16. Grundsatz der Auftragsverarbeitung
SunCurb setzt technische Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter). Mit jedem Auftragsverarbeiter wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen, der sicherstellt, dass Daten ausschließlich nach unseren Weisungen und den Vorgaben der DSGVO verarbeitet werden.
Soweit Auftragsverarbeiter ihren Sitz außerhalb des Europäischen Wirtschaftsraums haben oder Daten in Drittländer übermitteln, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 46 DSGVO, insbesondere der Standardvertragsklauseln der Europäischen Kommission (SCC), oder eines Angemessenheitsbeschlusses wie des EU-US Data Privacy Framework (DPF). Die verwendete Schriftart wird lokal von unseren eigenen Servern ausgeliefert, es findet keine Verbindung zu externen Schriftarten-Anbietern statt, insbesondere nicht zu Google Fonts.
17. Hosting und Datenbankbetrieb: Supabase
Anbieter: Supabase, Inc., 970 Tresser Boulevard, Stamford, Connecticut 06901, USA. Funktion: Backend-Hosting, PostgreSQL-Datenbank, Authentifizierung, Dateispeicher. Verarbeitet werden sämtliche auf der Plattform gespeicherten personenbezogenen Daten. Die Datenspeicherung erfolgt nach Möglichkeit auf EU-Servern (AWS eu-central-1, Frankfurt).
Drittlandtransfer: Supabase ist ein US-Unternehmen. Für die Übermittlung gelten die Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
18. Frontend-Hosting: Vercel
Anbieter: Vercel Inc., 340 Pine Street, Suite 900, San Francisco, California 94104, USA. Funktion: Bereitstellung der Web-Applikation (Frontend-Hosting, CDN, Serverless Functions). Verarbeitet werden technische Verbindungsdaten wie IP-Adresse, Browser und aufgerufene URLs.
Drittlandtransfer: Vercel ist ein US-Unternehmen. Für die Übermittlung gelten die Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
19. Zahlungsabwicklung: Stripe
Anbieter: Stripe Technology Europe Limited, 1 Grand Canal Street Lower, Dublin D02 H210, Irland (Muttergesellschaft: Stripe, Inc., San Francisco, USA). Funktion: Abwicklung von Zahlungen und Auszahlungen an Gastgeber über Stripe Connect. Vollständige Karteninhaberdaten werden ausschließlich von Stripe verarbeitet, SunCurb erhält und speichert diese nicht. Stripe ist PCI-DSS Level 1 zertifiziert.
Drittlandtransfer: Stripe Technology Europe Limited ist in der EU ansässig. Für die US-Muttergesellschaft gelten das EU-US Data Privacy Framework nach Art. 45 DSGVO sowie ergänzend die Standardvertragsklauseln.
20. Kartendarstellung: Google Maps
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, Mountain View, USA). Funktion: interaktive Kartenansicht, Standortsuche, Geocoding. Google Maps wird erst nach Ihrer ausdrücklichen, aktiven Zustimmung geladen. Erst dann wird eine Verbindung zu Google hergestellt, wobei unter anderem Ihre IP-Adresse übermittelt werden kann. Ohne Zustimmung wird keine Verbindung aufgebaut. Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie können die Zustimmung jederzeit über den Schalter "Google Maps aktiviert" in den Kontoeinstellungen mit Wirkung für die Zukunft widerrufen.
Drittlandtransfer: Google Ireland Limited ist in der EU ansässig. Für die US-Muttergesellschaft gelten das EU-US Data Privacy Framework nach Art. 45 DSGVO sowie ergänzend die Standardvertragsklauseln.
21. E-Mail-Versand: Resend
Anbieter: WorkOS Inc. (Resend), 460 Bryant Street, Suite 100, San Francisco, CA 94107, USA. Funktion: Versand transaktionaler E-Mails wie Registrierungs- und Buchungsbestätigung, Passwort-Reset und Sicherheitshinweise. Verarbeitet werden E-Mail-Adresse, Name, Versandzeitpunkt und Zustellstatus.
Drittlandtransfer: Resend ist ein US-Unternehmen. Für die Übermittlung gelten die Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
22. Plattformanalyse: PostHog EU
Anbieter: PostHog, Inc., San Francisco, USA, betrieben über die EU-Instanz mit Datenspeicherung auf EU-Servern. Funktion: Analyse der Plattformnutzung. Verarbeitet werden pseudonymisierte Nutzungsdaten, keine Klarnamen und keine E-Mail-Adressen. PostHog wird ausschließlich nach Einwilligung über den Cookie-Banner (CCM19) aktiviert. Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Drittlandtransfer: Die Speicherung erfolgt auf EU-Servern. Da PostHog ein US-Unternehmen ist, gelten ergänzend die Standardvertragsklauseln.
23. Cookie-Consent-Management: CCM19
Anbieter: Papoo Software & Media GmbH, Auguststraße 4, 53229 Bonn, Deutschland. Funktion: Einholung und Dokumentation von Einwilligungen für Cookies und Tracking. Verarbeitet werden der Einwilligungsstatus, der Zeitstempel und eine technische Browser-Kennung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
Drittlandtransfer: keiner, CCM19 ist ein deutsches Unternehmen mit Datenspeicherung in Deutschland.
24. KI-Chatbot: Anthropic
Anbieter: Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, California 94104-5401, USA. Funktion: Verarbeitung von Nutzereingaben im KI-gestützten Chatbot. Verarbeitet werden die Texteingaben im Chat. SunCurb übermittelt keinen Klarnamen, keine E-Mail-Adresse und keine sonstigen Kontoidentifikatoren an Anthropic. Bitte geben Sie im Chatbot keine Zahlungsdaten, Passwörter oder besonderen Kategorien personenbezogener Daten ein.
Drittlandtransfer: Anthropic ist ein US-Unternehmen ohne EU-US Data Privacy Framework-Zertifikat (Stand 2026). Die Übermittlung erfolgt auf Basis der Standardvertragsklauseln in Verbindung mit ergänzenden technischen und organisatorischen Schutzmaßnahmen.
25. Übersicht Drittlandtransfers
Mechanismus je Dienst:
- Supabase (USA): Standardvertragsklauseln
- Vercel (USA): Standardvertragsklauseln
- Stripe (EU-Einheit, US-Mutter): Standardvertragsklauseln und Data Privacy Framework
- Google Maps (EU-Einheit, US-Mutter): Standardvertragsklauseln und Data Privacy Framework
- Resend (USA): Standardvertragsklauseln
- PostHog EU (US-Unternehmen, EU-Hosting): Standardvertragsklauseln
- CCM19 (Deutschland): kein Transfer
- Anthropic (USA): Standardvertragsklauseln
Kopien der Standardvertragsklauseln können beim Datenschutzkontakt angefordert werden. Diese Aufstellung bildet die zum Zeitpunkt der Veröffentlichung tatsächlich eingesetzten Dienste ab und wird bei Änderungen aktualisiert.