Subprozessoren
Die Null-Subprozessor-Basis
Abschnitt betitelt „Die Null-Subprozessor-Basis“Ein Deployment mit selbst betriebenem PostgreSQL, selbst betriebenem Objektspeicher (z. B. MinIO), selbst betriebenem SMTP, mit deaktivierten KI-Funktionen, ohne externes SSO und ohne Off-Site-Backup sendet personenbezogene Daten an keinen Dritten. Alles bleibt auf Infrastruktur, die du kontrollierst. Jeder Managed Service unten, den du aktivierst, fügt deiner Subprozessor-Liste eine Zeile hinzu.
Dienste, die ein Deployment nutzen kann
Abschnitt betitelt „Dienste, die ein Deployment nutzen kann“| Dienstkategorie | Typische Anbieter (du wählst) | Zweck | Verarbeitete personenbezogene Daten | Wie vermeiden |
|---|---|---|---|---|
| Datenbank-Hosting | Selbst betriebenes PostgreSQL, oder managed (RDS, …) | Primärer Datenspeicher (erforderlich) | Alle Konto- & Inhaltsdaten | PostgreSQL selbst betreiben |
| Objektspeicher | Selbst betriebenes MinIO, AWS S3, Cloudflare R2, … | Anhänge & hochgeladene Bilder | Datei-Inhalte + Identität des Hochladenden | MinIO selbst betreiben, oder Uploads sperren |
| E-Mail-Versand (SMTP) | Selbst betriebenes Postfix, Postmark, Amazon SES, … | Magic-Link-Login, Einladungen, Benachrichtigungen | Empfänger-E-Mail-Adresse + Nachrichteninhalt | SMTP selbst betreiben |
| Off-Site-Backup-Ziel | Beliebiger S3-Bucket / rclone-Remote | Verschlüsselte Off-Site-Backup-Kopien | age-verschlüsselter DB-Dump (Anbieter sieht Chiffrat) | BACKUP_RCLONE_REMOTE nicht setzen |
| Identity-Provider (SSO) | Okta, Entra ID, Google, Keycloak, beliebiger OIDC/SAML | Authentifizierung (optional) | E-Mail, Name, Gruppen-/Rollen-Claims | Nur Magic-Link / Passkeys nutzen |
| KI-/LLM-Anbieter (Text) | OpenAI, Anthropic, Google (Gemini), OpenRouter, oder selbst gehostet (Ollama, oder ein beliebiger OpenAI-kompatibler Custom-Endpunkt) | KI-Assistenz-/Textfunktionen (optional) | Dokumentinhalte & Prompts, die du an den Assistenten übergibst | KI deaktivieren, oder lokales Modell nutzen |
| KI-Bildgenerierung | OpenAI (Images), Replicate | KI-Bildgenerierung im Editor (optional) | Die Text-Prompts, die du zur Bildgenerierung übergibst | KI-Bildgenerierung deaktivieren (keinen Bild-Provider konfigurieren) |
| Web-Push-Dienst | Browser-Push (Apple, Google FCM, Mozilla) | Browser-Push-Benachrichtigungen (optional) | Push-Subscription-Endpunkt (kein Nachrichteninhalt) | Push-Benachrichtigungen nicht aktivieren |
| Error-Tracking | Dein konfigurierter Sentry-kompatibler Endpunkt | Fehlerdiagnose (optional) | Fehlerkontext, evtl. Nutzer-/Correlation-IDs | Error-Tracking nicht konfigurieren |
| Audit-Log-Export (SIEM) | Beliebiger HTTP-/Syslog-Sink deiner Wahl (Splunk, Datadog, Elastic, selbst betriebenes Syslog, …) | Audit-Log ins SIEM streamen (optional) | Audit-Ereignisse: Actor-ID, IP-Adresse, User-Agent, Correlation-ID, Aktion + Ressourcen-IDs (keine Dokumenttitel/-inhalte) | AUDIT_EXPORT_* nicht setzen (Default), oder lokalen/selbst betriebenen Sink nutzen |
Liste aktuell halten
Abschnitt betitelt „Liste aktuell halten“- Betrachte diese Seite als Menü; deine Anlage II ist die tatsächlich konfigurierte Teilmenge.
- Prüfe sie neu, wann immer du
SMTP_*,S3_*,BACKUP_RCLONE_REMOTE,AUDIT_EXPORT_*, SSO-Provider, KI-Einstellungen oder Push änderst — siehe Konfiguration. - Erfasse für jeden genutzten Subprozessor: juristische Einheit, Verarbeitungsort (und Transfermechanismus außerhalb des EWR) sowie Zweck. Internationaler Transfer: Ein Cloud-SIEM (z. B. Datadog/Splunk US-Region) oder jeder Sink außerhalb des EWR empfängt Audit-Metadaten — dokumentiere den Transfermechanismus (SCCs/Angemessenheitsbeschluss), bevor du
AUDIT_EXPORT_HTTP_URLaktivierst. - Informiere deine Verantwortlichen vor dem Hinzufügen oder Ersetzen eines Subprozessors, gemäß §6 der AVV-Vorlage.