App-Hosting (Region fra1). Verarbeitet alle Request- und Session-Daten.
Vertrauen, das transparent ist.
Alle externen Anbieter, die personenbezogene Daten in unserem Auftrag verarbeiten, mit verlinktem Auftragsverarbeitungsvertrag (DPA gemäß Art. 28 DSGVO). Stand: 25. Mai 2026.
dfine.io - Review
EU-First-Setup, das wir strikt verfolgen: Daten werden primär in der EU verarbeitet, ergänzt um einen Performance-Layer an der Edge. Alle Sub-Processors verarbeiten Daten EU-seitig oder sind über SCC bzw. EU-U.S. Data Privacy Framework abgedeckt.
Aktive Sub-Processors
Postgres-Datenbank. Primärer Speicher aller Nutzer-, Projekt- und Mediendaten.
DPA ansehenAuthentifizierung & Identitätsverwaltung. Speichert Account- und Profildaten.
DPA ansehenBilling & Zahlungen. Verarbeitet Kunden-, Rechnungs- und Zahlungsdaten.
DPA ansehenR2-Objektspeicher (EU-Jurisdiktion) und Workers. Speichert hochgeladene Mediendateien.
DPA ansehenAWS Batch Video- und Bild-Encoding. Verarbeitet Mediendaten zur Transkodierung. ISO 27001 · SOC 2 Type II · EU Data Privacy Framework.
DPA-PDFEchtzeit-Conferencing (Audio / Video). Verarbeitet Meeting-Streams und Teilnehmerdaten. SOC 2 Type II.
DPA ansehenRedis Rate-Limiting und Cache. Verarbeitet IP-, Session- und Counter-Daten.
DPA-PDFObservability und Audit-Logs (Retention 365 Tage). Kann personenbezogene Log-Daten enthalten.
DPA ansehenTransaktions-E-Mail-Versand. Verarbeitet Empfänger-E-Mail-Adressen und Inhalte.
DPA ansehendfine.io - Streaming Classic
Fokus auf Private Cloud: self-hosted auf eigener Infrastruktur bei Hetzner in Nürnberg, optional auf Google Cloud in Frankfurt. Datenbank, Streaming-Server und Reverse-Proxy laufen auf eigener Infrastruktur. DPA-pflichtig sind nur externe Cloud-Dienste.
Aktive Sub-Processors
VPS-Hosting für API, App, Datenbank und Container-Registry. Faktisch alle Anwendungsdaten. ISO 27001, Rechenzentrum Nürnberg.
AVV ansehenOptionale Private Cloud auf Googles TISAX-zertifizierter Infrastruktur (Frankfurt) für Compute. ISO 27001, 27017, 27018 · SOC 2 Type II.
Compliance ansehenBilling und Zahlungen. Verarbeitet Kunden-, Subscription- und Rechnungsdaten.
DPA ansehenError-Logging und Audit-Trail. Kann personenbezogene Log-Daten enthalten.
DPA ansehenIP-Geolocation für Geo-Blocking. Verarbeitet Client-IP-Adressen.
DPA ansehenHinweise
- Ihre Daten laufen auf einem vollständig ISO 27001- und SOC 2-zertifizierten Stack. Wir betreiben bewusst keine eigenen Rechenzentren, sondern bauen ausschließlich auf unabhängig auditierte, zertifizierte Infrastruktur-Partner, so ruht jede Ebene hinter dfine.io auf zertifizierten Grundlagen. Die jeweiligen Zertifikate stehen direkt bei den Sub-Processors oben.
- Die meisten DPAs sind durch Annahme der Anbieter-Terms automatisch einbezogen. Gegengezeichnete Kopien sind über das jeweilige Anbieter-Dashboard erhältlich.
- Jeder Anbieter führt eine eigene Sub-Processor-Liste (typischerweise unter /legal/sub-processors). Diese Listen sind für die Lückenlosigkeit der Verarbeitungskette relevant und werden bei Audits mitgeprüft.
- Der überwiegende Teil der Daten wird EU-seitig verarbeitet. Einzelne Anbieter speichern Daten US-seitig (z.B. Clerk für Authentifizierung) und sind über SCC bzw. EU-U.S. Data Privacy Framework rechtlich abgedeckt.
- Für Auskunfts-, Lösch- oder Datenexport-Anfragen schreiben Sie an admin@dfine.io.
Trust that is transparent.
All external providers processing personal data on our behalf, with a linked Data Processing Agreement (DPA per Art. 28 GDPR). As of 25 May 2026.
dfine.io - Review
EU-first setup that we follow strictly: data is processed primarily in the EU, complemented by a performance layer at the edge. All sub-processors store data in the EU or are covered by SCCs or the EU-U.S. Data Privacy Framework.
Active sub-processors
App hosting (region fra1). Processes all request and session data.
Postgres database. Primary store for all user, project and media data.
View DPAAuthentication & identity management. Stores account and profile data.
View DPABilling & payments. Processes customer, invoice and payment data.
View DPAR2 object storage (EU jurisdiction) and Workers. Stores uploaded media files.
View DPAAWS Batch video and image encoding. Processes media data for transcoding. ISO 27001 · SOC 2 Type II · EU Data Privacy Framework.
DPA PDFReal-time conferencing (audio / video). Processes meeting streams and participant data. SOC 2 Type II.
View DPARedis rate-limiting and cache. Processes IP, session and counter data.
DPA PDFObservability and audit logs (365-day retention). May contain personal log data.
View DPATransactional email delivery. Processes recipient email addresses and content.
View DPAdfine.io - Streaming Classic
Focused on private cloud: self-hosted on our own infrastructure at Hetzner in Nuremberg, optionally on Google Cloud in Frankfurt. Database, streaming server and reverse-proxy run on our own infrastructure. DPA applies only to external cloud services.
Active sub-processors
VPS hosting for API, app, database and container registry. Effectively all application data. ISO 27001, data center Nürnberg.
View DPAOptional private cloud on Google's TISAX-certified infrastructure (Frankfurt) for compute. ISO 27001, 27017, 27018 · SOC 2 Type II.
View complianceBilling and payments. Processes customer, subscription and invoice data.
View DPAError logging and audit trail. May contain personal log data.
View DPAIP geolocation for geo-blocking. Processes client IP addresses.
View DPANotes
- Your data runs on a fully ISO 27001 and SOC 2 certified stack. By design we do not operate our own data centers. Instead we build exclusively on independently audited, certified infrastructure partners, so every layer behind dfine.io rests on certified foundations. The relevant certificates are listed with each sub-processor above.
- Most DPAs are included by accepting the provider's terms. Countersigned copies are available via the respective vendor dashboard.
- Each vendor maintains its own sub-processor list (typically at /legal/sub-processors). Those lists are reviewed during audits.
- The majority of data is processed in the EU. A few providers store data in the US (e.g. Clerk for authentication) and are covered via SCCs or the EU-U.S. Data Privacy Framework.
- For access, deletion, or data export requests email admin@dfine.io.