[ subprocessors ]

Unterauftragsverarbeiter

Stand: 2026-05-30.

Diese Seite listet alle Unterauftragsverarbeiter im Sinne von Art. 28 Abs. 4 DSGVO, die die BeyondSimulations GmbH zur Erbringung des Dienstes Oshu einsetzt.

Aktive Unterauftragsverarbeiter

1. Hetzner Online GmbH

  • Zweck: Hosting der Anwendung, der Datenbank und der verschlüsselten Off-Site-Backups.
  • Verarbeitete Daten: Alle Workspace-Daten — Agenten, Bibliotheken, Konversationen, Audit-Logs, Account-Daten.
  • Standort: Rechenzentrum in Deutschland (Nürnberg / Falkenstein).
  • Drittlandtransfer: Keiner.
  • AVV: Hetzner-Standard-AVV, abgeschlossen und archiviert.
  • Website: https://www.hetzner.com/

2. Mistral AI SAS

  • Zweck: Inferenz des Sprachmodells für Chat-Antworten sowie optische Zeichenerkennung (OCR) für die Verarbeitung von PDF-Bibliotheken.
  • Verarbeitete Daten: Der aktuelle Prompt und der Konversationskontext werden an die Mistral-API gesendet, ebenso wie der Seiteninhalt von PDFs während der OCR. Endnutzer-Identifikatoren werden nicht übermittelt.
  • Standort: Mistral-Commercial-API-Endpunkte in der Europäischen Union (Frankreich).
  • Drittlandtransfer: Keiner bei Nutzung des EU-API-Endpunkts.
  • Trainings-Opt-out: Mistral trainiert seine kommerziellen Modelle nicht mit Daten, die über die API übermittelt werden. Dies gilt sowohl für Managed-Tarife als auch für BYOK (Bring Your Own Key).
  • AVV: Mistral-Standard-AVV, archiviert.
  • Website: https://mistral.ai/

3. Mollie B.V.

  • Zweck: Zahlungsabwicklung für kostenpflichtige Self-Serve- und Custom-Tarife (SEPA-Lastschrift, Karten (Visa, Mastercard), Apple Pay, Google Pay, iDEAL, Bancontact, SOFORT-Überweisung, PayPal — je nach Region und konkreter Verfügbarkeit). Mollie tritt als Zahlungsdienstleister auf; BeyondSimulations bleibt Anbieter und Vertragspartner des Kunden.
  • Verarbeitete Daten: Zahlungsdaten (Kartendaten, IBAN, je nach Zahlungsmethode), Rechnungsadresse, Transaktionsmetadaten, E-Mail-Adresse für Zahlungsbestätigungen. Kartendaten werden ausschließlich auf der von Mollie kontrollierten Infrastruktur verarbeitet; BeyondSimulations erhält und speichert keine Kartendaten.
  • Standort: Amsterdam, Niederlande.
  • Drittlandtransfer: Keiner.
  • AVV: Mollie-Standard-AVV, archiviert.
  • Website: https://www.mollie.com/

4. sevDesk GmbH

  • Zweck: Erstellung, Versand und Aufbewahrung von Rechnungen für Self-Serve- und Custom-Tarife (Pflicht zur ordnungsgemäßen Buchführung nach §§ 238 ff. HGB und § 14 UStG).
  • Verarbeitete Daten: Rechnungsanschrift, ggf. Umsatzsteuer-ID, Rechnungspositionen, Zahlbetrag, Zahlungsstatus, E-Mail-Adresse für den Rechnungsversand.
  • Standort: Offenburg, Deutschland.
  • Drittlandtransfer: Keiner.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. der handels- und steuerrechtlichen Aufbewahrungspflicht.
  • AVV: sevDesk-Standard-AVV, archiviert.
  • Website: https://sevdesk.de/

5. AhaSend B.V.

  • Zweck: Versand transaktionaler E-Mails (Konto-Verifizierung, Passwort-Rücksetzung, Rechnungsversand, Service-Benachrichtigungen).
  • Verarbeitete Daten: Empfänger-E-Mail-Adresse, Nachrichteninhalt, Zeitstempel, Zustellstatus.
  • Standort: Niederlande (EU-Hosting).
  • Drittlandtransfer: Keiner.
  • AVV: AhaSend-Standard-AVV, archiviert.
  • Website: https://ahasend.com/

Hinweis zu BYOK

Im BYOK-Tarif bringt der Kunde seinen eigenen Mistral-API-Schlüssel mit. In dieser Konstellation tritt Mistral als eigenständiger Auftragsverarbeiter des Kunden auf, nicht als Unterauftragsverarbeiter von BeyondSimulations: Jede Chat-Antwort, jede Bibliotheks-OCR und jeder Dokumenten-Upload wird direkt an das Mistral-Konto des Kunden abgerechnet. BeyondSimulations leitet die Anfrage lediglich mit dem vom Kunden bereitgestellten Schlüssel weiter. Der Kunde ist im BYOK-Tarif für seinen eigenen AVV mit Mistral verantwortlich.

Änderungen dieser Liste

Wesentliche Änderungen (Aufnahme eines neuen Unterauftragsverarbeiters, Aufnahme eines Unterauftragsverarbeiters in einem Drittland oder Änderung des Verarbeitungszwecks) werden allen Kunden mindestens 30 Tage vor Wirksamwerden per E-Mail angekündigt, gemäß § 4 Abs. 2 des AVV. Kunden können einem neuen Unterauftragsverarbeiter innerhalb dieser 30-Tage-Frist gemäß § 4 Abs. 3 des AVV schriftlich widersprechen. Lässt sich der Widerspruch nicht ausräumen, hat der Kunde das Recht, den betroffenen Dienst für den restlichen angemessenen Abrechnungszeitraum zu kündigen und eine anteilige Erstattung zu erhalten.

Kontakt

BeyondSimulations GmbH
Hamburg, Deutschland
E-Mail: oshu@beyondsimulations.com

Sub-processors

Non-binding English translation. In case of doubt, the German version above prevails.

This page lists every sub-processor (Art. 28 (4) GDPR) used by BeyondSimulations GmbH to deliver the Oshu service.

Active sub-processors

1. Hetzner Online GmbH

  • Purpose: Hosting of the application, database, and encrypted off-site backups.
  • Processed data: All workspace data — agents, libraries, conversations, audit logs, account data.
  • Location: Datacenter in Germany (Nuremberg / Falkenstein).
  • Third country transfer: None.
  • DPA: Hetzner standard DPA, signed and on file.
  • Website: https://www.hetzner.com/

2. Mistral AI SAS

  • Purpose: Large-language-model inference for chat replies and Optical Character Recognition (OCR) for PDF library ingestion.
  • Processed data: The current prompt and conversation context as sent to the Mistral API, plus PDF page contents during OCR. End- user identifiers are not forwarded.
  • Location: Mistral commercial API endpoints in the European Union (France).
  • Third country transfer: None when using the EU API endpoint.
  • Training opt-out: Mistral does not train its commercial models on data submitted through the API. This applies regardless of whether the customer is on a managed plan or BYOK (Bring Your Own Key).
  • DPA: Mistral standard DPA, on file.
  • Website: https://mistral.ai/

3. Mollie B.V.

  • Purpose: Payment processing for paid self-serve and Custom tiers (SEPA Direct Debit, cards (Visa, Mastercard), Apple Pay, Google Pay, iDEAL, Bancontact, SOFORT bank transfer, PayPal — subject to region and current availability). Mollie acts as the payment service provider; BeyondSimulations remains the provider and contracting party toward the customer.
  • Processed data: Payment details (card data, IBAN, depending on the chosen payment method), billing address, transaction metadata, email address for payment confirmations. Card data is processed exclusively on Mollie-controlled infrastructure; BeyondSimulations does not receive or store card data.
  • Location: Amsterdam, Netherlands.
  • Third country transfer: None.
  • DPA: Mollie standard DPA, on file.
  • Website: https://www.mollie.com/

4. sevDesk GmbH

  • Purpose: Creation, delivery and retention of invoices for self-serve and Custom tiers (mandatory bookkeeping under §§ 238 ff. HGB and § 14 UStG).
  • Processed data: Billing address, VAT ID where applicable, invoice line items, amount due, payment status, email address for invoice delivery.
  • Location: Offenburg, Germany.
  • Third country transfer: None.
  • Legal basis: Art. 6 (1) (c) GDPR in conjunction with the German commercial and tax retention obligation.
  • DPA: sevDesk standard DPA, on file.
  • Website: https://sevdesk.de/

5. AhaSend B.V.

  • Purpose: Sending transactional emails (account verification, password reset, invoice delivery, service notifications).
  • Processed data: Recipient email address, message content, timestamps, delivery status.
  • Location: Netherlands (EU hosting).
  • Third country transfer: None.
  • DPA: AhaSend standard DPA, on file.
  • Website: https://ahasend.com/

BYOK note

On the BYOK plan, the customer brings their own Mistral API key. In that mode, Mistral acts as a direct processor of the customer, not a sub-processor of BeyondSimulations: every chat reply, every library OCR, and every document upload is billed by Mistral directly to the customer's own Mistral account. BeyondSimulations merely routes the request using the customer-supplied key. The customer is responsible for their own DPA with Mistral on the BYOK plan.

Changes to this list

Material changes (adding a new sub-processor, adding a sub-processor in a third country, or changing the purpose of processing) will be announced via email to all customers at least 30 days before they take effect, in line with § 4 (2) of the AVV. Customers may object to a new sub-processor in writing within this 30-day window under § 4 (3) of the AVV. If an objection cannot be resolved, the customer has the right to terminate the affected service for the reasonable remainder of the billing period and receive a pro-rata refund.

Contact

BeyondSimulations GmbH
Hamburg, Germany
Email: oshu@beyondsimulations.com

Downloads
Deutsch (verbindlich) PDF English (translation) PDF