-Versand regelmäßig erfolgt
• Angemessenheitsgarantie: EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln der EU-Kommission
• Status: noch nicht aktiv, geplante Aktivierung im Geschäftsjahr 2026/2027

5. Functional Software, Inc. (Sentry) — geplant

• Anschrift: 132 Hawthorne Street, San Francisco, CA 94107, USA
• Geplanter Verarbeitungszweck: Error-Tracking und Performance-Monitoring der Anwendung zur Identifikation und Behebung technischer Fehler
• Geplanter Ort der Verarbeitung: Wir werden Sentry mit aktivierter EU Data Region (Frankfurt) konfigurieren, um Drittlandtransfers zu minimieren. Vertragspartner ist Functional Software, Inc. (USA); ein Drittlandtransfer findet nur bei technisch zwingend erforderlichen Vorgängen statt (z. B. globaler Support, aggregierte Statistiken)
• Angemessenheitsgarantie: Functional Software, Inc. ist DPF-zertifiziert (EU-US Data Privacy Framework); ergänzend Standardvertragsklauseln der EU-Kommission
• Status: noch nicht aktiv, geplante Aktivierung im Geschäftsjahr 2026/2027

Hinweise zu Nicht-Unterauftragsverarbeitern

Die folgenden Stellen sind keine Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO. Sie agieren entweder als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO oder werden von uns ausschließlich im Rahmen unserer eigenen Geschäftstätigkeit eingesetzt und verarbeiten keine Inhaltsdaten unserer SaaS-Plattform-Kunden.

App-Store-Betreiber (eigene Verantwortliche)

Die folgenden Stellen sind eigene Verantwortliche für die jeweils von ihnen bereitgestellten Store- und Push-Infrastrukturen. Sie werden hier nur informationshalber genannt, weil Endnutzer beim Bezug unserer Mobile-Apps mit ihnen in Kontakt treten:

Apple Inc. — Apple App Store und Apple Push Notification Service (APNs)

• Anschrift: One Apple Park Way, Cupertino, CA 95014, USA
• Tätigkeit: Distribution unserer iOS-App über den Apple App Store; Bereitstellung der Apple Push Notification Service (APNs)-Infrastruktur für die Push-Vermittlung an iOS-Geräte
• Rolle: eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Verarbeitung der im Rahmen des Download-, Installations- und Update-Vorgangs sowie der APNs-Infrastruktur anfallenden Daten
• Datenkategorien: Apple-ID, IP-Adresse, Geräteinformationen, Download-Zeitpunkt, Land der Store-Region; bei Push: APNs Device Token, Push-Inhalte
• Kein Auftragsverarbeiter: Apple Inc. agiert nicht im Auftrag der Augenblick-Effekt UG. In-App-Käufe (Apple StoreKit) werden von uns nicht eingesetzt; eine Übermittlung von Zahlungsdaten an Apple Inc. durch uns findet nicht statt
• Angemessenheitsgarantie: Apple Inc. ist DPF-zertifiziert (EU-US Data Privacy Framework)
• Datenschutzerklärung: apple.com/legal/privacy/de-ww/

Google Ireland Limited / Google LLC — Google Play Store

• Anschrift (für Nutzer im EWR und der Schweiz): Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Anschrift Konzernmutter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Tätigkeit: Distribution unserer Android-App über den Google Play Store
• Rolle: eigene Verantwortliche (Art. 4 Nr. 7 DSGVO) für die Verarbeitung der im Rahmen des Download-, Installations- und Update-Vorgangs anfallenden Daten
• Datenkategorien: Google-Konto, IP-Adresse, Geräteinformationen, Download-Zeitpunkt, Land der Store-Region
• Kein Auftragsverarbeiter (Abgrenzung): Google Ireland Limited bzw. Google LLC agieren in dieser Rolle als Play-Store-Betreiber nicht im Auftrag der Augenblick-Effekt UG. Hinweis zur Abgrenzung: Die ebenfalls von Google bereitgestellten Cloud-Dienste (Firebase Hosting, Cloud Run, Cloud Firestore, Cloud Storage, Pub/Sub und Firebase Cloud Messaging) werden von uns im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO eingesetzt und sind in den Abschnitten „Wesentliche Unterauftragsverarbeiter" bzw. „Optionale Unterauftragsverarbeiter" gesondert geführt. In-App-Käufe (Google Play Billing) werden von uns nicht eingesetzt
• Angemessenheitsgarantie: EU-US Data Privacy Framework (DPF) für Google LLC
• Datenschutzerklärung: policies.google.com/privacy

Sonstige Nicht-Auftragsverarbeiter

Die folgenden Dienstleister werden von uns im Rahmen unserer eigenen Geschäftstätigkeit als Verantwortlicher eingesetzt und verarbeiten keine Daten unserer Kunden im Auftrag (keine Auftragsverarbeitung gemäß Art. 28 DSGVO):

Tally BV — Anbieter unseres Kontaktformulars

• Anschrift: Tally BV (Besloten Vennootschap), August Van Lokerenstraat 71, 9050 Gent, Belgien
• Unternehmensnummer: KBO 0776.979.007
• Zweck: Bereitstellung des Kontaktformulars auf unserer Website zur Erfassung vorvertraglicher Anfragen potenzieller Kunden
• Ort der Verarbeitung: Belgien (EU)
• Rechtsgrundlage: Tally ist Auftragsverarbeiter der Augenblick-Effekt UG ausschließlich im Rahmen unserer eigenen Verantwortlichkeit für vorvertragliche Kontaktanfragen über die Website. Tally verarbeitet zu keinem Zeitpunkt Inhaltsdaten unserer SaaS-Plattform-Kunden und ist daher kein Unterauftragsverarbeiter im Sinne von § 10 unseres AVV.
• AVV-Grundlage Augenblick ↔ Tally: Auftragsverarbeitungsvertrag mit Tally BV, abgeschlossen in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO durch Annahme der Tally-Nutzungsbedingungen und des Standard-DPA von Tally bei Account-Registrierung. Verfügbar unter: tally.so/help/data-processing-agreement
• Datenschutzerklärung: tally.so/help/privacy-policy

eRecht24 GmbH & Co. KG — Anbieter unserer Rechtstexte

• Anschrift: Lietzenburger Straße 94, 10719 Berlin, Deutschland
• Zweck: Erstellung und Pflege unserer Rechtstexte (Impressum, Datenschutzerklärung, AGB, AVV)
• Verarbeitung: verarbeitet keine personenbezogenen Daten unserer SaaS-Plattform-Kunden. Soweit personenbezogene Daten der Augenblick-Effekt UG selbst (insbesondere Stammdaten der Gesellschaft sowie E-Mail-Adresse des Geschäftsführers) verarbeitet werden, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrages zwischen Augenblick-Effekt UG und eRecht24 im Rahmen unserer eigenen Verantwortlichkeit.

Hosting der Datenverarbeitung — geografische Beschränkung

Die produktive Speicherung und Hauptverarbeitung der von unseren Kunden in den Workspace eingebrachten Inhaltsdaten (Inspektionen, Objektdaten, Fotos, Subunternehmer-Daten etc.) erfolgt ausschließlich in der Region europe-west3 (Frankfurt am Main, Deutschland) der Google Cloud Platform.

Drittlandtransfers finden ausschließlich in den oben bei den jeweiligen Unterauftragsverarbeitern beschriebenen Konstellationen statt. Eine Übersicht der unterschiedlichen Drittlandtransfer-Szenarien:

• Google (Hosting): Übermittlung in Einzelfällen bei technischem Support, betriebsnotwendigen Wartungsvorgängen oder Inanspruchnahme global erbrachter Dienstleistungen
• Stripe: Übermittlung in Einzelfällen bei technischem Support, Betrugspräventions-Analysen oder bei Auswahl US-spezifischer Funktionen durch den Kunden
• Google (Firebase Cloud Messaging): Bei aktivierten Push-Benachrichtigungen erfolgt eine regelmäßige Übermittlung im Rahmen des globalen Push-Mitteilungsdienstes
• Apple Inc. (Apple Push Notification Service / APNs): In der iOS-App erfolgt für die Push-Vermittlung eine Verarbeitung durch Apple Inc. als eigenen Verantwortlichen (kein Auftragsverarbeiter); Drittlandbezug zu USA — DPF-zertifiziert
• SendGrid (geplant, derzeit nicht aktiv): Nach Aktivierung erfolgt eine regelmäßige Übermittlung an die Konzernmutter Twilio, Inc. (USA) bei jedem E-Mail-Versand
• Sentry (geplant, derzeit nicht aktiv): Nach Aktivierung Drittlandtransfer minimiert durch konfigurierte EU Data Region (Frankfurt); Transfer nur bei technisch zwingend erforderlichen Vorgängen

Sämtliche Drittlandtransfers werden durch geeignete Garantien gemäß Art. 44 ff. DSGVO abgesichert (EU-US Data Privacy Framework, Standardvertragsklauseln der EU-Kommission und ergänzende Maßnahmen).

Den aktuellen Zertifizierungsstatus unter dem EU-US Data Privacy Framework können Sie für jeden Anbieter individuell verifizieren unter: www.dataprivacyframework.gov/list

Anfragen und Kontakt

Für Anfragen zu unseren Unterauftragsverarbeitern, zu den jeweiligen Auftragsverarbeitungsverträgen sowie zu Drittlandtransfers wenden Sie sich bitte an:

Augenblick-Effekt UG (haftungsbeschränkt)
Datenschutz-Anfragen: datenschutz@augenblick-control.de
Allgemein: info@augenblick-control.de
Telefon: +49 176 84881545

Auf Anfrage stellen wir berechtigten Kunden Auszüge aus den abgeschlossenen Auftragsverarbeitungsverträgen sowie Nachweise über bestehende Zertifizierungen der Unterauftragsverarbeiter zur Verfügung. Einzelheiten regelt § 15 unseres AVV (Kontroll- und Auditrechte).

Verweise auf zugehörige Compliance-Dokumente

Eine vollständige Übersicht unserer Compliance- und Rechtsdokumente:

• Datenschutzerklärung der Website — Information zur Verarbeitung beim Besuch von augenblick-control.de
• Datenschutzerklärung der App — Information zur Verarbeitung in der Web-App, der iOS-App und der Android-App
• Auftragsverarbeitungsvertrag (AVV) — enthält die vollständige Anlage 2 mit allen rechtlichen Details zu Unterauftragsverarbeitern
• Allgemeine Geschäftsbedingungen (AGB) — Vertragsbedingungen unseres SaaS-Angebots
• Unterauftragsverarbeiter — diese Seite
• Impressum — Anbieterkennzeichnung gemäß § 5 DDG

Diese Liste der Unterauftragsverarbeiter ist Teil unseres Compliance-Bereichs und wird laufend aktualisiert. Die jeweils aktuelle Version ist immer unter dieser URL abrufbar.

Wesentliche Änderungen in Version 3.0 gegenüber Version 2.3 (28. April 2026):

• Synchronisation der Versionsangaben mit dem Release-Edition-Pakete vom 4. Mai 2026 (Erweiterung der Plattform um native iOS- und Android-Apps);
• Erweiterung des Abschnitts „Optionale Unterauftragsverarbeiter" (Firebase Cloud Messaging) um die plattformspezifische Push-Vermittlung über Web Push API, Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM);
• Neuer Unterabschnitt „App-Store-Betreiber (eigene Verantwortliche)" zur Klarstellung, dass Apple Inc. (Apple App Store, APNs) und Google Ireland Limited bzw. Google LLC (Google Play Store) keine Auftragsverarbeiter sind, sondern als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO agieren;
• Ergänzung in der Übersicht der Drittlandtransfer-Szenarien um Apple Inc. (APNs) als eigenen Verantwortlichen mit DPF-Zertifizierung;
• Klarstellung, dass keine In-App-Käufe (Apple StoreKit / Google Play Billing) eingesetzt werden;
• Aufnahme der „Datenschutzerklärung der App" in die Liste der Compliance-Dokumente.

Wesentliche Änderungen in Version 3.1 gegenüber Version 3.0 (4. Mai 2026):

• Klarstellung, dass die US-Konzernmutter von Stripe mit Wirkung zum 03.01.2026 von Stripe, Inc. in Stripe, LLC umfirmiert wurde; die DPF-Zertifizierung und sämtliche Garantien für Drittlandtransfers bleiben unverändert;
• Aktualisierung des URL der Stripe-Subprozessor-Liste von stripe.com/legal/subprocessors auf den von Stripe aktuell genutzten URL stripe.com/legal/service-providers.