VERTRAUEN · UNTERAUFTRAGSVERARBEITER

Öffentliche Liste
der Unterauftragsverarbeiter.

DSGVO Art. 28 erfordert Transparenz über die Unterauftragsverarbeiter, die wir zur Erbringung des Dienstes nutzen. Wir veröffentlichen hier die vollständige Liste, ihren Standort, Zweck und die mit jedem unterzeichneten Vereinbarungen. Wir benachrichtigen Sie per E-Mail mit 30 Tagen Vorlauf über jede Änderung.

Preise ansehen Benachrichtigungen abonnieren

Warum wir diese Liste veröffentlichen

Als Auftragsverarbeiter Ihrer personenbezogenen Daten und der Inventardaten Ihrer Endpunkte verpflichtet sich Itrion Software, keine Unterauftragsverarbeiter ohne Ihr Wissen zu beauftragen. DSGVO Art. 28(2) verlangt eine spezifische oder allgemeine schriftliche vorherige Genehmigung vor der Beauftragung eines weiteren Auftragsverarbeiters. Wir arbeiten unter allgemeiner Genehmigung mit 30-tägiger Vorabbenachrichtigung, was es Ihnen ermöglicht, zu widersprechen und gegebenenfalls den Vertrag zu kündigen, falls Sie nicht zustimmen.

Diese Liste wurde zuletzt am 4. Mai 2026 aktualisiert. Jede Änderung (Aufnahme eines neuen Unterauftragsverarbeiters, Standortänderung, Beendigung eines Unterauftragsverarbeiters) wird per E-Mail an die im Vertrag eingetragene Kontaktadresse des DPO/CISO Ihrer Organisation gemeldet. Wenn Sie uns keinen technischen/rechtlichen Kontakt mitgeteilt haben, benachrichtigen wir den Hauptadministrator des Tenants.

Für alle Unterauftragsverarbeiter: unterzeichneter DSGVO Art. 28 Vertrag, SCC (Standardvertragsklauseln) bei internationaler Übermittlung, jährliches dokumentarisches Auditrecht, Verpflichtung, Vorfälle in weniger als 24h an Itrion zu melden, Verpflichtung, dasselbe Schutzniveau zu erfüllen, das Itrion seinen Kunden bietet.

AKTUELLE UNTERAUFTRAGSVERARBEITER

Liste der aktiven Unterauftragsverarbeiter

Itrion Datacenter Madrid (PROD1)

Dedizierter Server im ITrion-Rechenzentrum mit 99,99 % Konnektivität. Standort: Madrid, Spanien. Zweck: Haupthosting des Itamite-Kubernetes-Clusters. Art. 28-Vertrag + Standard-DPA. Keine internationale Übermittlung.

Hetzner Online GmbH (Mirror Frankfurt)

Cloud-Infrastruktur für den Hot-Replica-Knoten des Clusters. Standort: Frankfurt, Deutschland. Zweck: Failover und verteilte Sicherung. Art. 28-Vertrag + Hetzner-DPA. Keine internationale Übermittlung (DE intra-EU).

OVHcloud (Backup Roubaix)

S3-kompatibler Speicher für verschlüsselte Backups. Standort: Roubaix, Frankreich. Zweck: AES-256-verschlüsseltes Off-Site-Backup. Art. 28-Vertrag + OVH-DPA + SCC. Keine Übermittlung außerhalb der EU (FR).

Mailcow (eigene ITrion-Instanz)

Selbst gehosteter E-Mail-Server zum Versand von Produktbenachrichtigungen (Warnungen, Berichte, Rechnungen). Standort: Madrid, Spanien. Zweck: transaktionale E-Mails und Benachrichtigungen. Keine Dritten, keine internationale Übermittlung.

SMTP2GO Limited

Backup-SMTP-Anbieter zur Sicherstellung der Zustellbarkeit. Standort: Neuseeland und USA. Zweck: SMTP-Failover, falls Mailcow nicht zustellt. Art. 28-Vertrag + SCC + Angemessenheitsbeschluss (NZ-Angemessenheit in Überprüfung). Nur transaktionale Produkt-E-Mails, keine Tenant-Inhalte.

Stripe Payments Europe Ltd

Zahlungsgateway für die Kartenverarbeitung. Standort: Dublin, Irland (EU-Sitz). Zweck: AUSSCHLIESSLICH einmalige Zahlungsverarbeitung (PaymentIntent + SetupIntent), wir speichern keine Tokens und nutzen kein Stripe Subscriptions. Art. 28-Vertrag + SCC.

Optionale Unterauftragsverarbeiter (Enterprise)

Für Enterprise-Kunden können je nach gewählter Konfiguration zusätzliche Unterauftragsverarbeiter aktiviert werden: AWS KMS / Azure Key Vault / GCP KMS für BYOK (Verwaltung der Verschlüsselungsschlüssel des Kunden, Standort vom Kunden gewählt). Zertifiziertes Gesundheitsrechenzentrum in Madrid oder Frankfurt für HIPAA-eligible (+25 % auf den Tarif). Air-gapped On-Premise-Hosting (keine externen Unterauftragsverarbeiter, Kundeninfrastruktur). Für spezifische Fälle: individuellen Enterprise-Vertrag prüfen.

  • E-Mail-Benachrichtigung: 30 Tage vor jeder Änderung
  • Art. 28-Vertrag + DPA + SCC: mit allen Unterauftragsverarbeitern unterzeichnet
  • Dokumentarisches Audit: jährliches Prüfrecht
  • Hauptauftragsverarbeiter: 100 % im EU-Gebiet
  • Für Enterprise: individuelle Prüfung jedes neuen Unterauftragsverarbeiters
FAQ

Fragen zu Unterauftragsverarbeitern

Muss ich alle Unterauftragsverarbeiter akzeptieren?
Standardmäßig ja (allgemeine Genehmigung). Für Enterprise: Ihr DPA kann eine spezifische Akzeptanzklausel für jeden Unterauftragsverarbeiter enthalten. Wenn Sie einen neuen Unterauftragsverarbeiter nicht akzeptieren: Sie haben Widerspruchsrecht und, falls wir keine Alternative anbieten, das Recht, den Vertrag ohne Strafe zu kündigen.
Wie benachrichtigen Sie mich über Änderungen?
Per E-Mail an die im Vertrag eingetragene Adresse von DPO/CISO/technischem Kontakt. Wenn Sie uns keinen Kontakt mitgeteilt haben: an den Hauptadministrator des Tenants. Benachrichtigung 30 Tage vor der Änderung, mit Beschreibung des neuen Unterauftragsverarbeiters, Standort, Zweck und unterzeichnetem Vertrag.
Kann ich einen Art. 28-Vertrag mit bestimmten Unterauftragsverarbeitern anfordern?
Nicht direkt. Den Art. 28-Vertrag schließt Itrion mit den Unterauftragsverarbeitern in Ihrem Namen ab. Aber Sie haben das Recht, die unterzeichneten Verträge einzusehen (Klausel zum dokumentarischen Audit). Unter NDA können wir Kopien zur juristischen Prüfung weitergeben.
Und wenn ich einen Unterauftragsverarbeiter wünsche, der nicht in der Liste steht?
Für Enterprise-Fälle: Wir können einen bestimmten Unterauftragsverarbeiter integrieren, wenn Ihre Organisation dies verlangt (BYOK mit Ihrem KMS, Ihr On-Premise-Rechenzentrum, Integration mit Ihrem LDAP/SSO). Kosten und Frist je Fall. Kontakt unter enterprise@itamite.com.

Benachrichtigungen abonnieren

Erhalten Sie automatisch eine E-Mail, wenn wir Unterauftragsverarbeiter hinzufügen, ändern oder entfernen. DSGVO-Konformität garantiert.

Preise ansehen Abonnieren