DSGVO Art. 28 · AVV-Anlage 1 · Version 1.0 · Gültig ab 2026-05-02
Sub-Prozessor-Liste
Stand: 2026-05-02 · Version 1.0
Eingesetzte Auftragsverarbeiter gemäß Art. 28 DSGVO. Diese Liste ist Anlage 1 zur AVV (/legal/dpa) und wird mit mindestens 15 Tagen Vorlauf vor Änderungen aktualisiert. Customer hat innerhalb dieser Frist ein Widerspruchsrecht.
Sub-Auftragsverarbeiter (Stand 2026-05-02)
| Anbieter | Sitz | Verarbeitungs-Region | Zweck | DSGVO-Status |
|---|---|---|---|---|
| Vercel Inc. | USA | EU (Frankfurt, region-pinned fra1) | Hosting + Compute (Functions, Edge, Static Files) | DPA + EU-Region-Lock + DPF-zertifiziert |
| Neon Inc. (DBA "Neon Postgres") | USA | EU (eu-central-1, Frankfurt) | Postgres-Datenbank | DPA + EU-DC-Lock |
| Mailgun (Sinch Email API) | USA / Schweden | EU (api.eu.mailgun.net) | Transactional E-Mails (Welcome, Trial-End, Magic-Link, AVV-Notifications) | DPA + EU-Region |
| Upstash Inc. | USA | EU | Rate-Limiting (Redis Sliding-Window) | DPA + EU-DC, optional aktivierbar |
| Microsoft Corporation | USA / Irland | EU (Customer-Tenant-Region) | Microsoft Graph API für Mailbox-Zugriff (OAuth-basiert mit User-Consent) | Customer-DPA mit Microsoft direkt + EU-Data-Residency |
| Anthropic via AWS Bedrock | Anthropic USA / AWS DE | EU (eu-central-1, Frankfurt) | AI-Inference (Claude Sonnet 4.6) für Chatbot, Drafts, Klassifikation | AWS-DPA mit Zero-Retention + EU-Region-Lock |
| OpenAI Ireland Ltd. | Irland | EU (eu.api.openai.com) | AI-Inference (GPT-4o-mini Failback) | EU-Enterprise-Contract, kein Training, DPA |
| Google Vertex AI | USA / EU | EU (Region wählbar bei Google) | AI-Inference (Gemini 2.5) | DPA + EU-Region |
| Sentry Software (Functional Software, Inc.) | USA | EU (de.sentry.io, Frankfurt) | Error-Tracking + Performance-Monitoring + Cron-Heartbeats | DPA + EU-Region-Lock |
| n8n GmbH | Deutschland | EU | Workflow-Execution-Engine (n8n.cloud Account nms24) | DPA |
| Resend Inc. | USA | — | Nicht mehr aktiv (seit 2026-05-02 durch Mailgun ersetzt) |
Hart geblockte Anbieter
Diese AI-Provider sind systemweit per Code-Allowlist geblockt — auch bei expliziter Customer-Anfrage nicht aktivierbar:
- Kimi / Moonshot AI (China)
- Qwen / Alibaba (China)
- Baidu / Baichuan (China)
- DeepSeek (China)
- Zhipu / GLM (China)
- Yi / 01-ai (China)
Implementiert in packages/types/src/ai-allowlist.ts mit assertProviderAllowed() als hartem Pre-Call-Gate.
Customer-konfigurierte optionale Drittanbieter
Folgende Drittanbieter werden nur aktiviert, wenn der Customer das im Setup-Wizard konfiguriert. NMS hat darauf keinen technischen Zugriff — sie unterliegen den Customer-eigenen Verträgen mit dem jeweiligen Anbieter:
| Anbieter | Customer-Aktivierung | Daten | |---|---|---| | Telegram FZ-LLC | Bot-Token + Chat-ID im Wizard | Notification-Inhalte (Customer-Daten); Bot kann nur senden, nicht lesen | | Microsoft Teams | Webhook-URL im Wizard | Notification-Inhalte | | Slack Technologies, Inc. | Webhook-URL im Wizard | Notification-Inhalte | | SharePoint (Microsoft) | nur bei Workflows die Files speichern | Customer-Files |
Änderungs-Historie
| Datum | Änderung | Major? | Re-Acceptance? | |---|---|---|---| | 2026-05-02 | Initial Version 1.0 | — | — | | 2026-05-02 | Resend → Mailgun (EU-Region) | nein (gleiche Datenkategorie) | nein |
Wie wird über Änderungen informiert?
- E-Mail-Notification an alle Tenant-Admins mit Subject "NMS Flow — Sub-Prozessor-Update"
- In-App-Banner im
/app-Header für 15 Tage - Status-Page: diese URL wird bei jeder Änderung aktualisiert + neuer Version-Stamp
Widerspruchsrecht
Customer kann innerhalb von 15 Tagen nach Mitteilung einer Änderung widersprechen — formlos per E-Mail an flow@nms.de.
Bei Widerspruch versucht NMS:
- Den betroffenen Service auf eine alternative Lösung zu migrieren (auf NMS-Kosten)
- Falls nicht möglich: Beendigung des Vertragsverhältnisses mit 30 Tagen Frist, anteilige Rückerstattung
Content-Hash: 22b87df2459a431c…