Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher gemäß Artikel 4 Nr. 7 VO (EU) Nr. 2016/679 (Datenschutz-Grundverordnung, DSGVO) ist:

Dr. Daniel H. Gerl
Langenbergsweg 40
53179 Bonn
Deutschland
E-Mail: admin@123sanctions.eu

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Kategorien verarbeiteter personenbezogener Daten

Im Rahmen des Betriebs dieser Website, der Anwendung und der angebotenen Dienstleistungen verarbeiten wir – je nach Nutzung – folgende Kategorien personenbezogener Daten:

• Kontaktdaten (z. B. E-Mail-Adresse)
• Bestandsdaten (z. B. Namen, Unternehmenszugehörigkeit, Projektbezeichnungen)
• Inhaltsdaten (z. B. hochgeladene Dateien, Texteingaben)
• Nutzungsdaten (z. B. Zugriffszeitpunkte)
• Meta- und Kommunikationsdaten (z. B. IP-Adresse)
• Daten sanktionierter Personen, Organisationen und Einrichtungen (z. B. Namen, Aliasse, Geburtsdaten, Staatsangehörigkeiten, Identifikationsnummern), soweit diese auf öffentlich zugänglichen Sanktionslisten geführt werden

2.2 Unsere datenschutzrechtliche Doppelrolle

123sanctions.eu nimmt je nach Verarbeitungskontext unterschiedliche datenschutzrechtliche Rollen ein:

(a) Verantwortlicher (Art. 4 Nr. 7 DSGVO):
Für die Verarbeitung der personenbezogenen Daten unserer Nutzer (z. B. Registrierungs- und Kontodaten, Nutzungsdaten, Kontaktdaten) sowie für die Verarbeitung der Daten sanktionierter Personen im Rahmen der Bereitstellung der Screening-Datenbank (siehe Ziffer 9) sind wir selbst Verantwortlicher.

(b) Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO):
Soweit Nutzer im Rahmen des Sanktionslistenscreenings personenbezogene Daten Dritter an unsere Anwendung übermitteln, verarbeiten wir diese Daten ausschließlich im Auftrag und nach Weisung des jeweiligen Nutzers. Der Nutzer bleibt in diesen Fällen Verantwortlicher im datenschutzrechtlichen Sinne.

2.3 Empfänger personenbezogener Daten

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht oder wir hierfür Auftragsverarbeiter gemäß Artikel 28 DSGVO einsetzen.

2.4 Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Anschließend werden die Daten gelöscht oder anonymisiert. Für die besonderen Löschfristen im Bereich der Sanktionslistendaten siehe Ziffer 9.5.

3. Infrastruktur und Hosting

Der Betrieb von 123sanctions.eu ist in zwei technisch und organisatorisch getrennte Bereiche unterteilt:

3.1 Website (123sanctions.eu – statischer Webauftritt)

Die öffentlich zugängliche Website dient ausschließlich der Information über unser Angebot. Das Hosting erfolgt über die Hostinger International Ltd. auf Servern innerhalb der Europäischen Union. Die Website verarbeitet keine personenbezogenen Daten über die in Ziffer 4 beschriebenen technisch notwendigen Zugriffsdaten hinaus. Mit Hostinger besteht ein Vertrag zur Auftragsverarbeitung gemäß Artikel 28 DSGVO.

3.2 Anwendung (Sanktionslistenscreening-Plattform)

Die Webanwendung, Datenbanken und sämtliche Kundendaten (Registrierungsdaten, Screening-Anfragen, hochgeladene Dateien, Ergebnisse) werden ausschließlich auf Servern der Hetzner Online GmbH am Standort Nürnberg betrieben und gespeichert. Hetzner ist nach ISO/IEC 27001:2022 zertifiziert. Kundendaten werden ausschließlich auf dieser Infrastruktur innerhalb Deutschlands gespeichert. Alle nutzerbezogenen Daten werden mit AES-256-GCM verschlüsselt gespeichert, wobei der Data Encryption Key (DEK) root-geschützt ist. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Artikel 28 DSGVO.

Rechenintensive Aufgaben (Sanktionslistenimporte, Entitätsauflösung, Indexerstellung) werden auf einem separaten Server ausgeführt, der sich ebenfalls in Deutschland befindet. Dieser Server verbindet sich über einen verschlüsselten Tunnel mit den Datenbanken, die wir auf Servern der Hetzner Online GmbH unterhalten. Der Compute-Server hat keinen Zugriff auf Kundendaten — die technische Isolation wird durch spaltenbasierte Zugriffskontrollen auf Datenbankebene und Container-Trennung gewährleistet. Der Compute-Server verarbeitet ausschließlich öffentlich zugängliche Sanktionslistendaten.

4. Besuch unserer Website

4.1 Server-Logfiles

Beim Aufruf unserer Website werden durch den Hosting-Server automatisch folgende technisch notwendige Informationen erfasst: Datum und Uhrzeit des Zugriffs, Browsertyp und Browserversion, Betriebssystem, IP-Adresse, Referrer-URL, aufgerufene Datei und Statuscode.

Eine Zusammenführung dieser Daten mit anderen Datenquellen oder eine Auswertung zu Marketingzwecken findet nicht statt. Rechtsgrundlage ist Artikel 6 Absatz 1 lit. f) DSGVO.

4.2 Cookies

Auf dieser Website werden ausschließlich Cookies eingesetzt, die unbedingt erforderlich sind, um den von Ihnen ausdrücklich gewünschten Dienst zur Verfügung zu stellen. Eine Einwilligung ist hierfür gemäß § 25 Absatz 2 Nr. 2 TDDDG nicht erforderlich. Soweit dabei personenbezogene Daten verarbeitet werden, ist die Rechtsgrundlage Artikel 6 Absatz 1 lit. f) DSGVO.

5. Nutzung der Anwendung

5.1 Registrierung und Nutzerkonto

Für die Nutzung der Screening-Anwendung ist eine Registrierung erforderlich. Dabei werden die von Ihnen angegebenen Daten verarbeitet. Rechtsgrundlage ist Artikel 6 Absatz 1 lit. b) DSGVO.

5.2 Screening-Vorgänge und hochgeladene Daten

Im Rahmen der Screening-Vorgänge verarbeitet die Anwendung die von Nutzern übermittelten Daten ausschließlich zum Zweck des Abgleichs mit Sanktionslisten. Diese Verarbeitung erfolgt auf den Hetzner-Servern am Standort Nürnberg. Alle Screening-Daten werden mit AES-256-GCM verschlüsselt gespeichert. Hinsichtlich dieser Daten handelt 123sanctions.eu als Auftragsverarbeiter (siehe Ziffer 2.2 lit. b).

6. Übermittlungen in Drittländer

6.1 Grundsatz: Kundendaten verbleiben in Deutschland

Sämtliche Kundendaten — einschließlich Registrierungsdaten, Screening-Anfragen, hochgeladene Dateien und Screening-Ergebnisse — werden ausschließlich in Deutschland auf Servern der Hetzner Online GmbH in Nürnberg verarbeitet und gespeichert. Kundendaten werden zu keinem Zeitpunkt in Drittländer übermittelt.

Dies wird durch eine dreischichtige technische Isolationsarchitektur sichergestellt:

• Spaltenbasierte Zugriffskontrollen auf Datenbankebene: Der Datenbankbenutzer des Compute-Servers ist technisch am Zugriff auf Spalten mit Kundendaten gehindert.
• AES-256-GCM-Verschlüsselung: Alle Kundendaten werden mit einem root-geschützten Data Encryption Key (DEK) verschlüsselt gespeichert, der für Compute-Prozesse nicht verfügbar ist.
• Container-Isolation: Kundenbezogene Dienste und Compute-Dienste laufen in separaten, netzwerkisolierten Containern.

6.2 KI-gestützte Verarbeitung öffentlicher Sanktionslistendaten

Für bestimmte Funktionen — Entitätsauflösung, Entscheidungszusammenfassungen, Newsletter-Erstellung und den Chat-Assistenten — werden öffentlich zugängliche Sanktionslistendaten staatlicher Stellen (Namen, Aliasse, Geburtsdaten, Staatsangehörigkeiten, Identifikationsnummern) an Anthropic, PBC (San Francisco, USA) übermittelt. Kundennamen, Screening-Anfragen oder Screening-Ergebnisse werden zu keinem Zeitpunkt an Anthropic übermittelt. Die übermittelten Daten bestehen ausschließlich aus Informationen, die von staatlichen Stellen auf offiziellen Sanktionslisten veröffentlicht werden.

(a) Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse). Die übermittelten Daten werden von staatlichen Stellen ausdrücklich zum Zweck der öffentlichen Verbreitung und der Durchsetzung von Compliance-Anforderungen veröffentlicht. Das berechtigte Interesse liegt in der Verbesserung der Qualität und Genauigkeit der Sanktionsdatenbank durch KI-gestützte Verarbeitung.

(b) Transfermechanismus

Die Übermittlung stützt sich auf den Angemessenheitsbeschluss der Europäischen Kommission für das EU-US Data Privacy Framework (DPF) sowie ergänzend auf die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, die Bestandteil des mit Anthropic geschlossenen Data Processing Addendum (DPA) sind.

(c) Ergänzende Schutzmaßnahmen

Wir haben ein Transfer Impact Assessment (TIA) gemäß den Empfehlungen des EDSA (Empfehlungen 01/2020) durchgeführt und folgende ergänzende technische und organisatorische Maßnahmen implementiert:

• Verschlüsselter Übertragungsweg: Die Kommunikation mit Anthropic erfolgt ausschließlich über einen verschlüsselten VPN-Tunnel der Mullvad VPN AB (Schweden) mit Austrittsknoten in Frankfurt am Main. Anthropic erhält dadurch keinen Einblick in die IP-Adresse des Anwendungsservers. Eine unverschlüsselte Übermittlung ist technisch ausgeschlossen.
• Datenminimierung: Es werden ausschließlich öffentlich zugängliche Sanktionslistendaten übermittelt. Kundendaten, Screening-Anfragen und Screening-Ergebnisse sind durch die in Ziffer 6.1 beschriebene Isolationsarchitektur technisch von der Übermittlung ausgeschlossen.

(d) Vertragliche Garantien

Anthropic hat sich im Rahmen des DPA vertraglich verpflichtet, die Daten nicht für eigene Zwecke (insbesondere nicht für das Training von KI-Modellen) zu verwenden und die Anforderungen der DSGVO einzuhalten. Anthropic verfügt über eine SOC 2 Type II-Attestierung und eine ISO/IEC 42001:2023-Zertifizierung.

(e) Hinweis zur Rechtsentwicklung

Wir beobachten die Rechtsentwicklung im Bereich der transatlantischen Datenübermittlungen fortlaufend und passen unsere Transfermechanismen und Schutzmaßnahmen bei Bedarf an, insbesondere im Hinblick auf die Fortgeltung des EU-US Data Privacy Framework.

7. Kontaktaufnahme

Bei einer Kontaktaufnahme per E-Mail oder Brief werden die von Ihnen übermittelten Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage ist Artikel 6 Absatz 1 lit. b) DSGVO.

8. Onlinepräsenzen in sozialen Medien

Wir unterhalten gegebenenfalls Onlinepräsenzen in sozialen Netzwerken. Diese sind ausschließlich über externe Links erreichbar. Für die dort stattfindende Datenverarbeitung gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

9. Verarbeitung von Daten sanktionierter Personen

9.1 Gegenstand und Herkunft der Daten

Im Rahmen des Sanktionslistenscreenings verarbeitet 123sanctions.eu personenbezogene Daten von Personen, Organisationen und Einrichtungen, die auf Sanktionslisten geführt werden. Diese Daten stammen aus öffentlich zugänglichen Quellen, insbesondere den sog. Sanktionslisten, die in verschiedenen elektronischen Formaten über offizielle Datenportale abrufbar sind.

9.2 Zweck der Verarbeitung

Die Verarbeitung dieser Daten dient der Erfüllung der gesetzlichen Pflicht, Vertrags- und Geschäftspartner fortlaufend gegenüber Sanktionslisten zu überprüfen. Diese Prüfpflicht besteht grundsätzlich für alle Wirtschaftsteilnehmer. Vor dem Hintergrund des rasant wachsenden Umfangs der Sanktionslisten ist der Einsatz technischer Softwarelösungen regelmäßig erforderlich. Die strukturierte Erfassung und Durchsuchbarkeit der Daten sanktionierter Personen erfolgt im berechtigten Interesse unserer Nutzer, diese gesetzlichen Pflichten mit vertretbarem Aufwand erfüllen zu können.

Hinweis: 123sanctions.eu stellt einen kostenlosen Nutzungsplan bereit, der auch kleinen Unternehmen und Privatpersonen Zugang zu automatisierten Sanktionsprüfungen gegen zahlreiche Quellen ermöglicht – einschließlich Treffermeldungen und zeitgesteuerter wiederkehrender Prüfungen. Wirtschaftssanktionen entfalten ihre Wirkung nur, wenn sie tatsächlich eingehalten werden. Der Zugang zu leistungsfähigen Prüfwerkzeugen darf daher kein Privileg großer Unternehmen mit entsprechenden Compliance-Budgets sein. 123sanctions.eu trägt damit zur wirksamen Durchsetzung der Sanktionsziele bei und unterstützt Vertreter der Zivilgesellschaft, öffentliche Stellen und die Sanktionsgesetzgeber.

Informationen zur KI-gestützten Verarbeitung öffentlich zugänglicher Sanktionslistendaten (Entitätsauflösung, Entscheidungszusammenfassungen) finden Sie in Ziffer 6.2.

9.3 Rechtsgrundlage

Die Verarbeitung der Daten sanktionierter Personen durch 123sanctions.eu erfolgt auf Grundlage von Artikel 6 Absatz 1 lit. f) DSGVO. Das berechtigte Interesse ergibt sich aus der Notwendigkeit, unseren Nutzern die Einhaltung sanktionsrechtlicher Vorschriften zu ermöglichen, u.a. der einschlägigen EU-Verordnungen sowie des Außenwirtschaftsgesetzes (AWG) und des Sanktionsdurchsetzungsgesetzes (SanktDG).

9.4 Anwendbarkeit der DSGVO und betroffene Personen

Obgleich juristische Personen selbst nicht als Betroffene im Sinne der DSGVO gelten, unterfallen dem Anwendungsbereich die Daten der natürlichen Personen, die hinter ihnen stehen – etwa Geschäftsführer, gesetzliche Vertreter oder wirtschaftlich Berechtigte –, soweit diese im Screening-Prozess verarbeitet werden. Zu den „personenbezogenen Daten" zählen hiernach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO stellen wir eine ordnungsgemäße, insbesondere transparente und zweckgebundene Datenverarbeitung gemäß Art. 5 Abs. 1 DSGVO sicher. Dies gilt unabhängig davon, ob das Sanktionslistenscreening manuell oder unter Nutzung automatisierter Verfahren durchgeführt wird.

9.5 Speicherdauer und De-Listing

Die Speicherung der Daten sanktionierter Personen ist auch deshalb erforderlich, weil De-Listing-Prozesse eine historische Nachvollziehbarkeit voraussetzen. Die Strafbarkeit bzw. Ordnungswidrigkeit von Sanktionsverstößen richtet sich nach den zur Tatzeit geltenden Sanktionsvorschriften in der entsprechenden Fassung, da die lex-mitior-Regelung gemäß § 30 AWG ausdrücklich keine Anwendung findet. Die Daten werden gelöscht, sobald sie für den Zweck des Sanktionslistenscreenings nicht mehr erforderlich sind.

9.6 Rechte betroffener sanktionierter Personen

Sanktionierte Personen können ihre Rechte nach Art. 15 ff. DSGVO geltend machen. Wenn Sie Änderungen oder Aktualisierungen mitteilen oder Auskunft zu Ihren Datenschutzrechten wünschen, wenden Sie sich bitte an die unter Ziffer 1 genannte Kontaktadresse. Bitte beachten Sie, dass die Ausübung einzelner Rechte – insbesondere des Rechts auf Löschung – eingeschränkt sein kann, soweit die Verarbeitung zur Erfüllung gesetzlicher Pflichten oder zur Wahrung berechtigter Interessen weiterhin erforderlich ist (Art. 17 Abs. 3 DSGVO).

10. Verarbeitung von Daten politisch exponierter Personen (PEP)

10.1 Gegenstand und Herkunft der Daten

Politisch exponierte Personen (PEP) sind natürliche Personen, die ein hochrangiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene ausüben oder innerhalb des letzten Jahres ausgeübt haben, sowie deren unmittelbare Familienangehörige und bekanntermaßen nahestehende Personen (§§ 1 Abs. 12, 13, 14 GwG). 123sanctions.eu verarbeitet personenbezogene Daten von PEP, die aus öffentlich zugänglichen Quellen stammen, insbesondere aus offiziellen PEP-Datenbanken, öffentlichen Ämterverzeichnissen und Regierungspublikationen.

10.2 Zweck der Verarbeitung

Die Verarbeitung dient der Erfüllung der geldwäscherechtlichen Sorgfaltspflichten. Verpflichtete im Sinne des GwG müssen im Rahmen der Kundenidentifizierung feststellen, ob ein Vertragspartner oder dessen wirtschaftlich Berechtigter eine politisch exponierte Person ist (§§ 10 Abs. 1 Nr. 4, 15 Abs. 3 GwG). Bei positivem Befund sind verstärkte Sorgfaltspflichten anzuwenden. Angesichts des Umfangs der zu prüfenden Personenkreise kann diese Prüfung in der Praxis – vergleichbar der Sanktionslistenprüfung – regelmäßig nur unter Einsatz automatisierter technischer Lösungen effizient durchgeführt werden. Die strukturierte Erfassung und Durchsuchbarkeit der PEP-Daten erfolgt im berechtigten Interesse unserer Nutzer, diese gesetzlichen Pflichten effizient erfüllen zu können.

10.3 Rechtsgrundlage

Die Verarbeitung der PEP-Daten durch 123sanctions.eu erfolgt auf Grundlage von Artikel 6 Absatz 1 lit. f DSGVO. Das berechtigte Interesse ergibt sich aus der Notwendigkeit, unseren Nutzern die Einhaltung ihrer geldwäscherechtlichen Sorgfaltspflichten nach dem GwG und der Richtlinie (EU) Nr. 2015/849 (Geldwäscherichtlinie) zu ermöglichen.

Für die Nutzer unserer Plattform, die selbst Verpflichtete im Sinne des § 2 GwG sind, dürfte die Verarbeitung zudem auf Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) gestützt werden können, da das GwG die PEP-Prüfung ausdrücklich anordnet.

10.4 Betroffene Personen

Anders als bei der Sanktionslistenprüfung betrifft die PEP-Verarbeitung ausschließlich natürliche Personen, die aufgrund ihres öffentlichen Amtes erfasst werden. Die Einstufung als PEP stellt keine negative Bewertung der betroffenen Person dar, sondern dient ausschließlich der Risikoklassifizierung im Rahmen der geldwäscherechtlichen Sorgfaltspflichten.

10.5 Speicherdauer

PEP-Daten werden so lange gespeichert, wie die betroffene Person als PEP einzustufen ist. Auf § 1 Abs. 12 GWG wird hingewiesen. Die Daten werden gelöscht, sobald sie für den Zweck der PEP-Prüfung nicht mehr erforderlich sind.

10.6 Rechte betroffener Personen

PEP können ihre Rechte nach Art. 15 ff. DSGVO geltend machen. Die unter Ziffer 9.6 genannten Einschränkungen gelten entsprechend.

11. Ihre Rechte

Ihnen stehen als betroffene Person insbesondere folgende Rechte zu:

• Recht auf Auskunft (Artikel 15 DSGVO)
• Recht auf Berichtigung (Artikel 16 DSGVO)
• Recht auf Löschung (Artikel 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
• Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
• Widerspruchsrecht (Artikel 21 DSGVO)
• Recht auf Widerruf erteilter Einwilligungen (Artikel 7 Absatz 3 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (Artikel 77 DSGVO)

Zuständige Aufsichtsbehörde ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Deutschland.