Sub-Prozessoren
Stand11. Mai 2026
Diese Liste der Sub-Prozessoren wird gemäß Abschnitt 7 unseres Auftragsverarbeitungsvertrags veröffentlicht. Wir beauftragen sorgfältig ausgewählte Sub-Prozessoren für Infrastruktur, KI-Modell-APIs, Zahlungsabwicklung, Transaktions-E-Mail und Code-Repository-Integration. Änderungen werden mindestens 30 Tage im Voraus mitgeteilt; ein Einspruch aus berechtigten datenschutzrechtlichen Gründen ist möglich.
Um Änderungsbenachrichtigungen per E-Mail zu erhalten, abonnieren Sie diese unter privacy@xaio.dev.
1. Infrastruktur
| Sub-Prozessor | Rolle | Standort | Übermittlungsinstrument |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Cloud-Infrastruktur (Compute, Storage, Datenbank, Netzwerk, EFS, S3, CloudFront, ALB) | Frankfurt, Deutschland (eu-central-1) — primäre Region für Produktiv-Workloads | EU-Niederlassung; für etwaige Übermittlungen in die USA: EU-Standardvertragsklauseln und ergänzende Maßnahmen |
2. KI-Modellanbieter
| Sub-Prozessor | Rolle | Standort | Übermittlungsinstrument |
|---|---|---|---|
| Anthropic (Claude, via Amazon Bedrock) | Large-Language-Model-API (Claude) für Chat, Code-Generierung und Agent-Runtime — bereitgestellt über Amazon Bedrock | Europäische Union (Amazon Bedrock, EU-Region) | Verarbeitung in der EU über Amazon Bedrock; Ein- und Ausgaben werden nicht zum Modelltraining verwendet und nicht an den Modellanbieter weitergegeben |
| OpenAI, L.L.C. | Optionale Large-Language-Model-API (GPT-5.5 / GPT-5.4) für Chat und Code-Generierung, nur wenn ein Kunde ein GPT-Modell auswählt — direkt über die offizielle OpenAI-API | Vereinigte Staaten (Modell-APIs) | EU-Standardvertragsklauseln und ergänzende Maßnahmen; API-Daten werden nicht zum Training von OpenAI-Modellen verwendet |
| Mistral AI SAS | Optionale Large-Language-Model-API (Mistral Large / Medium) für Chat und Code-Generierung, nur wenn ein Kunde ein Mistral-Modell auswählt — direkt über die offizielle Mistral-API | Europäische Union (Frankreich) | EU-Anbieter (Paris); Verarbeitung über die offizielle Mistral-API, keine Nutzung zum Training von Mistral-Modellen |
| Google Ireland Limited / Google LLC | Optionale Gemini-/Vertex-AI-Modell-API und OAuth-Anmeldung | Europäische Union und Vereinigte Staaten | EU-Standardvertragsklauseln und ergänzende Maßnahmen |
| DeepSeek V4 (official API) | Optionale Large-Language-Model-API (DeepSeek V4) für Chat und Code-Generierung, nur wenn ein Kunde das DeepSeek-V4-Modell auswählt | China (Volksrepublik China) | Ausnahme zur EU-Datenhaltung und zum No-Training (siehe §5 und §6): Bereitstellung über die offizielle DeepSeek-API. Eingaben werden in China verarbeitet und gespeichert und können von DeepSeek zur Verbesserung seiner Modelle verwendet werden. Übermittlung auf Basis von EU-Standardvertragsklauseln, ergänzenden Maßnahmen und ausdrücklicher Einwilligung des Kunden. |
3. Betrieb (Zahlung, E-Mail, Code)
| Sub-Prozessor | Rolle | Standort | Übermittlungsinstrument |
|---|---|---|---|
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungsabwicklung für Abonnements und Credit-Käufe | Irland (Verantwortlicher für Zahlungsdaten); USA für Fallback-Infrastruktur | EU-Standardvertragsklauseln und EU–US Data Privacy Framework |
| Sendinblue / Brevo SAS | Transaktions-E-Mails (Account, Abrechnung, Sicherheitsmeldungen) | Europäische Union (Frankreich) | EU/EWR — keine Drittlandübermittlung |
| GitHub, Inc. | Code-Repository, Git-Operationen und OAuth für Kunden, die ein Repository verbinden | Vereinigte Staaten | EU-Standardvertragsklauseln |
4. Analytics
| Sub-Prozessor | Rolle | Standort | Übermittlungsinstrument |
|---|---|---|---|
| Internal product analytics (self-hosted) | Aggregierte, pseudonymisierte Nutzungsanalysen zur Bereitstellung und Verbesserung des Dienstes | Europäische Union (Frankfurt) | EU/EWR — keine Drittlandübermittlung |
5. Datenstandort-Zusage
Anwendungsdaten (Workspaces, Projekte, generierter Code, Dateien, Datenbanken, veröffentlichte Sites) werden in der Europäischen Union (Frankfurt, Deutschland) gehostet. Personenbezogene Daten werden nur insoweit an nicht-EWR-Sub-Prozessoren übermittelt, als dies zur Verarbeitung von KI-Anfragen und der oben aufgeführten Funktionen erforderlich ist, jeweils unter den angegebenen Übermittlungsinstrumenten.
6. Kein Training mit Kundendaten
Wir verwenden Nutzer-Inhalte (Prompts, Code, Dateien, AI Output, Geheimnisse, Konfigurationen) nicht zum Trainieren, Fine-Tuning oder Evaluieren von Foundation-Modellen — weder unseren noch denen der oben genannten KI-Anbieter — und wir geben Nutzer-Inhalte zu Trainingszwecken nicht an KI-Anbieter weiter. Anonyme, aggregierte Telemetrie (Token-Zahlen, Latenz, Fehlerraten) kann zur Bereitstellung und Verbesserung des Dienstes verwendet werden. Siehe Abschnitt 7 der AGB.
Ausnahme — DeepSeek V4: Wählt ein Kunde ausdrücklich das DeepSeek-V4-Modell, werden die Eingaben über die offizielle DeepSeek-API in China verarbeitet, zu DeepSeeks eigenen Bedingungen, die eine Nutzung der Eingaben zur Verbesserung der DeepSeek-Modelle vorsehen können. Dies ist eine ausdrücklich aktivierte (Opt-in-)Ausnahme von der oben genannten No-Training- und EU-Datenhaltungs-Zusage.
Zusätzlich zu den obigen Sub-Prozessoren führt XAIO die folgenden Open-Source-Tools zur Qualitäts- und Sicherheitsprüfung in der eigenen EU-Build-Pipeline aus. Sie analysieren den generierten Code der Kunden, keine personenbezogenen Daten, und geben — sofern nicht anders angegeben — nichts an Dritte weiter.
7. Qualitäts- & Sicherheits-Tools (Open Source)
| Sub-Prozessor | Rolle | Standort | Übermittlungsinstrument |
|---|---|---|---|
| SonarQube (SonarSource) | Code-Qualitäts-Gate — statische Analyse des generierten Codes vor dem Veröffentlichen | Europäische Union — in XAIOs Build-Pipeline ausgeführt (self-hosted; SonarQube Cloud optional) | EU/EWR — keine Drittlandübermittlung |
| Trivy (Aqua Security · open source) | Abhängigkeits- & Schwachstellen-Scan (bekannte CVEs, Secrets) generierter Apps | Europäische Union — self-hosted CLI in XAIOs Pipeline (keine Weitergabe an Dritte) | EU/EWR — keine Drittlandübermittlung |
| OWASP ZAP (open source) | Dynamischer Sicherheitstest (DAST) der deployten App vor dem Veröffentlichen | Europäische Union — self-hosted in XAIOs Infrastruktur (keine Weitergabe an Dritte) | EU/EWR — keine Drittlandübermittlung |
| Semgrep (open source) | Statischer Sicherheits-Scan (SAST) des generierten Codes | Europäische Union — self-hosted CLI in XAIOs Pipeline (keine Weitergabe an Dritte) | EU/EWR — keine Drittlandübermittlung |
| Spectral (Stoplight · open source) | Linting der generierten OpenAPI-Spezifikation vor dem Veröffentlichen | Europäische Union — self-hosted CLI in XAIOs Pipeline (keine Weitergabe an Dritte) | EU/EWR — keine Drittlandübermittlung |
| ESLint (open source) | JavaScript/TypeScript-Linting für generierte Frontends | Europäische Union — self-hosted CLI in XAIOs Pipeline (keine Weitergabe an Dritte) | EU/EWR — keine Drittlandübermittlung |