Subprozessoren
Diese Liste beschreibt die derzeit vorgesehenen technischen Dienstleister für Betrieb, Hosting, KI-Verarbeitung und Auslieferung. Vertragsstatus, Regionen und TOMs müssen vor Produktivverarbeitung mit echten Patientendaten final geprüft werden.
| Dienstleister | Zweck | Datenkategorien | Region / Hinweise |
|---|---|---|---|
| Supabase | Authentifizierung, Postgres-Datenbank, Storage/Realtime soweit genutzt | Nutzer-, Tenant-, Transkriptions- und LLM-Metadaten | EU-Projekt/Region vertraglich prüfen, DPA abschließen |
| Railway | Backend-API und selbst gehosteter Whisper-Service | API-Verkehr, temporäre Audioverarbeitung im RAM, Betriebslogs | EU-Region erzwingen, private Service-Kommunikation/API-Key nutzen |
| Mistral AI | LLM-Verarbeitung medizinischer Dokumententwürfe | Transkripttext und Prompt-Kontext | EU-Verarbeitung/DPA prüfen, keine Trainingsnutzung vertraglich absichern |
| Netlify | Frontend-Hosting, CDN, Edge/Proxy-Funktion | Technische Zugriffsdaten, statische Assets, API-Proxy-Metadaten | EU-/Transfergarantien und DPA prüfen |
| Stripe (geplant) | Abrechnung, Checkout, Rechnungen, Customer Portal | Praxis-/Rechnungsdaten, Zahlungsstatus, keine Patientendaten | Erst nach Billing-Aktivierung produktiv relevant |
Änderungen an Subprozessoren werden Kunden gemäß AVV-Verfahren mitgeteilt.