Gesetz über Rechtsführung, Compliance und Informationssicherheit

1. Präambel und Betriebsart

SoulID.PRO (nachfolgend „SoulID“), gegründet nach dem Recht des US-Bundesstaates Delaware, betreibt eine hochmoderne Technologieinfrastruktur zur Identitätsprüfung und zum Nachweis der Menschlichkeit. Diese Satzung legt die rechtlichen Grundlagen und die operativen Grenzen für die Beziehung zwischen SoulID, seinen Partnern (Unternehmen und Regierungen) und den betroffenen Personen (Nutzern) fest.
Im Gegensatz zu Kreditauskunfteien oder statischen Datenbanken basiert SoulID auf dem Prinzip der lebendigen Identität. Dieses Dokument stellt sicher, dass SoulID nicht nur geltende Gesetze einhält, sondern auch einen neuen globalen Standard für den Schutz der digitalen Souveränität des Einzelnen setzt.

2. Die Architektur der „Blindvalidierung“ (Nichtweitergaberichtlinie)
Das Fundament von SoulID bildet das Modell der Blindinformationsvalidierung. Rechtlich wird dieses Modell als Dienst zur Überprüfung der Integrität binärer Daten klassifiziert.
2.1. Keine Datenweitergabe
SoulID gibt personenbezogene Daten von Nutzern nicht an Partner weiter, verkauft oder übermittelt sie nicht. Die rechtliche Beziehung zum Informationsaustausch gestaltet sich wie folgt:
• Eingabeübermittlung: Der Partner übermittelt SoulID (über die API) die Daten, die der Nutzer auf seiner Plattform eingegeben hat.
• Interne Verifizierung: SoulID vergleicht diese Daten mit seiner verschlüsselten Datenbank, die durch Zero-Knowledge-Proof-Protokolle geschützt ist.
• Binäre Antwort: SoulID gibt lediglich eine Bestätigung („Verifiziert“ oder „Abweichend“) zurück. Bei einer Diskrepanz weist SoulID auf das betreffende Feld hin (z. B. falsche CPF-Nummer) und fordert den Nutzer zur Korrektur der Daten auf, ohne die korrekten Daten an den Partner zu übermitteln.
Dieses Modell schützt den Partner vor zivilrechtlichen Haftungsansprüchen aufgrund des Besitzes unnötiger sensibler Daten und reduziert den Umfang von LGPD/DSGVO-Prüfungen für den Vertragspartner.

3. Globale Einhaltung und Konformität
3.1. LGPD (Brasilien – Gesetz 13.709/2018)
SoulID arbeitet in strikter Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO). Die Verarbeitung biometrischer und kognitiver Daten ist durch Artikel 11 Absatz II Buchstabe g der DSGVO gedeckt. Dieser Artikel erlaubt die Verarbeitung sensibler Daten ohne Einwilligung der betroffenen Person zum Zwecke der Betrugsprävention und der Datensicherheit bei der Identifizierung und Authentifizierung im Rahmen der Registrierung in elektronischen Systemen.
3.2. DSGVO (Europäische Union – Verordnung (EU) 2016/679)
Für Geschäftstätigkeiten innerhalb der EU wendet SoulID den Grundsatz „Privacy by Design“ an. Die Datenübertragung an den Hauptsitz in Delaware ist durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) geschützt. Dadurch wird sichergestellt, dass die betroffene Person in den USA dieselben Datenschutzrechte genießt wie in Europa.
3.3. ISO/IEC 27001- und 27701-Zertifizierungen
Unsere IT-Governance basiert auf dem Informationssicherheits-Managementsystem (ISMS). Dies umfasst:
• Halbjährliche Schwachstellenanalysen. • Strenge logische Zugriffskontrolle basierend auf dem Prinzip der minimalen Berechtigungen.
• Incident-Management mit sofortiger Reaktionszeit.

4. UNVERLETZLICHKEIT UND ZERO-KNOWLEDGE-KRYPTOGRAPHIE (ZKP)
SoulID garantiert technisch die Unmöglichkeit, lesbare Daten zu erlangen. Dies wird durch eine hochmoderne asymmetrische Kryptografiearchitektur erreicht:
1. Hash-Transformation: Biometrische und dokumentarische Daten werden zum Zeitpunkt der Erfassung in irreversible mathematische Vektoren (Hashes) umgewandelt.
2. Originalvernichtung: Die Rohdaten (Bild, Stimme, Originaldokument) werden ausschließlich im flüchtigen Speicher verarbeitet und nach der Vektorisierung sofort gelöscht.
3. Zugriffsfreier Zugriff: Weder SoulID noch seine Entwickler besitzen den Schlüssel zur Umkehrung dieser Vektoren. Ein Hackerangriff auf die Server von SoulID würde daher lediglich zufällige Zahlenfolgen ohne jeglichen biologischen oder zivilen Wert liefern.

5. WARTUNGSPROTOKOLL: DER 30-TAGE-ZYKLUS
Um die Aktualität der Datenbank zu gewährleisten und die Nutzung von Konten durch Dritte (mittelfristige Betrugsversuche) zu verhindern, führt SoulID eine obligatorische Rezertifizierung durch.
• Gültigkeit der Authentifizierung: Identitätsnachweis und Datenaktualisierungen verfallen alle 30 Tage.
• Sperrung des Dienstes: Wenn der Nutzer seine kognitive Signatur nicht innerhalb der Frist erneuert und seine Dokumente nicht validiert, wird das Konto für die Authentifizierung bei Partnern gesperrt.
• Partnersicherheit: Dies stellt sicher, dass der SoulID-Partner stets mit einem Nutzer interagiert, dessen Identität in den letzten 30 Tagen bestätigt wurde. Dadurch wird die Nutzung gekaufter oder gemieteter Konten ausgeschlossen.

6. DOKUMENTENPRÜFUNG UND KÜNSTLICHE INTELLIGENZ
Das SoulID-System verwendet eine proprietäre KI-Engine zur Dokumentenverifizierung (KYC).
• Dokumentenkonformität: Die KI überprüft die Echtheit des eingereichten Dokuments, indem sie die extrahierten Daten mit den zum Zeitpunkt der Einreichung erfassten Gesichtsbiometriedaten vergleicht.
• AblehnungInkonsistenz: Stellt die KI fest, dass die Dokumentinformationen nicht dem Inhaber gehören oder das Dokument digital manipuliert wurde, wird die Registrierung abgelehnt und der Vorfall als Betrugsversuch protokolliert.

7. HAFTUNGSBESCHRÄNKUNG UND SCHIEDSVERFAHREN
Als Gesellschaft mit Sitz in Delaware unterliegen Rechtsstreitigkeiten, die sich aus der Nutzung von SoulID ergeben, dem Recht des US-Bundesstaates Delaware.
• Schiedsgerichtsbarkeit: Für die Beilegung technischer Streitigkeiten zwischen Partnern und SoulID ist ein Schiedsgerichtsverfahren vorgesehen, das Schnelligkeit und Vertraulichkeit gewährleistet.
• Haftungsfreistellung: Die Haftung von SoulID ist auf den Wert der erbrachten Dienstleistungen beschränkt, außer im Falle nachgewiesenen Betrugs.

8. SCHLUSSBEMERKUNGEN
SoulID.PRO bekräftigt, dass seine Technologie entwickelt wurde, um den Menschen die Kontrolle über ihre eigene Identität zurückzugeben. Durch den Verzicht auf die Weitergabe von Rohdaten und die Fokussierung auf die Validierung von Informationen schaffen wir ein digitales Ökosystem, in dem Vertrauen mathematisch begründet und Datenschutz absolut ist.