Unterauftragsverarbeiter
Überblick
Withdrawly nutzt Unterauftragsverarbeiter, um Shopify-App, Widerrufsworkflow, transaktionale E-Mails, Hosting, Datenbank, Sicherheit und Observability bereitzustellen.
Diese Seite unterstützt die Datenverarbeitungsvereinbarung. Withdrawly hält die Liste vor dem öffentlichen Launch und nach wesentlichen Infrastrukturänderungen aktuell.
Produktions-Unterauftragsverarbeiter
| Anbieter | Zweck | Betroffene Daten | Region / Übermittlungshinweis |
|---|---|---|---|
| Shopify Inc. | Shopify App-Plattform, OAuth, Admin API, App Proxy, Webhooks, Billing | Shop-Kennungen, über Shopify APIs verfügbare Bestell-/Kundendaten, App-Installationsdaten | Shopify arbeitet global. Übermittlungen richten sich nach Shopify-Plattformbedingungen, Datenverarbeitungsbedingungen, Angemessenheitsbeschlüssen und ggf. SCCs. |
| Fly.io Inc. | Anwendungshosting für Shopify-App und SaaS-Seiten | App-Traffic, Serverlogs, Betriebsmetadaten | Produktions-Fly-Apps sind mit Frankfurt, Deutschland (fra) als primärer Region konfiguriert. Zusätzliche EU-Kapazität kann in Amsterdam (ams) oder Frankfurt laufen. |
| Supabase Inc. | Produktions-PostgreSQL-Datenbankhosting | Widerrufsanfragen, Händler-Einstellungen, E-Mail-Logs, Audit-Events, Rate-Limit-Datensätze | Produktions-PostgreSQL ist für Supabase Central EU / Frankfurt (eu-central-1) vorgesehen. Supabase DPA und Übermittlungsbedingungen gelten, soweit relevant. |
| Resend Inc. | Transaktionaler E-Mail-Versand | Empfänger-E-Mail, Betreff, Bestätigungs- und Benachrichtigungsinhalt, Zustellmetadaten | Transaktionaler E-Mail-Versand ist über Resends EU domain region (eu-west-1, Irland) vorgesehen. Konto- und Supportverarbeitung von Resend kann die USA betreffen. |
| Functional Software, Inc. (Sentry) | Optionale Fehlerüberwachung und Performance-Diagnostik | Bereinigte technische Fehlerdaten; keine absichtliche Endkunden-PII | Wenn in Produktion aktiviert, sollte Sentry in der EU-Region mit Datenhosting in Frankfurt, Deutschland, konfiguriert sein. Sentry DPA und SCCs gelten, soweit relevant. |
Infrastrukturregionen
Withdrawlys Produktionsziel für EU-Händler ist:
- Anwendungshosting auf Fly.io mit Frankfurt (
fra) als primärer Region; - PostgreSQL-Datenspeicherung auf Supabase in Central EU / Frankfurt (
eu-central-1); - transaktionaler E-Mail-Versand über Resends EU domain region in Irland (
eu-west-1); - optionale Fehlerüberwachung über Sentry EU region Frankfurt;
- Shopify-Plattformverarbeitung über Shopifys globale Commerce-Infrastruktur.
Damit ist der primäre Anwendungs- und Datenbankworkflow auf EU/EWR-Infrastruktur ausgerichtet. Einige Anbieter haben ihren Sitz außerhalb der EU/des EWR oder betreiben globale Supportsysteme, sodass soweit relevant DPAs, SCCs, Angemessenheitsbeschlüsse oder EU-US Data Privacy Framework Zertifizierungen genutzt werden können.
Änderungsmitteilung
Withdrawly kann Unterauftragsverarbeiter hinzufügen, ersetzen oder entfernen, wenn dies für den Betrieb des Dienstes erforderlich ist. Wesentliche Änderungen werden, soweit nach DPA oder Datenschutzrecht erforderlich, per Website-Update, E-Mail oder In-App-Mitteilung angekündigt.
Händler können einer Änderung aus angemessenen Datenschutzgründen widersprechen, indem sie support@withdrawly.app kontaktieren.
Datenminimierung
Withdrawly ist darauf ausgelegt, nur Daten zu verarbeiten, die für den Widerrufsworkflow benötigt werden. Die App fragt oder speichert im Widerrufsworkflow keine Kundenadresse, Telefonnummer, Zahlungsdetails oder Kundenkonto-Zugangsdaten.
Kontakt
Fragen zu Unterauftragsverarbeitern können an support@withdrawly.app gesendet werden.