LOTS

Unter-Auftragsverarbeiter

Anlage 1 zum Auftragsverarbeitungsvertrag · Stand: Mai 2026

Folgende Unter-Auftragsverarbeiter werden von LILAPIXEL · Birgit Soring zur Bereitstellung von LOTS eingesetzt:

1. Google Cloud / Firebase

Unternehmen: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Mutterkonzern: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Leistung:

  • Firebase Authentication (Login-Identität)
  • Firestore-Datenbank (Speicherung aller Anwendungsdaten)
  • Firebase Hosting (Auslieferung der Frontend-Dateien)

Datenspeicherort: EU (europe-west3 — Frankfurt am Main)
Drittland-Transfer: technisch möglich (Support, Operations) auf Basis EU-US Data Privacy Framework + Standardvertragsklauseln
Vertragsgrundlage: Google Cloud Data Processing Addendum

2. Cloudflare

Unternehmen: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA
EU-Niederlassung: Cloudflare Germany GmbH, Rosental 7, 80331 München

Leistung:

  • Cloudflare Workers (Backend-API, MCP-Server, Sentry-Tunnel, Rate-Limiting)
  • Cloudflare KV (Rate-Limit-Counter)
  • Cloudflare CDN (TLS-Terminierung, DDoS-Schutz)

Datenspeicherort: EU (Workers konfiguriert auf Region: Earth EU — Verarbeitung und Speicherung ausschließlich innerhalb der EU)
Drittland-Transfer: Für Verwaltungszugriffe durch Cloudflare Inc. (USA): EU-US Data Privacy Framework + Standardvertragsklauseln
Vertragsgrundlage: Cloudflare Data Processing Addendum

3. Resend — E-Mail-Versand

Unternehmen: Resend, Inc., 2261 Market St. #4456, San Francisco, CA 94114, USA

Leistung: Versand von Einladungs-E-Mails an neue Organisationsmitglieder

Übermittelte Daten: E-Mail-Adresse des Empfängers, Organisationsname, Absendername, einmaliger Einladungs-Token (14 Tage gültig)

Datenspeicherort: USA
Drittland-Transfer: Standardvertragsklauseln (SCC)
Vertragsgrundlage: Resend Data Processing Agreement

4. Sentry — Fehlerüberwachung

Unternehmen: Functional Software, Inc. dba Sentry, 45 Fremont St., San Francisco, CA 94105, USA

Leistung: Frontend- und Worker-Fehlerprotokollierung

Übermittelte Daten: Stack-Traces, User-Agent, Browser-Kontext. PII-Scrubbing aktiv — E-Mail-Adressen, Tokens und Beschreibungstexte werden vor Übermittlung automatisch maskiert. Es wird ausschließlich technischer Fehlerkontext sowie, sofern eingeloggt, die interne Firebase-UID übertragen.

Routing: Events gehen über einen eigenen Cloudflare Worker-Tunnel, nicht direkt an sentry.io.

Datenspeicherort: EU (Irland) — EU-Data-Residency in Sentry ausgewählt
Drittland-Transfer: Für Verwaltungszugriffe durch Sentry Inc. (USA): Standardvertragsklauseln (SCC)
Vertragsgrundlage: Sentry Data Processing Agreement

5. Lemon Squeezy — Abonnement-Abrechnung

Unternehmen: Lemon Squeezy LLC, 2093 Philadelphia Pike #1443, Claymont, DE 19703, USA
EU-Niederlassung: Lemon Squeezy Europe Ltd., Europarc, Lakeshore Dr, Mönchengladbach, Deutschland

Leistung: Merchant of Record für Abonnement-Abrechnung (Zahlungsabwicklung, Rechnungsstellung, Steuerberechnung)

Übermittelte Daten: Rechnungsadresse, E-Mail-Adresse, Abonnementstatus. Zahlungsdaten (Kreditkarte) werden ausschließlich von Lemon Squeezy verarbeitet, nicht von LOTS.

Datenspeicherort: USA
Drittland-Transfer: Standardvertragsklauseln (SCC)
Vertragsgrundlage: Lemon Squeezy Data Processing Agreement

Änderungsverfahren

Änderungen an dieser Liste werden über die im Account hinterlegte E-Mail-Adresse mitgeteilt. Widerspruchsfrist: 14 Kalendertage ab Zugang der Mitteilung. Bei Widerspruch besteht das Recht zur außerordentlichen Kündigung gemäß AVV § 6.