Crowdee
Compliance

DSGVO

Datenverarbeitung, Aufbewahrungsfristen, Betroffenenrechte und der Crowdee-Auftragsverarbeitungsvertrag.

Crowdee verarbeitet personenbezogene Daten im Auftrag seiner Kunden im Rahmen der Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679). Diese Seite beschreibt das rechtliche Verhältnis zwischen Crowdee und seinen Kunden gemäß DSGVO, welche Kategorien von Daten Crowdee verarbeitet und für wie lange, wie Crowdee Anfragen zur Ausübung von Betroffenenrechten behandelt und welche Richtlinien für die Übermittlung von Daten außerhalb der Europäischen Union gelten.

Verantwortlicher und Auftragsverarbeiter

Im Rahmen der DSGVO handelt Crowdee als Auftragsverarbeiter im Auftrag seiner Kunden. Die Kunden sind die Verantwortlichen: Sie bestimmen die Zwecke und Mittel der Verarbeitung der Inhalte, die sie bei Crowdee hochladen, und tragen die Verantwortung dafür, dass für diese Verarbeitung eine rechtmäßige Grundlage gemäß DSGVO Artikel 6 vorliegt.

Das bedeutet: Wenn Sie Dateien zur Verifizierung bei Crowdee hochladen, sind Sie dafür verantwortlich, dass Sie das Recht haben, diese Inhalte an einen Auftragsverarbeiter zu übermitteln. Enthält der Inhalt personenbezogene Daten von Personen — ihre Bilder, Stimmen oder identifizierende Informationen —, müssen Sie über eine rechtmäßige Grundlage für die Verarbeitung dieser Daten verfügen und sicherstellen, dass Sie Ihren datenschutzrechtlichen Pflichten gegenüber diesen Personen nachkommen, einschließlich etwaiger Pflichten nach der DSGVO bezüglich automatisierter Entscheidungsfindung.

Ein Auftragsverarbeitungsvertrag (AVV) ist für alle kostenpflichtigen Tarife verfügbar. Der AVV legt die Pflichten beider Parteien gemäß DSGVO Artikel 28 fest, einschließlich Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen sowie der Pflichten und Rechte des Verantwortlichen. Um einen AVV anzufordern, wenden Sie sich an privacy@crowdee.ai.

Welche Daten Crowdee verarbeitet

KategorieDatenAufbewahrungsdauer
KontodatenName, E-Mail-Adresse, organisatorische RolleBis zur Kontolöschung
DateiinhalteHochgeladene Dateien (Bilder, Audio, Video, Dokumente, Text)Bis zur Löschung der Datei durch den Verantwortlichen
AnreicherungsmetadatenTechnische Metadaten, die vom Anreicherungs-Worker aus Dateien extrahiert werden (EXIF, Codec-Informationen, Lautstärkepegel usw.)Bis zur Löschung der zugehörigen Datei
VerifizierungsergebnisseStufenausgaben, Urteile, Antworten der Crowd-Worker, Konfidenzwerte, PrüfprotokolleBis zur Projektlöschung oder 5 Jahre, je nachdem, was zuerst eintritt
Audit-ProtokolleZeitgestempelte Aufzeichnungen von API-Aktionen, Authentifizierungsereignissen und Administrationsoperationen5 Jahre (regulatorische Compliance-Anforderung)
AbrechnungsdatenRechnungen, Transaktionsaufzeichnungen, Zahlungsmittelmetadaten10 Jahre (deutsches Handelsrecht, § 257 HGB)

Dateiinhalte und Anreicherungsmetadaten werden gelöscht, wenn der Verantwortliche die Datei über die API oder die Plattform löscht. Die Löschung ist unwiderruflich und unterliegt nach der Bestätigung keiner Wiederherstellungsfrist. Verifizierungsergebnisse, die einem Projekt zugeordnet sind, werden gelöscht, wenn das Projekt gelöscht wird.

Audit-Protokolle und Abrechnungsdaten unterliegen gesetzlichen Aufbewahrungsfristen und können vor Ablauf dieser Fristen nicht auf Anfrage gelöscht werden. Diese Aufbewahrungspflichten ergeben sich aus dem deutschen Handels- und Aufsichtsrecht und sind vertraglich nicht abdingbar.

Besondere Kategorien personenbezogener Daten

Wenn die Inhalte, die Sie bei Crowdee hochladen, personenbezogene Daten enthalten, die unter die in DSGVO Artikel 9 definierten besonderen Kategorien fallen — einschließlich biometrischer Daten zur eindeutigen Identifizierung von Personen, Gesundheitsdaten, Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen, religiösen Überzeugungen oder Daten zum Sexualleben bzw. zur sexuellen Orientierung —, unterliegen diese Inhalte den erhöhten Anforderungen der DSGVO.

Sie sind dafür verantwortlich, dass Sie über eine ausdrückliche Einwilligung oder eine andere gültige Rechtsgrundlage gemäß DSGVO Artikel 9 verfügen, bevor Sie besondere Kategorien personenbezogener Daten bei Crowdee hochladen. Crowdee prüft nicht eigenständig, ob hochgeladene Inhalte besondere Kategorien personenbezogener Daten enthalten, und wendet allein auf Basis des Inhaltstyps keine zusätzlichen Verarbeitungsbeschränkungen an. Wenn Sie unsicher sind, ob Ihre Inhalte besondere Kategorien personenbezogener Daten darstellen, konsultieren Sie bitte Ihren Datenschutzbeauftragten, bevor Sie den Upload durchführen.

Informationen zu spezifischen DSGVO-Aspekten, die bei der Durchführung von Identitätsprüfungsaufgaben über Crowdee gelten, finden Sie unter Identity-Claim-Pipeline.

Betroffenenrechte

Crowdee unterstützt die Ausübung von Betroffenenrechten über zwei Kanäle: direkte Anfragen an Crowdee sowie die Löschung durch den Verantwortlichen über die API.

Löschanfragen: Betroffene können die Löschung ihrer bei Crowdee gespeicherten personenbezogenen Daten beantragen, indem sie sich an privacy@crowdee.ai wenden. Crowdee koordiniert mit dem zuständigen Verantwortlichen, um die Anfrage innerhalb der 30-tägigen DSGVO-Antwortfrist zu bearbeiten. Verantwortliche können einzelne Dateien und die zugehörigen Metadaten auch direkt über die API löschen:

DELETE https://api.crowdee.ai/v2/files/{fileId}
X-API-Key: crw_YOUR_API_KEY

Bitte beachten Sie, dass Audit-Protokolle nicht vor Ablauf der 5-jährigen Aufbewahrungsfrist gelöscht werden können, da diese Aufzeichnungen zur Erfüllung der eigenen regulatorischen Pflichten von Crowdee erforderlich sind. Sollten personenbezogene Daten einer betroffenen Person in einem Audit-Protokoll erscheinen, wird Crowdee ein Rechtsgutachten bereitstellen, das erläutert, warum die Aufbewahrungsfrist einer Löschung entgegensteht.

Auskunftsanfragen: Betroffene, die vermuten, dass ihre personenbezogenen Daten in einem Projekt eines Crowdee-Kunden gespeichert sind, können eine Auskunftsanfrage an privacy@crowdee.ai stellen. Crowdee koordiniert mit dem Verantwortlichen, um den Export zu ermöglichen. Verantwortliche können auch einen vollständigen Datenexport der Organisation über die Plattform unter Einstellungen → Datenexport initiieren.

Berichtigung und Datenportabilität: Korrekturen von Kontodaten können direkt über die Plattform vorgenommen werden. Vollständige Datenportabilitätsexporte sind auf Anfrage im JSON-Format erhältlich.

Datenübermittlungen außerhalb der EU

Crowdee übermittelt keine Kundendaten außerhalb der Europäischen Union. Die gesamte Produktionsinfrastruktur wird in Rechenzentren der netcup GmbH in Deutschland betrieben. Bei der Dateispeicherung, Anreicherungsverarbeitung, KI-Stufenausführung oder Crowd-Task-Verteilung finden keine grenzüberschreitenden Datenübermittlungen statt.

Das von Crowdees Verifizierungspipelines verwendete KI-Modell wird lokal auf der von Crowdee betriebenen Infrastruktur in Deutschland ausgeführt. Es werden keine Inhalte an Drittanbieter-KI-APIs oder cloudbasierte Modellanbieter übermittelt.

Im Zusammenhang mit der Datenverarbeitung durch Crowdee sind keine Standardvertragsklauseln (SCC) oder Angemessenheitsbeschlüsse erforderlich. Alle Datenflüsse erfolgen innerhalb der EU und unterliegen direkt der DSGVO. Eine vollständige Liste der Unterauftragsverarbeiter von Crowdee finden Sie unter crowdee.ai/subprocessors.

Wie hilfreich ist diese Seite?

© 2026 Crowdee GmbH. Alle Rechte vorbehalten.

On this page