Unterauftragsverarbeiter
Diese Seite listet die Dienstleister auf, die Tadoro für Betrieb, Sicherheit, Kommunikation, Abrechnung und Weiterentwicklung einsetzt. Sie ist die maßgebliche, jeweils aktuelle Übersicht, auf die der Auftragsverarbeitungsvertrag (AVV) mit Unternehmenskunden verweist.
Notwendige Dienste
Immer aktiv, da für Betrieb, Sicherheit, Abrechnung und Kommunikation erforderlich.
| Dienstleister | Zweck | Standort | Rolle | Drittland-Garantie |
|---|---|---|---|---|
| Supabase | Datenbank, Authentifizierung | EU (Frankfurt) | Auftragsverarbeiter | Verarbeitung in der EU |
| Vercel | Hosting, Edge-Netzwerk | EU (Frankfurt); Edge global; US-Admin-Zugriffe (SCCs) | Auftragsverarbeiter | EU-Standardvertragsklauseln für administrative US-Zugriffe; ergänzend EU-US Data Privacy Framework (Vercel Inc. zertifiziert) |
| Stripe | Zahlungsabwicklung (keine Kartendaten bei uns gespeichert) | Irland + USA | Eigenverantwortlich (Zahlung) | EU-Standardvertragsklauseln (Vertragspartner Stripe Payments Europe Ltd., Irland); ergänzend EU-US Data Privacy Framework für US-Weiterübermittlungen |
| Resend | Transaktionale E-Mails, Drip-Serie, Geschäftsanfragen über /unternehmen | USA | Auftragsverarbeiter | EU-Standardvertragsklauseln; ergänzend EU-US Data Privacy Framework (Resend, Inc. zertifiziert) |
| Anthropic (Claude) | KI-gestützte Analyse (Onboarding, Gesprächsleitfäden, Pflegegutachter-Brief – Subjekt-Namen vor Übermittlung anonymisiert; beim Pflegegutachter-Brief erfolgt die Verarbeitung von Gesundheits-/Pflegedaten auf Basis einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO). Nur im Familien-Workspace, nicht im Employer-Layer. | Irland + USA | Auftragsverarbeiter | EU-Standardvertragsklauseln (kein Data-Privacy-Framework-Beitritt; ausschließlich SCCs). Vertragliche Garantie ‚kein Training‘ auf übermittelten Daten. |
| Upstash | Redis (Rate-Limiting, Token-Zähler) | EU (Frankfurt) | Auftragsverarbeiter | Verarbeitung in der EU |
| Sentry | Fehler- und Performance-Monitoring | EU | Auftragsverarbeiter | Verarbeitung in der EU |
| Cloudflare Turnstile | Bot-Schutz (Anmeldung, Passwort-Reset) | Global (Edge); USA | Auftragsverarbeiter | EU-Standardvertragsklauseln; ergänzend EU-US Data Privacy Framework (Cloudflare, Inc. zertifiziert) |
Optionale Dienste
Nur aktiv, wenn Sie einwilligen (Google Analytics) bzw. nur, wenn Sie den Link selbst anklicken (Calendly).
| Dienstleister | Zweck | Standort | Rolle | Drittland-Garantie |
|---|---|---|---|---|
| Google Analytics | Anonyme Nutzungsstatistik (nur mit Einwilligung) | USA | Eigenverantwortlich | EU-Standardvertragsklauseln; ergänzend EU-US Data Privacy Framework (Google LLC zertifiziert) |
| Calendly | Terminbuchung für B2B2C-Beratungen über /unternehmen (nur bei eigenem Klick) | USA | Eigenverantwortlich | EU-Standardvertragsklauseln; ergänzend EU-US Data Privacy Framework (Calendly, LLC zertifiziert) |
Employer-Layer (Bereitstellung über den Arbeitgeber)
Stellt Ihr Arbeitgeber Tadoro als Mitarbeiter-Benefit bereit, verarbeitet Tadoro bestimmte Daten im Employer-Layer im Auftrag des Arbeitgebers. Die dort eingesetzten Unterauftragsverarbeiter sowie die zugehörigen Garantien einschließlich etwaiger Drittlandtransfers richten sich nach dem Auftragsverarbeitungsvertrag (Art. 28 DSGVO) zwischen Tadoro und dem Arbeitgeber. Die KI-Funktionen (Anthropic) werden ausschließlich im privaten Familien-Workspace eingesetzt, nicht im Employer-Layer. Die Rollenverteilung ist in der Datenschutzerklärung (§ 1a) beschrieben.
Änderungen
Wir aktualisieren diese Liste, wenn sich Dienstleister ändern. Unternehmenskunden informieren wir über beabsichtigte Änderungen von Unterauftragsverarbeitern nach Maßgabe des AVV vorab; ein Widerspruchsrecht aus wichtigem datenschutzrechtlichem Grund bleibt unberührt. Kopien der jeweiligen Garantien (DPAs, Standardvertragsklauseln) stellen wir auf Anfrage bereit: datenschutz@tadoro.com
Stand: Mai 2026