Sub-Processor-Liste.
TL;DR. Vollständige Liste aller Sub-Processor, die wir bei der Erbringung unserer Dienste einsetzen — mit Standort, Funktion, Vertragsstatus und Datenzugriffs-Umfang. DSGVO Art. 28-konform. Maschinenlesbar unter /.well-known/sub-processors.json.
Stand und Geltungsbereich
Diese Liste umfasst alle Auftragsverarbeiter, die dynexo zur Erbringung der vertraglich geschuldeten Leistungen einsetzt. Sie wird gepflegt und bei Änderung allen aktiven Mandanten innerhalb von 14 Tagen schriftlich kommuniziert. Eine maschinenlesbare Variante steht unter /.well-known/sub-processors.json zur Verfügung und kann in Compliance-Tooling importiert werden.
Für Finanz-Mandanten unter DORA-Pflicht: das DORA Sub-Processor-Konstrukt-Register liegt zusätzlich vor und wird mandantenspezifisch ausgehändigt.
Wo Sie die vollständigen Details bekommen
Die kurze Liste auf dieser Seite ist die öffentlich abrufbare Version. Die ausführlichen Vertrags-Details, Audit-Scopes pro Sub-Processor und Risk-Scoring werden unter NDA bereitgestellt — wir richten ein NDA-Verfahren in 48 Stunden ein. Für aktive Mandanten ist die volle Liste Bestandteil der Auftragsverarbeitungs-Vereinbarung.
Kategorien
Wir unterscheiden drei Kategorien von Sub-Processor:
- Infrastruktur — Hosting, Rechenzentrum, Netzwerk-Dienste
- Operations-Tools — Monitoring, Logging, Ticketing, Kommunikation
- Modell-Provider — LLM- und KI-Modell-Anbieter (für Mandanten, die diese Modelle nutzen — BYO-Key Standard)
Alle EU-Sub-Processor unterliegen DSGVO direkt. Für Sub-Processor außerhalb EU verwenden wir EU-Standard-Vertragsklauseln und führen Transfer-Impact-Assessments durch. US-Sub-Processor werden nur eingesetzt, wenn (a) der Mandant ausdrücklich zustimmt und (b) keine personenbezogenen oder sensitiven Daten transferiert werden.
Status und Geltungsbereich
| Infrastruktur-Standort | Deutschland / EU · primär Hetzner, IONOS, OVH-EU |
|---|---|
| Daten-Residenz Standard | Deutschland (Frankfurt, Nürnberg) · EU-Alternativen verfügbar |
| Modell-Provider | Anthropic, OpenAI, Mistral, lokale Llama/GPT-OSS · BYO-Key |
| Sub-Processor außerhalb EU | Nur mit Mandanten-Zustimmung · SCC + TIA |
| Änderungs-Notice | 14 Tage vor Inkrafttreten an aktive Mandanten |
| JSON-Variante | /.well-known/sub-processors.json |
| DORA-Register | Verfügbar für Finanz-Mandanten · mandantenspezifisch |
| Maschinenformat | JSON-Schema dokumentiert · stabil seit v1 |
Was vor dem Vertragsschluss oft gefragt wird
-
Wie schnell werden Änderungen kommuniziert?
14 Tage vor Inkrafttreten an alle aktiven Mandanten — schriftlich, mit Begründung. Bei Sub-Processor-Wechsel, der die Risiko-Klasse verändert, ist die Frist 30 Tage. -
Können wir Sub-Processor ablehnen?
Ja — über die Auftragsverarbeitungs-Vereinbarung. Standard: 14-Tage-Einspruchsfrist nach Notice. Wenn der Sub-Processor essentiell ist und der Einspruch nicht ausräumbar, ist Sonderkündigung der Mandanten-Vereinbarung möglich. -
Werden Modell-Provider als Sub-Processor geführt?
Nur wenn dynexo den Modell-Zugang stellt. Bei BYO-Key (Standard) gehen die Daten direkt vom Mandanten an den Provider — wir sind in dieser Kette nicht Sub-Processor. -
Reicht das für DORA-Audits?
Die öffentliche Liste ist eine Übersicht. Das DORA Sub-Processor-Konstrukt-Register (Art. 28) ist ein eigenes Dokument mit Risk-Scoring, Substitutability-Analyse und ICT-Konzentrationsrisiko-Bewertung. Wird Finanz-Mandanten unter NDA übermittelt.
Vollständige Sub-Processor-Liste unter NDA.
NDA-Verfahren in 48 Stunden. Für Finanz-Mandanten zusätzlich DORA-Konstrukt-Register. Maschinenlesbare JSON-Variante öffentlich.