Auftrags- und Unterauftragsverarbeiter
Drittanbieter, die Daten in unserem Auftrag verarbeiten
Version 1.1 · Zuletzt aktualisiert: 26. April 2026
Rechtsverbindliche Fassung
Die deutsche Fassung dieses Dokuments ist rechtlich verbindlich. Übersetzungen in andere Sprachen dienen ausschliesslich der Verständlichkeit; bei Widersprüchen oder Unstimmigkeiten ist die deutsche Fassung massgeblich.
Gemäss Art. 28 DSGVO und dem schweizerischen Datenschutzgesetz (DSG) legen wir die Drittanbieter offen, die CHW-Services zur Erbringung des preparAItor-Dienstes einsetzt. Jeder Anbieter wurde sorgfältig ausgewählt und ist durch einen Auftragsverarbeitungsvertrag gebunden, der unseren Sicherheits- und Compliance-Standards entspricht.
Diese Liste umfasst sowohl Auftragsverarbeiter (für Endnutzerinnen und -nutzer, bei denen wir Verantwortlicher sind) als auch Unterauftragsverarbeiter (für Geschäftskundinnen und -kunden mit Auftragsverarbeitungsvertrag, bei denen wir Auftragsverarbeiter sind). Die Pflichten gemäss Art. 28 DSGVO und Art. 9 DSG gelten in beiden Konstellationen analog.
Wir informieren unsere Kundinnen und Kunden über wesentliche Änderungen an dieser Liste (Hinzufügungen, Ersetzungen oder erhebliche Erweiterungen des Umfangs) mindestens 30 Tage im Voraus. Geschäftskundinnen und -kunden mit einem Auftragsverarbeitungsnachtrag (DPA) können neuen Unterauftragsverarbeitern während der Ankündigungsfrist widersprechen, indem sie sich an admin@preparaitor.ch wenden.
| Unterauftragsverarbeiter | Zweck | Datenkategorien | Standort |
|---|---|---|---|
| Google LLC (Firebase) | Authentifizierung, Datenbank (Firestore), Dateispeicherung, App Check | Kontodaten, CV-Inhalte, generierte Dokumente, Nutzungsdaten | europe-west6 (Zürich, Schweiz) |
| Google LLC (Vertex AI / Gemini) | KI-Dokumentenerstellung, Inhaltsanalyse, Web-Grounding zur Unternehmensanreicherung, Interviewtraining (einschliesslich kurzzeitiger Verarbeitung von Audiodaten bei Voice-Interview-Sessions; Sprachaufnahmen werden nicht gespeichert, lediglich verschlüsselte Transkripte). Google verwendet Kundendaten nicht zum Training seiner Modelle. | CV-Inhalte, Stellenanzeigen, Unternehmensdaten, Interview-Audio (transient) und Transkripte | europe-west3 (Frankfurt, Deutschland) |
| Google LLC (Cloud KMS) | Verwaltung von Verschlüsselungsschlüsseln für die feldbasierte Verschlüsselung sensibler Daten | Nur Verschlüsselungsschlüssel (keine personenbezogenen Daten) | europe-west6 (Zürich, Schweiz) |
| Google LLC (Cloud Run) | Erzeugung von PDF-/DOCX-Dokumenten und rechenintensive Verarbeitung | Dokumentinhalte während der Erstellung | europe-west6 (Zürich, Schweiz) |
| Google LLC (reCAPTCHA Enterprise) | Bot-Erkennung und Betrugsprävention via Firebase App Check bei jeder API-Anfrage | IP-Adresse, Geräte-Fingerabdruck, Interaktionssignale | Globale Infrastruktur — Übermittlungsgarantien: Google Cloud DPA mit SCCs |
| Stripe, Inc. | Zahlungsabwicklung, Abonnementverwaltung, Kundenportal, Webhook-Verarbeitung | Zahlungsdaten, Rechnungsadresse, Kunden-ID, Transaktionsmetadaten | Europäische Rechenzentren (primär), mit Fallback in die USA |
| Brevo SAS (früher Sendinblue) | Versand transaktionaler E-Mails (Kontobestätigung, Passwort-Reset, Zahlungsbenachrichtigungen, Benachrichtigungen zu fertigen Dokumenten) | E-Mail-Adresse, Anzeigename, E-Mail-Inhalt | Europäische Union (Frankreich) |
| Microsoft Corporation | OneDrive-Cloud-Synchronisation (optional, nur wenn die Nutzerin oder der Nutzer das OneDrive-Konto ausdrücklich verbindet) | Generierte Dokumente, OAuth-Tokens (verschlüsselt) | Europäische Rechenzentren (primär) |
| Google LLC (Google Drive) | Google-Drive-Cloud-Synchronisation (optional, nur wenn die Nutzerin oder der Nutzer das Google-Konto ausdrücklich verbindet) | Generierte Dokumente, OAuth-Tokens (verschlüsselt) | Region des Google Drive der Nutzenden — Übermittlungsgarantien: Google Cloud DPA mit SCCs |
Garantien für Datenübermittlungen
- • Standardvertragsklauseln (SCCs) mit allen Anbietern, sofern anwendbar
- • Auftragsverarbeitungsverträge (DPAs) mit jedem Anbieter
- • Verschlüsselung während der Übertragung (HTTPS/TLS) und bei der Speicherung
- • Feldbasierte Verschlüsselung via Google Cloud KMS für sensible personenbezogene Daten
- • Datenlokalisierung in europäischen Rechenzentren, soweit technisch umsetzbar
- • Regelmässige Sicherheits- und Compliance-Audits
- • Transfer Impact Assessment (TIA) für alle grenzüberschreitenden Datenflüsse gemäss Schrems-II-Anforderungen
- • Keine Analyse- oder Telemetriedienste Dritter im Einsatz (kein Google Analytics, keine Error-Tracking-SDKs, keine Marketing-Pixel)
- • Einhaltung des Schweizer DSG und der EU-DSGVO
Änderungsverlauf
- 26. April 2026—Version 1.1 — Klarstellung der Rollen Verantwortlicher vs. Auftragsverarbeiter. Hinweis ergänzt, dass Audiodaten bei Voice-Interviews nur kurzzeitig durch Vertex AI verarbeitet und nicht gespeichert werden. Ausdrückliche Aussage ergänzt, dass keine Analyse- oder Telemetriedienste eingesetzt werden.
- 10. April 2026—Version 1.0 — Erstveröffentlichung.
Für Fragen zu unseren Auftrags- und Unterauftragsverarbeitern, zur Anforderung eines DPA oder zum Widerspruch gegen Änderungen kontaktieren Sie uns bitte unter admin@preparaitor.ch.
Siehe auch: Datenschutzrichtlinie · Nutzungsbedingungen