Datenschutzbestimmungen

5. Welche personenbezogenen Daten werden von Inverid verarbeitet?

Wir verarbeiten personenbezogene Daten über ReadID SaaS-Nutzer: Inverid bietet seinen Kunden Dienste zur Identitätsüberprüfung an. Das bedeutet, dass wir Ihre Identität verifizieren. Dazu haben Sie (d. h. der ReadID-SaaS-Benutzer) der Datenverarbeitung gemäß der Datenschutzrichtlinie des Kunden und der anschließenden Datenverarbeitung durch uns in Übereinstimmung mit dieser Datenschutzrichtlinie zugestimmt. Wir können die folgenden personenbezogenen Daten erfassen und verarbeiten:

• Personenbezogene Daten, die im Chip eines vom Nutzer vorgelegten unterstützten Identitätsdokuments enthalten sind, z.B. Reisepass, Personalausweis oder Führerschein.
• Personenbezogene Daten, die sich auf der Inhaberseite (Vorder- und Rückseite) des vorgelegten Ausweises befinden.
• Ein biometrischer Scan des Gesichts (um zu überprüfen, ob der Nutzer die richtige Person ist, indem er es mit dem Gesichtsbild aus dem Ausweisdokument vergleicht).
• IP-Adresse des Nutzers.

Dieser Datensatz oder ein Teil davon wird zusammen mit nicht-personenbezogenen Daten, wie z. B. den Ergebnissen der verschiedenen von uns durchgeführten Überprüfungen, in Übereinstimmung mit einer Datenverarbeitungsvereinbarung an den Kunden weitergegeben.

Um die Leistung von ReadID SaaS zu verbessern, müssen wir anonyme Nutzungsdaten sammeln, um beispielsweise Probleme mit Ausweisdokumenten aus bestimmten Ländern zu erkennen. Diese Nutzungsinformationen enthalten keine personenbezogenen Daten. Darüber hinaus kann Inverid die Nutzungsinformationen weder direkt noch indirekt mit einer bestimmten Person in Verbindung bringen. Die Nutzungsinformationen werden nur zur Verbesserung der Qualität von ReadID und nicht für andere Zwecke verwendet. Inverid bewahrt die Informationen nur so lange auf, wie es zur Erfüllung des angegebenen Zwecks erforderlich ist.

Im Einzelnen sammelt Inverid die folgenden Nutzungsdaten über das ReadID SaaS SDK:

• Telefondetails, einschließlich Telefontyp, Android-Version, iOS-Version, Speichergröße. Wir sammeln keine Informationen, die für ein bestimmtes Telefon einzigartig sind.
• Welche Art von Ausweisdokument wurde gescannt und gelesen, ob der Scan erfolgreich war oder nicht, der Chip wurde erfolgreich gelesen, welches Land hat das Ausweisdokument ausgestellt, das auf dem Chip gespeicherte Zertifikat zur Unterzeichnung des Dokuments und das Ablaufdatum. Wir erfassen das Ablaufdatum, da es uns ermöglicht, die Version des gescannten Ausweises zu bestimmen.
• Informationen zur Benutzerfreundlichkeit: wie lange die verschiedenen Schritte dauern, wenn ein Benutzer alle Schritte durchlaufen hat, und die Nutzungshäufigkeit.

Inverid verwendet Server unter eigener Kontrolle, und die spezifischen Nutzungsanalysedaten werden von einer dritten Partei gehostet.

Personenbezogene Daten, die wir über Vertreter von Kunden verarbeiten: Um einen Vertrag mit Inverid zu schließen, unsere Dienstleistung zu erbringen, mit dem Vertreter unseres Kunden zu kommunizieren und aus anderen rechtmäßigen Gründen müssen wir die Daten der Vertreter des Kunden verarbeiten. Dies bedeutet, dass wir unter anderem die folgenden personenbezogenen Daten von Vertretern des Kunden verarbeiten können:

• personenbezogene Daten des Vertreters des Kunden, wie Name, Berufsbezeichnung, Position und Kontaktinformationen;
• personenbezogene Daten im Zusammenhang mit der Bereitstellung des Dienstes, wie z. B. die Anmeldedaten des Vertreters für das ReadID-Verwaltungsportal, einschließlich Benutzername, E-Mail-Adresse und Mobiltelefonnummer.

Persönliche Daten, die wir über Besucher verarbeiten: Wir können Daten erfassen, wenn Sie beispielsweise unsere Website besuchen (z. B. durch die Verwendung von Cookies), unseren Newsletter erhalten (z. B. bei der Anmeldung), an einem Inverid-Webinar teilnehmen (z. B. bei der Anmeldung) und/oder sich um eine Stelle bei Inverid bewerben. Bei diesen personenbezogenen Daten kann es sich unter anderem um die folgenden Informationen handeln:

• personenbezogene Daten, wie IP-Adresse, Uhrzeit und Standort;
• Informationen über die Nutzung der Website, z. B. die von Ihnen besuchten Seiten, das Datum und die Uhrzeit Ihres Besuchs, die von Ihnen heruntergeladenen Dateien und die URLs der Websites, die Sie vor und nach der Navigation auf der Website besuchen;
• E-Mail-Adressen, wenn Sie die Newsletter von Inverid abonnieren, Inhalte von Inverid herunterladen oder sich für ein Webinar von Inverid anmelden;
• Name und E-Mail-Adresse, wenn Sie sich mit Inverid in Verbindung setzen, um ein Problem zu melden, das in unserer koordinierten Richtlinie zur Offenlegung von Sicherheitslücken erwähnt wird. Wenn Sie zustimmen, können wir auch Ihren Namen in unserer Hall of Fame veröffentlichen.
• Lebenslauf und Motivationsschreiben für Stellenbewerber.

Personenbezogene Daten, die wir über ReadID Me-Nutzer verarbeiten: Inverid bietet die ReadID Me-Anwendung über den Play Store und den App Store an. ReadID Me ist für Ihren persönlichen Gebrauch bestimmt und öffentlich und kostenlos verfügbar. Wir stellen diese Anwendung zur Verfügung, damit die Nutzer sehen können, was sich im Chip ihres Ausweises befindet. Darüber hinaus helfen uns die Analysen und Rückmeldungen, die wir erhalten, die zugrunde liegende ReadID-Software zu verbessern. Die ReadID Me-App läuft ausschließlich auf Client-Basis. Das bedeutet, dass die App die Daten zum Zugriff auf den Chip und die daraus ausgelesenen personenbezogenen Daten lokal auf dem Smartphone des ReadID Me-Nutzers verarbeitet und nicht mit Inverid teilt, d.h. die App sendet keine personenbezogenen Daten an einen Server zur Verarbeitung durch Inverid. Außerdem werden die verarbeiteten personenbezogenen Daten nicht auf dem Smartphone gespeichert. Inverid sammelt also keine personenbezogenen Daten. Wir wissen und wollen nicht wissen, wer die ReadID Me-Nutzer sind und wessen Ausweisdokumente gescannt werden.

Ähnlich wie bei ReadID SaaS werden auch bei ReadID Me anonyme Nutzungsdaten gesammelt, die von Inverid zur Verbesserung unserer ReadID-Dienste verwendet werden (siehe Abschnitt oben für ReadID SaaS-Nutzer).

Persönliche Daten, die wir über ReadID-Client-Only-Nutzer verarbeiten: In diesem Fall verarbeitet Inverid keine personenbezogenen Daten über den Benutzer. Der Kunde kann personenbezogene Daten verarbeiten und ist für den Schutz der verarbeiteten personenbezogenen Daten voll verantwortlich. Darüber hinaus erhebt Inverid auch keine anonymisierten Nutzungsdaten.

6. Wie kommt Inverid an Ihre personenbezogenen Daten?

Wie wir die persönlichen Daten eines ReadID SaaS-Benutzers erhalten: Wir erhalten Ihre personenbezogenen Daten durch eine Identitätsprüfung, die wir für einen von Ihnen genutzten Kundenservice durchführen. Der Kunde hat uns vertraglich ermächtigt, Ihre Daten in seinem Namen im Rahmen eines bestimmten Dienstes zu verarbeiten.

Wie wir personenbezogene Daten von einem Kundenvertreter erhalten: Wir erheben diese Daten entweder direkt von Ihnen, wenn Sie direkt mit uns kommunizieren, z. B. indem Sie uns eine E-Mail schicken, uns Ihre persönlichen Daten am Telefon oder über unsere Kundensupport-Tools mitteilen. Wir können auch einige Ihrer persönlichen Daten während der Erbringung unserer Dienstleistung für Ihren Arbeitgeber erfassen. Wir überprüfen auch Informationen über den Kunden (einschließlich relevanter Vertreter des Kunden) aus öffentlich zugänglichen Quellen. Wir erheben nur relevante und notwendige Daten, um die Vertretungsberechtigung zu prüfen, z. B. die Überprüfung Ihrer Identität, die Verarbeitung Ihrer personenbezogenen Daten für den Betrieb unseres Dienstes usw.

Wie wir persönliche Daten über Besucher erhalten: Wenn Sie unsere Website besuchen, verwenden wir Cookies, um Informationen zu sammeln. Der Zweck dieser Cookies besteht darin, die Benutzererfahrung bei Ihrem Besuch auf unserer Website zu verbessern und Inverid Informationen zu liefern, die für zukünftige Optimierungen genutzt werden können. Die Cookies stammen von HubSpot, HotJar, YouTube und DoubleClick.

Unsere Website verwendet verschiedene Arten von Cookies:

• Streng notwendige Cookies - Diese Cookies sind für das ordnungsgemäße Funktionieren der Website erforderlich und können nicht deaktiviert werden.
• Einstellungs-Cookies - Diese Cookies ermöglichen es der Website, Informationen zu speichern, die das Verhalten und das Design der Website beeinflussen.
• Analytische Cookies - Diese Cookies helfen uns zu verstehen, wie Besucher mit unserer Website interagieren, indem sie Informationen anonym sammeln und melden.
• Targeting-Cookies - Diese Cookies werden für Targeting-Zwecke verwendet. Sie können verwendet werden, um ein Interessenprofil der Website-Besucher zu erstellen, so dass relevante Werbung angezeigt werden kann. Sie speichern keine direkt identifizierbaren persönlichen Informationen.

Sie können die zuvor gespeicherten Cookie-Einstellungen/Präferenzen über die Schaltfläche "Cookie-Einstellungen" auf unserer Website ändern.

Außerdem können Sie jederzeit alle derzeit im Internetbrowser Ihres Geräts gespeicherten Cookies löschen.

Bei Bewerbern nutzen wir die HomeRun-Einstellungsplattform für die Verarbeitung von Bewerbungsformularen und damit verbundenen personenbezogenen Daten. Weitere Einzelheiten entnehmen Sie bitte der HomeRun-Datenschutzerklärung.

Für unseren Newsletter, das Herunterladen von Inhalten, die Teilnahme an Webinaren oder die Bewerbung auf eine Stelle bei Inverid stellen Sie Ihre personenbezogenen Daten selbst zur Verfügung.

Wie wir persönliche Daten von ReadID Me-Nutzern erhalten: Personenbezogene Daten werden nicht über die Nutzung unserer ReadID Me-App erhoben. Diese App ist nur für den persönlichen Gebrauch bestimmt. Während der Nutzung der App werden nicht-personenbezogene Metadaten (siehe oben) erfasst.

Wie wir persönliche Daten von ReadID-Client-Only-Nutzern erhalten: In diesem Fall erhält Inverid keine persönlichen oder sonstigen Daten von der App.

7. Warum und aus welchen Gründen verarbeitet Inverid personenbezogene Daten?

Wir dürfen Ihre personenbezogenen Daten nur verarbeiten, wenn es dafür eine sogenannte "rechtmäßige Grundlage" gibt.

Gründe für die Verarbeitung personenbezogener Daten eines ReadID SaaS-Nutzers: Wir verarbeiten Ihre personenbezogenen Daten als Auftragsverarbeiter zugunsten des Kunden, um den Vertrag, den wir mit dem Kunden haben, zu erfüllen. Die rechtmäßige Grundlage für die Verarbeitung der Daten ergibt sich somit aus dem Kunden und der Dienstleistung, die er für Sie erbringt. Bitte konsultieren Sie zu diesem Zweck auch die Datenschutzrichtlinie oder -erklärung des Kunden. Es kann auch ein berechtigtes Interesse an der Verarbeitung bestehen, um den bestmöglichen Dienst auf dem Markt anbieten zu können. Dazu gehören Fehlerbehebung, Datenanalyse, Tests, Betrugsprävention und -aufdeckung, Systemwartung, Support, Berichterstattung und Hosting von Daten.

Gründe für die Verarbeitung der personenbezogenen Daten von Kundenvertretern: Wir verarbeiten Ihre personenbezogenen Daten hauptsächlich zur Begründung und Durchführung des Vertragsverhältnisses mit unserem Kunden, d. h. Ihrem Arbeitgeber. Es kann auch ein berechtigtes Interesse daran bestehen, ein vertrauensvolles Verhältnis zu den Kunden zu gewährleisten. Zum Beispiel die Verarbeitung personenbezogener Daten, die unbedingt erforderlich ist, um die Endbegünstigten zu ermitteln, um z. B. Betrug zu verhindern. Oder zur Durchführung von Produkt- und Marktforschung zum Zwecke der Qualitätssicherung, Produktverbesserung, Entwicklung und Beurteilung der Markttauglichkeit. Dies kann die Kontaktaufnahme mit bestehenden und potenziellen neuen Kundenvertretern und deren Kommunikation, Interviews, die Aufzeichnung dieser Kommunikation für einen begrenzten Zeitraum usw. umfassen.

Gründe für die Verarbeitung der personenbezogenen Daten eines Besuchers: Die Verarbeitung von Besucherdaten erfolgt in der Regel auf der Grundlage einer von Ihnen erteilten Einwilligung. Die Einwilligung kann für die Cookies eingeholt werden, die wir auf unserer Website verwenden, oder wenn Sie sich durch Angabe Ihrer E-Mail-Adresse für unseren kostenlosen Newsletter anmelden. Falls wir uns für die Verarbeitung Ihrer Daten auf Ihre Zustimmung stützen, haben Sie das Recht, Ihre Zustimmung jederzeit zu widerrufen. Bitte beachten Sie, dass jede Verarbeitung, die Inverid vor dem Widerruf Ihrer Einwilligung durchgeführt hat, weiterhin rechtmäßig ist. Wenn Sie Ihre Einwilligung widerrufen, können wir Ihnen möglicherweise bestimmte Produkte oder Dienstleistungen nicht mehr anbieten. Wir werden Sie darauf hinweisen, wenn dies der Fall ist, wenn Sie Ihre Einwilligung widerrufen. Wenn Sie sich um eine Stelle bewerben, haben wir ein berechtigtes Interesse an der Verarbeitung Ihrer Daten.

Gründe für die Verarbeitung der Daten von ReadID Me-Nutzern: Inverid verarbeitet im Rahmen von ReadID Me keine personenbezogenen Daten, daher ist keine Rechtsgrundlage erforderlich. Es werden lediglich nicht-personenbezogene Daten verarbeitet, um unser Produkt ReadID zur Identitätsüberprüfung zu verbessern.

Gründe für die Verarbeitung von Daten von ReadID-Client-Only-Nutzern: Inverid ist nicht als Verarbeiter oder Verantwortlicher an der Verarbeitung personenbezogener Daten beteiligt. Der Kunde ist in diesem Fall der für die Verarbeitung der personenbezogenen Daten Verantwortliche und hat seine eigenen Gründe für die Verarbeitung dieser Daten.

Neben diesen Gründen kann es auch rechtliche Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten im Allgemeinen geben. Inverid verarbeitet personenbezogene Daten in Erfüllung gesetzlicher Verpflichtungen wie steuerlicher Verpflichtungen, gerichtlicher Anordnungen oder polizeilicher Ermittlungen.

Wenn personenbezogene Daten für einen neuen Zweck verarbeitet werden, der sich von dem unterscheidet, für den sie ursprünglich erhoben wurden, oder wenn die Verarbeitung nicht auf der Einwilligung der betroffenen Person, d. h. Ihnen, beruht, prüfen wir sorgfältig die Zulässigkeit dieser neuen Verarbeitung.

8. Wie lange speichert Inverid Ihre personenbezogenen Daten?

Wir bewahren Ihre Daten nicht länger auf, als es für die Zwecke, für die wir die Daten erhoben haben, oder für die Zwecke, für die die Daten wiederverwendet werden, und zur Einhaltung von Gesetzen und Vorschriften erforderlich ist.

Aufbewahrungsfristen für ReadID SaaS-Benutzerdaten: Für alle ReadID SaaS-Sitzungen, die personenbezogene Daten enthalten, gilt eine fest programmierte maximale Aufbewahrungsfrist von 50 Tagen. Dem Kunden wird jedoch empfohlen, eine kürzere Aufbewahrungsfrist festzulegen, z. B. nicht mehr als ein paar Tage, und/oder uns sofort nach Erhalt der Sitzungsergebnisse aufzufordern, die Daten zu löschen. Wenn eine ReadID-Sitzung gelöscht wird, wird sie dauerhaft aus der Datenbank entfernt, jedoch nicht aus den Sicherungskopien der Datenbank. Die Aufbewahrungszeit des Backups beträgt maximal 14 Tage und kann auf Kundenwunsch verkürzt werden. Diese Sicherungen sind erforderlich, um sich von einem schwerwiegenden Vorfall erholen zu können.

Für den Fall, dass wir Unterauftragsverarbeiter für die Durchführung biometrischer Gesichtsdaten zur Überprüfung von Ausweisinhabern oder für die optische Verarbeitung von Dokumentenbildern einsetzen, verpflichten wir diese, die erhobenen personenbezogenen Daten nur so lange aufzubewahren, wie dies für den Zweck, für den die Daten erhoben wurden, erforderlich ist. Dies ist auch im Datenverarbeitungsanhang der vertraglichen Vereinbarung mit dem Kunden festgehalten.

Besteht der begründete Verdacht, dass bestimmte Identitätsangaben betrügerisch sind, kann die Aufbewahrungsfrist für einen bestimmten Zeitraum oder bis zum Wegfall der begründeten Verdachtsmomente verlängert werden.

Nicht-personenbezogene Daten, die während der ReadID Ready- und SDK mit SaaS-Sitzungen erhoben werden, werden so lange aufbewahrt, wie es zur Verbesserung unserer Dienste erforderlich ist.

Aufbewahrungsfristen für Daten von Kundenvertretern: Personenbezogene Daten, die im Rahmen des Vertragsabschlusses mit dem Kunden verarbeitet werden, werden für sieben (7) Jahre nach Beendigung des Vertrags archiviert. Personenbezogene Daten von Vertretern, die Zugang zu unserem ReadID-Verwaltungsportal oder damit zusammenhängenden Diensten benötigen, werden von Inverid unverzüglich nach Löschung des Kontos entfernt.

Aufbewahrungsfristen für Besucherdaten: Diese Daten werden in der Regel mit Ihrer Zustimmung erhoben. Wir stellen die Verarbeitung der Daten ein, wenn Sie Ihre Einwilligung widerrufen (z. B. indem Sie sich von unserem Newsletter oder der Hall of Fame abmelden). Die in der Hall of Fame aufgeführten Namen werden nach drei (3) Jahren gelöscht. Bei Bewerbern, die einen Lebenslauf und/oder ein Motivationsschreiben eingereicht haben und nicht eingestellt werden, werden ihre personenbezogenen Daten nach einem (1) Monat gelöscht.

Aufbewahrungsfristen für ReadID Me-Nutzerdaten: Da es sich hierbei um nicht-personenbezogene Daten handelt, bewahren wir sie so lange auf, wie wir sie zur Verbesserung unserer Dienstleistungen benötigen.

Aufbewahrungsfristen für ReadID-Client-Only-Benutzerdaten: Da wir in diesem Zusammenhang keine personenbezogenen Daten verarbeiten, ist eine Aufbewahrung nicht erforderlich. Bitte konsultieren Sie die Datenschutzrichtlinien des Kunden, der die Client-Only-Version von ReadID anbietet.

Im Allgemeinen werden die personenbezogenen Daten dauerhaft gelöscht oder anonymisiert, wenn wir die Daten nicht mehr für die oben beschriebenen Zwecke benötigen. Wenn wir einen legitimen rechtlichen Grund haben, können wir personenbezogene Daten länger als oben beschrieben speichern, z. B. wenn wir gesetzlich verpflichtet sind, Daten nicht zu vernichten.

9. Gibt Inverid Ihre personenbezogenen Daten an andere Parteien und an Länder außerhalb der EU weiter?

Sofern in dieser Datenschutzerklärung nicht anders angegeben oder Ihnen gegenüber nicht gesondert erwähnt, können wir Ihre personenbezogenen Daten an die für die Datenverarbeitung Verantwortlichen, für die wir Daten verarbeiten (z. B. unsere Kunden), und an unsere autorisierten Dienstleister (Unterauftragsverarbeiter) sowie an Personen weitergeben, die gesetzlich berechtigt sind, Ihre personenbezogenen Daten zu erhalten. Inverid setzt auch externe IT-Lieferanten und Cookie-Dienstleister ein. Wir haben sorgfältig geprüft, dass diese externen Parteien die Datenschutzanforderungen einhalten werden.

Übertragung von ReadID SaaS-Benutzerdaten: Inverid nutzt externe Dienstleister (Unterauftragsverarbeiter), um Identitätsdokumente optisch zu verifizieren und um Liveness Detection und Gesichtsvergleiche durchzuführen. Wir geben nur die erforderlichen personenbezogenen Daten weiter, die für diese Anbieter zur Erfüllung ihrer Aufgaben notwendig sind.

Die derzeit autorisierten Unterauftragsverarbeiter, die für den ReadID-Dienst eingesetzt werden, sind unten aufgeführt. Jeder dieser Unterauftragsverarbeiter hat seine eigenen Datenschutzrichtlinien. Der Link zu diesen Richtlinien ist ebenfalls unten aufgeführt.

• Öffentlicher Cloud-Anbieter:
  • Amazon Web Services (AWS), Inc. Wir nutzen verschiedene AWS-Regionen, je nach Standort unserer Kunden. Derzeitige Standorte sind Irland, Frankfurt, London und Sydney. Die allgemeine Datenschutzrichtlinie von AWS finden Sie hier: https://aws.amazon.com/privacy/. Amazon Web Services EMEA SARL ist der autorisierte Vertreter von AWS, Inc. im Europäischen Wirtschaftsraum (EWR). In diesem Zusammenhang sind die Anhänge zur Datenverarbeitung von AWS zu beachten: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf und https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf
  • Open Telekom Cloud, T-Systems International GmbH, für den Datenverarbeitungszusatz siehe https://open-telekom-cloud.com/_Resources/Persistent/d/8/0/d/d80d17f63186334ba36afcc6924a0e2b4575f3ef/open-telekom-cloud-supplementary-conditions-commissioned-processing-personal-data.pdf.
  • Microsoft Azure, als Cold Standby für Kontinuitätszwecke. Wir haben einen Vertrag mit Microsoft Ireland Operations Limited für das Hosting von ReadID-Servern in Irland als Hauptstandort. Für einen Kunden, der seinen Sitz im EWR hat, findet die Verarbeitung personenbezogener Daten immer auch im EWR statt. Die Datenschutzrichtlinie von Azure finden Sie hier: https://azure.microsoft.com/en-us/explore/trusted-cloud/privacy#:~:text=We%20do%20not%20share%20your,the%20services%20you%20have%20chosen. Der neueste Anhang zur Datenverarbeitung ist hier zu finden: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
• Anbieter der biometrischen Überprüfung:
  • iProov Ltd, iproov.com, Datenschutzrichtlinie siehe https://www.iproov.com/biometric-data-retention-schedule.
• Anbieter der optischen Verifizierung:
  • Veriff ÖU, http://www.veriff.com , Datenschutzbestimmungen siehe https://www.veriff.com/privacy-notice.
  • Onfido Ltd, onfido.com, Datenschutzbestimmungen siehe https://onfido.com/privacy/.

Bitte beachten Sie, dass diese Unterauftragsverarbeiter auch selbst auf Unterauftragsverarbeiter zurückgreifen können.

Inverid gibt Ihre personenbezogenen Daten nur dann an externe Parteien weiter, wenn dies nach geltendem Recht zum Schutz der Privatsphäre und des Datenschutzes zulässig ist. Inverid kann personenbezogene Daten an externe Parteien weitergeben, weil:

• es notwendig ist, um den Vertrag mit Ihnen zu erfüllen;
• Sie haben dem zugestimmt;
• Inverid ein berechtigtes Interesse hat;
• Inverid gesetzlich dazu verpflichtet ist.

Alle unsere Daten werden im Europäischen Wirtschaftsraum (EWR) gehostet und verarbeitet, mit Ausnahme der personenbezogenen Daten, die wir für ReadID-Kunden verarbeiten, die außerhalb des EWR ansässig sind oder für die wir eine optische oder biometrische Überprüfung durch Unterauftragsverarbeiter durchführen müssen. In letzterem Fall erfolgt die Verarbeitung im Vereinigten Königreich. Personenbezogene Daten können auf der Grundlage eines Beschlusses der Europäischen Kommission über die Angemessenheit des Datenschutzes rechtmäßig in das Vereinigte Königreich übermittelt werden. Zur weiteren Begründung der Verarbeitung Ihrer personenbezogenen Daten in diesem Zusammenhang verweisen wir auf die Datenschutzrichtlinie des Kunden.

Übermittlung der Daten von Kundenvertretern: Die personenbezogenen Daten von Kundenvertretern können an unsere Werbe- und Marketingpartner, Unternehmen, die Zufriedenheitsumfragen durchführen, Inkassobüros, Kreditregister, Behörden und Organisationen, die (elektronische) Post-, Compliance- oder Zahlungsdienste vermitteln oder bereitstellen, und dergleichen weitergegeben werden. Personenbezogene Daten, die für den Zugriff auf ReadID-Sitzungsdaten erforderlich sind, können an die oben genannten Public-Cloud-Anbieter weitergegeben werden.

Übermittlung von Besucherdaten: Besucherdaten können an externe IT-Lieferanten und Cookie-Service-Provider übertragen werden. Wir haben sorgfältig geprüft, dass diese externen Parteien die Datenschutzanforderungen einhalten werden.

Übermittlung von ReadID Me-Nutzerdaten: Personenbezogene Daten werden in diesem Zusammenhang von Inverid nicht verarbeitet. Lediglich Metadaten werden zur Weiterverarbeitung an die oben genannten Public Cloud-Anbieter übertragen.

Übertragung von ReadID-Client-Only-Daten: Eine Übertragungsrichtlinie ist nicht erforderlich, da wir in diesem Zusammenhang keine personenbezogenen Daten verarbeiten. Bitte konsultieren Sie die Datenschutzrichtlinie des Kunden, der die Client-Only-Version von ReadID anbietet.

10. Sind meine Daten sicher?

Inverid hat die notwendigen organisatorischen, technischen und vertraglichen Sicherheitsmaßnahmen ergriffen, um Ihre personenbezogenen Daten vor versehentlichem Verlust, unbefugtem Zugriff, Änderung oder Offenlegung zu schützen. Beispiele für organisatorische Kontrollen sind: Sicherheitsrichtlinien für die Verarbeitung von Daten, unsere Sicherheitszertifizierungen und unser Verhaltenskodex. Zu den technischen Kontrollen gehören die Verschlüsselung personenbezogener Daten im Ruhezustand und bei der Übertragung sowie Zugangskontrollen einschließlich einer starken Authentifizierung. Diese Kontrollen werden vertraglich festgelegt. Teil unseres Vertrags mit dem Kunden ist ein Datenverarbeitungsanhang, dessen Zweck es ist, ReadID-Benutzer und Kundenvertreter zu schützen, indem klare Erwartungen hinsichtlich des Umgangs mit ihren personenbezogenen Daten formuliert werden.

Wir haben Verfahren für den Umgang mit mutmaßlichen Verstößen gegen den Schutz personenbezogener Daten eingerichtet und werden unseren Kunden, die zuständigen Datenschutzbehörden und sogar Sie direkt über einen Verstoß informieren, sofern wir gesetzlich dazu verpflichtet sind.

Innerhalb von Inverid haben Personen nur dann Zugang zu Ihren personenbezogenen Daten, wenn dies für ihre Tätigkeit erforderlich ist. Alle diese Personen sind ebenfalls zur Vertraulichkeit verpflichtet und werden regelmäßig überprüft.

Wir verfügen über ein zertifiziertes Managementsystem für Informationssicherheit (ISO27001:2022) und Datenschutz (ISO27701:2019). Im Rahmen unserer Zertifizierung werden unsere Sicherheitsmaßnahmen zum Schutz Ihrer personenbezogenen Daten jährlich von einem unabhängigen externen Prüfer bewertet. Alle unsere Unterauftragsverarbeiter sind ebenfalls mindestens ISO27001-zertifiziert.

11. Welche Rechte haben Sie?

Sie haben das Recht auf:

• Informationen über die von uns verarbeiteten personenbezogenen Daten zu verlangen und darüber, was wir mit den personenbezogenen Daten tun;
• Zugang zu Ihren personenbezogenen Daten zu verlangen;
• die Berichtigung Ihrer personenbezogenen Daten zu verlangen;
• die Löschung Ihrer personenbezogenen Daten zu verlangen;
• die Übermittlung Ihrer personenbezogenen Daten zu verlangen (sofern technisch und/oder rechtlich möglich);
• Widerspruch gegen eine bestimmte Verarbeitung personenbezogener Daten einlegen;
• Ihre Zustimmung zu widerrufen.

Um diese Rechte auszuüben, senden Sie bitte eine E-Mail an dpo@inverid.com.

Bitte beachten Sie, dass Sie, wenn sich Ihr Antrag auf Daten bezieht, die wir als Auftragsverarbeiter (d. h. im Rahmen der Erbringung unserer Dienstleistung) verarbeitet haben, Ihren Antrag an den Kunden richten müssen, der für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich ist. Wir werden Sie hierüber informieren.

Wenn Sie von Ihren Rechten Gebrauch machen, müssen wir unter Umständen bestimmte Informationen von Ihnen anfordern, um Ihre Identität zu bestätigen und Ihr Recht auf Zugang zu den betreffenden personenbezogenen Daten (oder auf die Ausübung anderer gesetzlicher Rechte) zu gewährleisten. Dies ist eine Sicherheitsmaßnahme, die wir ergreifen, um zu verhindern, dass Ihre personenbezogenen Daten an eine Person weitergegeben werden, die kein Recht hat, sie zu erhalten.

Wir können uns auch mit Ihnen in Verbindung setzen, um Sie um weitere Informationen zu Ihrer Anfrage zu bitten, um unsere Antwort zu beschleunigen.

Wir bemühen uns, auf alle berechtigten Anfragen innerhalb eines Monats zu antworten. Gelegentlich kann es länger als einen Monat dauern, wenn Ihre Anfrage besonders komplex ist oder Sie mehrere Anfragen gestellt haben. In diesem Fall werden wir Sie benachrichtigen und Sie auf dem Laufenden halten.

12. Wann kontaktieren Sie unseren Datenschutzbeauftragten (DSB)?

Inverid hat einen Datenschutzbeauftragten ernannt. Der DSB überwacht die Anwendung und Einhaltung von Datenschutzgesetzen wie der Allgemeinen Datenschutzverordnung (DSGVO). Wenn Sie mit der Art und Weise, wie eine Frage oder Beschwerde behandelt wurde, nicht zufrieden sind, können Sie sich über dpo@inverid.com an den DSB wenden. Darüber hinaus können Sie eine Frage stellen oder eine Beschwerde bei der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) einreichen. Beachten Sie, dass Inverid in den meisten Fällen als Verarbeiter personenbezogener Daten für seine Kunden, d. h. die für die Verarbeitung Verantwortlichen, fungiert. Wir können Sie an den für die Verarbeitung Ihrer personenbezogenen Daten verantwortlichen Controller weiterleiten.

13. Können wir diese Datenschutzrichtlinie ändern?

Ja, unsere Datenschutzrichtlinie kann sich von Zeit zu Zeit ändern. Die aktuellste Version unserer Datenschutzrichtlinie finden Sie immer unter: inverid.com/privacy und den zugehörigen Webseiten.

Die aktuelle Richtlinie wurde am 18.10.2024 aktualisiert und fasst die früheren drei separaten Datenschutzrichtlinien für unsere Inverid-Website und die verschiedenen ReadID-Produkte in einer einzigen Richtlinie zusammen.