Subprozessoren — easytect UG / DokuParse
Stand: 2026-06-16 | Doku-Version: v1.5-2026-06-16
Änderung ggü. v1.4: Azure AI Document Intelligence (OCR-Backend des MarkItDown-Parsers) als Microsoft-Azure-Sub-Service nachgetragen (zuvor faktisch im Einsatz, aber nicht gelistet — s. Hinweis unter Abschnitt 1). Reiner Doku-Header-Bump (diese Liste ist nicht in
LEGAL_VERSIONS→ kein Re-Acceptance). Mögliche Art.-28(2)-Notification → Owner/Anwalt (s. Hinweis).
Bei Änderungen an dieser Liste (Hinzufügung oder Austausch von Subprozessoren) werden bestehende AVV-Kunden mit 14 Tagen Widerspruchsfrist vorab per E-Mail informiert (gemäß AVV Abschnitt 10.2).
DPF-Hinweis: Der DPF-Zertifizierungsstatus muss regelmäßig auf https://www.dataprivacyframework.gov/ überprüft werden. DPF kann politisch ausgesetzt werden (Präzedenz: Privacy Shield 2020). Fallback-SCCs müssen im Ernstfall aktivierbar sein.
Auftragsverarbeiter-Kontakt (Datenschutz)
easytect UG (haftungsbeschränkt) Marktplatz 10a, 56457 Westerburg, Deutschland Geschäftsführer: Usman Ahmad E-Mail: datenschutz@dokuparse.de Web: https://dokuparse.de
1. Aktive Subprozessoren (Produktiv-Betrieb App-Daten)
Diese Subprozessoren verarbeiten personenbezogene Daten von betroffenen Personen und/oder Mitarbeitern der Kunden im Produktivbetrieb der Anwendung.
| Anbieter | Service / Zweck | Datenkategorien | Region | Drittland-Transfer | Transfer-Basis | Vertragsdoku | Status |
|---|---|---|---|---|---|---|---|
| Microsoft Azure | Compute / Azure Functions — Ausführung der Verarbeitungs-Agenten A1–A8 und Ops1–Ops6 | Vertragstext, extrahierte Felder, Metadaten (indirekt im Speicher während Verarbeitung) | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA inkl. in Microsoft Online Services Terms (OST) | aka.ms/DPA | ✅ |
| Microsoft Azure | Blob Storage — Speicherung der Original-PDFs und Export-Dateien | Original-Vertragsdokumente (PDF) | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA in Microsoft OST; AES-256 SSE | aka.ms/DPA | ✅ |
| Microsoft Azure | PostgreSQL Flexible Server — Produktivdatenbank (Tenant-Daten, extrahierte Felder, Embeddings, Audit-Log) | Stamm-/Vertragsdaten; Nutzerdaten der Mitarbeiter der Kunden | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA in Microsoft OST; AES-256 TDE | aka.ms/DPA | ✅ |
| Microsoft Azure | Service Bus — Nachrichtenwarteschlange zwischen Agenten (A1→A2→A3→A4) | Nachrichten-Payloads enthalten Dokumenten-IDs und Tenant-IDs (keine Klartextdaten) | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA in Microsoft OST | aka.ms/DPA | ✅ |
| Microsoft Azure | Azure OpenAI Service (GPT-4o, GPT-4o-mini, text-embedding-3-large) — KI-Klassifikation (A2), KI-Extraktion (A3), RAG-Embedding (A4), RAG-Abfrage (A7) | Dokumententext (gekürzt bei A2: max. 3.000 Zeichen; plan-seitenlimitiert bei A3) | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; Azure OpenAI DPA (eigenständige Zusatzbedingungen in Microsoft OST); kein Training auf Kundendaten | aka.ms/DPA — Abschnitt Azure OpenAI | ✅ |
| Microsoft Azure | Azure AI Document Intelligence — OCR-Backend des selbst-gehosteten MarkItDown-Parsers; wandelt eingehende PDFs in Text/Layout für die nachgelagerte Verarbeitung um | Vollständiger Dokumenteninhalt (gesamtes PDF) + extrahierter OCR-Text — ggf. Endkunden-/Art.-9-Daten | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA in Microsoft OST (durch Azure-DPA abgedeckt); kein Training auf Kundendaten | aka.ms/DPA | ✅ (nachträglich gelistet — s. Hinweis unter Tabelle) |
| Microsoft Azure | Azure Communication Services (ACS) — ausgehender E-Mail-Versand (Review-Benachrichtigungen, Onboarding-/Eskalations- und System-E-Mails an Mitarbeiter der Kunden; nur ausgehend, kein Inbound) | E-Mail-Adressen + Namen der Mitarbeiter der Kunden; Benachrichtigungsinhalte (Dokumenten-/Tenant-IDs, keine Vertragsinhalte/Endkunden-Daten) | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA in Microsoft OST (durch Azure-DPA abgedeckt) | aka.ms/DPA | ✅ |
| Microsoft (Exchange Online / Microsoft Graph) | Inbound-E-Mail-Intake (ab Professional) — freigegebene Shared Mailbox intake@dokuparse.de, Graph-Polling (Mail.Read) durch Azure Function; PDF-Anhänge in die A1-Pipeline | E-Mail-Metadaten (Absender, Betreff, Zeitstempel); PDF-Anhänge mit Dokumenteninhalten/Endkunden-Daten | EU-Geo-Region des M365-Tenants (DE/DACH: Frankfurt/Amsterdam) | Nein | Microsoft EU Data Boundary; Microsoft OST/DPA (gleicher Rahmen wie Azure) | aka.ms/DPA | ✅ (vor Aktivierung: Postfach-Geo=EU bestätigen + Postfach-Retention minimieren) |
| Microsoft Azure | Application Insights / Log Analytics — Monitoring, Fehler-Telemetrie, Infrastruktur-Logs (ab STAGING) | Infrastruktur-Logs (keine PII — nur IDs per Policy; keine Vertragsinhalte); Fehler-Stack-Traces pseudonymisiert | West Europe (Amsterdam, NL) | Nein | Azure EU Data Boundary; DPA in Microsoft OST | aka.ms/DPA | ⚠️ Noch nicht aktiv (geplant ab STAGING) |
| Stripe Payments Europe, Ltd. (Vertragspartner für EWR-Kunden; Konzernmutter: Stripe, Inc., USA) | Billing / Zahlungsabwicklung — SaaS-Subscriptions, Metered Billing, Customer Portal, Stripe Tax, SEPA-Lastschrift; Webhook-Empfang /api/billing/webhook | Name + E-Mail des Kunden-Rechnungskontakts; Zahlungsdaten (Kreditkarte / SEPA-IBAN); Rechnungsanschrift; USt-ID — KEINE Endkunden-Daten | Irland (Dublin), DE-Region (Frankfurt) für Card-Authorization; Zugriff durch Konzernmutter in USA möglich | Ja (Konzern-Zugriff USA) | EU-Hauptverarbeitung durch Stripe Payments Europe Ltd; EU-US Data Privacy Framework (DPF) für Konzern-Datentransfer — Stripe ist DPF-zertifiziert ✅; ergänzend EU-SCCs in Stripe DPA | stripe.com/legal/dpa; stripe.com/de/legal/privacy-center; DPF-Verifikation: dataprivacyframework.gov | ✅ DPA online unterzeichnet im Stripe-Dashboard |
KI-Verarbeitung: Die Produktions-App nutzt für alle KI-Funktionen (Klassifikation, Extraktion, Embeddings, RAG) ausschließlich Microsoft Azure OpenAI (GPT-4o, GPT-4o-mini, text-embedding-3-large) in der Region West Europe (s. Abschnitt 1).
Hinweis — nachträgliche Lückenschließung (2026-06-16): Azure AI Document Intelligence wurde mit diesem Stand neu in die Liste aufgenommen. Es war zuvor faktisch im Einsatz (OCR-Backend des selbst-gehosteten MarkItDown-Parsers, verarbeitet den vollen PDF-Inhalt in West Europe), aber in dieser Anlage nicht gelistet — eine reine Dokumentations-Lücke, kein neuer Dienst und kein neuer Drittland-Transfer (selber Empfänger Microsoft, selbe EU Data Boundary, selbe Microsoft-OST/DPA-Basis wie die übrigen Azure-Sub-Services).
⚠️ Owner/Anwalt prüfen — mögliche Kunden-Notification-Pflicht (Art. 28 Abs. 2 DSGVO): Die Aufnahme eines (bisher nicht gelisteten) Subprozessors in Anlage 2 kann gegenüber bestehenden AVV-Kunden die vertraglich zugesicherte 14-Tage-Vorabinformation mit Widerspruchsfrist (AVV Abschnitt 10.2 / Abschnitt 4 dieser Liste) auslösen — unabhängig davon, dass der Dienst technisch bereits genutzt wurde. Ob hier eine reine Klarstellung (kein materieller Subprozessor-Wechsel) vorliegt oder die Benachrichtigungs-/Widerspruchsmechanik formal greift, ist eine Rechtsfrage und vor dem ersten Kunden-Onboarding bzw. gegenüber etwaigen Bestandskunden durch Owner + Anwalt zu bewerten. Nicht eigenmächtig als „benachrichtigungsfrei" eingestuft.
2. Datenpfad-Übersicht (Endkunden-Daten)
Zur Klarstellung: Welche Subprozessoren sehen welche Datenkategorien?
Endkunden-Daten (Vertragsinhalte):
→ Azure Blob Storage (Original-PDF)
→ Azure Functions (Verarbeitung im RAM)
→ Azure AI Document Intelligence (OCR/MarkItDown — voller PDF-Inhalt)
→ Azure OpenAI (Textausschnitte für KI-Verarbeitung)
→ Azure PostgreSQL (extrahierte Felder, Embeddings, Audit-Log)
→ Azure Service Bus (nur IDs in Nachrichten)
E-Mail-Intake (Professional+):
→ Microsoft Exchange Online / Graph (eingehende E-Mail + PDF-Anhänge, EU-Geo-Region) → Azure-Pipeline (s. o.)
API-Inbound (Professional+):
→ POST /api/v1/documents (Per-Tenant-API-Key, EU) → Azure-Pipeline (s. o.)
Mitarbeiterdaten der Kunden (Name, E-Mail) für ausgehende Benachrichtigungen:
→ Azure Communication Services (nur ausgehende E-Mail, A8 — keine Endkunden-Daten)
Kunden-Billing-Daten (Name, E-Mail, Zahlungsdaten):
→ Stripe (nur Billing — keine Endkunden-Daten)Isolationsprinzip: Stripe erhält ausdrücklich keine Endkunden-Daten. Die einzigen Daten, die an Stripe fließen, sind Rechnungsdaten der Kunden selbst.
3. Hinweise zu Drittlandtransfers
Microsoft Azure — EU Data Boundary
Microsoft hat seit 2022 schrittweise die Azure EU Data Boundary (EUDB) implementiert. Mit Stand 2024/2025 speichert und verarbeitet Microsoft für alle in West Europe bereitgestellten Azure-Dienste (inkl. Azure OpenAI) Kundendaten ausschließlich innerhalb der EU/EWR. Dies schließt Support-Daten ein.
Rest-Risiko (Transparenz, nicht verschweigen): Die EU Data Boundary begrenzt Speicherort und Support-Zugriff, schließt einen Zugriff nach US-Recht (CLOUD Act / FISA 702) jedoch nicht vollständig aus — Microsoft ist US-domiziliert und hat dies öffentlich (u. a. unter Eid vor dem französischen Senat, 06/2025) bestätigt. Eine Absolut-Garantie „kein US-Behördenzugriff" ist bei keinem US-Cloud-Anbieter möglich. Mitigation: DPA/SCC, Verschlüsselung (perspektivisch kundenseitig verwaltete Schlüssel im EU-HSM für Daten at rest — schützt jedoch nicht die transiente Klartext-Verarbeitung im LLM bei A2/A3), Datenminimierung. Gilt analog für Azure OpenAI, Exchange Online/Graph (E-Mail-Intake) und Stripe.
Nachweis: microsoft.com/en-us/trust-center/privacy/eu-data-boundary
Stripe — DPF und SCCs
⚠️ Verifikationspflicht vor Erstkundenvertrag:
Stripe Inc. (USA) ist als Verarbeiter für Billing-Daten ein Drittlandempfänger. Transfer-Grundlagen:
EU-US Data Privacy Framework (DPF): Beschluss der EU-Kommission vom 10. Juli 2023 (Angemessenheitsbeschluss für USA). Stripe muss sich eigenständig beim DPF zertifiziert haben.
- Verifizierung: https://www.dataprivacyframework.gov/ → "Participant Search" → "Stripe" suchen
- Prüfen: Ist Stripe gelistet? Für welche Datenkategorien? Ist das Zertifikat aktiv (nicht expired)?
EU-SCCs (Standardvertragsklauseln): Stripe bietet ein DPA mit enthaltenen SCCs an.
- Abschluss: https://stripe.com/legal/dpa — Stripe Data Processing Agreement online unterzeichnen
Empfehlung: Beide Mechanismen (DPF + SCCs als Fallback) nutzen. Der Privacy-Shield-Vorgänger wurde 2020 vom EuGH gekippt (Schrems II) — ein analoges Risiko besteht für DPF (politisch). SCCs als Fallback sind daher Pflicht.
Kein Transfer von Endkunden-Daten an Stripe: Stripe verarbeitet ausschließlich Billing-Daten des Kunden (Unternehmen, Rechnungskontakt, Zahlungsdaten). Personenbezogene Daten der betroffenen Personen (Vertragsdaten) werden nie an Stripe übermittelt.
4. Review- und Pflegeprozess
| Aktion | Frequenz | Verantwortlich |
|---|---|---|
| DPF-Zertifikat Stripe verifizieren | Jährlich und bei DPF-Neuigkeiten | Geschäftsführung / Datenschutzkontakt |
| Microsoft Azure DPA auf Updates prüfen | Bei wesentlichen Produktänderungen | Entwicklung / Datenschutzkontakt |
| Neue Subprozessoren prüfen und genehmigen | Bei jeder Dienst-Hinzufügung | Geschäftsführung |
| Kunden mit 14 Tagen Frist informieren | Bei jeder Änderung | Datenschutzkontakt |
| Liste aktualisieren und versionieren | Bei jeder Änderung | Datenschutzkontakt |
Stand: 2026-06-16 | Doku-Version: v1.5-2026-06-16 | Datenschutzkontakt: datenschutz@dokuparse.de | Nächster Review: vor erstem Kunden-Onboarding und danach jährlich