Liste der Unterauftragsverarbeiter
Zuletzt aktualisiert: Juli 2026
Diese Liste der Unterauftragsverarbeiter beschreibt die Drittauftragsverarbeiter („Unterauftragsverarbeiter“), die Ampliro AB („Ampliro“, „wir“, „unser“ oder „uns“) beauftragt, um die Bereitstellung der Diplino-Plattform und zugehöriger Dienste, die unter diplino.com verfügbar sind (der „Dienst“), zu unterstützen.
Diese Unterauftragsverarbeiter können personenbezogene Daten im Auftrag von Kunden (den „Verantwortlichen“) gemäß unserem Auftragsverarbeitungsvertrag (DPA) und den Anwendbaren Datenschutzgesetzen (einschließlich der GDPR, soweit relevant) verarbeiten.
Ampliro bleibt für die Leistung seiner Unterauftragsverarbeiter verantwortlich, wie im DPA festgelegt.
1. Allgemeine Informationen über Unterauftragsverarbeiter
Wir beauftragen Unterauftragsverarbeiter, um Infrastruktur, Zahlungsabwicklung, E-Mail-Zustellung und andere unterstützende Dienste bereitzustellen, die für den Betrieb von Diplino erforderlich sind. Für jeden Unterauftragsverarbeiter:
- Schließen wir einen schriftlichen Auftragsverarbeitungsvertrag ab, der Verpflichtungen enthält, die den Ampliro im Rahmen des DPA auferlegten Verpflichtungen gleichwertig sind.
- Stellen wir sicher, dass geeignete technische und organisatorische Maßnahmen durch den Unterauftragsverarbeiter implementiert werden.
- Implementieren wir, soweit erforderlich, geeignete Garantien für Übermittlungen personenbezogener Daten in Länder außerhalb der EU/des EWR (z. B. Standardvertragsklauseln).
Die nachstehende Liste spiegelt die zentralen Unterauftragsverarbeiter wider, die in der Standardkonfiguration von Diplino verwendet werden. In einigen Fällen können Kunden zusätzliche Dienste selbst integrieren; solche Integrationen sind von dieser Liste nicht erfasst.
2. Derzeitige Unterauftragsverarbeiter
2.1 Supabase Inc.
- Dienst: Backend-Infrastruktur, einschließlich Datenbank-Hosting, Authentifizierung und Datei-/Objektspeicherung für Diplino.
- Standort / Rechenzentren: Vorwiegend EU-Rechenzentren (z. B. Frankfurt, Deutschland) für Kundendaten; Supabase hat seinen Hauptsitz in den USA.
- Verarbeitete Daten:
- Nutzerkontodaten (z. B. Namen, E-Mail-Adressen, Passwort-Hashes).
- Organisations- und Konfigurationsdaten.
- Zertifikats- und Nachweisdaten (z. B. Empfängerdetails, Kursinformationen, Ausstellungs-/Ablaufdaten).
- Hochgeladene Dateien und Anhänge (sofern vom Kunden genutzt).
- Protokolle und Metadaten im Zusammenhang mit der Anwendungsnutzung.
- Rolle: Unterauftragsverarbeiter (Infrastrukturanbieter).
- Garantien:
- Daten werden bei Standardbereitstellungen von Diplino in EU-basierter Infrastruktur gespeichert.
- SOC 2 Type II und/oder vergleichbare Sicherheitszertifizierungen (wie von Supabase aufrechterhalten).
- Auftragsverarbeitungsbedingungen und GDPR-konformer Zusatz.
- Standardvertragsklauseln und zusätzliche Garantien, wenn ein Zugriff von außerhalb der EU/des EWR erfolgt.
2.2 Stripe Inc.
- Dienst: Zahlungsabwicklung, Abonnementverwaltung und Abrechnung für Diplino-Pläne.
- Standort / Rechenzentren: EU und USA (mit Optionen für EU-Datenresidenz); Stripe hat seinen Hauptsitz in den USA.
- Verarbeitete Daten:
- Abrechnungskontaktdaten (z. B. Name, E-Mail, Organisation, Anschrift).
- Zahlungsbezogene Informationen (z. B. Kartendaten, Transaktionskennungen), die hauptsächlich direkt von Stripe gehandhabt werden.
- Abonnementstatus und Metadaten, die für Rechnungsstellung und Kontoverwaltung erforderlich sind.
- Rolle: Unterauftragsverarbeiter / eigenständiger Verantwortlicher für bestimmte Zahlungsabwicklungstätigkeiten.
- Garantien:
- PCI DSS Level 1 zertifizierter Zahlungsprozessor.
- Auftragsverarbeitungsverträge und Standardvertragsklauseln für Datenübermittlungen in die USA, soweit anwendbar.
- Starke Sicherheits- und Betrugspräventionsmaßnahmen, wie von Stripe dokumentiert.
Hinweis: Diplino speichert keine vollständigen Zahlungskartennummern auf seinen eigenen Systemen. Diese werden direkt von Stripe oder dessen Acquiring-Banken gehandhabt.
2.3 Resend Inc.
- Dienst: Zustellung transaktionaler E-Mails (z. B. Versand von Benachrichtigungen über Zertifikatsausstellungen, kontobezogenen E-Mails und sonstigen Dienstkommunikationen).
- Standort / Rechenzentren: Vorwiegend US-basierte Infrastruktur (mit regionalen Optionen abhängig von Resends Konfiguration und Roadmap).
- Verarbeitete Daten:
- E-Mail-Adressen von Empfängern.
- E-Mail-Inhalt (Betreffzeile und Textkörper), der zertifikatsbezogene Informationen oder Kontodetails enthalten kann.
- Zustell- und Engagement-Metadaten (z. B. Zeitstempel, Zustellstatus).
- Rolle: Unterauftragsverarbeiter (E-Mail-Zustelldienst).
- Garantien:
- Auftragsverarbeitungsvertrag einschließlich Standardvertragsklauseln für EU-/EWR-Daten.
- SOC 2 Type II und/oder vergleichbare Sicherheitskontrollen.
- Technische und organisatorische Maßnahmen zur Sicherung von E-Mail-Verkehr und Protokollen.
2.4 OpenRouter Inc.
- Dienst: KI-gestützte Chatbot-Unterstützung und Routing von Sprachmodellen, verwendet zur Bereitstellung optionaler Unterstützung und Hilfe innerhalb von Diplino (z. B. In-Product-Hilfe, dialogbasierte Anleitung).
- Standort / Rechenzentren: Vorwiegend US-basierte Infrastruktur; OpenRouter leitet Datenverkehr gemäß seinen eigenen Bedingungen an Modellanbieter weiter.
- Verarbeitete Daten:
- Chatnachrichten und Prompts, die über die Schnittstelle des KI-Assistenten eingereicht werden.
- Kontextdaten, die zur Beantwortung von Nutzeranfragen erforderlich sind (z. B. allgemeiner Anwendungskontext oder Konfiguration), wie von Diplino konfiguriert.
- Diplino sendet im Rahmen des normalen Betriebs nicht vorsätzlich Zertifikats-Payloads oder vollständige Zertifikatsdatensätze an OpenRouter.
- Rolle: Unterauftragsverarbeiter (KI-Routing- und Inferenzdienst).
- Garantien:
- Auftragsverarbeitungsvertrag einschließlich Standardvertragsklauseln für Übermittlungen aus der EU/dem EWR.
- Vertragliche Zusicherungen, dass über die API eingereichte Daten standardmäßig nicht für Modelltraining oder Profiling verwendet werden (vorbehaltlich der aktuellen Richtlinien von OpenRouter).
- Konfiguration zur Minimierung der Menge personenbezogener Daten, die in Prompts geteilt werden, soweit möglich.
Hinweis: Die Nutzung des KI-Assistenten ist optional und kann je nach internen Richtlinien und Anforderungen des Kunden beschränkt oder deaktiviert werden.
2.5 PostHog
- Dienst: Produktanalysen innerhalb der Diplino-Webanwendung, verwendet, um zu verstehen, wie angemeldete Nutzer mit dem Produkt interagieren (z. B. Onboarding-Fortschritt, Funktionsnutzung, Aktivierung und Bindung), damit wir den Dienst verbessern können.
- Standort / Rechenzentren: Europäische Union (PostHog EU Cloud). Analysedaten werden in der EU gespeichert. PostHog wird von PostHog, Inc. (mit Hauptsitz in den USA) über seine EU Cloud-Region betrieben.
- Verarbeitete Daten:
- Pseudonyme Nutzerkennung und E-Mail-Adresse angemeldeter Nutzer.
- Organisationskennung (Analyseereignisse werden auf Organisationsebene gruppiert).
- Produktnutzungs- und Ereignisdaten (z. B. aufgerufene Seiten, Aktionen wie die Ausstellung eines Zertifikats, Geräte- und Browserinformationen sowie aus der IP-Adresse abgeleiteter ungefährer Standort).
- Rolle: Unterauftragsverarbeiter (Produktanalysen).
- Umfang: Gilt nur für die Diplino-Webanwendung (app.diplino.com) und nur für Nutzer, die ihre Einwilligung zu Analyse-Cookies erteilt haben.
- Garantien:
- Daten werden in der EU gehostet (PostHog EU Cloud); keine routinemäßige Übermittlung von Analysedaten außerhalb der EU/des EWR.
- Wird erst geladen, nachdem der Nutzer seine Einwilligung zu Analyse-Cookies erteilt hat; nicht aktiv für Nutzer, die ablehnen.
- Auftragsverarbeitungsvertrag mit PostHog, einschließlich Standardvertragsklauseln für jeden Zugriff durch seine US-Muttergesellschaft.
3. Änderungen bei Unterauftragsverarbeitern
Wir können von Zeit zu Zeit Unterauftragsverarbeiter hinzufügen, ersetzen oder entfernen, wenn sich unser Dienst weiterentwickelt.
- Wir werden jede Beauftragung eines neuen Unterauftragsverarbeiters mindestens 30 Tage vor Beginn der Verarbeitung personenbezogener Daten im Auftrag von Kunden durch den neuen Unterauftragsverarbeiter mitteilen (beispielsweise durch Aktualisierung dieser Seite und/oder Versand einer E-Mail oder In-App-Benachrichtigung).
- Kunden, die einen gültigen DPA mit Ampliro abgeschlossen haben, können der Nutzung eines neuen Unterauftragsverarbeiters aus berechtigten Datenschutzgründen innerhalb von 14 Tagen nach Erhalt einer solchen Mitteilung schriftlich widersprechen.
Wenn ein Kunde berechtigt widerspricht und die Parteien den Widerspruch nicht beilegen können (beispielsweise durch Änderung der Konfiguration oder Nutzung eines alternativen Unterauftragsverarbeiters), kann der Kunde berechtigt sein, die betroffenen Dienste gemäß den Bedingungen des DPA und der Hauptvereinbarung zu kündigen.
4. Kundengesteuerte Integrationen
Kunden können nach eigenem Ermessen Diplino mit zusätzlichen Drittanbieter-Tools oder -Plattformen verbinden (z. B. über APIs, Webhooks oder benutzerdefinierte Integrationen). Diese Tools sind keine von Ampliro beauftragten Unterauftragsverarbeiter; vielmehr werden sie direkt vom Kunden beauftragt, der verantwortlich ist für:
- Prüfung und Annahme der Bedingungen und Datenschutzrichtlinien dieser Anbieter.
- Sicherstellung, dass etwaige Datenübermittlungen rechtmäßig und angemessen abgesichert sind.
5. Kontakt
Wenn Sie Fragen zu dieser Liste der Unterauftragsverarbeiter oder zu unserer Nutzung von Unterauftragsverarbeitern im Zusammenhang mit Diplino haben, kontaktieren Sie uns bitte unter:
- E-Mail: privacy@diplino.com
- Postanschrift:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden