Subprozessoren
Stand: Juni 2026
Diese Seite listet die Unter-Auftragsverarbeiter, die sitepit zur Bereitstellung der Software heranzieht (Art. 28 Abs. 4 DSGVO). Die Liste ist Bestandteil der Auftragsverarbeitungsvereinbarung (AVV) mit unseren Kunden. Änderungen werden mindestens 14 Tage vor Inkrafttreten über diese Seite und per E-Mail an aktive Kunden kommuniziert.
Zusätzlich nennen wir ausgewählte funktionsabhängige Dienste aus Transparenzgründen. Je nach technischer Einbindung können einzelne Dienste eher Datenquelle oder eigenständiger Empfänger als klassischer Unter-Auftragsverarbeiter sein.
Kern-Infrastruktur (immer aktiv)
Supabase Inc.
- Zweck: Datenbank (Postgres), Storage, Authentifizierung, Edge Functions (u. a. Verarbeitung des Kontaktformulars der Landing Page)
- Standort der Verarbeitung: EU (Frankfurt, eu-central-1)
- Sitz: San Francisco, USA
- DPA: Supabase Data Processing Addendum
- SCC: Ja, für Verwaltungszugriffe; Daten selbst bleiben in der EU
Cloudflare Germany GmbH / Cloudflare, Inc.
- Zweck: CDN, Pages-Hosting (Web + Landing), DNS, Turnstile (Bot-/Spam-Schutz), Cloudflare Web Analytics sofern aktiviert
- Standort: Globales CDN, Edge-Standorte in DE/EU bevorzugt
- Sitz: Deutschland / USA
- DPA: Cloudflare DPA
- SCC: Ja
Hetzner Online GmbH
- Zweck: VPS-Hosting für PowerSync-Sync-Server, PDF-Worker, Backup-Worker und Ghost-CMS
- Standort: Deutschland (Falkenstein, Nürnberg)
- AVV: Standard-AVV nach Art. 28 DSGVO
- Drittland: Nein
Sentry (Functional Software, Inc.)
- Zweck: Fehler- und Stabilitäts-Monitoring der Web- und Mobil-Anwendung
- Standort der Verarbeitung: EU-Region (Frankfurt,
ingest.de.sentry.io) - Sitz: USA
- Konfiguration: In der Web-Anwendung ist die standardmäßige PII-Übermittlung deaktiviert und ausgewählte Felder werden clientseitig bereinigt. Die mobile Anwendung kann zur Fehlerzuordnung Nutzer- und Mandantenkennungen, Rolle, optional die E-Mail-Adresse sowie technischen Diagnosekontext übermitteln.
- DPA: Sentry DPA
- SCC: Ja
Kommunikation und optionale Funktionsdienste
Die folgenden Dienste werden nur genutzt, wenn die jeweilige Funktion verwendet wird, zum Beispiel Mitarbeiter-Einladung per SMS, E-Mail-Eingang in den DokuCenter-Posteingang, Kartenansicht, Geocoding oder Wetterdaten.
Twilio Inc.
- Zweck: Versand von SMS-Einladungen an mobile Mitarbeiter
- Übermittelte Daten: Telefonnummer und Einladungstext
- Sitz: USA
- DPA: Twilio DPA
- SCC: Ja
Mailgun Technologies, Inc. (Sinch)
- Zweck: Empfang eingehender E-Mails für den DokuCenter-Posteingang (Webhook)
- Übermittelte Daten: Absender, Betreff, Inhalt und Anhänge eingehender E-Mails
- Sitz: USA (EU-Region verfügbar)
- DPA: Mailgun DPA
- SCC: Ja
SMTP-Provider (kundenkonfiguriert)
- Zweck: Versand ausgehender Transaktions-E-Mails (Einladungen, Benachrichtigungen, Inbox-Digest, Backup-Versand)
- Anbieter: Je nach Konfiguration des Betreibers; es werden die hinterlegten SMTP-Zugangsdaten verwendet. Es ist kein fester Drittanbieter, zum Beispiel Resend, vorgegeben.
OpenStreetMap Foundation (Nominatim und Kartenkacheln)
- Zweck: Geocoding von Projekt-/Baustellenadressen und des Wetter-Standorts sowie Anzeige von Kartenkacheln (Leaflet)
- Übermittelte Daten: Adress-/Ortssuchanfragen, Kartenausschnitt sowie die IP-Adresse des abrufenden Geräts
- Sitz: Vereinigtes Königreich / EU
- Einordnung: funktionsabhängiger externer Karten- und Geocoding-Dienst; nicht in jedem Fall klassische Auftragsverarbeitung
- Hinweis: OSMF Privacy Policy
Deutscher Wetterdienst (DWD) via Bright Sky
- Zweck: Wetterdaten (Vorhersage und Beobachtung) für Baustellen / Bautagebuch
- Übermittelte Daten: Koordinaten bzw. Ortsangabe der Baustelle und Datum sowie technische Abrufdaten; keine weiteren personenbezogenen Daten
- Datenquelle: Deutscher Wetterdienst (DWD), Bundesbehörde, Offenbach (Open Data)
- Technischer Abruf: Bright Sky (quelloffene Open-Data-Wetter-API,
api.brightsky.dev), gehostet bei Hetzner in Deutschland (Falkenstein) - Drittland: Nein
Optionale KI-Verarbeitung
Die KI-Dokumentenklassifizierung ist eine optionale Funktion. Der damit verbundene Drittlandtransfer in die USA muss vom Admin beim Onboarding ausdrücklich bestätigt werden. Die Funktion kann jederzeit deaktiviert werden (Einstellungen → Datenschutz & KI).
Google LLC (Gemini API)
- Zweck: KI-Klassifikation und Volltext-Extraktion hochgeladener Dokumente
- Standort: USA
- DPA: Google Cloud DPA
- SCC: Ja (SCC 2021/914)
- DPF: Ja
- Training auf Kundendaten: Ausgeschlossen laut Vertrag
Änderungen an dieser Liste
Aktive Kunden werden über neue Subprozessoren mindestens 14 Tage vorab per E-Mail informiert. Ein Widerspruchsrecht ist Teil der AVV. Änderungen werden auf dieser Seite mit Datum dokumentiert.
Anfragen
Fragen zur Datenverarbeitung: [email protected]