Zuletzt aktualisiert: 1. März 2026
OpenHospi nutzt die folgenden externen Parteien für die Verarbeitung personenbezogener Daten. Alle Auftragsverarbeiter befinden sich innerhalb der EU/des EWR. Es werden keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums übermittelt.
| Rolle | Auftragsverarbeiter: Datenbank-Hosting (PostgreSQL) und Dateispeicher (Profilfotos, Zimmerfotos) |
| Standort | Dublin, Irland (eu-west-1) |
| Verarbeitete Daten | Alle in der Datenbank gespeicherten personenbezogenen Daten, hochgeladene Fotos |
| Auftragsverarbeitungsvertrag | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen (Supabase Data Processing Agreement) |
| Sicherheit | Verschlüsselung im Ruhezustand und bei der Übertragung, SOC 2 Typ II zertifiziert |
| Rolle | Auftragsverarbeiter: Webanwendungs-Hosting, Serverless Functions, Edge-Netzwerk |
| Standort | Dublin, Irland (eu-west-1) |
| Verarbeitete Daten | HTTP-Anfragen (IP-Adresse, User Agent) in Serverprotokollen |
| Auftragsverarbeitungsvertrag | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen (Vercel Data Processing Addendum) |
| Sicherheit | Automatisches HTTPS, DDoS-Schutz, SOC 2 Typ II zertifiziert |
| Rolle | Auftragsverarbeiter: Redis-Datenbank für Ratenbegrenzung und Missbrauchsprävention |
| Standort | Irland (AWS eu-west-1) |
| Verarbeitete Daten | Anonymisierte Ratenbegrenzungszähler (Nutzer-ID-Hashes). Keine personenbezogenen Daten gespeichert |
| Auftragsverarbeitungsvertrag | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen (Upstash DPA) |
| Sicherheit | Verschlüsselung im Ruhezustand und bei der Übertragung |
| Rolle | Auftragsverarbeiter: Crash-Reporting und Fehlerüberwachung |
| Standort | Frankfurt, Deutschland (eu-central-1) |
| Verarbeitete Daten | Fehlerereignisse, Stack-Traces, Gerätemodell, Betriebssystemversion, App-Version. Keine personenbezogenen Daten: sendDefaultPii deaktiviert, IP-Stripping aktiviert, kein Session-Replay, kein Nutzer-Tracking |
| Auftragsverarbeitungsvertrag | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen, mit Standardvertragsklauseln (SCCs) |
| Aufbewahrung | 90 Tage |
| Sicherheit | Verschlüsselung im Ruhezustand und bei der Übertragung. Die internen organisatorischen Metadaten von Sentry (Entwicklerkonten, Projektkonfigurationen, keine Endnutzerdaten) können gemäß der Infrastruktur von Sentry in die USA repliziert werden |
| Rolle | Auftragsverarbeiter: Mobile App-Builds, Over-the-Air (OTA) Updates und App-Verteilung |
| Standort | Vereinigte Staaten (Google Cloud Platform). Build-Server verarbeiten ausschließlich App-Quellcode und erzeugen Binaries. Keine personenbezogenen Endnutzerdaten sind betroffen |
| Verarbeitete Daten | App-Quellcode, JavaScript-Bundles, Build-Metadaten. Keine personenbezogenen Daten von Endnutzern erhoben |
| Auftragsverarbeitungsvertrag | Expo Nutzungsbedingungen und Datenschutzrichtlinie gelten. Expo erfüllt das EU-US Data Privacy Framework und verwendet Standardvertragsklauseln (SCCs) für internationale Übermittlungen |
| DSGVO-Relevanz | Es werden keine personenbezogenen Endnutzerdaten an EAS-Build-Server übermittelt oder dort verarbeitet. Nur App-Quellcode und Bundles werden verarbeitet. Die internationalen Übermittlungsgarantien von Expo (EU-US DPF, SCCs) bieten zusätzlichen Schutz gemäß Art. 45-46 DSGVO |
| Sicherheit | Signierte Updates, ausschließlich HTTPS-Auslieferung, Code-Signierung für OTA-Updates |