Rectangle

Datenverarbeitungsvereinbarung

Die Data Processing Agreement (DPA) legt fest, wie personenbezogene Daten zwischen Verantwortlichem und Auftragsverarbeiter gemäß DSGVO verarbeitet werden.

Version: 2.0
Letzte Aktualisierung: 23/02/2026

 

1. Parteien

Diese Vereinbarung zur Auftragsverarbeitung („DPA“) ist Bestandteil des Dienstleistungsvertrags zwischen:

Verantwortlicher: Der Hospitality-Kunde, der PassportScan Cloud nutzt

Auftragsverarbeiter:
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, D07P4AX
Irland
USt-IdNr.: IE 3342103WH

Der Auftragsverarbeiter erbringt die PassportScan-Cloud-Dienstleistungen für den Verantwortlichen.

 

2. Zweck

Diese DPA regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß:

  • Verordnung (EU) 2016/679 (DSGVO)
  • Anwendbarem lokalem Datenschutzrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Verantwortlichen.

 

3. Art und Zweck der Verarbeitung

PassportScan Cloud ermöglicht:

  • Digitale Gäste-Registrierung
  • Scan von Ausweisdokumenten und OCR-Extraktion
  • Erfassung von Einwilligungen
  • Regulatorischen Datenexport
  • PMS-Integration
  • Kreditkauf und Kontoaktivierung

Die Zahlungsabwicklung erfolgt ausschließlich über Stripe.

Der Auftragsverarbeiter bestimmt nicht die Zwecke der Verarbeitung.

 

4. Kategorien betroffener Personen

  • Hotelgäste
  • Minderjährige Gäste (soweit gesetzlich erforderlich)
  • Reservierungsinhaber
  • Hotelmitarbeiter als Nutzer
  • Abrechnungskontakte

 

5. Kategorien personenbezogener Daten

Identitätsdaten

  • Vorname, Nachname
  • Geburtsdatum und Geburtsort
  • Staatsangehörigkeit
  • Ausweisnummer
  • Dokumententyp
  • Ablaufdatum
  • Dokumentenbilder (falls aktiviert)
  • Unterschriftsbilder
  • Einwilligungs-Metadaten

Technische Daten

  • IP-Adresse
  • Authentifizierungs-Metadaten
  • Geräte-Metadaten
  • Protokolldaten (Logs)

Zahlungs-Metadaten

  • Transaktions-ID
  • Zahlungsstatus
  • Betrag
  • Währung
  • Rechnungs-E-Mail (falls zutreffend)

Der Auftragsverarbeiter speichert oder verarbeitet nicht:

  • Vollständige Kreditkartennummern
  • CVV-Codes
  • Kartenablaufdaten

Kartenzahlungsdaten werden ausschließlich von Stripe verarbeitet.

 

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung zu verarbeiten
  • Vertraulichkeit zu gewährleisten
  • Geeignete technische und organisatorische Maßnahmen umzusetzen
  • Bei der Wahrnehmung der Betroffenenrechte zu unterstützen
  • Verletzungen des Schutzes personenbezogener Daten unverzüglich zu melden
  • Personenbezogene Daten nach Vertragsbeendigung zu löschen oder zurückzugeben

 

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter implementiert:

  • AWS-gehostete Infrastruktur
  • Multi-AZ-Bereitstellung
  • Anwendungs- / Feldbasierte Verschlüsselung (Modell B)
  • AES-256-Verschlüsselung im Ruhezustand
  • TLS 1.2+ Verschlüsselung während der Übertragung
  • Rollenbasierte Zugriffskontrolle
  • MFA-Unterstützung
  • Logging und Monitoring
  • Unabhängige Penetrationstests

 

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß dem öffentlichen Unterauftragsverarbeiter-Register.

Aktuelle Kategorien umfassen:

  • Amazon Web Services (AWS) – Cloud-Infrastruktur
  • Clerk – Authentifizierung
  • Datadog – Monitoring
  • Google Workspace – Interne Abläufe
  • Stripe – Zahlungsabwicklung

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter an DSGVO-konforme Verpflichtungen gebunden sind.

 

9. Sicherheit der Verarbeitung (Artikel 32 DSGVO)

Der Auftragsverarbeiter gewährleistet angemessene Sicherheitsmaßnahmen unter Berücksichtigung:

  • Des Stands der Technik
  • Der Implementierungskosten
  • Art, Umfang, Kontext und Zweck der Verarbeitung
  • Des Risikos für Rechte und Freiheiten natürlicher Personen

Die Sicherheitsmaßnahmen umfassen Verschlüsselung, Zugriffskontrolle, Systemresilienz und Incident-Response-Fähigkeiten.

 

10. Datenresidenz und internationale Übermittlungen

10.1 Kerninfrastruktur

Die Kernplattform-Infrastruktur, einschließlich Anwendungsdienste und primärer Datenbanken, wird ausschließlich gehostet in:

Amazon Web Services (AWS) – eu-west-1 (Irland, Europäische Union).

Eine regionsübergreifende Replikation der Kerndatenbanken ist nicht konfiguriert.

10.2 Regionale Speicherung von Dokumentenbildern

Sofern die Speicherung von Dokumentenbildern durch den Verantwortlichen aktiviert wird, kann die Objektspeicherung (Amazon S3) in der AWS-Region bereitgestellt werden, die der operativen Gerichtsbarkeit des Hotels entspricht.

Diese Regionen können Standorte außerhalb des Europäischen Wirtschaftsraums (EWR) umfassen, insbesondere:

  • Asien-Pazifik
  • Afrika
  • Nordamerika
  • Südamerika
  • Australien

Die Regionalisierung dient:

  • Der Einhaltung von Datenlokalisierungsanforderungen
  • Der Optimierung von Latenzzeiten
  • Der juristischen Angleichung

10.3 Garantien für internationale Übermittlungen

Werden personenbezogene Daten außerhalb des EWR verarbeitet, erfolgen Übermittlungen auf Grundlage von:

  • AWS Data Processing Addendum
  • Standardvertragsklauseln (SCC), soweit anwendbar
  • AES-256-Verschlüsselung im Ruhezustand
  • TLS 1.2+ Verschlüsselung während der Übertragung

Der Auftragsverarbeiter gewährleistet angemessene Garantien gemäß Kapitel V DSGVO.

 

11. Audit und Prüfung

Der Auftragsverarbeiter stellt die zur Nachweisführung der Compliance erforderlichen Informationen bereit und kann Folgendes zur Verfügung stellen:

  • Sicherheitsdokumentation
  • Zusammenfassung von Penetrationstests
  • Zertifizierungen (soweit vorhanden)

Audits können nach angemessener Vorankündigung durchgeführt werden.

 

12. Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

Die Mitteilung umfasst:

  • Art der Verletzung
  • Kategorien betroffener Daten
  • Ergriffene Abhilfemaßnahmen

 

13. Vertragsbeendigung

Nach Beendigung der Dienstleistungen:

  • Werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht
  • Wird der Zugriff widerrufen
  • Gelten die Richtlinien zur Löschung von Backups

 

14. Anwendbares Recht und Gerichtsstand

Diese Vereinbarung zur Auftragsverarbeitung sowie alle daraus resultierenden oder damit zusammenhängenden Streitigkeiten oder Ansprüche (einschließlich außervertraglicher Streitigkeiten oder Ansprüche) unterliegen dem Recht Spaniens und sind entsprechend auszulegen. Für sämtliche Streitigkeiten im Zusammenhang mit dieser DPA sind ausschließlich die Gerichte Spaniens zuständig, sofern nicht zwingendes anwendbares Datenschutzrecht etwas anderes vorschreibt.

Passportscan