GDPR-Erweiterte Datenschutzerklärung

Gültig ab: 2026-05-30
Zuletzt aktualisiert: 2026-05-30

1. Verantwortlicher

EBIS Next Generation ID Limited ist Verantwortlicher für alle personenbezogenen Daten, die über die Websites und Plattformdienste verarbeitet werden, einschließlich ebisbank.com, portal.ebisbank.com und ebisbaid.ebisbank.com. Adresse: [Firmenanschrift], Vereinigtes Königreich. Kontakt: support@ebisbank.com. Registriert beim ICO im Vereinigten Königreich gemäß UK GDPR und Data Protection Act 2018.

2. Rechtsgrundlagen der Verarbeitung (Art. 6 UK DSGVO / DSGVO)

• Vertragserfüllung (Art. 6(1)(b)) — zur Erbringung der abonnierten Dienste.
• Rechtliche Verpflichtung (Art. 6(1)(c)) — KYC/AML-Identitätsverifizierung, Steueraufzeichnungen, Einhaltung des britischen Rechts.
• Einwilligung (Art. 6(1)(a)) — Marketing-Kommunikation, optionale Cookies, besondere Datenkategorien. Die Einwilligung kann jederzeit widerrufen werden.
• Berechtigte Interessen (Art. 6(1)(f)) — Plattformsicherheit, Betrugsprävention, VIC-Moderation, Produktanalyse, Geschäftsleads-Outreach.

3. Datenkategorien

Identitätsdaten (Name, Geburtsdatum, Staatsangehörigkeit, Dokumentennummer — für EBIS AID); Kontaktdaten; technische Daten (anonymisierte IP, Sitzungen); Finanzdaten über Stripe; digitale Identitätsdaten (EBIS ID, Level, Wallet, EBU); IDSign-Dokumentendaten (Dateien, Signaturen, Audit-Hashes, signierte PDFs); Commeety-Kommunikationsdaten (Beiträge, Deal Room-Nachrichten, Verstoßmeldungen, VIC-Protokolle); Verhaltensdaten (UTM, Funktionsnutzung). Keine Verarbeitung genomischer oder biometrischer Rohdaten. Keine besonderen Datenkategorien (Art. 9 DSGVO) ohne ausdrückliche Einwilligung.

4. Rechte der Betroffenen (Art. 15–22 UK DSGVO / DSGVO)

Auskunft, Berichtigung, Löschung (Hinweis: IDSign-Prüfpfade unterliegen einer gesetzlichen Aufbewahrungspflicht von 7 Jahren), Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf der Einwilligung und Rechte bezüglich automatisierter Entscheidungen. Kontakt: support@ebisbank.com — Antwort innerhalb von 30 Tagen. Sie können auch beim ICO (ico.org.uk) oder Ihrer nationalen Aufsichtsbehörde Beschwerde einlegen.

5. Auftragsverarbeiter und Unterauftragsverarbeiter

• Stripe, Inc. — Zahlungen und KYC. USA. Standardvertragsklauseln (SCC). ✅ DPA in Kraft.
• Supabase, Inc. — Datenbank und Authentifizierung. AWS London (eu-west-2), Vereinigtes Königreich. ✅ DPA von EBIS unterzeichnet (30.05.2026) — Gegensignatur von Supabase ausstehend.
• WHUK (Webhosting UK Co. Ltd) — cPanel-Hosting. Vereinigtes Königreich. ✅ DPA versendet — Gegensignatur ausstehend.
• Anthropic, PBC — Claude API für VIC AI. USA. SCC. Nachrichten werden als anonyme API-Anfragen übermittelt.
• LiveKit, Inc. — WebRTC-Infrastruktur für eVIDence. USA/global. SCC.
• VM6 Networks Ltd — VPS-Hosting für Daemons und Proxy. Vereinigtes Königreich.

6. Internationale Datenübermittlungen

Hauptinfrastruktur im Vereinigten Königreich (Supabase AWS London ✅, WHUK ✅, VM6 ✅). Übermittlungen in die USA (Stripe, Anthropic, LiveKit) durch SCC/IDTA abgesichert. Keine Übermittlungen in Länder ohne Angemessenheitsbeschluss oder geeignete Garantien.

7. Automatisierte Entscheidungen und Profiling

EBIS trifft keine rein automatisierten Entscheidungen mit rechtlichen Folgen (Art. 22 DSGVO). Automatisierte Prozesse ohne direkte Rechtswirkung: VIC-Moderation (mit Einspruchsmöglichkeit und menschlicher Überprüfung); Lead-Scoring; bedingter Zugang nach EBIS AID-Level (mit menschlicher Dokumentenprüfung).

8. Sicherheitsmaßnahmen (Art. 32 DSGVO)

HTTPS/TLS auf allen Domains; RLS-Richtlinien in Supabase; Einschränkungen auf Spaltenebene (profiles_public-View — sensible Felder ausgeschlossen: recovery_phrase_hash, stripe_customer_id, wallet_address, sovereign_login_email, web2id_email, Telefon, Adresse); Hashing von Passwörtern, OTPs und Tokens; Rollenschlüsselstrennung; DPA mit allen Unterauftragsverarbeitern; automatisiertes Monitoring; regelmäßige Sicherheitsprüfungen. Im Falle einer Datenpanne benachrichtigen wir den ICO innerhalb von 72 Stunden und die betroffenen Personen unverzüglich (Art. 33–34 UK DSGVO).

9. Aufbewahrungsfristen

Aktive Kontodaten: Kontolaufzeit + 2 Jahre. IDSign-Prüfpfade und signierte PDFs: 7 Jahre. Zahlungsaufzeichnungen: 7 Jahre. KYC/KYB-Dokumente: gemäß AML-Anforderungen. VIC-Moderationsprotokolle: 12 Monate. eVIDence-Sitzungsmetadaten: 24 Monate.

10. Kontakt und Aufsichtsbehörde

support@ebisbank.com — EBIS Next Generation ID Limited, [Firmenanschrift], Vereinigtes Königreich.
Sie haben das Recht, beim ICO (ico.org.uk) oder Ihrer zuständigen nationalen Datenschutzbehörde Beschwerde einzulegen.