eDoer logo
Legal

Auftragsverarbeitungsvertrag

Version: 02.06.2026

zwischen

der Kundin bzw. dem Kunden, die oder der eDoer auf Grundlage eines Master Service Agreement nutzt
(„Verantwortliche*r“)

und

Education4All GmbH
Sitz der Gesellschaft: Hildesheim, Deutschland
Eingetragen im Handelsregister des Amtsgerichts Hildesheim unter HRB 210458
als Anbieterin der Lernplattform „eDoer“
(„Auftragsverarbeiterin“)

Auftragsverarbeiterin und Verantwortliche*r gemeinsam: die „Parteien“.

Dieser Auftragsverarbeitungsvertrag („AVV“) ist integraler Bestandteil des Master Service Agreement („Rahmendienstleistungsvertrag“ oder „MSA“) der Parteien.

1. Gegenstand und Dauer der Verarbeitung

1.1 Dieser AVV regelt die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiterin im Auftrag der oder des Verantwortlichen im Zusammenhang mit der Bereitstellung der Lernplattform „eDoer“.

1.2 Dieser AVV findet ausschließlich Anwendung auf personenbezogene Daten, die die Auftragsverarbeiterin ausschließlich im Auftrag der oder des Verantwortlichen verarbeitet.

1.3 Verarbeitungstätigkeiten, die die Auftragsverarbeiterin als eigenständige Verantwortliche durchführt (vgl. Abschnitt 5.4), unterfallen nicht diesem AVV.

1.4 Die Auftragsverarbeiterin stellt eine Multi-Tenant-Lernmanagementplattform („eDoer“) bereit, die es der oder dem Verantwortlichen ermöglicht:

  • Organisationen zu erstellen und zu verwalten
  • Nutzer*innen zu registrieren und zu verwalten
  • Lernpfade, Module und Kurse zu erstellen und zu verwalten
  • Bewertungen und Prüfungen durchzuführen
  • Zertifikate auszustellen
  • Kommunikation innerhalb der Organisation zu ermöglichen
  • Bildungsinhalte sowie zugehörige Materialien zu speichern
  • KI-assistierte Funktionen zu konfigurieren, darunter Dateien aus der Wissensdatenbank der Organisation und Hintergrunddokumente der Lernenden, sofern diese aktiviert sind
  • den optionalen Import von Dokumenten aus zugelassenen Drittanbieterquellen zu erlauben, sofern diese aktiviert sind

Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich zur Erbringung dieser vertraglich vereinbarten Leistungen.

1.5 Die Verarbeitung erfolgt für die Dauer des Rahmendienstleistungsvertrages (Master Service Agreement).

Nach Beendigung des Vertrages werden personenbezogene Daten gemäß den Bestimmungen des AVV gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung erfolgt überwiegend automatisiert innerhalb gesicherter Serverinfrastruktur und kann insbesondere umfassen:

  • Erhebung
  • Erfassung
  • Organisation und Strukturierung
  • Speicherung
  • Abruf und Nutzung
  • Beschränkte Übermittlung an autorisierte Unterauftragsverarbeiter*innen
  • KI-assistierte Verarbeitung, sofern diese aktiviert ist
  • Import von Dokumenten aus zugelassenen Drittanbieterquellen, sofern diese aktiviert sind
  • Löschung oder Anonymisierung

2.2 Personenbezogene Daten werden ausschließlich zu folgenden Zwecken verarbeitet:

  • Nutzer*innenverwaltung innerhalb der Organisation der oder des Verantwortlichen
  • Verwaltung von Kursen und Lernpfaden
  • Bereitstellung und Organisation von Bildungsinhalten
  • Durchführung und Dokumentation von Bewertungen
  • Erstellung von Zertifikaten
  • Interne Kommunikation über die Plattform
  • KI-assistierte Bildungsunterstützung, konfiguriert durch die oder den Verantwortliche*n
  • Technische Wartung und Support

Die Auftragsverarbeiterin verarbeitet personenbezogene Daten weder zu eigenen Marketingzwecken noch zur eigenständigen wirtschaftlichen Verwertung. Die Verarbeitung ist auf das zur Erbringung der Leistungen Erforderliche beschränkt.

Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der oder des Verantwortlichen.

3. Kategorien betroffener Personen

Zu den Kategorien betroffener Personen können gehören:

  • Lernende (Studierende)
  • Lehrende / Kurator*innen
  • Organisationsadministrator*innen
  • andere durch die oder den Verantwortliche*n bestimmte Nutzer*innen

4. Kategorien personenbezogener Daten

Die Verarbeitung kann personenbezogene Datenkategorien umfassen; eine genaue Auflistung findet sich in Anlage I Abschnitt 1.

Die Auftragsverarbeiterin verlangt oder verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO.

5. Rolle der Parteien

5.1 Die oder der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung der Bildungsdaten innerhalb der Plattform.

5.2 Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich im Auftrag der oder des Verantwortlichen gemäß Art. 28 DSGVO.

5.3 Die Parteien stellen klar, dass keine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO besteht.

5.4 Die Auftragsverarbeiterin handelt als eigenständige Verantwortliche in Bezug auf folgende Verarbeitungstätigkeiten:

  • Sicherheitsprotokollierung und Betrugsprävention
  • Systemstabilität und Infrastrukturüberwachung
  • Einwilligungsbasierte globale Nutzungsanalyse
  • Verwaltung von Einwilligungsnachweisen

Diese Verarbeitungsvorgänge richten sich nach der Datenschutzerklärung der Auftragsverarbeiterin und sind nicht Gegenstand dieses AVV.

6. KI-gestützte Funktionen

6.1 Die Plattform kann KI-Dienste zur Unterstützung bildungsbezogener Funktionen nutzen, insbesondere für:

  • Generierung von Lernpfaden
  • Erstellung und Unterstützung von Bildungsinhalten
  • Erstellung von Prüfungsaufgaben
  • Abfrage und Verankerung von Dateien aus der Wissensdatenbank der Organisation der oder des Verantwortlichen
  • Individuelle Unterstützung unter Verwendung von Hintergrunddokumenten der Lernenden, sofern aktiviert

6.2 An KI-Dienstleister werden ausschließlich folgende Daten übermittelt:

  • Lernpfad-Metadaten
  • Von der oder dem Verantwortlichen erstellte Bildungsinhalte
  • Dateien aus der Wissensdatenbank der Organisation
  • von den Lernenden hochgeladene Dateien, sofern vorhanden
  • durch Benutzer abgegebene Anhänge, sofern vorhanden
  • Freiwillig eingegebene Freitextanfragen

6.3 Die Auftragsverarbeiterin übermittelt nicht absichtlich Leistungsdaten von Lernenden, Bewertungsergebnisse, Daten zum Lernfortschritt oder Plattform-Kontokennungen als separate strukturierte KI-Eingaben. Solche Daten können jedoch in Inhalten, Dateien, Eingabeaufforderungen, Anhängen oder Hintergrunddokumenten enthalten sein, die von der oder dem Verantwortlichen oder einer*m autorisierten Nutzer*in absichtlich zur KI-Verarbeitung übermittelt wurden.

6.4 Die Auftragsverarbeiterin ergreift Maßnahmen zur Datenminimierung und fordert nicht absichtlich Daten besonderer Kategorien für die KI-Verarbeitung an. Die oder der Verantwortliche bleibt dafür verantwortlich, zu bestimmen, ob übermittelte KI-Eingaben personenbezogene Daten, einschließlich Daten besonderer Kategorien, enthalten und ob eine solche Übermittlung rechtmäßig ist.

6.5 Wenn anerkannte Dokumentenquellen-Integrationen wie z. B. Roxtra durch die plattformseitige Administration und die oder den Verantwortlichen aktiviert werden, darf die Auftragsverarbeiterin den Integrationsbenutzernamen und die verschlüsselten Anmeldedaten des sich verbindenden Nutzers verarbeiten, um sich bei der Drittanbieterquelle zu authentifizieren, Dokumente zu durchsuchen und ausgewählte Dateien in eDoer zu importieren.

6.6 Importierte Dateien von Drittanbietern werden in eDoer gespeichert und anschließend gemäß den Anweisungen der oder des Verantwortlichen wie andere auf die Plattform hochgeladene Dateien verarbeitet.

6.7 Von der oder dem Verantwortlichen für die Suche und den Import bestimmte Quellsysteme von Drittanbietern sind keine von der Auftragsverarbeiterin beauftragten Unterauftragsverarbeiter*innen, sofern sie nicht ausdrücklich in Anhang III aufgeführt sind.

7. Unterauftragsverarbeiter*innen

7.1 Die oder der Verantwortliche erteilt der Auftragsverarbeiterin die allgemeine Genehmigung, Unterauftragsverarbeiter*innen einzusetzen. Eine Liste der gegenwärtigen Unterauftragsverarbeiter*innen findet sich in Anhang III.

7.2 Zu den Unterauftragsverarbeiter*innen können insbesondere gehören:

  • Cloud-Hosting-Anbieter*innen
  • Objektspeicher-Anbieter*innen
  • E-Mail-Dienstleister*innen
  • Infrastruktur-Provider
  • Anbieter*innen von KI-Diensten (z. B. OpenAI, Google Cloud/Gemini)

7.3 Die Auftragsverarbeiterin verpflichtet sich:

  • mit Unterauftragsverarbeiter*innen schriftliche Vereinbarungen gemäß Art. 28 DSGVO abzuschließen
  • die Unterauftragsverarbeiter*innen dazu zu verpflichten, dasselbe Datenschutz- und Informationssicherheitsniveau zu gewährleisten, wie es in diesem AVV vereinbart ist
  • für die Einhaltung der datenschutzrechtlichen Verpflichtungen durch Unterauftragsverarbeiter*innen vollumfänglich einzustehen

7.4 Enterprise-KI-Vereinbarungen sehen vor, dass übermittelte Daten nicht zum Training von KI-Modellen verwendet werden, falls anwendbar.

7.5 Die oder der Verantwortliche wird über wesentliche Änderungen der eingesetzten Unterauftragsverarbeiter*innen informiert. Im Fall einer allgemeinen schriftlichen Genehmigung informiert die Auftragsverarbeiterin die oder den Verantwortliche*n, wodurch die oder der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen innerhalb von 7 Tagen Einspruch zu erheben. In diesem Fall ist die oder der Verantwortliche berechtigt, die Vereinbarung zu kündigen.

8. Internationale Datenübermittlungen

8.1 Sofern personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermittelt werden, stellt die Auftragsverarbeiterin sicher, dass geeignete Garantien gemäß Kapitel V DSGVO bestehen.

8.2 Datenübermittlungen erfolgen insbesondere auf Grundlage von:

  • Standardvertragsklauseln (Standard Contractual Clauses - SCCs)
  • dem EU-US Data Privacy Framework, soweit anwendbar

Weitere Einzelheiten ergeben sich aus Anlage III.

8.3 Die Auftragsverarbeiterin führt eine Transfer Impact Assessment (TIA) durch und dokumentiert diese.

9. Technische und organisatorische Maßnahmen

Die Auftragsverarbeiterin implementiert geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus, insbesondere:

  • Verschlüsselte Datenübertragung (TLS)
  • Rollenbasierte Zugriffskontrolle
  • Mandant*innengetrennte Datenverarbeitung auf Organisationsebene
  • Protokollierung administrativer Zugriffe
  • Verschlüsselung gespeicherter Anmeldedaten für Integrationen von Drittanbietern
  • Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen

Eine Zusammenfassung der technischen und organisatorischen Maßnahmen ist als Anlage II beigefügt.

10. Rechte betroffener Personen

  1. Die Auftragsverarbeiterin unterstützt die oder den Verantwortliche*n nach Maßgabe von Art. 28 Abs. 3 lit. e DSGVO bei der Erfüllung von Betroffenenrechten gemäß Art. 15 bis 22 DSGVO.
  2. Die Verantwortung für die rechtliche Prüfung und Beantwortung entsprechender Anfragen verbleibt bei der oder dem Verantwortlichen.

11. Meldung von Datenschutzverletzungen

Die Auftragsverarbeiterin informiert die oder den Verantwortlichen unverzüglich, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, soweit es personenbezogene Daten betrifft, die unter diesem AVV verarbeitet werden. Gemäß Art. 28 Abs. 3 lit. f DSGVO wird die oder der Verantwortliche bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützt.

12. Löschung und Rückgabe von Daten

  1. Nach Beendigung des MSA wird die Auftragsverarbeiterin personenbezogene Daten nach Wahl der oder des Verantwortlichen löschen oder zurückgeben.
  2. Eine Speicherung erfolgt nur insoweit, als gesetzliche Aufbewahrungspflichten bestehen.
  3. Sicherungskopien werden gemäß den üblichen Lösch- und Aufbewahrungsfristen der Auftragsverarbeiterin gelöscht.

13. Kontroll- und Prüfungsrechte

13.1 Die Auftragsverarbeiterin stellt der oder dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen aus Art. 28 DSGVO nachzuweisen.

13.2 Überprüfungen - einschließlich Inspektionen -, die von der oder dem Verantwortlichen oder einer*m anderen von dieser*m beauftragten Prüfer*in durchgeführt werden, werden ermöglicht. Prüfungen sind angemessen, verhältnismäßig und unter Wahrung der Vertraulichkeit durchzuführen.

13.3 Bereits vorhandene Prüfberichte, Zertifizierungen oder gleichwertige Nachweise können zur Erfüllung der Kontrollanforderungen herangezogen werden.

14. Haftung

Die Haftung der Parteien richtet sich nach den Regelungen des Master Service Agreements sowie nach Art. 82 DSGVO.

Zwingende gesetzliche Haftungstatbestände bleiben unberührt.

Anlage I - Beschreibung der Verarbeitung

Diese Anlage ist Bestandteil des zwischen den Parteien geschlossenen Auftragsverarbeitungsvertrages (AVV).

1. Kategorien personenbezogener Daten

Die Verarbeitung kann folgende Datenkategorien umfassen:

1.1 Identifikations- und Kontodaten

  • Name
  • E-Mail-Adresse
  • Nutzer*innenrolle
  • Organisationszugehörigkeit

1.2 Bildungsbezogene Daten

  • Einschreibungsinformationen
  • Lernfortschrittsdaten
  • Bewertungsergebnisse
  • Eingereichte Aufgaben
  • Abschlussstatus

1.3 Zertifikatsdaten

  • Name
  • Note oder Abschlussstatus
  • Ausstellungsdatum

1.4 Kommunikationsdaten

  • Nachrichten innerhalb der Plattform
  • Von Nutzer*innen hochgeladene Anhänge

1.5 Dateien und Referenzmaterial

  • Hochgeladene Dateien
  • Dateien aus der Wissensdatenbank der Organisation und zugehörige Referenzmaterialien, sofern aktiviert
  • Hintergrunddokumente der Lernenden, sofern aktiviert
  • Importierte Dateien aus zugelassenen Dokumentenquellen von Drittanbieter*innen, sofern aktiviert

1.6 Optionale Integrationsdaten

  • Benutzername der Dokumentenquelle des Drittanbieters für den sich verbindenden Benutzer
  • Verschlüsselte Anmeldedaten, die für die Authentifizierung und den Import von Dateien erforderlich sind
  • Import-Metadaten und Protokolle

1.7 Technische Daten

  • Zeitstempel
  • Protokolldaten, soweit für den Systembetrieb erforderlich
  • IP-Adresse, sofern technisch notwendig

2. Weisungsgebundenheit

Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der oder des Verantwortlichen und bestimmt weder Zwecke noch wesentliche Mittel der Verarbeitung im Rahmen dieser Anlage.

Anlage II - Technische und organisatorische Maßnahmen (TOM)

Diese Anlage beschreibt die von der Auftragsverarbeiterin implementierten technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 DSGVO.

1. Organisatorische Maßnahmen

1.1 Governance und Verantwortlichkeiten

  • Klare interne Zuordnung datenschutzrechtlicher Verantwortlichkeiten
  • Geschäftsleitungsnahe Überwachung der Datenschutz-Compliance
  • Dokumentierte Datenschutz- und Informationssicherheitsrichtlinien
  • Zugriff auf Produktionssysteme ausschließlich für autorisiertes Personal

1.2 Vertraulichkeitsverpflichtungen

  • Sämtliche Mitarbeitende sind auf Vertraulichkeit verpflichtet
  • Zugriff auf personenbezogene Daten erfolgt ausschließlich nach dem Need-to-know-Prinzip
  • Durchsetzung rollenbasierter Zugriffskonzepte

1.3 Schulung und Sensibilisierung

  • Mitarbeitende in Entwicklung und Betrieb erhalten regelmäßige Schulungen zu Datenschutz und Informationssicherheit
  • Entwickler*innen werden insbesondere hinsichtlich Datenminimierung und datenschutzkonformer KI-Integration sensibilisiert

2. Zugriffskontrolle

2.1 Logische Zugriffskontrolle

  • Einsatz von rollenbasierter Zugriffskontrolle (Role-Based Access Control - RBAC)
  • Authentifizierung für sämtliche administrativen Maßnahmen
  • Durchsetzung angemessener Passwortanforderungen
  • Passwort-Hashing unter Verwendung branchenüblicher Algorithmen (z. B. bcrypt oder argon2)

2.2 Administrativer Zugriff

  • Administrativer Zugriff ist auf autorisierte Personen beschränkt
  • Super-Admin-Zugriff erfolgt ausschließlich zu folgenden Zwecken:
    • Technische Fehleranalyse
    • Sicherheitsuntersuchungen
    • Dokumentierte Supportanfragen
  • Administrative Aktivitäten werden protokolliert
  • Zugriffe unterliegen internen Genehmigungsverfahren, soweit anwendbar

3. Infrastruktursicherheit

3.1 Hosting-Umgebung

  • Anwendungs- und Datenbankserver werden auf einer von Hetzner bereitgestellten Infrastruktur in Rechenzentren innerhalb der EU gehostet
  • Einsatz von Firewalls zur Beschränkung nicht erforderlicher, eingehender Verbindungen
  • Datenbankserver sind nicht öffentlich zugänglich

3.2 Netzwerksicherheit

  • Verschlüsselte Datenübertragung über TLS (HTTPS)
  • Routing des Anwendungsverkehrs über Cloudflare-Proxy
  • Aktivierte DDoS-Schutzmechanismen und Traffic-Filterung
  • Sichere DNS-Konfiguration

3.3 Datenbanksicherheit

  • Zugriff auf die Datenbank ausschließlich über die Anwendungsebene
  • Keine öffentlich zugänglichen Datenbank-Endpunkte
  • Sichere Speicherung von Zugangsdaten mittels Umgebungsvariablen
  • Regelmäßige Aktualisierung und Patch-Management der Systemsoftware

4. Mandant*innentrennung (Multi-Tenant-Architektur)

  • Strikte Datenisolierung auf Organisationsebene durch Anwendungsarchitektur
  • Autorisierungsprüfungen bei sämtlichen Datenzugriffen
  • Kein organisationsübergreifender Zugriff auf Daten
  • KI-Anfragen werden mandant*innenspezifisch verarbeitet; keine Vermischung von Mandant*innendaten

5. Verschlüsselung

  • Erzwingung von TLS 1.2 oder höher für sämtliche externen Verbindungen
  • Verschlüsselte API-Kommunikation mit Unterauftragsverarbeiter*innen (z. B. OpenAI, Google Cloud, Mailgun)
  • Anmeldedaten für die Integration von Drittanbietern werden in verschlüsselter Form gespeichert
  • Signierte oder zeitlich begrenzte Datei-URLs für den nicht-öffentlichen Dateizugriff werden verwendet, falls anwendbar

6. Backup und Wiederherstellung

  • Tägliche automatisierte Datenbanksicherungen
  • Sichere Speicherung von Backup-Dateien
  • Zugriff auf Backups ausschließlich für autorisiertes Personal

7. Protokollierung und Überwachung

  • Aktivierte Anwendungsprotokollierung (Error Logging)
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Protokollierung administrativer Zugriffe
  • Aufbewahrung von Protokollen nur im operativ erforderlichen Umfang
  • Schutz der Protokolldaten vor unbefugter Veränderung

8. Datenminimierung bei KI-Verarbeitung

  • KI-Verarbeitung beschränkt sich auf:
    • Bildungsinhalte
    • Lernpfad-Metadaten
    • Prüfungstexte
    • freiwillige Freitextanfragen
  • Keine vorsätzliche Übermittlung von:
    • Leistungsdaten von Lernenden
    • Bewertungsergebnissen
    • Kontokennungen
    • besonderen Kategorien personenbezogener Daten
  • Enterprise-KI-Vereinbarungen untersagen, soweit anwendbar, die Verwendung übermittelter Daten zum Modelltraining
  • KI-Verarbeitung erfolgt ausschließlich im Anfrage-Antwort-Modell; kein Bulk-Datenexport

9. Entwicklungs- und Testumgebung

  • Logische Trennung von Entwicklungs- und Produktionsumgebungen
  • KI-Analytik ist in Entwicklungsumgebungen deaktiviert
  • Testdaten enthalten keine produktiven personenbezogenen Daten
  • Kontrollierte Deployment-Prozesse

10. Physische Sicherheit

  • Physische Sicherheitsmaßnahmen werden durch die Infrastrukturanbieter*innen, einschließlich DigitalOcean und Cloudflare, gewährleistet
  • Die Anbieter*innen setzen branchenübliche physische Zutrittskontrollen ein

11. Regelmäßige Überprüfung

  • Regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen
  • Anpassung auf Grundlage von:
    • Risikoanalysen
    • Infrastrukturänderungen
    • regulatorischen Entwicklungen

Anlage III - Unterauftragsverarbeitung

Die Unterauftragsverarbeiter*innen werden im Nachfolgenden mit folgenden Unterpunkten gelistet:

  1. Adresse
  2. Leistung
  3. Verarbeitungsort
  4. Übermittlungsmechanismus

OpenAI Ireland Ltd.

  1. 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland
  2. KI-gestützte Inhaltsverarbeitung und -generierung
  3. Europäische Union (primäre Verarbeitungseinheit); mögliche Weiterübermittlung an verbundene Unternehmen in den USA
  4. Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework (DPF)

Google Cloud (Google LLC / Google Ireland Ltd.)

  1. Gordon House, Barrow Street, Dublin 4, Irland
  2. KI-Dienste (Gemini)
  3. Europäische Union
  4. Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework (DPF)

Hetzner Online GmbH / Hetzner Finland Oy

  1. Industriestr. 25, 91710 Gunzenhausen, Deutschland
  2. Anwendung, Objektspeicherung und Datenbank-Hosting
  3. Deutschland / Finnland (EU)
  4. nicht zutreffend

Cloudflare, Inc.

  1. 101 Townsend Street, San Francisco, California, 94107-1934, USA
  2. Reverse Proxy, Content Delivery Network (CDN), DDoS-Schutz, TLS-Terminierung
  3. Europäische Union / Vereinigte Staaten
  4. Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework (DPF), soweit anwendbar

Mailgun Technologies, Inc.

  1. 112 E Pecan Street #1135, San Antonio, TX 78205, USA
  2. Versand transaktionaler E-Mails
  3. Europäische Union
  4. Sofern eine Drittlandübermittlung erfolgt: Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework (DPF), soweit anwendbar