Vertrauen und Sicherheit — was wir betreiben, wo wir es betreiben

TracePass ist ein in Bulgarien eingetragenes Unternehmen, das eine Plattform für den Digitalen Produktpass für die EU-Konformität entwickelt. Wir verarbeiten Produktdaten unserer Kunden auf EU-Infrastruktur mit dokumentierten Unterauftragsverarbeitern. Der Kunde ist Verantwortlicher; TracePass ist Auftragsverarbeiter.

Diese Seite ist die einzige Beschaffungsreferenz für unseren Datenweg, Sicherheitskontrollen, Haftungsbedingungen und Interoperabilitätskonformität. Wird bei jeder relevanten Änderung aktualisiert; siehe Datumsstempel am Ende.

Produktionsdaten liegen auf EU-Infrastruktur. Das Anwendungs-Back-End läuft auf Hetzner Falkenstein; das Marketing-Front-End auf Vercel EU-Edge-Regionen; die primäre Datenbank auf MongoDB Atlas in der Region eu-west-1 (Frankfurt); Dateispeicher auf Cloudflare R2 EU-Regionen.

KI-Verarbeitung für Kategorienextraktion und Übersetzungen wird ausschließlich auf Kundenanfrage ausgelöst und ist durch eine ausdrückliche AVV mit Anthropic geregelt. Es werden keine Kundendaten mit Dritten außerhalb der dokumentierten Unterauftragsverarbeiter-Liste geteilt.

• Anwendungs-Back-EndVorhanden

  Hetzner CX22, Falkenstein, Deutschland

• Marketing-Front-EndVorhanden

  Vercel EU-Edge-Regionen

• Primäre DatenbankVorhanden

  MongoDB Atlas, eu-west-1 (Frankfurt)

• DateispeicherVorhanden

  Cloudflare R2, EU-Regionen

Jede Stelle, die Kundendaten in unserem Auftrag verarbeitet, ist nachstehend aufgeführt. Ergänzungen dieser Liste lösen eine vorherige Mitteilung gemäß Artikel 28 DSGVO mit einer angemessenen Widerspruchsfrist aus. Entfernungen (Auslaufen eines Unterauftragsverarbeiters) werden hier rückwirkend und per Kunden-E-Mail dokumentiert.

Standard-AVV auf Anfrage erhältlich, bevor Kundendaten verarbeitet werden. SLA zur Verletzungsmeldung: 72 Stunden ab bestätigtem Vorfall.

Standardmäßig sichere Infrastrukturentscheidungen plus Steuerungen auf Anwendungsebene. Verschlüsselung im Ruhezustand bietet jeder Speicher-Unterauftragsverarbeiter; TLS 1.3 wird für den gesamten Kundenverkehr erzwungen. Identität: eigenes JWT + bcrypt + einmalige Refresh-Token-Rotation; Zugriffskontrolle rollenbasiert (owner, admin, editor, viewer) mit Rate-Limiting auf allen Authentifizierungspfaden.

• Verschlüsselung im RuhezustandVorhanden

  MongoDB Atlas, Cloudflare R2 — Anbieter-Standard AES-256

• Verschlüsselung bei ÜbertragungVorhanden

  TLS 1.3

• AuthentifizierungVorhanden

  JWT (HS256, 15 Min) + Refresh-Token-Rotation (30 Tage, einmalig, max. 5 pro Nutzer)

• Rollenbasierte ZugriffskontrolleVorhanden

  owner > admin > editor > viewer; Durchsetzung pro Route

• Rate-LimitingVorhanden

  Anmeldung (5/15min/IP), Registrierung (5/min/IP), Datei-Upload (60/min/Unternehmen), v1 API (je Plan)

• Datenbank-BackupsVorhanden

  30-tägige Point-in-Time-Wiederherstellung auf MongoDB Atlas; Restore-Test in regelmäßigen Abständen

• Audit-ProtokolleVorhanden

  Jede Pass-Änderung wird mit Zeitstempel, Akteur und feldgenauem Diff erfasst; sichtbar im Dashboard-Verlauf

• Sicherheits-HeaderVorhanden

  X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy

Standardmäßige Haftungsobergrenze: 12× monatliche Gebühren. Enterprise-Kunden können einen 24×-Zusatz für höhere Risikoprofile aushandeln. Freistellungs-Ausnahmen decken Ansprüche Dritter wegen geistigen Eigentums sowie regulatorische Sanktionen ab, die auf Anbieterfehler zurückzuführen sind.

Berufshaftpflicht (Errors & Omissions, E&O) ist in Bearbeitung — Angebot in Bearbeitung, Abschluss in Kürze erwartet. Die Obergrenze wird hier veröffentlicht, sobald die Police in Kraft tritt.

• Standard-HaftungsobergrenzeVorhanden

  12× monatliche Gebühren

• Enterprise-ZusatzVorhanden

  24× monatliche Gebühren, verfügbar bei Enterprise-Verträgen

• E&O-VersicherungIn Bearbeitung

  Angebot in Bearbeitung; Obergrenze wird hier veröffentlicht, sobald die Police bindet

• HauptdienstleistungsvertragVorhanden

  Die materiellen Klauseln stehen in unseren öffentlichen Nutzungsbedingungen (§10 Kündigung + 30-tägige Resolver-Karenz, §11 geteilte SLA, §12 Kunde-als-Verantwortlicher, §13 Quellcode-Hinterlegung bei Enterprise). Enterprise-Kunden können Zusätze (individuelle SLA, Haftungsrider, Hinterlegungs-Auslöser) zusätzlich zu den Standard-Bedingungen aushandeln.

Konformität gegenüber veröffentlichten Interoperabilitätsstandards — was geprüft, was dokumentiert ist und was noch aussteht. „Wir halten uns an die Spezifikation" ist keine Konformitätsaussage; veröffentlichte Testergebnisse und dokumentierte feldgenaue Abgleichung sind es.

• GS1 Digital Link KonformitätVorhanden

  Resolver-Funktionalität selbstgeprüft gegen die GS1-Digital-Link-Spezifikation v2.0 — Servicebeschreibungs-Endpoint, GTIN/Seriennummer-Auflösung, JSON-LD-Content-Negotiation, linkset+json-Ausgabe, Vary-Header, 404 bei unbekannten URLs. Reproduzierbares Skript verfügbar unter scripts/gs1-conformance-check.ts (im Plattform-Repo); Kunden und Prüfer können es gegen jeden TracePass-Resolver ausführen. Ein externer Test gegen die gehostete Referenz-Suite von GS1 ist separat geplant.

• Schema.org JSON-LDVorhanden

  Wird auf jeder öffentlichen Seite ausgegeben (Home, Kategorie, Ressourcen, regulatorische Matrizen, Einkäufer-Leitfaden). Validiert gegen Google Rich Results Test.

• JSON-LD-Content-Negotiation auf Pass-URLsVorhanden

  Öffentliche Pass-URLs liefern application/ld+json, wenn der Accept-Header dies ausdrücklich bevorzugt; andernfalls HTML. Selber URL-Vertrag — kein separater Endpunkt nötig. Umgesetzt über Next.js-Middleware, die zu einem Route-Handler umschreibt, der dieselbe JSON-LD-Payload wie der eingebettete <script>-Tag liefert.

• CIRPASS-Vokabular-AbgleichVorhanden

  Feldgenauer Abgleich je Vorlage dokumentiert; Lücken sind mit Zielversion ausdrücklich benannt.

• GS1-GLN-Strukturunterstützung — Wirtschaftsakteure mit mehreren RollenVorhanden

  Jeder Pass enthält einen strukturellen parties-Block, verschlüsselt nach Wirtschaftsakteurs-Rolle (Hersteller / Importeur / Bevollmächtigter / Händler / Recycler / Produktverantwortungsorganisation). GLNs sind validierte 13-stellige GS1-Identifikatoren (Mod-10-Prüfziffer) und werden sowohl als gs1:partyGLN (GS1 Web Vocabulary) als auch als schema:identifier propertyID GS1:GLN (schema.org-Spiegelung) ausgegeben. Pflichtrollen pro Kategorie entsprechen der jeweiligen Verordnung (Batterieverordnung 2023/1542 Artikel 47–50: Hersteller + Recycler + PRO; PPWR 2025/40 Artikel 11: Hersteller + PRO; Spielzeugrichtlinie Artikel 4: Hersteller + Importeur für nicht-EU). Lieferanten ohne GLN können stattdessen eine legacyOperatorId (USt-IdNr. / EORI / nationale Steuer-ID) erfassen — jede Partei bleibt nachverfolgbar. Verfügbar über den Dashboard-Editor, v1-API (PATCH /api/v1/passports/:id/parties/:role) und CSV-Bulk-Import (Punkt-Schlüssel-Spalten).

• Öffentliche OpenAPI-3.1-SpezifikationVorhanden

  Handgeschriebene OpenAPI-3.1-Spezifikation für jeden v1-REST-Endpoint (19 Pfade, 23 Operationen über Pässe, Produkte, Exporte). Veröffentlicht unter /openapi.yaml mit JSON-Spiegelung unter /openapi.json — ohne NDA, ohne Anmelde-Hürde. Direkt in Postman / Insomnia / Bruno oder einen beliebigen openapi-generator-Client importierbar. Funktionierende Beispiele in curl / TypeScript / Python liegen unter /docs neben jedem Endpoint. Lese- und Schreibabdeckung ist symmetrisch zum Dashboard — alles, was in der Oberfläche möglich ist, lässt sich auch über die API ausführen.

Mitgliedschaften und Ökosystem-Affiliationen, die TracePass in der EU-Infrastruktur für Digitale Produktpässe verankern. Es gibt heute kein offizielles EU-Register „zugelassener DPP-Anbieter" — das zentrale EU-DPP-Register soll am 19. Juli 2026 zusammen mit der vollständigen ESPR-Anwendung in Betrieb gehen, und die technische Spezifikation für die Anbieterintegration wird noch in Etappen veröffentlicht. Bis dahin sind die legitimen Signale: GS1 (die Identifikator-Vergabestelle), CIRPASS / CIRPASS-2 (die EU-finanzierte Koordinierungsmaßnahme zur Vorbereitung des Registers) und das Battery-Pass-Projekt (Industriekonsortium für die Batteriepass-Frist 2027).

Wir listen jede Affiliation ehrlich auf: vorhanden bedeutet, dass die Mitgliedschaft / Teilnahme aktiv und überprüfbar ist; in Bearbeitung bedeutet, dass wir uns beworben haben und auf eine Bestätigung warten; ausstehend bedeutet, dass wir planen, uns zu bewerben, aber noch nicht begonnen haben. Einkäufer in Beschaffungsverfahren sollten „ausstehend" so behandeln wie jede andere Roadmap-Aussage — eine erklärte Absicht, kein geliefertes Ergebnis.

• GS1 Bulgarien — nationale GS1-MitgliedsorganisationAusstehend

  GS1 ist die globale Normungsorganisation, die GTINs vergibt und die GS1-Digital-Link-URI-Form pflegt, die jeder TracePass-Passport-QR-Code verwendet (/p/01/<GTIN>/21/<Seriennummer>). Mitglied von GS1 Bulgarien zu werden ist der legitime Weg zur skalierten Vergabe echter GTIN-Bereiche für die Produkte unserer Kunden und gewährt reziproken Zugang zu GS1 Deutschland / GS1 Italien usw. beim EU-weiten Einsatz. Bewerbung ausstehend.

• CIRPASS-2 — EU-finanzierte Koordinierungs- und UnterstützungsmaßnahmeAusstehend

  CIRPASS-2 ist die im Rahmen von Horizon Europe finanzierte Koordinierungsmaßnahme, die die technische Infrastruktur, den Governance-Rahmen und die Pilotimplementierungen für das EU-DPP-Ökosystem vorbereitet. Teilnehmende Organisationen tragen zur Arbeitsgruppenausgabe bei und signalisieren einen Branchenmitgliedschaftsstatus, den Einkäufer in Beschaffungsverfahren als legitim anerkennen. Bewerbung ausstehend.

• Battery-Pass-Projekt — IndustriekonsortiumAusstehend

  Vom BMWK gefördertes deutsches Industriekonsortium, das Inhaltsleitfäden und Referenzarchitektur für den EU-Batteriepass veröffentlicht (verpflichtend ab Februar 2027 gemäß Verordnung (EU) 2023/1542). Das Mitgliedsnetz umfasst VDMA, Audi, BASF, Circulor und andere. Vor allem dann relevant, wenn unser Kundenmix EV-, Industrie- oder LMT-Batteriehersteller umfasst. Engagement ausstehend — Kontaktaufnahme erfolgt, wenn unsere Kunden-Pipeline in der Batteriekategorie die Mitgliedsbeiträge rechtfertigt.

• Integration in das zentrale EU-DPP-RegisterAusstehend

  Das zentrale EU-DPP-Register soll am 19. Juli 2026 zusammen mit der vollständigen Anwendung der ESPR (Verordnung (EU) 2024/1781) in Betrieb gehen. Es wird mindestens eine Liste eindeutiger Produktkennungen und Datenträger-URLs enthalten, um die grenzüberschreitende Pass-Auflösung zu ermöglichen. TracePass wird sich als Dienstleister im Auftrag der Kunden integrieren — Schreiben von UPIs und Resolver-URLs in das Register. Die technische API-Spezifikation wurde noch nicht veröffentlicht; die Integrationsarbeit hängt von dieser Veröffentlichung ab. Beobachten Sie die DPP-Seite der Europäischen Kommission für die Spezifikationsveröffentlichung.