Sub-Auftragsverarbeiter – Leadwave Academy Trust Center

Übersicht Rechtliches AGB – Nutzer AGB – Partner-Coaches AGB – Unternehmen AGB – Partner Widerrufsbelehrung Datenschutz Sicherheit Sub-Auftragsverarbeiter Für Konzerne Compliance Barrierefreiheit

Sub-Auftragsverarbeiter

Gemäß DSGVO Art. 28 Abs. 4 informieren wir transparent über alle eingesetzten Sub-Auftragsverarbeiter. Dies ist Anlage 3 unseres Auftragsverarbeitungsvertrags (AVV) für Unternehmenskunden.

Stand: v1.2 · 4. Mai 2026 · Für ältere Versionen: datenschutz@leadwave-academy.de

Änderungsbenachrichtigung & Widerspruchsrecht

Bei Hinzufügen, Ersetzen oder Wegfall eines Sub-Auftragsverarbeiters informieren wir Unternehmenskunden mindestens 30 Tage vorher per E-Mail an die im Vertrag hinterlegte Datenschutz-Kontaktadresse. Unternehmenskunden haben das Recht, binnen dieser 30 Tage begründeten Widerspruch einzulegen. Bei berechtigtem Widerspruch endet der AVV mit ordentlicher Kündigung des Hauptvertrags (AGB für Unternehmenskunden § 7 Abs. 3). Widersprüche bitte schriftlich an: datenschutz@leadwave-academy.de

Selbst betriebene Komponenten (kein Drittanbieter)

Folgende Bestandteile betreiben wir selbst auf ausschließlich von flowluap kontrollierten Servern (Hetzner, Deutschland) — insoweit besteht kein Sub-Auftragsverarbeiter: E-Mail-Server (Mailcow), Capgo-Backend (Mobile-Live-Updates), Whisper-STT (Speech-to-Text), Backend-API, Postgres-Datenbank.

Anbieter	Zweck	Sitz / Region	Drittlandtransfer
Hetzner Online GmbH	Server-Infrastruktur (Backend, Postgres, Mailcow, Whisper-STT)	Deutschland (EU)	–
Mistral AI SAS	LLM für Mindy & Coach-Content-Aufbereitung (Standard-Anbieter)	Frankreich (EU)	–
Cloudflare Germany GmbH	Edge-Routing, WAF, DDoS-Schutz, DNS — kein Nutzdaten-Storage; Serverstandorte europaweit	EU (München)	–
Cloudflare, Inc. — R2 & KV	Audio-Storage (R2) und Subscription-Cache (KV) mit EU-Jurisdiction-Lock: Daten verbleiben in europäischen Rechenzentren	EU-Jurisdiction-Lock	–
Stripe Payments Europe, Ltd.	Zahlungsabwicklung, Subscription-Management, Rechnungen	Irland (EU)	–
Sentry GmbH	Fehler- & Performance-Monitoring, EU-Datenresidenz Frankfurt (de.sentry.io, fest gewählt)	EU (Frankfurt)	–
PostHog, Inc.	Produkt-Analytics, Feature-Flags, EU-Cloud Frankfurt	EU (Frankfurt)	–
Apple Distribution Intl.	Apple Push Notification Service (APNs) für iOS-App	Global	SCC
Google Ireland Limited	Firebase Cloud Messaging (FCM) für Android-App	Global	SCC

Drittlandtransfer-Details

Alle aktiv genutzten Sub-Auftragsverarbeiter verarbeiten Daten ausschließlich innerhalb der EU bzw. mit EU-Jurisdiction-Lock. Apple APNs und Google FCM sind technisch global verteilt; die jeweiligen SCC-Schutzmaßnahmen sind über die EU-Vertragspartner gewährleistet. TIA-Dokumente auf Anfrage: datenschutz@leadwave-academy.de

Vorbereitete Anbieter — aktuell nicht aktiv

Die folgenden Anbieter sind technisch vorbereitet, aber derzeit nicht im Einsatz. Vor jeder Aktivierung werden Unternehmenskunden gemäß der 30-Tage-Benachrichtigungspflicht informiert.

Anthropic, PBC

Optionaler LLM-Anbieter (Claude) — aktuell nicht im Einsatz, technisch vorbereitet. Aktivierung nur auf expliziten Tenant-Wunsch; vor Aktivierung 30-Tage-Benachrichtigung. USA · SCC + TIA.

Microsoft Azure OpenAI Service

Alternative LLM-Verarbeitung für Mindy auf Tenant-Wunsch (EU-Region Frankfurt/Sweden) — aktuell nicht im Einsatz.

OpenAI, L.L.C.

Embeddings für RAG-Pipeline — geplant; aktuell durch lokale Embeddings ersetzt sofern verfügbar.

ElevenLabs, Inc.

Text-to-Speech, Premium-Feature, opt-in — aktuell nicht im Einsatz.