LEGAL · SUBPROZESSOREN · STAND 27.04.2026
Diese Liste umfasst alle Auftragsverarbeiter im Sinne von Art. 28 DSGVO, die Collavo GmbH zur Erbringung der Plattform einsetzt. Änderungen werden versioniert und über die Datenschutzerklärung kommuniziert.
| Name | Zweck | Datenkategorien | Rechtsgrundlage | Sitz | Status |
|---|---|---|---|---|---|
| Auth0 (Okta) | Identität, Sitzung, Authentifizierung | E-Mail, Auth-Tokens, Profildaten | Art. 6(1)(b) DSGVO — Vertragserfüllung | USA (EU-Standardvertragsklauseln) | Aktiv |
| Twilio SendGrid | Transaktionale E-Mails | Empfänger-E-Mail, Inhalt, Metadaten | Art. 6(1)(b) DSGVO — Vertragserfüllung | USA (EU-Standardvertragsklauseln) | Aktiv |
| OpenAI OpCo | KI-Textgenerierung (Captions, Briefs, Best-Time) | Prompt-Text inkl. Kampagnenkontext | Art. 6(1)(a) Einwilligung + Art. 6(1)(b) Vertragserfüllung | USA (EU-Standardvertragsklauseln) | Aktiv |
| Cloudflare R2 | Asset-Speicherung (Videos, Bilder, Export-Archive) | Hochgeladene Mediendateien + Metadaten | Art. 6(1)(b) DSGVO — Vertragserfüllung | EU (Frankfurt-Region bevorzugt) | Aktiv |
| Vercel Inc. | Anwendungs-Hosting, TLS-Terminierung, Request-Routing | HTTP-Requests, IP-Adressen, User-Agent | Art. 6(1)(f) DSGVO — Berechtigtes Interesse | USA (EU-Standardvertragsklauseln) / EU-Edge | Aktiv |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (SEPA-Lastschrift + Kreditkarte), Rechnungsversand | IBAN, Mandatsreferenz, Kontoinhaber, Kartendaten (tokenisiert), Rechnungsdaten | Art. 6(1)(b) Vertragserfüllung + Art. 6(1)(c) §147 AO | Irland (EU) | AktivAktiv seit 25.04.2026 |
| TikTok Inc. (ByteDance) | Veröffentlichung von Creator-Videos und Captions, Abruf von Insights | Videoinhalte, Captions, OAuth-Tokens, Publikumsdemografie | Art. 6(1)(b) DSGVO — Vertragserfüllung | USA + China (SCC; China-Übermittlung erfordert gesonderte rechtliche Bewertung — ENTWURF) | ENTWURF — rechtliche Prüfung ausstehend |
| YouTube / Google LLC | Veröffentlichung von Videos und Metadaten, Kanal- und Publikums-Insights | Videoinhalte, Titel/Beschreibungen/Tags, OAuth-Tokens, Publikumsdemografie | Art. 6(1)(b) DSGVO — Vertragserfüllung | USA (SCC / Google-DPA) | ENTWURF — rechtliche Prüfung ausstehend |
| Expo / EAS (Expo, dann APNs/FCM) | Zustellung mobiler Push-Benachrichtigungen | Geräte-Push-Token, Benachrichtigungstitel und -text | Art. 6(1)(b) DSGVO — Vertragserfüllung | USA (Expo/EAS), anschließend Apple (APNs) / Google (FCM) (SCC) | ENTWURF — rechtliche Prüfung ausstehend |
| Sentry (Functional Software, Inc.) | Fehlerüberwachung — nur aktiv, wenn SENTRY_DSN gesetzt ist | Nutzer-ID, Organisations-ID, Request-Pfad, Ausnahmedetails | Art. 6(1)(f) DSGVO — Berechtigtes Interesse | USA, sofern keine EU-DSN konfiguriert ist (SCC — ENTWURF) | ENTWURF — rechtliche Prüfung ausstehend |