Auftragsverarbeiter
Version 1.1.0 — Stand 25. April 2026
Diese Liste benennt alle Auftragsverarbeiter (Art. 28 DSGVO), an die Kikidori personenbezogene Daten übermittelt oder bei denen Kikidori-Daten gespeichert werden.
Kurzfassung: Single-Vendor-Stack. Sämtliche Verarbeitung erfolgt bei netcup GmbH (Karlsruhe, DE). Es findet keine Übermittlung in Drittländer statt. Glitchtip wird selbst gehostet und ist kein eigener Auftragsverarbeiter.
1. Aktive Auftragsverarbeiter
1.1 netcup GmbH — VPS-Hosting
| Anbieter | netcup GmbH |
|---|---|
| Sitz | Daimlerstraße 25, 76185 Karlsruhe, Deutschland |
| Zweck | VPS-Hosting (Compute, Storage, Network) für die gesamte Kikidori-Anwendung |
| Datenkategorien | sämtliche in der Datenschutzerklärung (Abschnitt 2) aufgelisteten Kategorien |
| AVV | Standard-AVV netcup gemäß Art. 28 DSGVO |
| Drittland | nein (EU/DE) |
| Unterauftragsverarbeiter | netcup-eigene Infrastruktur; keine weiteren Auftragsverarbeiter |
| Schutzmaßnahmen | ISO 27001 zertifiziert, Tier-3-Rechenzentrum, physische Zugangskontrolle |
| Website | https://www.netcup.de |
| Aufnahme | seit 2026-04 (Produktionsstart) |
1.2 netcup GmbH — Transaktionale E-Mail (SMTP)
| Anbieter | netcup GmbH (gleiche Rechtseinheit wie 1.1) |
|---|---|
| Sitz | Daimlerstraße 25, 76185 Karlsruhe, Deutschland |
| Zweck | Versand transaktionaler E-Mails (Bestätigungen, Passwort-Reset, Benachrichtigungen) |
| Datenkategorien | E-Mail-Adresse, Betreff, Nachrichteninhalt |
| AVV | inklusive Hosting-AVV (1.1) |
| Drittland | nein (EU/DE) |
| Unterauftragsverarbeiter | keine |
| Schutzmaßnahmen | TLS-Übertragung; SPF/DKIM für Auth-Mails konfiguriert |
| Aufnahme | seit 2026-04 |
1.3 netcup GmbH — Domain-Registrar + DNS
| Anbieter | netcup GmbH (gleiche Rechtseinheit wie 1.1) |
|---|---|
| Sitz | Daimlerstraße 25, 76185 Karlsruhe, Deutschland |
| Zweck | Domain-Registrierung und autoritatives DNS für kikidori.com und kikidori.de |
| Datenkategorien | technische DNS-Records; Domain-Inhaberdaten gemäß ICANN/Denic-Anforderungen |
| AVV | inklusive Hosting-AVV (1.1) |
| Drittland | nein (EU/DE) |
| Unterauftragsverarbeiter | ICANN/Denic-zentralisierte Registry-Funktionen sind regulatorisch erforderlich, keine eigenständigen Auftragsverarbeitungen |
| Aufnahme | seit 2026-04 |
2. Selbst-betriebene Komponenten (keine Auftragsverarbeiter)
2.1 Glitchtip — Error-Tracking
Glitchtip läuft als selbst gehostete Instanz auf der netcup-Infrastruktur (1.1). Keine Datenübermittlung an Dritte. Kein eigener Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Daten bleiben innerhalb des netcup-AVV-Schirms.
2.2 Selbst gehosteter Supabase-Stack
Der gesamte Supabase-Stack (Postgres, GoTrue, PostgREST, Storage, Realtime, Studio, Kong) läuft auf netcup. Es werden keine Cloud-Dienste wie Supabase Cloud, AWS, GCP, Azure, Vercel oder Cloudflare-Workers genutzt.
3. Nicht eingesetzt
Wir setzen bewusst keine der folgenden Dienstleister-Kategorien ein:
- Werbe-Netzwerke / Behavioral-Advertising-Plattformen
- Third-Party-Analytics-SDKs (Google Analytics, Mixpanel, Amplitude o.Ä.)
- Social-Media-Pixel (Facebook, TikTok, LinkedIn)
- Externe Schriftarten-CDNs (Google Fonts o.Ä.)
- Externe Chatbots oder KI-Dienste mit Drittland-Transfer
4. Geplant / In Vorbereitung
4.1 Premium-Payment-Provider — noch offen
Mit dem Premium-Launch wird ein Payment-Provider integriert. Optionen aktuell unter Bewertung:
- Stripe (USA, SCC erforderlich, Drittland-Bezug)
- Paddle (UK/IE, Reseller-Modell)
- Mollie (Niederlande, EU-only)
- SEPA-Direkt-Mandat (national, kein zusätzlicher Auftragsverarbeiter)
Vor Aufnahme wird diese Liste aktualisiert, ein AVV abgeschlossen, und falls Drittland-Bezug besteht, eine Transfer-Risk-Bewertung (TIA) durchgeführt. Die Datenschutzerklärung wird mit einer Vorlaufzeit von 14 Tagen angepasst.
5. Änderungs-Workflow
Bei Aufnahme oder Änderung eines Auftragsverarbeiters:
- Mindestens 14 Tage vor Inkrafttreten informieren wir registrierte Bezugspersonen per E-Mail.
- Bezugspersonen können der Änderung widersprechen, indem sie das Konto vor dem Wirksamkeitsdatum löschen.
- Update dieses Dokuments mit Versions-Bump (semver).
- Update der Datenschutzerklärung (Abschnitt 6.2) mit gleichem Versions-Bump.
6. Historie
| Version | Datum | Änderung |
|---|---|---|
| 1.0.0 | 2026-04-16 | Erstanlage; netcup als Hosting-Provider, einzelne Bereiche als „in Prüfung" markiert |
| 1.1.0 | 2026-04-25 | Vollständige Single-Vendor-Konsolidierung dokumentiert: netcup für Hosting + SMTP + DNS; Glitchtip als selbst gehostet vermerkt; Premium-Payment-Provider-Optionen aufgelistet |
7. Kontakt
Fragen zu dieser Liste: datenschutz@kikidori.com