Datenschutzrichtlinie

ASOCIACION ESTUDIANTIL JUNIOR NEXIO (NIF G75579508) ("wir", "uns" oder "unser") betreibt die Website simforme.com und die damit verbundenen Dienste (der "Dienst"). Diese Datenschutzrichtlinie erläutert, wie wir Ihre personenbezogenen Daten erheben, verwenden, offenlegen und schützen, wenn Sie unseren Dienst nutzen. Verantwortlicher für die Datenverarbeitung: ASOCIACION ESTUDIANTIL JUNIOR NEXIO Sitz: PS/ URIBITARTE, 6, 48001 BILBAO (BIZKAIA), Spanien Steuer-ID (NIF): G75579508 Datenschutzkontakt: privacy@simforme.com Wir verpflichten uns, Ihre Privatsphäre zu schützen und die Datenschutz-Grundverordnung (DSGVO), das britische Datenschutzgesetz 2018 und andere geltende Datenschutzgesetze einzuhalten. Durch die Nutzung unseres Dienstes stimmen Sie der Erhebung und Verwendung von Informationen gemäß dieser Richtlinie zu.

Wir erheben die folgenden Arten personenbezogener Daten: Kontoinformationen: Wenn Sie ein Konto über die Google-Anmeldung erstellen, erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von Google. Kaufinformationen: Bei einem Kauf erheben wir die zur Bearbeitung Ihrer Bestellung erforderlichen Daten, einschließlich Ihrer E-Mail-Adresse und zahlungsbezogener Informationen. Zahlungskartendaten werden direkt von Stripe verarbeitet und nie auf unseren Servern gespeichert. eSIM-Daten: Wir speichern eSIM-Identifikatoren (ICCID), den Aktivierungsstatus und Nutzungsdaten, um Ihren eSIM-Dienst bereitzustellen und zu verwalten. Nutzungsdaten: Wir erheben automatisch Informationen darüber, wie Sie mit unserem Dienst interagieren, einschließlich Ihrer IP-Adresse, Ihres Browsertyps, besuchter Seiten und Zeitstempel. Kommunikationsdaten: Wenn Sie unseren Support kontaktieren, erheben wir den Inhalt Ihrer Nachrichten und zugehörige Metadaten.

Wir verwenden Ihre personenbezogenen Daten für folgende Zwecke: - Bereitstellung, Betrieb und Wartung unserer eSIM-Dienste - Verarbeitung Ihrer Käufe und Verwaltung Ihrer Bestellungen - Versand von Bestellbestätigungen, eSIM-QR-Codes und Dienstbenachrichtigungen - Bereitstellung von Kundensupport und Beantwortung Ihrer Anfragen - Versand von Ablaufwarnungen und Warnungen bei niedrigem Datenvolumen für Ihre eSIMs - Erkennung, Verhinderung und Behebung von Betrug oder technischen Problemen - Einhaltung gesetzlicher Verpflichtungen - Verbesserung unseres Dienstes und Entwicklung neuer Funktionen

Nach der DSGVO verarbeiten wir Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen: Vertragserfüllung: Verarbeitung, die zur Erfüllung unserer Pflichten erforderlich ist, wenn Sie eine eSIM erwerben oder unseren Dienst nutzen. Berechtigte Interessen: Verarbeitung, die für unsere berechtigten Geschäftsinteressen erforderlich ist, wie Betrugsprävention, Dienstverbesserung und Sicherheit, sofern diese Interessen Ihre Grundrechte nicht überwiegen. Rechtliche Verpflichtung: Verarbeitung, die zur Einhaltung geltender Gesetze und Vorschriften erforderlich ist. Einwilligung: Wo erforderlich, holen wir Ihre ausdrückliche Einwilligung ein, bevor wir Ihre personenbezogenen Daten für bestimmte Zwecke verarbeiten, wie z.B. Marketingkommunikation. Sie können Ihre Einwilligung jederzeit widerrufen.

Wir können Ihre personenbezogenen Daten mit folgenden Dritten teilen, die als Auftragsverarbeiter, gemeinsam Verantwortliche oder unabhängige Verantwortliche tätig sind. Für jeden Anbieter nutzen wir, soweit verfügbar, in der EU gehostete Regionen, und wir stützen uns für Übermittlungen außerhalb des EWR auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (SVK) und sonstige Garantien. AirGSM Pte Ltd (Singapur, außerhalb des EWR) — unser eSIM-Großhandelsanbieter. AirGSM/Airalo verarbeitet bestimmte kundenbezogene Daten in unserem Auftrag auf Grundlage unseres Partnervertrags und seines Zusatzes zur Auftragsverarbeitung, der die Standardvertragsklauseln der EU (Durchführungsbeschluss (EU) 2021/914 der Kommission, Module 2 und 3) als Garantie für die Übermittlung nach Singapur einbezieht. Über unsere API-Integration übermitteln wir eine Paketauswahl und eine interne Bestellreferenz; Airalo stellt die eSIM entsprechend bereit und verwaltet sie. Stripe Payments Europe, Ltd (Irland, innerhalb des EWR) — unser Zahlungsabwickler. Stripe verarbeitet Ihre Zahlungsinformationen als unabhängiger Verantwortlicher gemäß seiner eigenen Datenschutzrichtlinie. Supabase Inc. — unser Datenbank- und Authentifizierungsanbieter. Obwohl das Unternehmen in den Vereinigten Staaten ansässig ist, werden Ihre Kontodaten gemäß der Datenresidenz-Konfiguration von Supabase in der EU (Irland, eu-west-1) gehostet. Rolle: Auftragsverarbeiter. SVK gelten als Garantie für jede Weiterübermittlung außerhalb des EWR (zum Beispiel im Rahmen von Remote-Support-Zugriffen). Resend Inc. — unser Anbieter für transaktionale E-Mails (Bestellbestätigungen, eSIM-Zustellung, Warnungen). Obwohl das Unternehmen in den Vereinigten Staaten ansässig ist, wird die Versand-Infrastruktur für unsere Domain in der EU (Irland, eu-west-1) gehostet. Rolle: Auftragsverarbeiter. SVK gelten als Garantie für jede Weiterübermittlung außerhalb des EWR. Google LLC (Vereinigte Staaten, außerhalb des EWR) — Anbieter von Google Analytics 4 und Google-Anmeldung. Abhängig vom Dienst und der jeweils geltenden vertraglichen Vereinbarung kann Google als Auftragsverarbeiter (Analytics) oder als unabhängiger Verantwortlicher (Sign-In) auftreten. Analytics-Cookies werden nur mit Ihrer Einwilligung gesetzt (Rechtsgrundlage). SVK gelten als Garantie für Übermittlungen außerhalb des EWR. Meta Platforms Ireland Ltd (Irland, innerhalb des EWR) — Anbieter von Meta Pixel und anderen Business Tools zur Werbeerfolgsmessung. Je nach konkreter Integration (z. B. Meta Pixel oder anderen Business Tools) kann Meta als gemeinsam Verantwortlicher oder als unabhängiger Verantwortlicher auftreten. Cookies und Tracking-Pixel werden nur mit Ihrer Einwilligung gesetzt (Rechtsgrundlage). Soweit Daten den EWR verlassen, gelten SVK als Garantie. Microsoft Ireland Operations Ltd (Irland, innerhalb des EWR) — Anbieter von Microsoft Clarity für UX-Analysen und Sitzungsaufzeichnungen. Rolle: Auftragsverarbeiter. Cookies werden nur mit Ihrer Einwilligung gesetzt (Rechtsgrundlage). Sensible Eingaben (Passwörter, Zahlungsfelder, persönliche Identifikatoren) werden automatisch maskiert und nicht in den Aufzeichnungen erfasst. SVK gelten als Garantie für jede Weiterübermittlung außerhalb des EWR. Vercel Inc. (Vereinigte Staaten, außerhalb des EWR) — unser Hosting- und Performance-Analyse-Anbieter. Vercel ist nicht unser dauerhafter Speicher für personenbezogene Daten (das ist Supabase), verarbeitet aber Betriebsprotokolle (einschließlich IP-Adressen) und Performance-Telemetrie, die für den Betrieb der Website erforderlich sind. Rolle: Auftragsverarbeiter. SVK gelten als Garantie. Notion (interne Buchhaltung): Wir haben Notion zuvor als internes Buchhaltungswerkzeug genutzt. Nach einer Überprüfung der Datenminimierung werden kundenidentifizierende Daten (etwa Namen) nicht mehr an Notion übermittelt; es werden lediglich Bestell-IDs, Beträge und Daten zu Buchhaltungszwecken gespiegelt. Notion erhält von uns daher keine personenbezogenen Daten mehr und wird oben nicht mehr als Auftragsverarbeiter aufgeführt. Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir geben Daten nur weiter, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist.

Wir verwenden Cookies und ähnliche Tracking-Technologien, um unseren Dienst zu betreiben. Dazu gehören: Essentielle Cookies: Erforderlich für die ordnungsgemäße Funktion des Dienstes, einschließlich Authentifizierung und Sitzungsverwaltung. Analyse-Cookies: Helfen uns zu verstehen, wie Besucher mit unserem Dienst interagieren, um die Benutzererfahrung zu verbessern. Sie können die Cookie-Einstellungen über Ihre Browsereinstellungen steuern. Das Deaktivieren essentieller Cookies kann die Funktionalität unseres Dienstes beeinträchtigen. Für weitere Informationen über die von uns verwendeten Cookies kontaktieren Sie uns bitte.

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie es zur Bereitstellung unseres Dienstes und zur Erfüllung der in dieser Richtlinie beschriebenen Zwecke erforderlich ist. Im Einzelnen: - Kontodaten: Werden aufbewahrt, solange Ihr Konto aktiv ist, und 3 Jahre nach der Kontolöschung - Bestell- und Transaktionsdaten: Werden 7 Jahre lang aufbewahrt, um Finanz- und Steuervorschriften einzuhalten - eSIM-Daten: Werden für die Dauer der eSIM-Gültigkeit plus 1 Jahr aufbewahrt - Nutzungsprotokolle: Werden 90 Tage aufbewahrt Nach Ablauf der Aufbewahrungsfristen löschen oder anonymisieren wir Ihre Daten sicher.

Der überwiegende Teil unserer Kernverarbeitung (Datenbank, transaktionale E-Mail, Zahlungen) ist so konfiguriert, dass er, soweit verfügbar, in der EU (Irland) gemäß den Datenresidenz-Einstellungen des jeweiligen Anbieters läuft. Einige unserer Dienstleister sind jedoch außerhalb des EWR ansässig, und bestimmte Verarbeitungstätigkeiten — einschließlich Remote-Support-Zugriffen, Telemetrie oder spezifischer Dienste wie eSIM-Bereitstellung, Analytik und Hosting-Infrastruktur — können mit Übermittlungen personenbezogener Daten in Länder außerhalb des EWR verbunden sein. Wenn personenbezogene Daten außerhalb des EWR übermittelt werden, stützen wir uns auf folgende Garantien gemäß Kapitel V der DSGVO: - Von der Europäischen Kommission genehmigte Standardvertragsklauseln (SVK). SVK sind von der Kommission verabschiedete Standardklauseln zum Datenschutz, die als Rechtsgarantie für die Übermittlung personenbezogener Daten in Drittländer dienen, für die kein Angemessenheitsbeschluss besteht. - Angemessenheitsbeschlüsse der Europäischen Kommission, soweit anwendbar. - Andere rechtmäßige Übermittlungsmechanismen nach geltendem Datenschutzrecht. Für die konkreten Zielländer und die für jeden unserer Anbieter geltenden Garantien siehe Abschnitt 5 ("Wie wir Ihre Informationen weitergeben"). Die Einwilligung (beispielsweise für Analyse-Cookies) ist in Abschnitt 4 als Rechtsgrundlage bestimmter Verarbeitungstätigkeiten beschrieben. Die Einwilligung allein legitimiert keine internationale Datenübermittlung; sobald personenbezogene Daten den EWR verlassen, gilt als Rechtsgarantie ein Mechanismus nach Kapitel V der DSGVO, etwa die oben beschriebenen SVK.

Nach der DSGVO und den geltenden Datenschutzgesetzen haben Sie folgende Rechte: Auskunftsrecht: Sie können eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben. Recht auf Berichtigung: Sie können die Korrektur unrichtiger oder unvollständiger personenbezogener Daten verlangen. Recht auf Löschung: Sie können die Löschung Ihrer personenbezogenen Daten verlangen, wenn kein zwingender Grund für die fortgesetzte Verarbeitung besteht. Recht auf Einschränkung der Verarbeitung: Sie können verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten unter bestimmten Umständen einschränken. Recht auf Datenübertragbarkeit: Sie können eine Kopie Ihrer Daten in einem strukturierten, maschinenlesbaren Format anfordern (JSON oder CSV). Widerspruchsrecht: Sie können der Verarbeitung Ihrer personenbezogenen Daten auf der Grundlage berechtigter Interessen widersprechen. Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen. So üben Sie Ihre Rechte aus (Betroffenenauskunft): - Senden Sie Ihre Anfrage an: privacy@simforme.com - Wir antworten innerhalb von 30 Tagen nach Eingang Ihrer Anfrage (Art. 12 Abs. 3 DSGVO) - Wir können eine Identitätsprüfung über Ihre Konto-E-Mail anfordern - Daten werden in elektronischem Format bereitgestellt (JSON oder CSV) Beschwerderecht: Sie haben das Recht, eine Beschwerde bei Ihrer lokalen Datenschutzaufsichtsbehörde einzureichen: - Spanien: Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es - Deutschland: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) — https://www.bfdi.bund.de - Vereinigtes Königreich: Information Commissioner's Office (ICO) — https://ico.org.uk

Unser Dienst ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 18 Jahren. Wenn wir erfahren, dass wir personenbezogene Daten eines Kindes unter 18 Jahren erhoben haben, werden wir umgehend Maßnahmen ergreifen, um diese Informationen zu löschen. Wenn Sie glauben, dass wir Informationen von einem Kind unter 18 Jahren erhoben haben, kontaktieren Sie uns bitte umgehend.

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Diese Maßnahmen umfassen: - Verschlüsselung von Daten bei der Übertragung (TLS/SSL) und im Ruhezustand - Sicherheit auf Zeilenebene (RLS) in unserer Datenbank - Sichere Authentifizierung über OAuth 2.0 (Google-Anmeldung) - Regelmäßige Sicherheitsüberprüfungen Allerdings ist keine Methode der Datenübertragung über das Internet oder der elektronischen Speicherung zu 100% sicher. Obwohl wir uns bemühen, Ihre personenbezogenen Daten zu schützen, können wir deren absolute Sicherheit nicht garantieren.

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Wir werden Sie über wesentliche Änderungen informieren, indem wir die aktualisierte Richtlinie auf unserer Website veröffentlichen und das Datum "Zuletzt aktualisiert" aktualisieren. Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen, um darüber informiert zu bleiben, wie wir Ihre Informationen schützen.

Wenn Sie Fragen zu dieser Datenschutzrichtlinie haben oder Ihre Datenschutzrechte ausüben möchten, kontaktieren Sie uns: Allgemeine Anfragen: support@simforme.com Datenschutzanfragen: privacy@simforme.com Für EU-Bürger haben Sie auch das Recht, eine Beschwerde bei Ihrer lokalen Datenschutzaufsichtsbehörde einzureichen (siehe Abschnitt 9 für Details).