Anlage 1 – Genehmigte Unterauftragsverarbeiter
zur Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen dem Auftraggeber und der Lambus GmbH
Stand: 12.02.2026
1. Bereits bei Vertragsbeginn eingesetzte Unterauftragsverarbeiter
Der Auftraggeber erteilt hiermit die Genehmigung zur Inanspruchnahme der nachfolgend aufgeführten Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO:
| Dienstleister | Sitz | Leistung | Art der Verarbeitung | Drittlandbezug |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL / Amazon Web Services, Inc. | Luxemburg / USA | Cloud-Infrastruktur, Dokumentenspeicherung, E-Mail-Empfang | Hosting, Speicherung, Verarbeitung von Reisedaten | Möglich |
| Supabase, Inc. | Singapur | Datenbank-Infrastruktur | Speicherung strukturierter personenbezogener Daten | Möglich |
| Fly.io, Inc. | USA | Hosting der Anwendungsumgebung | Betrieb der Serverinfrastruktur | Möglich |
| Plus Five Five, Inc. (Resend) | USA | Versand systembezogener E-Mails | Versand von Transaktionsmails | Möglich |
| Google LLC (Gemini AI über Google AI Services) | USA | KI-basierte Dokumentenanalyse | Verarbeitung von Dokumenteninhalten zur strukturierten Extraktion | Möglich |
| Braintrust Data, Inc. | USA | Logging und Monitoring von KI-Agenten | Verarbeitung technischer Nutzungs- und Logdaten | Möglich |
| Inngest, Inc. | USA | Job-Queue & Hintergrundverarbeitung | Steuerung automatisierter Prozesse | Möglich |
| BunnyWay d.o.o. (bunny.net) | Slowenien (EU) | Content Delivery Network, Bildauslieferung | Auslieferung und Skalierung von Bildinhalten | Nein |
2. Umfang der Beauftragung
Die Unterauftragsverarbeiter werden ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen eingesetzt.
Eine Verarbeitung zu eigenen Zwecken der Unterauftragsverarbeiter ist vertraglich ausgeschlossen.
3. Vertragliche Verpflichtung der Unterauftragsverarbeiter
Der Auftragnehmer stellt sicher, dass mit sämtlichen Unterauftragsverarbeitern Vereinbarungen gemäß Art. 28 Abs. 4 DSGVO abgeschlossen wurden, die mindestens den in dieser Vereinbarung festgelegten Datenschutzpflichten entsprechen.
Dies umfasst insbesondere:
- Weisungsbindung
- Vertraulichkeitsverpflichtung
- Implementierung geeigneter TOMs
- Unterstützung bei Betroffenenrechten
- Löschpflichten
- Kontrollrechte
4. Drittlandübermittlungen
Soweit Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten oder ein Zugriff aus einem Drittstaat nicht ausgeschlossen werden kann, erfolgt dies ausschließlich unter Einhaltung der Art. 44 ff. DSGVO.
Insbesondere erfolgt die Übermittlung:
- auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (z. B. EU-US Data Privacy Framework), oder
- auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.
Der Auftragnehmer dokumentiert die jeweils eingesetzten Transfermechanismen und stellt diese dem Auftraggeber auf Anfrage zur Verfügung.
5. Änderungen bei Unterauftragsverarbeitern
Der Auftragnehmer informiert den Auftraggeber frühzeitig über:
- die Hinzuziehung neuer Unterauftragsverarbeiter oder
- den Austausch bestehender Unterauftragsverarbeiter.
Der Auftraggeber kann innerhalb von 30 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichem Grund schriftlich Widerspruch einlegen.
Kann keine einvernehmliche Lösung erzielt werden, ist der Auftraggeber berechtigt, den Hauptvertrag aus wichtigem Grund zu kündigen, soweit die Auftragsverarbeitung hiervon betroffen ist.
6. Haftung
Der Auftragnehmer haftet gegenüber dem Auftraggeber gemäß Art. 28 Abs. 4 Satz 2 DSGVO für die Einhaltung der Datenschutzpflichten durch die eingesetzten Unterauftragsverarbeiter.
Lambus GmbH
Osnabrück, 18.02.2026
Dieses Dokument ist Bestandteil des Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.