Rechtliches

Unterauftragsverarbeiter

Zuletzt aktualisiert: 2026-04-11

Wichtiger Hinweis. Diese Liste stellt einen Entwurf dar und befindet sich in anwaltlicher Prüfung. Sie benennt die Drittanbieter (Unterauftragsverarbeiter), die ARPCLEAN (Nitro Cloud LTD) derzeit zur Erbringung des Dienstes einsetzt. Über beabsichtigte Änderungen werden Kunden mindestens 30 Tage im Voraus informiert und erhalten innerhalb von 14 Tagen die Möglichkeit, aus sachlichen Gründen zu widersprechen — wie in unseren AGB und im Auftragsverarbeitungsvertrag geregelt. Bei Abweichungen zwischen der deutschen und der englischen Fassung ist die englische Fassung maßgeblich.

1. Zum Verständnis dieser Liste

Im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) ist ein "Unterauftragsverarbeiter" ein Dritter, den ARPCLEAN einsetzt, um personenbezogene Daten im Auftrag unserer Kunden zu verarbeiten. Die folgende Liste enthält ausschließlich Anbieter, die tatsächlich personenbezogene Daten verarbeiten. Infrastrukturkomponenten, die ARPCLEAN selbst betreibt (etwa PostgreSQL, Redis, MinIO, Stalwart Mail Server, Gotenberg und Qdrant, sämtlich auf EU-Infrastruktur selbst gehostet), sind keine Unterauftragsverarbeiter im Sinne des Art. 28 DSGVO und werden daher hier nicht aufgeführt.

2. Unterauftragsverarbeiter mit Datenverarbeitung

Infrastruktur & Hosting

  • Nitro Cloud LTD — EU-Rechenzentrumsinfrastruktur
    Zweck: primäres Hosting der ARPCLEAN-Plattform, Datenbanken, Objekt-Speicher, Cache, Mailserver, KI-Speicher und Anwendungs-Container.
    Standort: Europäische Union.
    Verarbeitete personenbezogene Daten: sämtliche Kundendaten (Hotelgäste, Mitarbeiter, Aufgaben, Dokumente, Bilder).
    Transfermechanismus: innerhalb der EU, keine Drittlandübermittlung.

Transaktions-E-Mails

  • Resend (Resend Inc., USA)
    Zweck: Versand von Transaktions-E-Mails wie Passwort-Zurücksetzungen, Team-Einladungen und Systembenachrichtigungen.
    Standort: Vereinigte Staaten.
    Verarbeitete personenbezogene Daten: Empfänger-E-Mail-Adresse, Absendername, Betreff und E-Mail-Inhalt.
    Transfermechanismus: EU-Standardvertragsklauseln (Modul 2, Verantwortlicher an Auftragsverarbeiter) sowie, soweit anwendbar, das EU-US Data Privacy Framework.

KI-Dienste

  • OpenAI (OpenAI, L.L.C., USA)
    Zweck: Large Language Model für die automatische Übersetzung von Aufgabenbeschreibungen, die Erstellung von Fotobeschreibungen und eingeschränkten KI-gestützten Datenimport. OpenAI wird mit deaktivierter Datenretention betrieben (kein Training mit unseren Daten).
    Standort: Vereinigte Staaten.
    Verarbeitete personenbezogene Daten: Aufgabenbeschreibungen, Foto-URLs (die Bilder selbst liegen auf der ARPCLEAN-Infrastruktur), begrenzter Text zur Übersetzung.
    Transfermechanismus: EU-Standardvertragsklauseln und EU-US Data Privacy Framework.
  • Anthropic (Anthropic, PBC, USA)
    Zweck: Fallback-Sprachmodell für dieselben Zwecke wie OpenAI, eingesetzt bei OpenAI-Ausfall oder für spezifische Aufgaben. Betrieb mit Null-Datenretention (kein Training mit unseren Daten).
    Standort: Vereinigte Staaten.
    Verarbeitete personenbezogene Daten: wie OpenAI.
    Transfermechanismus: EU-Standardvertragsklauseln und EU-US Data Privacy Framework.

Authentifizierung (Sign-In-Provider)

Wenn ein Benutzer sich über einen Drittanbieter anmeldet, erhält ARPCLEAN dessen E-Mail-Adresse und Basisprofil (Name, Profilbild) vom jeweiligen Anbieter. Der Identitätsanbieter handelt vor dem Authentifizierungsereignis als eigenständiger Verantwortlicher. Wir führen ihn zur vollständigen Transparenz hier auf.

  • Google LLC (USA) — Anmeldung mit Google. Transfermechanismus: EU-Standardvertragsklauseln und EU-US Data Privacy Framework.
  • Microsoft Corporation (USA) — Anmeldung mit Microsoft / Azure AD. Transfermechanismus: EU-Standardvertragsklauseln und EU-US Data Privacy Framework.
  • Apple Inc. (USA) — Anmeldung mit Apple. Transfermechanismus: EU-Standardvertragsklauseln und EU-US Data Privacy Framework.

3. Dienste ohne Verarbeitung personenbezogener Daten

Der Vollständigkeit halber: Die folgenden externen APIs werden von der Plattform genutzt, erhalten jedoch ausschließlich nicht-personenbezogene Daten wie Ländercodes und Jahreszahlen. Sie sind keine Unterauftragsverarbeiter im Sinne des Art. 28 DSGVO:

  • Nager.Date — Feiertagsdaten (nur Ländercode und Jahr).
  • Calendarific — Fallback-Anbieter für Feiertagsdaten (nur Ländercode und Jahr).

4. Änderungsmitteilung

Wir informieren Kunden mindestens 30 Tage im Voraus per E-Mail, bevor wir einen neuen Unterauftragsverarbeiter hinzufügen oder einen bestehenden ersetzen. Innerhalb von 14 Tagen nach einer solchen Mitteilung können Kunden der beabsichtigten Änderung aus sachlichen Gründen widersprechen. Kann keine einvernehmliche Lösung gefunden werden, ist der Kunde berechtigt, den betroffenen Teil des Dienstes aus wichtigem Grund zu kündigen.

5. Kontakt

Fragen zu dieser Liste oder unseren Datenverarbeitungspraktiken richten Sie bitte an:

Nitro Cloud LTD
Akad. Mihail Arnaudov 3, Et. 3
7005 Ruse, Bulgarien
E-Mail: [email protected]

Ihre Privatsphäre, Ihre Entscheidung

Wir verwenden ausschließlich technisch notwendige Cookies für den Betrieb dieser Website. Mit Ihrer Einwilligung möchten wir zusätzlich Analyse-Cookies einsetzen, um die Nutzung der Seite besser zu verstehen. Ihre Entscheidung können Sie jederzeit über den Footer anpassen. Zur Datenschutzerklärung