Auftragsverbeitungsvertrag (DPA)
Falls Behaviorquant in Ihrem Auftrag Daten verarbeitet, geschieht das auf Basis des untenstehenden Auftragsverarbeitungsvertrags, dessen Geltung Sie mit Annahme der Behaviorquant Nutzungsbedingungen akzeptiert haben.
Letzte Änderung: 28. August 2022
1. Präambel
1.1. Behaviorquant als Auftragsverarbeiter (im Folgenden „Auftragsverarbeiter“) hat sich verpflichtet, die nachstehend beschriebenen Datenverarbeitungen gegenüber dem Verantwortlichen zu erbringen. Dieser Vertrag ist als Ergänzung der Behaviorquant Nutzungsbedingungen zu verstehen und konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus den bestehenden Behaviorquant Nutzungsbedingungen zu in ihren Einzelheiten beschriebenen Auftragsverarbeitungen ergeben. Für die Zwecke dieses Vertrages gelten die Begriffsdefinitionen der Datenschutzgrundverordnung (Verordnung (EU) 2016/679).
2. Vertragsgegenstand
2.1. Gegenstand der Leistungserbringung durch den Auftragsverarbeiter für den Verantwortlichen ist die Verwendung von Daten des Verantwortlichen zur Nutzung der vom Auftragsverarbeiter zur Verfügung gestellten BQ-Software. Die Software ermöglicht eine objektive behaviorale (=verhaltensorientierte) Analyse von Entscheidern im Finanz- und Investmentbereich. Diese generiert algorithmisch und auf Grundlage eines automatisierten Dialogs aus wissenschaftsbasierten Stimuli (z.B. Fragen, Aufgaben und Szenarios) Merkmalsprofile und Verhaltensvorhersagen der User sowie Empfehlungen zur Entscheidungsunterstützung und Verhaltensoptimierung. Dabei beschränken sich Umfang, Art und Zweck der Datenverarbeitung auf die Nutzung der unter Punkt 2.2. aufgezählten Datenkategorien. Besondere Kategorien von Daten gemäß Artikel 9 und 10 DSGVO dürfen nur nach schriftlicher Zustimmung des Verantwortlichen in den Systemen des Auftragsverarbeiters verarbeitet werden.
2.2. Folgende Datenkategorien werden verarbeitet:
Vorname, Nachname, E-Mail Adresse, Risikoeinstellungen, Wahrnehmungen und Einstellungen zu Markt- und Investitionsfragen, Persönlichkeit, Interessen und Werte, Entscheidungs- und Informationsverarbeitungsstil, Verhalten in Investmentsimulationen und Höhe fiktiver Investments, Behaviorale und kognitive Informationsverarbeitung und -verzerrungen (Biase), Sentiment- und Risikoeinschätzungen über den Geld- und Finanzmarkt, Beantwortungsverhalten, Soziodemografische und firmographische Merkmale zu Geschlecht, Alter, Bildungs- und Berufsstand, beruflicher Position, Dauer der Berufserfahrung, Berufsland, Unternehmenstyp und –größe.
2.3. Folgende Kategorien betroffener Personen werden der Verarbeitung unterliegen:
Kunden, Mitarbeiter, Mitarbeiter von Investmenttargets.
2.4. Die Verarbeitung der Daten durch den Auftragsverarbeiter findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragsverarbeiter gleichwohl gestattet, Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Verantwortlichen vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 - 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt. Der Verantwortliche nimmt zur Kenntnis, dass der Auftragsverarbeiter mit Sub-Auftragsverarbeitern auch eine Verarbeitung außerhalb des EWR vereinbaren darf, sofern diese unter den Voraussetzungen der Art. 44 - 48 DSGVO erfolgt oder eine Ausnahme nach Art. 49 DSGVO vorliegt.
3. Dauer des Vertrages
3.1. Die Laufzeit dieses Vertrages richtet sich nach und entspricht der Laufzeit des jeweils bestehenden Hauptvertrages, sofern sich aus den Bestimmungen dieses Vertrages nicht darüber hinausgehende Verpflichtungen ergeben.
4. Pflichten des Auftragsverarbeiters
4.1. Weisungsrecht
Der Auftragsverarbeiter hat keine eigenverantwortliche Entscheidung über die Art der Verwendung von Daten des Verantwortlichen zu treffen. Der Auftragsverarbeiter hat Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des Auftrags des Verantwortlichen und auf dokumentierte schriftliche Weisung hin zu verwenden und ausschließlich dem Verantwortlichen zu retournieren bzw. Übermittlungen nur nach dessen schriftlichem Auftrag durchzuführen. Verstößt eine schriftliche Weisung des Verantwortlichen nach Ansicht des Auftragsverarbeiters gegen Datenschutzrecht, hat der Auftragsverarbeiter seiner gesetzlichen Verpflichtung zur Warnung des Verantwortlichen nachzukommen. Zur Verwendung überlassener Daten für eigene Zwecke des Verantwortlichen muss der Verantwortliche einen schriftlichen Auftrag erteilt haben (Vgl. Punkt 4.10.).
4.2. Behördlicher Auftrag
Wird der Auftragsverarbeiter auf Grund eines behördlichen Auftrags aufgefordert, Daten des Verantwortlichen herauszugeben, so hat er – sofern gesetzlich zulässig – den Verantwortlichen unverzüglich darüber zu informieren und die Behörden an diesen zu verweisen.
4.3. Vertraulichkeit
Der Auftragsverarbeiter erklärt, dass alle mit der Datenverarbeitung beauftragten Personen zur Wahrung des Datengeheimnisses und zur Vertraulichkeit verpflichtet wurden oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Person auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
Die Verschwiegenheitsverpflichtung gilt auch für juristische Personen und Personengesellschaften.
4.4. Datensicherheit
Der Auftragsverarbeiter hat ausreichende Sicherheitsmaßnahmen gemäß Art 28 Abs 3 lit c und Art 32 DSGVO insbesondere in Verbindung mit Art 5 Abs 1 DSGVO zu ergreifen, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich gemacht werden. Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Der Auftragsverarbeiter hat alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 Abs 1 DSGVO zu ergreifen. Grundsätzlich vom Auftragsverarbeiter zu ergreifende technische und organisatorische Maßnahmen sind in Annex 1beispielsweise angeführt.
4.5. Betroffenenrechte
Der Auftragsverarbeiter hat die technischen und organisatorischen Maßnahmen zu implementieren, damit der Verantwortliche die Rechte der betroffenen Personen nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Frist jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenanwendung hält, hat der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiterzuleiten und dies dem Antragsteller mitzuteilen.
4.6. Überprüfung
Der Verantwortliche hat das Recht zur jederzeitigen Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, hinsichtlich der Verarbeitung der von ihm überlassenen Daten. Dies umfasst auch das Recht des Verantwortlichen, Inspektionen (von diesem selbst oder einem von ihm beauftragten Prüfer) in den Räumlichkeiten des Auftragsverarbeiters durchzuführen. Der Auftragsverarbeiter hat dem Verantwortlichen jegliche Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung dieses Vertrages notwendig sind.
4.7. Unterstützung
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische oder organisatorische Maßnahmen bei der Einhaltung der in Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
4.8. Datenschutz-Folgeabschätzung
Insbesondere unterstützt der Auftragsverarbeiter auf Anfrage des Verantwortlichen, diesen bei der Sicherstellung der Einhaltung aller Pflichten des Verantwortlichen in Bezug auf Datenschutz-Folgeabschätzungen und die vorherige Konsultation, einschließlich der Pflichten des Verantwortlichen gemäß Art 35 und 36 DSGVO, sofern der Verantwortliche anderweitig keinen Zugang zu den maßgeblichen Informationen hat und solche Informationen dem Auftragsverarbeiter vorliegen. Der Auftragsverarbeiter bietet dem Verantwortlichen angemessene Unterstützung bei der Zusammenarbeit mit der Aufsichtsbehörde bei der Erfüllung deren Aufgaben an.
4.9. Verarbeitungsverzeichnis
Der Auftragsverarbeiter wird für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO führen.
4.10. Rückgabe personenbezogener Daten
Der Auftragsverarbeiter ist binnen drei Monaten nach Beendigung dieses Vertrages verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Verantwortlichen entweder zu übergeben oder in dessen Auftrag zu vernichten. Das dahingehende Wahlrecht obliegt dem Verantwortlichen. Wenn der Auftragsverarbeiter die Daten in einem speziellen technischen Format verarbeitet, ist der Auftragsverarbeiter verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Verantwortlichen in dem Format, in dem er die Daten vom Verantwortlichen erhalten hat oder in einem anderen, gängigen Format herauszugeben. Ausgenommen sind nur jene personenbezogenen Daten die nach Unionsrecht oder Gesetz eine Verpflichtung zur Speicherung personenbezogener Daten vorsehen.
Der Auftragsverarbeiter ist berechtigt, auch nach Beendigung des Vertrages, die Daten in anonymisierter Form für künftige Produktentwicklungen und Produktweiterentwicklungen sowie für die Verbesserung der Algorithmen und Machine-Learning-Prozesse weiterzuverarbeiten. Sämtliche Daten der Nutzer werden im Falle einer Weiterverarbeitung durch den Auftragsverarbeiter von diesem soweit anonymisiert, dass diese weder dem Verantwortlichen noch den Nutzern zugeordnet werden können.
5. Sub-Auftragsverarbeiter
5.1. Der Verantwortliche genehmigt hiermit in allgemeiner Weise die Inanspruchnahme von Sub-Auftragsverarbeitern durch den Auftragsverarbeiter. Die gegenwärtig vom Auftragsverarbeiter eingesetzten weiteren Auftragsverarbeiter sind genannt in Annex 2. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Daten nicht ausgeschlossen werden kann, solange der Auftragsverarbeiter angemessene Regelungen zum Schutz der Vertraulichkeit der Daten trifft.
5.2. Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Verantwortlichen steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Verantwortlichen nur aus wichtigem, dem Auftragsverarbeiter nachzuweisenden Grund erhoben werden. Soweit der Verantwortliche nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Verantwortliche Einspruch, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.
5.3. Nimmt der Auftragsverarbeiter einen anderen Sub-Auftragsverarbeiter in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so hat der Auftragsverarbeiter diesem Sub-Auftragsverarbeiter im Wege eines Vertrages dieselben Datenschutzpflichten aufzuerlegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.
5.4. Unter Einhaltung der Anforderungen der Ziffer 2.4 dieses Vertrags gelten die Regelungen in dieser Ziffer 5. auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Der Verantwortliche bevollmächtigt den Auftragsverarbeiter hiermit, in Vertretung des Verantwortlichen mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 4.6.2021 zu schließen. Der Verantwortliche erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.
6. Sonstiges
6.1. Mündliche Nebenabreden zu diesem Auftragsverarbeitungsvertrag bestehen nicht. Änderungen oder Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf das Schriftformerfordernis.
6.2. Sollte eine Bestimmung dieses Vertrages ungültig oder unwirksam sein, wird sie durch eine Bestimmung ersetzt, die in ihrem Ergebnis der ungültigen oder unwirksamen Bestimmung am Nächsten kommt. Die übrigen Bestimmungen bleiben hiervon unberührt.
6.3. Dieser Vertrag unterliegt österreichischem Recht unter Ausschluss seiner Verweisungsnormen und des UN-Kaufrechts. Sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag werden ausschließlich durch das Handelsgericht Wien entschieden.
Appendix 1: Technische und organisatorische Maßnahmen
Innerhalb seines Verantwortlichkeitsbereichs ergreift der Auftragsverarbeiter bei der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten die folgenden technischen und organisatorischen Maßnahmen.
1. Präventive Sicherheitsmaßnahmen – Maßnahmen zur Verhinderung eines erfolgreichen Angriffs
1.1. Technische Maßnahmen
Logical access control
Die Vergabe von Zugriffsberechtigungen erfolgt nach dem „Need-to-Know“-Prinzip.
Authentication
Jeglicher Zugriff auf personenbezogene Daten erfolgt ausschließlich nach einer erfolgreichen Authentifizierung.
Password security
Soweit Passwörter zur Authentifizierung eingesetzt werden, sind diese mindestens acht Zeichen lang. Passwörter werden ausschließlich verschlüsselt gespeichert. Bei sicherheitskritischen Anwendungen wird eine Zwei-Faktor-Authentifizierung eingesetzt.
Encryption during transmission
Personenbezogene Daten werden auf dem Übertragungsweg über das Internet verschlüsselt.
Encryption of mobile devices
Mobile Endgeräte und mobile Datenträger werden verschlüsselt, zumindest soweit auf diesen Geräten sensible Daten gespeichert werden.
Network security
Es wird eine Firewall eingesetzt, welche das interne Netzwerk vom Internet trennt und – soweit möglich – eingehenden Netzwerkverkehr blockiert.
Measures against malware
Es wird nach Möglichkeit auf allen Systemen Anti-Viren Software eingesetzt. Alle eingehenden Emails werden automatisch auf Schadsoftware gescannt.
Management of security vulnerabilities
Soweit möglich, ist auf allen Geräten die automatische Installation von Sicherheitsupdates aktiviert.
1.2. Organisatorische Maßnahmen
Clear responsibilities
Interne Zuständigkeiten für Fragen der Datensicherheit sind definiert.
Obligation of employees to maintain confidentiality
Die Dienstnehmer werden über die Dauer ihres Dienstverhältnisses hinaus zur Verschwiegenheit verpflichtet. Insbesondere werden sie dazu verpflichtet, personenbezogene Daten nur auf ausdrückliche Anweisung eines Vorgesetzten an Dritte zu übermitteln.
Training and information measures
Die Dienstnehmer werden zu Fragen der Datensicherheit (intern oder extern) geschult und angemessen über Fragen der Datensicherheit informiert (zB Passwortsicherheit).
Orderly termination of employment
Bei Beendigung des Dienstverhältnisses erfolgen eine unverzügliche Sperrung aller Konten des ausscheidenden Dienstnehmers sowie eine Abnahme aller Schlüssel des ausscheidenden Dienstnehmers.
Management of computer hardware
Es werden Aufzeichnungen darüber geführt, welchem Mitarbeiter welche Endgeräte (zB PC, Laptop, Mobiltelefon) zugewiesen wurden.
Input control
Es bestehen Verfahren zur Kontrolle der Richtigkeit der eingegebenen personenbezogenen Daten.
No duplication of user accounts
Jeder Nutzer hat seinen eigenen Benutzer-Account. Das Teilen von Benutzer-Accounts ist untersagt.
No unnecessary use of administrative accounts
Benutzer-Accounts mit administrativen Rechten werden nur in Ausnahmefällen verwendet – die reguläre Nutzung von IT-Systemen erfolgt ohne administrative Rechte.
Selection of service providers
Bei der Auswahl von Dienstleistern wird das vom Dienstleister gebotene Datensicherheitsniveau berücksichtigt. Der Einsatz eines Dienstleisters, der als Auftragsverarbeiter einzustufen ist, erfolgt nur nach Abschluss eines Auftragsverarbeitungsvertrages.
Secure data disposal
Papier, welches personenbezogene Daten enthält, wird grundsätzlich geschreddert bzw. einem externen Dienstleister zur sicheren Vernichtung übergeben. Datenträger werden vor ihrer Entsorgung vollständig überschrieben oder physisch zerstört, sodass die darauf gespeicherten Daten nicht wiederhergestellt werden können.
1.3. Physische Maßnahmen
Physical access control
Das Betreten der Betriebsräumlichkeiten ist für betriebsfremde Personen nur in Begleitung einer betriebsangehörigen Person zulässig.
Key management
Schlüssel, welchen den Zugang zu den Betriebsräumlichkeiten oder Teilen derselben ermöglichen, werden nur an besonders vertrauenswürdige Personen ausgehändigt und dies auch nur soweit und solange diese Personen tatsächlich einen eigenen Schlüssel benötigen.
2. Detektive Sicherheitsmaßnahmen – Maßnahmen zur Erkennung eines Angriffs
2.1. Technische Maßnahmen
Scans for malware
Es werden regelmäßig Scans nach Schadsoftware (Anti-Viren-Scans) durchgeführt, um Schadsoftware zu identifizieren, welche ein IT-System bereits kompromittiert hat.
Automatic checking of log files
Soweit die Sicherheits-Logfiles mehrerer Systeme auf einem System zentralisiert gesammelt werden, erfolgt eine automatisierte Auswertung der Logfiles, um mögliche Sicherheitsverletzungen zu erkennen.
2.2. Organisatorische Maßnahmen
Detection of security breaches by employees
Alle Dienstnehmer werden instruiert, wie sie Sicherheitsverletzungen erkennen und berichten können (zB nicht mehr auffindbare Computer-Hardware, Meldungen von Anti-Viren-Software).
Reporting systems
Es bestehen technische Verfahren, die es Mitarbeitern ermöglichen, Auffälligkeiten und Anomalien bei technischen Systemen an die zuständigen Personen zu melden.
Audits
Es werden regelmäßige Audits durchgeführt (zB Prüfung, ob alle kritischen Sicherheits-Updates installiert wurden). Insbesondere erfolgt eine regelmäßige Prüfung der erteilten Zugriffs- und Zutrittsberechtigungen (welchem Mitarbeiter ist welcher Benutzer-Account mit welchen Zugriffsrechten zugewiesen; welche Personen verfügen über welche Schlüssel).
Manual checking of log files
Soweit Logfiles geführt werden (zB über erfolglose Authentifizierungsversuche), werden diese in regelmäßigen Abständen geprüft.
3. Reaktive Sicherheitsmaßnahmen – Maßnahmen zur Reaktion auf einen Angriff
3.1. Technische Maßnahmen
Data backup
Es werden regelmäßig Datensicherungen erstellt und sicher aufbewahrt.
Data recovery concept
Es ist ein Konzept zur raschen Wiederherstellung von Datensicherungen entwickelt, um nach einer Sicherheitsverletzung zeitnah den regulären Betrieb wiederherstellen zu können.
Automatic removal of malware
Die eingesetzte Anti-Viren-Software verfügt über die Funktion, Schadsoftware automatisch zu entfernen.
3.2. Organisatorische Maßnahmen
Obligation to notify employees
Alle Dienstnehmer werden angewiesen, Sicherheitsverletzungen unverzüglich an eine zuvor definierte interne Stelle bzw. Person zu melden.
Reporting obligation for external service providers
Allen Dienstleistern werden Kontaktdaten für die Meldung von Sicherheitsverletzungen mitgeteilt.
Reporting obligation for responding to security breaches
Es wird durch einen geeigneten Prozess sichergestellt, dass Sicherheitsverletzungen innerhalb von 72 Stunden ab Kenntnis von der Sicherheitsverletzung an die Datenschutzbehörde gemeldet werden können. Insbesondere sind allen Dienstnehmern die Notfall-Telefonnummern der zu involvierenden Personen bekannt zu geben (zB Notfall-Telefonnummer für den IT-Support).
4. Abschreckende Sicherheitsmaßnahmen – Maßnahmen zur Minderung der Angreifer Motivation
4.1. Technische Maßnahmen
Automatic alerts
Nutzer erhalten automatische Warnmeldungen bei risikoträchtiger IT-Nutzung (zB durch den Webbrowser, wenn eine verschlüsselte Website kein korrektes SSL/TLS-Zertifikat verwendet).
4.2. Organisatorische Maßnahmen
Sanctions in case of attacks by own employees
Alle Dienstnehmer werden darüber informiert, dass Angriffe auf betriebseigene IT-Systeme nicht toleriert werden und schwerwiegende arbeitsrechtliche Konsequenzen nach sich ziehen können.
Logging of accesses
Zugriffe auf Anwendungen, insb. Eingabe, Löschung und Änderung von Daten, werden protokolliert.
Appendix 2: Liste der Sub-Auftragsverarbeiter
| Sub-Auftragsverarbeiter | Produkt | Einsatz / Service | Standort des Rechenzentrums |
| Google (US) | Google Cloud Platform | Hosting infrastructure | EU (NL) |
| Google (US) | Google reCAPTCHA | Spam protection for form entries | USA |
| Hotjar (MLT) | Hotjar | Online behavior analysis | EU |
| Hubspot (US) | Hubspot | CRM, marketing | EU |
| Microsoft (US) | Microsoft 365 | Documentation, collaboration | EU |
| Mailjet (F) | Mailjet | Mail infrastructure | EU |
| Stripe, Inc. (US) | Stripe | Payment processing | IRL / USA |
| Typeform, S.L. (ES) | Typeform | Online surveys | EU |
