finoraq.

← zurück zur Startseite

Datenschutz­erklärung

Stand · 20. Mai 2026 · Art. 13/14 DSGVO · § 25 TDDDG

Schulden sind etwas sehr Persönliches — wir behandeln Ihre Daten mit der Sorgfalt, die wir selbst erwarten würden. Diese Erklärung zeigt Ihnen im Detail, welche Daten wir warum verarbeiten, wie lange wir sie speichern, welche Rechte Sie haben und wie Sie diese geltend machen.

Hinweis zu sensiblen Inhalten (Art. 9 DSGVO): Hochgeladene Schreiben können Informationen enthalten, die nach Art. 9 DSGVO besonders schützenswert sind (z. B. Gesundheits- oder Sozialdaten in Inkasso-Schreiben medizinischer Einrichtungen, Religions­zugehörigkeit aus Kirchensteuer-Forderungen). Solche Daten verarbeiten wir nur, soweit Sie diese aktiv hochladen, ausschließlich zur Vertragserfüllung und auf Basis Ihrer ausdrücklichen Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO. Wir empfehlen, sichtbar nicht erforderliche besondere Daten vor dem Upload zu schwärzen.

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Slorify · Inhaber: Benjamin Köckritz
Pappelallee 64, 10437 Berlin
E-Mail: hilfe@slorify.com
Telefon: +49 30 4397922284

Ein externer Datenschutzbeauftragter ist nicht bestellt, da die Schwellen des § 38 BDSG nicht erreicht sind. Datenschutz-Anfragen richten Sie bitte an obige E-Mail.

2. Allgemeine Grundsätze

Wir verarbeiten personenbezogene Daten ausschließlich auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — Erforderlichkeit für die Erfüllung des Vertrags oder vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (insb. IT-Sicherheit, Missbrauchs­abwehr, Rate-Limiting); die jeweilige Interessen­abwägung haben wir dokumentiert und gehen davon aus, dass Ihre überwiegenden schutzwürdigen Interessen nicht beeinträchtigt werden
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, soweit konkret erteilt; jederzeit widerrufbar
• Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung, soweit besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) durch von Ihnen hochgeladene Schreiben verarbeitet werden

3. Welche Daten wir verarbeiten — im Detail

3.1 Beim Anmelden (Magic-Link-Verfahren)

Wenn Sie sich anmelden, verarbeiten wir:

• E-Mail-Adresse
• einmaliger Anmelde-Token (nur SHA-256-Hash in der DB, Klartext nie gespeichert)
• IP-Adresse + User-Agent (Spam- und Missbrauchsschutz)
• Zeitstempel von Anforderung, Verbrauch und letzter Aktivität

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

3.2 Ihr Profil

Für die Erstellung von Briefen benötigen wir Ihren Absender:

• Vor- und Nachname, Anschrift, PLZ, Stadt, Land
• optional: Telefonnummer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Ihre hochgeladenen Dokumente & Forderungen

Sie können Rechnungen, Mahnungen, Inkasso-Schreiben und ähnliche Dokumente hochladen. Aus diesen extrahieren wir mittels KI (siehe Ziff. 4) strukturierte Daten:

• Gläubiger-Name und -Anschrift
• Aktenzeichen / Rechnungs-Nr. / Kunden-Nr.
• Beträge (Hauptforderung, Zinsen, Mahnkosten, Gesamt)
• Fälligkeit, Brief-Datum, Zahlungsstatus
• IBAN / BIC (sofern im Brief enthalten — für mögliche Überweisung)
• Kategorisierung der Forderungsart (z.B. Energie, Telekommunikation, Inkasso)
• Klassifikation der Forderungs-Stufe (Rechnung / Mahnung / Inkasso / Mahnbescheid / Vollstreckung) — rein technische Einordnung des Text-Inhalts, kein Scoring, kein Bonitätsurteil

Die Original-Dokumente (Fotos, PDFs) werden auf EU-Servern in Frankfurt am Main gespeichert (Postgres mit at-rest-Verschlüsselung auf Volume-Ebene; Übertragung TLS 1.3). Die extrahierten Daten liegen in unserer Postgres-Datenbank am selben Standort. Wir sind kein „Zero-Knowledge"-Dienst — das ist technisch nicht möglich, weil die KI-Verarbeitung den Klartext braucht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Ihre erstellten Brief-Entwürfe

Brief-Entwürfe, die Sie mit der Anwendung erstellen, werden als Entwurf und nach Ihrer Bestätigung als finalisierter Snapshot (HTML) gespeichert — letzteres als Dokumentations-Nachweis (Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO).

Klarstellung: Die Inhalte sind unverbindliche Formulierungshilfen; der Versand erfolgt ausschließlich durch Sie (siehe AGB § 1 Abs. 3 und § 9 Abs. 5).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Sammel-Ratenpläne

Wenn Sie einen Sammel-Ratenplan erstellen, speichern wir Plan-Details (Monatsbudget, Start-Datum, Verteilung pro Gläubiger).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Abonnement & Zahlungs­daten (nur Pro/Premium)

Wenn Sie ein kostenpflichtiges Abo abschließen, speichern wir bei uns:

• Tarif (Free/Pro/Premium), Abrechnungs­intervall (monatlich/jährlich), Status (aktiv, gekündigt)
• Beginn und Ende der Abrechnungs­periode
• Stripe-Customer-ID und Stripe-Subscription-ID (Pseudonyme zur Verknüpfung mit Stripe)
• Datum und Inhalt der erforderlichen Einwilligungen (sofortige Erbringung, Widerrufs-Verlust gem. § 356 Abs. 5 BGB)

Zahlungsdaten (Kartennummer, IBAN, Inhaber, Ablaufdatum) werden ausschließlich bei Stripe verarbeitet — wir selbst sehen sie zu keinem Zeitpunkt. Siehe Ziff. 5.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Abo-Vertrag), Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO für Rechnungen).

3.7 Nutzungs-Zähler (Limits)

Zur Durchsetzung der Tarif-Limits zählen wir pro Periode (Tag/Monat) Ihre Aktionen mit (Anzahl Briefe, KI-Chat-Nachrichten, Dokument-Uploads, Plan-Erstellungen). Es werden keine Inhalte, sondern nur Zähler-Stände gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Tarifs).

3.8 Sessions & Login-Geräte-Erkennung

Pro aktiver Sitzung speichern wir: Session-ID (SHA-256-Hash, Klartext nie in der DB), letzten Aktivitäts-Zeitpunkt sowie zur reinen Geräte-Wiedererkennung den SHA-256-Hash der IP-Adresse und den SHA-256-Hash des User-Agents. Klartext-IP und Klartext-User-Agent werden nicht persistent gespeichert; die Hashes sind nicht reversibel. Diese Daten erscheinen im Profil unter „Aktive Sitzungen" und ermöglichen Ihnen, fremde Sitzungen aus der Ferne zu beenden.

Zusätzlich erkennen wir neue Login-Geräte (durch Vergleich des aktuellen IP-/UA-Hashes mit den gespeicherten Hashes) und benachrichtigen Sie bei ungewohntem Login per E-Mail. Diese Funktion dient ausschließlich Ihrer Konto-Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).

3.9 Sharing-Links (Premium-Funktion, freiwillig)

Mit der Premium-Funktion „Sharing-Links" können Sie einem Dritten (z. B. einer Schuldnerberatungs-Stelle) einen befristeten, read-only-Zugriff auf Ihre Forderungs-Übersicht geben. Wir speichern dafür: Token-Hash (SHA-256), Bezeichnung des Links (optional), Ablaufdatum, Anzahl der Zugriffe, Erstellungs- und ggf. Widerrufs-Zeitpunkt.

Ihre Verantwortung: Empfänger des Links werden ausschließlich von Ihnen bestimmt; wir haben darauf keinen Einfluss und prüfen die Empfänger nicht. Mit der Weitergabe eines Links machen Sie die enthaltenen Daten dem Empfänger zugänglich. Sie können jeden Link jederzeit im Profil widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung durch Erstellung und Weitergabe des Links). Den Widerruf können Sie jederzeit über die Anwendung erklären (Art. 7 Abs. 3 DSGVO).

3.10 Audit-Log

Wir führen ein internes Audit-Log zur Erfüllung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO und zur Missbrauchs­abwehr. Protokolliert werden insbesondere:

• Konto-Anlage und -Löschung
• Login, Logout, 2FA-Aktivierung / -Deaktivierung
• Profil-Änderungen, Tutorial-Abschluss
• Dokument-Upload, Forderungs-Anlage, Status-Änderung
• Brief-Entwurf-Erstellung, Sammel-Ratenplan-Erstellung
• Abo-Vorgänge (Tier-Wechsel, Kündigung, Webhook-Synchronisierung)
• Erteilung von Einwilligungen (insb. § 312j BGB, § 356 Abs. 5 BGB)
• Datenexport und Konto-Löschung

Inhalte (Brief-Text, Dokument-Bild) werden im Audit-Log nicht gespeichert — nur Aktion, Zeitstempel und ggf. eine technische ID.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Rechenschaftspflicht) und Art. 6 Abs. 1 lit. f DSGVO (Missbrauchs­abwehr).

3.11 Server-Logfiles

Unser Webspace-Provider speichert beim Aufruf automatisch IP-Adresse, Datum/Uhrzeit, Browser, Betriebssystem, Referrer-URL. Diese Daten werden spätestens nach 30 Tagen gelöscht. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

4. KI-Verarbeitung (Anthropic PBC, USA)

Wir setzen für zwei Funktionen ein automatisiertes KI-Modell ein:

• Dokument-Auswertung (OCR + Struktur-Extraktion) hochgeladener Schreiben
• Erstellung von Textbausteinen / Brief-Entwürfen auf Basis der erfassten Daten

Keine automatisierte Einzelfall-Entscheidung: Die KI-Verarbeitung erfolgt automatisiert ohne menschliche Einzelfallprüfung; sie erzeugt jedoch keine automatisierten Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO. Sämtliche Inhalte sind unverbindliche Formulierungshilfen; die Entscheidung über Nutzung, Anpassung und Versand liegt ausschließlich bei Ihnen.

Anbieter ist Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA. Mit Anthropic besteht ein Auftrags­verarbeitungs­vertrag (DPA) nach Art. 28 DSGVO; dieser ist integraler Bestandteil der von uns angenommenen Anthropic Commercial Terms (siehe anthropic.com/legal/data-processing-addendum). Eine separate Unterzeichnung ist nicht erforderlich.

Die Übermittlung in die USA stützt sich ausschließlich auf EU-Standardvertrags­klauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO, integriert in den DPA (Anhang 3 — Internationale Datenübermittlungen, Module 2 für Verantwortlicher → Auftragsverarbeiter sowie Module 3 soweit einschlägig). Anwendbares Recht der SCC: Republik Irland. Anthropic ist nicht nach dem EU-US Data Privacy Framework zertifiziert; die Übermittlung erfolgt allein auf Grundlage der SCC und der dort vereinbarten zusätzlichen Garantien. Weitere Informationen zur Compliance von Anthropic finden Sie unter trust.anthropic.com.

Was geht an Anthropic: nur die konkreten Inhalte des jeweils aktuellen Verarbeitungs­vorgangs (z. B. Bild oder Text des Schreibens, Beschreibung des Anliegens). Ihr Profil, Ihre vollständige Forderungsliste, Audit-Daten oder Zahlungs­daten werden nicht an Anthropic übermittelt.

Kein Modell-Training: Wir nutzen die Anthropic-API mit deaktivierter Trainings-Nutzung; gemäß den vereinbarten Vertrags­bedingungen werden die übermittelten Inhalte nicht für das Training von Anthropic-Modellen verwendet. Die Verarbeitung erfolgt ausschließlich zur Beantwortung der jeweiligen Anfrage. Maßgeblich sind die aktuellen Anbieter-Bedingungen (anthropic.com/legal/commercial-terms).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); soweit besondere Kategorien personenbezogener Daten betroffen sind, zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung durch den Upload-Vorgang).

5. Zahlungsabwicklung (Stripe Payments Europe Ltd.)

Wenn Sie ein kostenpflichtiges Abo (Pro / Premium) abschließen, übergeben wir die Zahlungs­abwicklung an Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe").

Datenfluss: Sobald Sie auf „Zahlungs­pflichtig abonnieren" klicken, leiten wir Sie auf eine von Stripe gehostete Checkout-Seite weiter. Dort geben Sie Ihre Zahlungs­daten direkt bei Stripe ein. Wir selbst sehen weder Karten­nummer noch IBAN; uns übermittelt Stripe lediglich die Stripe-Customer-ID, Stripe-Subscription-ID, das Tarif­produkt, den Zahlungs­status sowie Rechnungs­belege.

An Stripe übermitteln wir: Ihre E-Mail-Adresse, eine interne Pseudonym-ID (slorify_user_id) und das ausgewählte Tarif-Produkt. Nicht übermittelt werden Inhalte Ihrer Forderungen, Briefe, hochgeladenen Dokumente oder sonstigen Schulden­daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Abo-Vertrag).
Verantwortlichkeit: Stripe verarbeitet Ihre Zahlungs­daten in eigener Verantwortung (eigene Datenschutz­erklärung: stripe.com/de/privacy). Für die Verknüpfung von Stripe-Account und Slorify-Account besteht zwischen uns und Stripe ein Auftrags­verarbeitungs­vertrag (DPA) nach Art. 28 DSGVO.

Drittlands­übermittlung: Stripe Payments Europe Ltd. hat ihren Sitz in Irland (EU); Teile der Stripe-Infrastruktur werden in den USA betrieben (Stripe Inc., San Francisco). Eine etwaige Übermittlung in die USA stützt sich auf EU-US Data Privacy Framework (Angemessenheits­beschluss vom 10.07.2023; Stripe Inc. ist DPF-zertifiziert) und ergänzend auf EU-Standardvertrags­klauseln.

Cookies auf der Stripe-Checkout-Seite: Stripe setzt auf seinen eigenen Domains (z. B. checkout.stripe.com) technisch erforderliche Cookies zur Sitzungs- und Betrugs-Prävention (typischerweise __stripe_mid, __stripe_sid, m). Diese Cookies werden von Stripe selbst gesetzt; wir haben darauf keinen Zugriff. Sie sind nach § 25 Abs. 2 Nr. 2 TDDDG für die von Ihnen ausdrücklich gewünschte Zahlung unbedingt erforderlich.

6. Mailcow (E-Mail-Versand der Anmelde-Links & Bestätigungen)

Für den Versand transaktionaler E-Mails (Magic-Link-Anmeldung, Login-Alerts, Bestell­bestätigungen, Frist-Erinnerungen) betreiben wir eine eigene Mailcow-Instanz auf einem deutschen Server in Frankfurt am Main.

• Keine Drittanbieter: es werden keine externen E-Mail-Versanddienste (z. B. Sendgrid, Mailchimp, Postmark, AWS SES) eingesetzt.
• Speicherort: Verarbeitung und Speicherung der E-Mail-Inhalte erfolgen ausschließlich auf unseren eigenen Servern innerhalb der EU (Frankfurt am Main, Deutschland).
• Keine Auswertung: Eine Analyse oder Auswertung der E-Mail-Inhalte zu anderen Zwecken (z. B. Marketing, Profiling, Tracking, Reichweitenmessung) findet nicht statt. Tracking-Pixel, Lese­bestätigungen und Click-Tracking werden nicht eingesetzt.
• Speicherdauer: Versand-Logs werden max. 30 Tage gespeichert (siehe Ziff. 7).

7. Speicherdauer

• Aktive Konten: solange Sie sie nutzen.
• Inaktive Konten: nach 12 Monaten ohne Login senden wir eine Erinnerung; bei weiterer Inaktivität von 30 Tagen erfolgt die automatische Löschung Ihres Kontos einschließlich aller Daten.
• Hochgeladene Dokumente: bis zur Löschung der zugehörigen Forderung durch Sie, spätestens bis zur Konto-Löschung.
• Forderungen, Brief-Entwürfe, Sammel-Ratenpläne: bis zur Löschung durch Sie, spätestens bis zur Konto-Löschung.
• Chat-Verlauf (KI-Chat): bis zur Löschung durch Sie über die Anwendung; ohne Aktion: bis zur Konto-Löschung.
• Sharing-Links: bis zum von Ihnen gesetzten Ablauf, manuellen Widerruf oder zur Konto-Löschung.
• Magic-Link-Tokens: max. 30 Minuten ab Erstellung; verbrauchte Tokens werden sofort als verbraucht markiert.
• Server-Logfiles: max. 30 Tage.
• Audit-Log: 12 Monate (Login/Sicherheits-Events ggf. länger nach Art. 6 Abs. 1 lit. f DSGVO).
• E-Mail-Versand-Logs (Mailcow): max. 30 Tage.
• Sessions / Login-Fingerprints (Hashes): max. 30 Tage nach letzter Aktivität, bzw. bis Sie die Sitzung im Profil beenden.
• Rechnungen & Abo-Belege: 10 Jahre (§ 147 AO, § 257 HGB).
• Sofort-Löschung auf Wunsch: per Klick im Profil („Konto löschen") oder per E-Mail. Ausgenommen sind nur gesetzlich aufbewahrungs­pflichtige Rechnungs­daten; diese werden eingeschränkt verarbeitet (Art. 18 DSGVO) und nach Fristablauf gelöscht.

8. Cookies, lokale Speicher & Analyse-Werkzeuge

8.1 Unbedingt erforderliche Speicherung (ohne Einwilligung)

Folgende Speicherungen sind unbedingt erforderlich nach § 25 Abs. 2 Nr. 2 TDDDG und werden ohne gesonderte Einwilligung gesetzt:

• sd_session (Cookie) — Ihre Sitzungs-ID. HttpOnly, Secure, SameSite=Lax, max. 30 Tage Lebensdauer. Ohne diesen Cookie ist die ausdrücklich gewünschte Login-Funktion nicht nutzbar.
• finoraq_consent_v1 (LocalStorage) — speichert Ihre Cookie-Entscheidung (Zustimmung/Ablehnung sowie Zeitstempel). Verwenden wir, um Ihnen den Consent-Banner nicht bei jedem Aufruf erneut anzuzeigen.

8.2 Google Analytics 4 (nur mit Ihrer Einwilligung)

Wir setzen Google Analytics 4 (GA4) ein, um Nutzungsverhalten anonymisiert zu analysieren und unser Angebot zu verbessern. GA4 wird nur aktiviert, wenn Sie zuvor über unseren Consent-Banner ausdrücklich eingewilligt haben.

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
• Zweck: Reichweiten-Messung, Seitenstatistiken, Verbesserung des Angebots.
• IP-Anonymisierung: aktiviert (anonymize_ip: true) — die letzte IP-Oktette wird vor Speicherung gekürzt.
• Google Consent Mode v2: implementiert. Standard ist „denied" — GA4 setzt erst Cookies und sendet erst Daten nach Ihrer aktiven Zustimmung.
• Cookies (nur nach Einwilligung): _ga, _ga_* — typische Lebensdauer 24 Monate; Speichern technischer ID + Sitzungs­dauer.
• Drittlands-Übermittlung: Google LLC (USA). Abgesichert über EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) und ergänzend über EU-Standardvertrags­klauseln.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG.
• Speicherdauer der GA4-Daten: 14 Monate (Standard-Aufbewahrung in GA4-Property).
• Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen über den Link „Cookie-Einstellungen ändern" (auch im Footer jeder Seite verlinkt). Der Widerruf wirkt für die Zukunft.

Mehr Informationen: Google Datenschutzerklärung, GA4 Privacy-Information.

8.3 Keine weiteren Tracker

Es laufen keine weiteren Analyse-, Werbe- oder Tracking-Werkzeuge. Kein Facebook Pixel, kein Matomo, kein Hotjar, keine Werbe-Netzwerke. Sollten wir künftig weitere Werkzeuge einsetzen, holen wir vorher Ihre Einwilligung über den Consent-Banner ein und passen diese Erklärung an.

Cookies auf der Stripe-Checkout-Seite werden in Ziff. 5 behandelt; diese liegen auf Stripe-Domains, nicht auf finoraq.de.

9. Empfänger / Auftrags­verarbeiter (Art. 28 DSGVO)

• Anthropic PBC — KI-Verarbeitung (siehe Ziff. 4)
• Stripe Payments Europe Ltd. — Zahlungsabwicklung (siehe Ziff. 5)
• Google Ireland Limited / Google LLC — Analyse via Google Analytics 4 (nur nach Einwilligung — siehe Ziff. 8.2)
• dataforest GmbH (Frankfurt am Main, Deutschland) — Hosting unseres virtuellen Servers; AV-Vertrag nach Art. 28 DSGVO
• Domain-Registrar (IONOS SE) — Domain-Verwaltung
• Eigene Mailcow-Instanz — E-Mail-Versand

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Weitere Empfänger gibt es nicht. Wir verkaufen oder vermieten Ihre Daten niemals an Dritte.

10. Drittlands­übermittlung

Eine Übermittlung in Drittländer (USA) erfolgt ausschließlich an:

• Anthropic PBC (San Francisco, USA) für die KI-Verarbeitung — abgesichert ausschließlich durch EU-Standardvertrags­klauseln (SCC nach Art. 46 Abs. 2 lit. c DSGVO, Module 2 und ggf. 3), integriert in den Anthropic DPA. Anthropic ist nicht nach dem EU-US Data Privacy Framework zertifiziert (siehe Ziff. 4).
• Stripe Inc. (San Francisco, USA) — soweit Stripe Payments Europe Ltd. zur Abwicklung des Zahlungsverkehrs Infrastruktur in den USA nutzt. Abgesichert durch EU-US Data Privacy Framework (Stripe Inc. ist DPF-zertifiziert) ergänzt um EU-Standardvertrags­klauseln (siehe Ziff. 5).
• Google LLC (Mountain View, USA) — soweit Google Analytics 4 (siehe Ziff. 8.2) Infrastruktur in den USA nutzt. Abgesichert durch EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) ergänzt um EU-Standardvertrags­klauseln. Übermittlung erfolgt nur nach Ihrer ausdrücklichen Einwilligung über den Consent-Banner.

Sonstige Drittlands-Übermittlungen finden nicht statt.

11. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)

Sie haben Anspruch auf:

• Auskunft (Art. 15) — welche Daten verarbeiten wir über Sie?
• Berichtigung (Art. 16) — falsche Daten korrigieren
• Löschung (Art. 17) — „Recht auf Vergessen-werden"
• Einschränkung (Art. 18) — Verarbeitung pausieren
• Datenübertrag­barkeit (Art. 20) — Export als JSON
• Widerspruch (Art. 21) — gegen Verarbeitung nach Art. 6 Abs. 1 lit. f
• Widerruf (Art. 7 Abs. 3) — erteilte Einwilligungen zurücknehmen
• Beschwerde bei einer Aufsichtsbehörde (Art. 77) — für uns: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, datenschutz-berlin.de

Wir antworten auf alle Anfragen binnen einem Monat (Art. 12 Abs. 3 DSGVO) — in der Regel deutlich schneller. Bitte senden Sie Anfragen an hilfe@slorify.com.

12. Automatisierte Entscheidungs­findung (Art. 22 DSGVO) & Datenschutz-Folgen­abschätzung

Wir treffen keine automatisierten Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen (Art. 22 DSGVO). KI-generierte Texte sind Vorschläge / Entwürfe — Sie selbst entscheiden, ob, wann und in welcher Form Sie sie weiterverwenden. Es findet kein Scoring, kein Bonitätsurteil und keine Profilbildung statt.

Wir haben für die Verarbeitung gemäß Art. 35 DSGVO eine interne Schwellenwert-Analyse durchgeführt. Wir bewerten das Risiko aktuell als nicht hoch im Sinne des Art. 35 DSGVO, da keine automatisierten Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung erfolgen (Art. 22 DSGVO): KI-generierte Inhalte sind ausschließlich Entwürfe und Textbausteine zur eigenen Prüfung und Verwendung. Übermittelte Daten an externe Verarbeiter (z. B. Anthropic) sind auf das jeweils Notwendige beschränkt, Dokumente werden nicht außerhalb der Vertragserfüllung verwendet, es findet kein Scoring, keine Bonitätsbewertung und keine Profilbildung statt. Eine vollständige Datenschutz-Folgenabschätzung iSv Art. 35 Abs. 1 DSGVO ist auf dieser Basis nicht erforderlich. Wir prüfen die Einschätzung bei wesentlichen Funktions-Änderungen erneut.

13. Datensicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Stand der Maßnahmen: 19. Mai 2026. Wir überprüfen die Maßnahmen regelmäßig und passen sie bei wesentlichen Änderungen an.

13.1 Vertraulichkeit (Zugriffskontrolle)

• Sicherer Zugang per Einmal-Link (Magic-Link); kein Passwort-Speicher mit reversiblen Klartexten
• Optionale Zwei-Faktor-Authentifizierung (TOTP) für Nutzer-Konten
• Strikte Trennung der Datenbank-Rollen; Anwendungs-Account hat ausschließlich die für den Betrieb erforderlichen Berechtigungen (Prinzip der minimalen Rechte)
• Administrativer Zugriff nur über SSH mit Schlüssel-Authentifizierung; Root-Login deaktiviert

13.2 Integrität (Transport- und Speicher-Sicherung)

• TLS 1.3 für alle Verbindungen; HSTS-Preload, HTTP/2 und HTTP/3
• Session-Tokens und Magic-Link-Tokens nur als SHA-256-Hash in der Datenbank (Klartext verlässt nie den Speicher)
• Postgres-Datenbank und Datei-Uploads mit at-rest-Verschlüsselung auf Volume-Ebene
• IP-Adresse und User-Agent für Login-Fingerprints nur als Hash gespeichert (nicht-reversibel)

13.3 Verfügbarkeit und Belastbarkeit

• Regelmäßige automatisierte Backups, georedundant verschlüsselt
• Wiederherstellungs-Tests in regelmäßigen Abständen
• Sicherheits-Updates der eingesetzten Software (Betriebssystem, Datenbank, Anwendungs-Stack)

13.4 Schutz vor Missbrauch

• Rate-Limiting + Anti-Brute-Force auf Authentifizierungs-Endpunkten (z. B. 5 Magic-Link-Anforderungen je IP / 15 Minuten)
• Server-seitige Validierung aller Eingaben (Zod-Schemas)
• Sicherheits-Header (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy)
• Audit-Logging sicherheits­relevanter Vorgänge (siehe Ziff. 3.10)
• Benachrichtigung bei Login von neuem Gerät (vergleicht anonymisierte Geräte-Hashes)

13.5 Organisatorische Maßnahmen

• Verträge nach Art. 28 DSGVO mit allen Auftragsverarbeitern (siehe Ziff. 9)
• Nutzung dokumentierter Datenschutz- und Datensicherheits-Standards der eingesetzten Dienstleister
• Meldewege für Datenschutzverletzungen (Art. 33/34 DSGVO) — Kontakt: hilfe@slorify.com

14. Klarstellung zur Tätigkeit

FinoraQ ist keine Schuldnerberatung im Sinne des § 305 InsO, keine Rechtsdienstleistung im Sinne des § 2 RDG und keine Anwaltskanzlei. Wir bieten ein technisches Selbsthilfe-Werkzeug an. Eine ausführliche Klarstellung finden Sie im Impressum unter Ziff. 7.

15. Änderungen dieser Erklärung

Wir aktualisieren diese Datenschutz­erklärung, wenn sich Inhalte oder Rechtslagen ändern. Wesentliche Änderungen kündigen wir per E-Mail mit angemessenem Vorlauf an, sofern sie für Sie zumutbar sind. Bei für Sie nicht zumutbaren Änderungen steht Ihnen ein Sonderkündigungs­recht zu.

Stand dieser Fassung: 20. Mai 2026. Frühere Fassungen halten wir auf Anfrage bereit.