CVSCHMIEDE

Unterauftragsverarbeiter

Unterauftragsverarbeiter (Subprocessors)

Stand: April 2026 · Diese Liste wird laufend aktualisiert.

Zur Erbringung unserer Dienstleistung setzt CV Schmied (Hagen Marggraf, Köln) externe Dienstleister ein. Alle hier aufgeführten Unterauftragsverarbeiter sind durch schriftliche Auftragsverarbeitungsverträge (AVV / DPA) nach Art. 28 DSGVO eingebunden.

Der jeweilige AVV zwischen dir als Kunde und CV Schmied (legal/avv.md) berechtigt uns, diese Unterauftragsverarbeiter einzusetzen. Du erhältst bei jeder Änderung dieser Liste eine E-Mail-Benachrichtigung mit 14 Tagen Einspruchsfrist.

Aktuelle Subprocessors

Infrastruktur

| Dienstleister | Zweck | Sitz | Datenstandort | DPA | |---|---|---|---|---| | Supabase Inc. | Datenbank (Postgres), Authentifizierung, Datei-Speicherung | USA | EU — Frankfurt | supabase.com/legal/dpa | | Vercel Inc. | Hosting, Serverless Functions, Edge-Netzwerk | USA | EU — Frankfurt (fra1) | vercel.com/legal/dpa |

Künstliche Intelligenz

| Dienstleister | Zweck | Sitz | Datenstandort | DPA | Besonderheit | |---|---|---|---|---|---| | OpenAI Ireland Ltd. / OpenAI, L.L.C. | Strukturiertes CV-Parsing (GPT-4o-mini) | USA | USA | openai.com/policies/data-processing-addendum | Zero-Data-Retention aktiviert; pseudonymisierte Daten | | Anthropic PBC | KI-Summary / Management-Zusammenfassung (Claude Sonnet) | USA | USA | anthropic.com/legal/data-processing-addendum | Zero-Data-Retention aktiviert; pseudonymisierte Daten |

Zahlungen und Kommunikation

| Dienstleister | Zweck | Sitz | Datenstandort | DPA | |---|---|---|---|---| | Stripe Payments Europe, Ltd. | Zahlungsabwicklung, Abonnements | Irland | EU (Irland) / USA | stripe.com/legal/dpa | | Resend Inc. | Transaktions-E-Mails (Registrierung, Passwort-Reset, Benachrichtigungen) | USA | EU — Irland (eu-west-1) | resend.com/legal/dpa | | sevDesk GmbH | Rechnungsstellung (enthält keine Kandidatendaten) | Deutschland | EU — Deutschland | AVV direkt |

Monitoring und Betrieb

| Dienstleister | Zweck | Sitz | Datenstandort | DPA | |---|---|---|---|---| | Functional Software, Inc. (Sentry) | Fehler-Monitoring (PII-Scrubbing aktiviert, keine CV-Inhalte) | USA | USA | sentry.io/legal/dpa | | Upstash Inc. | Rate-Limiting (Redis, hash-basiert, keine CV-Daten) | USA | EU — Frankfurt | upstash.com/trust/dpa |

Pseudonymisierung vor KI-Übermittlung

Für die KI-Anbieter (OpenAI, Anthropic) werden alle identifizierenden Felder vor der Übermittlung durch Platzhalter ersetzt:

  • Vor- und Nachname → [KANDIDAT_001]
  • E-Mail → [EMAIL_001]
  • Telefon → [TEL_001]
  • Adresse → [ADRESSE_001]
  • Arbeitgeber → [FIRMA_001]

Die Zuordnungstabelle verbleibt ausschließlich in der EU-Datenbank. Nach Rückkehr der KI-Antwort werden die Platzhalter wieder durch Originaldaten ersetzt. Die KI-Anbieter sehen damit keine identifizierenden Personendaten.

Drittlandtransfer

Für Übermittlungen in die USA stützen wir uns auf:

  • EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission)
  • Standardvertragsklauseln (SCC 2021) — Modul 2 (Controller zu Processor)
  • Zero-Data-Retention bei allen KI-Anbietern (keine Speicherung, kein Training)
  • Pseudonymisierung als zusätzliche technische Schutzmaßnahme

Änderungsprozess

Änderungen an dieser Liste (Hinzufügen / Ersetzen von Unterauftragsverarbeitern) werden mindestens 14 Tage im Voraus per E-Mail an die bei uns hinterlegte Admin-E-Mail-Adresse jedes Kunden mitgeteilt.

Du kannst in diesem Zeitraum begründeten Einspruch erheben (§ 7 AVV). In diesem Fall räumen wir dir ein Sonderkündigungsrecht ein.

Kontakt

Fragen zu unseren Unterauftragsverarbeitern: hagenmarggraf@gmx.de

Dieses Dokument wird mindestens jährlich überprüft. Letzte inhaltliche Änderung: April 2026.