Inverid is ETSI 119 461 Certified
Using our App? Go here
aktualisiert am 18-10-2024

Datenschutzbestimmungen

1. Einleitung

In dieser Datenschutzerklärung erläutern wir, wie und auf welcher Grundlage Inverid personenbezogene Daten von betroffenen Personen, d. h. von Vertretern unserer Kunden, Nutzern unserer Dienstleistungen, Bewerbern und Besuchern (siehe Definitionen unten), erfasst, speichert und verarbeitet. Wir erklären auch, welche Rechte die betroffenen Personen haben und welche Verpflichtungen und Haftungen wir haben. Mit Beispielen machen wir diese Informationen leichter verständlich.

Das Kerngeschäft von Inverid ist die Bereitstellung der ReadID-Identitätsprüfungstechnologie, die auf Chips in staatlich ausgestellten Ausweisdokumenten basiert. ReadID wird in den meisten Fällen als Cloud-Service (Software-as-a-Service oder SaaS) angeboten, bei dem wir die personenbezogenen Daten der Nutzer im Auftrag unserer Kunden verarbeiten. In diesem Fall sind unsere Kunden die für die Verarbeitung Verantwortlichen, die den Zweck der Verarbeitung der personenbezogenen Daten der Nutzer bestimmen, und dementsprechend ist Inverid ein Verarbeiter von Nutzerdaten in Bezug auf diese Dienste. Um vollständig zu verstehen, wie personenbezogene Daten verarbeitet werden, sollten die betroffenen Personen auch die Datenschutzrichtlinien unserer Kunden lesen, für deren Dienste sie sich tatsächlich verifizieren lassen.

Wir bieten ReadID nicht nur als Cloud-Dienst an, sondern haben auch eine so genannte Client-only-Version, bei der die Verifizierung des Chips ausschließlich im Telefon des Nutzers erfolgt und daher keine Verarbeitung personenbezogener Daten durch Inverid auf seinen Servern stattfindet. Unsere öffentlich zugängliche App ReadID Me nutzt beispielsweise die Client-Only-Version von ReadID.

In anderen Fällen ist Inverid der für die Verarbeitung personenbezogener Daten Verantwortliche, z. B. in Bezug auf Besucher unserer Website und Vertreter von Kunden, die um Unterstützung bitten. Wir können auch bestimmte anonymisierte Informationen von ReadID-Benutzern für die Entwicklung und Verbesserung unserer Dienste und für andere Formen und Zwecke verarbeiten.

Selbstverständlich behandeln wir die Daten in allen Fällen mit Sorgfalt.

2. Begriffsbestimmungen

Hier finden Sie die Bedeutung der wichtigsten Begriffe in dieser Datenschutzrichtlinie, damit Sie verstehen, wie und wozu wir Ihre personenbezogenen Daten verarbeiten.

Verantwortlicher für die Datenverarbeitung: eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und Inverid Anweisungen für die Verarbeitungstätigkeit erteilt, es sei denn, Inverid handelt als Verantwortlicher für die Datenverarbeitung.

Datenverarbeiter: Inverid verarbeitet personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen, es sei denn, Inverid fungiert als für die Verarbeitung Verantwortlicher. Inverid kann Unterauftragsverarbeiter einsetzen, die unter der Aufsicht des für die Verarbeitung Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten.

Betroffene Person / Sie: eine natürliche Person, über die wir Informationen oder Daten haben, die die Identifizierung der natürlichen Person ermöglichen. Zu den betroffenen Personen gehören die Vertreter unserer Kunden, Benutzer, die unsere Identitätsprüfungsdienste in Anspruch nehmen, Besucher unserer Website, Stellenbewerber und andere natürliche Personen, deren personenbezogene Daten wir verarbeiten können.

Kunde: die juristische Person, für die wir unsere Dienstleistungen im Rahmen einer vertraglichen Vereinbarung erbringen.

Personenbezogene Daten: Informationen, die Sie direkt oder indirekt als Person identifizieren (d. h. die betroffene Person), wie z. B. Ihr Name und Ihre Adresse, Ihre E-Mail-Adresse oder Ihre Telefonnummer. Informationen über eine juristische Person sind keine personenbezogenen Daten, Informationen über eine Kontaktperson oder einen Vertreter einer juristischen Person hingegen schon.

Verarbeitung: jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie z. B. deren Erhebung, Speicherung, Verwendung, Bereitstellung, Übermittlung und Löschung.

ReadID-SaaS-Nutzer: eine natürliche Person, für die wir auf Wunsch des Kunden den ReadID-Dienst bereitstellen. Dies kann über die gebrauchsfertige ReadID Ready-App von Inverid oder über das ReadID SaaS Software Development Kit (SDK) erfolgen, das der Kunde in seine eigene mobile Anwendung integrieren kann. Sowohl die Ready-App als auch das SDK kommunizieren mit einem SaaS-Server, der von einem öffentlichen Cloud-Anbieter zur Verfügung gestellt wird und die eigentliche Datenverarbeitung und -überprüfung übernimmt.

ReadID Me-Nutzer: eine natürliche Person, die unsere persönliche und auf den Kunden beschränkte ReadID Me-Anwendung nutzt.

ReadID-Client-Only-Nutzer: ein Nutzer der Client-Only-Version von ReadID, die von einem Kunden bereitgestellt wird.

Vertreter des Kunden: eine natürliche Person, die vor dem Abschluss der vertraglichen Vereinbarung und im Rahmen der Vereinbarung als Vertreter eines Kunden mit Inverid interagiert.

Besucher: jede Person, die ein Interesse an Inverid oder an unseren ReadID-Produkten und -Dienstleistungen zeigt, z. B. Besucher unserer Website, Leser unseres Newsletters, Teilnehmer unserer Webinare, Entdecker von Schwachstellen in unseren Systemen oder potenzielle neue Mitarbeiter.

3. Wessen personenbezogene Daten werden von Inverid verarbeitet?

Inverid verarbeitet die personenbezogenen Daten von:

  • ReadID SaaS-Benutzern, als Auftragsverarbeiter für unsere Kunden, d. h. die für die Datenverarbeitung Verantwortlichen.
  • Vertretern von Kunden, als für die Verarbeitung Verantwortlicher.
  • Besucher, als für die Datenverarbeitung Verantwortlicher.

Wir verarbeiten keine personenbezogenen Daten von ReadID Me-Nutzern, da alle personenbezogenen Daten auf dem Mobiltelefon verbleiben, auf dem die ReadID Me-Anwendung läuft. Das Gleiche gilt für Kunden, die die Nur-Client-Version von ReadID nutzen, da Inverid keine personenbezogenen Daten erhält. In diesen Fällen trägt der Kunde die volle Verantwortung für den Schutz der verarbeiteten personenbezogenen Daten. Aus Gründen der Transparenz haben wir jedoch die reine Client-Nutzung von ReadID in die Datenschutzrichtlinie aufgenommen.

4. Wer ist für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich?

Diese Datenschutzrichtlinie gilt für die Verarbeitung personenbezogener Daten durch Inverid B.V. (Niederlande), Inverid Software B.V. (Niederlande) und Inverid Ltd (Großbritannien). Abgesehen von den ReadID SaaS-Daten können personenbezogene Daten zwischen diesen juristischen Personen ausgetauscht werden, soweit dies gesetzlich zulässig ist.

Für die ReadID SaaS-Dienste verarbeitet Inverid personenbezogene Daten im Auftrag eines Kunden. In diesem Fall ist der Kunde der Datenverantwortliche und Inverid der Datenverarbeiter.

5. Welche personenbezogenen Daten werden von Inverid verarbeitet?

Wir verarbeiten personenbezogene Daten über ReadID SaaS-Nutzer: Inverid bietet seinen Kunden Dienste zur Identitätsüberprüfung an. Das bedeutet, dass wir Ihre Identität verifizieren. Dazu haben Sie (d. h. der ReadID-SaaS-Benutzer) der Datenverarbeitung gemäß der Datenschutzrichtlinie des Kunden und der anschließenden Datenverarbeitung durch uns in Übereinstimmung mit dieser Datenschutzrichtlinie zugestimmt. Wir können die folgenden personenbezogenen Daten erfassen und verarbeiten:

  • Personenbezogene Daten, die im Chip eines vom Nutzer vorgelegten unterstützten Identitätsdokuments enthalten sind, z.B. Reisepass, Personalausweis oder Führerschein.
  • Personenbezogene Daten, die sich auf der Inhaberseite (Vorder- und Rückseite) des vorgelegten Ausweises befinden.
  • Ein biometrischer Scan des Gesichts (um zu überprüfen, ob der Nutzer die richtige Person ist, indem er es mit dem Gesichtsbild aus dem Ausweisdokument vergleicht).
  • IP-Adresse des Nutzers.

Dieser Datensatz oder ein Teil davon wird zusammen mit nicht-personenbezogenen Daten, wie z. B. den Ergebnissen der verschiedenen von uns durchgeführten Überprüfungen, in Übereinstimmung mit einer Datenverarbeitungsvereinbarung an den Kunden weitergegeben.

Um die Leistung von ReadID SaaS zu verbessern, müssen wir anonyme Nutzungsdaten sammeln, um beispielsweise Probleme mit Ausweisdokumenten aus bestimmten Ländern zu erkennen. Diese Nutzungsinformationen enthalten keine personenbezogenen Daten. Darüber hinaus kann Inverid die Nutzungsinformationen weder direkt noch indirekt mit einer bestimmten Person in Verbindung bringen. Die Nutzungsinformationen werden nur zur Verbesserung der Qualität von ReadID und nicht für andere Zwecke verwendet. Inverid bewahrt die Informationen nur so lange auf, wie es zur Erfüllung des angegebenen Zwecks erforderlich ist.

Im Einzelnen sammelt Inverid die folgenden Nutzungsdaten über das ReadID SaaS SDK:

  • Telefondetails, einschließlich Telefontyp, Android-Version, iOS-Version, Speichergröße. Wir sammeln keine Informationen, die für ein bestimmtes Telefon einzigartig sind.
  • Welche Art von Ausweisdokument wurde gescannt und gelesen, ob der Scan erfolgreich war oder nicht, der Chip wurde erfolgreich gelesen, welches Land hat das Ausweisdokument ausgestellt, das auf dem Chip gespeicherte Zertifikat zur Unterzeichnung des Dokuments und das Ablaufdatum. Wir erfassen das Ablaufdatum, da es uns ermöglicht, die Version des gescannten Ausweises zu bestimmen.
  • Informationen zur Benutzerfreundlichkeit: wie lange die verschiedenen Schritte dauern, wenn ein Benutzer alle Schritte durchlaufen hat, und die Nutzungshäufigkeit.

Inverid verwendet Server unter eigener Kontrolle, und die spezifischen Nutzungsanalysedaten werden von einer dritten Partei gehostet.

Personenbezogene Daten, die wir über Vertreter von Kunden verarbeiten: Um einen Vertrag mit Inverid zu schließen, unsere Dienstleistung zu erbringen, mit dem Vertreter unseres Kunden zu kommunizieren und aus anderen rechtmäßigen Gründen müssen wir die Daten der Vertreter des Kunden verarbeiten. Dies bedeutet, dass wir unter anderem die folgenden personenbezogenen Daten von Vertretern des Kunden verarbeiten können:

  • personenbezogene Daten des Vertreters des Kunden, wie Name, Berufsbezeichnung, Position und Kontaktinformationen;
  • personenbezogene Daten im Zusammenhang mit der Bereitstellung des Dienstes, wie z. B. die Anmeldedaten des Vertreters für das ReadID-Verwaltungsportal, einschließlich Benutzername, E-Mail-Adresse und Mobiltelefonnummer.

Persönliche Daten, die wir über Besucher verarbeiten: Wir können Daten erfassen, wenn Sie beispielsweise unsere Website besuchen (z. B. durch die Verwendung von Cookies), unseren Newsletter erhalten (z. B. bei der Anmeldung), an einem Inverid-Webinar teilnehmen (z. B. bei der Anmeldung) und/oder sich um eine Stelle bei Inverid bewerben. Bei diesen personenbezogenen Daten kann es sich unter anderem um die folgenden Informationen handeln:

  • personenbezogene Daten, wie IP-Adresse, Uhrzeit und Standort;
  • Informationen über die Nutzung der Website, z. B. die von Ihnen besuchten Seiten, das Datum und die Uhrzeit Ihres Besuchs, die von Ihnen heruntergeladenen Dateien und die URLs der Websites, die Sie vor und nach der Navigation auf der Website besuchen;
  • E-Mail-Adressen, wenn Sie die Newsletter von Inverid abonnieren, Inhalte von Inverid herunterladen oder sich für ein Webinar von Inverid anmelden;
  • Name und E-Mail-Adresse, wenn Sie sich mit Inverid in Verbindung setzen, um ein Problem zu melden, das in unserer koordinierten Richtlinie zur Offenlegung von Sicherheitslücken erwähnt wird. Wenn Sie zustimmen, können wir auch Ihren Namen in unserer Hall of Fame veröffentlichen.
  • Lebenslauf und Motivationsschreiben für Stellenbewerber.

Personenbezogene Daten, die wir über ReadID Me-Nutzer verarbeiten: Inverid bietet die ReadID Me-Anwendung über den Play Store und den App Store an. ReadID Me ist für Ihren persönlichen Gebrauch bestimmt und öffentlich und kostenlos verfügbar. Wir stellen diese Anwendung zur Verfügung, damit die Nutzer sehen können, was sich im Chip ihres Ausweises befindet. Darüber hinaus helfen uns die Analysen und Rückmeldungen, die wir erhalten, die zugrunde liegende ReadID-Software zu verbessern. Die ReadID Me-App läuft ausschließlich auf Client-Basis. Das bedeutet, dass die App die Daten zum Zugriff auf den Chip und die daraus ausgelesenen personenbezogenen Daten lokal auf dem Smartphone des ReadID Me-Nutzers verarbeitet und nicht mit Inverid teilt, d.h. die App sendet keine personenbezogenen Daten an einen Server zur Verarbeitung durch Inverid. Außerdem werden die verarbeiteten personenbezogenen Daten nicht auf dem Smartphone gespeichert. Inverid sammelt also keine personenbezogenen Daten. Wir wissen und wollen nicht wissen, wer die ReadID Me-Nutzer sind und wessen Ausweisdokumente gescannt werden.

Ähnlich wie bei ReadID SaaS werden auch bei ReadID Me anonyme Nutzungsdaten gesammelt, die von Inverid zur Verbesserung unserer ReadID-Dienste verwendet werden (siehe Abschnitt oben für ReadID SaaS-Nutzer).

Persönliche Daten, die wir über ReadID-Client-Only-Nutzer verarbeiten: In diesem Fall verarbeitet Inverid keine personenbezogenen Daten über den Benutzer. Der Kunde kann personenbezogene Daten verarbeiten und ist für den Schutz der verarbeiteten personenbezogenen Daten voll verantwortlich. Darüber hinaus erhebt Inverid auch keine anonymisierten Nutzungsdaten.

6. Wie kommt Inverid an Ihre personenbezogenen Daten?

Wie wir die persönlichen Daten eines ReadID SaaS-Benutzers erhalten: Wir erhalten Ihre personenbezogenen Daten durch eine Identitätsprüfung, die wir für einen von Ihnen genutzten Kundenservice durchführen. Der Kunde hat uns vertraglich ermächtigt, Ihre Daten in seinem Namen im Rahmen eines bestimmten Dienstes zu verarbeiten.

Wie wir personenbezogene Daten von einem Kundenvertreter erhalten: Wir erheben diese Daten entweder direkt von Ihnen, wenn Sie direkt mit uns kommunizieren, z. B. indem Sie uns eine E-Mail schicken, uns Ihre persönlichen Daten am Telefon oder über unsere Kundensupport-Tools mitteilen. Wir können auch einige Ihrer persönlichen Daten während der Erbringung unserer Dienstleistung für Ihren Arbeitgeber erfassen. Wir überprüfen auch Informationen über den Kunden (einschließlich relevanter Vertreter des Kunden) aus öffentlich zugänglichen Quellen. Wir erheben nur relevante und notwendige Daten, um die Vertretungsberechtigung zu prüfen, z. B. die Überprüfung Ihrer Identität, die Verarbeitung Ihrer personenbezogenen Daten für den Betrieb unseres Dienstes usw.

Wie wir persönliche Daten über Besucher erhalten: Wenn Sie unsere Website besuchen, verwenden wir Cookies, um Informationen zu sammeln. Der Zweck dieser Cookies besteht darin, die Benutzererfahrung bei Ihrem Besuch auf unserer Website zu verbessern und Inverid Informationen zu liefern, die für zukünftige Optimierungen genutzt werden können. Die Cookies stammen von HubSpot, HotJar, YouTube und DoubleClick.

Unsere Website verwendet verschiedene Arten von Cookies:

  • Streng notwendige Cookies - Diese Cookies sind für das ordnungsgemäße Funktionieren der Website erforderlich und können nicht deaktiviert werden.
  • Einstellungs-Cookies - Diese Cookies ermöglichen es der Website, Informationen zu speichern, die das Verhalten und das Design der Website beeinflussen.
  • Analytische Cookies - Diese Cookies helfen uns zu verstehen, wie Besucher mit unserer Website interagieren, indem sie Informationen anonym sammeln und melden.
  • Targeting-Cookies - Diese Cookies werden für Targeting-Zwecke verwendet. Sie können verwendet werden, um ein Interessenprofil der Website-Besucher zu erstellen, so dass relevante Werbung angezeigt werden kann. Sie speichern keine direkt identifizierbaren persönlichen Informationen.

Sie können die zuvor gespeicherten Cookie-Einstellungen/Präferenzen über die Schaltfläche "Cookie-Einstellungen" auf unserer Website ändern.

Außerdem können Sie jederzeit alle derzeit im Internetbrowser Ihres Geräts gespeicherten Cookies löschen.

Bei Bewerbern nutzen wir die HomeRun-Einstellungsplattform für die Verarbeitung von Bewerbungsformularen und damit verbundenen personenbezogenen Daten. Weitere Einzelheiten entnehmen Sie bitte der HomeRun-Datenschutzerklärung.

Für unseren Newsletter, das Herunterladen von Inhalten, die Teilnahme an Webinaren oder die Bewerbung auf eine Stelle bei Inverid stellen Sie Ihre personenbezogenen Daten selbst zur Verfügung.

Wie wir persönliche Daten von ReadID Me-Nutzern erhalten: Personenbezogene Daten werden nicht über die Nutzung unserer ReadID Me-App erhoben. Diese App ist nur für den persönlichen Gebrauch bestimmt. Während der Nutzung der App werden nicht-personenbezogene Metadaten (siehe oben) erfasst.

Wie wir persönliche Daten von ReadID-Client-Only-Nutzern erhalten: In diesem Fall erhält Inverid keine persönlichen oder sonstigen Daten von der App.

7. Warum und aus welchen Gründen verarbeitet Inverid personenbezogene Daten?

Wir dürfen Ihre personenbezogenen Daten nur verarbeiten, wenn es dafür eine sogenannte "rechtmäßige Grundlage" gibt.

Gründe für die Verarbeitung personenbezogener Daten eines ReadID SaaS-Nutzers: Wir verarbeiten Ihre personenbezogenen Daten als Auftragsverarbeiter zugunsten des Kunden, um den Vertrag, den wir mit dem Kunden haben, zu erfüllen. Die rechtmäßige Grundlage für die Verarbeitung der Daten ergibt sich somit aus dem Kunden und der Dienstleistung, die er für Sie erbringt. Bitte konsultieren Sie zu diesem Zweck auch die Datenschutzrichtlinie oder -erklärung des Kunden. Es kann auch ein berechtigtes Interesse an der Verarbeitung bestehen, um den bestmöglichen Dienst auf dem Markt anbieten zu können. Dazu gehören Fehlerbehebung, Datenanalyse, Tests, Betrugsprävention und -aufdeckung, Systemwartung, Support, Berichterstattung und Hosting von Daten.

Gründe für die Verarbeitung der personenbezogenen Daten von Kundenvertretern: Wir verarbeiten Ihre personenbezogenen Daten hauptsächlich zur Begründung und Durchführung des Vertragsverhältnisses mit unserem Kunden, d. h. Ihrem Arbeitgeber. Es kann auch ein berechtigtes Interesse daran bestehen, ein vertrauensvolles Verhältnis zu den Kunden zu gewährleisten. Zum Beispiel die Verarbeitung personenbezogener Daten, die unbedingt erforderlich ist, um die Endbegünstigten zu ermitteln, um z. B. Betrug zu verhindern. Oder zur Durchführung von Produkt- und Marktforschung zum Zwecke der Qualitätssicherung, Produktverbesserung, Entwicklung und Beurteilung der Markttauglichkeit. Dies kann die Kontaktaufnahme mit bestehenden und potenziellen neuen Kundenvertretern und deren Kommunikation, Interviews, die Aufzeichnung dieser Kommunikation für einen begrenzten Zeitraum usw. umfassen.

Gründe für die Verarbeitung der personenbezogenen Daten eines Besuchers: Die Verarbeitung von Besucherdaten erfolgt in der Regel auf der Grundlage einer von Ihnen erteilten Einwilligung. Die Einwilligung kann für die Cookies eingeholt werden, die wir auf unserer Website verwenden, oder wenn Sie sich durch Angabe Ihrer E-Mail-Adresse für unseren kostenlosen Newsletter anmelden. Falls wir uns für die Verarbeitung Ihrer Daten auf Ihre Zustimmung stützen, haben Sie das Recht, Ihre Zustimmung jederzeit zu widerrufen. Bitte beachten Sie, dass jede Verarbeitung, die Inverid vor dem Widerruf Ihrer Einwilligung durchgeführt hat, weiterhin rechtmäßig ist. Wenn Sie Ihre Einwilligung widerrufen, können wir Ihnen möglicherweise bestimmte Produkte oder Dienstleistungen nicht mehr anbieten. Wir werden Sie darauf hinweisen, wenn dies der Fall ist, wenn Sie Ihre Einwilligung widerrufen. Wenn Sie sich um eine Stelle bewerben, haben wir ein berechtigtes Interesse an der Verarbeitung Ihrer Daten.

Gründe für die Verarbeitung der Daten von ReadID Me-Nutzern: Inverid verarbeitet im Rahmen von ReadID Me keine personenbezogenen Daten, daher ist keine Rechtsgrundlage erforderlich. Es werden lediglich nicht-personenbezogene Daten verarbeitet, um unser Produkt ReadID zur Identitätsüberprüfung zu verbessern.

Gründe für die Verarbeitung von Daten von ReadID-Client-Only-Nutzern: Inverid ist nicht als Verarbeiter oder Verantwortlicher an der Verarbeitung personenbezogener Daten beteiligt. Der Kunde ist in diesem Fall der für die Verarbeitung der personenbezogenen Daten Verantwortliche und hat seine eigenen Gründe für die Verarbeitung dieser Daten.

Neben diesen Gründen kann es auch rechtliche Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten im Allgemeinen geben. Inverid verarbeitet personenbezogene Daten in Erfüllung gesetzlicher Verpflichtungen wie steuerlicher Verpflichtungen, gerichtlicher Anordnungen oder polizeilicher Ermittlungen.

Wenn personenbezogene Daten für einen neuen Zweck verarbeitet werden, der sich von dem unterscheidet, für den sie ursprünglich erhoben wurden, oder wenn die Verarbeitung nicht auf der Einwilligung der betroffenen Person, d. h. Ihnen, beruht, prüfen wir sorgfältig die Zulässigkeit dieser neuen Verarbeitung.

8. Wie lange speichert Inverid Ihre personenbezogenen Daten?

Wir bewahren Ihre Daten nicht länger auf, als es für die Zwecke, für die wir die Daten erhoben haben, oder für die Zwecke, für die die Daten wiederverwendet werden, und zur Einhaltung von Gesetzen und Vorschriften erforderlich ist.

Aufbewahrungsfristen für ReadID SaaS-Benutzerdaten: Für alle ReadID SaaS-Sitzungen, die personenbezogene Daten enthalten, gilt eine fest programmierte maximale Aufbewahrungsfrist von 50 Tagen. Dem Kunden wird jedoch empfohlen, eine kürzere Aufbewahrungsfrist festzulegen, z. B. nicht mehr als ein paar Tage, und/oder uns sofort nach Erhalt der Sitzungsergebnisse aufzufordern, die Daten zu löschen. Wenn eine ReadID-Sitzung gelöscht wird, wird sie dauerhaft aus der Datenbank entfernt, jedoch nicht aus den Sicherungskopien der Datenbank. Die Aufbewahrungszeit des Backups beträgt maximal 14 Tage und kann auf Kundenwunsch verkürzt werden. Diese Sicherungen sind erforderlich, um sich von einem schwerwiegenden Vorfall erholen zu können.

Für den Fall, dass wir Unterauftragsverarbeiter für die Durchführung biometrischer Gesichtsdaten zur Überprüfung von Ausweisinhabern oder für die optische Verarbeitung von Dokumentenbildern einsetzen, verpflichten wir diese, die erhobenen personenbezogenen Daten nur so lange aufzubewahren, wie dies für den Zweck, für den die Daten erhoben wurden, erforderlich ist. Dies ist auch im Datenverarbeitungsanhang der vertraglichen Vereinbarung mit dem Kunden festgehalten.

Besteht der begründete Verdacht, dass bestimmte Identitätsangaben betrügerisch sind, kann die Aufbewahrungsfrist für einen bestimmten Zeitraum oder bis zum Wegfall der begründeten Verdachtsmomente verlängert werden.

Nicht-personenbezogene Daten, die während der ReadID Ready- und SDK mit SaaS-Sitzungen erhoben werden, werden so lange aufbewahrt, wie es zur Verbesserung unserer Dienste erforderlich ist.

Aufbewahrungsfristen für Daten von Kundenvertretern: Personenbezogene Daten, die im Rahmen des Vertragsabschlusses mit dem Kunden verarbeitet werden, werden für sieben (7) Jahre nach Beendigung des Vertrags archiviert. Personenbezogene Daten von Vertretern, die Zugang zu unserem ReadID-Verwaltungsportal oder damit zusammenhängenden Diensten benötigen, werden von Inverid unverzüglich nach Löschung des Kontos entfernt.

Aufbewahrungsfristen für Besucherdaten: Diese Daten werden in der Regel mit Ihrer Zustimmung erhoben. Wir stellen die Verarbeitung der Daten ein, wenn Sie Ihre Einwilligung widerrufen (z. B. indem Sie sich von unserem Newsletter oder der Hall of Fame abmelden). Die in der Hall of Fame aufgeführten Namen werden nach drei (3) Jahren gelöscht. Bei Bewerbern, die einen Lebenslauf und/oder ein Motivationsschreiben eingereicht haben und nicht eingestellt werden, werden ihre personenbezogenen Daten nach einem (1) Monat gelöscht.

Aufbewahrungsfristen für ReadID Me-Nutzerdaten: Da es sich hierbei um nicht-personenbezogene Daten handelt, bewahren wir sie so lange auf, wie wir sie zur Verbesserung unserer Dienstleistungen benötigen.

Aufbewahrungsfristen für ReadID-Client-Only-Benutzerdaten: Da wir in diesem Zusammenhang keine personenbezogenen Daten verarbeiten, ist eine Aufbewahrung nicht erforderlich. Bitte konsultieren Sie die Datenschutzrichtlinien des Kunden, der die Client-Only-Version von ReadID anbietet.

Im Allgemeinen werden die personenbezogenen Daten dauerhaft gelöscht oder anonymisiert, wenn wir die Daten nicht mehr für die oben beschriebenen Zwecke benötigen. Wenn wir einen legitimen rechtlichen Grund haben, können wir personenbezogene Daten länger als oben beschrieben speichern, z. B. wenn wir gesetzlich verpflichtet sind, Daten nicht zu vernichten.

9. Gibt Inverid Ihre personenbezogenen Daten an andere Parteien und an Länder außerhalb der EU weiter?

Sofern in dieser Datenschutzerklärung nicht anders angegeben oder Ihnen gegenüber nicht gesondert erwähnt, können wir Ihre personenbezogenen Daten an die für die Datenverarbeitung Verantwortlichen, für die wir Daten verarbeiten (z. B. unsere Kunden), und an unsere autorisierten Dienstleister (Unterauftragsverarbeiter) sowie an Personen weitergeben, die gesetzlich berechtigt sind, Ihre personenbezogenen Daten zu erhalten. Inverid setzt auch externe IT-Lieferanten und Cookie-Dienstleister ein. Wir haben sorgfältig geprüft, dass diese externen Parteien die Datenschutzanforderungen einhalten werden.

Übertragung von ReadID SaaS-Benutzerdaten: Inverid nutzt externe Dienstleister (Unterauftragsverarbeiter), um Identitätsdokumente optisch zu verifizieren und um Liveness Detection und Gesichtsvergleiche durchzuführen. Wir geben nur die erforderlichen personenbezogenen Daten weiter, die für diese Anbieter zur Erfüllung ihrer Aufgaben notwendig sind.

Die derzeit autorisierten Unterauftragsverarbeiter, die für den ReadID-Dienst eingesetzt werden, sind unten aufgeführt. Jeder dieser Unterauftragsverarbeiter hat seine eigenen Datenschutzrichtlinien. Der Link zu diesen Richtlinien ist ebenfalls unten aufgeführt.

Bitte beachten Sie, dass diese Unterauftragsverarbeiter auch selbst auf Unterauftragsverarbeiter zurückgreifen können.

Inverid gibt Ihre personenbezogenen Daten nur dann an externe Parteien weiter, wenn dies nach geltendem Recht zum Schutz der Privatsphäre und des Datenschutzes zulässig ist. Inverid kann personenbezogene Daten an externe Parteien weitergeben, weil:

  • es notwendig ist, um den Vertrag mit Ihnen zu erfüllen;
  • Sie haben dem zugestimmt;
  • Inverid ein berechtigtes Interesse hat;
  • Inverid gesetzlich dazu verpflichtet ist.

Alle unsere Daten werden im Europäischen Wirtschaftsraum (EWR) gehostet und verarbeitet, mit Ausnahme der personenbezogenen Daten, die wir für ReadID-Kunden verarbeiten, die außerhalb des EWR ansässig sind oder für die wir eine optische oder biometrische Überprüfung durch Unterauftragsverarbeiter durchführen müssen. In letzterem Fall erfolgt die Verarbeitung im Vereinigten Königreich. Personenbezogene Daten können auf der Grundlage eines Beschlusses der Europäischen Kommission über die Angemessenheit des Datenschutzes rechtmäßig in das Vereinigte Königreich übermittelt werden. Zur weiteren Begründung der Verarbeitung Ihrer personenbezogenen Daten in diesem Zusammenhang verweisen wir auf die Datenschutzrichtlinie des Kunden.

Übermittlung der Daten von Kundenvertretern: Die personenbezogenen Daten von Kundenvertretern können an unsere Werbe- und Marketingpartner, Unternehmen, die Zufriedenheitsumfragen durchführen, Inkassobüros, Kreditregister, Behörden und Organisationen, die (elektronische) Post-, Compliance- oder Zahlungsdienste vermitteln oder bereitstellen, und dergleichen weitergegeben werden. Personenbezogene Daten, die für den Zugriff auf ReadID-Sitzungsdaten erforderlich sind, können an die oben genannten Public-Cloud-Anbieter weitergegeben werden.

Übermittlung von Besucherdaten: Besucherdaten können an externe IT-Lieferanten und Cookie-Service-Provider übertragen werden. Wir haben sorgfältig geprüft, dass diese externen Parteien die Datenschutzanforderungen einhalten werden.

Übermittlung von ReadID Me-Nutzerdaten: Personenbezogene Daten werden in diesem Zusammenhang von Inverid nicht verarbeitet. Lediglich Metadaten werden zur Weiterverarbeitung an die oben genannten Public Cloud-Anbieter übertragen.

Übertragung von ReadID-Client-Only-Daten: Eine Übertragungsrichtlinie ist nicht erforderlich, da wir in diesem Zusammenhang keine personenbezogenen Daten verarbeiten. Bitte konsultieren Sie die Datenschutzrichtlinie des Kunden, der die Client-Only-Version von ReadID anbietet.

10. Sind meine Daten sicher?

Inverid hat die notwendigen organisatorischen, technischen und vertraglichen Sicherheitsmaßnahmen ergriffen, um Ihre personenbezogenen Daten vor versehentlichem Verlust, unbefugtem Zugriff, Änderung oder Offenlegung zu schützen. Beispiele für organisatorische Kontrollen sind: Sicherheitsrichtlinien für die Verarbeitung von Daten, unsere Sicherheitszertifizierungen und unser Verhaltenskodex. Zu den technischen Kontrollen gehören die Verschlüsselung personenbezogener Daten im Ruhezustand und bei der Übertragung sowie Zugangskontrollen einschließlich einer starken Authentifizierung. Diese Kontrollen werden vertraglich festgelegt. Teil unseres Vertrags mit dem Kunden ist ein Datenverarbeitungsanhang, dessen Zweck es ist, ReadID-Benutzer und Kundenvertreter zu schützen, indem klare Erwartungen hinsichtlich des Umgangs mit ihren personenbezogenen Daten formuliert werden.

Wir haben Verfahren für den Umgang mit mutmaßlichen Verstößen gegen den Schutz personenbezogener Daten eingerichtet und werden unseren Kunden, die zuständigen Datenschutzbehörden und sogar Sie direkt über einen Verstoß informieren, sofern wir gesetzlich dazu verpflichtet sind.

Innerhalb von Inverid haben Personen nur dann Zugang zu Ihren personenbezogenen Daten, wenn dies für ihre Tätigkeit erforderlich ist. Alle diese Personen sind ebenfalls zur Vertraulichkeit verpflichtet und werden regelmäßig überprüft.

Wir verfügen über ein zertifiziertes Managementsystem für Informationssicherheit (ISO27001:2022) und Datenschutz (ISO27701:2019). Im Rahmen unserer Zertifizierung werden unsere Sicherheitsmaßnahmen zum Schutz Ihrer personenbezogenen Daten jährlich von einem unabhängigen externen Prüfer bewertet. Alle unsere Unterauftragsverarbeiter sind ebenfalls mindestens ISO27001-zertifiziert.

11. Welche Rechte haben Sie?

Sie haben das Recht auf:

  • Informationen über die von uns verarbeiteten personenbezogenen Daten zu verlangen und darüber, was wir mit den personenbezogenen Daten tun;
  • Zugang zu Ihren personenbezogenen Daten zu verlangen;
  • die Berichtigung Ihrer personenbezogenen Daten zu verlangen;
  • die Löschung Ihrer personenbezogenen Daten zu verlangen;
  • die Übermittlung Ihrer personenbezogenen Daten zu verlangen (sofern technisch und/oder rechtlich möglich);
  • Widerspruch gegen eine bestimmte Verarbeitung personenbezogener Daten einlegen;
  • Ihre Zustimmung zu widerrufen.

Um diese Rechte auszuüben, senden Sie bitte eine E-Mail an dpo@inverid.com.

Bitte beachten Sie, dass Sie, wenn sich Ihr Antrag auf Daten bezieht, die wir als Auftragsverarbeiter (d. h. im Rahmen der Erbringung unserer Dienstleistung) verarbeitet haben, Ihren Antrag an den Kunden richten müssen, der für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich ist. Wir werden Sie hierüber informieren.

Wenn Sie von Ihren Rechten Gebrauch machen, müssen wir unter Umständen bestimmte Informationen von Ihnen anfordern, um Ihre Identität zu bestätigen und Ihr Recht auf Zugang zu den betreffenden personenbezogenen Daten (oder auf die Ausübung anderer gesetzlicher Rechte) zu gewährleisten. Dies ist eine Sicherheitsmaßnahme, die wir ergreifen, um zu verhindern, dass Ihre personenbezogenen Daten an eine Person weitergegeben werden, die kein Recht hat, sie zu erhalten.

Wir können uns auch mit Ihnen in Verbindung setzen, um Sie um weitere Informationen zu Ihrer Anfrage zu bitten, um unsere Antwort zu beschleunigen.

Wir bemühen uns, auf alle berechtigten Anfragen innerhalb eines Monats zu antworten. Gelegentlich kann es länger als einen Monat dauern, wenn Ihre Anfrage besonders komplex ist oder Sie mehrere Anfragen gestellt haben. In diesem Fall werden wir Sie benachrichtigen und Sie auf dem Laufenden halten.

12. Wann kontaktieren Sie unseren Datenschutzbeauftragten (DSB)?

Inverid hat einen Datenschutzbeauftragten ernannt. Der DSB überwacht die Anwendung und Einhaltung von Datenschutzgesetzen wie der Allgemeinen Datenschutzverordnung (DSGVO). Wenn Sie mit der Art und Weise, wie eine Frage oder Beschwerde behandelt wurde, nicht zufrieden sind, können Sie sich über dpo@inverid.com an den DSB wenden. Darüber hinaus können Sie eine Frage stellen oder eine Beschwerde bei der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) einreichen. Beachten Sie, dass Inverid in den meisten Fällen als Verarbeiter personenbezogener Daten für seine Kunden, d. h. die für die Verarbeitung Verantwortlichen, fungiert. Wir können Sie an den für die Verarbeitung Ihrer personenbezogenen Daten verantwortlichen Controller weiterleiten.

13. Können wir diese Datenschutzrichtlinie ändern?

Ja, unsere Datenschutzrichtlinie kann sich von Zeit zu Zeit ändern. Die aktuellste Version unserer Datenschutzrichtlinie finden Sie immer unter: inverid.com/privacy und den zugehörigen Webseiten.

Die aktuelle Richtlinie wurde am 18.10.2024 aktualisiert und fasst die früheren drei separaten Datenschutzrichtlinien für unsere Inverid-Website und die verschiedenen ReadID-Produkte in einer einzigen Richtlinie zusammen.

Möchten Sie mehr über die datenschutzfreundliche Identitätsüberprüfung erfahren?

Kontaktieren Sie einen Spezialisten