Unterauftragsverarbeiter
Version 2.0Letzte Aktualisierung:
Diese Seite listet die Drittanbieter-Unterauftragsverarbeiter (Anbieter und Dienstleister) auf, die Zenovay ("Zenovay", "wir", "uns" oder "unser") zur Unterstützung bei der Bereitstellung, Pflege und Verbesserung unserer Analyseplattform und damit verbundener Dienste einsetzt.
Wir wählen Unterauftragsverarbeiter sorgfältig aus, die hohe Standards für Sicherheit, Datenschutz und Datensicherung einhalten. Alle Unterauftragsverarbeiter sind verpflichtet, die geltenden Datenschutzgesetze und unsere Datenverarbeitungsanforderungen einzuhalten.
Was ist ein Unterauftragsverarbeiter
Ein Unterauftragsverarbeiter ist ein Drittauftragsverarbeiter, der von Zenovay beauftragt wird, um bei der Erbringung unserer Dienste zu helfen. Diese Unterauftragsverarbeiter können Kundendaten in unserem Auftrag für folgende Zwecke verarbeiten:
- Hosting-Infrastruktur und Content-Delivery
- Datenbankverwaltung und Datenspeicherung
- Zahlungsabwicklung und Abonnementverwaltung
- E-Mail-Versand und Kommunikationsdienste
- Authentifizierung und Identitätsverwaltung
- Analyse- und Überwachungsdienste
Aktuelle Unterauftragsverarbeiter
Die folgende Tabelle listet alle aktiven Unterauftragsverarbeiter auf, die Zenovay zum oben angegebenen Datum einsetzt:
| Unterauftragsverarbeiter | Zweck | Standort | Übermittlungsmechanismus | Website |
|---|---|---|---|---|
| Cloudflare, Inc. | Edge-Computing (Workers), Schlüssel-Wert-Speicher (KV), statisches Hosting (Pages), Objektspeicher (R2), CDN, DDoS-Schutz, Bot-Schutz (Turnstile) und AI Gateway | Vereinigte Staaten (Global Edge) | EU-US DPF / Schweiz-US DPF | cloudflare.com/privacypolicy/ |
| Supabase, Inc. | PostgreSQL-Datenbank, Echtzeit-Datensynchronisierung, Authentifizierung und Speicher | Europäische Union (eu-central-1, Frankfurt) - primäre Datenbankregion seit 24. April 2026 | Angemessenheit (Daten innerhalb der EU); SCCs gelten für etwaige operative Support-Datenflüsse | supabase.com/privacy |
| Stripe, Inc. | Zahlungsabwicklung, Abrechnung und Abonnementverwaltung | Vereinigte Staaten | EU-US DPF / Schweiz-US DPF | stripe.com/privacy |
| Resend, Inc. | Transaktionaler E-Mail-Versand und Benachrichtigungsdienste | Vereinigte Staaten | SCCs | resend.com/legal/privacy-policy |
| Mapbox, Inc. | Geolokalisierungsdienste und 3D-Globusvisualisierung | Vereinigte Staaten | SCCs | mapbox.com/legal/privacy |
| Google LLC | OAuth-Social-Authentifizierung (optionale Anmeldemethode) | Vereinigte Staaten | EU-US DPF / Schweiz-US DPF | policies.google.com/privacy |
| GitHub (Microsoft Corp.) | OAuth-Social-Authentifizierung (optionale Anmeldemethode) | Vereinigte Staaten | EU-US DPF / Schweiz-US DPF | docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement |
| OpenAI, LLC | KI-gestützte Analyseerkenntnisse und Verarbeitung natürlicher Sprache (optionale Funktion) | Vereinigte Staaten | SCCs | openai.com/policies/privacy-policy |
| IPwho.is | IP-Geolokalisierungs-Fallback-Dienst | EU / Global | Angemessenheit / SCCs | ipwho.is |
| Meta Platforms, Inc. | Werbe-Conversion-Tracking und Remarketing über Meta Pixel (erfordert Nutzereinwilligung) | Vereinigte Staaten | EU-US DPF / Schweiz-US DPF | facebook.com/privacy/policy/ |
| Reddit, Inc. | Werbe-Conversion-Tracking und Remarketing über Reddit Pixel (erfordert Nutzereinwilligung) | Vereinigte Staaten | SCCs | reddit.com/policies/privacy-policy |
| Google LLC (Analytics) | Website-Analyse, Traffic-Messung und Conversion-Tracking über Google Analytics 4 (erfordert Nutzereinwilligung) | Vereinigte Staaten | EU-US DPF / Schweiz-US DPF | policies.google.com/privacy |
| Sentry, Inc. | Fehlerüberwachung, Anwendungsleistungs-Tracking und Absturzmeldungen | Vereinigte Staaten | SCCs | sentry.io/privacy/ |
| LemonSqueezy (Lemon Squeezy, LLC) | Alternative Zahlungsabwicklung, Merchant-of-Record-Abrechnung und Rechnungsverwaltung für Kunden, die LemonSqueezy beim Checkout wählen | Vereinigte Staaten | SCCs | lemonsqueezy.com/privacy |
| Polar Software, Inc. | Alternative Zahlungsabwicklung, Abonnementabrechnung und Webhook-Zustellung für Kunden, die Polar beim Checkout wählen | Vereinigte Staaten | SCCs | polar.sh/legal/privacy |
| Anthropic, PBC | KI-gestützte E-Mail-Klassifikation und -Erstellung, geroutet über Cloudflare AI Gateway. Verarbeitet ausschliesslich kundeneigene E-Mail-Inhalte und aggregierte Analytik; es werden keine Rohdaten von Besuchersitzungen übertragen. | Vereinigte Staaten | EU-US DPF / SCCs | anthropic.com/privacy |
Optionale Unterauftragsverarbeiter
Die folgenden Unterauftragsverarbeiter werden nur eingesetzt, wenn Kunden bestimmte optionale Funktionen aktivieren:
| Unterauftragsverarbeiter | Zweck | Funktion | Übermittlungsmechanismus | Website |
|---|---|---|---|---|
| IPinfo | Drittanbieter-Datenanreicherung für Business Intelligence | B2B-Unternehmensidentifikation | SCCs | ipinfo.io/privacy |
| Clearbit (HubSpot) | Drittanbieter-Datenanreicherung für Business Intelligence | B2B-Unternehmensidentifikation | EU-US DPF / SCCs | hubspot.com/data-privacy/privacy |
| Amazon Web Services (AWS S3) | Kundengesteuerter Objektspeicher. Aggregierte analytics_daily-Metriken werden per PUT in einen vom Kunden besessenen und konfigurierten Bucket geschrieben. Zenovay agiert ausschliesslich als Agent - Anmeldedaten, Bucket, Region und Lifecycle-Richtlinie liegen vollständig in der Hand des Kunden. | Warehouse Export (S3) - Scale-Plan | Kundengesteuert (Übermittlung erfolgt unter dem AWS-DPA des Kunden, nicht dem von Zenovay) | aws.amazon.com/privacy/ |
Datenverarbeitungsstandards
Alle oben aufgeführten Unterauftragsverarbeiter sind verpflichtet:
- Geeignete technische und organisatorische Sicherheitsmassnahmen zum Schutz von Kundendaten aufrechtzuerhalten
- Daten nur gemäss den dokumentierten Weisungen von Zenovay zu verarbeiten
- Die geltenden Datenschutzgesetze einzuhalten, einschliesslich der Datenschutzvorschriften, CCPA und anderer relevanter Vorschriften
- Datenschutz-Folgenabschätzungen durchzuführen, wo gesetzlich vorgeschrieben
- Zenovay unverzüglich über Datenpannen, Sicherheitsvorfälle oder unbefugte Zugriffe zu informieren
- Bei der Bearbeitung von Betroffenenanfragen zu helfen, einschliesslich Auskunfts-, Löschungs- und Datenübertragbarkeitsanfragen
- Angemessene Zertifizierungen und Sicherheitsstandards aufrechtzuerhalten, soweit dies für ihre Dienstkategorie und Grösse anwendbar ist
- Kundendaten bei Beendigung der Dienste gemäss Weisung zurückzugeben oder zu löschen
Internationale Datenübermittlungen
Die primäre Datenbank von Zenovay (Supabase) wird seit dem 24. April 2026 in der Europäischen Union (eu-central-1, Frankfurt) gehostet, und Cloudflare R2 (Heatmap-Screenshots) ist mit EU-Standortpräferenz konfiguriert. Einige unserer übrigen Unterauftragsverarbeiter (z. B. Stripe, Resend, OpenAI über Cloudflare AI Gateway) sind in den USA ansässig, was Übermittlungen personenbezogener Daten ausserhalb des Europäischen Wirtschaftsraums (EWR) in Länder umfassen kann, die kein gleichwertiges Datenschutzniveau wie EWR-Länder bieten.
Für die Übermittlung personenbezogener Daten aus dem EWR in Länder ohne Angemessenheitsbeschluss gewährleisten wir die Einhaltung durch:
- EU-US-Datenschutzrahmen (DPF) / Schweiz-US-DPF: Für US-amerikanische Unterauftragsverarbeiter, die unter dem EU-US- und Schweiz-US-Datenschutzrahmen zertifiziert sind, verlassen wir uns auf den DPF als gültigen Übermittlungsmechanismus (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023).
- Standardvertragsklauseln (SCC): Wir verwenden von der Europäischen Kommission genehmigte Standardvertragsklauseln (Beschluss 2021/914) mit Unterauftragsverarbeitern, die nicht unter dem DPF zertifiziert sind, oder als zusätzliche Schutzmassnahme.
- Auftragsverarbeitungsverträge (AVV): Alle Unterauftragsverarbeiter sind durch umfassende Auftragsverarbeitungsverträge gebunden, die geeignete Datenschutzgarantien enthalten.
- Angemessenheitsbeschlüsse: Soweit anwendbar, verlassen wir uns auf Angemessenheitsbeschlüsse der Europäischen Kommission für bestimmte Länder.
- Ergänzende Massnahmen (Schrems II): Wir implementieren ergänzende Massnahmen gemäss den Empfehlungen des EDPB, einschliesslich Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256), Zugriffskontrollen, Datentransfer-Folgenabschätzungen und regelmässige Sicherheitsaudits.
Aktualisierungen dieser Liste
Zenovay kann Unterauftragsverarbeiter von Zeit zu Zeit hinzufügen, entfernen oder ersetzen, wenn sich unsere Geschäftsanforderungen ändern, Technologien sich weiterentwickeln oder um unsere Dienste zu verbessern.
Wenn wir Änderungen an unseren Unterauftragsverarbeitern vornehmen, werden wir:
- Diese Seite mit der aktuellen Liste der Unterauftragsverarbeiter aktualisieren
- Das Datum "Letzte Aktualisierung" oben auf dieser Seite aktualisieren
- Zahlende Kunden mindestens 30 Tage im Voraus über die Hinzufügung neuer Unterauftragsverarbeiter informieren
- Zahlende Kunden per E-Mail über wesentliche Änderungen bei Unterauftragsverarbeitern benachrichtigen
- Zahlenden Kunden das Recht einräumen, neuen Unterauftragsverarbeitern aus vernünftigen Datenschutzgründen zu widersprechen
Wir empfehlen, diese Seite regelmässig zu überprüfen, um über unsere aktuellen Unterauftragsverarbeiter informiert zu bleiben. Sie können sich auch für E-Mail-Benachrichtigungen über Aktualisierungen der Unterauftragsverarbeiter anmelden.
Ihre Rechte
Als Zenovay-Kunde haben Sie das Recht:
- Informationen über unsere Unterauftragsverarbeiter und deren Datenverarbeitungstätigkeiten anzufordern
- Der Nutzung neuer Unterauftragsverarbeiter aus vernünftigen Datenschutzgründen zu widersprechen (verfügbar für alle zahlenden Kunden)
- Kopien unserer Auftragsverarbeitungsverträge auf Anfrage zu erhalten (vorbehaltlich Vertraulichkeitspflichten)
- Unsere Einhaltung von Datenschutzpflichten zu prüfen oder einen Drittprüfer zu beauftragen (vorbehaltlich Vertraulichkeit und angemessener Ankündigung)
- Ihren Vertrag zu kündigen, wenn wir Ihre vernünftigen Einwände gegen einen neuen Unterauftragsverarbeiter nicht berücksichtigen können
Enterprise-Kunden mit spezifischen Datenverarbeitungsanforderungen können uns kontaktieren, um individuelle Datenverarbeitungsvereinbarungen zu besprechen.
Kontaktinformationen
Wenn Sie Fragen zu unseren Unterauftragsverarbeitern, Datenverarbeitungspraktiken haben oder sich für Benachrichtigungen über Aktualisierungen der Unterauftragsverarbeiter anmelden möchten, kontaktieren Sie uns bitte: