Sub-Auftragsverarbeiter
Stand: 4. Mai 2026 · Version: v1.2
Verantwortlicher: flowluap GmbH (Marke „Leadwave Academy"), Saarstraße 33, 54290 Trier · Geschäftsführer Paul Wolf · Amtsgericht Wittlich HRB 44596 · USt-IdNr. DE323127197
Diese Seite benennt sämtliche Auftragsverarbeiter, die wir zur Erbringung der Leadwave-Academy-Plattform einsetzen. Sie ist Anlage 3 unseres Auftragsverarbeitungsvertrags (AVV) für Unternehmenskunden und Bestandteil unserer Datenschutzerklärung.
1. Notify-Mechanik
Bei Hinzufügen, Ersetzen oder Wegfall eines Sub-Auftragsverarbeiters informieren wir Unternehmenskunden mindestens 30 Tage vorher per E-Mail an die im Vertrag hinterlegte Datenschutz-Kontakt-Adresse (vgl. AGB für Unternehmenskunden § 7 Abs. 3).
Unternehmenskunden haben das Recht, innerhalb dieser 30 Tage begründeten Widerspruch einzulegen. Bei berechtigtem Widerspruch endet die AVV mit ordentlicher Kündigung.
2. Selbst betriebene Komponenten
Folgende Bestandteile der Plattform betreiben wir selbst auf eigener, ausschließlich von flowluap kontrollierter Software innerhalb unserer Hosting-Umgebung; insoweit besteht kein Drittanbieter als Sub-Auftragsverarbeiter:
- E-Mail-Server (Mailcow auf
fastmailserver.de) - Capgo-Backend (Mobile-Live-Updates)
- Whisper-STT (Speech-to-Text)
- Backend-API + Postgres + pg-boss
Diese Komponenten laufen auf den unter Ziffer 3 genannten Server-Ressourcen (Hetzner Online GmbH, Deutschland).
3. Externe Sub-Auftragsverarbeiter
| Sub-Processor | Zweck | Sitz / Region | Drittlandtransfer |
|---|---|---|---|
| Hetzner Online GmbH, Gunzenhausen, DE | Server-Infrastruktur (Backend, Postgres, Mailcow, Capgo, Whisper) | Deutschland (EU) | – |
| Mistral AI SAS, Paris, Frankreich (Default-LLM) | LLM-Modell-Anbieter (Mistral Small / Medium / Large) für den Reflexionsassistenten „Mindy" und die KI-Aufbereitung der Coach-Inhalte | Frankreich (EU) | – (kein Drittlandtransfer) |
| Anthropic, PBC, San Francisco, USA (Tenant-Choice-Fallback) | Optional: LLM-Modell-Anbieter (Claude) — wird ausschließlich auf ausdrückliche Tenant-Wahl genutzt; Default ist Mistral. | USA | SCC + TIA, nur bei aktiver Tenant-Wahl |
| Cloudflare, Inc., San Francisco, USA · EU-Niederlassung Cloudflare Germany GmbH, München | Edge-Routing, R2-Object-Storage (Audio-Streaming), Workers, KV (Subscription-Cache), DNS, DDoS-Schutz | USA / global; R2 + KV mit EU-Jurisdiction-Lock | SCC + TIA |
| Stripe Payments Europe, Ltd., Dublin, IE | Zahlungsabwicklung (Kreditkarte, SEPA, Apple Pay, Google Pay), Subscription-Management, Rechnungen | Irland (EU) | –; Stripe-eigene SCC für Konzern-Komponenten |
| Sentry GmbH, Krausenstraße 9–10, 10117 Berlin, Deutschland (Konzernmutter: Functional Software, Inc. d/b/a Sentry, San Francisco, USA) · EU-Datenresidenz Frankfurt (de.sentry.io, fest gewählt bei Org-Anlage, nicht änderbar) | Fehler- und Performance-Monitoring (Backend, Frontend, mobile Apps, Edge-Worker); Session-Replay nur bei Fehlern und nur mit Klaro-Einwilligung; AI-Service-Data- Improvement (Modell-Training) bei Org-Anlage deaktiviert | EU (Frankfurt) | Standard-DPA Sentry GmbH; PII-Strip serverseitig (cookies/data/query_string =
false in requestDataIntegration); Replay maskiert (maskAllText,
blockAllMedia) |
| PostHog, Inc., San Francisco, USA · EU-Cloud Frankfurt | Produkt-Analytics, Feature-Flags, Session-Replays (sampled, Klaro-Consent erforderlich) | EU (Frankfurt) | – |
| Apple Distribution International Ltd., Cork, IE | Apple Push Notification Service (APNs) für die iOS-App | global verteilt | SCC |
| Google Ireland Limited, Dublin, IE | Firebase Cloud Messaging (FCM) für die Android-App | global verteilt | SCC |
4. Optionale / vorbereitete Sub-Auftragsverarbeiter
Folgende Anbieter sind im Plattform-Code als Tenant- oder Konfigurationsoption vorbereitet, werden aber noch nicht produktiv eingesetzt. Vor einer produktiven Aktivierung werden Unternehmenskunden gemäß Ziffer 1 informiert.
- Microsoft Azure OpenAI Service (Microsoft Ireland Operations Limited, Dublin) — alternative LLM-Verarbeitung für „Mindy" auf Tenant-Wunsch (EU-Region Frankfurt/Sweden)
- OpenAI, L.L.C. — Embeddings für die RAG-Pipeline (geplant; aktuell ersetzt durch lokale Embeddings sofern verfügbar)
- ElevenLabs, Inc. — Text-to-Speech (Premium-Feature, opt-in)
5. Behörden (gesetzliche Meldepflichten)
Im Rahmen unserer gesetzlichen Pflichten als Plattformbetreiberin nach dem Plattformen-Steuertransparenzgesetz (PStTG, Umsetzung der DAC7-Richtlinie) übermitteln wir einmal jährlich Vergütungs- und Stammdaten unserer Coaches an das Bundeszentralamt für Steuern (BZSt), Bonn. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. PStTG.
6. Drittlandtransfer (Detail)
Drittlandtransfers in die USA erfolgen aktuell bei Cloudflare sowie — ausschließlich bei expliziter Tenant-Wahl — bei Anthropic. In diesen Fällen sind die Übermittlungen durch EU-Standardvertragsklauseln (SCC, Modul 2 C2P) und ein Transfer-Impact-Assessment (TIA) nach EDSA-Empfehlung 01/2020 abgesichert. Die TIA- Dokumente sind auf Anfrage einsehbar: datenschutz@leadwave-academy.de.
Sentry und PostHog werden in der EU-Datenresidenz Frankfurt betrieben — ein regelmäßiger Drittlandtransfer findet nicht statt. Apple APNs und Google FCM sind technisch global verteilt; die jeweiligen DPF- bzw. SCC-Schutzmaßnahmen sind über die EU-Vertragspartner (Apple Cork, Google Ireland) gewährleistet.
7. Kontakt für Datenschutz-Fragen
flowluap GmbH (Marke „Leadwave Academy")
Saarstraße 33, 54290 Trier, Deutschland
E-Mail: datenschutz@leadwave-academy.de
Telefon: 0651 60340399
8. Versions-Historie
- v1.2 — 4. Mai 2026: LLM-Default auf Mistral La Plateforme (FR) umgestellt; Anthropic auf Tenant-Choice-Fallback reduziert; AWS Bedrock entfernt (Migration verworfen)
- v1.1 — 4. Mai 2026: Trägerwechsel auf flowluap GmbH; Mailcow / Capgo / Whisper als selbst betrieben markiert
- v1.0 — 30. April 2026: Erstveröffentlichung