Einleitung
Zur Erbringung der vertraglichen Leistungen setzt Wolf-Agents die nachfolgend genannten Dienstleister als Sub-Auftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO ein. Mit jedem dieser Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV), der im Wesentlichen die gleichen Datenschutzpflichten auferlegt, die auch zwischen dem Kunden und Wolf-Agents gelten.
Der Kunde erteilt mit Annahme der AGB bzw. des Auftragsverarbeitungsvertrags eine allgemeine schriftliche Genehmigung zum Einsatz der nachfolgend gelisteten Sub-Auftragsverarbeiter.
Änderungsverfahren
Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor Inkrafttreten per E-Mail über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern.
Der Auftraggeber kann innerhalb von 14 Kalendertagen nach Zugang der Information in Textform (E-Mail genügt an info@wolf-agents.com) Einspruch erheben. Kann keine Einigung erzielt werden, steht dem Auftraggeber ein Sonderkündigungsrecht für den Hauptvertrag zu.
Aktuelle Sub-Auftragsverarbeiter
| Nr. | Anbieter | Rolle / Zweck | Sitz / Verarbeitungsort | Rechtliche Basis |
|---|---|---|---|---|
| 1 | Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen, Deutschland | Server-Hosting für Website, wolf-scanner, PostgreSQL-Datenbank, Redis-Cache, Backups | Rechenzentren Falkenstein und Gunzenhausen, Deutschland | AVV, ISO 27001-Zertifizierung |
| 2 | netcup GmbH Daimlerstr. 25 76185 Karlsruhe, Deutschland | SMTP-API (E-Mail Security Scanner), wolf-scanner Fallback-Server, KV-API für Double-Opt-In-Verfahren | Rechenzentrum Nürnberg, Deutschland | AVV |
| 3 | Scaleway SAS 8 rue de la Ville l'Évêque 75008 Paris, Frankreich | Transaktionale E-Mail-Zustellung (Transactional Email, TEM) — Alert-E-Mails, Verifizierungs-E-Mails, Systemnachrichten | Region fr-par (Paris), Frankreich (EU) | AVV, RFC 8058 One-Click-Unsubscribe |
| 4 | BunnyWay d.o.o. (Bunny.net) Cesta komandanta Staneta 4A 1215 Medvode, Slowenien | Content Delivery Network (CDN), DNS-Resolver, DDoS-Mitigation an EU-Edge-Servern | EU-Edge-Server, Hauptsitz Slowenien (EU) | AVV |
| 5 | Tutao GmbH (Tuta) Deisterstr. 17a 30449 Hannover, Deutschland | E-Mail-Hosting für Postfächer des Anbieters (Admin-Kommunikation, Support) | Hannover, Deutschland | AVV, Ende-zu-Ende-Verschlüsselung |
| 6 | ZeroBounce Ltd. 44 Broadway London E15 1XH, Vereinigtes Königreich | E-Mail-Adressen-Validierung (syntaktische und MX-Record-Prüfung) zur Vermeidung fehlerhafter Anmeldungen und Spam-Fallen | EU-Endpoint (Frankfurt, Deutschland). Hauptsitz UK = Drittland | AVV, EU-Standardvertragsklauseln (SCC), UK Adequacy Decision |
| 7 | Stripe Payments Europe Ltd. 1 Grand Canal Street Lower Grand Canal Dock, Dublin D02 H210 Irland sowie Stripe, Inc. (LLC) 354 Oyster Point Blvd South San Francisco, CA 94080 USA | Zahlungsabwicklung: Stripe Checkout, Subscriptions, Webhooks, Customer Portal, Invoicing nach § 14 UStG | Primär Dublin, Irland (EU). Übermittlung an Stripe, Inc. (USA) möglich | AVV, EU-US Data Privacy Framework (DPF, Participant-ID 6436), EU-Standardvertragsklauseln (SCCs) als Backup |
| 8 | Hostinger International Ltd. 61 Lordou Vironos Street 6023 Larnaca, Zypern | Domain-Registrierung (Registrar) für die Plattform-Domains | Zypern (EU) | AVV, EU-Standardvertragsklauseln (SCC) |
Rechtliche Erläuterungen
Drittlandstransfers
Die eigene Server-Infrastruktur des Anbieters befindet sich ausschließlich in der Europäischen Union (Deutschland, Frankreich, Slowenien). Eine Übermittlung personenbezogener Daten in Drittländer findet nur in folgenden Fällen statt:
- Stripe, Inc. (USA): Zahlungsdaten werden primär von Stripe Payments Europe Ltd. (Dublin, Irland) verarbeitet. Eine Übermittlung an Stripe, Inc. (USA) kann stattfinden. Rechtsgrundlage: EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss C(2023) 4745 vom 10.07.2023). Der DPF wurde vom EuG im September 2025 (T-553/23) bestätigt; ein Berufungsverfahren vor dem EuGH ist anhängig. Als Rückfall-Mechanismus gelten EU-Standardvertragsklauseln (SCCs).
- ZeroBounce (UK): Die Verarbeitung erfolgt über den EU-Endpoint in Frankfurt. UK gilt seit Brexit als Drittland. Rechtsgrundlage: UK Adequacy Decision der EU-Kommission (28.06.2021) sowie EU-Standardvertragsklauseln (SCCs).
Anforderungen an Sub-Auftragsverarbeiter
Alle Sub-Auftragsverarbeiter wurden vom Anbieter sorgfältig ausgewählt und erfüllen folgende Mindestanforderungen:
- Abschluss eines AVV gemäß Art. 28 DSGVO mit im Wesentlichen gleichen Datenschutzpflichten wie zwischen Kunde und Anbieter
- Nachweis angemessener technischer und organisatorischer Maßnahmen (Art. 32 DSGVO)
- Bei Drittlandtransfer: dokumentierte Übermittlungsgrundlage (DPF, SCCs, Adequacy Decision)
- Benennung eines Datenschutzbeauftragten oder einer Datenschutz-Ansprechperson
- Dokumentierte Incident-Response-Prozesse mit Meldepflicht
Kopien der Verträge
Kopien der geschlossenen Auftragsverarbeitungsverträge und Standardvertragsklauseln stellt der Anbieter auf Anfrage zur Verfügung. Senden Sie hierzu eine E-Mail an info@wolf-agents.com mit dem Betreff „AVV-Dokumente".
Benachrichtigung bei Änderungen
Der Anbieter wird den Kunden per E-Mail über jede Änderung dieser Sub-Auftragsverarbeiter-Liste mit einer Vorlaufzeit von mindestens 30 Tagen vor Inkrafttreten informieren. Kunden können zusätzlich eine Benachrichtigung über Listenänderungen abonnieren — senden Sie hierzu eine E-Mail an info@wolf-agents.com mit dem Betreff „Sub-Processor-Updates abonnieren".
Kontakt bei Rückfragen
Bei Fragen zu dieser Sub-Auftragsverarbeiter-Liste oder zum Datenschutz im Allgemeinen:
Wolf-Agents
Inhaber: Eduard Wolf
Vorderhainberg 21
94496 Ortenburg, Deutschland
E-Mail: info@wolf-agents.com
Version 1.0 — Stand: 18. April 2026