Unterauftragsverarbeiter und wesentliche Empfänger
Hinweis: Maßgeblich und rechtlich verbindlich ist ausschließlich die deutsche Fassung dieses Dokuments.
Stand: 5. Juli 2026
Diese Liste beschreibt die wesentlichen Dienstleister, Unterauftragsverarbeiter und Empfänger, die für Ride Assignment eingesetzt werden können. Nicht jeder aufgeführte Anbieter ist in jeder Rolle ein Unterauftragsverarbeiter. Die tatsächliche Verarbeitung hängt davon ab, welche Funktionen eine Kundenorganisation nutzt und welche Umgebung konfiguriert ist.
1. Supabase
Anbieter: Supabase, Inc. beziehungsweise verbundene Supabase-Gesellschaften.
Rolle: Unterauftragsverarbeiter für Authentifizierung, Sitzungsverwaltung, verwaltete Postgres-Datenbankdienste, Storage- und Plattformfunktionen.
Zweck: Konto- und Workspace-Betrieb, Login, Sitzungen, Datenbank, Zugriffskontrolle und technische Plattformbereitstellung.
Datenarten: Konto-, Sitzungs-, Organisations-, Workspace-, Fahrer-, Mitfahrer-, Event-, Routen-, Import-, Export-, Audit- und Sicherheitsdaten.
Sitz und Verarbeitung: abhängig von der Supabase-Projektkonfiguration; Übermittlungen in Drittstaaten können insbesondere bei Support, Plattformbetrieb oder Konzernzugriffen stattfinden.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
2. Vercel
Anbieter: Vercel Inc. beziehungsweise verbundene Vercel-Gesellschaften.
Rolle: Hosting-, Deployment-, Edge-, Logging- und Infrastruktur-Anbieter.
Zweck: Bereitstellung der Website, Webanwendung, API-Routen, Deployments, Infrastrukturprotokolle und Sicherheitsfunktionen.
Datenarten: technische Request-Daten, IP-bezogene Anfrageinformationen, Logdaten, Fehlerdaten und, soweit über Serverfunktionen verarbeitet, Anwendungsdaten.
Sitz und Verarbeitung: USA und weitere Infrastrukturstandorte nach aktiver Vercel-Konfiguration.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
3. Stripe
Anbieter: Stripe Payments Europe, Limited, Stripe, Inc. und verbundene Stripe-Gesellschaften.
Rolle: Zahlungsdienstleister; je nach Vorgang eigener Verantwortlicher oder Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter.
Zweck: Checkout, Abonnementabrechnung, Rechnungen, Billing-Portal, Zahlungsabwicklung, Webhooks und Abrechnungssynchronisierung.
Datenarten: Konto- und Abrechnungsdaten, Stripe-Kundenreferenzen, Checkout- und Subscription-Metadaten, Rechnungsdaten, Zahlungsstatus und transaktionsbezogene Supportdaten. Zahlungs- und Kartendaten werden direkt durch Stripe verarbeitet.
Sitz und Verarbeitung: Irland, USA und weitere Stripe-Verarbeitungsstandorte.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
4. Mapbox
Anbieter: Mapbox, Inc. und verbundene Mapbox-Gesellschaften.
Rolle: Dienstleister für Karten, Routing, Geocoding, Matrixberechnungen, Optimierung und statische Kartenbilder.
Zweck: interaktive Kartenanzeige, serverseitige Routenberechnung, Erreichbarkeitsprüfung, Routenoptimierung, Routenmetriken und Kartenbilder in Exporten.
Datenarten: IP-bezogene Request-Daten, Adressen, Koordinaten, Routenpunkte, Fahrstrecken, Routenparameter und technische Request-Metadaten.
Sitz und Verarbeitung: USA und weitere Mapbox-Verarbeitungsstandorte.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
5. PostHog
Anbieter: PostHog, Inc. beziehungsweise verbundene PostHog-Gesellschaften.
Rolle: Analyse- und Fehlererfassungsanbieter – Browseranalyse und clientseitige Fehlererfassung nach Einwilligung sowie serverseitige Produkt- und Sicherheitsanalyse auf Grundlage berechtigter Interessen.
Zweck: Web-, Produkt- und technische Fehleranalyse im Browser nach Einwilligung in die Analysekategorie sowie serverseitige Produkt-, Sicherheits- und Nutzungsanalyseereignisse auf Grundlage berechtigter Interessen.
Datenarten: pseudonyme Browser- und Nutzungskennungen, Seiten- und Funktionsnutzungsdaten, technische Browserdaten, Session-Metadaten und minimierte Fehlerkontexte; für die serverseitige Analyse Ereignisse zum Lebenszyklus und zur Nutzung von Konten und Abonnements, die zugehörige Kontokennung und die eigene E-Mail-Adresse der Kontoinhaberin oder des Kontoinhabers. Der Dienst ist darauf ausgelegt, personenbezogene Workspace-Inhalte – wie Namen, E-Mail-Adressen, Telefonnummern, Adressen, Koordinaten, Notizen, CSV-Inhalte oder Routeninhalte von Fahrerinnen und Fahrern, Fahrgästen und anderen Teilnehmenden – möglichst nicht an PostHog zu übermitteln; in begrenztem Umfang können solche Inhalte jedoch beiläufig in serverseitigen Fehlerdiagnosen enthalten sein, die PostHog als unser Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags verarbeitet.
Sitz und Verarbeitung: abhängig von der konfigurierten PostHog-Cloud-Region beziehungsweise dem aktiven PostHog-Host.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
6. Amazon Web Services und Amazon SES
Anbieter: Amazon Web Services EMEA SARL, Amazon Web Services, Inc. und verbundene AWS-Gesellschaften.
Rolle: E-Mail- und Infrastruktur-Dienstleister, soweit Amazon SES oder AWS-Infrastruktur aktiviert ist.
Zweck: Versand transaktionaler E-Mails, Newsletter-Bestätigungs-E-Mails, Abmeldenachrichten und Zustellstatusverarbeitung.
Datenarten: Empfängeradressen, Absenderadressen, Betreffzeilen, E-Mail-Inhalte, Locale-Werte, Versandzeitpunkte, Zustellstatus und technische Versandmetadaten.
Sitz und Verarbeitung: derzeit ist für Amazon SES die Region eu-north-1 vorgesehen; Support- und Konzernzugriffe können Drittlandbezug haben.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
7. Photon-Geocoding-Anbieter
Anbieter: der konfigurierte Photon-Endpunkt; ohne abweichende Konfiguration kann dies der öffentliche Photon-Dienst von Komoot sein.
Rolle: Geocoding- und Adresssuchanbieter.
Zweck: Adresssuche, Autovervollständigung, Adressnormalisierung und Geocoding.
Datenarten: Suchanfragen, Adressen, Ortsnamen, Koordinaten, Spracheinstellungen und technische Request-Metadaten.
Sitz und Verarbeitung: abhängig vom konfigurierten Photon-Endpunkt.
Transfermechanismus: abhängig vom konfigurierten Anbieter und dessen Verarbeitungsort; bei Drittlandübermittlungen nur mit geeignetem Transferinstrument.
8. Route-Solver- und Valhalla-Infrastruktur
Anbieter: die von Pablo Thiermann konfigurierte Route-Solver- und Valhalla-Infrastruktur.
Rolle: Routing- und Optimierungsinfrastruktur.
Zweck: Berechnung von Fahrzeiten, Distanzen, Routen und optimierten Zuordnungen ohne Mapbox-Optimierung, soweit diese Produktfunktion genutzt wird.
Datenarten: Koordinaten, Routenparameter, Fahrer- und Mitfahrer-IDs, Kapazitäten, Zeitfenster, Zuordnungsparameter und technische Request-Metadaten. Personenbezogene Namen und Kontaktdaten sollen für diese Berechnung nicht erforderlich sein.
Sitz und Verarbeitung: abhängig von der aktiven Infrastrukturkonfiguration.
Transfermechanismus: abhängig vom Hosting-Ort und Anbieter; bei Drittlandübermittlungen nur mit geeignetem Transferinstrument.
9. Google-Dienste
Anbieter: Google Ireland Limited, Google LLC und verbundene Google-Gesellschaften.
Rolle: optionaler Login-Anbieter und Empfänger bei nutzerinitiierten Google-Maps-Routenlinks; je nach Vorgang eigener Verantwortlicher oder Dienstleister.
Zweck: optionaler Google-Login über Supabase Auth sowie Öffnen von Google-Maps-Routenlinks durch Nutzer.
Datenarten: bei Google-Login Authentifizierungsdaten; bei Google-Maps-Links Routen-, Adress- und Standortdaten, die im Link enthalten sind oder vom Browser an Google übertragen werden.
Sitz und Verarbeitung: Irland, USA und weitere Google-Verarbeitungsstandorte.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
10. Cloudflare
Anbieter: Cloudflare, Inc. und verbundene Cloudflare-Gesellschaften.
Rolle: Sicherheits-, Access- oder Infrastruktur-Anbieter, soweit Cloudflare Access oder Cloudflare-geschützte Infrastruktur aktiviert ist.
Zweck: Zugriffsschutz, Service-zu-Service-Authentifizierung, Sicherheitsfilterung und Infrastrukturabsicherung.
Datenarten: technische Request-Daten, IP-bezogene Anfrageinformationen, Access-Header, Sicherheitsereignisse und Protokolldaten.
Sitz und Verarbeitung: USA und weitere Cloudflare-Verarbeitungsstandorte.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.
11. Kasada / Vercel BotID
Anbieter: Kasada Pty Ltd und verbundene Kasada-Gesellschaften, eingesetzt über Vercel BotID, soweit BotID oder Deep Analysis aktiviert ist.
Rolle: Anbieter für Bot-Schutz und Missbrauchsprävention; je nach Verarbeitungsvorgang und aktiver BotID-Konfiguration Unterauftragsverarbeiter oder Sicherheitsdienstleister.
Zweck: BotID-Challenge, Verifikation und Bot-Erkennung für geschützte Routen, insbesondere zur Verhinderung automatisierten Missbrauchs bei besonders schutzbedürftigen Endpunkten wie der Demo-Optimierungs-API.
Datenarten: technische Request-Daten, IP-bezogene Anfrageinformationen, Browser- und Gerätesicherheitssignale, Challenge- oder Verifikationsergebnisse, Metadaten zu geschützter Route und HTTP-Methode sowie zugehörige Sicherheitsdiagnosen. Workspace-Inhalte wie Fahrer-, Mitfahrer-, Routen-, Import-, Export- und Notizinhalte werden für die BotID-Verarbeitung nicht absichtlich an Kasada übermittelt.
Sitz und Verarbeitung: Australien, USA und weitere Kasada- oder Vercel-Verarbeitungsstandorte nach aktiver BotID-Konfiguration.
Transfermechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien nach Kapitel V DSGVO, soweit erforderlich.