Subprocessors & Datenübermittlungen
Aktuelle Liste der Auftragsverarbeiter und Datenempfänger, mit Kategorien, Standort und rechtlichen Garantien — Stand 18. April 2026.
1. Einleitung
Die LegaFund AG (Verantwortliche) setzt zur Erbringung der neurapay.ai-Website und unserer Dienstleistungen sorgfältig ausgewählte Auftragsverarbeiter („Subprocessors") ein. Diese Seite dokumentiert — ergänzend zu Ziff. 5 unserer Datenschutzerklärung — die eingesetzten Anbieter, die verarbeiteten Datenkategorien, den Standort und die rechtlichen Garantien für eine allfällige Übermittlung ausserhalb der Schweiz/EU.
2. Bestätigte Subprocessors (produktiv im Einsatz)
| Anbieter | Zweck | Datenkategorien | Standort | Rechtsgrundlage / Garantie |
|---|---|---|---|---|
| Google Cloud Platform (Google Ireland Ltd.) | Hosting & Infrastruktur (Datenbanken, Objektspeicher) | Alle Kundendaten, Logs | EU / CH | AV-Vertrag (DPA), SCC 2021/914 Modul 2, Swiss Addendum |
| Vercel Inc. | Hosting der Website neurapay.ai (Edge/Serverless-Funktionen), Nura-Chat-Logs | Request-Metadaten, Nura-Konversationen (30 Tage) | fra1 (Frankfurt, EU) | DPA, SCC, EU-US DPF (US-Muttergesellschaft) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (B2B-Rechnungen, Karten) | Zahler, Betrag, Karteninformationen (tokenisiert) | IE / EU | DPA, SCC, EU-US DPF (US-Muttergesellschaft) |
| TWINT AG | Zahlungsabwicklung CH-Debitoren | Zahler, Betrag, Forderungsreferenz | CH | AV-Vertrag, revDSG |
| Mixpanel Inc. (EU Data Residency) | Produktanalyse, A/B-Tests | pseudonyme Event-Daten, Geräte-Hash | EU-Residency aktiviert | DPA, SCC, EU-US DPF (US-Muttergesellschaft) |
| Google Ireland Ltd. — Gemini API | KI-Antworten im Nura-Chat | Nachrichteninhalt, Sprache, Seitenkontext (keine IP) | EU-Region (generativelanguage) | Google Cloud DPA, SCC, EU-US DPF (US-Muttergesellschaft). Keine Nutzung zu Trainingszwecken gemäss API-Bedingungen. |
| Mailgun Technologies Inc. (api.eu.mailgun.net) | Versand transaktionaler E-Mails (Kontakt, Bewerbungen) | E-Mail-Adresse, Nachrichteninhalt, Metadaten | EU-Endpoint (Frankfurt) | DPA, SCC, EU-US DPF (US-Muttergesellschaft) |
3. Bedingte Subprocessors (nur bei Aktivierung)
Folgende Anbieter werden nur dann eingebunden, wenn die zugehörige Konfiguration (ENV-Variable) aktiv gesetzt ist. Beim Laden der Website ohne Aktivierung findet keine Verbindung statt.
| Anbieter | Auslöser | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|---|
| HubSpot Ireland Ltd. | PUBLIC_HUBSPOT_MEETING_URL gesetzt | Meeting-Buchung im Nura-Chat | IE / EU | DPA, SCC, EU-US DPF (US-Muttergesellschaft) |
| Crisp IM SAS | PUBLIC_CRISP_WEBSITE_ID gesetzt und Handoff ausgelöst | Live-Chat-Handoff (Mensch) | FR / EU | DPA, revDSG/DSGVO-konform (EU-Anbieter) |
4. Nicht eingesetzte Dienste (Negativliste)
Im Sinne vollständiger Transparenz halten wir ausdrücklich fest, dass auf neurapay.ai eine Reihe üblicherweise eingesetzter Tracking- und Werbetechnologien bewusst nicht zum Einsatz kommt. Dies betrifft namentlich Google Analytics, Google Ads und vergleichbare Reichweitendienste, Meta Pixel und die Facebook Conversion API, den LinkedIn Insight Tag, das TikTok Pixel sowie Session-Replay-Werkzeuge wie Hotjar oder FullStory. Ebenso verzichten wir auf die Einbindung Marketing-orientierter Chat-Widgets (etwa Intercom oder Zendesk Chat) und auf die Integration in Retargeting-Netzwerke oder Demand-Side-Plattformen (DSPs).
5. Änderungen und Benachrichtigung
Der Kreis der Subprocessors kann sich im Rahmen der Weiterentwicklung der Plattform ändern. Wesentliche Änderungen (neuer Anbieter, Wechsel der Datenregion ausserhalb CH/EU) werden mindestens 30 Tage im Voraus auf dieser Seite angekündigt, sofern nicht zwingende Sicherheits- oder Betriebsgründe eine kürzere Frist erfordern.
B2B-Kunden mit individuellem Auftragsverarbeitungsvertrag (AVV) erhalten Änderungen zusätzlich schriftlich gemäss der im AVV vereinbarten Prozedur.
6. Kontakt
Fragen zu Subprocessors, Datentransfers oder AVV: datenschutz@lega-fund.com.
