Subprozessoren
Inkrafttreten: 28. Mai 2026 Letzte Aktualisierung: 28. Mai 2026
Die kanonische, öffentlich zugängliche Fassung dieser Subprozessoren-Liste ist veröffentlicht unter https://chat2guest.com/legal/subprocessors. Zu lesen zusammen mit unserer Datenschutzerklärung und unseren Nutzungsbedingungen.
1. Was diese Liste umfasst
Ein Subprozessor ist ein Dritter, den alpstudios GmbH, handelnd unter der Marke Chat2Guest ("Chat2Guest") beauftragt, personenbezogene Daten im Auftrag der Kunden im Rahmen der Erbringung des Chat2Guest-Dienstes zu verarbeiten. Unabhängige Drittverantwortliche (wie Meta, Google, Stripe und Apple) handeln auf eigene Rechnung, wenn Restaurants diese Plattformen anbinden, und werden in unserer Datenschutzerklärung behandelt; sie sind keine Subprozessoren von Chat2Guest und werden nachstehend nur transparenzhalber aufgeführt, soweit sie im Datenfluss erscheinen.
2. Kern-Infrastruktur-Subprozessoren
| Subprozessor | Rolle | Hosting / Verarbeitungsort | Übermittlungsmechanismus für Übermittlungen ausserhalb des EWR / der Schweiz |
|---|---|---|---|
| Fly.io, Inc. | Anwendungshosting (Backend, Bridge, Admin), verwaltete Postgres-Datenbank, internes Networking | EU (Amsterdam ams-Region) standardmässig; andere Regionen bei expliziter Konfiguration möglich | EU-Standardvertragsklauseln (Beschluss 2021/914), wo US-Fallback Anwendung findet; EU-US-Datenschutzrahmen, wo der Empfänger selbstzertifiziert ist |
| Cloudflare, Inc. | DNS, Edge-CDN, TLS-Terminierung, DDoS-Schutz für öffentliche Domains | Globales Edge-Netzwerk mit EU-Präsenz | EU-Standardvertragsklauseln; EU-US-Datenschutzrahmen, wo der Empfänger selbstzertifiziert ist |
| GitHub, Inc. (Microsoft) | Quellcode-Hosting, CI-Runner | Vereinigte Staaten | EU-Standardvertragsklauseln; EU-US-Datenschutzrahmen |
3. Kommunikations-, Messaging- und KI-Subprozessoren
| Subprozessor | Rolle | Hosting / Verarbeitungsort | Übermittlungsmechanismus für Übermittlungen ausserhalb des EWR / der Schweiz |
|---|---|---|---|
| OpenAI, L.L.C. | KI-Modellinferenz für das Entwerfen von Antworten, Klassifikation und Wissens-Wiederverwendung; Daten werden pro Anfrage gemäss den Enterprise-/API-Bedingungen von OpenAI übermittelt (Zero-Day-Retention für API-Traffic, wo aktiviert) | Vereinigte Staaten | EU-Standardvertragsklauseln; EU-US-Datenschutzrahmen, wo der Empfänger selbstzertifiziert ist; ergänzende Massnahmen dokumentiert in unserer Transfer-Folgenabschätzung |
| Anthropic PBC | Optionale KI-Modellinferenz (eingesetzt, wo der jeweilige Tenant / das Feature für Aufrufe von Claude konfiguriert ist) | Vereinigte Staaten | EU-Standardvertragsklauseln; EU-US-Datenschutzrahmen, wo der Empfänger selbstzertifiziert ist |
| Plus Five Five, Inc. (auftretend als Resend) | Transaktionaler E-Mail-Versand (Buchungsbestätigungen, Stornolinks, Passwort-Resets, Datenlöschungs-Bestätigungslinks) | Kontodaten, E-Mail-Metadaten und API-Logs in den Vereinigten Staaten gespeichert; Versand kann über die EU-Region von Resend (Irland) erfolgen, sofern das Konto entsprechend konfiguriert ist | EU-Standardvertragsklauseln; EU-US-Datenschutzrahmen und UK Extension (Plus Five Five, Inc. ist DPF-zertifiziert) |
| Chatwoot, Inc. (vendored, self-hosted) | Multi-Tenant-Inbox und Messaging-Routing. Von Chat2Guest als self-hosted, vendored Stack betrieben — es werden keine Kundendaten an Chatwoot, Inc. als SaaS-Dienst gesendet. Hier aus Transparenzgründen zur Software-Lieferkette aufgeführt. | Self-hosted auf Fly.io (siehe oben) | Nicht anwendbar (keine Übermittlung an Chatwoot, Inc.) |
4. Unabhängige Drittverantwortliche (zur Transparenz)
Die folgenden Dritten sind keine Subprozessoren von Chat2Guest, erscheinen jedoch im Datenfluss, wenn Restaurants die entsprechenden Integrationen aktivieren. Sie verarbeiten personenbezogene Daten als unabhängige Verantwortliche zu eigenen Zwecken unter ihren eigenen Bedingungen.
| Dritter | Rolle | Wann eingesetzt |
|---|---|---|
| Meta Platforms, Inc. (Facebook, Instagram, Messenger) | Betreiber der Messaging-Plattform. Empfängt die über Facebook-Seiten, Instagram Business/Creator oder Messenger-Oberflächen ausgetauschten Nachrichten, Kommentare und Identifikatoren. | Wenn ein Restaurant ein Meta-Plattform-Konto über Chat2Guest anbindet |
| WhatsApp LLC (Meta) | Betreiber der WhatsApp Business Cloud API. Empfängt die über den WhatsApp-Kanal ausgetauschten Nachrichten. | Wenn ein Restaurant die WhatsApp Business Cloud API anbindet |
| Google LLC | Betreiber von Google Business Profile. Stellt Bewertungsdaten bereit und veröffentlicht Inhaber-Antworten. | Wenn ein Restaurant ein Google Business Profile anbindet |
| Stripe Payments Europe, Limited (SPEL, Irland) | Zahlungsabwickler für Anzahlungen und damit verbundene Zahlungsereignisse unter Stripe Connect Express. Stripe handelt sowohl als Auftragsverarbeiter als auch als unabhängiger Verantwortlicher (für Betrugsprävention, Geldwäschebekämpfung und finanzrechtliche Zwecke). EU-operativer Datenverantwortlicher für europäische Transaktionen von Chat2Guest. | Wenn ein Restaurant Stripe Connect anbindet |
| Apple Inc. (APNs) und Browser-Push-Anbieter | Zustellungsinfrastruktur für native und Web-Push-Benachrichtigungen, sofern aktiviert. | Wenn der Admin Push-Benachrichtigungen aktiviert |
5. Observability- und Sicherheits-Subprozessoren
| Subprozessor | Rolle | Hosting / Verarbeitungsort | Übermittlungsmechanismus für Übermittlungen ausserhalb des EWR / der Schweiz |
|---|---|---|---|
| Functional Software, Inc. (Sentry) | Fehler- und Performance-Monitoring für Backend, Bridge und Admin. So konfiguriert, dass Nachrichteninhalte und personenbezogene Daten bereinigt werden; nur Stack-Traces, Request-Metadaten und aggregierte Zähler werden aufbewahrt. | Vereinigte Staaten | EU-Standardvertragsklauseln; EU-US-Datenschutzrahmen, wo der Empfänger selbstzertifiziert ist |
6. Schutzmechanismen für internationale Datenübermittlungen
Wo einer der oben aufgeführten Subprozessoren ausserhalb des EWR oder der Schweiz niedergelassen ist oder personenbezogene Daten anderweitig aus diesen Gebieten übermittelt werden, stützt sich Chat2Guest auf:
- einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) oder eine Anerkennung durch den Schweizerischen Bundesrat (Art. 16 revDSG), einschliesslich des EU-US-Datenschutzrahmens und des Swiss-US-Datenschutzrahmens, sofern der Empfänger angemessen selbstzertifiziert ist;
- die Standardvertragsklauseln der Europäischen Kommission (Beschluss 2021/914), zusammen mit den ergänzenden Massnahmen, die wir nach der Schrems II-Rechtsprechungslinie für erforderlich erachten, einschliesslich Verschlüsselung bei der Übertragung, Verschlüsselung im Ruhezustand ausgewählter sensibler Felder, strenge Zugriffskontrollen und vertragliche Beschränkungen des Zugriffs durch Behörden; und
- gegebenenfalls die vom EDÖB anerkannte Fassung der Standardvertragsklauseln.
Eine Kopie des jeweiligen Übermittlungsmechanismus und der von uns angewandten ergänzenden Massnahmen ist auf Anfrage unter privacy@chat2guest.com erhältlich.
7. Änderungen dieser Liste
Wir können Subprozessoren von Zeit zu Zeit hinzufügen oder ersetzen. In diesem Fall aktualisieren wir diese Seite und das oben angegebene Datum der letzten Aktualisierung. Wo ein Kunde einer Auftragsverarbeitungsvereinbarung mit einer Benachrichtigungsklausel zu Subprozessor-Wechseln unterliegt, halten wir uns an das in dieser DPA vorgesehene Benachrichtigungsverfahren.
8. Kontakt
alpstudios GmbH, handelnd unter der Marke Chat2Guest Maschinengasse 10, 6330 Cham, Schweiz E-Mail (Datenschutz und Subprozessor-Anfragen): privacy@chat2guest.com E-Mail (allgemein): info@chat2guest.com