Eingesetzte Dienstleister (Subprozessoren)
Anlage zur Datenschutzerklärung der blinkpilot UG (haftungsbeschränkt) Stand: 29.06.2026
Diese Übersicht ergänzt § 10 der Datenschutzerklärung (abrufbar unter https://blinkpilot.com/privacy-policy) und führt die vom Anbieter eingesetzten Dienstleister mit Anschrift, Verarbeitungszweck, Serverstandort sowie etwaigem Drittlandbezug und der anwendbaren Übermittlungsgarantie auf. Die für Drittlandübermittlungen anwendbaren Mechanismen (Standardvertragsklauseln, Angemessenheitsbeschlüsse, EU-US Data Privacy Framework) sind in § 11 der Datenschutzerklärung erläutert.
1. Upsun / Platform.sh SAS (Hosting)
- Anschrift: 22 rue de Palestro, 75002 Paris, Frankreich (EU)
- Zweck: Hosting und Betrieb der App-Infrastruktur
- Serverstandort: EU (Frankreich)
- AVV: Vorhanden (Platform.sh Data Processing Agreement)
2. Supabase Inc. (Datenbank und Authentifizierung)
- Anschrift: Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992 (eine in Delaware, USA, inkorporierte Gesellschaft mit Geschäftsadresse in Singapur)
- Kontakt Datenschutz: privacy@supabase.io
- Zweck: Datenbankbetrieb (PostgreSQL), Nutzerauthentifizierung, Versand von Authentifizierungs-E-Mails
- Serverstandort der Nutzdaten: EU (AWS eu-west-3, Paris, Frankreich)
- Drittlandtransfer: Die personenbezogenen Nutzdaten werden ausschließlich auf EU-Servern gespeichert. Administrative Zugriffe sowie Support- und Wartungstätigkeiten durch Supabase Inc. aus den USA und Singapur sind nicht ausgeschlossen. Rechtsgrundlage für die Übermittlung in die USA und nach Singapur: Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO, eingebettet in das Supabase Data Processing Agreement. Supabase Inc. ist nicht unter dem EU-US Data Privacy Framework zertifiziert; für Singapur besteht kein Angemessenheitsbeschluss der EU-Kommission. Ergänzend wurde ein Transfer Impact Assessment (TIA) berücksichtigt.
- AVV: Vorhanden (Supabase Data Processing Agreement, https://supabase.com/legal/dpa)
3. Stripe Payments Europe, Ltd. (Zahlungsabwicklung)
- Anschrift: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (EU)
- Zweck: Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung
- Serverstandort: EU
- AVV: Vorhanden (Stripe Data Processing Agreement, https://stripe.com/de/legal/dpa)
4. Mistral AI SAS (KI-Funktionen)
- Anschrift: 15 rue des Halles, 75001 Paris, Frankreich (EU)
- Zweck: Bereitstellung von Sprachmodellen für KI-gestützte App-Funktionen sowie Dokumentenverarbeitung (Texterkennung und strukturierte Datenextraktion aus hochgeladenen Dokumenten)
- Serverstandort: EU (Frankreich); Drittlandtransfer durch Subprozessoren möglich
- Drittlandtransfer: Der direkte Übermittlungsweg blinkpilot → Mistral ist innereuropäisch. Ein Drittlandbezug (insbesondere USA) ist nur mittelbar über Subprozessoren von Mistral (Cloud-Infrastruktur) nicht ausgeschlossen. Grundlage: EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO; ergänzend wurde ein Transfer Impact Assessment (TIA) berücksichtigt.
- AVV: Vorhanden (Mistral AI Data Processing Addendum, https://legal.mistral.ai/terms/data-processing-addendum)
- Subprozessoren: https://trust.mistral.ai/subprocessors
5. Mailjet GmbH / Sinch (E-Mail-Versand)
- Anschrift: Alt-Moabit 2, 10557 Berlin (EU)
- Zweck: Technischer Versand von transaktionalen E-Mails (Authentifizierung, Onboarding, Systembenachrichtigungen) sowie Marketing-E-Mails (Newsletter); darüber hinaus SMTP-Relay für E-Mails, die der Anbieter im Auftrag seiner Kunden an deren Endkunden versendet (Sub-Auftragsverarbeitung gemäß Art. 28 Abs. 4 DSGVO)
- Serverstandort: EU
- AVV: Vorhanden (Sinch / Mailjet Data Processing Agreement)
6. PostHog Inc. (Produktanalyse)
- Anschrift: 965 Mission St, San Francisco, CA 94103, USA
- Zweck: Analyse des Nutzungsverhaltens auf der Website und in der App
- Serverstandort: EU (AWS eu-central-1, Frankfurt, Deutschland)
- Drittlandtransfer: Betreibersitz USA; Datenverarbeitung ausschließlich auf EU-Servern. Administrativer Zugriff aus den USA nicht vollständig ausschließbar. Grundlage: EU-US Data Privacy Framework (PostHog Inc. ist unter dem EU-US DPF zertifiziert); ergänzend Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.
- AVV: Vorhanden (PostHog Data Processing Agreement, https://posthog.com/dpa)
7. Honeybadger Industries, LLC (Fehler-Monitoring)
- Anschrift: 11410 NE 124th Street #246, Kirkland, WA 98034, USA
- Zweck: Fehlererkennung und Aufrechterhaltung der Systemstabilität
- Serverstandort: EU (AWS eu-central-1, Frankfurt, Deutschland); dediziertes EU-Konto
- Drittlandtransfer: Betreibersitz USA; Datenverarbeitung ausschließlich auf EU-Servern. Administrativer Zugriff aus den USA nicht vollständig ausschließbar; Grundlage: SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO.
- AVV: Vorhanden (Honeybadger Data Processing Addendum, https://www.honeybadger.io/terms/data-processing-addendum/)
8. IONOS SE (Hosting von Geocoding-Dienst und Datensicherung)
- Anschrift: Elgendorfer Str. 57, 56410 Montabaur (EU)
- Zweck: Hosting des selbst betriebenen Geocoding-Dienstes „Photon" sowie Speicherung von Datensicherungen (Backups) der App-Daten
- Serverstandort: EU (Deutschland)
- Drittlandtransfer: Keine
- AVV: Vorhanden (IONOS Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO)
9. HERE Global B.V. (Routing)
- Anschrift: Kennedyplein 222–226, 5611 ZT Eindhoven, Niederlande (EU)
- Zweck: Berechnung von Fahrtrouten und Reisezeiten für die Einsatzplanung
- Serverstandort: EU (Niederlande); Drittlandtransfer durch Subprozessoren möglich
- Drittlandtransfer: Grundlage: SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO
- AVV: Vorhanden (HERE Platform Data Processing Agreement, https://legal.here.com/en-gb/terms/here-platform-terms)
10. Crisp IM SAS – Kundensupport
- Anschrift: Crisp IM SAS, 2 Boulevard de Launay, 44100 Nantes, Frankreich (EU)
- Zweck: Kundensupport sowie Betrieb des KI-gestützten Support-Agenten „Hugo"
- Serverstandort: EU — Nutz-/Inhaltsdaten in den Niederlanden (Messaging) und Deutschland (Plugin-Daten), gehostet über DigitalOcean (EU); verschlüsselte Backups in Irland (AWS)
- KI-Modell des Support-Agenten: Crisp setzt für den Support-Agenten ein KI-Modell ein, dessen Verarbeitung ausschließlich innerhalb der EU erfolgt; ein Drittlandtransfer findet nicht statt. Ein hierfür eingesetzter KI-Anbieter ist insoweit Subunternehmer von Crisp. Zusätzlich kommen Crisp-eigene, intern trainierte Hilfsmodelle (Halluzinations-/Spam-Filterung, Eskalationsentscheidung) zum Einsatz.
- Drittlandtransfer: Nutz-/Inhaltsdaten ausschließlich in der EU. Zur Latenzreduktion betreibt Crisp Relay-Server in den USA, im Vereinigten Königreich und in Singapur; diese speichern keine Inhaltsdaten, sondern ausschließlich Verbindungs-Logs (IP-Adresse, Verbindungszeitpunkt, User-Agent, Quell-Website) für weniger als einen Monat. Grundlage: für das Vereinigte Königreich Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO; für die USA und Singapur EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
- AVV: Vorhanden (Crisp Data Processing Agreement)
11. CookieYes Ltd. (Einwilligungsverwaltung)
- Anschrift: 3 Warren Yard, Wolverton Mill, Milton Keynes MK12 5NW, Vereinigtes Königreich
- Zweck: Verwaltung von Cookie-Einwilligungen auf Website und App
- Serverstandort: Vereinigtes Königreich
- Drittlandtransfer: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO.
- AVV: Vorhanden (CookieYes Data Processing Agreement, https://www.cookieyes.com/data-processing-agreement/)
12. Plausible Insights OÜ (Website-Analyse)
- Anschrift: Västriku tn 2, 50403 Tartu, Estland (EU)
- Zweck: Aggregierte, nicht personenbezogene Website-Nutzungsstatistik (Seitenaufrufe, Verweildauer, Herkunftsland) zur Verbesserung des Angebots
- Serverstandort: EU
- Drittlandtransfer: Keine
- AVV: Verarbeitung ausschließlich aggregierter, nicht personenbezogener Daten (kein Personenbezug i. S. d. DSGVO); ein Auftragsverarbeitungsvertrag ist daher nicht zwingend erforderlich. Plausible stellt ergänzend ein Data Processing Agreement bereit (https://plausible.io/privacy).
Übersicht der Drittlandtransfers
| Anbieter | Land / Sitz | Übermittlungsgarantie |
|---|---|---|
| PostHog Inc. | USA | DPF + SCCs |
| Honeybadger Industries, LLC | USA | SCCs |
| Supabase Inc. | USA (Inkorporation) / Singapur (Geschäftsadresse) | SCCs + TIA |
| Crisp IM SAS – Relay-Server (nur Verbindungs-Logs) | USA, Singapur, UK | SCCs (USA, Singapur); Angemessenheitsbeschluss (UK) |
| CookieYes Ltd. | UK | Angemessenheitsbeschluss |
| HERE Global B.V. – Subprozessoren | ggf. Drittland | SCCs |
| Mistral AI SAS – Subprozessoren | mittelbar (Cloud-Infrastruktur, insb. USA) | SCCs + TIA |
Stand: 29.06.2026. Änderungen dieser Übersicht richten sich nach § 16 der Datenschutzerklärung; für Subunternehmer der Auftragsverarbeitung gilt ergänzend das Verfahren des Auftragsverarbeitungsvertrags (Vorankündigung, Widerspruchsrecht).
Last updated: July 6, 2026