Datenverarbeitungsvereinbarung
Die Data Processing Agreement (DPA) legt fest, wie personenbezogene Daten zwischen Verantwortlichem und Auftragsverarbeiter gemäß DSGVO verarbeitet werden.
letzte Aktualisierung: 01/01/2026
Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“ oder „DPA“) ist Bestandteil der Vereinbarung
zwischen GlobeID Limited und dem Kunden über die Nutzung der PassportScan-Dienste.
1. Parteien
1.1 Verantwortlicher (Kunde)
Die juristische Person, die die PassportScan-Dienste zur Verarbeitung personenbezogener Daten im Rahmen ihrer
Gastgewerbe-, Beherbergungs- oder Gästeanmeldungstätigkeiten nutzt („Kunde“).
1.2 Auftragsverarbeiter
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, Ireland
(„GlobeID“ oder „Auftragsverarbeiter“).
2. Definitionen
Großgeschriebene Begriffe, die hierin nicht definiert sind, haben die Bedeutung gemäß der EU-Datenschutz-Grundverordnung (DSGVO).
- Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten im Sinne der DSGVO.
- Betroffene Person: die Person, auf die sich die personenbezogenen Daten beziehen.
- Anwendbares Datenschutzrecht: DSGVO sowie nationale Umsetzungsgesetze.
- Unterauftragsverarbeiter: jeder Dritte, der von GlobeID beauftragt wird, personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
3. Gegenstand und Dauer
3.1 Gegenstand
Dieses DPA regelt die Verarbeitung personenbezogener Daten durch GlobeID im Auftrag des Kunden über die PassportScan-Plattform und zugehörige Dienste.
3.2 Dauer
Die Verarbeitung erfolgt für die Dauer der Nutzung der Dienste durch den Kunden, sofern nicht schriftlich anders vereinbart.
4. Art und Zweck der Verarbeitung
4.1 Art der Verarbeitung
Die Verarbeitung kann die Erhebung, Erfassung, Strukturierung, Speicherung, Abfrage, Übermittlung und Löschung personenbezogener Daten umfassen.
4.2 Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zur:
- Ermöglichung des Gäste-Check-ins und der Registrierung
- Erfassung und Auslesung von Identitätsdokumentdaten
- Übermittlung erforderlicher Daten an PMS-Systeme
- Einhaltung gesetzlicher Meldepflichten (z. B. Polizei, Einwanderungs- oder Statistikbehörden)
- Unterstützung digitaler Signaturen und Einwilligungsprozesse
5. Kategorien personenbezogener Daten und betroffener Personen
5.1 Kategorien personenbezogener Daten
Abhängig von der Nutzung der Dienste durch den Kunden können personenbezogene Daten umfassen:
- vollständiger Name
- Geburtsdatum und Geburtsort
- Staatsangehörigkeit
- Art, Nummer, ausstellende Behörde und Ablaufdatum des Identitätsdokuments
- Dokumentenbilder und MRZ-Daten (maschinenlesbare Zone)
- Reservierungs- und Aufenthaltsinformationen
- digitale Signaturen und Einwilligungsnachweise
5.2 Kategorien betroffener Personen
- Gäste des Kunden, einschließlich Kinder und Minderjährige sofern gesetzlich erforderlich
- Begleitpersonen im Zusammenhang mit einer Buchung
6. Rollen und Verantwortlichkeiten
6.1 Pflichten des Kunden
Der Kunde:
- handelt als Verantwortlicher
- bestimmt Zwecke und Rechtsgrundlage der Verarbeitung
- stellt die rechtmäßige Erhebung personenbezogener Daten sicher
- erteilt betroffenen Personen die erforderlichen Datenschutzhinweise
- legt Aufbewahrungsfristen fest
6.2 Pflichten von GlobeID
GlobeID wird:
- personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten
- die Vertraulichkeit personenbezogener Daten gewährleisten
- angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen
- den Kunden bei der Einhaltung der DSGVO unterstützen
- personenbezogene Daten nicht zu eigenen Zwecken verarbeiten
7. Verarbeitung von Daten Minderjähriger
Der Kunde erkennt an, dass PassportScan personenbezogene Daten von Kindern und Minderjährigen verarbeiten kann, sofern dies gesetzlich bei der Anmeldung erforderlich ist.
Diese Verarbeitung:
- erfolgt ausschließlich auf Weisung des Kunden
- ist auf gesetzlich notwendige Daten beschränkt
- wird nicht für Marketing, Profiling oder Analysen verwendet
8. Sicherheitsmaßnahmen
GlobeID implementiert geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO.
Dazu gehören insbesondere:
- Verschlüsselung sensibler Daten im Ruhezustand in verschlüsselten Amazon-S3-Buckets
- Verschlüsselung während der Übertragung mittels sicherer Kommunikationsprotokolle
- logische Trennung von Kundendaten nach Region und Konto
- rollenbasierte Zugriffskontrolle und Least-Privilege-Prinzip
- sichere Authentifizierung, Protokollierung und Überwachung
- Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen
Sensible Identitätsdokumente und extrahierte Daten werden verschlüsselt innerhalb der entsprechenden regionalen AWS-Infrastruktur gespeichert.
9. Unterauftragsverarbeitung
9.1 Allgemeine Genehmigung
Der Kunde erteilt GlobeID eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern, soweit dies für Bereitstellung, Betrieb, Sicherheit und Wartung der Dienste erforderlich ist.
Unterauftragsverarbeiter können Leistungen wie Infrastruktur-Hosting, Systemadministration, Monitoring, Authentifizierung, Protokollierung und operativen Support erbringen.
Alle Unterauftragsverarbeiter sind vertraglich zu Vertraulichkeit und Datenschutz verpflichtet, mindestens im gleichen Umfang wie in dieser Vereinbarung festgelegt.
GlobeID bleibt vollständig für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter verantwortlich.
9.2 OCR-Verarbeitung auf dem Gerät
Wenn PassportScan OCR- oder Dokumentenanalyse-Technologien nutzt, erfolgt die Verarbeitung sensibler Dokumente lokal auf dem mobilen Endgerät des Endnutzers.
Es werden keine Roh-Identitätsdokumente oder sensiblen extrahierten Daten an Drittanbieter-OCR-Dienste übertragen; diese gelten daher nicht als Unterauftragsverarbeiter.
9.3 Transparenz
GlobeID führt eine aktuelle Liste autorisierter Unterauftragsverarbeiter.
Der Kunde erteilt hiermit die allgemeine Genehmigung zur Nutzung dieser Unterauftragsverarbeiter.
GlobeID informiert Kunden über wesentliche Änderungen vor Einsatz eines neuen Unterauftragsverarbeiters und gewährt ein Widerspruchsrecht gemäß geltendem Datenschutzrecht.
10. Datenhosting und internationale Übermittlungen
10.1 Cloud-Infrastruktur
Personenbezogene Daten werden über Amazon Web Services (AWS) gehostet.
10.2 Regionale Datenspeicherung
PassportScan speichert Daten regional entsprechend dem Standort des Hotels des Kunden.
Unterstützte Regionen zum Zeitpunkt dieser Vereinbarung:
| Geografische Zone | Speicherort der Daten |
|---|---|
| Europa | Irland |
| Asien | Singapur |
| Australien | Sydney |
| Nordamerika | Nord-Virginia |
| Südamerika | São Paulo |
Personenbezogene Daten werden in der Region gespeichert, die dem Betriebsstandort des Kunden entspricht, sofern nicht anders vereinbart.
10.3 Grenzüberschreitende Übermittlungen
Bei internationalen Übermittlungen stellt GlobeID geeignete Garantien sicher, einschließlich EU-Standardvertragsklauseln, sofern erforderlich.
ANHANG 1 – ZUSAMMENFASSUNG DER VERARBEITUNG
| Punkt | Beschreibung |
|---|---|
| Gegenstand | Identitäts- und Check-in-Daten von Gästen |
| Zweck | gesetzliche Compliance und Gästeanmeldung |
| Betroffene Personen | Gäste, einschließlich Minderjährige |
| Datenkategorien | Identitätsdokumente, Gästedaten |
| Verarbeitung | Erhebung, Speicherung, Übermittlung |
| Dauer | Vertragslaufzeit |
