Die für diesen Dienst verantwortliche handelnde juristische Person ist {{LEGAL_ENTITY}} („Delivery365", „wir", „uns" oder „unser"). Die juristische Person, ihre eingetragene Anschrift und die Rechtsordnung ihrer Niederlassung werden im Rahmen der rechtlichen Prüfung dieses Entwurfs abschließend festgelegt und erscheinen hier bis dahin als Platzhalter.

Delivery365 ist eine Liefer- und Logistikplattform, die Geschäftskunden („Unternehmern") sowie deren Endkunden und Fahrern angeboten wird. Für die personenbezogenen Daten, die wir über unsere eigenen Konten, die Abrechnung und den Plattformbetrieb erheben, ist Delivery365 der Verantwortliche. Für die personenbezogenen Daten, die Unternehmer über ihre eigenen Endkunden und Fahrer hochladen, handelt Delivery365 als Auftragsverarbeiter nach Weisung des Unternehmers, und der Unternehmer ist der Verantwortliche (siehe Abschnitt 2).

Sie können uns zu dieser Erklärung kontaktieren oder eines Ihrer Datenschutzrechte ausüben, indem Sie eine E-Mail an [email protected] senden. An diese Adresse gesendete Anfragen sind auch der Kanal für jeden Datenschutzkontakt, einschließlich der Funktion des Datenschutzbeauftragten oder encarregado, sofern eine solche erforderlich ist; wir benennen in diesem Entwurf keine bestimmte Person.

Sie haben außerdem das Recht, bei einer Datenschutzaufsichtsbehörde Beschwerde einzulegen. Je nachdem, wo Sie leben, kann dies Ihre örtliche Aufsichtsbehörde in der Europäischen Union oder im Europäischen Wirtschaftsraum, das Information Commissioner's Office (ICO) im Vereinigten Königreich, die Autoridade Nacional de Proteção de Dados (ANPD) in Brasilien oder die California Privacy Protection Agency (CPPA) bzw. der Attorney General in Kalifornien sein. Wir empfehlen Ihnen, sich zunächst unter [email protected] an uns zu wenden, damit wir versuchen können, Ihr Anliegen zu lösen.

Diese Erklärung gilt für unsere öffentlichen Websites, das Unternehmer-Backoffice, das Kundenportal, die mobile Anwendung für Fahrer und unsere Integrations-API. Sie gilt nicht für Websites oder Dienste Dritter, auf die ein Unternehmer verlinken oder die er nutzen kann; diese unterliegen ihren eigenen Datenschutzerklärungen.

Für personenbezogene Daten, die Geschäftskunden („Unternehmer") über ihre eigenen Kunden und Fahrer hochladen, gilt: Delivery365 handelt als Auftragsverarbeiter / Diensteanbieter / operador nach Weisung des Unternehmers; der Unternehmer ist der Verantwortliche. Der Unternehmer ist zudem für die Rechtsgrundlage sowie für die Information dieser Personen zuständig. Für die eigenen Kontodaten der Unternehmer ist Delivery365 der Verantwortliche.

Um diese Erklärung leichter lesbar zu machen, verwenden wir die folgenden Begriffe durchgängig einheitlich:

• Verantwortlicher — die Partei, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
• Auftragsverarbeiter — die Partei, die personenbezogene Daten im Auftrag eines Verantwortlichen und nach dessen Weisung verarbeitet (nach kalifornischem Recht „service provider" und nach brasilianischem Recht „operador" genannt).
• Personenbezogene Daten — alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
• Endkunde — der Empfänger einer Lieferung, dessen Angaben ein Unternehmer hochlädt, um diese Lieferung zu veranlassen.
• Unternehmer (oder Mandant) — ein Geschäftskunde, der Delivery365 nutzt, um seinen eigenen Lieferbetrieb zu führen.
• Fahrer — ein Fahrer, der die mobile Anwendung nutzt, um Lieferungen durchzuführen.
• Unterauftragsverarbeiter — ein Dritter, der personenbezogene Daten in unserem Auftrag verarbeitet, um uns bei der Bereitstellung des Dienstes zu unterstützen.
• Rechtsgrundlage — die rechtliche Grundlage nach dem anwendbaren Datenschutzrecht, die einen bestimmten Verarbeitungszweck zulässt.

Wir erheben die nachstehend aufgeführten Kategorien personenbezogener Daten. Für jede Kategorie geben wir an, ob Delivery365 der Verantwortliche (unsere eigenen Daten) oder der Auftragsverarbeiter ist (Daten, die ein Unternehmer über seine eigenen Kunden und Fahrer hochlädt).

• Konto- und Identitätsdaten (Verantwortlicher) — Namen, E-Mail-Adressen und gehashte Anmeldedaten für Plattformpersonal, Unternehmernutzer, Kundenportalnutzer und Fahrer, zusammen mit Anmelde-IP-Adressen sowie Sprach- und Zeitzoneneinstellungen.
• Abrechnungsdaten (Verantwortlicher) — Stripe-Abrechnungskennungen, die zur Verwaltung von Abonnements verwendet werden. Wir speichern keine vollständigen Zahlungskartennummern auf unseren eigenen Systemen; Kartendaten werden von Stripe verarbeitet (siehe Abschnitt 6).
• Steuer- und Geschäftskennungen (Verantwortlicher und Auftragsverarbeiter) — Steuernummern wie CPF oder CNPJ und zugehörige Registrierungskennungen für Unternehmer (unsere Daten) sowie für die Kunden und Empfänger, die Unternehmer hochladen (deren Daten). Soweit es sich um brasilianische Behördenkennungen handelt, behandeln wir sie als sensibel und gehen mit besonderer Sorgfalt damit um; ihre genaue Einstufung wird im Rahmen der rechtlichen Prüfung dieses Entwurfs bestätigt.
• Kontakt- und Adressdaten von Fahrern und Empfängern — Namen, Telefonnummern und Postanschriften, einschließlich der Lieferinhalte (Empfänger, Adressen, Rechnungs- und Auftragskennungen, Zustellnachweisfotos und Unterschriften sowie Freitextnotizen), die Unternehmer zur Veranlassung von Lieferungen hochladen (Auftragsverarbeiter), sowie Kontaktdaten von Fahrerkonten (Verantwortlicher).
• Präzise Standortdaten (Verantwortlicher und Auftragsverarbeiter) — präzise GPS-Koordinaten für Fahrer (letzte bekannte Position und der während der Lieferungen aufgezeichnete Verlauf) und geokodierte Koordinaten von Lieferpunkten. Wir behandeln die genaue Standortbestimmung von Fahrern als "genaue Geolokalisierung" und damit als sensible personenbezogene Daten nach kalifornischem Recht sowie als personenbezogene Daten mit hohem Risiko nach europäischem und brasilianischem Recht (sie sind für sich genommen keine besondere Datenkategorie). Sie werden ausschließlich zur Bereitstellung und Überprüfung des Lieferdienstes verwendet (siehe Abschnitt 4).
• Technische Daten, Telemetrie und Fehlerprotokolle (Verantwortlicher) — Anwendungs- und Anfrageprotokolle sowie Fehlerberichte, die IP-Adressen, Geräte- und Browserinformationen, Anfrageparameter und den von unserem Fehlerüberwachungsanbieter erfassten Kontext enthalten können. Unsere Anfrageprotokollierung filtert derzeit nur Passwörter, sodass andere Anfragedaten in diesen Protokollen und Fehlerberichten erscheinen können; dies ist eine bekannte Einschränkung, die wir prüfen.
• Cookies und Gerätedaten (Verantwortlicher) — Erstanbieter-Cookies, die für den Betrieb des Dienstes erforderlich sind, sowie eine geringe Anzahl von Drittanbieter-Widget-Cookies (siehe Abschnitt 5).

Wir erheben nicht absichtlich besondere Datenkategorien wie biometrische Daten, Gesundheitsdaten oder staatliche Sozialversicherungsnummern, die über die oben beschriebenen Steuerkennungen hinausgehen, und wir erheben nicht wissentlich Daten von Kindern (siehe den Abschnitt zu Kinderdaten in dieser Erklärung).

Wir verwenden personenbezogene Daten nur für die nachstehend aufgeführten Zwecke und stützen uns dabei auf eine Rechtsgrundlage, die zu jedem Zweck passt. Wir stützen uns nicht auf eine einzige, pauschale Einwilligungsbehauptung für alles, was wir tun.

• Kontoerstellung und Authentifizierung — zur Erstellung und Sicherung Ihres Kontos. Grundlage: Erfüllung eines Vertrags (GDPR Art. 6(1)(b); LGPD execução de contrato; ein Geschäftszweck nach dem CCPA).
• Abrechnung und Abonnements — zur Verwaltung von Abonnements, zur Zahlungsabwicklung über Stripe und zur Führung von Rechnungs- und Steuerunterlagen. Grundlage: Erfüllung eines Vertrags und Einhaltung einer rechtlichen Verpflichtung (GDPR Art. 6(1)(b) und (c); LGPD execução de contrato und obrigação legal).
• Lieferabwicklung und Routenplanung — zur Planung, Durchführung und Überprüfung von Lieferungen, einschließlich Geokodierung und Routenberechnung. Grundlage: Erfüllung eines Vertrags (GDPR Art. 6(1)(b); LGPD execução de contrato).
• Fahrerzuweisung und GPS-Verfolgung — zur Zuweisung von Lieferungen und zur Bereitstellung operativer Sichtbarkeit, Leistungsnachweise und Sicherheit während aktiver Lieferungen. Grundlage: Erfüllung eines Vertrags, gestützt auf unser berechtigtes Interesse an operativer Sichtbarkeit, Leistungsnachweisen sowie der Sicherheit von Fahrern und Empfängern — nicht Einwilligung. Sie haben das Recht, der auf berechtigtem Interesse beruhenden Verarbeitung zu widersprechen. Die präzise Geolokalisierung wird nach kalifornischem Recht als sensible personenbezogene Daten behandelt und ausschließlich zur Bereitstellung des Dienstes verwendet.
• Kundenbenachrichtigungen und Transaktions-E-Mails — zum Versand operativer Nachrichten wie Konto-, Liefer- und Abrechnungshinweise (keine Werbung). Grundlage: Erfüllung eines Vertrags (GDPR Art. 6(1)(b); LGPD execução de contrato).
• Fehlerüberwachung und Sicherheit — um die Plattform und die Daten unserer Kunden sicher, verfügbar und frei von Missbrauch zu halten. Grundlage: unser berechtigtes Interesse an der Sicherheit (GDPR Art. 6(1)(f); LGPD legítimo interesse). Sie haben das Recht zu widersprechen.
• Produktanalyse — um zu verstehen und zu verbessern, wie der Dienst genutzt wird. Wir verwenden serverseitige Erstanbieteranalysen, die kein Tracking-Cookie setzen. Grundlage: unser berechtigtes Interesse an der Verbesserung des Dienstes, mit einer Widerspruchsmöglichkeit über [email protected] — nicht Einwilligung.
• Lead- und Conversion-Tracking — um zu messen, wie Geschäftskonten gewonnen und konvertiert werden, was die Übermittlung des Namens und der E-Mail-Adresse eines Hauptverwalters sowie einiger Kontodetails an einen Tracking-Anbieter umfasst. Grundlage: unser berechtigtes Interesse an der Messung der Akquise, mit einer Widerspruchsmöglichkeit über [email protected] — nicht Einwilligung.
• Gesetzliche und steuerliche Aufbewahrung — zur Einhaltung von Rechnungs-, Steuer- und anderen gesetzlichen Verpflichtungen. Grundlage: Einhaltung einer rechtlichen Verpflichtung (GDPR Art. 6(1)(c); LGPD obrigação legal).

Für die Daten, die Unternehmer über ihre eigenen Kunden und Fahrer hochladen, hat Delivery365 keine eigenständige Rechtsgrundlage. Wir verarbeiten diese Daten nur als Auftragsverarbeiter nach Weisung des Unternehmers, und der Unternehmer wählt und dokumentiert als Verantwortlicher die Rechtsgrundlage und informiert die betroffenen Personen.

Wir verwenden eine geringe Anzahl von Erstanbieter-Cookies, die für den Betrieb des Dienstes unerlässlich sind, sowie eine geringe Anzahl von Drittanbieter-Widget-Cookies, die von externen Skripten gesetzt werden können. Wir laden keinen clientseitigen Drittanbieter-Analyse- oder Werbe-Tracker und setzen kein Drittanbieter-Analyse-Cookie: Unsere Produktanalyse (Ahoy) läuft serverseitig mit deaktivierter API und setzt daher kein clientseitiges Cookie.

Das öffentliche Cookie-Banner speichert Ihre Bestätigung im localStorage Ihres Browsers (unter dem Schlüssel „accept-terms"), nicht in einem Cookie. Wir betreiben keine Consent-Management-Plattform (CMP); die Verwaltung von Cookie-Einstellungen über eine Einwilligungsplattform liegt außerhalb des Umfangs dieses Dienstes.

Die genauen Cookies, die von den Drittanbieter-Skripten Cloudflare Turnstile und TurboChat gesetzt werden, werden von diesen Anbietern kontrolliert und können aus unserem eigenen Code nicht genau bestimmt werden; für diese Zeilen beschreiben wir sie als anbieterseitig kontrolliert und in Prüfung, und Sie sollten die jeweilige Anbieterrichtlinie für die maßgebliche Liste konsultieren.

Die verwendeten Cookies und ähnlichen Technologien sind:

Zur Bereitstellung des Dienstes stützen wir uns auf die nachstehend aufgeführten Unterauftragsverarbeiter. Jeder von ihnen handelt als Auftragsverarbeiter / Diensteanbieter / operador und verarbeitet personenbezogene Daten in unserem Auftrag im Rahmen von Datenverarbeitungsbedingungen (zum Beispiel Bedingungen, die GDPR Art. 28, den CCPA-Anforderungen an Diensteanbieter oder den LGPD-operador-Anforderungen entsprechen). Wir führen nur die Unterauftragsverarbeiter auf, auf die der Dienst tatsächlich angewiesen ist.

Unsere serverseitige Erstanbieteranalyse (Ahoy) hält ihre Daten in unserer eigenen Datenbank und sendet keine Daten an einen Dritten, und unsere selbst gehostete Auftragswarteschlange und unser Cache (Redis / Sidekiq) laufen auf unserer eigenen Infrastruktur; keines von beiden ist ein Drittanbieter-Unterauftragsverarbeiter, obwohl in Redis gehaltene Auftragsnutzlasten auf personenbezogene Daten verweisen können, solange ein Auftrag aussteht. Soweit die Hosting-Region oder Übermittlungsgarantie eines Unterauftragsverarbeiters noch nicht bestätigt ist, wird seine Garantie als „SCCs/DPF — to be confirmed" angezeigt und im Rahmen der rechtlichen Prüfung dieses Entwurfs abschließend festgelegt (siehe Abschnitt 7).

Die Unterauftragsverarbeiter sind:

Da Delivery365 weltweit angeboten wird, befinden sich einige der in Abschnitt 6 aufgeführten Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums (EWR), einschließlich in den Vereinigten Staaten. Das bedeutet, dass Ihre personenbezogenen Daten in Länder übermittelt und dort verarbeitet werden können, deren Datenschutzgesetze sich von denen Ihres Wohnsitzlandes unterscheiden. Wir behaupten nicht, dass wir personenbezogene Daten niemals international übermitteln; stattdessen stützen wir uns für jede Übermittlung auf einen anerkannten Übermittlungsmechanismus, der je Unterauftragsverarbeiter in Abschnitt 6 benannt ist.

Die Übermittlungsmechanismen, auf die wir uns je Unterauftragsverarbeiter-Klasse stützen, sind:

• Stripe, Google Maps und Cloudflare — das EU-US Data Privacy Framework (DPF) mit seiner UK-Erweiterung und der Swiss-US DPF-Erweiterung, wo anwendbar, abgesichert durch Standardvertragsklauseln (SCCs) als Rückfalloption.
• Mailtrap — EU-Standardvertragsklauseln zusammen mit dem UK International Data Transfer Addendum.
• DigitalOcean Spaces — Standardvertragsklauseln kombiniert mit Region-Pinning, sodass gespeicherte Daten in der von uns gewählten Region verbleiben.
• Honeybadger, TurboChat, Risenexa und Expo — die Hosting-Region und Übermittlungsgarantie dieser Anbieter werden im Rahmen der rechtlichen Prüfung dieses Entwurfs noch bestätigt; ihre Garantie wird als „SCCs/DPF — to be confirmed" angezeigt und darf nicht als endgültige, geprüfte Aussage verstanden werden.

Verschiedene Regelwerke stellen unterschiedliche Anforderungen an diese Übermittlungen, die wir wie folgt berücksichtigen:

• Vereinigtes Königreich — EU-Standardvertragsklauseln allein reichen für nach britischem Datenschutzrecht beschränkte Übermittlungen nicht aus. Für Übermittlungen in das Vereinigte Königreich stützen wir uns auf das UK International Data Transfer Agreement (IDTA) oder das UK Addendum zu den EU-SCCs, in der vom Information Commissioner's Office (ICO) aktualisierten Fassung, zusammen mit einer Risikobewertung der Übermittlung.
• Brasilien — nach der LGPD und den Regeln der ANPD zur internationalen Übermittlung stützen sich Übermittlungen aus Brasilien auf von der ANPD genehmigte Standardvertragsklauseln (cláusulas-padrão) oder eine andere rechtmäßige Grundlage nach Art. 33, zusätzlich zu einer Rechtsgrundlage für die Verarbeitung selbst. Wir veröffentlichen außerdem Informationen über internationale Übermittlungen auf Portugiesisch auf unserer Website, und Sie können den vollständigen Wortlaut der einschlägigen Übermittlungsklauseln anfordern, den wir innerhalb von 15 Tagen bereitstellen (vorbehaltlich des Schutzes von Geschäftsgeheimnissen), als Teil Ihres LGPD-Auskunftsrechts.
• Schweiz — für Personen in der Schweiz stützen wir uns, wo anwendbar, auf die Swiss-US Data Privacy Framework-Erweiterung für US-Unterauftragsverarbeiter, die sie besitzen. Wir behaupten nicht, einen Schweizer Vertreter benannt zu haben.

Ein Übermittlungsmechanismus ersetzt nicht die Notwendigkeit einer Rechtsgrundlage für die zugrunde liegende Verarbeitung; beides gilt. Wenn Sie Fragen zu einer bestimmten Übermittlung haben, kontaktieren Sie uns unter [email protected].

Wir bewahren personenbezogene Daten nur so lange auf, wie wir einen Zweck und eine Rechtsgrundlage für ihre Aufbewahrung haben, und wir beschreiben nachstehend, wie lange jede Kategorie aufbewahrt wird, nach Kategorie und nach den von uns verwendeten Kriterien. Wir stützen uns nicht auf ein bloßes „so lange wie nötig" ohne Hintergrund. Einige konkrete numerische Zeiträume (zum Beispiel die genaue Anzahl von Tagen, die Fahrer-GPS aufbewahrt wird, oder wie lange Anwendungsprotokolle aufbewahrt werden) werden im Rahmen der rechtlichen Prüfung dieses Entwurfs noch festgelegt, und wo dies der Fall ist, sagen wir es, anstatt eine Zahl zu erfinden.

Für Daten, die wir kontrollieren:

• Konto- und Identitätsdaten (Verantwortlicher) — werden für die Lebensdauer des Kontos aufbewahrt. Wenn ein Unternehmer-, Kundenportal-, Fahrer- oder Personalkonto gelöscht wird, werden die zugehörigen Datensätze entfernt. Wir bewahren Daten außerdem für den nach anwendbarem Steuer-, Buchhaltungs- und Handelsrecht erforderlichen Zeitraum sowie für den zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlichen Zeitraum auf, nach dem sie gelöscht werden.
• Abrechnungs- und Steuerunterlagen (Verantwortlicher) — werden für den nach anwendbarem Steuer- und Buchhaltungsrecht erforderlichen Zeitraum aufbewahrt (eine rechtliche Verpflichtung nach GDPR Art. 6(1)(c) / LGPD obrigação legal), der in der Regel mehrere Jahre beträgt, auch nach Schließung eines Kontos.
• Fahrer-GPS- und Standortdaten (Verantwortlicher / Auftragsverarbeiter) — Fahrer-GPS-Tracking-Punkte werden für die Lebensdauer des zugehörigen Lieferdatensatzes aufbewahrt und zusammen mit dieser Lieferung gelöscht (eine harte Löschkaskade, wenn die übergeordnete Lieferung entfernt wird). Es gibt keine separate, kürzere automatische Bereinigung von GPS-Punkten, und ein konkreter eigenständiger Aufbewahrungszeitraum für Standortdaten wird im Rahmen der rechtlichen Prüfung dieses Entwurfs abschließend festgelegt; wir nennen hier keine erfundene Zahl.
• Anwendungs- und Anfrageprotokolle, Hintergrundauftragsdaten, Fehlerberichte und Analysen (Verantwortlicher) — dazu gehören Elemente wie Rails-Anwendungsprotokolle, die während eines ausstehenden Hintergrundauftrags gehaltenen Auftragswarteschlangen-Nutzlasten, unsere Erstanbieteranalyse und der von unserem Fehlerüberwachungsanbieter erfasste Kontext. Für diese Kategorien ist in unserer Konfiguration noch kein einheitlicher fester Zeitraum festgelegt: Sie werden für die Lebensdauer des Kontos zuzüglich des nach anwendbarem Steuer- oder Handelsrecht erforderlichen Zeitraums und unseres betrieblichen und Sicherheitsbedarfs aufbewahrt, und die konkreten numerischen Zeiträume werden im Rahmen der rechtlichen Prüfung dieses Entwurfs abschließend festgelegt. Einige dieser Speicher werden von Unterauftragsverarbeitern gehalten und unterliegen dem eigenen Aufbewahrungszeitraum des Unterauftragsverarbeiters (siehe Abschnitt 6).

Für Daten, die ein Unternehmer über seine eigenen Kunden und Fahrer hochlädt (wo Delivery365 der Auftragsverarbeiter ist), richtet sich die Aufbewahrung nach den Weisungen des Unternehmer-Verantwortlichen und seiner Vereinbarung mit uns. Wir bewahren diese Daten auf, solange der Unternehmer den Dienst nutzt, und löschen sie auf Weisung des Unternehmers — einschließlich durch die Löschkaskade, die die Datensätze eines Kunden oder einer Lieferung entfernt, wenn der übergeordnete Datensatz gelöscht wird. Der Unternehmer ist als Verantwortlicher dafür zuständig, den Aufbewahrungszeitraum für diese Daten festzulegen.

Wenn ein Aufbewahrungszeitraum endet, löschen wir die Daten oder isolieren sie, wo eine Löschung nicht sofort möglich ist (zum Beispiel in Backups oder im Speicher eines Unterauftragsverarbeiters gehaltene Daten), von der weiteren Verarbeitung, bis sie gelöscht werden können.

Wir nehmen die Sicherheit personenbezogener Daten ernst und wenden geeignete technische und organisatorische Maßnahmen an, die darauf ausgelegt sind, sie vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Die hier beschriebenen Maßnahmen sind die Kontrollen, die unsere Systeme tatsächlich umsetzen; wir beschreiben sie in allgemeinen Begriffen, anstatt Konfigurationsdetails offenzulegen, die einem Angreifer helfen könnten.

Zu den Maßnahmen, die wir anwenden, gehören:

• Verschlüsselung bei der Übertragung — der Datenverkehr zwischen Ihrem Browser oder Gerät und unserem Dienst sowie zwischen unserem Dienst und den Unterauftragsverarbeitern, auf die wir uns stützen, wird mittels Transport Layer Security (TLS) geschützt, und unsere Server-zu-Unterauftragsverarbeiter-Verbindungen überprüfen das Zertifikat der Gegenseite.
• Passwortschutz — Kontopasswörter werden nur als gesalzene Einweg-Hashes (bcrypt) gespeichert, niemals als Klartext.
• API-Schlüssel-Schutz — Integrations-API-Schlüssel werden nur als Einweg-SHA-256-Digests gespeichert, niemals als ursprünglicher Schlüssel.
• Privater Dateispeicher — hochgeladene Dateien (wie Zustellnachweisfotos) werden in nicht-öffentlichem Objektspeicher gespeichert und nur über zeitlich begrenzte, bedarfsgesteuerte Links statt über öffentliche URLs bereitgestellt.
• Authentifizierung der mobilen Anwendung — die mobile Fahrer-Anwendung authentifiziert sich mit signierten Tokens (JWT), die einzeln widerrufen werden können.
• Mandantentrennung — die Daten jedes Geschäftskunden sind logisch getrennt, und der Zugriff ist so eingegrenzt, dass ein Geschäftskunde die Daten eines anderen nicht lesen kann.
• Missbrauchs- und Bot-Schutz — öffentliche Formulare werden durch eine Bot- und Missbrauchsschutz-Challenge geschützt, und unsere Integrations-API ist ratenbegrenzt.

Keine Methode der Übertragung über das Internet oder der elektronischen Speicherung ist vollständig sicher, sodass wir, obwohl wir uns bemühen, Ihre personenbezogenen Daten zu schützen, nicht versprechen können, dass sie stets vollständig sicher sind. Wir erheben in diesem Entwurf keinen Anspruch auf eine Sicherheitszertifizierung, und wir behaupten keine Verschlüsselung ruhender Daten, da dies im Rahmen der rechtlichen und infrastrukturellen Prüfung gesondert bestätigt wird; dieser Abschnitt beschreibt nur die Kontrollen, die unser Code tatsächlich umsetzt. Wenn Sie glauben, dass Ihr Konto oder Ihre Daten kompromittiert wurden, kontaktieren Sie uns unter [email protected].

Je nachdem, wo Sie leben und welches Recht auf Sie anwendbar ist, haben Sie Rechte an Ihren personenbezogenen Daten. Wir wahren diese Rechte für die Daten, die wir kontrollieren. Um eines davon auszuüben oder eine Frage zu dieser Erklärung zu stellen, kontaktieren Sie uns unter [email protected]. Wir überprüfen Ihre Identität, bevor wir auf eine Anfrage reagieren, wir erheben keine Gebühr für die Ausübung Ihrer Rechte (außer wenn eine Anfrage offenkundig unbegründet oder exzessiv ist, soweit das Gesetz dies zulässt), und wir bemühen uns, innerhalb eines Monats zu antworten, den wir bei komplexen oder zahlreichen Anfragen um bis zu zwei weitere Monate verlängern können, wobei wir Ihnen mitteilen, wenn wir die zusätzliche Zeit benötigen.

Wenn die DSGVO der Europäischen Union / des Europäischen Wirtschaftsraums oder die UK-GDPR auf Sie anwendbar ist, haben Sie das Recht: auf Ihre Daten zuzugreifen; unrichtige Daten berichtigen zu lassen (Berichtigung); Ihre Daten löschen zu lassen; unsere Verarbeitung einzuschränken; auf Datenübertragbarkeit; der auf unseren berechtigten Interessen beruhenden Verarbeitung zu widersprechen; und, sofern wir uns auf Ihre Einwilligung stützen, diese Einwilligung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung zu berühren. Sie haben außerdem das Recht, bei einer Datenschutzaufsichtsbehörde Beschwerde einzulegen — Ihre örtliche Behörde in der EU/im EWR oder das Information Commissioner's Office (ICO) im Vereinigten Königreich —, wobei wir Sie bitten, sich zunächst unter [email protected] an uns zu wenden, damit wir versuchen können, Ihr Anliegen zu lösen.

Wenn die brasilianische LGPD auf Sie anwendbar ist, haben Sie die in Artikel 18 dargelegten Rechte, einschließlich: Bestätigung, dass wir Ihre Daten verarbeiten, und Zugang dazu; Berichtigung; Anonymisierung, Sperrung oder Löschung unnötiger oder exzessiver Daten oder rechtswidrig verarbeiteter Daten; Übertragbarkeit; Löschung von mit Einwilligung verarbeiteten Daten; Information über die öffentlichen und privaten Stellen, mit denen wir Ihre Daten geteilt haben; Information über die Möglichkeit, die Einwilligung zu verweigern, und die Folgen davon; sowie Widerruf der Einwilligung. Sie haben außerdem ein Auskunftsrecht über unsere internationalen Übermittlungen: Sie können den vollständigen Wortlaut der einschlägigen Übermittlungsklauseln anfordern, den wir innerhalb von 15 Tagen bereitstellen (vorbehaltlich des Schutzes von Geschäftsgeheimnissen). Sie können sich an die brasilianische Datenschutzbehörde (ANPD) wenden. Unser Datenschutzkontakt (Encarregado-Kanal) ist [email protected]; wir benennen in diesem Entwurf keine bestimmte Person.

Wenn das kalifornische CCPA/CPRA auf Sie anwendbar ist, haben Sie das Recht: zu erfahren, welche personenbezogenen Informationen wir erheben und wie wir sie verwenden und offenlegen; darauf zuzugreifen und eine Kopie davon zu erhalten; unrichtige Informationen zu berichtigen; sie zu löschen; dem Verkauf oder der Weitergabe personenbezogener Informationen zu widersprechen; die Verwendung und Offenlegung Ihrer sensiblen personenbezogenen Informationen (zu denen für unseren Dienst die präzise Fahrer-Geolokalisierung gehört) einzuschränken; und nicht für die Ausübung Ihrer Rechte diskriminiert zu werden. Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht im Sinne des CCPA. Soweit erforderlich, werden die Optionen „Do Not Sell or Share My Personal Information" und „Limit the Use of My Sensitive Personal Information" durch Kontaktaufnahme mit [email protected] bereitgestellt. Je nach Ihrem Wohnsitzstaat oder -land haben Sie möglicherweise zusätzliche Rechte; kontaktieren Sie [email protected], und wir helfen Ihnen.

Anfragen zu Daten, die ein Geschäftskunde (Unternehmer) über seine eigenen Kunden, Empfänger oder Fahrer hochgeladen hat, sind an diesen Unternehmer zu richten, da für diese Daten der Unternehmer der Verantwortliche ist und Delivery365 nur als dessen Auftragsverarbeiter handelt. Wenn Sie nicht sicher sind, wer Ihre Daten kontrolliert, kontaktieren Sie uns unter [email protected], und wir leiten Ihre Anfrage an den richtigen Unternehmer-Verantwortlichen weiter und unterstützen ihn bei der Beantwortung.

Delivery365 ist ein Business-to-Business-Logistikwerkzeug, das für die Nutzung durch Unternehmen und deren Personal, Fahrer und Kunden bestimmt ist, und es richtet sich nicht an Kinder. Wir beabsichtigen nicht, dass der Dienst von Personen unter 16 Jahren (oder dem höheren Alter der digitalen Einwilligung, das Ihr örtliches Recht festlegt; einige Gesetze verwenden ein niedrigeres Alter, etwa 13 in den Vereinigten Staaten oder 13 nach dem brasilianischen Rahmen für Kinderdaten) genutzt wird, und wir erheben nicht wissentlich personenbezogene Daten von ihnen.

Wir betreiben kein Verfahren zur Altersprüfung oder elterlichen Einwilligung, und wir versprechen kein solches — keines existiert im Dienst. Wenn wir Kenntnis davon erlangen, dass wir ohne eine geeignete Rechtsgrundlage personenbezogene Daten von einem Kind erhoben haben, löschen wir diese Daten. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie uns unter [email protected], und wir ergreifen geeignete Schritte, um sie zu entfernen.

Wir verwenden Algorithmen, um den Lieferdienst zu betreiben — zum Beispiel zur Optimierung und Berechnung von Lieferrouten, zur Geokodierung von Adressen in Kartenkoordinaten und zur Schätzung von Lieferzeiten und der Einhaltung von Service-Levels. Dies sind operative Hilfsmittel, die die Personen unterstützen, die Lieferungen durchführen; sie treffen für sich genommen keine Entscheidungen, die rechtliche Wirkung Ihnen gegenüber entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Da Disponenten und Unternehmer diese Ergebnisse prüfen und darauf reagieren, besteht eine maßgebliche menschliche Beteiligung, und diese Verarbeitung stellt keine "ausschließlich automatisierte Entscheidungsfindung" der von Artikel 22 DSGVO (oder der entsprechenden Bestimmung in Artikel 20 des brasilianischen LGPD) erfassten Art dar. Wir treffen daher keine automatisierten Entscheidungen über Sie mit rechtlicher oder ähnlich erheblicher Wirkung.

Wir senden Ihre personenbezogenen Daten nicht an einen Drittanbieterdienst für künstliche Intelligenz oder große Sprachmodelle zur Laufzeitverarbeitung. Soweit künstliche Intelligenz verwendet wird, um uns bei der Erstellung von Materialien wie Übersetzungen dieser Website zu unterstützen, geschieht dies während unseres Entwicklungsprozesses und umfasst keine Verarbeitung Ihrer personenbezogenen Daten.

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen in der Art und Weise, wie wir personenbezogene Daten verarbeiten, im Dienst oder im anwendbaren Recht widerzuspiegeln. Wenn wir eine wesentliche Änderung vornehmen, ergreifen wir angemessene Schritte, um Sie vor deren Inkrafttreten darauf aufmerksam zu machen — zum Beispiel durch einen In-App-Hinweis oder per E-Mail an die betreffenden Kontoinhaber. Bei nicht wesentlichen Aktualisierungen veröffentlichen wir die überarbeitete Erklärung mit einem aktualisierten Datum des Inkrafttretens, und wir empfehlen Ihnen, diese Seite regelmäßig zu überprüfen.

Wir verpflichten uns nicht, Sie über jede geringfügige Änderung zu informieren, und dieser Abschnitt begründet keine Verpflichtung, Sie gesondert über Änderungen der von uns genutzten Unterauftragsverarbeiter zu informieren; die aktuelle Liste der Unterauftragsverarbeiter befindet sich in Abschnitt 6.

LEGAL_REVIEW_REQUIRED — Diese Datenschutzerklärung ist ein vertretbarer, evidenzbasierter Entwurf und keine Rechtsberatung. Sie beschreibt, wie Delivery365 personenbezogene Daten auf Grundlage unseres Quellcodes und unserer Konfiguration tatsächlich verarbeitet, und sie muss von qualifizierten Rechtsberatern geprüft werden, bevor sie als endgültiges, verbindliches Dokument herangezogen wird.

Version: v2.0.

Datum des Inkrafttretens: {{EFFECTIVE_DATE}}. Das Datum des Inkrafttretens wird als Platzhalter angezeigt und festgelegt, sobald dieser Entwurf die rechtliche Prüfung abgeschlossen hat. Bis dahin sollte dieses Dokument als Entwurf behandelt werden, der noch der rechtlichen Prüfung unterliegt, und nicht als endgültige Rechtsberatung.

Die für den Dienst verantwortliche handelnde juristische Person ({{LEGAL_ENTITY}}) und bestimmte andere Angaben werden ebenfalls als Platzhalter angezeigt, die noch dieser Prüfung unterliegen (siehe Abschnitt 1). Fragen zu dieser Erklärung können an [email protected] gesendet werden.