Swopli Logo

Unterauftragsverarbeiter

Version: v1.0.3
Vorläufige Version — vorbehaltlich rechtlicher Prüfung
Nesta página

    1. Zweck

    Dieses Dokument listet Drittanbieter-Dienstleister und Unterauftragsverarbeiter auf, die Swopli LTDA (CNPJ 61.902.473/0001-79) für den Betrieb von Swopli nutzt. Einige Anbieter handeln als Auftragsverarbeiter von Swopli unter einem DPA; andere handeln als unabhängige Merchant-of-Record-, App-Store- oder selbst gehostete Infrastruktur-/Referenzdatenanbieter, wie unten angegeben.

    Diese Liste wird zur Transparenz und zur Einhaltung von Datenschutzverpflichtungen gemäß:

    • Brasiliens Lei Geral de Proteção de Dados (LGPD), Law 13.709/2018
    • EU-Datenschutz-Grundverordnung (GDPR), Regulation 2016/679
    • Anderen anwendbaren Datenschutzgesetzen in Ländern, in denen Swopli Dienste oder Funktionen gemäß der Funktionsverfügbarkeit bereitstellt

    Für vollständige Details zur Verarbeitung personenbezogener Daten durch Swopli siehe unsere Datenschutzrichtlinie.

    2. Aktualisierungsbenachrichtigung

    Swopli wird 30 Tage im Voraus über alle Änderungen dieser Unterauftragsverarbeiterliste informieren, einschließlich:

    • Hinzufügung eines neuen Unterauftragsverarbeiters
    • Entfernung eines bestehenden Unterauftragsverarbeiters
    • Wesentliche Änderungen an der Rolle eines Unterauftragsverarbeiters oder seinen Datenverarbeitungsaktivitäten

    Die Benachrichtigung wird per E-Mail an die mit Ihrem Swopli-Konto verknüpfte Adresse gesendet. Sie können auch Aktualisierungen abonnieren, indem Sie swopli.com/de/rechtliches/unterauftragsverarbeiter besuchen.

    Wenn Sie Einwände gegen die Hinzufügung eines neuen Unterauftragsverarbeiters haben, können Sie Ihr Konto innerhalb der 30-tägigen Benachrichtigungsfrist kündigen. Einzelheiten zur Kontokündigung finden Sie in unseren Nutzungsbedingungen.

    3. Aktuelle Unterauftragsverarbeiter

    Die folgende Tabelle listet alle aktuellen Anbieter, den Zweck ihrer Datenverarbeitung oder Datenunterstützung, die betroffenen Datenarten, ihren Standort und Links zu ihren Datenverarbeitungsvereinbarungen (DPAs), Datenschutzrichtlinien oder anwendbaren Referenzmaterialien auf.

    Unterauftragsverarbeiter Zweck Verarbeitete Daten Standort DPA-Link
    Supabase, Inc. Datenbank, Authentifizierung, Speicherung Kontodaten, Produktanzeigen, Nachrichten, Tauschaufzeichnungen, Bilder Brasilien (AWS sa-east-1) für primäre Speicherung; Supabase, Inc. hat Sitz in den USA supabase.com/legal/dpa
    Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. Swap-Protection-Checkout, rückerstattbare Einlagen, Rückerstattungen, Transfers, KYC Connect und Zahlungsunterstützung, soweit anwendbar Zahlungsmethoden, Transaktionsdaten, Rechnungsadresse, Bankkontoinformationen, Steueridentifikationsdaten soweit erforderlich, Versandadresse Brasilien / Vereinigte Staaten, je nach Ablauf stripe.com/legal/dpa
    RevenueCat, Inc. Plattformübergreifende Abonnement-Orchestrierung (iOS/Android/Web via Paddle-Synchronisation), Customer Center, VIP-Berechtigungsverwaltung Kaufbelege, Abonnementstatus, Benutzer-ID, Geräteinformationen Vereinigte Staaten revenuecat.com/dpa
    Paddle.com Market Limited Merchant of Record für Web-Checkout (VIP/Boost), globale Steuererhebung, automatische Währungsumrechnung Zahlungsmethoden, Transaktionsdaten, Rechnungsadresse, E-Mail, IP-Adresse Vereinigtes Königreich, Vereinigte Staaten paddle.com/legal/dpa
    Apple Inc. In-App-Käufe (iOS) Kaufbelege, Apple ID (gehasht), Geräteinformationen Vereinigte Staaten apple.com/legal/privacy (Apple fungiert als Merchant of Record)
    Google LLC In-App-Käufe (Android) Kaufbelege, Google-Kontoinformationen, Geräteinformationen Vereinigte Staaten policies.google.com/privacy (Google fungiert als Merchant of Record)
    Resend, Inc. Transaktions-E-Mail-Zustellung E-Mail-Adresse, Name, E-Mail-Inhalt (Kontobestätigungen, Tauschbenachrichtigungen, Support-Antworten) Vereinigte Staaten (AWS us-east-1) resend.com/legal/dpa
    Cloudflare, Inc. CDN, DDoS-Schutz, Edge-Computing IP-Adresse, User-Agent, Anfragemetadaten (Protokolle für 24 Stunden) Vereinigte Staaten (mit globalem Edge-Netzwerk) cloudflare.com/cloudflare-customer-dpa
    Sentry (Functional Software, Inc.) Fehlerüberwachung, Absturzberichte Fehlerprotokolle, Stack-Traces, Geräteinformationen, Benutzer-ID, IP-Adresse Vereinigte Staaten sentry.io/legal/dpa
    PostHog, Inc. Produktanalyse (Opt-in für EU/EWR/UK/CH) Ereignisdaten, Benutzer-ID, Geräteinformationen, Funktionsnutzung, anonymisiertes Verhalten Europäische Union (PostHog Cloud EU) posthog.com/docs/privacy/dpa
    Nominatim (selbst gehostetes OpenStreetMap-Geocoding) Reverse-Geocoding für Standortanzeige Koordinaten, Standort-Suchanfragen Europäische Union (selbst gehostet) N/A für selbst gehostete Instanz; OpenStreetMap-Datenschutzreferenz
    OpenAI OpCo, LLC / OpenAI Ireland Ltd. Moderations-API für automatisierte Trust-and-Safety-Prüfung vor Veröffentlichung Produktanzeigen, Nachrichten, Profiltext, soweit moderiert, Moderationsmetadaten Vereinigte Staaten / Irland, soweit anwendbar openai.com/policies/data-processing-addendum
    Melhor Envio Versandetikettenerstellung, Verfolgung, Rücklogistik (nur Brasilien) Sendungsverfolgungscodes, Absender-/Empfängeradressen, Paketabmessungen, Sendungsstatus Brasilien melhorenvio.com.br/termos-de-uso

    Hinweis zu Paddle/Meta-Attribution: Paddle kann auf zustimmungspflichtigen Web-Checkout-Seiten Meta/Facebook-Attribution laden, wie in der Cookie-Richtlinie beschrieben. Swopli behandelt dies als optionale Marketing-Attribution und respektiert Einwilligung, GPC sowie Opt-outs für Nicht verkaufen oder weitergeben. Dies ist nicht Teil der Kernverarbeitung der Plattform, die zur Nutzung von Swopli erforderlich ist.

    4. Übermittlungsmechanismen

    4.1 Internationale Datenübermittlungen

    Einige Unterauftragsverarbeiter befinden sich außerhalb des Europäischen Wirtschaftsraums (EWR), Brasiliens oder Ihres Wohnsitzlandes. Swopli stellt sicher, dass alle internationalen Datenübermittlungen durch angemessene Garantien geschützt sind, einschließlich:

    • EU-Standardvertragsklauseln (SCCs): Für Übermittlungen aus der EU/dem EWR in Länder ohne Angemessenheitsbeschluss (z. B. Vereinigte Staaten, Brasilien) schließen Swopli und der Unterauftragsverarbeiter die Standardvertragsklauseln der EU-Kommission ab (Module 2 und 3, soweit anwendbar).
    • Transfer Impact Assessment (TIA): Swopli hat ein Transfer Impact Assessment für alle Hochrisikoübermittlungen durchgeführt, um sicherzustellen, dass die SCCs in der Praxis wirksamen Schutz bieten.
    • Brasilien (LGPD) SCCs: Für Übermittlungen, die brasilianische Nutzerdaten betreffen, verwendet Swopli die LGPD-konformen Standardvertragsklauseln oder stützt sich auf die ausdrückliche Zustimmung des Nutzers, wo dies nach Artikel 33 der LGPD erforderlich ist.
    • Datenverarbeitungsvereinbarung (DPA): Alle Unterauftragsverarbeiter haben DPAs abgeschlossen, die die anwendbaren SCCs einbeziehen und den Unterauftragsverarbeiter verpflichten, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen.

    4.2 Unter-Unterauftragsverarbeiter

    Einige der oben aufgeführten Unterauftragsverarbeiter können ihre eigenen Unter-Unterauftragsverarbeiter beauftragen (z. B. Cloud-Infrastrukturanbieter). Wenn dies der Fall ist:

    • Der primäre Unterauftragsverarbeiter bleibt gegenüber Swopli vollständig für die Einhaltung durch den Unter-Unterauftragsverarbeiter verantwortlich.
    • Unter-Unterauftragsverarbeiterbeziehungen werden durch die DPA und Datenschutzrichtlinie des primären Unterauftragsverarbeiters geregelt (in der obigen Tabelle verlinkt).
    • Swopli prüft primäre Unterauftragsverarbeiter, um sicherzustellen, dass sie gleichwertige Datenschutzverpflichtungen an Unter-Unterauftragsverarbeiter weitergeben.

    4.3 Datenresidenz

    • Brasilien: Nutzerdaten für brasilianische Einwohner werden in AWS sa-east-1 (São Paulo) über Supabase gespeichert, in Übereinstimmung mit den Best Practices der LGPD-Datenresidenz.
    • EU/EWR: PostHog-Daten werden in der EU über PostHog Cloud EU gespeichert. Andere Unterauftragsverarbeiter können Daten in den Vereinigten Staaten oder global speichern, vorbehaltlich SCCs.
    • Rest der Welt: Der Datenspeicherort variiert je nach Unterauftragsverarbeiter. Siehe die Spalte "Standort" oben.

    5. Ihre Rechte

    Gemäß den anwendbaren Datenschutzgesetzen haben Sie das Recht:

    • Zugriff auf die personenbezogenen Daten, die wir über Sie haben
    • Berichtigung ungenauer oder unvollständiger Daten
    • Löschung Ihrer Daten (vorbehaltlich gesetzlicher Aufbewahrungspflichten)
    • Widerspruch gegen die Verarbeitung basierend auf berechtigten Interessen
    • Einschränkung der Verarbeitung unter bestimmten Umständen
    • Datenübertragbarkeit (Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten)

    Um diese Rechte auszuüben, besuchen Sie bitte swopli.com/de/datenschutz/meine-daten oder senden Sie eine E-Mail an dpo@swopli.com.

    Für vollständige Details zu Ihren Rechten und wie Swopli personenbezogene Daten verarbeitet, siehe unsere Datenschutzrichtlinie.

    6. Fragen

    Wenn Sie Fragen zu dieser Unterauftragsverarbeiterliste, Datenübermittlungen oder unseren Datenschutzpraktiken haben:

    Für EU/EWR-Nutzer können Sie auch unseren GDPR-Vertreter (Artikel 27) kontaktieren:

    • EU/UK/CH-Vertreter: Prighter-Bestellung läuft — kontaktieren Sie in der Zwischenzeit dpo@swopli.com