DSGVO Art. 22
Keine vollautomatisierten Einzelentscheidungen über Personen. Vermietungsentscheidungen liegen ausschließlich bei dir.
Security & Compliance
Deine Daten. Deine Bewerber. Sicher.
Konform mit Artikel 22 der Datenschutz-Grundverordnung (DSGVO Art. 22). EU-Hosting, EU-LLM, Ende-zu-Ende verschlüsselt. ISO 27001 und SOC 2 in Roadmap.
Acht Pfeiler
Wie wir Sicherheit konkret bauen.
Compliance ist die rechtliche Grundlage. Tech ist die Umsetzung. Beides muss zusammenpassen.
Compliance
DSK 2024 Drei-Phasen-Modell
Nach dem Drei-Phasen-Modell der Datenschutzkonferenz (DSK) von 2024: Bewerber-Daten werden in drei klar abgegrenzten Phasen verarbeitet. Einkommensnachweis erst nach Besichtigung, ID-Kopie erst vor Vertrag.
EU-Hosting
Server in der EU, deutsche Region als Default. Kein Datenexport in Drittländer ohne Angemessenheitsbeschluss.
Anti-Profiling-Architektur
Keine KI-Scores, kein Ranking, keine Persönlichkeits-Bewertung. Regelbasierte Hard-Facts-Prüfung gegen deine Kriterien.
Tech
Ende-zu-Ende-Verschlüsselung
Alle Bewerber-Kommunikation und alle übertragenen Dokumente sind verschlüsselt. TLS 1.3 in Transit, AES-256 at Rest.
EU-LLM für Bewerber-Daten
Die sensiblen Bewerber-Daten verarbeitet ein EU-Sprachmodell (Mistral, Paris): Applicant-Chatbot, Dokumenten-Extraktion, Klassifikation. Kein Training auf deinen Daten.
DB-Constraint-Compliance
Ein einziger Criteria-Helper im Backend. Datenbank-Constraints verhindern, dass automatisierte Score-Felder überhaupt gesetzt werden können.
Brand-Kontinuität
Bewerber sehen dich als Vermieter, nicht „Locari“ als Drittpartei. Keine Plattform-Erwähnung im Bewerber-Prozess, keine Daten-Weitergabe an Marketing.
Selbst-Verpflichtung + Roadmap
Wir verpflichten uns zu höchsten Standards.
Was rechtlich gilt, halten wir heute. Was zertifiziert wird, kommt mit Skalierung — ehrlich kommuniziert, nicht als Marketing-Siegel inszeniert.
Externe Zertifizierungen folgen mit Skalierung. Bis dahin: Selbst-Verpflichtung dokumentiert, Code-Architektur prüfbar, Datenschutz-Praxis im Detail offen.
DSGVOCompliant
Rechtlich verpflichtend. Heute aktiv.
EU-HostingActive
EU-Region als Default. Heute aktiv.
ISO 27001Roadmap 2027
Zertifizierung in Vorbereitung, sobald Skalierung es trägt.
SOC 2 Type IIRoadmap 2027
Audit-Vorarbeit läuft. Realistisch nach ISO 27001.
Daten-Flüsse
Wer hat wann Zugriff.
Vier Pfade, jeder dokumentiert. Keine versteckten Auftragsverarbeiter — die vollständige Liste steht im Trust Center; US-Dienste sind über EU-Standardvertragsklauseln abgesichert.
| Von | Nach | Absicherung |
|---|---|---|
| Bewerber | Locari (WhatsApp / Email) | |
| Locari | Vermieter (WhatsApp) | |
| Locari | ImmoScout24 · Kleinanzeigen | |
| Locari-Backend | EU-Hosting · Mistral LLM |
Keine SCHUFA-API und keine automatische Bürgen-Verifikation: Bonitätsauskünfte bringt der Bewerber selbst mit, Locari speichert und zeigt sie — ohne sie zu bewerten.
Häufige Sicherheits-Fragen
Was Vermieter am häufigsten fragen.
Wo werden meine Daten und die meiner Bewerber gespeichert?
Sensible Bewerber-Daten liegen in der EU (deutsche Region als Default, EU-zertifizierte Rechenzentren) und werden von einem EU-Sprachmodell (Mistral) verarbeitet. Einzelne Dienste — App-Hosting/CDN (Vercel), Vermieter-Assistent (Anthropic) und Analytics (PostHog) — liegen in den USA und sind über EU-Standardvertragsklauseln (SCC) abgesichert.
Ist Locari DSGVO-konform?
Ja. Locari folgt DSGVO Art. 22 (keine vollautomatisierten Einzelentscheidungen über Personen) und dem DSK-2024-Drei-Phasen-Modell für Bewerber-Daten. Vermietungsentscheidungen liegen ausschließlich beim Vermieter. Die Architektur erzwingt das, nicht nur die AGB.
Welches LLM nutzt Locari?
Die sensiblen Bewerber-Daten — Applicant-Chatbot, Dokumenten-Extraktion, Klassifikation — verarbeitet Mistral, gehostet in der EU. Der Vermieter-Assistent (z.B. Besichtigungs-Briefings) nutzt zusätzlich Claude (Anthropic) über das Vercel AI Gateway; dort fließen Bewerber-Daten nur mittelbar ein. Kein Training auf Bewerber-Daten. Die vollständige Liste der Dienste steht im Trust Center.
Wie ist die Bewerber-Daten-Löschung geregelt?
Automatisch nach Vermietungs-Ende. Bewerber, die nicht gewählt wurden, werden gemäß DSK 2024 spätestens nach Abschluss des Auswahlverfahrens gelöscht. Gewählte Bewerber-Daten gehen in den Mietvertrags-Kontext über und folgen den dortigen Aufbewahrungsfristen.
Anti-Profiling — was bedeutet das technisch?
Keine ML-Scores, keine Persönlichkeits-Bewertung, kein Ranking. Locari prüft regelbasiert deine selbst-definierten Hard-Facts (Personenanzahl, Einkommen-Multiple, Haustiere). Ein Datenbank-Constraint im Backend verhindert, dass automatisierte Score-Felder überhaupt gesetzt werden können. Mehr zur Anti-Profiling-Architektur.
Was unterscheidet Locari von US-Anbietern?
Weitgehender EU-Stack: EU-Hosting, EU-Datenbank-Region, EU-Operations-Team und ein EU-Sprachmodell (Mistral) für die direkte Verarbeitung sensibler Bewerber-Daten. Einzelne Dienste — etwa Vercel und Anthropic für den Vermieter-Assistenten sowie WhatsApp — liegen in den USA und sind über EU-Standardvertragsklauseln (SCC) abgesichert. Die vollständige Auftragsverarbeiter-Liste findest du im Trust Center.
Jetzt starten
Sicherheit ist nicht Add-On. Es ist Foundation.
DSGVO, EU-Hosting und Anti-Profiling sind bei Locari im Code verankert — nicht in den AGB versteckt.