Subprozessoren
Was ist diese Seite?
Auf dieser Seite finden Sie eine vollständige Übersicht der Dienstleister, die wir bei MFA mal anders einsetzen, um unsere Plattform zu betreiben. Dazu gehören Anbieter für Hosting, Datenbank, E-Mail-Versand, Zahlungsabwicklung, Künstliche Intelligenz und weitere unterstützende Dienste. Soweit diese Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, handelt es sich um sogenannte Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
Mit dieser Liste informieren wir Sie transparent über alle aktiven Auftragsverarbeiter (sogenannte Subprozessoren) gemäß unserer Pflicht aus Art. 28 Abs. 2 DSGVO. Die Seite ist die maßgebliche Quelle für unsere Datenschutzerklärung und unsere Allgemeinen Geschäftsbedingungen, die jeweils auf diese Liste verweisen.
Wir informieren über geplante Änderungen unserer Subprozessoren rechtzeitig vorab, in der Regel über ein Update dieser Seite und – soweit Sie als Arbeitgeber-Kunde mit uns einen Auftragsverarbeitungsvertrag (AVV) geschlossen haben – über eine separate Mitteilung. Damit erfüllen wir die Informationspflicht nach Art. 28 Abs. 2 Satz 2 DSGVO.
Stand der Liste: 2026-05-03
Verantwortlicher
MFA mal anders – Kristin Maurach & Christopher Liedtke OHG
In den Sandbergen 30a
49808 Lingen (Ems)
E-Mail: kontakt(at)mfa-mal-anders.de
Zuständige Aufsichtsbehörde: Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen).
Aktive Subprozessoren
Die folgenden Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag. Bei Anbietern mit Sitz außerhalb der EU/des EWR ist jeweils die Garantie für den Drittlandstransfer nach Kapitel V DSGVO ausgewiesen (EU-US Data Privacy Framework, kurz „DPF", oder EU-Standardvertragsklauseln, kurz „SCCs").
Hosting, Plattform und Infrastruktur
| Anbieter | Sitz | Zweck | Drittlandstransfer-Garantie | AVV-Stand |
|---|---|---|---|---|
| Vercel Inc. | San Francisco, USA (Hosting in Frankfurt, fra1) | Hosting der Next.js-Plattform mfa-mal-anders.de, Edge Functions, Server-Logs, AI Gateway | DPF zertifiziert; SCCs über DPA | Auto-Binding mit dem Vercel Customer Agreement (Stand 2026-03-31) |
| webgo GmbH | Hamburg, Deutschland (EU) | WordPress-Backend (Magazin, Berufsbilder, Weiterbildungen), Domain-Registrar/DNS für mfa-mal-anders.de, SMTP/DKIM für Admin-E-Mails | n/a (EU-Anbieter) | Unterzeichneter AVV vom April 2026 |
| MongoDB, Inc. | New York, USA (Cluster in Frankfurt, EU) | Primärdatenbank für Nutzer-, Job- und Bewerbungsdaten | DPF zertifiziert; SCCs über DPA. Datenhaltung in EU. | Auto-Binding mit dem MongoDB Customer Agreement |
| Amazon Web Services, Inc. (AWS) | Seattle, USA (S3-Bucket in eu-central-1 Frankfurt) | Speicherung von Bildern, Logos und Profilbildern (S3) | DPF zertifiziert; SCCs über AWS GDPR DPA. Datenhaltung in EU. | Auto-Teil des AWS Customer Agreement |
| Upstash, Inc. | San Jose, USA (EU-Region) | Queue, Cache und Workflow-Engine (QStash, Redis) für Newsletter, Reminder, BA-Übermittlung, Rechnungen | DPF zertifiziert; SCCs über DPA | Standard-DPA gilt automatisch laut ToS; schriftliche Bestätigung angefordert |
| Axiom Systems, Inc. | USA (Region US East 1, Virginia) | Server-Log-Drain (über Vercel-Plattform-Integration) für Fehlererkennung und Observability | SCCs über DPA (Auto-Binding); siehe Hinweis im Abschnitt „Spezialfall Axiom" | Auto-Binding mit den Axiom Terms of Service |
E-Mail, Zahlung und Buchhaltung
| Anbieter | Sitz | Zweck | Drittlandstransfer-Garantie | AVV-Stand |
|---|---|---|---|---|
| Functional Software, Inc. (Resend) | San Francisco, USA | Transaktionaler E-Mail-Versand: Bestätigungen, Job-Newsletter, Job-Alerts, Bewerbungsweiterleitungen (inkl. CV-Anhang) | DPF zertifiziert; SCCs über DPA | Unterzeichneter DPA vom 2026-05-03 |
| Stripe Payments Europe Ltd. / Stripe, Inc. | Dublin, Irland (EU-Vertragspartner) / San Francisco, USA | Zahlungsabwicklung, Rechnungserstellung | DPF zertifiziert (US-Konzernverbund); EU-Vertragspartner für unseren Account | Auto-Akzeptanz mit Account-Erstellung |
| Haufe Service Center GmbH (Lexware Office) | Freiburg, Deutschland (EU) | Buchhaltung, Rechnungs- und Belegmanagement | n/a (EU-Anbieter) | Aktiv akzeptiert am 2025-11-12 im Lexware-Dashboard |
Künstliche Intelligenz
Wir setzen KI-Modelle ein, um Arbeitgeber bei der Erstellung von Stellenanzeigen zu unterstützen, Stellengesuch-Zusammenfassungen für Jobsuchende zu generieren und Stellenanzeigen aus extern bereitgestellten HTML-Quellen zu importieren.
| Anbieter | Sitz | Zweck | Drittlandstransfer-Garantie | AVV-Stand |
|---|---|---|---|---|
| Anthropic, PBC | San Francisco, USA | KI-gestützte Erstellung von Stellenanzeigenentwürfen (Modell „claude-sonnet-4.6") – direkter Vertrag mit Anthropic | DPF zertifiziert; SCCs über DPA | Auto-Binding mit den Anthropic Commercial Terms |
| OpenAI, L.L.C. | San Francisco, USA | KI-gestützte Stellengesuch-Zusammenfassungen und HTML-zu-Stellenanzeigen-Konvertierung – Routing über Vercel AI Gateway (siehe Abschnitt „Sub-Subprozessoren: KI-Routing") | DPF zertifiziert; SCCs über DPA | Auto-Binding mit dem OpenAI Services Agreement (Stand 2026-01-01) |
Geocoding und Karten
Diese Dienste werden eingesetzt, um Standortvorschläge bei der Erstellung von Stellenanzeigen und Stellengesuchen sowie Kartenansichten bereitzustellen.
| Anbieter | Sitz | Zweck | Drittlandstransfer-Garantie | AVV-Stand |
|---|---|---|---|---|
| Radar Labs, Inc. | New York, USA | Geocoding (Standortvorschläge, Adresssuche) – primärer Anbieter | SCCs über Enterprise DPA (Auto-Binding) | Enterprise DPA vom 2023-10-06 archiviert |
| HERE Global B.V. | Eindhoven, Niederlande (EU) | Geocoding-Fallback | n/a (EU-Anbieter) | Auto-Binding mit dem HERE Mobility License Agreement |
| Mapbox, Inc. | Washington, D.C., USA | Kartenansichten | DPF zertifiziert; SCCs über DPA (Anhang der ToS) | Auto-Akzeptanz mit den Mapbox Terms of Service |
Interne Tools (verarbeiten Kunden-/Rechnungsdaten)
| Anbieter | Sitz | Zweck | Drittlandstransfer-Garantie | AVV-Stand |
|---|---|---|---|---|
| Slack Technologies, LLC (Salesforce, Inc.) | San Francisco, USA | Interne Benachrichtigungen über Plattform-Ereignisse (z. B. neue Rechnungen) | DPF zertifiziert (über Salesforce); SCCs über DPA | Standard-DPA als Template vorbereitet, Unterzeichnung in Vorbereitung |
| Asana, Inc. | San Francisco, USA | Automatische Aufgabenerstellung für Buchhaltung und Customer Service auf Basis neuer Rechnungen | DPF zertifiziert; SCCs über DPA | Auto-Binding mit dem Asana Subscription Agreement |
| Google LLC (Google Workspace, Drive, Indexing API) | Mountain View, USA | E-Mail- und Kollaborations-Suite, Backup-Ablage von Rechnungs-PDFs (Google Drive), Indexing-Anfragen für SEO (nur URLs, kein PII) | DPF zertifiziert; SCCs über Cloud Data Processing Addendum | Auto-Teil der Google Workspace Terms |
Reichweite und Analyse
| Anbieter | Sitz | Zweck | Drittlandstransfer-Garantie | AVV-Stand |
|---|---|---|---|---|
| Plausible Insights OÜ | Tallinn, Estland (EU) | Reichweitenmessung („Plausible Analytics") – cookieless, IP-Adressen werden gehasht und nach 24 Stunden verworfen, keine personenbezogenen Profile | n/a (EU-Anbieter) | Standard-DPA online verfügbar |
Empfänger ohne Auftragsverarbeitung
Die folgenden Dienste sind für unseren Geschäftsbetrieb wichtige Partner. Sie sind jedoch keine Auftragsverarbeiter im Sinne des Art. 28 DSGVO, weil sie die übermittelten Daten in eigener Verantwortung weiterverarbeiten – entweder als öffentliche Stelle mit gesetzlichem Auftrag oder als eigenständig Verantwortliche im Rahmen ihrer eigenen Dienste. Wir führen sie hier dennoch aus Transparenzgründen auf.
| Empfänger | Sitz | Rolle | Vertrag |
|---|---|---|---|
| Bundesagentur für Arbeit (BA) | Nürnberg, Deutschland | Öffentliche Stelle; eigenständig Verantwortliche im Sinne der DSGVO. Empfängt von Arbeitgebern beauftragte Stellenanzeigen über die HR-BA-XML-Schnittstelle. | Stellenbörsen-Kooperationsvertrag vom 2022-10-10 |
| Kleinanzeigen GmbH | Berlin, Deutschland | Eigener Verantwortlicher für die auf der Plattform veröffentlichten Anzeigen. Empfängt von Arbeitgebern beauftragte Stellenanzeigen im PRO-Paket. | Service-Vertrag (PRO-Paket) |
Eine Übermittlung von Daten an diese Empfänger erfolgt ausschließlich auf Grundlage einer entsprechenden Einwilligung des Arbeitgebers (Buchung der jeweiligen Distribution) und im Rahmen der vertraglichen Pflichten gegenüber dem Arbeitgeber (Art. 6 Abs. 1 lit. b DSGVO).
Sub-Subprozessoren: KI-Routing über das Vercel AI Gateway
Wir nutzen das Vercel AI Gateway als technische Routing-Schicht für unsere KI-Anfragen. Vercel ist hierbei unser primärer Auftragsverarbeiter und unterhält seinerseits Verträge mit den nachgelagerten KI-Anbietern (laut Vercels ZDR-Dokumentation). Die Inferenz-Anfragen unserer Anwendung laufen über die System-Credentials von Vercel (kein „Bring-your-own-Key").
Über das Gateway werden derzeit angesprochen:
- OpenAI, L.L.C. (San Francisco, USA) – Stellengesuch-Zusammenfassungen und HTML-zu-Stellenanzeigen-Konvertierung
- Anthropic, PBC (San Francisco, USA) – sofern künftige Modelle über das Gateway statt direkt angesprochen werden
- Mistral AI SAS (Paris, Frankreich) – sofern künftig genutzt (siehe „Geplante Subprozessoren")
Für OpenAI und Anthropic bestehen zusätzlich direkte Verträge (DPA bzw. Commercial Terms, jeweils auto-binding) mit uns. Damit ist die Verarbeitung über das Gateway doppelt vertraglich abgesichert.
Geplante Subprozessoren
Die folgenden Anbieter sind noch nicht aktiv im Einsatz, aber für eine künftige Aktivierung vorgesehen. Wir führen sie hier vorab auf, um maximale Transparenz herzustellen.
| Anbieter | Sitz | Geplanter Zweck | Drittlandstransfer-Garantie |
|---|---|---|---|
| Mistral AI SAS | Paris, Frankreich (EU) | Europäisches KI-Sprachmodell als Alternative zu US-Anbietern – ohne Drittlandstransfer | n/a (EU-Anbieter) |
Die Aktivierung von Mistral ist Teil unserer Strategie, möglichst viele Verarbeitungen innerhalb der Europäischen Union zu halten. Zum Zeitpunkt der Aktivierung werden wir diese Liste, unsere Datenschutzerklärung und – soweit relevant – unsere Arbeitgeber-Kunden vorab informieren.
Optionale Subprozessoren (Stand-by)
Die folgenden Anbieter sind in unserer Infrastruktur technisch verfügbar, werden aber derzeit nicht aktiv genutzt. Eine Aktivierung würde wir vorab auf dieser Seite ankündigen.
| Anbieter | Sitz | Möglicher Zweck | Drittlandstransfer-Garantie |
|---|---|---|---|
| Google LLC (Google Gemini) | Mountain View, USA | Alternatives KI-Sprachmodell | DPF zertifiziert; SCCs über das Google Cloud Data Processing Addendum (identisch mit Workspace-DPA) |
Spezialfall Axiom – Drittlandstransfer USA
Axiom empfängt unsere Server-Logs über eine Plattform-Integration auf Vercel-Ebene (Log Drain). Diese Logs können IP-Adressen, User-Agents, Request-Pfade und – in Fehlerfällen – URL-Parameter mit User-Bezug enthalten und sind damit datenschutzrelevant.
Die von uns verwendete Axiom-Region ist US East 1 (AWS, Virginia) und stellt einen Drittlandstransfer in die USA dar. Als Garantie nach Kapitel V DSGVO greifen die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die über das Axiom Data Processing Addendum verbindlich auto-binding eingebunden sind. Wir haben diese Konstellation bewusst geprüft und akzeptiert; eine Migration in die EU-Region (eu-central-1) ist technisch möglich, derzeit aber nicht vorgesehen.
Plausible Analytics verarbeitet die Reichweitenmessung cookieless mit nach 24 Stunden verworfenem IP-Hash; die Kurzbewerbungsfunktion versendet Lebensläufe ausschließlich als E-Mail-Anhang über Resend, ohne sie in unserer Datenbank oder in AWS S3 zu speichern. Details zu beiden Punkten finden Sie in der Datenschutzerklärung.
Archivierte Subprozessoren (nicht mehr im Einsatz)
Die folgenden Dienste werden seit Längerem nicht mehr aktiv genutzt. Wir listen sie hier auf, um Klarheit zu schaffen, falls Sie sie in älteren Versionen unserer Datenschutzerklärung gefunden haben.
| Anbieter | Ersetzt durch | Stand |
|---|---|---|
| Mailchimp | Resend | archiviert |
| Mailgun | Resend | archiviert |
Änderungen dieser Liste
Wir aktualisieren diese Liste, sobald sich an unserem Subprozessoren-Bestand etwas ändert. Wesentliche Änderungen kommunizieren wir gemäß Art. 28 Abs. 2 Satz 2 DSGVO rechtzeitig vorab, sodass Sie als Arbeitgeber-Kunde die Möglichkeit haben, gegen den geplanten Wechsel Einspruch zu erheben, sofern Sie mit uns einen Auftragsverarbeitungsvertrag (AVV) geschlossen haben.
Versionshistorie
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | 2026-05-03 | Erstveröffentlichung dieser Subprozessoren-Übersicht als zentrale Quelle für Datenschutzerklärung und AGB |
Kontakt für Datenschutzanfragen
Fragen zu unseren Subprozessoren, zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) richten Sie bitte an:
MFA mal anders – Kristin Maurach & Christopher Liedtke OHG
In den Sandbergen 30a
49808 Lingen (Ems)
E-Mail: kontakt(at)mfa-mal-anders.de
Weitere Informationen zur Verarbeitung personenbezogener Daten finden Sie in unserer Datenschutzerklärung. Die hier aufgeführten Subprozessoren sind dort jeweils mit ihrer datenschutzrechtlichen Einbindung näher beschrieben.
