Sub-Processoren / Auftragsverarbeiter von Belegify
Stand: 30. April 2026
Diese Übersicht informiert transparent darüber, welche externen Dienstleister („Sub-Processoren") die Comms Connect GmbH bei der Bereitstellung der Software-as-a-Service-Anwendung Belegify einsetzt. Sämtliche Sub-Processoren sind vertraglich nach Art. 28 DSGVO verpflichtet und in den abgeschlossenen Auftragsverarbeitungsverträgen (AVV) berücksichtigt.
1. Verantwortlicher
Comms Connect GmbH Tal 30, 80331 München, Deutschland Geschäftsführer: Rainer Roloff HRB 295951, Amtsgericht München USt-IdNr.: DE451966748 E-Mail: privacy@belegify.app Telefon: +49 89 4522 1556 Webseite: https://belegify.app Verantwortlicher i.S.d. § 18 Abs. 2 MStV: Rainer Roloff
2. Eingesetzte Sub-Processoren
| # | Anbieter | Sitz | Zweck | Verarbeitete Daten | EU-DSGVO-Mechanismus | DPA-Link |
|---|---|---|---|---|---|---|
| 1 | Supabase Inc. | USA, EU-Hosting (eu-central-1, Frankfurt) | Datenbank, Authentifizierung, Storage, Edge Functions | Stamm-, Authentifizierungs-, Beleg- und Metadaten | EU-US Data Privacy Framework, EU-Standardvertragsklauseln (SCCs) | https://supabase.com/legal/dpa |
| 2 | Vercel Inc. | USA, EU-Region (Frankfurt) | Hosting / Edge-Network der Web-PWA | Nutzungsdaten, IP-Adresse, Session-Cookies | EU-DPF, SCCs | https://vercel.com/legal/dpa |
| 3 | Anthropic PBC | USA | KI-gestützte Belegextraktion (Claude); Zero Data Retention vertraglich vereinbart | Belegtexte, OCR-Auszüge | SCCs, Zero Data Retention | https://www.anthropic.com/legal/dpa |
| 4 | OpenAI Ireland Ltd. | Irland | Sprach-Transkription (Whisper); Zero Data Retention | Audiodaten, Transkripte | EWR-intern; mittelbare Übermittlungen über SCCs abgesichert | https://openai.com/policies/data-processing-addendum |
| 5 | Mindee SAS | Frankreich | OCR-Extraktion strukturierter Belegdaten | Belegbilder, OCR-Daten | EWR – keine zusätzlichen Drittlandsgarantien erforderlich | https://mindee.com/legal/dpa |
| 6 | Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung (B2C/B2B) | Rechnungs-, Zahlungs- und Transaktionsdaten | EWR-intern; mittelbare US-Übermittlungen über EU-DPF und SCCs | https://stripe.com/legal/dpa |
| 7 | Resend Inc. | USA, EU-Region (eu-west-1) | Transaktionsmail (Magic Link, Belegversand) | E-Mail-Adresse, E-Mail-Inhalte | EU-DPF, SCCs | https://resend.com/legal/dpa |
| 8 | Cloudflare Inc. | USA, EU-Region | DNS, CDN, Email-Worker (Belegify-Inbox) | IP-Adresse, eingehende E-Mails, Routing-Metadaten | EU-DPF, SCCs | https://www.cloudflare.com/cloudflare-customer-dpa/ |
| 9 | Telegram FZ-LLC | Vereinigte Arabische Emirate | Bot-Messaging (@Belegify_Bot) | Telegram-User-ID, Nachrichten, Belegdateien | Ausdrückliche Einwilligung gem. Art. 49 Abs. 1 lit. a DSGVO – kein Angemessenheitsbeschluss | https://telegram.org/privacy |
3. Hinweise zur Drittlandsübermittlung
Soweit Sub-Processoren in Drittländern (außerhalb des EWR) tätig sind, stützt Belegify die Übermittlung auf folgende Garantien gemäß Art. 44 ff. DSGVO:
- EU-US Data Privacy Framework (EU-DPF) für zertifizierte US-Anbieter (Supabase, Vercel, Stripe, Resend, Cloudflare);
- Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Durchführungsbeschluss (EU) 2021/914 als Backup und für Konstellationen ohne Angemessenheitsbeschluss;
- ergänzende technische Maßnahmen: TLS 1.2+ für sämtliche Datenübertragungen, AES-256 für gespeicherte Daten, Pseudonymisierung wo möglich, Zero-Data-Retention-Vereinbarungen mit KI-Anbietern.
Für die Übermittlung an Telegram FZ-LLC (Vereinigte Arabische Emirate) besteht kein Angemessenheitsbeschluss der EU-Kommission. Die Nutzung des Telegram-Bots ist optional; sie erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung der Nutzer:innen gemäß Art. 49 Abs. 1 lit. a DSGVO. Wir empfehlen Nutzer:innen, sensible Belege ausschließlich über die Web-PWA oder die E-Mail-Inbox einzureichen.
4. Aktualisierung dieser Liste
4.1 Vorab-Information bei neuen Sub-Processoren
Belegify benachrichtigt alle registrierten Geschäftskunden mindestens 14 Kalendertage vor der Hinzunahme oder Ersetzung eines Sub-Processors per E-Mail an die im Konto hinterlegte Kontaktadresse sowie durch Aktualisierung dieser Übersicht.
4.2 Widerspruchsrecht
Geschäftskunden können der Hinzunahme oder Ersetzung eines Sub-Processors innerhalb der 14-Tage-Frist aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Falle eines berechtigten Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung. Gelingt dies nicht, ist jede Partei berechtigt, den Hauptvertrag mit einer Frist von vier Wochen zum Monatsende zu kündigen. Bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt.
4.3 Versionshinweis
Die jeweils aktuelle Fassung dieser Sub-Processor-Liste ist unter https://belegify.app/subprocessors verfügbar. Maßgeblich für vertragliche Bindungen ist stets die zum jeweiligen Zeitpunkt veröffentlichte Fassung. Vorgängerversionen werden auf Anfrage unter privacy@belegify.app bereitgestellt.
5. Kontakt für datenschutzrechtliche Rückfragen
Comms Connect GmbH z. Hd. Datenschutz / Belegify Tal 30, 80331 München E-Mail: privacy@belegify.app
Stand: 30. April 2026
Diese Fassung ist als Erstfassung verfasst. Eine anwaltliche Schlussprüfung wird empfohlen.