Legal document · bilingual DE / EN
Sub-processors / Auftragsverarbeiter
List of third-party sub-processors that Acutic UG (haftungsbeschränkt) engages for the processing of personal data pursuant to Article 28(2) GDPR.
Maßgebliche Sprachfassung / Binding language
Maßgeblich ist die deutsche Sprachfassung. Die englische Übersetzung ist eine reine Lesehilfe; bei Auslegungsfragen geht der deutsche Wortlaut vor.
The German-language version is the binding version. The English translation is provided for reader convenience only; in the event of any divergence, the German wording prevails.
Deutsche Fassung
Verbindliche Sprachfassung. Im Zweifel maßgeblich gegenüber der englischen Übersetzung.
Gemäß Art. 28 Abs. 2 DSGVO — Stand: 23.05.2026
1. Zweck dieser Offenlegung
Nach Art. 28 Abs. 2 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) muss Acutic UG (haftungsbeschränkt) als verantwortliche Stelle für die im Auftrag ihrer Nutzer verarbeiteten personenbezogenen Daten mit jedem Auftragsverarbeiter, der personenbezogene Daten verarbeitet, einen schriftlichen Auftragsverarbeitungsvertrag (AVV / DPA) abschließen und die Identität dieser Auftragsverarbeiter gegenüber den betroffenen Personen transparent machen. Diese Seite kommt dieser Pflicht nach und ergänzt die in unserer Datenschutzerklärung (§ 5) enthaltene Auftragsverarbeiterliste.
2. Aktuelle Auftragsverarbeiter
| Auftragsverarbeiter | Dienst | Region | Transfergrundlage |
|---|---|---|---|
| Hetzner Online GmbH | Cloud-Computing, verwaltetes PostgreSQL, Objektspeicher, Netzwerk | Nürnberg, Deutschland (Region nbg1) | Innerhalb der EU. AVV gemäß Art. 28 DSGVO; kein Drittlandtransfer. |
| Microsoft Ireland Operations Ltd. — Azure OpenAI Service | Inferenz großer Sprachmodelle über die EU-Datengrenze (Region Sweden Central) | Sweden Central (EU-Datengrenze) | EU-interne Verarbeitung gemäß Microsoft Product Terms und EU-Data-Boundary-Zusage; subsidiär in den Microsoft Product Terms vorab inkorporierte SCCs. |
| Cloudflare, Inc. | DNS, Content Delivery, DDoS-Schutz, Turnstile-Bot-Schutz | Vereinigte Staaten (mit EU-Edge-Standorten) | EU-US Data Privacy Framework (Cloudflare ist DPF-zertifiziert) und subsidiär Standardvertragsklauseln (Modul 2, Durchführungsbeschluss (EU) 2021/914). |
| Resend, Inc. | Versand transaktionaler E-Mails | Vereinigte Staaten (EU-Endpunkt sofern gewählt) | EU-US Data Privacy Framework und subsidiär Standardvertragsklauseln (Modul 2). |
| Paddle.com Market Limited (+ Paddle.com Inc., US affiliate) | Abrechnung als Merchant of Record (MoR) — Zahlungen, Rechnungen, Steuerabführung | Vereinigtes Königreich und Europäische Union (mit US-Konzernteilen) | UK-Adäquanzbeschluss, EU-US Data Privacy Framework (US-Affiliate) und subsidiär Standardvertragsklauseln. |
| Google Ireland Limited (+ Google LLC, US, as onward sub-processor) | Google Identity — "Mit Google anmelden" (OAuth 2.0 / OIDC). Umfang beschränkt auf openid, email, profile. | Irland (primär) und Vereinigte Staaten (Unterauftragsverarbeiter) | Google Cloud Data Processing Addendum (automatisch inkorporiert). EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) und subsidiär Standardvertragsklauseln (Modul 2 und 3). |
3. Benachrichtigung über Änderungen
Acutic veröffentlicht Aktualisierungen dieser Liste, sobald ein neuer Auftragsverarbeiter beauftragt oder ein bestehender Auftragsverarbeiter abgelöst wird. Substanzielle Änderungen werden innerhalb angemessener Frist nach Wirksamwerden abgebildet. Wesentliche Änderungen, die personenbezogene Datenflüsse identifizierbarer Nutzer betreffen, werden, soweit der anwendbare AVV dies vorsieht, zusätzlich per E-Mail mitgeteilt.
4. Widerspruchsrecht
Soweit eine betroffene Person der Auffassung ist, dass ein neuer Auftragsverarbeiter die rechtliche Position ihrer personenbezogenen Daten wesentlich verändert, kann sie sich an privacy@acutic.io wenden und Widerspruch einlegen. Acutic prüft jeden Widerspruch nach Treu und Glauben und wird, sofern der Widerspruch begründet ist und eine Ersatzlösung in zumutbarer Weise verfügbar ist, auf eine alternative Vereinbarung hinwirken. Ist eine zumutbare Alternative nicht verfügbar, bleibt das Recht der betroffenen Person zur Vertragsbeendigung gemäß den Allgemeinen Geschäftsbedingungen unberührt.
5. Unterauftragsverarbeiter
Mehrere der oben aufgeführten Auftragsverarbeiter binden ihrerseits Unterauftragsverarbeiter ein (zum Beispiel Hardware-Lieferanten von Hetzner, Konzerngesellschaften von Microsoft innerhalb der EU-Datengrenze, Konzerngesellschaften von Cloudflare, die zugrunde liegende E-Mail-Infrastruktur von Resend, die Zahlungsnetzwerke und die Steuerbehörden-Meldungen von Paddle). Die jeweilige AVV reicht die Pflichten aus Art. 28 DSGVO an diese Unterauftragsverarbeiter durch. Die jeweils aktuelle Kette ist in den Anhängen der einzelnen AVVs beschrieben; betroffene Personen können einen Auszug per E-Mail an privacy@acutic.io anfordern.
6. Interne Dokumentation
Acutic führt ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO sowie ein gesondertes AVV-Inventar, in dem jeder Auftragsverarbeiter-Vertrag, dessen Version, Unterzeichnungsdatum und Anhangsänderungen erfasst werden. Diese internen Aufzeichnungen werden der zuständigen Aufsichtsbehörde auf Anforderung bereitgestellt (für Acutic UG: die Berliner Beauftragte für Datenschutz und Informationsfreiheit).
7. Kontakt
Fragen zu dieser Offenlegung können an privacy@acutic.io gerichtet werden. Betreiberin: Acutic UG (haftungsbeschränkt), Berlin. Vollständige Kontaktangaben enthält das Impressum.
English version
Reader convenience translation. In case of conflict, the German version above governs.
Pursuant to Article 28(2) GDPR — last reviewed 2026-05-23
1. Purpose of this disclosure
Under Article 28(2) of the General Data Protection Regulation (Regulation (EU) 2016/679), Acutic UG (haftungsbeschränkt) — as the controller for personal data processed on behalf of its users — must obtain a written Data Processing Agreement (DPA / AVV) with every sub-processor that handles personal data, and must make the identity of those sub-processors transparent to data subjects. This page provides that disclosure and complements the more detailed processor list contained in our Privacy Policy (§ 5).
2. Current sub-processors
| Sub-processor | Service | Region | Transfer basis |
|---|---|---|---|
| Hetzner Online GmbH | Cloud compute, managed PostgreSQL, object storage, network | Nuremberg, Germany (region nbg1) | Intra-EU. DPA (AVV) pursuant to Art. 28 GDPR; no third-country transfer. |
| Microsoft Ireland Operations Ltd. — Azure OpenAI Service | Large-language-model inference via the EU Data Boundary (Sweden Central region) | Sweden Central (EU Data Boundary) | Intra-EU processing under the Microsoft Product Terms and EU Data Boundary commitment; SCCs pre-incorporated on a subsidiary basis. |
| Cloudflare, Inc. | DNS, content delivery, DDoS protection, Turnstile bot mitigation | United States (with EU edge locations) | EU-US Data Privacy Framework (Cloudflare is DPF-certified) and Standard Contractual Clauses (Module 2, Implementing Decision (EU) 2021/914) on a subsidiary basis. |
| Resend, Inc. | Transactional email delivery | United States (EU endpoint where pinned) | EU-US Data Privacy Framework and Standard Contractual Clauses (Module 2) on a subsidiary basis. |
| Paddle.com Market Limited (+ Paddle.com Inc., US affiliate) | Subscription billing as Merchant of Record (MoR) — payments, invoices, tax remission | United Kingdom and European Union (with US-affiliated processing) | UK adequacy decision, EU-US Data Privacy Framework (US affiliate) and Standard Contractual Clauses on a subsidiary basis. |
| Google Ireland Limited (+ Google LLC, US, as onward sub-processor) | Google Identity — "Sign in with Google" (OAuth 2.0 / OIDC). Scope limited to openid, email, profile. | Ireland (primary) and United States (onward sub-processor) | Google Cloud Data Processing Addendum (auto-incorporated). EU-US Data Privacy Framework (Google LLC is DPF-certified) and Standard Contractual Clauses (Module 2 and 3) on a subsidiary basis. |
3. Notification of changes
Acutic will publish updates to this list when a new sub-processor is engaged or when an existing sub-processor is decommissioned. Substantive changes are reflected within a reasonable period after the change takes effect. Material changes affecting personal-data flows of identifiable users may also be communicated by email where required by the applicable DPA.
4. Right to object
Where a data subject considers that a new sub-processor materially changes the legal position of their personal data, they may contact privacy@acutic.io to raise an objection. Acutic will assess every objection in good faith and, where the objection is well-founded and a substitute processor is reasonably available, will work toward an alternative arrangement. Where no alternative is reasonably available, the data subject retains the right to terminate the contract pursuant to the General Terms (AGB).
5. Onward sub-processors
Several of the sub-processors listed above engage their own sub-processors (for example Hetzner’s hardware vendors, Microsoft’s global affiliates within the EU Data Boundary, Cloudflare’s global affiliates, Resend’s underlying email infrastructure, Paddle’s payment networks and tax-authority filings). The contractual framework in each DPA flows the GDPR Article 28 obligations down to those onward sub-processors. The current onward chain is described in the annexes of each sub-processor’s DPA; data subjects may request an extract by emailing privacy@acutic.io.
6. Internal documentation
Acutic maintains a Record of Processing Activities (Verzeichnis von Verarbeitungstätigkeiten, VVT) pursuant to Article 30 GDPR and a separate DPA inventory tracking each sub-processor contract, its version, signing date, and any annex changes. These internal records are available to the competent supervisory authority on request (for Acutic UG: the Berliner Beauftragte für Datenschutz und Informationsfreiheit).
7. Contact
Questions about this disclosure can be directed to privacy@acutic.io. Operator: Acutic UG (haftungsbeschränkt), Berlin, Germany. Full contact details are listed in the Imprint.
Document Sub-processors / Auftragsverarbeiter
Last updated 2026-05-23
Binding language DE
Bei Abweichungen zwischen der deutschen und der englischen Fassung ist ausschließlich die deutsche Fassung verbindlich. / In the event of any divergence between the German and English versions, only the German version is binding.