Privacy Policy

SignD Datenschutzerklärung

for the English Version click here.

 

Diese Datenschutzerklärung erklärt die Zwecke und Rechtsgrundlagen der Verarbeitung Ihrer personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DSGVO).

Die Erklärung unterteilt sich in:

  1. Datenschutzverantwortlicher
  2. Nutzung unserer Website
  3. Nutzung unserer Identifikationsservices
  4. Gesetzliche Grundlagen und Rechte & Pflichten
  5. Verschiedenes

1. Datenschutzverantwortlicher

1.1. Verantwortlicher bei Nutzung der Website und ausgewählter SignD Services

Verantwortlicher im Sinne der DSGVO ist 

SignD Identity GmbH
Lange Gasse 70/3, 1080 Wien, E-Mail: gdpr@signd.id

Unseren Datenschutzbeauftragten erreichen Sie ebenfalls unter:  gdpr@signd.id .

 

1.2. Verantwortlicher bei der Anwendung von SignD Identifikationsservices durch Partner

Dies ist zum Bespiel der Fall, wenn Sie bei einer Bank durch eine von SignD bereitgestellte Anmeldestrecke gehen.

Verantwortlicher im Sinne der DSGVO ist hierbei der Kunde, in dessen Namen SignD Dienstleistungen erbringt. Den jeweiligen Datenschutzbeauftragten und weiterführende Informationen finden Sie jeweils bei unserem Kunden, zB Ihrer Bank, bei der Sie sich gerade anmelden wollen.

 

2. Nutzung einer SignD-Webseite

Sie können unsere Websites besuchen, ohne Angaben zu Ihrer Person zu machen. Wir verarbeiten lediglich Daten, die Ihr Browser übermittelt, um Ihnen den Besuch der Website zu ermöglichen sowie Informationen, die uns im Rahmen von eingesetzten Cookies übermittelt werden.

2.1 Bereitstellung der Website

Beim Besuch unserer Websites werden automatisch Informationen durch unsere IT-Systeme erfasst, um Ihnen die Nutzung der Website zu ermöglichen. Folgende Informationen werden dabei erhoben:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Uhrzeit der Serveranfrage
  • IP-Adresse (anonymisiert)
  • Die vorherige Website, von welcher der Zugriff erfolgt.

Die vorübergehende Speicherung Ihrer IP-Adresse durch unser System ist notwendig, um eine Auslieferung der Website an Ihren Rechner zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers zwangsläufig für die Dauer der Sitzung gespeichert werden.

Die temporäre Speicherung der IP-Adresse in den Log-Files erfolgt zur möglichen Fehleranalyse und zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme (z.B. Angriffserkennung). Diese Daten werden regelmäßig gelöscht. Ebenso erfolgt keine Zusammenführung erhobener Daten.

2.2 Statistische Analyse der Nutzung der Website und Reichweitenerhöhung

Beim Besuch unserer Website kann Ihr Surf-Verhalten statistisch ausgewertet werden. Das geschieht vor allem mit Cookies und mit sogenannten Analyseprogrammen. Dadurch können wir die Qualität unserer Website und ihrer Inhalte verbessern. Wir erfahren, wie die Website genutzt wird und können so unser Angebot stetig optimieren. Detaillierte Informationen dazu finden Sie in den folgenden Erläuterungen.

Google Analytics

Wir nutzen Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Tochtergesellschaft der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. In unserem Auftrag wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber uns zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Wir verwenden Google Analytics lediglich auf unseren Websites, nicht jedoch für unsere Verifizierungs- oder andere unserer Leistungen.

IP Anonymisierung

Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Browser Plugin

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

Widerspruch gegen Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert.

Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de und https://policies.google.com/privacy?hl=de.

 

3. Nutzung der SignD Identifikationsservices

In der Regel werden Sie SignD bei der Anmeldung zu einem Service bei einem unserer Kunden kennen lernen. Wir erbringen Dienstleistungen zur Identitätsfeststellung für unterschiedlichste Unternehmen, vor allem aber dort, wo strenge rechtliche Rahmenbedingungen herrschen. Etwa zur Sicherung Ihrer wertvollen Daten, wenn es zum Beispiel um Gesundheitsdaten geht; oder zur Erfüllung strenger Richtlinien hinsichtlich Geldwäscherei- und Terrorismusbekämpfung. Im Zuge solcher Identifikationsprozesse müssen Sie in der Regel schon bei Ihrem Vertragspartner bestimmte Zustimmungen zur Datenverarbeitung geben oder die DSGVO mandatiert bestimmte Verarbeitungsprozesse sofern für die Vertragserfüllung notwendig oder wenn es eine gesetzlich verpflichtende Tätigkeit darstellt.

SignD tritt hier regelmäßig als Datenverarbeitungspartner unserer Kunden auf und führt bestimmte Prüfschritte durch. Naturgemäß benötigen Dienste zur Identitätsfeststellung auch Ihre personenbezogenen Daten.

3.1 Verifizierungsservices

Die Verarbeitung Ihrer Daten durch SignD im Zusammenhang mit der Identitätsfeststellung (Verifizierung) erfolgt im Auftrag des eines Kunden der SignD auf dessen Anforderung hin die Prüfung vorgenommen wird („Partner“).

Die Verarbeitung Ihrer Daten erfolgt ausschließlich zu dem Zweck Ihre Identität, Ihre Erklärung, Ihre Daten, Ihr Alter oder andere vom Partner angeforderten Informationen zu prüfen und gegenüber dem jeweiligen Partner zu bestätigen.

Hierzu verarbeiten wir für den jeweiligen Partner die Daten, die Sie uns im Rahmen Ihrer Nutzung des mitteilen, gegebenenfalls Daten, die uns der jeweilige Partner zum Zwecke des Abgleichs zur Verfügung stellt und in bestimmten Fällen auch öffentlich zugängliche Informationen, zum Beispiel aus staatlichen oder privatwirtschaftlichen Datenbanken.

Der Umfang der vorgenommenen Verarbeitung dieser Daten und auch die Rechtsgrundlage für diese Verarbeitung richtet sich dabei nach dem beabsichtigten oder dem bereits bestehenden Vertragsverhältnis zwischen Ihnen und dem Partner sowie den zugrundeliegenden rechtlichen Vorgaben.

Je nach Rechtsgrundlage für den Verifizierungsprozess können bestimmte Dokumente wie ein amtlicher Lichtbildausweis, Gesundheitskarte, Rechnungen oder auch andere Dokumente erforderlich sein. In der Regel werden bei Personenverifizierungen ein Subset der untenstehende Daten verarbeitet, wobei der genaue Umfang dieser Daten bzw. der Verarbeitungen von der jeweiligen Identifizierungsmethode abhängt:

Katalog möglicher Datenelemente

  • Name, Vorname
  • Geburtsort
  • Geburtsdatum
  • Staatsangehörigkeit
  • Vollständige Anschrift
  • Mobilfunknummer
  • Personennummern
  • Foto/Screenshot der Person und der Vorder- und Rückseite des Ausweisdokuments, gegebenenfalls oder stichprobenweise auch Video-/Audiomitschnitte
  • Ausweisdaten (wie Ausstellungsdatum und –ort, ausstellende Behörde etc.)
  • Spezielle Daten*:
    • Biometrisches Profil der Person (Selfie)
    • Bonitätsdaten
    • Open Banking

*) Unter Umständen kann es erforderlich sein, dass Sie in die Verarbeitung besonderer Daten für Zwecke der Identifizierung auf Grundlage des Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO einwilligen müssen. Dies betrifft etwa biometrischer Daten oder Bonitätsdaten.

Spezialfall Open Banking

SignD ermöglicht es, mittels Open Banking sogenannte Zahlungsauslösungen oder Kontoinformationsabfragen durchzuführen. Dies ist ein streng reglementiertes Verfahren und unterliegt der sogenannten 2. Zahlungsdiensterichtlinie (PSD2, in Österreich ZaDIG), die es zertifizierten Anbietern ermöglicht, einen einfachen und sicheren Zugriff zu ermöglichen. Falls Sie ein solches Verfahren benutzen, fragen wir oder unser Partner Klarna Kosma explizit um Ihre Erlaubnis, die betreffende Aktion durchzuführen. Mit dieser Erlaubnis verbinden wir direkt zu Ihrer Bank, bei der Sie in Ihrer gewohnten, sicheren Onlinebankingumgebung eine Freigabe bei Ihrer Bank durchführen. Bitte beachten Sie, dass unsere Openbankingservices immer im sicheren Umfeld Ihres Bankinstituts laufen. Geben Sie niemals Ihre Zugangsdaten zu Ihrem Bankkonto auf anderen Seiten ein. Mehr Information zur Sicherheit von Open Banking finden Sie auf unserer Website.

3.2 Verifizierungsabschluss und Rechtsgrundlagen der Verarbeitung

Sobald die Verifizierung durchgeführt wurde, werden wir die Prüfergebnisse und sofern notwendig, auch die erhobenen Daten an den Partner übermitteln. Wir halten Ihren Verifizierungsdatensatz bis zur Bestätigung des Partners, in der Regel längstens aber 24 Stunden nach Abschluss Ihrer Verifikation gespeichert.

Sofern SignD eine gesetzliche Speicherpflicht für längere Zeiträume trifft, können Daten auf dieser Rechtsbasis auch über einen längeren Zeitraum gespeichert bleiben.

Der Partner ist verpflichtet die übermittelten Daten zur Erfüllung seiner rechtlichen Pflichten oder seiner Rechte und Pflichten aus dem Vertragsverhältnis mit Ihnen zu verarbeiten.

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt dabei jeweils auf Basis der DSGVO zumindest eine der folgenden Rechtsgrundlagen für die rechtmäßige Datenverarbeitung (Art 6 Abs 1 DSGVO):

  • Der Betroffene hat seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
  • Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Betroffenen erfolgen.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Die Verarbeitung schützt lebenswichtige Interessen des Betroffenen oder eines Dritten.
  • Die Verarbeitung schützt überwiegende berechtigte Interessen des Kindes.
  • Die Verarbeitung schützt berechtigte Interessen des Verantwortlichen oder eines Dritten.
  • Die Verarbeitung dient öffentlichen Interessen.

Weiters im Zuge einer Auftragsverarbeitung bei der SignD eine Aufgabe des Partners erfüllt gemäß Art. 28 DSGVO. In der Regel sind die Punkte 1, 2, 3 oder 7 für Verifikationen mit SignD anwendbar.

3.3 Spezialfall Qualifizierte Elektronische Unterschrift (QES)

Unsere Partner nutzen SignD als lokale Registrierungsstelle für Qualifizierte Unterschriften um Verifikationen oder digitale Unterschriften mittels QES durchzuführen. Die QES ist eine Alternative zu einer handschriftlichen Unterschrift auf höchstem Sicherheitsniveau und in der eIDAS Verordnung (Verordnung (EU) Nr. 910/2014) geregelt. SignD ist als zertifizierter Identifikationsdienstleister und lokale Registrierungsstelle ermächtigt, diese Dienstleistungen anzubieten. Hierbei unterliegen wir der rechtlichen Verpflichtung, Identifikationsevidenzen sicher über einen Zeitraum von bis zu 20 bzw 35 Jahren zu speichern. Die Verarbeitung erfolgt hier gemäß obiger Nummer (1) bzw (2) aus Punkt 3.2, das sind , Art. 6 Abs. 1 lit. a und lit b DSGVO.

Sofern Sie Ihre Einwilligung in die Verarbeitung Ihrer Daten erteilt haben, bewahren wir Ihre Daten bis zu deren Widerruf auf; auch in diesen Fällen müssen wir ggf. aufgrund gesetzlicher bzw. rechtlicher Vorgaben Ihre Daten archivieren. Selbstverständlich werden Ihre Daten in diesen Fällen für die Nutzung für andere Zwecke gesperrt und nur zur Erfüllung unserer gesetzlichen bzw. rechtlichen Pflichten aufbewahrt.

3.4 Kategorien von Empfängern

Innerhalb von SignD erhalten nur diejenigen Stellen Zugriff auf die Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen.

Im Rahmen unserer Tätigkeit als Auftragsverarbeiter übermitteln wir die erhobenen Daten an den jeweiligen Partner, mit dem Sie in Kontakt stehen. Der Partner wird die übermittelten Daten zur Erfüllung seiner geldwäscherechtlichen oder sonstigen Identifizierungspflichten sowie seiner Rechte und Pflichten aus dem Vertragsverhältnis zwischen dem Partner und Ihnen oder im Rahmen der digitalen Signatur verarbeiten, insbesondere zum Nachweis des Vertragsschlusses.

Zudem teilen wir Ihre personenbezogenen Daten, soweit dies gesetzlich erlaubt oder vorgeschrieben ist, anderen Empfängern mit. Teilweise erbringen diese für uns Dienstleistungen im Zusammenhang mit unseren Services (insbesondere Subdienstleistern der Verifikationsdienste). Wir beschränken die Weitergabe Ihrer personenbezogenen Daten dabei auf das Notwendige, insbesondere um unsere Leistungen erbringen zu können. Sofern unsere Dienstleister Ihre personenbezogenen Daten als Auftragsverarbeiter erhalten, sind diese bei dem Umgang mit Ihren personenbezogenen Daten streng an unsere Weisungen gebunden.

3.5 Drittlandtransfer

Wir übertragen Ihre personenbezogenen Daten grundsätzlich nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Bei einzelnen Elementen der Verifizierungsdienstleistung für die kein adäquater Service innerhalb der Europäischen Union verfügbar ist, werden Dienstleister in Drittstaaten eingesetzt. Diese sind zusätzlich zu unseren bilateralen vertraglichen Vereinbarungen durch die Vereinbarung der EU-Standardvertragsklauseln zur Einhaltung des Datenschutzniveaus in Europa verpflichtet. Alternativ übermitteln wir Daten auf Grundlage der Binding Corporate Rules oder eines Angemessenheitsbeschlusses.

Im Falle einer Übertragung der Daten in Länder außerhalb der Europäischen Union stellen wir sicher, dass ein Datenschutzniveau im Sinne der Art. 44 ff. DSGVO eingehalten wird. Leider besteht aufgrund der Gesetze von Nicht-EU-Staaten (z. B. im Rahmen des Cloud-Acts in den USA) auch bei Abschluss entsprechender Vereinbarungen und Regelwerken die Möglichkeit, dass insbesondere staatliche Stellen auf Ihre personenbezogenen Daten zugreifen, ohne dass wir oder Sie dies verhindern, unterbinden oder kontrollieren können. Aus diesen Gründen umfasst Ihre Einwilligung auch den Zweck der Datenübermittlung in Länder außerhalb der EU.

Im Übrigen übertragen wir Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

 

4. Gesetzliche Grundlagen und Rechte & Pflichten

Anfragen

Um Ihre Anfragen an uns, z.B. über das Kontaktformular oder an unsere Emailadresse, bearbeiten und beantworten zu können, verarbeiten wir Ihre in diesem Zusammenhang mitgeteilten Daten. Dazu zählen Ihr Name, Ihr Alter und Ihre E-Mail Adresse, um Ihnen eine Antwort zukommen zu lassen, sowie die sonstigen Informationen, die Sie uns im Rahmen Ihrer Mitteilung zusenden.

Wir verarbeiten Ihre Daten zur Beantwortung Ihrer Anfragen auf folgender Rechtsgrundlage:

  • Sofern Ihre Kontaktaufnahme im Rahmen eines Vertrags, dessen Vertragspartei Sie sind, bzw. zu der Durchführung vorvertraglicher Maßnahmen erfolgt, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
  • Zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse besteht in der sachgerechten Beantwortung von Kundenanfragen.

Einhaltung gesetzlicher Vorschriften

Wir verarbeiten Ihre personenbezogenen Daten zudem, um sonstige gesetzliche Pflichten zu erfüllen. Diese können uns u.a. im Zusammenhang mit der geschäftlichen Kommunikation treffen. Hierzu zählen insbesondere handels-, gewerbe- oder steuerrechtliche Aufbewahrungsfristen.

Wir verarbeiten Ihre personenbezogenen Daten dabei zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Handels-, Gewerbe- oder Steuerrecht, soweit wir dazu verpflichtet sind, Ihre Daten aufzuzeichnen und aufzubewahren.

Rechtsdurchsetzung

Wir verarbeiten Ihre personenbezogenen Daten zudem, um unsere Rechte geltend machen und unsere rechtlichen Ansprüche durchsetzen zu können. Ebenfalls verarbeiten wir Ihre personenbezogenen Daten, um uns gegen rechtliche Ansprüche verteidigen zu können. Schließlich verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Abwehr oder Verfolgung von Straftaten erforderlich ist.

Wir verarbeiten Ihre personenbezogenen Daten zu diesem Zweck zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO, soweit wir rechtliche Ansprüche geltend machen, uns bei rechtlichen Streitigkeiten verteidigen, wir Straftaten verhindern oder aufklären.

Ihre Rechte als betroffene Person

Ihnen stehen unter den gesetzlichen Voraussetzungen die nachfolgenden Rechte als betroffene Person zu, die Sie uns gegenüber geltend machen können:

  1. Auskunftsrecht: Sie sind jederzeit berechtigt, im Rahmen von Art. 15 DSGVO von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten; ist dies der Fall, sind Sie im Rahmen von Art. 15 DSGVO ferner berechtigt, Auskunft über diese personenbezogenen Daten sowie bestimmte weitere Informationen (u.a. Verarbeitungszwecke, Kategorien personenbezogener Daten, Kategorien von Empfängern, geplante Speicherdauer, ihre Rechte, die Herkunft der Daten, den Einsatz einer automatisierten Entscheidungsfindung und im Fall des Drittlandtransfer die geeigneten Garantien) und eine Kopie Ihrer Daten zu erhalten.
  2. Recht auf Berichtigung: Sie sind berechtigt, nach Art. 16 DSGVO von uns zu verlangen, dass wir die über Sie gespeicherten personenbezogenen Daten berichtigen, wenn diese unzutreffend oder fehlerhaft sind.
  3. Recht auf Löschung: Sie sind berechtigt, unter den Voraussetzungen von Art. 17 DSGVO von uns zu verlangen, dass wir Sie betreffende personenbezogene Daten unverzüglich löschen. Das Recht auf Löschung besteht u.a. nicht, wenn die Verarbeitung der personenbezogenen Daten erforderlich ist für
    1. die Ausübung des Rechts auf freie Meinungsäußerung und Information,
    2. zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen (z. B. gesetzliche Aufbewahrungspflichten) oder
    3. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  4. Recht auf Einschränkung der Verarbeitung: Sie sind berechtigt, unter den Voraussetzungen von Art. 18 DSGVO von uns zu verlangen, dass wir die Verarbeitung Ihrer personenbezogener Daten einschränken.
  5. Recht auf Datenübertragbarkeit: Sie sind berechtigt, unter den Voraussetzungen von Art. 20 DSGVO von uns zu verlangen, dass wir Ihnen die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format übergeben.
  6. Widerspruchsrecht: Sie sind berechtigt, unter den Voraussetzungen von Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, so dass wir die Verarbeitung Ihrer personenbezogenen Daten beenden müssen. Das Widerspruchsrecht besteht nur in den in Art. 21 DSGVO vorgesehen Grenzen. Zudem können unsere Interessen einer Beendigung der Verarbeitung entgegenstehen, so dass wir trotz Ihres Widerspruchs berechtigt sind, Ihre personenbezogenen Daten zu verarbeiten.
  7. Beschwerderecht: Beschwerden können Sie an die unter Punkt 1.2 genannte Stelle richten. Im Übrigen sind Sie berechtigt, unter den Voraussetzungen von Art. 77 DSGVO Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.
  8. Widerruf von Einwilligungen: Wenn Sie eine uns gegenüber erteilte Einwilligung in die Erhebung, Verarbeitung und Nutzung Ihrer Daten mit Wirkung für die Zukunft ganz oder teilweise widerrufen, werden wir Ihre Daten vorbehaltlich gesetzlicher Aufbewahrungsfristen in dem von Ihnen gewünschten Umfang unverzüglich löschen oder für eine weitere Verwendung sperren.

Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten durch uns, die aufgrund von Art. 6 Abs. 1 lit. e (Wahrnehmung einer Aufgabe im öffentlichen Interesse) oder Art. 6 Abs. 1 lit. f DSGVO erfolgt (Berechtigtes Interesse des Verantwortlichen), Widerspruch einzulegen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Verschiedenes

Fremdinhalte

Einige Abschnitte unserer Website beinhalten Links zu den Webseiten von Dritten, wie z.B. zur Anzeige von blog-posts oder Videos. Dabei handelt es sich um reine Verlinkungen. Bei einem Aufruf unserer Website oder dieser Links werden keine personenbezogenen Daten an diese Drittanbieter weitergeleitet. Die Webseiten sämtlicher Drittanbieter unterliegen eigenen Datenschutzgrundsätzen. Wir sind für deren Betrieb einschließlich der Datenhandhabung nicht verantwortlich. Wenn Sie Informationen an oder über solche Seiten von Drittanbietern senden, sollten Sie die Datenschutzerklärungen dieser Seiten prüfen, bevor Sie ihnen Informationen zukommen lassen, die Ihrer Person zugeordnet werden können.

Sichere Verschlüsselung

Bei der Erfassung oder Übertragung Ihrer Daten verwenden wir eine dem aktuellen Stand der Technik entsprechende SSL-Verschlüsselung (SSL = Secure Sockets Layer). Durch die SSL-Verschlüsselung wird die Vertraulichkeit der Kommunikation gewährleistet. Dieses Sicherheitsfeature ist aktiv, wenn im unteren Bereich Ihres Browserfensters entweder das Symbol eines unversehrten Schlüssels oder eines geschlossenen Schlosses (browserabhängig) erscheint.

Änderungen

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu ändern. Etwaige Änderungen werden durch Veröffentlichung der geänderten Datenschutzerklärung auf unserer Webseite bekannt gemacht. Soweit nicht ein anderes bestimmt ist, werden solche Änderungen sofort wirksam. Bitte prüfen Sie daher diese Datenschutzerklärung regelmäßig, um die jeweils aktuellste Version einzusehen.

Zuletzt aktualisiert im Dezember 2022

SignD Privacy Policy

This data protection declaration explains the purposes and legal basis of the processing of your personal data within the meaning of the General Data Protection Regulation (DSGVO).

This policy is divided into:

  1. Data protection officer
  2. Use of our website
  3. Use of our identification services
  4. Legal basis and rights & obligations
  5. Miscellaneous

1. Data Protection Officer

1.1 Date Controller for the use of the website and selected SignD services

The Data Controller within the meaning of the DSGVO is SignD Identity GmbH.
Lange Gasse 70/3,  1080 Vienna, Austria, e-mail: gdpr@signd.id

You can also reach our data protection officer at: gdpr@signd.id .

 

1.2 Data Controller for SignD identification services

This is the case, for example, when you sign up at an online bank and use a SignD-provided sign-up process.

The data controller as defined by the GDPR is the client in whose name SignD provides services. The respective data protection officer and further information can be found at our clients site, e.g. at the bank or website you are about to register with.

 

2. Use of a SignD website

You can visit our websites without providing any personal information. We only process data that your browser transmits to technically enable you to visit the website and data that is transmitted to us in the context of cookies.

2.1 Provision of the website

When you visit our websites, information is automatically collected by our IT systems to enable you to use the website. The following information is collected:

  • Browser type and version
  • Operating system used
  • Referrer URL
  • Time of the server request
  • IP address (anonymised)
  • The referring website from which the access is initiated.

The temporary storage of your IP address by our system is necessary to enable delivery of the website to your computer. For this purpose, the user’s IP address must necessarily be stored for the duration of the session.

The temporary storage of the IP address in the log files is done for error analysis and to ensure the security of our information technology systems (e.g. attack detection). This data is deleted regularly. Likewise, no consolidation of collected data with other data takes place.

2.2 Statistical analysis of the use of the website and increase in reach

When visiting our website, your surfing behaviour can be statistically evaluated. This is done mainly with cookies and with so-called web analytics programs. This allows us to improve the quality of our website and its content. We learn how the website is used and can thus constantly optimise our offer. You will find detailed information on this in the following explanations.

Google Analytics

We use functions of the web analysis service Google Analytics. The provider is Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland (subsidiary of Google Inc, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; “Google”). Google Analytics uses cookies that enable an analysis of your use of the website. The information generated by the cookie about your use of the website will be transmitted to and stored by Google on servers in the United States. Google will use this information on our behalf for the purpose of evaluating your use of the website, compiling reports on website activity and providing other services relating to website activity and internet usage to us. The IP address transmitted by your browser as part of Google Analytics will not be merged with other Google data.

We only use Google Analytics on our websites and not for our verification or other services.

IP anonymisation

We have activated the IP anonymisation function on this website. This means that your IP address is shortened by Google within member states of the European Union or in other contracting states of the Agreement on the European Economic Area before being transmitted to the USA. Only in exceptional cases will the full IP address be transmitted to a Google server in the USA and shortened there. On behalf of the operator of this website, Google will use this information for the purpose of evaluating your use of the website, compiling reports on website activity and providing other services relating to website activity and internet usage to the website operator. The IP address transmitted by your browser as part of Google Analytics will not be merged with other Google data.

Browser plugin

You may refuse the use of cookies by selecting the appropriate settings on your browser, however please note that if you do this you may not be able to use the full functionality of this website. You can also prevent the collection of data generated by the cookie and related to your use of the website (including your IP address) by Google and the processing of this data by Google by downloading and installing the browser plugin available at the following link: https://tools.google.com/dlpage/gaoptout?hl=de.

Objection to data collection

You can prevent the collection of your data by Google Analytics by clicking on the following link. An opt-out cookie will be set, which will prevent the collection of your data during future visits to this website.

You can find more information on how Google Analytics handles user data in Google’s privacy policy: https://support.google.com/analytics/answer/6004245?hl=de and https://policies.google.com/privacy?hl=de.

 

3. Use of the SignD identification services

You will typically use SignD services when you sign up for a service with one of our clients. We provide identity verification services for a wide range of businesses, but especially where strict legal frameworks apply. For example, to secure your valuable data, such as health data, or to comply with strict anti-money laundering and anti-terrorism regulations. In the course of such identification processes, you usually have to give your contractual partner certain consents for data processing or the GDPR mandates certain processing processes if necessary for the fulfilment of the contract or if it is a legally obligatory activity.

SignD regularly acts as a data processing partner for our customers and carries out certain verification steps. Naturally, services for establishing identity also require your personal data.

3.1 Verification services

The processing of your data by SignD in connection with the establishment of identity (verification) is carried out on behalf of a client of SignD at whose request the verification is carried out (“Partner”).

Your data will be processed for the sole purpose of verifying and confirming your submitted data like identity, declarations, dates, age or any other information requested by the.

For this purpose, we process for the respective partner the data that you provide to us in the course of your use of the if applicable, data that the respective partner provides to us for the purpose of matching and, in certain cases, also publicly accessible information, for example from government or private-sector databases.

The scope of the processing of this data and the legal basis for this processing depend on the intended or already existing contractual relationship between you and the partner as well as the underlying legal requirements.

Depending on the legal basis for the verification process, certain documents such as an official photo ID, health card, invoices or other documents may be required. As a rule, a subset of the data below is processed during personal verifications, whereby the exact scope of this data or the processing depends on the respective identification method:

Catalogue of possible data elements

  • Name, first name
  • Birthplace
  • Date of birth
  • Nationality
  • Full address
  • Mobile number
  • Personal numbers
  • Photo/screenshot of the person and the front and back of the identification document, if necessary or on a random basis also video/audio recordings
  • ID card data (such as date and place of issue, issuing authority, etc.)
  • Special data*:
    • Biometric profile of the person (selfie)
    • solvency data
    • Open Banking

*) Under certain circumstances, it may be necessary for you to consent to the processing of special data for identification purposes on the basis of Art. 6 (1) a or Art. 9 (2) a DSGVO. This concerns, for example, biometric data or solvency data.

Special case of Open Banking

SignD makes it possible to carry out so-called payment releases or account information queries by means of Open Banking. This is a strictly regulated procedure and is subject to the so-called 2nd Payment Services Directive (PSD2, in Austria ZaDIG), which enables certified providers to provide easy and secure access. If you use such a procedure, we or our partner Klarna Kosma explicitly ask for your permission to perform the action in question. With this permission, we will connect directly to your bank where you will perform an approval with your bank in your usual secure online banking environment. Please note that our Open Banking services always run in the secure environment of your banking institution. Never enter your bank account access details on other sites. You can find more information on the security of Open Banking on our website.

3.2 Verification completion and legal basis of processing

Once the verification has been completed, we will send the verification results and, if necessary, the collected data to the partner. We will hold your verification record until confirmation from the partner, but usually no longer than 24 hours after your verification has been completed.

If SignD has a legal obligation to store data for longer periods, data may also be stored for a longer period on this legal basis.

The partner is obliged to process the transmitted data in order to fulfil its legal obligations or its rights and obligations arising from the contractual relationship with you.

The processing of your personal data is in each case based on the DSGVO at least one of the following legal bases for lawful data processing (Art 6 para 1 DSGVO):

  • The data subject has given his/her consent to the processing of personal data concerning him/her for one or more specific purposes.
  • The processing is necessary for the performance of a contract to which the data subject is party or for the performance of pre-contractual measures taken at the data subject’s request.
  • Processing is necessary for compliance with a legal obligation to which the controller is subject.
  • The processing protects vital interests of the data subject or a third party.
  • The processing protects overriding legitimate interests of the child.
  • The processing protects legitimate interests of the controller or a third party.
  • The processing serves public interests.

Furthermore, in the course of commissioned processing in which SignD fulfils a task of the partner pursuant to Art. 28 DSGVO. As a rule, points 1, 2, 3 or 7 are applicable for verifications with SignD.

3.3 Special case Qualified Electronic Signature (QES)

Our partners use SignD as a local registration authority for Qualified Signatures to perform verifications or digital signatures using QES. QES is an alternative to a handwritten signature at the highest security level and is regulated in the eIDAS Regulation (Regulation (EU) No 910/2014). SignD is authorised as a certified identification service provider and local registration authority to offer these services. In doing so, we are subject to the legal obligation to store identification credentials securely for a period of up to 20 or 35 years. The processing is carried out in accordance with the above number (1) and (2) from point 3.2, i.e. Art. 6 para. 1 lit. a and lit b DSGVO.

If you have given your consent to the processing of your data, we will retain your data until you revoke it; in these cases, we may also have to archive your data due to statutory or legal requirements. In these cases, your data will of course be blocked for use for other purposes and will only be retained to fulfil our statutory or legal obligations.

3.4 Categories of recipients

Within SignD, only those departments that need the data to fulfil our contractual and legal obligations are granted access to the data.

As part of our activity as a processor, we transmit the collected data to the respective partner with whom you are in contact. The partner will process the transmitted data to fulfil its obligations under money laundering law or other identification obligations as well as its rights and obligations arising from the contractual relationship between the partner and you or within the scope of the digital signature, in particular to prove the conclusion of the contract.

We also share your personal data with other recipients where permitted or required by law. In some cases, these recipients provide services to us in connection with our services (in particular sub-service providers of the verification services). In doing so, we limit the disclosure of your personal data to what is necessary, in particular in order to be able to provide our services. If our service providers receive your personal data as processors, they are strictly bound by our instructions when handling your personal data.

3.5 Third country transfer

We do not transfer your personal data to countries outside the EU or the EEA or to international organisations.

For individual elements of the verification service for which no adequate service is available within the European Union, service providers in third countries are used. In addition to our bilateral contractual agreements, these are obliged to comply with the level of data protection in Europe by agreeing to the EU standard contractual clauses. Alternatively, we transfer data on the basis of the Binding Corporate Rules or an adequacy decision.

In the event of a transfer of data to countries outside the European Union, we ensure that a level of data protection within the meaning of Art. 44 et seq. DSGVO is complied with. Unfortunately, due to the laws of non-EU countries (e.g. within the framework of the Cloud Act in the USA), even if corresponding agreements and sets of rules are concluded, there is a possibility that government agencies will access your personal data without us or you being able to prevent, stop or control this. For these reasons, your consent also includes the purpose of data transfer to countries outside the EU.

Otherwise, we do not transfer your personal data to countries outside the EU or the EEA or to international organisations.

 

4. Legal basis and rights & duties

Enquiries

In order to process and respond to your enquiries to us, e.g. via the contact form or to our email address, we process the data you provide in this context. This includes your name, age and email address in order to send you a reply, as well as the other information you send us as part of your communication.

We process your data to respond to your enquiries on the following legal basis:

  • If you contact us in the context of a contract to which you are a party or in order to carry out pre-contractual measures, the legal basis is Art. 6 para. 1 lit. b DSGVO.
  • To protect our legitimate interests pursuant to Art. 6 (1) lit. f DSGVO; our legitimate interest is to respond appropriately to customer enquiries.

Compliance with statutory regulations

We also process your personal data in order to fulfil other legal obligations. These may affect us in connection with business communication, among other things. These include, in particular, retention periods under commercial, trade or tax law.

We process your personal data in order to fulfil a legal obligation to which we are subject. The legal basis is Art. 6 para. 1 lit. c DSGVO in conjunction with commercial, trade or tax law, insofar as we are obliged to record and store your data.

Law enforcement

We also process your personal data in order to be able to assert our rights and enforce our legal claims. We also process your personal data in order to be able to defend ourselves against legal claims. Finally, we process your personal data to the extent necessary to prevent or prosecute criminal offences.

We process your personal data for this purpose to protect our legitimate interests pursuant to Art. 6 (1) lit. f DSGVO, insofar as we assert legal claims, defend ourselves in legal disputes, we prevent or investigate criminal offences.

Your rights as a data subject

You are entitled to the following rights as a data subject, which you can assert against us, subject to the legal requirements:

  1. the exercise of the right to freedom of expression and information,
  2. to fulfil a legal obligation to which we are subject (e.g. statutory retention obligations) or
  3. for the assertion, exercise or defence of legal claims.
  • Right to restrict processing: You are entitled to demand that we restrict the processing of your personal data under the conditions of Art. 18 DSGVO.
  • Right to data portability: You are entitled, under the conditions of Art. 20 DSGVO, to demand that we hand over to you the personal data concerning you that you have provided to us in a structured, common and machine-readable format.
  • Right to object: You have the right to object to the processing of your personal data under the conditions of Art. 21 DSGVO, so that we have to stop processing your personal data. The right to object only exists within the limits provided for in Art. 21 DSGVO. In addition, our interests may conflict with the termination of processing, so that we are entitled to process your personal data despite your objection.
  • Right of complaint: You can address complaints to the office mentioned under point 1.2. Furthermore, you are entitled to lodge a complaint with a supervisory authority, in particular in the member state of your place of residence, your place of work or the place of the alleged infringement, under the conditions of Art. 77 DSGVO, if you are of the opinion that the processing of personal data concerning you violates the DSGVO. The right of appeal is without prejudice to any other administrative or judicial remedy.
  • Revocation of consent:If you revoke your consent to the collection, processing and use of your data in whole or in part with effect for the future, we will immediately delete your data to the extent requested by you or block it for further use, subject to statutory retention periods.

Right of objection

You have the right to object at any time, on grounds relating to your particular situation, to the processing of personal data concerning you by us on the basis of Article 6(1)(e) (performance of a task carried out in the public interest) or Article 6(1)(f) DSGVO (legitimate interest of the controller). We will no longer process the personal data concerning you unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms, or the processing serves the purpose of asserting, exercising or defending legal claims.

5 Miscellaneous

External content

Some sections of our website contain links to third party websitesWhen you access these links, no personal data is transferred to these third-party providers. The websites of all third-party providers are subject to their own data protection principles. We are not responsible for their operation including data handling. If you send information to or via such third-party sites, you should check the privacy statements of these sites before you send them any information that can be attributed to you personally.

Secure encryption

When collecting or transmitting your data, we use state-of-the-art SSL encryption (SSL = Secure Sockets Layer). SSL encryption ensures the confidentiality of communication. This security feature is active when either the symbol of an intact key or a closed lock (browser-dependent) appears in the lower area of your browser window.

Changes

We reserve the right to change this privacy policy at any time. Any changes will be announced by posting the amended privacy policy on our website. Unless otherwise specified, such changes will be effective immediately. Therefore, please check this Privacy Policy periodically to review the most current version.

Last updated December 2022

 

Kontakt 

SignD Identity GmbH

1080 Vienna / Austria. Lange Gasse 70/3

eMail: office@signd.id

Company Reg Nr FN 507634 x
VAT Tax ID ATU74180414
Firmengericht: Handelsgericht Wien
gewerber. Geschäftsführer: Mag. Bernhard Reiterer
Berufszweig: IT-Dienstleistung