Warum Transparenz wichtig ist
Unsere Kund*innen vertrauen uns ihre wertvollsten Daten an – Projekte, Aufgaben, Teams und Ideen.
Darum ist für uns selbstverständlich: Du sollst jederzeit wissen, wer deine Daten verarbeitet und wo das passiert.
Alle eingesetzten Sub-Prozessoren werden von uns sorgfältig ausgewählt, vertraglich verpflichtet und regelmäßig überprüft.
Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO.
Unsere aktuellen Sub-Prozessoren
Anbieter | Zweck | Ort der Verarbeitung | Schutzmaßnahmen |
Microsoft Azure (Germany) | Hosting & Infrastruktur für awork | Deutschland (Frankfurt & Berlin) | AVV mit Microsoft, ISO 27001 / SOC 2 / BSI C5, Verschlüsselung bei Speicherung & Übertragung |
Microsoft Azure Front Door / CDN | Schnelle & sichere Auslieferung der Anwendung (Content Delivery Network) | EU; technisch bedingt kurzzeitig weltweit bei Zugriff außerhalb EU | Datenresidenz-Garantie, SCC/DPF-Absicherung, keine Speicherung von Inhalten |
Microsoft Azure OpenAI (EU) | Optionale KI-Funktion (z. B. Text- & Automatisierungsvorschläge) | EU (Schweden – Sweden Central) | Keine Datenübermittlung außerhalb EU, kein Training auf Kundendaten, DPA mit Microsoft |
Twilio Segment | Technische Datenweiterleitung für Support und Event-Analyse | EU / USA | DPA + SCC + DPF-Zertifizierung, Datenminimierung, verschlüsselte Übertragung |
Intercom Inc. | In-App-Support, Helpcenter und System-Benachrichtigungen | USA | DPA + SCC + DPF (Zertifizierung), ISO 27001 / SOC 2, TLS-Verschlüsselung |
Birdie (Philo Labs, Frankreich) | Bug-Reporting-Tool zur Fehlererfassung im Produkt | Frankreich (EU) | AVV mit ausschließlicher EU-Verarbeitung, keine Drittlandübertragung, automatische Löschung nach 90 Tagen |
Wie wir Audits und Prüfungen durchführen
Die Art der Prüfung hängt von der Größe und Struktur des jeweiligen Sub-Prozessors ab:
Bei globalen Cloud-Anbietern (z. B. Microsoft, Twilio, Intercom) sind klassische Vor-Ort-Audits nicht vorgesehen.
Stattdessen stützen wir uns auf:
regelmäßig veröffentlichte Audit-Reports (z. B. SOC 2, ISO 27001, BSI C5),
vertraglich garantierte Transparenz- und Prüfmechanismen in den DPAs,
sowie Zertifizierungen durch unabhängige Dritte, die jährlich erneuert werden.
Bei kleineren oder europäischen Sub-Prozessoren (z. B. Birdie) führen wir eigene Prüfungen durch – etwa Dokumenten-Reviews, Fragebögen und Sicherheitsnachweise gemäß Art. 28 Abs. 3 h DSGVO.
Diese Kombination ermöglicht realistische, risikobasierte Audits, ohne die Sicherheit oder den Betrieb zu gefährden.
Unser Prüf- und Freigabeprozess
Bevor wir einen neuen Sub-Prozessor einsetzen, führen wir einen Privacy & Security Check durch:
Bewertung der technischen und organisatorischen Maßnahmen,
Prüfung der Rechtsgrundlagen (AVV, SCC oder DPF),
Freigabe durch COO und CTO,
jährliche Überprüfung und Audit.
Unsere Liste der Sub-Prozessoren wird regelmäßig aktualisiert.
Kund*innen werden über Änderungen mindestens 6 Wochen vorab informiert und können gemäß Art. 28 Abs. 2 DSGVO widersprechen.
Warum kein individueller Widerspruch gegen bestehende Sub-Prozessoren möglich ist
Wir wissen, dass das Thema sensibel ist, deshalb möchten wir transparent erklären, warum ein individueller Ausschluss einzelner Sub-Prozessoren nicht möglich ist.
Bestimmte Dienstleister (z. B. Microsoft Azure oder Intercom) sind technisch fest in unsere Infrastruktur integriert.
Ein Ausschluss würde zentrale Funktionen oder die Sicherheit des Gesamtsystems beeinträchtigen.
Die DSGVO sieht bewusst vor, dass Kund*innen über neue Sub-Prozessoren informiert werden und diesen innerhalb einer Frist widersprechen können.
Für bereits bestehende Sub-Prozessoren gilt dieses Recht nicht, da sie Teil des vereinbarten Leistungsumfangs sind.
Wenn wir neue Sub-Prozessoren einsetzen, dann tun wir das ausschließlich, um bestimmte Funktionalitäten bereitzustellen oder zu verbessern.
Diese Partner verarbeiten nur eng begrenzte Daten, die für diese Funktion zwingend erforderlich sind, z. B. technische Metadaten oder Kommunikationsinformationen.
Statt eines individuellen Widerspruchsrechts stellen wir unseren Kund*innen ein Sonderkündigungsrecht zur Verfügung, falls sie mit der Einbindung eines neuen Sub-Prozessors grundsätzlich nicht einverstanden sind.
So bleibt die Entscheidung jederzeit in deiner Hand, ohne dass die technische Integrität von awork gefährdet wird.
Wir stellen sicher, dass alle eingesetzten Sub-Prozessoren, egal ob neu oder etabliert, die gleichen hohen Sicherheits- und Datenschutzstandards erfüllen.
Das prüfen wir regelmäßig im Rahmen unseres Informationssicherheitsmanagementsystems (ISMS).
Datenfluss auf einen Blick
Alle Kundendaten werden in Deutschland gespeichert (Azure Germany).
Support- und Kommunikationsdaten laufen, wenn du den Chat oder Support verwendest, über Intercom (USA, aber mit EU-Angemessenheitsbeschluss)
Technische Eventdaten werden teilweise über Twilio Segment an Intercom weitergegeben.
Bug-Reports werden nur auf Wunsch über Birdie (Frankreich) übermittelt.
Die KI-Funktion (Azure OpenAI) ist optional, arbeitet ausschließlich innerhalb der EU und nutzt keine Daten zum Training.