Unterauftragsverarbeiter
Stand: 30. Mai 2026 · Letzte Änderung: 30.05.2026
Diese Seite listet sämtliche von der Steinbui UG (haftungsbeschränkt) („KMUPIM“) eingesetzten Unterauftragsverarbeiter im Sinne von Art. 28 Abs. 4 DSGVO. Sie ist die jeweils aktuelle Fassung der Anlage 2 zum Auftragsverarbeitungsvertrag (AVV) und damit für alle Bestandskunden verbindlich.
Mit jedem der nachstehend genannten Unternehmen besteht ein Vertrag nach Art. 28 DSGVO. Sämtliche Übermittlungen in Drittländer erfolgen ausschließlich auf Grundlage geeigneter Garantien (Angemessenheitsbeschluss oder Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO).
Änderungs-Benachrichtigung (§ 7.1 AVV)
KMUPIM unterrichtet alle Kunden mindestens 30 Tage vor Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters. Kunden können einer Änderung innerhalb von 14 Tagen nach Mitteilung aus wichtigem datenschutzrechtlichem Grund widersprechen (Details siehe AVV § 7).
Wenn Sie per E-Mail benachrichtigt werden möchten, sobald sich diese Liste ändert, senden Sie uns eine kurze Nachricht an info@kmupim.com mit dem Betreff „Subprocessors-Notification abonnieren“.
Aktuelle Unterauftragsverarbeiter
| Anbieter | Funktion | Datenkategorien | Verarbeitungsort | Drittland | Garantien / DPA |
|---|---|---|---|---|---|
|
Contabo GmbH Aschauer Straße 32a 81549 München, Deutschland Datenschutz |
VPS-Hosting (Backend, Frontend, Landingpage, PostgreSQL) | Alle in der Plattform verarbeiteten Daten | Deutschland (DE-Rechenzentrum) | nein | AVV nach Art. 28 DSGVO |
|
Contabo GmbH – Object Storage Region EU2, Nürnberg Datenschutz |
S3-kompatibler Objektspeicher für Asset-Dateien | Mediendateien (Bilder, Videos, Logos, Avatare) und ggf. enthaltene Metadaten | Deutschland (Nürnberg, EU2) | nein | AVV nach Art. 28 DSGVO |
|
BunnyWay d.o.o. (Bunny.net) Cesta komandanta Staneta 4A 4000 Kranj, Slowenien Datenschutz · DPA |
Content Delivery Network, DDoS-Schutz, Edge-Caching statischer Assets | IP-Adresse, User-Agent, URL, Zeitstempel | EU (Edge-Standorte priorisiert) | nein | AVV nach Art. 28 DSGVO |
|
Lettermint B.V. Niederlande Datenschutz · DPA |
Transaktionale E-Mails (Bestätigung, Passwort-Reset, Sicherheits- und System-Benachrichtigungen) | E-Mail-Adresse, Name, Inhalt der E-Mail | Niederlande | nein | AVV nach Art. 28 DSGVO |
|
Mollie B.V. Keizersgracht 126 1015 CW Amsterdam, Niederlande Datenschutz · DPA |
Abwicklung der Zahlungen für kostenpflichtige Abonnements | Name, E-Mail, Rechnungsadresse, Zahlungs-Metadaten (Betrag, Status, Zahlungs-ID). Keine Karten-/IBAN-Daten bei KMUPIM gespeichert. | Niederlande | nein | AVV nach Art. 28 DSGVO |
Konzern- und Hilfsdienstleister
KMUPIM selbst ist eine UG nach deutschem Recht ohne Konzernverbindungen; eine Datenweitergabe an verbundene Unternehmen findet nicht statt.
Reine Hilfsdienstleister, die im normalen Geschäftsbetrieb keine personenbezogenen Kunden- oder Endnutzerdaten erhalten (z. B. Steuerberatung, Buchhaltungssoftware, Domain-Registrar), werden nicht als Unterauftragsverarbeiter geführt, sofern sie nicht systematisch Zugriff auf Kundendaten haben.
Empfänger, die keine Unterauftragsverarbeiter sind
Folgende Empfänger werden im Rahmen der Plattform-Nutzung vom Kunden selbst angesteuert oder agieren als eigenverantwortliche Stellen. Sie sind keine Unterauftragsverarbeiter von KMUPIM; die rechtliche Beziehung besteht direkt zwischen dem Kunden und dem jeweiligen Anbieter.
| Anbieter | Auslöser | Datenkategorien | Status |
|---|---|---|---|
| Shopify International Ltd. / Shopify Inc. | Kunde verbindet eigenen Shopify-Shop und löst Sync aus | Produkt-, Bestands-, Medien- und Konfigurationsdaten | Eigenverantwortliche Stelle (Kunde = Shop-Inhaber) |
| Mistral AI SAS (Paris, FR) | Kunde aktiviert KI-Funktion mit eigenem API-Schlüssel (BYOK) | Vom Kunden für die KI-Anfrage übergebener Text/Inhalt | Eigenverantwortliche Stelle |
| OpenRouter, Inc. (USA) | BYOK-KI durch Kunden aktiviert | Vom Kunden für die KI-Anfrage übergebener Inhalt | Eigenverantwortliche Stelle |
| Runware AI, Inc. | BYOK-Bildgenerierung durch Kunden aktiviert | Vom Kunden eingegebene Prompts und Bezugsbilder | Eigenverantwortliche Stelle |
Da der Kunde bei BYOK-Funktionen den Anbieter und den API-Schlüssel selbst stellt, ist die Verarbeitung beim jeweiligen Anbieter durch den Kunden veranlasst; es gelten die Datenschutz- und Vertragsbedingungen des direkten Verhältnisses zwischen Kunde und Anbieter.
Änderungs-Historie
| Datum | Änderung |
|---|---|
| 30.05.2026 | E-Mail-Versand umgestellt: Resend, Inc. (USA) entfernt, Lettermint B.V. (Niederlande) hinzugefügt. Damit entfällt für transaktionale E-Mails jede Drittlandsübermittlung. |
| 26.05.2026 | Erste Veröffentlichung der Subprocessors-Seite. Initial-Bestand: Contabo (Hosting + Object Storage), Bunny.net (CDN), Resend (E-Mail), Mollie (Payments). |
Kontakt
Fragen zur Liste, zu eingesetzten Garantien oder zum AVV: info@kmupim.com.