Stand: 19. Mai 2026 | Version: 1.2 | Verantwortlicher: KYTH. Systems UG (haftungsbeschränkt)
| Sub-Processor | Sitz / Verarbeitungsort | Zweck | Drittland-Schutzmechanismus |
|---|---|---|---|
| IONOS SE | Berlin, Deutschland (EU) | Application-Hosting (VPS, Coolify/Docker), PostgreSQL-Datenbank, verschlüsselte Backup-Storage (Object Storage) | Innerhalb EU. AVV mit IONOS gemäß Art. 28 DSGVO abgeschlossen (ionos.de/terms-gtc/avv, Stand 06/2023). IONOS ist nach ISO 27001 zertifiziert. |
| Shopify Inc. | Kanada / Global | E-Commerce-Plattform (Datenquelle der Bestellungen, Embedded-App-Hosting, Webhook-Zustellung) | Shopify ist eigenständiger Verantwortlicher für Shop-Daten. Angemessenheits- beschluss Kanada (Kommerzbereich). DPA mit Shopify abgeschlossen. |
| Cloudflare, Inc. | USA (Anycast, EU-Edge-Server) | DNS-Auflösung der Domain kyth.systems — keine TLS-Terminierung,
kein Reverse-Proxy, keine Inhaltsverarbeitung |
Standardvertragsklauseln (SCC 2021/914/EU) + Cloudflare DPA. Verarbeitung beschränkt auf DNS-Anfragen. |
| Geoapify GmbH | Wien, Österreich (EU) | Adress-Autocomplete und Geocoding für Versandlabels — übermittelt werden ausschließlich vom Händler eingegebene Adress-Fragmente, keine Endkunden-Namen | Innerhalb EU. AVV mit Geoapify abgeschlossen. |
| INWX GmbH & Co. KG | Berlin, Deutschland (Mail-Server smtp.webspace.bz) |
Versand transaktionaler E-Mails durch KARL (Passwort-Reset, App- Uninstall-Feedback, Waitlist-Eingang). Versandbestätigungen und Retouren- Einladungen an Endkunden werden über den vom Händler konfigurierten SMTP-Server verschickt (eigene Verantwortung des Händlers). | Innerhalb EU. AVV mit INWX abgeschlossen. |
| FedEx Corporation | Memphis, USA (Carrier-API) | Versandetiketten-Erstellung, Sendungsverfolgung — Übermittlung der Empfänger- Adressdaten an die FedEx-API zur Auftragsausführung | EU-US Data Privacy Framework + SCCs. FedEx eigenständiger Verantwortlicher für die Logistik-Durchführung. |
| United Parcel Service (UPS) | Atlanta, USA (Carrier-API) | Versandetiketten-Erstellung, Sendungsverfolgung | EU-US Data Privacy Framework + SCCs. UPS eigenständiger Verantwortlicher. |
| Deutsche Post DHL Group | Bonn, Deutschland (Carrier-API: DHL Paket, DHL Express, Internetmarke) | Versandetiketten-Erstellung, Sendungsverfolgung | Innerhalb EU. Eigenständiger Verantwortlicher für Logistik-Durchführung. |
| DPD Deutschland GmbH | Aschaffenburg, Deutschland (Carrier-API) | Versandetiketten-Erstellung, Sendungsverfolgung | Innerhalb EU. Eigenständiger Verantwortlicher. |
| Österreichische Post AG | Wien, Österreich (Carrier-API) | Versandetiketten-Erstellung für AT-Sendungen | Innerhalb EU. Eigenständiger Verantwortlicher. |
| GlitchTip (KYTH-Self-Hosted) | Berlin, Deutschland — auf demselben IONOS-VPS | Self-Hosted Error-Tracking. before_send-Hook entfernt
Auth-Header, Cookies, Request-Bodies und Tokens vor dem Logging. Keine
Endkunden-PII werden übermittelt. |
Innerhalb EU. Kein externer Sub-Processor (eigene Infrastruktur). |
Aktuell sind keine Änderungen geplant. Bei beabsichtigten Änderungen wird diese Sektion mindestens 30 Tage vor dem Wirksamwerden aktualisiert; Auftraggeber werden zusätzlich per E-Mail und Banner im Admin-Bereich der App informiert.
Folgende Dienstleister erbringen lediglich Telekommunikations- oder Hilfsleistungen und gelten daher gemäß AVV § 6 Abs. 5 nicht als Auftragsverarbeiter im Sinne der DSGVO:
Die maschinenlesbare Variante dieser Liste ist unter /api/sub-processors.json verfügbar. Sie kann von Auftraggebern in eigene Verzeichnisse von Verarbeitungstätigkeiten (Art. 30 DSGVO) übernommen werden.