Subprocessors

Service providers we use to process data, an annex to our privacy policy

Eingesetzte Dienstleister (Subprozessoren)

Anlage zur Datenschutzerklärung der blinkpilot UG (haftungsbeschränkt) Stand: 29.06.2026

Diese Übersicht ergänzt § 10 der Datenschutzerklärung (abrufbar unter https://blinkpilot.com/privacy-policy) und führt die vom Anbieter eingesetzten Dienstleister mit Anschrift, Verarbeitungszweck, Serverstandort sowie etwaigem Drittlandbezug und der anwendbaren Übermittlungsgarantie auf. Die für Drittlandübermittlungen anwendbaren Mechanismen (Standardvertragsklauseln, Angemessenheitsbeschlüsse, EU-US Data Privacy Framework) sind in § 11 der Datenschutzerklärung erläutert.


1. Upsun / Platform.sh SAS (Hosting)

  • Anschrift: 22 rue de Palestro, 75002 Paris, Frankreich (EU)
  • Zweck: Hosting und Betrieb der App-Infrastruktur
  • Serverstandort: EU (Frankreich)
  • AVV: Vorhanden (Platform.sh Data Processing Agreement)

2. Supabase Inc. (Datenbank und Authentifizierung)

  • Anschrift: Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992 (eine in Delaware, USA, inkorporierte Gesellschaft mit Geschäftsadresse in Singapur)
  • Kontakt Datenschutz: privacy@supabase.io
  • Zweck: Datenbankbetrieb (PostgreSQL), Nutzerauthentifizierung, Versand von Authentifizierungs-E-Mails
  • Serverstandort der Nutzdaten: EU (AWS eu-west-3, Paris, Frankreich)
  • Drittlandtransfer: Die personenbezogenen Nutzdaten werden ausschließlich auf EU-Servern gespeichert. Administrative Zugriffe sowie Support- und Wartungstätigkeiten durch Supabase Inc. aus den USA und Singapur sind nicht ausgeschlossen. Rechtsgrundlage für die Übermittlung in die USA und nach Singapur: Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO, eingebettet in das Supabase Data Processing Agreement. Supabase Inc. ist nicht unter dem EU-US Data Privacy Framework zertifiziert; für Singapur besteht kein Angemessenheitsbeschluss der EU-Kommission. Ergänzend wurde ein Transfer Impact Assessment (TIA) berücksichtigt.
  • AVV: Vorhanden (Supabase Data Processing Agreement, https://supabase.com/legal/dpa)

3. Stripe Payments Europe, Ltd. (Zahlungsabwicklung)

  • Anschrift: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (EU)
  • Zweck: Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung
  • Serverstandort: EU
  • AVV: Vorhanden (Stripe Data Processing Agreement, https://stripe.com/de/legal/dpa)

4. Mistral AI SAS (KI-Funktionen)

  • Anschrift: 15 rue des Halles, 75001 Paris, Frankreich (EU)
  • Zweck: Bereitstellung von Sprachmodellen für KI-gestützte App-Funktionen sowie Dokumentenverarbeitung (Texterkennung und strukturierte Datenextraktion aus hochgeladenen Dokumenten)
  • Serverstandort: EU (Frankreich); Drittlandtransfer durch Subprozessoren möglich
  • Drittlandtransfer: Der direkte Übermittlungsweg blinkpilot → Mistral ist innereuropäisch. Ein Drittlandbezug (insbesondere USA) ist nur mittelbar über Subprozessoren von Mistral (Cloud-Infrastruktur) nicht ausgeschlossen. Grundlage: EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO; ergänzend wurde ein Transfer Impact Assessment (TIA) berücksichtigt.
  • AVV: Vorhanden (Mistral AI Data Processing Addendum, https://legal.mistral.ai/terms/data-processing-addendum)
  • Subprozessoren: https://trust.mistral.ai/subprocessors

5. Mailjet GmbH / Sinch (E-Mail-Versand)

  • Anschrift: Alt-Moabit 2, 10557 Berlin (EU)
  • Zweck: Technischer Versand von transaktionalen E-Mails (Authentifizierung, Onboarding, Systembenachrichtigungen) sowie Marketing-E-Mails (Newsletter); darüber hinaus SMTP-Relay für E-Mails, die der Anbieter im Auftrag seiner Kunden an deren Endkunden versendet (Sub-Auftragsverarbeitung gemäß Art. 28 Abs. 4 DSGVO)
  • Serverstandort: EU
  • AVV: Vorhanden (Sinch / Mailjet Data Processing Agreement)

6. PostHog Inc. (Produktanalyse)

  • Anschrift: 965 Mission St, San Francisco, CA 94103, USA
  • Zweck: Analyse des Nutzungsverhaltens auf der Website und in der App
  • Serverstandort: EU (AWS eu-central-1, Frankfurt, Deutschland)
  • Drittlandtransfer: Betreibersitz USA; Datenverarbeitung ausschließlich auf EU-Servern. Administrativer Zugriff aus den USA nicht vollständig ausschließbar. Grundlage: EU-US Data Privacy Framework (PostHog Inc. ist unter dem EU-US DPF zertifiziert); ergänzend Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • AVV: Vorhanden (PostHog Data Processing Agreement, https://posthog.com/dpa)

7. Honeybadger Industries, LLC (Fehler-Monitoring)

  • Anschrift: 11410 NE 124th Street #246, Kirkland, WA 98034, USA
  • Zweck: Fehlererkennung und Aufrechterhaltung der Systemstabilität
  • Serverstandort: EU (AWS eu-central-1, Frankfurt, Deutschland); dediziertes EU-Konto
  • Drittlandtransfer: Betreibersitz USA; Datenverarbeitung ausschließlich auf EU-Servern. Administrativer Zugriff aus den USA nicht vollständig ausschließbar; Grundlage: SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • AVV: Vorhanden (Honeybadger Data Processing Addendum, https://www.honeybadger.io/terms/data-processing-addendum/)

8. IONOS SE (Hosting von Geocoding-Dienst und Datensicherung)

  • Anschrift: Elgendorfer Str. 57, 56410 Montabaur (EU)
  • Zweck: Hosting des selbst betriebenen Geocoding-Dienstes „Photon" sowie Speicherung von Datensicherungen (Backups) der App-Daten
  • Serverstandort: EU (Deutschland)
  • Drittlandtransfer: Keine
  • AVV: Vorhanden (IONOS Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO)

9. HERE Global B.V. (Routing)

  • Anschrift: Kennedyplein 222–226, 5611 ZT Eindhoven, Niederlande (EU)
  • Zweck: Berechnung von Fahrtrouten und Reisezeiten für die Einsatzplanung
  • Serverstandort: EU (Niederlande); Drittlandtransfer durch Subprozessoren möglich
  • Drittlandtransfer: Grundlage: SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO
  • AVV: Vorhanden (HERE Platform Data Processing Agreement, https://legal.here.com/en-gb/terms/here-platform-terms)

10. Crisp IM SAS – Kundensupport

  • Anschrift: Crisp IM SAS, 2 Boulevard de Launay, 44100 Nantes, Frankreich (EU)
  • Zweck: Kundensupport sowie Betrieb des KI-gestützten Support-Agenten „Hugo"
  • Serverstandort: EU — Nutz-/Inhaltsdaten in den Niederlanden (Messaging) und Deutschland (Plugin-Daten), gehostet über DigitalOcean (EU); verschlüsselte Backups in Irland (AWS)
  • KI-Modell des Support-Agenten: Crisp setzt für den Support-Agenten ein KI-Modell ein, dessen Verarbeitung ausschließlich innerhalb der EU erfolgt; ein Drittlandtransfer findet nicht statt. Ein hierfür eingesetzter KI-Anbieter ist insoweit Subunternehmer von Crisp. Zusätzlich kommen Crisp-eigene, intern trainierte Hilfsmodelle (Halluzinations-/Spam-Filterung, Eskalationsentscheidung) zum Einsatz.
  • Drittlandtransfer: Nutz-/Inhaltsdaten ausschließlich in der EU. Zur Latenzreduktion betreibt Crisp Relay-Server in den USA, im Vereinigten Königreich und in Singapur; diese speichern keine Inhaltsdaten, sondern ausschließlich Verbindungs-Logs (IP-Adresse, Verbindungszeitpunkt, User-Agent, Quell-Website) für weniger als einen Monat. Grundlage: für das Vereinigte Königreich Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO; für die USA und Singapur EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • AVV: Vorhanden (Crisp Data Processing Agreement)

11. CookieYes Ltd. (Einwilligungsverwaltung)

  • Anschrift: 3 Warren Yard, Wolverton Mill, Milton Keynes MK12 5NW, Vereinigtes Königreich
  • Zweck: Verwaltung von Cookie-Einwilligungen auf Website und App
  • Serverstandort: Vereinigtes Königreich
  • Drittlandtransfer: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO.
  • AVV: Vorhanden (CookieYes Data Processing Agreement, https://www.cookieyes.com/data-processing-agreement/)

12. Plausible Insights OÜ (Website-Analyse)

  • Anschrift: Västriku tn 2, 50403 Tartu, Estland (EU)
  • Zweck: Aggregierte, nicht personenbezogene Website-Nutzungsstatistik (Seitenaufrufe, Verweildauer, Herkunftsland) zur Verbesserung des Angebots
  • Serverstandort: EU
  • Drittlandtransfer: Keine
  • AVV: Verarbeitung ausschließlich aggregierter, nicht personenbezogener Daten (kein Personenbezug i. S. d. DSGVO); ein Auftragsverarbeitungsvertrag ist daher nicht zwingend erforderlich. Plausible stellt ergänzend ein Data Processing Agreement bereit (https://plausible.io/privacy).

Übersicht der Drittlandtransfers

AnbieterLand / SitzÜbermittlungsgarantie
PostHog Inc.USADPF + SCCs
Honeybadger Industries, LLCUSASCCs
Supabase Inc.USA (Inkorporation) / Singapur (Geschäftsadresse)SCCs + TIA
Crisp IM SAS – Relay-Server (nur Verbindungs-Logs)USA, Singapur, UKSCCs (USA, Singapur); Angemessenheitsbeschluss (UK)
CookieYes Ltd.UKAngemessenheitsbeschluss
HERE Global B.V. – Subprozessorenggf. DrittlandSCCs
Mistral AI SAS – Subprozessorenmittelbar (Cloud-Infrastruktur, insb. USA)SCCs + TIA

Stand: 29.06.2026. Änderungen dieser Übersicht richten sich nach § 16 der Datenschutzerklärung; für Subunternehmer der Auftragsverarbeitung gilt ergänzend das Verfahren des Auftragsverarbeitungsvertrags (Vorankündigung, Widerspruchsrecht).

Last updated: July 6, 2026