LoanIntelligence.aiLoanIntelligence.ai
Zurück zur Rechtsübersicht

Datenverarbeitungsvereinbarung (DPA)

Datenschutzkonforme Datenverarbeitungsbedingungen

Zuletzt aktualisiert: November 14, 2025

DPA im Überblick

  1. 1Sie (der Kunde) sind der Datenverantwortliche – Sie bestimmen Zwecke und Mittel der Verarbeitung
  2. 2Wir sind der Datenverarbeiter – wir verarbeiten Daten nur auf Ihrer Anweisung
  3. 3Keine Dokumentenaufbewahrung – Dokumente werden unmittelbar nach der Verarbeitung gelöscht
  4. 4Kundenspezifische Verschlüsselung schützt IHR Daten mit IHREN einzigartigen Schlüsseln
  5. 5SOC 2 zertifizierte Drittanbieter-AI-Services unter vertraglichen Datenschutzverpflichtungen
  6. 6Wir unterstützen bei allen betroffenen Personenrechten nach der DSGVO (Zugriff, Löschung, Portabilität usw.)
  7. 7Standardvertragsklauseln (SCCs) für EU-zu-USA-Datenübertragungen

Vertragszweck

Dieses Datenverarbeitungsvereinbarung (DPA) ist Bestandteil der Nutzungsbedingungen und regelt die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO und anderen geltenden Datenschutzgesetzen.

Rollen & Verantwortlichkeiten

Sie (der Kunde) = Datenverantwortlicher

Sie bestimmen Zwecke und Mittel der Verarbeitung

Bestimmen Sie, welche Kreditunterlagen verarbeitet werden sollen und zu welchem Zweck
Treffen Sie Kreditentscheidungen basierend auf extrahierten Daten
Sicherstellen Sie eine rechtmäßige Grundlage für die Verarbeitung gemäß Artikel 6 der DSGVO
Erwerben Sie die erforderlichen Einwilligungen von Betroffenen (Kreditnehmern)
Stellen Sie Datenschutzmitteilungen den Kreditnehmern zur Verfügung
Sicherstellen der Einhaltung von FCRA, ECOA und fairen Kreditvergabegesetzen
Bearbeiten Sie Anfragen zu Betroffenenrechten (Zugriff, Löschung usw.)

Wir (LoanIntelligence.ai) = Datenverarbeiter

Wir verarbeiten Daten nur auf Ihre Anweisungen

Verarbeiten personenbezogener Daten NUR auf Ihre Anweisungen (über API Aufrufe)
Treffen Sie KEINE Kreditentscheidungen oder bestimmen Sie Kreditresultate
Treten Sie ausschließlich als technischer Dienstleister für Datenverarbeitung auf
Implementieren Sie geeignete Sicherheitsmaßnahmen zum Schutz Ihrer Daten
Beauftragen Sie Unterauftragsverarbeiter in Übereinstimmung mit dieser DPA
Unterstützen Sie Anfragen zu Betroffenenrechten und Verstoßmeldungen
Löschen oder Rückgabe personenbezogener Daten bei Beendigung

Verarbeitungsumfang

1

Zweck der Verarbeitung

Extrahiere strukturierte Daten aus Kreditunterlagen zur Genauigkeit und Qualitätsanalyse der Daten, führe Finanzberechnungen (DSCR, LTV, P&I, NOI) durch, sorge für Datenqualität durch proprietäre Algorithmen und Signal­systeme und synchronisiere die Ergebnisse mit deinem Google Sheets (falls autorisiert).

2

Arten von personenbezogenen Daten

Namen der Kreditnehmer, Adressen, Sozialversicherungsnummern (SSN), Steuernummern (TIN), finanzielle Daten (Einkommen, Vermögen, Verbindlichkeiten), Beschäftigungsinformationen, Immobiliendaten und Details zu Kredittransaktionen. WICHTIG: Wir behalten personenbezogene Daten nicht über die vorübergehende Verarbeitung hinaus (während jedes Verarbeitungslaufs). Alle persistierenden Daten werden verschlüsselt gespeichert und in deinem Google Drive AppData abgelegt.

3

Betroffene Personen

Kreditbewerber, Mitkreditnehmer, Mitunterzeichner, Eigentümer von Immobilien, Bürgschaftsgeber und Geschäftsinhaber (für gewerbliche Kredite).

Verarbeitungshinweise

Zulässige Tätigkeiten

Text aus Kreditunterlagen extrahieren (OCR)
Dokumente nach Typ klassifizieren (Gehaltsabrechnungen, Kontoauszüge, Steuererklärungen usw.)
Strukturierte Datenfelder extrahieren (Namen, Beträge, Daten, Adressen)
Finanzberechnungen und Validierungen durchführen
Sorge für Datenpräzision und -qualität durch proprietäre Algorithmen und Signalsysteme
Exportiere Ergebnisse zu deinem Google Sheets (falls autorisiert)
Zwischenspeichere die Verarbeitungsergebnisse vorübergehend (verschlüsselt, kundenisoliert) zur Kostenoptimierung

Verbotene Tätigkeiten

Personenbezogene Daten für eigene Zwecke verwenden
Personenbezogene Daten mit Dritten teilen (außer autorisierte Unterauftragnehmer)
Personenbezogene Daten für KI-Training oder Analysen verwenden
Personenbezogene Daten über Abschluss der Verarbeitung hinaus aufbewahren (Zero Retention)
Personenbezogene Daten außerhalb des Umfangs deiner Anweisungen verarbeiten

Unterauftragnehmer

Dritte, die wir zur Erbringung der Dienstleistung nutzen

1

Drittanbieter-KI-Dienste

Zweck: Dokumentenverarbeitung (OCR, Klassifizierung, Extraktion)

Standort: USA

Sicherheitsmaßnahmen: SOC 2 Typ I und Typ II zertifiziert, DPAs vorhanden, Daten im Transit verschlüsselt, vertraglich verboten, Ihre Daten für das Training zu nutzen

2

Google LLC

Zweck: OAuth Authentifizierung, Drive API, Sheets API

Standort: USA (nach Wahl)

Sicherheitsmaßnahmen: SOC 2 Typ II, ISO 27001, Standardvertragsklauseln (SCCs)

3

Stripe Inc.

Zweck: Zahlungsabwicklung (E-Mail, nur Kundennummer – keine Kreditkarten)

Standort: USA

Sicherheitsmaßnahmen: PCI-DSS Level 1 zertifiziert, GDPR-konform

4

Cloud-Infrastruktur-Anbieter

Zweck: Hosting und Rechenleistung

Standort: USA

Sicherheitsmaßnahmen: SOC 2 Typ II zertifizierte Rechenzentren

Wir nutzen proprietäre Algorithmen und Signal­systeme in Kombination mit SOC 2 zertifizierten Drittanbieter‑KI‑Dienstleistungen. Alle Unterverarbeiter arbeiten unter vertraglichen Datenschutzverpflichtungen.

Änderungen an Unterverarbeitern

Wir werden Sie 30 Tage im Voraus über Änderungen bei Unterverarbeitern informieren. Sie haben die Möglichkeit, innerhalb von 14 Tagen mit berechtigten Datenschutzgründen Einwände zu erheben.

Unterstützung bei Betroffenenrechten

Wie wir Ihnen helfen, die GDPR-Verpflichtungen zu erfüllen

1

Auskunftsrecht (Artikel 15)

Wir stellen einen Datenexport im JSON‑Format innerhalb von 30 Tagen nach Ihrer Anfrage bereit.

2

Recht auf Berichtigung (Artikel 16)

Wir aktualisieren ungenaue Daten auf Ihre Anfrage hin.

3

Recht auf Löschung / Recht auf Vergessen (Artikel 17)

Wir löschen alle personenbezogenen Daten innerhalb von 24 Stunden nach Ihrer Anfrage.

4

Recht auf Einschränkung der Verarbeitung (Artikel 18)

Wir stellen die Verarbeitung bei Ihrem Wunsch aus.

5

Recht auf Datenübertragbarkeit (Artikel 20)

Wir stellen Daten im strukturierten, maschinenlesbaren JSON-Format bereit.

6

Recht auf Widerspruch (Artikel 21)

Wir erlauben das Opt-Out aus nicht wesentlicher Verarbeitung.

7

Rechte im Zusammenhang mit automatisierten Entscheidungen (Artikel 22)

Wir stellen Transparenz über die KI-Verarbeitungslogik bereit und gewährleisten die Datenqualität.

Anforderungsprozess

Wenn wir eine Anfrage einer betroffenen Person erhalten, leiten wir diese innerhalb von 2 Werktagen an Sie weiter. Sie sind dafür verantwortlich, der betroffenen Person zu antworten (innerhalb von 30 Tagen gemäß DSGVO). Wir unterstützen Sie, indem wir notwendige Datenexporte, Löschungen oder Korrekturen innerhalb von 7 Werktagen nach Ihrer Anfrage bereitstellen.

Vorteile der Nullaufbewahrung

Aufgrund unserer Zero-Retention-Architektur: (1) Personenbezogene Daten in Kreditanträgen werden NICHT aufbewahrt (temporäre Verarbeitung), (2) Extrahierte Daten werden ausschließlich in Ihrem Google Drive AppData (verschlüsselt) gespeichert, (3) Datensubjektanfragen können durch Löschen Ihres Kontos erfüllt werden (alle Systeme werden innerhalb von 24 Stunden bereinigt) oder durch manuelles Löschen von Daten aus Ihrem eigenen Google Drive.

Sicherheitsmaßnahmen

Wie wir Ihre Daten schützen

Verschlüsselung

HTTPS/TLS 1.3 Verschlüsselung für alle API Anfragen und Drittanbieter-Verbindungen
Kundenspezifische Verschlüsselung: Jeder Kunde hat eindeutige AES-256-GCM-Verschlüsselungsschlüssel
Automatischer Schlüsselwechsel: Speicher­schlüssel werden nach jeder Verarbeitungssitzung rotiert
Verschlüsselter KI-Cache: Alle Cacheeinträge werden mit kundenspezifisch isolierten Schlüsseln verschlüsselt
OAuth Token sind im Ruhezustand verschlüsselt (AES-256-GCM)
Datenbankverschlüsselung im Ruhezustand für Kontodaten

Zugriffskontrollen

Prinzip der minimalen Rechte: Mitarbeiter haben nur den minimal erforderlichen Zugriff für ihre Rolle
Rollenbasierte Zugriffskontrolle (RBAC) mit Admin-, Entwickler- und Supportrollen
Mehrfaktor‑Authentifizierung (2FA) ist für alle administrativen Zugriffe erforderlich
Auditlogs: Alle administrativen Zugriffe werden protokolliert und überwacht

Zero-Retention-Architektur

Dokumente werden während jeder Verarbeitungssitzung im Speicher verarbeitet und anschließend sofort gelöscht.
Darlehensunterlagen werden auf unserer Infrastruktur NICHT aufbewahrt.
Verarbeitungsergebnisse werden NUR in IHRER Google Drive gespeichert (verschlüsselt mit Ihren Schlüsseln).

View Full Security Policy

Benachrichtigung über Datenpanne

1

Sofortige Reaktion (innerhalb von 1 Stunde)

Die Panne eindämmen, Umfang und Auswirkung beurteilen, Untersuchung einleiten.

2

Benachrichtigung des Verantwortlichen (innerhalb von 72 Stunden)

Informieren Sie Sie per E‑Mail mit vorläufigen Angaben (Art der Panne, betroffene Daten, geschätzte Auswirkungen).

3

Vollständiger Bericht (innerhalb von 7 Tagen)

Detaillierter Vorfallbericht einschließlich Beschreibung, betroffenen Personen/Daten, Folgen, Abhilfemaßnahmen und Empfehlungen.

Wir unterstützen Sie bei

Benachrichtigung der Aufsichtsbehörden innerhalb von 72 Stunden (DSGVO Art. 33)
Mitteilung des Verstoßes an betroffene Personen (DSGVO Artikel 34)
Durchführung einer forensischen Untersuchung
Umsetzung von Abhilfemaßnahmen

Status der Panne

Stand November 14, 2025: Keine Verstöße gegen personenbezogene Daten, keine unbefugten Zugriffsfälle, keine Kompromittierung von Verschlüsselungsschlüsseln. Unsere Zero‑Retention-Architektur minimiert die Exposition (Dokumente existieren nur während der Verarbeitungssitzung), kundenspezifische Verschlüsselung isoliert Kunden (Verletzung eines Kunden betrifft NICHT andere).

Internationale Datenübertragungen (EU nach USA)

Standardvertragsklauseln (SCCs)

Wir stützen uns auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (Entscheidung (EU) 2021/914, Modul Zwei: Übertragungen von Verantwortlichen zu Auftragsverarbeitern)

Zusätzliche technische Maßnahmen

Kundenspezifische Verschlüsselung: Daten verschlüsselt mit eindeutigen Kundenschlüsseln (uns unbekannt)
Automatischer Schlüsselwechsel: Speicher­schlüssel werden nach jeder Verarbeitungssitzung rotiert
Zero-Dokumentenaufbewahrung: Dokumente werden auf unserer Infrastruktur NICHT gespeichert
Verschlüsseltes KI-Cache: Cache-Einträge sind mit kundenisolierten Schlüsseln verschlüsselt
Vertragliche Verbote: Unterverarbeiter dürfen Daten nicht an Regierungen weitergeben (außer wie gesetzlich vorgeschrieben).

Anfragen der US-Regierung nach Zugriff

Wir unterliegen US-Überwachungsgesetzen (FISA, CLOUD Act). Unsere Zero-Knowledge-Architektur stellt jedoch sicher, dass wir selbst bei Zwang zur Datenweitergabe keine Daten entschlüsseln können, ohne die Schlüssel (gespeichert in YOUR Google Drive). Durch Null-Dokumentenaufbewahrung ist nur minimaler Datenbestand verfügbar. Wir benachrichtigen Sie über Regierungsanfragen (sofern nicht gesetzlich verboten) und prüfen übermäßige oder rechtswidrige Anfragen. Bisher: Keine Regierungsdatenanfragen erhalten (Stand 14. November 2025).

Löschung von Daten bei Beendigung

Innerhalb von 24 Stunden

Alle personenbezogenen Daten aus unseren Systemen löschen
Verschlüsselte KI-Cache-Einträge löschen
Widerruf von OAuth Token (Google Drive Zugriff)
Kontoinformationen aus der Produktionsdatenbank entfernen
1

Innerhalb von 30 Tagen

Alle personenbezogenen Daten aus verschlüsselten Backups löschen und gelöschte Daten überschreiben (sichere Löschung).

2

Löschbescheinigung

Auf Anfrage stellen wir eine Löschbescheinigung bereit, die das Löschdatum, die gelöschten Datenkategorien und die verwendeten sicheren Löschmethoden bestätigt.

Auditrechte

1

Ihre Auditrechte

Sie können die Einhaltung dieser DPA einmal im Jahr auditieren (es ist eine Vorankündigung von 30 Tagen erforderlich). Audits müssen nicht störend sein, während der Geschäftszeiten durchgeführt werden und unterliegen einer Vertraulichkeitsvereinbarung. Alle Auditkosten trägt der Kunde.

2

Drittanbieter-Auditberichte

Anstelle eines direkten Audits können Sie unseren SOC 2 Type II-Bericht (sofern verfügbar), Drittanbieter-Sicherheits-Auditberichte einsehen oder schriftliche Antworten auf standardisierte Fragebögen anfordern.

Haftungsbeschränkung

Nach Artikel 82 der DSGVO sind wir für Schäden verantwortlich, die durch eine Verarbeitung entstehen, die die DSGVO-Verpflichtungen für Auftragsverarbeiter verletzt, oder wenn wir außerhalb oder entgegen Ihrer rechtmäßigen Anweisungen handeln. Unsere Gesamthaftung ist auf die in den Nutzungsbedingungen festgelegten Beträge beschränkt, mit Ausnahme von grober Fahrlässigkeit, vorsätzlichem Fehlverhalten oder Haftung, die gesetzlich nicht beschränkt werden kann.

Hilfe benötigt?

Brauchen Sie Hilfe mit dieser DPA?

Für Fragen zu DSGVO, SCC oder DPA kontaktieren Sie unser Rechtsteam unter [email protected].

[email protected]

Wir antworten innerhalb eines Arbeitstages.