Datenschutzhinweise für Nutzer des Robo-Ident-Verfahrens (ehemals „Selfie-Ident-Verfahren“)

Mit diesen Datenschutzhinweisen informieren wir Sie darüber, wie Ihre personenbezogenen Daten durch uns verarbeitet werden und welche Rechte Ihnen das Datenschutzrecht in diesem Zusammenhang gewährt.

I. Verantwortlicher für die Datenverarbeitung
Verantwortlich ist:
Nect GmbH
Großer Burstah 21
20457 Hamburg
Germany
privacy@nect.com

II. Datenschutzbeauftragter
Unseren Datenschutzbeauftragten erreichen Sie unter
Externer Datenschutzbeauftragter
ePrivacy GmbH
vertreten durch Prof. Dr. Christoph Bauer
Große Bleichen 21, 20354 Hamburg

Zu allen Fragen und Anliegen bezüglich Ihrer Daten, wenden Sie sich gerne an privacy@nect.com.

Sollten Sie direkt mit unserem Datenschutzbeauftragten kommunizieren wollen (beispielsweise, weil Sie ein besonders sensibles Anliegen haben), kontaktieren Sie diesen bitte auf dem Postweg, da die Kommunikation per E-Mail immer Sicherheitslücken aufweisen kann. Bitte geben Sie bei der Anfrage an, dass sich ihr Anliegen auf die Firma Nect GmbH bezieht.

III. Verarbeitete Daten und deren Herkunft
In erster Linie verarbeiten wir die personenbezogenen Daten, die wir von unseren Nutzern im Rahmen der Bedienung der App erhalten oder erhoben haben. Die von uns in diesem Zusammenhang verarbeiteten personenbezogenen Daten bestehen aus

• Name und Vorname(n),
• Geburtsdatum,
• Geburtsort,
• Wohnanschrift,
• eine Bild-/Videokopie des Bundespersonalausweises oder Reisepasses (Vorder- und Rückseite) mit den auf dem Ausweisdokument enthaltenen Angaben,
• eine Bild-/Videosequenz des Nutzers nebst Vermessungsdatei (biometrische Daten)
• eine Audiosequenz des Nutzers nebst Vermessungsdatei (biometrische Daten)
• Ergebnis der Auswertung der Angaben
• eine dem Teilnehmer zugewiesene individuelle Kennnummer – Identifikationsnummer
• eine dem Vorgang zugewiesene individuelle Kennnummer - Vorgangsnummer (UUID)
• Maskierte IP-Adresse
• Gerätekennung und sonstige Gerätedaten des Mobilfunkgerätes
• bei Weiterleitung durch Partner: Quelle der Weiterleitung (z.B. URL des Webportals) und ggf. ein Rückleitungsziel (z.B. URL des Webportals)
• bei Verifikation der Krankenversicherungskarte: Eine Bild-/Videokopie der Karte (Vorder- und Rückseite) mit den auf der Karte enthaltenen Daten, sowie regelmäßig die Kennnummer der Karte (ICCSN) vor dem Start der Verifikation
• bei Verifikation des Führerscheins: Eine Bild-/Videokopie des Führerscheins (Vorder- und Rückseite) mit den auf dem Führerschein enthaltenen Daten

sowie andere Daten, die mit den genannten Kategorien vergleichbar sind.

Bei manchen Nutzern erfolgt vor dem Start der Identitätsfeststellung eine Weiterleitung auf unsere Landingpage. Diese Landingpage dient der Überleitung des Nutzers aus einer Webseite in unsere App zur Identitätsfeststellung („Nect App“). Dort kann der Nutzer seine Mobilfunknummer eingeben, um dann von uns eine SMS mit dem Link zum jeweiligen App-Store (wo die Nect-App zum Download bereitsteht) und / oder Aufruf der App („Universal Link“) zu erhalten. Kommt es im Laufe des Identifikationsverfahrens zwischen dem Nutzer und uns zu einem Nutzungsvertrag, so wird die gespeicherte Mobilfunknummer für die Laufzeit des Vertrages als Kommunikationsmittel verwendet (insbesondere bei erkannten Betrugsversuchen unter Verwendung der Identität des Nutzers). Die Verarbeitung der Mobilfunknummer folgt aufgrund der erteilten Einwilligung nach Art. 6 Abs.1 lit. a) DSGVO. Sie wird innerhalb von 48 Monaten nach Vertragsende gelöscht.

IV. Verarbeitungszwecke und Rechtsgrundlagen
Die personenbezogenen Daten werden von uns in Übereinstimmung mit den Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) aufgrund folgender Rechtsgrundlagen verarbeitet:

1. Zur Erfüllung eines Vertrages (Artikel 6 Abs. 1 lit. b DS-GVO)
Die Verarbeitung von personenbezogenen Daten erfolgt zur Erbringung der Funktionen der App. Obige Datenkategorien werden daher im Rahmen der Vertragserfüllung erhoben und verarbeitet. Ausnahme: Die Verarbeitung biometrischer Daten des Nutzers (z.B. Lichtbild) richtet sich dagegen nach Ziffer 3 unten (Einwilligung).

Soweit wir für Krankenversicherungen Verifizierungen der Krankenversicherungskarte vornehmen, so ist vor der Registrierung die Eingabe der Kartenkennnummer (ICCSN) notwendig. Diese erheben wir im Rahmen vorvertraglicher Maßnahmen auf Anfrage des Nutzers.

2. Im Rahmen der Interessenabwägung (Artikel 6 Abs. 1 lit. f DS-GVO)
Über die eigentliche Erfüllung des Vertrages mit Ihnen hinaus verarbeiten wir unter Umständen Ihre Daten, soweit es zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen von Dritten erforderlich ist und sofern Ihre Interessen nicht überwiegen.

3. Aufgrund Ihrer Einwilligung (Artikel 6 Abs. 1 lit. a DS-GVO)
Soweit Sie über 16 Jahre alt sind und in bestimmte Verarbeitungen Ihrer personenbezogenen Daten eingewilligt haben (z.B. die Erhebung und Verarbeitung von biometrischen Daten), erfolgt die rechtmäßige Verarbeitung Ihrer personenbezogenen Daten auf Grundlage dieser Einwilligung. Ohne Ihre biometrischen Daten kann das Robo-Ident-Verfahren nicht durchgeführt werden. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Dies gilt auch für Einwilligungserklärungen, die Sie uns erteilt haben, bevor die DS-GVO in Kraft getreten ist, also vor dem 25. Mai 2018. Da der Widerruf einer Einwilligung für die Zukunft gilt, berührt er die Wirksamkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs nicht. Bitte beachten Sie, dass gemäß Ziffer 13 unserer AGB jeder Widerruf zu einer Auflösung des Nutzungsvertrages führt.

4. Gesetzliche oder rechtliche Vorgaben (Artikel 6 Abs. 1 lit. c DS-GVO ) oder im öffentlichen Interesse (Artikel 6 Abs. 1 lit. e DS-GVO)
Darüber hinaus gelten für uns als Unternehmen in Einzelfällen gesetzliche Pflichten (z. B. Geldwäschegesetz, Steuergesetze). Dazu gehören unter anderem die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken im Unternehmen.

V. Empfänger der Daten
Die in der App erhobenen Daten werden nicht an Dritte weitergegeben. Eine Ausnahme besteht, wenn Sie über einen Partner auf unsere App gekommen sind, z.B. über Versicherungsunternehmen oder Banken. In diesem Fall lassen wir uns von Ihnen vor Durchführung des Robo-Ident-Verfahren in der App eine ausdrückliche Einwilligung erteilen, dass wir das Ergebnis der Personenidentifikation elektronisch an den Partner weiterleiten dürfen. Der Partner erhält personenbezogene Daten ausschließlich jeweils nur im minimalen, gesetzlich oder funktionell erforderlichen Umfang.

So leiten wir im Falle einer Altersverifikation regelmäßig lediglich die Information weiter, ob Sie eine bestimmte Altersgrenze erreicht haben, beispielsweise:

• Person ist über 18 Jahre alt.

Regelmäßig ist es jedoch erforderlich die nachfolgenden Daten zu übermitteln, beispielsweise wenn die Identitätsfeststellung genutzt wird, um einen Geheimnisverrat im Sinne des §203 StGB zu vermeiden:

• Name,
• Vorname,
• Adresse,
• Information, ob ein Adressaufkleber vorhanden ist,
• Geburtsdatum und -Ort
• Verifizierungs(teil)ergebnis

Anforderungen des Gesetzgebers können es erforderlich machen, dass wir dem Partner weitere Daten übermitteln müssen. Wird das Ergebnis unserer Dienstleistung zur Identitätsfeststellung beispielsweise benötigt, um den Anforderungen des Geldwäschegesetzes oder dem Telekommunikationsgesetz gerecht zu werden, werden zusätzlich folgende Daten übermittelt:

• Ablichtung des Ausweisdokuments unter Beachtung datenschutzrechtlicher und personalausweisrechtlicher Vorgaben
• Kopie der Selfie-Aufnahme

Zu Zweckerfüllung, vor allem des Betriebs unserer IT-Infrastruktur, setzen wir zudem Dienstleister ein, die für einen reibungslosen Ablauf des Robo-Ident-Verfahrens sorgen (z.B. Hosting, Managed Services). Diese werden jedoch ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO eingesetzt und entsprechend vertraglich verpflichtet. Eine Verarbeitung personenbezogener Daten in Drittländern findet nicht statt.

VI. Dauer der Speicherung von personenbezogenen Daten
Ihre personenbezogenen Daten werden von uns nur so lange gespeichert oder anderweitig verarbeitet, wie es für die Erreichung des jeweiligen Zwecks erforderlich ist.

Ist der Zweck der Verarbeitung entfallen, werden die entsprechenden personenbezogenen Daten gelöscht. In folgenden Fällen kann sich die Löschung verschieben:

• Erfüllung gesetzlicher Aufbewahrungsfristen (z. B. Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG). Die dort genannten Aufbewahrungsfristen betragen in der Regel 6 bis 10 Jahre.
• Sicherung von Beweismitteln innerhalb der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen. Die regelmäßige Verjährungsfrist beläuft sich auf 3 Jahre.

Verarbeiten wir oder ein Dritter Ihre Daten im Ausnahmefall aufgrund der oben genannten Interessenabwägung, löschen wir Ihre personenbezogenen Daten sobald unser berechtigtes Interesse nicht mehr besteht. Auch hier gelten die oben genannten Ausnahmen.

Im Falle einer Einwilligung werden die Daten gelöscht, sobald die Einwilligung für die Zukunft widerrufen wird, es sei denn, es besteht eine der oben genannten Ausnahmen.

Während der Durchführung des Prozesses erzeugt ihr Gerät Daten, die lokal auf Ihrem Gerät abgelegt werden. Ebenso erhalten Sie von unserem Service Daten auf Ihr Gerät übertragen, wie zum Beispiel das Verifizierungsergebnis nach der Durchführung des Prozesses. Diese lokal gespeicherten Daten unterliegen regelmäßig nicht unserer Hoheit, womit ausschließlich Sie diese Daten (auch aus eventuellen Back-Ups) löschen können.

VII. Rechte des Betroffenen
Nach Artikel 15 DS-GVO hat jede betroffene Person ein Recht auf Auskunft. Gemäß Artikel 16 DS-GVO kann die betroffene Person Berichtigung unrichtiger personenbezogener Daten verlangen. Gemäß Artikel 17 DS-GVO hat die betroffene Person ein Recht auf Löschung beziehungsweise gemäß Artikel 18 ein Recht auf Einschränkung der Verarbeitung. Ebenso kann die betroffene Person unter den Voraussetzungen des Artikel 21 DS-GVO der Verarbeitung sie betreffender personenbezogener Daten widersprechen. Gemäß Artikel 20 DS-GVO hat die betroffene Person ein Recht auf Datenübertragbarkeit. Beim Recht auf Auskunft und beim Recht auf Löschung gelten ergänzend die §§ 34 und 35 BDSG. Zur Geltendmachung dieser Rechte können Sie sich an folgende Stelle wenden:

Nect GmbH
Großer Burstah 21
20457 Hamburg
Germany
https://nect.com/privacy-request

Darüber hinaus haben Sie gemäß Artikel 77 DS-GVO in Verbindung mit § 19 BDSG ein Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde. Sie können sich hierfür an die Aufsichtsbehörde unseres Firmensitzes wenden. Die Adresse finden Sie unter nachfolgendem Link im Internet:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Eine erteilte Einwilligung kann jederzeit uns gegenüber widerrufen werden.

VIII. Pflicht zur Bereitstellung von personenbezogenen Daten
Sie sind nicht verpflichtet, Ihre personenbezogenen Daten bereitzustellen. Sofern Sie bestimmte personenbezogene Daten nicht bereitstellen, können wir u.U. die darauf basierenden Funktionen der App nicht zur Verfügung stellen.

IX. Automatisierte Entscheidungsfindung
Das Robo-Ident-Verfahren prüft durch Abgleich von Erkennungs- und Ausweisdaten Ihre Identität und informiert Sie anschließend über das Ergebnis der Identifikationsprüfung. Anhand dieses Ergebnisses findet ggf. eine automatisierte Entscheidung durch Partner im Sinne der Ziffer 2 lit. a) unserer AGB statt und zwar in Fällen, wo Sie als Nutzer von der Webpräsenz dieses Partners (z.B. eines Versicherungsunternehmens) auf unsere App zu Identifikationszwecken weitergeleitet wurden. Im Anschluss der Identifikationsprüfung wird der Partner (gemäß Ihrer Einwilligung) über das Ergebnis informiert, damit dieser auf dessen Grundlage automatisiert entscheiden kann, z.B. darüber, ob ein Versicherungsvertrag mit Ihnen abgeschlossen oder Zugang zum Kundenportal gewährt wird.

Hinsichtlich obiger, automatisierter Einzelentscheidungen haben Sie gemäß Art. 22 Abs. 3 DS-GVO das Recht auf Eingreifen einer Person auf Seiten des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Diese Rechte sind dem Partner gegenüber geltend zu machen.

X. Profiling
Ihre Daten werden nicht automatisiert verarbeitet, um bestimmte persönliche Aspekte zu bewerten (Profiling). Es findet lediglich ein Abgleich Ihrer Erkennungs- und Ausweisdaten statt.

XI. Information über Ihr Widerspruchsrecht nach Artikel 21 DS-GVO

1. Einzelfallbezogenes Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 lit. e (Datenverarbeitung im öffentlichen Interesse) oder lit. f (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten. Etwas anderes gilt nur, wenn wir zwingende berechtigte Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

2. Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe Ihres Namens, Ihrer Adresse und Ihres Geburtsdatums erfolgen und sollte gerichtet werden an:

Nect GmbH
Großer Burstah 21
20457 Hamburg
privacy@nect.com

XII. Datensicherheit
Wir bedienen uns zudem geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

XIII. Aktualität
Diese Datenschutzhinweise sind aktuell gültig (Stand siehe Fussbereich). Durch die Weiterentwicklung unserer App und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzhinweise zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter https://www.nect.com von Ihnen abgerufen und ausgedruckt werden.

Stand: Januar 2021

Betroffenenrechte

Über folgenden Link können Sie die Ihre Betroffenenrechte nach DSG-VO Art. 15 (Auskunftsrecht), Art. 16 (Recht auf Berichtigung), Art. 17 (Recht auf Löschung, Recht auf Vergessenwerden), Art. 20 (Recht auf Datenübertragbarkeit) sowie Art. 21 (Recht auf Widerspruch) geltend machen.

Formular Betroffenenrechte