Unterauftragsverarbeiter / Subunternehmer
MOKATI Fotos und Film OHG · Marke AINOVORA · Stand: Juli 2026
Anlage zur Vereinbarung zur Auftragsverarbeitung (AVV). Diese Liste wird bei wesentlichen Änderungen aktualisiert; Kunden werden über Änderungen mit angemessenem Vorlauf informiert.
1. Supabase
Zweck: Datenbank, Authentifizierung, Secrets-Verwaltung (Vault), Backend und Storage für Visibility OS
Daten: Workspace-Daten, Nutzerkonten, Anfragen, CRM-Daten, Tokens, technische Daten
Region: Frankfurt (AWS eu-central-1)
Rolle: Unterauftragsverarbeiter
2. Google Gemini (2.5 Flash)
Zweck: KI-gestützte Verarbeitung mit hohem Volumen: Kontextaufbereitung, erste Themen- und Content-Vorschläge
Daten: vorab minimierte / bereinigte Prompts, Unternehmens- und Contentdaten aus dem Assembler
Region: je nach Google-Konfiguration
Garantien: Standardvertragsklauseln (EU-SCC)
Rolle: Unterauftragsverarbeiter
3. Anthropic (Claude)
Zweck: KI-gestützte Qualitätsprüfung, tiefergehende Analyse und finale Vorschläge
Daten: vorab minimierte / bereinigte Prompts, Unternehmens- und Contentdaten aus dem Assembler
Region: je nach Anthropic-Konfiguration
Garantien: Standardvertragsklauseln (EU-SCC)
Rolle: Unterauftragsverarbeiter
4. Google (Search Console, Business Profile)
Zweck: Abruf von Suchleistungs- und Unternehmensprofildaten für den Workspace des Kunden (nur bei verbundenem Konto)
Daten: Google-Kontodaten, Suchdaten, Unternehmensprofildaten, OAuth-Metadaten
Region: global, gemäß Google-Datenschutzgarantien
Garantien: EU-SCC / Data Privacy Framework
Rolle: eigenständiger Anbieter und / oder Unterauftragsverarbeiter je nach Dienst
5. Meta / Instagram
Zweck: Instagram-Verbindung, Anzeige und Analyse verbundener Profil- / Mediendaten (nur bei verbundenem Konto)
Daten: Instagram-Accountdaten, Medienmetadaten, Tokens
Region: global, gemäß Meta-Datenschutzgarantien
Garantien: EU-SCC / Data Privacy Framework
Rolle: eigenständiger Anbieter und / oder Unterauftragsverarbeiter je nach Dienst
6. Firecrawl
Zweck: Tiefer Scan öffentlicher Websiteinhalte im Rahmen des Potential-Scans und der Kontextaktualisierung
Daten: öffentliche Website-URLs und öffentliche Websiteinhalte
Region: je nach Anbieter
Rolle: Dienstleister
7. GitHub
Zweck: Code-Hosting, Versionsverwaltung, Deployment-Workflows
Daten: Code, technische Projektinformationen; keine produktiven Kundendaten
Region: global
Garantien: EU-SCC / Data Privacy Framework
Rolle: Dienstleister
8. Cloudflare Pages
Zweck: Frontend-Hosting für www.ainovora.de und app.ainovora.de (Visibility OS), CDN, DNS, Security, Proxy-Infrastruktur
Daten: IP-Adressen, technische Logdaten, Websiteaufrufe, API-Traffic-Metadaten
Region: Global. Anfragen werden im nächstgelegenen Cloudflare-Rechenzentrum verarbeitet, das außerhalb der EU liegen kann. Data Localization Suite ist nicht aktiviert.
Garantien: Data Processing Addendum (DPA) gemäß Art. 28 DSGVO, zertifiziert nach EU Cloud Code of Conduct, Standardvertragsklauseln (SCCs) abgeschlossen.
Rolle: Unterauftragsverarbeiter
9. All-Inkl / KasServer
Zweck: SMTP-Mailversand für ausgehende System-E-Mails (Authentifizierung, Workspace-Notifications, Anfrage-Benachrichtigungen)
Daten: E-Mail-Adressen von Workspace-Ownern, Nutzer-Benachrichtigungsdaten
Region: Deutschland / EU
Konfiguration: SMTP via kasserver.com, Port 465 (TLS), Absender: noreply@ainovora.de
Rolle: Unterauftragsverarbeiter
10. Steuerberatung / Buchhaltung
Zweck: Buchhaltung und steuerliche Pflichten
Daten: ausschließlich Rechnungs- und Vertragsdaten ohne Kundendaten der Auftraggeber
Region: Deutschland / EU
Rolle: eigenständiger Verantwortlicher
Ausdrücklich nicht enthalten
- OpenAI / ChatGPT — keine Verarbeitung von Kundendaten. ChatGPT Business wird nur intern für Projektplanung ohne Kundendaten genutzt und ist kein Bestandteil von Visibility OS.
- Netlify — nicht im Einsatz.
- Lovable Cloud — nicht im Einsatz.
