Lucid AI Labs (Fabian Ilg, im Folgenden „wir" oder „Auftragsverarbeiter") setzt für die Erbringung seiner KI-Chatbot- und Agenten-Dienste die nachstehend aufgeführten Unter-Auftragsverarbeiter ein. Die Einbeziehung dieser Dritten erfolgt auf der Grundlage einer schriftlichen Vereinbarung, die den Anforderungen des Art. 28 Abs. 4 i. V. m. Art. 28 Abs. 3 DSGVO entspricht.
Unseren Kunden (Verantwortlichen) erteilen wir hiermit gemäß unseren AVV eine allgemeine Genehmigung zur Einbeziehung dieser Unter-Auftragsverarbeiter. Kunden werden über geplante Änderungen (Hinzufügung oder Ersetzung von Unter-Auftragsverarbeitern) mindestens 30 Tage im Voraus durch Aktualisierung dieser Liste sowie, sofern abonniert, per E-Mail-Benachrichtigung informiert. Im Fall eines berechtigten Einwands ist das in den AVV geregelte Verfahren maßgeblich.
Hinweis zur Art.-27-DSGVO-Vertretung: Anbieter ohne EU/EWR-Niederlassung sind verpflichtet, einen Vertreter in der EU zu benennen (Art. 27 DSGVO), sofern sie regelmäßig Daten von EU-Betroffenen verarbeiten und keine Ausnahme (Art. 27 Abs. 2) greift. Die nachstehenden Angaben zur EU-Vertretung basieren auf dem Stand der jeweils angegebenen Due-Diligence-Prüfung und werden bei AVV-Aktualisierungen verifiziert.
Hetzner Online GmbH
- Anschrift
- Industriestr. 25, 91710 Gunzenhausen, DE
- Sitzland
- DE (EU)
- Rolle
- Hosting der Anwendungs-Datenbank, Transkripte, Klinik-Dashboard-DB
- Verarbeitete Daten
- Termin-Datensätze, Transkripte, Klinik-Konfiguration, technische Logs
- Drittland-Transfer-Grundlage
- EU, keine Drittland-Übermittlung. Datenresidenz: Falkenstein, Nürnberg, Helsinki
- EU-Vertretung (Art. 27 DSGVO)
- Hetzner ist EU-ansässig, kein EU-Vertreter erforderlich
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://www.hetzner.com/AV
- Hinweise
- Auto-Akzeptanz des AVV bei Vertragsschluss; Hetzner ist nach ISO 27001 zertifiziert.
Vercel Inc.
- Anschrift
- 340 S Lemon Ave #4133, Walnut, CA 91789, USA
- Sitzland
- US
- Rolle
- Hosting der Marketing-Website lucid-ai.app sowie der Klinik-Dashboard-Frontends
- Verarbeitete Daten
- Server-Logs, technische Metadaten, IP-Adressen (gekürzt), Build-Artefakte
- Drittland-Transfer-Grundlage
- SCC (EU 2021/914) + EU-U.S. DPF. Primär-Verarbeitung in den USA
- EU-Vertretung (Art. 27 DSGVO)
- Über [email protected]. Kein gesonderter Art.-27-Vertreter öffentlich benannt; Due-Diligence-Anfrage zur Bestätigung der Art.-27-Strategie dokumentiert (2026-04-29)
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://vercel.com/legal/data-processing-addendum
- Hinweise
- Sub-Processor-Liste: https://security.vercel.com
Telnyx LLC
- Anschrift
- 311 W Superior Street, Suite 504, Chicago, IL 60654, USA
- Sitzland
- US
- Rolle
- Telefonie-Infrastruktur (SIP-Trunk, Anruf-Annahme, Routing, deutsche Geo-Rufnummern)
- Verarbeitete Daten
- Telefonnummer (Anrufer + Klinik), Anrufdauer, Anrufzeitstempel, Audio-Stream (transient, siehe AVV § 10.3)
- Drittland-Transfer-Grundlage
- SCC (EU 2021/914), Modul 2 + EU-U.S. Data Privacy Framework (DPF, Stand: gegen dataprivacyframework.gov/list bei jedem AVV-Review zu verifizieren)
- EU-Vertretung (Art. 27 DSGVO)
- Telnyx Ireland Limited (Dublin, Irland), Kontakt: [email protected]
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://telnyx.com/legal/data-processing-addendum
- Hinweise
- Ersetzt seit Frühjahr 2026 den vormaligen Telefonie-Anbieter Twilio. Deutsche Rufnummern-Bereitstellung über Telnyx-Carrier-Partnerschaften; EU-Datenresidenz-Optionen für SIP-Routing nach Verfügbarkeit aktiv. Sub-Processor-Liste: https://telnyx.com/legal/sub-processors.
Deepgram Inc.
- Anschrift
- 1438 Webster St STE 100, Oakland, CA 94612, USA
- Sitzland
- US
- Rolle
- Sprache-zu-Text (STT), Echtzeit-Transkription des Anrufer-Audios
- Verarbeitete Daten
- Audio-Stream (transient), generiertes Transkript
- Drittland-Transfer-Grundlage
- SCC (EU 2021/914), Modul 2
- EU-Vertretung (Art. 27 DSGVO)
- Über [email protected]. Kein gesonderter Art.-27-Vertreter öffentlich benannt; Due-Diligence-Anfrage dokumentiert (2026-04-29)
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://deepgram.com/legal
- Hinweise
- Voice-Daten werden gemäß Deepgram-API-Vereinbarung nicht zu Trainingszwecken verwendet, sofern API-Plan ohne Zustimmung zu Datenverwendung gewählt wird.
Anthropic PBC
- Anschrift
- 548 Market St PMB 90375, San Francisco, CA 94104, USA
- Sitzland
- US
- Rolle
- LLM (Claude) für Konversationslogik und Termin-Verständnis
- Verarbeitete Daten
- Transkript-Snippets, Klinik-Kontext-Prompt, generierte Antwort
- Drittland-Transfer-Grundlage
- SCC + EU-U.S. DPF
- EU-Vertretung (Art. 27 DSGVO)
- Über [email protected]. Kein gesonderter Art.-27-Vertreter öffentlich benannt; Due-Diligence-Anfrage dokumentiert (2026-04-29)
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://www.anthropic.com/legal/commercial-terms
- Hinweise
- Commercial API-Modus: Anthropic verwendet Eingabedaten nicht zu Trainingszwecken (Commercial Terms, Stand 2026).
ElevenLabs Inc.
- Anschrift
- 228 Park Ave S PMB 30661, New York, NY 10003, USA
- Sitzland
- US
- Rolle
- Sprach-Synthese (TTS), Generierung der KI-Stimme
- Verarbeitete Daten
- Antwort-Text der KI, generiertes Audio
- Drittland-Transfer-Grundlage
- SCC (EU 2021/914), Modul 2; DPF-Status: bei jedem AVV-Update gegen die offizielle DPF-Liste (dataprivacyframework.gov) verifizieren
- EU-Vertretung (Art. 27 DSGVO)
- Über [email protected]. ElevenLabs hat Eleven Labs sp. z o.o. (Warschau, Polen) als europäische Tochtergesellschaft, was die Art.-27-Anforderung über eine EU-Niederlassung adressiert; Bestätigung als Teil der laufenden Due-Diligence dokumentiert (2026-04-29)
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://elevenlabs.io/dpa
- Hinweise
- Sub-Processor-Liste und TOM: https://compliance.elevenlabs.io
Resend Inc.
- Anschrift
- San Francisco, CA, USA
- Sitzland
- US
- Rolle
- Transaktionale E-Mail-Zustellung (Termin-Bestätigungen, Kontaktformular-Antworten)
- Verarbeitete Daten
- E-Mail-Adresse, Inhalt der jeweiligen Mail, Zustell-Status
- Drittland-Transfer-Grundlage
- SCC + EU-U.S. DPF
- EU-Vertretung (Art. 27 DSGVO)
- Über [email protected]. Kein gesonderter Art.-27-Vertreter öffentlich benannt; Due-Diligence-Anfrage dokumentiert (2026-04-29)
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://resend.com/legal/dpa
- Hinweise
- Sub-Processor-Liste: https://resend.com/legal/subprocessors
Microsoft Corporation (Clarity)
- Anschrift
- One Microsoft Way, Redmond, WA 98052, USA
- Sitzland
- US
- Rolle
- Anonyme Web-Analyse (Heatmaps, Klickmuster), nur nach Einwilligung
- Verarbeitete Daten
- Klickposition, Maus-/Scroll-Bewegung, Browser-Typ, Bildschirmauflösung, gekürzte IP
- Drittland-Transfer-Grundlage
- SCC + EU-U.S. DPF (Microsoft DPF-zertifiziert)
- EU-Vertretung (Art. 27 DSGVO)
- Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland)
- Auftragsverarbeitungsvertrag (AVV / DPA)
- https://learn.microsoft.com/en-us/clarity/data-privacy-data-protection
- Hinweise
- Speicherdauer 13 Monate. Vor Einwilligung wird Clarity mit clarity('consent', false) initialisiert, kein Cookie wird gesetzt.
Änderungen
Diese Liste wird bei jeder Änderung des Sub-Processor-Einsatzes aktualisiert. Das Datum der letzten Aktualisierung ist im Seitenkopf angegeben. Kunden, die eine Benachrichtigung bei Änderungen wünschen, können uns unter [email protected] kontaktieren.