Subprozessorregister
Letzte Aktualisierung: 23/02/2026
1. Zweck
Dieses Dokument identifiziert die von GlobeID Limited („GlobeID“) beauftragten
Dritt-Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten im Auftrag
der Kunden im Zusammenhang mit den PassportScan Cloud-Diensten gemäß
Artikel 28(2) und 28(4) DSGVO.
Diese Liste der Unterauftragsverarbeiter ist integraler Bestandteil der
Auftragsverarbeitungsvereinbarung (DPA).
2. Allgemeine Grundsätze
- Unterauftragsverarbeiter werden nur beauftragt, soweit dies zur Erbringung der Services zwingend erforderlich ist
- Alle Unterauftragsverarbeiter sind durch schriftliche Datenschutzvereinbarungen gebunden, die mindestens gleichwertige Verpflichtungen wie im DPA vorsehen
- GlobeID bleibt gemäß Artikel 28(4) DSGVO vollumfänglich für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter verantwortlich
- Die Kern-Datenbanken der Plattform werden ausschließlich innerhalb der Europäischen Union gehostet (AWS eu-west-1 – Irland)
- Sofern regionaler S3-Speicher aktiviert ist, werden Dokumentbilder in der AWS-Region gespeichert, die der operativen Zuständigkeit des Hotels entspricht
- Es ist keine regionenübergreifende Replikation der Kern-Datenbanken konfiguriert
- PassportScan betreibt keine eigene Cardholder Data Environment (CDE)
3. Genehmigte Unterauftragsverarbeiter (Einheitliche Tabelle)
| Unterauftragsverarbeiter | Dienstleistungskategorie | Zweck / Funktion | Verarbeitete Datenkategorien | Verarbeitungsort |
|---|---|---|---|---|
| Amazon Web Services, Inc. (AWS) | Cloud-Infrastruktur & Hosting | Hosting von Anwendungsdiensten, Datenbanken, verschlüsseltem Objektspeicher (S3), Backups, Infrastruktursicherheit | Identitätsdaten, Reservierungsdaten, Protokolldaten, Dokumentbilder (sofern aktiviert) | Kernsysteme: EU (Irland – eu-west-1). S3: Region entsprechend der Hotelzuständigkeit (kann Regionen außerhalb des EWR umfassen) |
| Clerk, Inc. | Identität & Authentifizierung | Benutzerauthentifizierung, Identitätsprüfung, Sitzungs- und Zugriffsverwaltung | E-Mail-Adresse, IP-Adresse, Geräte-Metadaten, Sitzungstoken | Gemäß Angaben in der Clerk-Dokumentation |
| Datadog, Inc. | Protokollierung & Monitoring | Infrastrukturüberwachung, Anwendungs-Performance-Monitoring, Sicherheitsprotokollierung, Anomalieerkennung | Protokoll-Metadaten, IP-Adressen, Authentifizierungsereignisse, technische Diagnosedaten | Gemäß Angaben in der Datadog-Dokumentation |
| Google LLC (Google Workspace) | Unternehmensproduktivität & Kommunikation | Interne Geschäftskommunikation, E-Mail-Dienste, Dokumentenverwaltung | Geschäftliche Kontaktdaten, begrenzte operative Kommunikationsdaten | Gemäß Angaben von Google |
| Stripe, Inc. | Zahlungsabwicklung | Kreditkäufe und Kontoaktivierung | Von Stripe verarbeitet: Kreditkartendaten, Rechnungsdaten, Transaktionskennungen. Von PassportScan empfangen: Transaktions-ID, Zahlungsstatus, Betrag, Währung, Rechnungs-E-Mail (sofern angegeben) |
Gemäß Angaben in der Stripe-Dokumentation |
4. Ausdrückliche Ausschlüsse
- Kein Unterauftragsverarbeiter hat Zugriff auf entschlüsselte Identitätsdokumentdaten
- PassportScan speichert oder verarbeitet keine Kreditkartennummern, CVV-Codes oder Ablaufdaten
- Stripe verarbeitet Karteninhaberdaten innerhalb seiner PCI-DSS-konformen Infrastruktur
- Es ist keine regionenübergreifende Replikation der primären Produktionsdatenbanken aktiviert
5. Internationale Datenübermittlungen
Soweit Unterauftragsverarbeiter Daten außerhalb des Europäischen Wirtschaftsraums (EWR)
verarbeiten, stellt GlobeID sicher, dass geeignete Garantien implementiert werden,
einschließlich Standardvertragsklauseln (SCC) oder anderer zulässiger Übermittlungsmechanismen
gemäß Kapitel V DSGVO.
Für regionalen S3-Speicher außerhalb des EWR erfolgen Übermittlungen auf Grundlage des
AWS Data Processing Addendum sowie der anwendbaren SCC.
6. Aktualisierungen und Benachrichtigungen
GlobeID kann diese Liste der Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren.
Kunden werden über neue Unterauftragsverarbeiter durch Veröffentlichung
eines aktualisierten Registers informiert.
Soweit gesetzlich oder gemäß DPA erforderlich, können Kunden gemäß
dem im DPA vorgesehenen vertraglichen Verfahren Widerspruch einlegen.
Die jeweils aktuelle Version dieses Dokuments wird stets mit dem entsprechenden
Aktualisierungsdatum veröffentlicht.
