Auftragsverarbeiter

Stand: Mai 2026

Überblick

Gemäß unserem Auftragsverarbeitungsvertrag (AVV) listet diese Seite alle Auftragsverarbeiter auf, die von der Sourcera GmbH zur Verarbeitung personenbezogener Daten im Auftrag unserer Kunden eingesetzt werden. Die Auftragsverarbeiter sind in drei Hauptkategorien unterteilt: Infrastrukturanbieter, KI-Modellanbieter & Routing sowie Software-Service-Auftragsverarbeiter.

Gemäß unserem AVV informieren wir Kunden mindestens 30 Tage im Voraus, bevor wir einen neuen Auftragsverarbeiter beauftragen oder einen bestehenden ersetzen. Kunden können solchen Änderungen innerhalb von 14 Kalendertagen nach Erhalt der Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen.

Alle Infrastrukturanbieter und KI-Verarbeitungen erfolgen ausschließlich innerhalb der EU/EWR-Regionen in Übereinstimmung mit der DSGVO.

Aktiv — aktuell im EinsatzGenehmigt — genehmigt, Einsatz kann aktiviert werdenKundenbezogen genehmigt — kundenspezifisch aktiviert

Infrastrukturanbieter

Stellen Rechenkapazität, Speicher, Netzwerk- und Datenbankdienste bereit, die den Sourcera-Dienst hosten. Alle Infrastrukturanbieter betreiben Sourcera-Workloads ausschließlich in EU/EWR-Regionen.

1. Microsoft AzureAktiv

Anbieter: Microsoft Ireland Operations Ltd

Standort: EU — Westeuropa (Niederlande), Nordeuropa (Irland) 🇪🇺

Zweck: Hyperscale-Cloud-Infrastruktur-Hosting

Dienste:

  • Compute (Azure Container Apps, virtuelle Maschinen)
  • Datenbank (Azure Database for PostgreSQL)
  • Caching & Warteschlangen-Verwaltung (Azure Redis Cache)
  • Dateispeicherung (Azure Blob Storage)
  • Netzwerk und Schlüsselverwaltung
  • System-Monitoring & Warnungen (Azure Monitor)

Verarbeitete Datentypen: Alle Datenkategorien, die im Dienst verarbeitet werden, einschließlich Benutzerzugriffsdaten, Lieferanteninformationen, Transaktionsdaten, RFP/Ausschreibungsinhalte und Beschaffungsinitiativ-Details.

Rechtsgrundlage: Microsoft Azure Standardvertragsklauseln (EU-Musterklauseln), AVV verfügbar unter microsoft.com Link

2. Amazon Web Services (AWS)Genehmigt

Anbieter: Amazon Web Services EMEA SARL

Standort: EU — Frankfurt (eu-central-1), Irland (eu-west-1) 🇪🇺

Zweck: Hyperscale-Cloud-Infrastruktur (genehmigter sekundärer Einsatz)

Dienste:

  • Compute, Speicher, Datenbank, Netzwerk
  • Schlüsselverwaltung

Verarbeitete Datentypen: Alle Datenkategorien, die im Dienst verarbeitet werden.

Rechtsgrundlage: AWS Datenschutz-Nachtrag, Standardvertragsklauseln (EU)

3. Open Telekom CloudGenehmigt

Anbieter: T-Systems International GmbH

Standort: DE — Biere, Magdeburg 🇩🇪

Zweck: Souveräne EU-Cloud-Infrastruktur (genehmigter Einsatz)

Dienste:

  • Compute, Speicher, GPU

Verarbeitete Datentypen: Alle Datenkategorien, die im Dienst verarbeitet werden.

Rechtsgrundlage: T-Systems AVV, DSGVO-konform, deutsche souveräne Cloud

4. NVIDIA-basierte EU Sovereign GPU CloudsGenehmigt

Anbieter: z.B. NSCALE, IONOS GPU Cloud, OVHcloud GPU

Standort: EU — mehrere Mitgliedstaaten 🇪🇺

Zweck: GPU-Rechenleistung für KI-Inferenz und Training

Dienste:

  • GPU-Inferenz für Open-Weight-KI-Modelle
  • KI-Modell-Training

Verarbeitete Datentypen: Anonymisierte Inferenz-Eingaben und -Ausgaben; Embeddings.

Wichtig: Es wird ausschließlich NVIDIA-zertifizierte EU-Sovereign-GPU-Infrastruktur verwendet. Alle Verarbeitungen verbleiben in EU-Mitgliedstaaten.

Rechtsgrundlage: Individuelle AVVs je Anbieter, Standardvertragsklauseln (EU)

5. Hetzner Online GmbHAktiv

Anbieter: Hetzner Online GmbH

Standort: DE — Falkenstein, Nürnberg, Helsinki 🇩🇪

Zweck: Backup-Speicher und CI/CD-Runner (nicht produktiv)

Dienste:

  • Backup-of-Backup-Speicher
  • CI/CD-Pipeline-Runner (nicht produktiv)

Verarbeitete Datentypen: Verschlüsselte Backups; Build-Artefakte. Keine personenbezogenen Daten im Klartext.

Rechtsgrundlage: Hetzner AVV, DSGVO-konform, deutscher Anbieter

6. PineconeAktiv

Anbieter: Pinecone Systems, Inc.

Standort: Europäische Union 🇪🇺

Zweck: Vektordatenbank für semantische Suche

Dienste:

  • Dokumenten-RAG (Retrieval-Augmented Generation)
  • Semantische Suche in Beschaffungsdokumenten
  • Lieferanten-Matching
  • Historische Ausschreibungssuche

Verarbeitete Datentypen: Vektor-Embeddings (numerische Darstellungen) von Dokumentinhalten, Lieferantenbeschreibungen und RFP/RFQ-Inhalten. Metadaten umfassen Dokument-IDs, Namespaces und Tags.

Wichtig: Es werden ausschließlich mathematische Embeddings gespeichert, keine vollständigen Originaldokumente.

Rechtsgrundlage: Pinecone AVV, AWS-gestützte Infrastruktur (EU-Region), Standardvertragsklauseln

7. LangfuseAktiv

Anbieter: Langfuse GmbH

Standort: Deutschland (Europäische Union) 🇩🇪

Zweck: LLM-Observability und Monitoring

Dienste:

  • LLM-Aufruf-Tracing und Debugging
  • Performance-Monitoring
  • Kostentracking
  • Qualitätssicherung

Verarbeitete Datentypen: LLM-Prompts und Antworten (können personenbezogene Daten enthalten), Metadaten (Zeitstempel, Modellnamen, Token-Anzahl), Nutzer-IDs, Fehlerprotokolle.

Rechtsgrundlage: Langfuse AVV (EU-basierter Anbieter), DSGVO-konform, deutsches Daten-Hosting

KI-Modellanbieter & Inferenz-Routing

Stellen vortrainierte Large Language Models, Embedding-Modelle und Inferenz-Routing für KI-Funktionen bereit. Alle Inferenzen erfolgen in EU/EWR-Regionen oder, falls kein EU-Endpunkt für ein bestimmtes Modell verfügbar ist, nur nach einer dokumentierten Datenschutzfolgenabschätzung. Sourcera verwendet personenbezogene Kundendaten nicht zum Training geteilter (Multi-Tenant) Foundation-Modelle.

8. OpenRouterAktiv

Anbieter: OpenRouter, Inc.

Standort: EU-Endpunkte wo verfügbar; ansonsten Zero-Retention-Durchleitung 🇪🇺

Zweck: KI-Inferenz-Routing und Aggregation über Foundation-Model-Anbieter

Dienste:

  • Inferenz-Routing zu mehreren Foundation-Model-Anbietern
  • Modell-Aggregation und Fallback-Management

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben. Personenbezogene Daten können enthalten sein, soweit dies durch die dokumentierte Nutzung des Kunden bedingt ist.

Datenschutz: Sourcera wendet Pseudonymisierungs- und Prompt-Redaktionstechniken an, um die PII-Exposition in Inferenz-Eingaben zu minimieren. Zero-Retention-Policy für Nicht-EU-Endpunkte.

Rechtsgrundlage: OpenRouter AVV, Standardvertragsklauseln (EU)

9. Azure OpenAI ServiceAktiv

Anbieter: Microsoft Ireland Operations Ltd

Standort: EU — Schweden Central, Schweiz Nord, Frankreich Central 🇪🇺

Zweck: GPT-Klasse Sprachmodelle für Textverständnis und -generierung

Dienste:

  • Ausschreibungsinhalts-Generierung (automatisierte RFX-Erstellung)
  • Spend-Analyse und Opportunity-Identifikation
  • Dokumentenverständnis und -extraktion
  • Lieferanten-Intelligence und Kategorisierung
  • Verarbeitung natürlicher Sprache

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben, einschließlich Lieferanteninformationen, RFP/RFQ-Inhalten, Vertragsmetadaten und Nutzeranfragen.

Datenschutz: Kundendaten werden nicht zum Training allgemeiner KI-Modelle verwendet. Azure OpenAI garantiert Datenisolation und DSGVO-Konformität.

Rechtsgrundlage: Azure OpenAI AVV, EU Data Boundary Commitment

10. Anthropic (Claude)Aktiv

Anbieter: Anthropic Ireland Limited

Standort: EU/UK-Endpunkte; AWS Frankfurt wo verfügbar 🇪🇺

Zweck: Claude-Familie Sprachmodelle für Textverständnis und -generierung

Dienste:

  • Erweitertes Sprachverständnis
  • Dokumentenanalyse und -extraktion
  • Kontextuelle Verarbeitung von Beschaffungsdaten

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben, einschließlich Beschaffungsdokumenten, Lieferanteninformationen und Nutzeranfragen.

Datenschutz: Daten werden nicht zum Modell-Training verwendet. Anthropic bietet Datenisolation und DSGVO-Konformität.

Rechtsgrundlage: Anthropic AVV, Standardvertragsklauseln (EU)

11. Google Vertex AI / GeminiAktiv

Anbieter: Google Ireland Limited

Standort: EU — europe-west4 (Niederlande), europe-west3 (Frankfurt) 🇪🇺

Zweck: Gemini-Familie Sprach- und multimodale Modelle

Dienste:

  • Multimodales Dokumentenverständnis
  • Textgenerierung und -analyse

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben.

Rechtsgrundlage: Google Cloud AVV, Standardvertragsklauseln (EU)

12. Mistral AIAktiv

Anbieter: Mistral AI SAS

Standort: EU — Frankreich 🇫🇷

Zweck: Europäische Open- und Closed-Weight Foundation-Modelle

Dienste:

  • Textgenerierung und -verständnis
  • Europäische souveräne KI-Inferenz

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben.

Rechtsgrundlage: Mistral AI AVV, DSGVO-konform, EU-basierter Anbieter

13. Meta / Llama (EU GPU Clouds)Aktiv

Anbieter: Meta Platforms Ireland Ltd — Modelle auf EU-GPU-Infrastruktur gehostet

Standort: EU — auf EU GPU Clouds (siehe Infrastrukturanbieter) 🇪🇺

Zweck: Open-Weight Llama-Familie Foundation-Modelle für Inferenz

Dienste:

  • Open-Weight Sprachmodell-Inferenz
  • Kosteneffiziente Textgenerierung und -verständnis

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben.

Wichtig: Llama-Modelle werden von Sourcera selbst auf EU-GPU-Infrastruktur betrieben. Es werden keine Daten an Metas eigene Endpunkte gesendet.

Rechtsgrundlage: Llama Open-Source-Lizenz; Verarbeitung durch die AVVs der EU GPU Cloud-Anbieter geregelt

14. DeepSeek (EU GPU Clouds)Genehmigt

Anbieter: DeepSeek-Familie Open-Weight-Modelle — von Sourcera auf EU-GPU-Infrastruktur betrieben

Standort: EU — auf EU GPU Clouds (siehe Infrastrukturanbieter) 🇪🇺

Zweck: Open-Weight DeepSeek-Familie Modelle (DeepSeek-V3, DeepSeek-R1) für Textverständnis, -generierung und Reasoning

Dienste:

  • Textverständnis und -generierung
  • Reasoning und Chain-of-Thought-Aufgaben

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben.

Wichtig: Ausschließlich von Sourcera auf EU-GPU-Infrastruktur betrieben. Es wird kein Datenverkehr an DeepSeeks eigene (Nicht-EU) Infrastruktur gesendet.

Rechtsgrundlage: DeepSeek Open-Source-Lizenz; Verarbeitung durch die AVVs der EU GPU Cloud-Anbieter geregelt

15. OllamaKundenbezogen genehmigt

Anbieter: Ollama (Open-Source-Modell-Laufzeitumgebung)

Standort: EU — innerhalb der Sourcera EU-Infrastruktur oder, wo vereinbart, On-Premises-Umgebung des Kunden 🇪🇺

Zweck: Open-Source-Laufzeitumgebung zur lokalen Ausführung von Open-Weight-Foundation-Modellen

Dienste:

  • Lokale Ausführung von Open-Weight-KI-Modellen
  • On-Premises-Modell-Inferenz wo ausdrücklich mit dem Kunden vereinbart

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben (in-place verarbeitet; kein Transfer außerhalb kontrollierter Umgebungen).

Wichtig: Aus Transparenzgründen aufgeführt. Ollama selbst überträgt keine Daten an externe Dienste.

Rechtsgrundlage: Ollama Open-Source-Lizenz; keine Datenweitergabe außerhalb kontrollierter Umgebungen

16. CohereAktiv

Anbieter: Cohere Inc. (EU-Endpunkte)

Standort: EU-Endpunkte wo verfügbar 🇪🇺

Zweck: Embedding- und Reranking-Modelle für Retrieval-Augmented Generation

Dienste:

  • Text-Embedding-Generierung
  • Reranking für RAG-Pipelines

Verarbeitete Datentypen: Inferenz-Eingaben und -Ausgaben (typischerweise Lieferantenbeschreibungen, Ausschreibungstexte).

Rechtsgrundlage: Cohere AVV, Standardvertragsklauseln (EU)

17. DeepLAktiv

Anbieter: DeepL SE

Standort: DE — Köln 🇩🇪

Zweck: Maschinelle Übersetzung

Dienste:

  • Automatisierte Übersetzung von Beschaffungsdokumenten und Lieferanteninhalten

Verarbeitete Datentypen: Zur Übersetzung eingegebene Texte.

Rechtsgrundlage: DeepL AVV, DSGVO-konform, deutscher Anbieter

18. OpenAIAktiv

Anbieter: OpenAI, L.L.C.

Standort: Europäische Union 🇪🇺

Zweck: Text-Embedding-Generierung

Dienste:

  • Text-Embedding-Generierung (text-embedding-3-large)
  • Dokumentenvektorisierung für semantische Suche

Verarbeitete Datentypen: Dokumentinhalte, Lieferantenbeschreibungen, Beschaffungstextdaten werden in Vektor-Embeddings umgewandelt.

Datenschutz: OpenAI API mit EU-Datenverarbeitung. Daten werden gemäß OpenAIs API-Datennutzungsrichtlinie nicht für das Modell-Training verwendet.

Rechtsgrundlage: OpenAI AVV, Standardvertragsklauseln

Software-Service-Auftragsverarbeiter

Stellen Hilfsfunktionen bereit wie Kundensupport-Tools, E-Mail-Zustellung, Observability, Zahlungsabwicklung und Lieferantendaten-Anreicherung.

19. HubSpotAktiv

Anbieter: HubSpot Ireland Ltd

Standort: EU — Irland 🇪🇺

Zweck: Customer-Relationship-Management; kommerzielle Kommunikation

Dienste:

  • CRM und Kontaktverwaltung
  • Kommerzielle Kommunikation (nicht Teil des Produktivdienstes)

Verarbeitete Datentypen: Geschäftliche Kontaktdaten.

Wichtig: HubSpot wird ausschließlich für kommerzielle Kommunikation verwendet, nicht zur Verarbeitung personenbezogener Kundendaten im Produktivdienst.

Rechtsgrundlage: HubSpot AVV, Standardvertragsklauseln (EU)

20. Atlassian (Jira, Confluence)Aktiv

Anbieter: Atlassian B.V.

Standort: EU — Frankfurt 🇩🇪

Zweck: Issue-Tracking, Incident-Management und Dokumentation

Dienste:

  • Issue- und Incident-Tracking (Jira)
  • Dokumentation und Wissensdatenbank (Confluence)
  • Team-Zusammenarbeit

Verarbeitete Datentypen: Ticket-Metadaten; Issue-Beschreibungen. Keine personenbezogenen Kundendaten.

Rechtsgrundlage: Atlassian AVV, EU-Cloud (Deutschland), DSGVO-konform

21. NotionAktiv

Anbieter: Notion Labs Ireland Ltd

Standort: EU/US — auf Nicht-PD-Inhalte beschränkt 🇪🇺

Zweck: Interne Dokumentation und kundenorientierte Wissensdatenbank

Dienste:

  • Interne Dokumentation
  • Kundenorientierte Wissensdatenbank

Verarbeitete Datentypen: Nur Dokumentation. Keine personenbezogenen Kundendaten.

Rechtsgrundlage: Notion AVV, Standardvertragsklauseln (EU)

22. LinearAktiv

Anbieter: Linear Orbit, Inc.

Standort: EU/US 🇪🇺

Zweck: Engineering Issue-Tracking

Dienste:

  • Engineering-Issue- und Sprint-Tracking

Verarbeitete Datentypen: Engineering-Issues. Keine personenbezogenen Kundendaten.

Rechtsgrundlage: Linear AVV, Standardvertragsklauseln (EU)

23. Loops / Customer.ioAktiv

Anbieter: Loops.so / Customer.io / gleichwertiger Anbieter

Standort: EU-Endpunkte wo verfügbar 🇪🇺

Zweck: Transaktionale E-Mail-Zustellung

Dienste:

  • Transaktionale E-Mails (Kontobenachrichtigungen, Rechnungen, Support)

Verarbeitete Datentypen: E-Mail-Adresse des Empfängers; transaktionaler Inhalt.

Rechtsgrundlage: Anbieter-AVV, Standardvertragsklauseln (EU)

24. SentryAktiv

Anbieter: Sentry GmbH

Standort: EU — Frankfurt 🇩🇪

Zweck: Anwendungsfehlerverfolgung und Observability

Dienste:

  • Anwendungsfehlerverfolgung
  • Performance-Tracing

Verarbeitete Datentypen: Fehler-Stacks und Request-Metadaten. PII wird auf SDK-Ebene vor der Übertragung bereinigt.

Rechtsgrundlage: Sentry AVV, DSGVO-konform, deutscher Anbieter

25. DatadogAktiv

Anbieter: Datadog EMEA Ltd

Standort: EU — Frankfurt, Paris 🇪🇺

Zweck: Infrastruktur- und Anwendungsperformance-Monitoring

Dienste:

  • Infrastruktur-Monitoring
  • Application Performance Monitoring (APM)
  • Log-Management

Verarbeitete Datentypen: Betriebliche Telemetrie und Protokolle. Keine personenbezogenen Kundendaten.

Rechtsgrundlage: Datadog AVV, Standardvertragsklauseln (EU)

26. StripeAktiv

Anbieter: Stripe Payments Europe Ltd

Standort: EU — Irland 🇪🇺

Zweck: Zahlungsabwicklung

Dienste:

  • Kreditkartenverarbeitung für Sourcera-Abonnements

Verarbeitete Datentypen: Zahlungsdaten des autorisierten Zahlers des Kunden.

Wichtig: Gilt nur, wenn der Kunde Sourcera per Kreditkarte bezahlt.

Rechtsgrundlage: Stripe AVV, Standardvertragsklauseln (EU)

27. Dun & BradstreetKundenbezogen genehmigt

Anbieter: Dun & Bradstreet Deutschland GmbH

Standort: EU — Deutschland 🇩🇪

Zweck: Anreicherung von Lieferantensstammdaten

Dienste:

  • Datenanreicherung juristischer Personen
  • Adressverifizierung
  • ESG-Kennzeichen und Lieferantenrisikodaten

Verarbeitete Datentypen: Vom Kunden hochgeladene Lieferantenstammdaten.

Rechtsgrundlage: Dun & Bradstreet AVV, DSGVO-konform, deutscher Anbieter

28. Beschaffungsplattform-AnbieterKundenbezogen genehmigt

Anbieter: z.B. Tagetik oder vorhandene Spend-Plattform des Kunden

Standort: Gemäß AVV des Drittanbieters (EU) 🇪🇺

Zweck: Wo der Kunde ausdrücklich Sourcera-Module abonniert, die eine Drittanbieter-Beschaffungsplattform nutzen

Dienste:

  • Spend-Management-Integration
  • Beschaffungsworkflow-Integration

Verarbeitete Datentypen: Wie im jeweiligen Arbeitsauftrag beschrieben.

Wichtig: Wird nur auf ausdrücklichen Kundenwunsch aktiviert, wie in einem Arbeitsauftrag dokumentiert.

Rechtsgrundlage: Gemäß AVV des Drittanbieters (EU)

29. Microsoft 365Aktiv

Anbieter: Microsoft Corporation

Standort: Europäische Union 🇪🇺

Zweck: Geschäftliche Kommunikation und Zusammenarbeit

Dienste:

  • E-Mail-Kommunikation (Outlook) mit Kunden
  • Dokumenterstellung und Zusammenarbeit (Word, Excel, PowerPoint)
  • Dateispeicherung (OneDrive, SharePoint)
  • Videokonferenzen (Teams)

Verarbeitete Datentypen: E-Mail-Korrespondenz mit Kunden, die Namen, Kontaktdaten und Projektinformationen enthält. Dokumente mit Kundendaten und Beschaffungsdetails.

Rechtsgrundlage: Microsoft 365 AVV, EU-Standardvertragsklauseln

30. ebueroAktiv

Anbieter: ebuero AG

Standort: Deutschland 🇩🇪

Zweck: Telefondienst und Anrufbearbeitung

Dienste:

  • Eingehende Anrufentgegennahme
  • Nachrichtenaufnahme und -weitergabe

Verarbeitete Datentypen: Anrufernamen, Telefonnummern, Firmennamen, Nachrichteninhalte.

Rechtsgrundlage: ebuero AVV, DSGVO-konform, deutscher Anbieter

31. VantaAktiv

Anbieter: Vanta Inc.

Standort: Europäische Union 🇪🇺

Zweck: Sicherheits-Compliance-Monitoring und Automatisierung

Dienste:

  • Compliance-Monitoring (ISO 27001, SOC 2, DSGVO)
  • Sicherheitsposturtenverwaltung
  • Automatisierte Compliance-Berichte

Verarbeitete Datentypen: Systemzugriffsprotokolle, Mitarbeiterinformationen, Sicherheitskonfigurationen, Compliance-Nachweise.

Rechtsgrundlage: Vanta AVV, Standardvertragsklauseln, DSGVO-konform

Externe Plattform-Integrationen

Kundenspezifische Beschaffungsplattform-Integrationen. Diese Auftragsverarbeiter werden nur für Kunden aktiviert, die die jeweilige Plattform nutzen und die Sourcera-Integration ausdrücklich aktiviert haben.

32. SievoKundenbezogen genehmigt

Anbieter: Sievo Oy

Standort: Europäische Union (Finnland) 🇫🇮

Zweck: Spend-Analyse und Opportunity-Identifikation

Dienste:

  • Spend-Datenanalyse
  • Lieferantenbeziehungsdaten
  • Beschaffungs-Opportunity-Identifikation
  • Historische Spend-Einblicke
  • Datenim- und -export

Verarbeitete Datentypen: Spend-Transaktionsdaten, Lieferanteninformationen, Bestellhistorie, Rechnungsdaten, Opportunity-Analyseergebnisse, Nutzerzugangsdaten (OIDC).

Rechtsgrundlage: Sievo AVV, Standardvertragsklauseln, DSGVO-konform

33. IvaluaKundenbezogen genehmigt

Anbieter: Ivalua Inc.

Standort: Europäische Union 🇪🇺

Zweck: Sourcing-Projektmanagement

Dienste:

  • RFP/RFQ-Projektmanagement
  • Lieferanteninformationsverwaltung
  • Fragebogenverwaltung
  • Sourcing-Event-Koordination
  • Angebots- und Ausschreibungsmanagement

Verarbeitete Datentypen: Sourcing-Projektdetails, Lieferantenprofile, RFP/RFQ-Dokumente, Fragebogenantworten, Angebotsinformationen, Projektstakeholder-Daten.

Rechtsgrundlage: Ivalua AVV, Standardvertragsklauseln, DSGVO-konform

34. CoupaKundenbezogen genehmigt

Anbieter: Coupa Software Inc.

Standort: Europäische Union 🇪🇺

Zweck: Beschaffungsmanagement und Spend-Management

Dienste:

  • E-Procurement und Bestellverwaltung
  • Lieferantenverwaltung
  • Vertragsverwaltung
  • Spend-Analyse
  • Rechnungsverarbeitung

Verarbeitete Datentypen: Bestelldaten, Lieferanteninformationen, Vertragsdaten, Spend-Informationen, Rechnungsdaten, Nutzerzugriffsdaten.

Rechtsgrundlage: Coupa AVV, Standardvertragsklauseln, DSGVO-konform

35. MarketDojoKundenbezogen genehmigt

Anbieter: Market Dojo Ltd.

Standort: Vereinigtes Königreich 🇬🇧

Zweck: E-Auktionen und Sourcing-Events

Dienste:

  • Online-Auktionsplattform
  • RFP/RFQ-Management
  • Lieferantenzusammenarbeit
  • Angebotsvergleich

Verarbeitete Datentypen: Ausschreibungsdaten, Lieferantenangebote, Auktionsergebnisse, Lieferantenkontakte, Projektdaten.

Rechtsgrundlage: MarketDojo AVV, Standardvertragsklauseln, DSGVO-konform

36. JaggaerKundenbezogen genehmigt

Anbieter: Jaggaer LLC

Standort: Europäische Union 🇪🇺

Zweck: Source-to-Pay-Plattform

Dienste:

  • Strategisches Sourcing
  • Lieferantenverwaltung
  • Vertragsverwaltung
  • E-Procurement
  • Spend-Analyse

Verarbeitete Datentypen: Sourcing-Daten, Lieferantenprofile, Vertragsinformationen, Bestelldaten, Spend-Analysen, Nutzerdaten.

Rechtsgrundlage: Jaggaer AVV, Standardvertragsklauseln, DSGVO-konform

37. SAP AribaKundenbezogen genehmigt

Anbieter: SAP SE

Standort: Deutschland (Europäische Union) 🇩🇪

Zweck: Beschaffungsnetzwerk und Spend-Management

Dienste:

  • Lieferantennetzwerk
  • Sourcing und Verträge
  • E-Procurement und Katalogverwaltung
  • Lieferantenzusammenarbeit
  • Spend-Transparenz

Verarbeitete Datentypen: Lieferantenstammdaten, Katalogdaten, Bestellungen, Verträge, Spend-Daten, Nutzerzugriffsdaten.

Rechtsgrundlage: SAP AVV, DSGVO-konform, deutscher Anbieter

38. SpendHQKundenbezogen genehmigt

Anbieter: SpendHQ Limited

Standort: Vereinigtes Königreich 🇬🇧

Zweck: Spend-Analyse und Datenverwaltung

Dienste:

  • Spend-Datenklassifizierung
  • Spend-Cube-Analyse
  • Lieferantenkonsolidierung
  • Datenbereinigung und -anreicherung

Verarbeitete Datentypen: Spend-Transaktionsdaten, Lieferanteninformationen, Klassifizierungsdaten, Kostenstellen-Informationen, Analyseergebnisse.

Rechtsgrundlage: SpendHQ AVV, Standardvertragsklauseln, DSGVO-konform

Verbundene Unternehmen & Implementierungspartner

Wo Sourcera verbundene Unternehmen oder autorisierte Implementierungspartner mit der Erbringung von Beratungs- und Integrationsdienstleistungen beauftragt, sind die relevanten Entitäten nachfolgend aufgeführt. Jede ist durch schriftliche Unterauftragsverarbeitungsbedingungen gebunden, die den Standards des AVV entsprechen.

39. van Laack & partners GmbHAktiv

Anbieter: van Laack & partners GmbH

Standort: DE — Köln 🇩🇪

Zweck: Autorisierter Implementierungs-, Beratungs- und Customer-Success-Partner

Dienste:

  • Implementierungsdienstleistungen
  • Beratung und Consulting
  • Customer Success

Verarbeitete Datentypen: Kundenprojektdaten, die für Implementierungs- und Beratungsleistungen erforderlich sind, wie im jeweiligen Arbeitsauftrag festgelegt.

Rechtsgrundlage: Unterauftragsverarbeitungsvertrag äquivalent zum Sourcera AVV, DSGVO-konform

Datenschutz-Maßnahmen

KI-Verarbeitungsschutzmaßnahmen

Sourcera betreibt eine modell-agnostische KI-Architektur. Die Inferenz erfolgt über (a) direkte Enterprise-Endpunkte von Foundation-Model-Anbietern und (b) den OpenRouter-Aggregations-/Routing-Service:

  • Alle KI-Verarbeitungen erfolgen ausschließlich zur Erbringung der Dienste für den jeweiligen Kunden
  • Personenbezogene Daten werden nicht zum Training geteilter (Multi-Tenant) Foundation-Modelle verwendet
  • Sourcera wendet Pseudonymisierungs- und Prompt-Redaktionstechniken an, um die PII-Exposition in Inferenz-Eingaben zu minimieren
  • Alle KI-Anbieter sind durch Datenschutzvereinbarungen gebunden, die unseren AVV-Standards entsprechen
  • Wo kein EU-Endpunkt für ein bestimmtes Modell verfügbar ist, erfolgt die Verarbeitung nur nach einer dokumentierten Datenschutzfolgenabschätzung
  • Open-Weight-Modelle (Llama, DeepSeek, Ollama) werden von Sourcera selbst auf EU-GPU-Infrastruktur betrieben — keine Daten verlassen die EU-kontrollierten Umgebungen

Datenhaltung

  • Primäre Infrastruktur: EU (Microsoft Azure — Westeuropa, Nordeuropa)
  • KI-Inferenz: EU (Azure OpenAI, Anthropic, Google Vertex AI, Mistral AI, OpenRouter EU-Endpunkte)
  • Selbst gehostete KI-Modelle: EU GPU Clouds (Llama, DeepSeek, Ollama — ausschließlich EU-Infrastruktur)
  • Vektordatenbank: EU (Pinecone EU-Region)
  • Monitoring & Observability: EU (Sentry Frankfurt, Datadog Frankfurt/Paris, Langfuse Deutschland)
  • Kommunikationstools: EU (Microsoft 365, ebuero Deutschland)
  • Kein Datentransfer außerhalb der EU ohne dokumentierte Abschätzung

Verschlüsselung

  • In Übertragung: TLS 1.2+ für alle Verbindungen
  • Im Ruhezustand: Azure Storage Verschlüsselung, PostgreSQL Transparent Data Encryption

Compliance & Zertifizierungen

Die zugrundeliegende Azure-Plattform ist zertifiziert:

  • ISO 27001 (Informationssicherheitsmanagement)
  • SOC 2 Typ II (Service Organization Controls)
  • EU Cloud Code of Conduct

Sourcera implementiert eigene ISO 27001- und SOC 2-Zertifizierungen und hat bereits alle erforderlichen technischen und organisatorischen Maßnahmen umgesetzt.

Änderungen dieser Liste

Sourcera informiert Kunden mindestens 30 Kalendertage vor der Beauftragung eines neuen Auftragsverarbeiters oder der Ablösung eines bestehenden. Die Benachrichtigung kann per E-Mail, durch Aktualisierung dieser Auftragsverarbeiterliste oder durch Veröffentlichung im Sourcera Trust Portal erfolgen.

Kunden können solchen Änderungen innerhalb von 14 Kalendertagen nach Erhalt der Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Der Ersatz eines Auftragsverarbeiters durch einen anderen bereits aufgeführten und genehmigten Auftragsverarbeiter oder die Rotation zwischen genehmigten EU/EWR-Regionen desselben Auftragsverarbeiters gilt nicht als wesentliche Änderung.

Kontakt

Für Fragen zu Auftragsverarbeitern oder zur Datenverarbeitung:

SOURCERA GMBH

Schanzenstr. 39c

51063 Köln

Deutschland

Telefon: +49 30 78099980366

E-Mail: hello@sourcera.ai

Für unsere vollständige Datenschutzerklärung siehe Datenschutzerklärung.