Datenschutzerklärung

Verantwortlicher

OneGuard GmbH, Welserstraße 3, 87463 Dietmannsried, Deutschland.
Vertreten durch den Geschäftsführer: Lukas Deward.
E-Mail: support@oneguard.app
Bei Fragen zum Datenschutz können Sie sich jederzeit unter der oben genannten Adresse oder per E-Mail an uns wenden.

Erhobene Daten und Verarbeitungszwecke

Wenn Sie unseren Verifikations-Service nutzen (z.B. beim Kauf von altersbeschränkten Produkten in einem Online-Shop, der OneGuard einsetzt), verarbeiten wir folgende personenbezogene Daten:

  • Identitätsdaten: Bilder Ihres Ausweisdokuments (z.B. Personalausweis, Reisepass oder Führerschein) und ggf. ein Live-Foto (Selfie) von Ihnen, um Ihre Identität und Ihr Alter zu überprüfen. Aus den Ausweisdokumenten werden relevante Informationen ausgelesen, darunter Vor- und Nachname, Geburtsdatum, Dokumenttyp und -nummer, Ablaufdatum, Ausstellungsland und Anschrift.
  • Kontaktdaten: Soweit für den Verifikationsprozess erforderlich, verarbeiten wir Ihre Kontaktdaten (z.B. Ihre E-Mail-Adresse), die uns entweder direkt von Ihnen oder vom Shop-Betreiber übermittelt werden. Dies dient dazu, Ihnen einen Verifikationslink zuzusenden oder Sie bei Rückfragen zur Verifizierung zu kontaktieren.
  • Verifikationsstatus: Das Ergebnis der Altersprüfung (erfolgreich verifiziert oder nicht) und eine eindeutige Vorgangs-ID werden gespeichert. Gegebenenfalls wird auch vermerkt, welche Art von Dokument geprüft wurde und ob die Prüfung manuell oder automatisiert erfolgte.

Zweck der Verarbeitung: Diese Daten werden ausschließlich zur Durchführung der Alters- und Identitätsprüfung verwendet, um sicherzustellen, dass Sie das erforderliche Mindestalter für den Erwerb des jeweiligen Produkts erreicht haben und zur Betrugsprävention (Verhinderung der Nutzung falscher/gefälschter Identitäten). Die Verarbeitung erfolgt im Interesse der Einhaltung gesetzlicher Jugendschutzvorgaben durch die Shop-Betreiber und zum Schutz Minderjähriger. Sie dient auch dazu, den Shop-Betreiber vor rechtlichen Risiken zu bewahren, die aus dem Verkauf altersbeschränkter Waren an Nicht-Berechtigte entstehen würden. Eine weitergehende Nutzung der Ausweisdaten findet nicht statt.
Automatisierte Verarbeitung: Die Altersverifikation kann teilweise automatisiert erfolgen. Dabei werden die von Ihnen hochgeladenen Ausweisbilder mittels Software und Künstlicher Intelligenz auf relevante Merkmale geprüft und die Altersangabe ermittelt. Zum Einsatz kommt unter anderem ein KI-gestützter Dienst, der die Ausweisdaten (inklusive maschinenlesbarer Zone) aus den Bildern extrahiert und auf Plausibilität prüft. Falls ein Live-Foto (Selfie) erforderlich ist, kann auch eine automatisierte Gesichtserkennungs- und Lebenderkennung (Liveness Check) stattfinden, um zu bestätigen, dass es sich um dieselbe Person wie auf dem Ausweis handelt und dass es sich um eine reale, anwesende Person handelt. Hinweis: Sollte die Überprüfung automatisiert zu einem negativen Ergebnis kommen (Verifikation nicht erfolgreich), wird der Vorgang – sofern möglich – manuell von einem Mitarbeiter überprüft, oder Sie erhalten die Möglichkeit, einen neuen Verifikationsversuch zu starten. Sie haben das Recht, im Falle einer vollständig automatisierten Entscheidung, die für Sie rechtliche Wirkung entfaltet oder Sie erheblich beeinträchtigt, einen menschlichen Ansprechpartner zu verlangen, der die Entscheidung überprüft. Rechtsgrundlagen: Die Verarbeitung Ihrer Identitätsdaten im Rahmen der Altersprüfung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse und dasjenige des Shop-Betreibers liegen darin, den gesetzlich vorgeschriebenen Jugendschutz und die Geschäftsfähigkeit sicherzustellen sowie Betrug zu verhindern. In vielen Fällen besteht auch eine gesetzliche Verpflichtung, das Alter zu überprüfen (z.B. nach Jugendschutzgesetz), sodass Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) einschlägig sein kann. Soweit wir besonders sensible Daten verarbeiten (z.B. biometrische Daten aus einem Gesichtsfoto für einen Identitätsabgleich), stützen wir dies – sofern keine andere gesetzliche Erlaubnis greift – auf Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die wir in diesem Fall vorab von Ihnen einholen. Die Bereitstellung Ihrer Ausweisdaten ist erforderlich, um den Altersnachweis zu erbringen; ohne diese können wir die Verifikation nicht durchführen und der Shop darf den Verkauf ggf. nicht abschließen. Weitergabe an den Shop: Im Anschluss an eine erfolgreiche Verifizierung teilen wir dem Shop-Betreiber mit, ob die Altersprüfung bestanden wurde. Welche Daten an den Shop übertragen werden, bestimmen Sie selbst: Sie können in der Verifikationsoberfläche angeben, ob Sie einer Übermittlung Ihrer persönlichen Ausweisdaten (z.B. Name, Geburtsdatum) an den Shop zustimmen. Ohne Ihre Zustimmung übermitteln wir lediglich den Verifikationsstatus (Bestätigung, dass die Altersprüfung erfolgreich war, ohne detaillierte Ausweisdaten). Mit Ihrer Zustimmung können wir zusätzlich bestimmte Daten (z.B. Ihren Vor- und Nachnamen, Geburtsdatum oder eine Kundennummer) an den Shop übermitteln, damit dieser seinen gesetzlichen Dokumentationspflichten nachkommen oder Ihren Kundenaccount als „verifiziert“ markieren kann. Diese Einwilligung können Sie freiwillig erteilen, und sie ist nicht erforderlich, um den Verifikationsprozess abzuschließen – sie dient lediglich der Erleichterung für den Shop. Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Ohne Ihre Zustimmung bleiben Ihre konkreten Ausweisdaten dem Shop-Betreiber verborgen; dieser erhält dann nur eine Mitteilung, dass Ihre Volljährigkeit bzw. Berechtigung bestätigt wurde.

Kontaktformular und Support-Anfragen

Auf unserer Website (oneguard.app) befindet sich ein Kontaktformular, über das Sie Anfragen stellen oder Support kontaktieren können. Wenn Sie dieses nutzen oder uns per E-Mail kontaktieren, verarbeiten wir folgende Daten:
Kontakt- und Inhaltsdaten: Ihr Name, Ihre E-Mail-Adresse und der Inhalt Ihrer Nachricht sowie ggf. ein Betreff oder die Auswahl, ob Sie als „Kunde“ oder „Unternehmen“ anfragen. Sie können freiwillig weitere Angaben machen, die für die Bearbeitung Ihrer Anfrage relevant sind (z.B. eine Bestell- oder Verifikationsnummer, falls Ihre Anfrage sich auf einen konkreten Verifikationsvorgang bezieht).
Zweck: Diese Daten verwenden wir ausschließlich, um Ihre Anfrage zu bearbeiten und mit Ihnen in Kontakt zu treten. Wenn Sie uns z.B. Support-Anfragen oder Fragen zu unseren Dienstleistungen senden, verarbeiten wir die Angaben, um Ihr Anliegen zu beantworten.
Rechtsgrundlage: Die Verarbeitung der im Kontaktformular eingegebenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, wenn die Anfrage in Zusammenhang mit der Vertragsanbahnung oder -durchführung steht (etwa Fragen eines Shop-Betreibers zu unserem Service). In allen anderen Fällen stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – unser berechtigtes Interesse liegt darin, Anfragen von Nutzern/Kunden zu beantworten und unseren Service zu verbessern. Ihre Angaben im Kontaktformular sind freiwillig; jedoch können wir Ihre Anfrage ohne die Angabe einer gültigen Kontaktmöglichkeit (z.B. E-Mail) nicht beantworten. Hinweis: Support-Anfragen werden von uns ggf. intern dokumentiert (z.B. in Form von Tickets oder E-Mails), um den Verlauf nachvollziehen zu können. Wir verwenden für den Versand und Empfang von Support-E-Mails den Dienst Mailgun (siehe dazu weiter unten unter Drittanbieter). Dabei werden die von Ihnen eingegebenen Daten (inkl. Ihrer E-Mail und Nachricht) an unser internes Support-E-Mail-System weitergeleitet.

Besuch der Website / Server-Logfiles

Beim rein informatorischen Besuch unserer Website (ohne Nutzung des Verifikationsservices oder des Kontaktformulars) werden aus technischen Gründen gewisse Nutzungsdaten automatisch von unserem Webhosting-Provider erfasst. Dies umfasst insbesondere:
Server-Logdaten: IP-Adresse des anfragenden Geräts, Datum und Uhrzeit der Anfrage, abgerufene Seite/Datei, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, Betriebssystem des Nutzers, verweisende URL (Referrer) und ähnliches.
Zweck: Die Erhebung dieser Logdaten ist notwendig, um die Auslieferung der Website an Ihr Gerät zu ermöglichen und die Stabilität sowie Sicherheit unseres Webangebots zu gewährleisten (z.B. Abwehr von Angriffsversuchen, Fehlersuche). Wir behalten uns vor, die Logdaten nachträglich auszuwerten, wenn konkrete Anhaltspunkte für eine rechtswidrige Nutzung (z.B. ein Cyberangriff) vorliegen. Rechtsgrundlage: Die Verarbeitung der genannten Nutzungsdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Bereitstellung der Website und der IT-Sicherheit. Cookies & Tracking: Unsere OneGuard-Website verwendet derzeit keine Analyse- oder Marketing-Cookies von Drittanbietern. Es werden nur technisch notwendige Cookies eingesetzt (z.B. für Spracheinstellungen oder zur Aufrechterhaltung Ihrer Sitzung), sofern solche für die Grundfunktionen erforderlich sind. Über etwaige nicht notwendige Cookies oder ähnliche Technologien informieren wir Sie gesondert und holen Ihre Einwilligung ein. (Hinweis: Sollte sich dies ändern, werden wir die Datenschutzerklärung aktualisieren.)

Weitergabe von Daten und eingesetzte Dienstleister (Dritte)

Wir geben Ihre personenbezogenen Daten grundsätzlich nur dann an Dritte weiter, wenn dies zur Erfüllung unserer Dienstleistungen erforderlich ist, Sie ausdrücklich eingewilligt haben, eine gesetzliche Verpflichtung besteht oder unser berechtigtes Interesse dies ausnahmsweise erlaubt. Mit allen externen Dienstleistern, die in unserem Auftrag Daten verarbeiten (Auftragsverarbeiter), haben wir gemäß Art. 28 DSGVO Verträge geschlossen, um den Schutz Ihrer Daten sicherzustellen. Im Folgenden informieren wir über die Drittanbieter und Infrastruktur-Dienste, die im Rahmen von OneGuard zum Einsatz kommen:

Shopify: OneGuard ist als App in Shopify-Shops integrierbar. Wenn ein Online-Shop OneGuard nutzt, werden bestimmte Bestell- und Kundendaten aus dem Shop an uns übermittelt, um die Altersverifikation durchzuführen. Dies umfasst z.B. eine Auftragsnummer, Ihren Namen, Ihr Geburtsdatum (falls im Shop vorhanden) und Ihre Kontaktdaten (E-Mail), damit wir Sie für die Verifikation erreichen können. Ebenso kann OneGuard nach erfolgter Verifikation den Bestellstatus im Shopify-System aktualisieren (z.B. die Bestellung freigeben oder mit einem Verifizierungsvermerk versehen). Shopify International Ltd. (Irland) und Shopify Inc. (Kanada) sind die Betreiber der Shopify-Plattform. Kanada gilt datenschutzrechtlich als ein sicheres Drittland mit Angemessenheitsbeschluss der EU. Dennoch erfolgt die Weitergabe an Shopify nur in dem Umfang, wie es für die Vertragsdurchführung mit dem Shop-Betreiber nötig ist (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO, Vertrag mit dem Shop-Betreiber bzw. dessen berechtigtes Interesse an der Bestellabwicklung). Weitere Informationen zur Datenverarbeitung durch Shopify entnehmen Sie bitte den Datenschutzrichtlinien von Shopify. Bitte beachten Sie, dass in diesem Kontext der jeweilige Shop-Betreiber eigenständig für Ihre Daten verantwortlich sein kann; OneGuard agiert insoweit als Auftragsverarbeiter für den Shop.

Stripe: Für Zahlungsabwicklungen und Abrechnung gegenüber unseren Geschäftskunden (Shop-Betreibern) nutzen wir Stripe als Zahlungsdienst. Wenn Sie also z.B. als Händler für OneGuard-Leistungen zahlen, werden Zahlungsdaten an Stripe übermittelt. Stripe ist ein Dienst der Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Dabei kann es sich um Rechnungsbeträge, gewählte Zahlungsmittel und Zahlungskennungen (z.B. Kreditkartentoken) sowie abrechnungsrelevante Kontaktdaten handeln. Stripe fungiert in einigen Fällen als eigener Verantwortlicher für die Zahlungsabwicklung. Soweit Stripe Daten in die USA an die Konzernmutter Stripe, Inc. (USA) übermittelt, geschieht dies auf Basis von Standardvertragsklauseln, um ein angemessenes Datenschutzniveau sicherzustellen. Mehr Informationen finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/privacy. (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragsdurchführung, für die Übermittlung an Stripe ggf. auch Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einer sicheren Zahlungsabwicklung.)

Mailgun (E-Mail-Versand): Wir verwenden Mailgun als E-Mail-Dienstleister, um E-Mails zuverlässig zu versenden – etwa die Nachrichten aus dem Kontaktformular oder Benachrichtigungen im Verifikationsprozess. Anbieter ist die Mailgun Technologies, Inc., 112 E Pecan St #1135, San Antonio, TX 78205, USA (ein Unternehmen der Sinch-Gruppe). Wir nutzen Mailgun über deren EU-Server („api.eu.mailgun.net“), sodass Ihre E-Mails nach Möglichkeit innerhalb der EU verarbeitet werden. Dennoch kann nicht ausgeschlossen werden, dass Mailgun in Einzelfällen Daten in die USA übermittelt oder dort darauf zugegriffen wird. Mit Mailgun haben wir einen Auftragsverarbeitungsvertrag einschließlich der EU-Standardvertragsklauseln abgeschlossen, um ein dem EU-Datenschutz entsprechendes Niveau zu gewährleisten. Mailgun speichert die Inhaltsdaten versandter E-Mails typischerweise bis zu 30 Tage, um z.B. die Zustellung nachverfolgen zu können. (Rechtsgrundlage für den Einsatz von Mailgun ist Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einem effizienten und sicheren Versand unserer E-Mails. Sofern Sie uns über das Kontaktformular schreiben, geschieht die Weiterleitung Ihrer Anfrage per E-Mail auf Grundlage Ihrer (konkludenten) Einwilligung bzw. – bei Bestandskunden – zur Vertragserfüllung.)

OpenAI: Ein Bestandteil unseres Verifikationsprozesses kann die automatisierte Auswertung von Ausweisdokumenten mittels Künstlicher Intelligenz sein. Hierzu nutzen wir Dienste der OpenAI, L.L.C., USA. Konkret können die von Ihnen hochgeladenen Ausweis-Bilder oder Textauszüge an die OpenAI-Plattform übermittelt werden, um mithilfe eines KI-Modells die relevanten Daten (Name, Geburtsdatum etc.) auszulesen und Plausibilitätsprüfungen durchzuführen.
Wichtige Hinweise: Einwilligung erforderlich: Diese Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Ohne Einwilligung wird OpenAI nicht eingesetzt; wir bieten Ihnen in diesem Fall alternative Verifikationsmethoden an. OpenAI als eigener Verantwortlicher: Bitte beachten Sie, dass OpenAI im Rahmen der API-Nutzung nicht als reiner Auftragsverarbeiter, sondern als eigener Verantwortlicher agiert. Wir haben dennoch mit OpenAI vertragliche Vereinbarungen (u. a. EU-Standardvertragsklauseln) abgeschlossen. USA-Übermittlung und Risiken: Bei der Übermittlung in die USA besteht – trotz vertraglicher Schutzmaßnahmen – ein erhöhtes Risiko, dass US-Behörden auf die Daten zugreifen können, ohne dass Ihnen wirksame Rechtsbehelfe zur Verfügung stehen (EuGH „Schrems II“). Zusatzmaßnahmen: Um dieses Risiko zu mindern, werden die Daten verschlüsselt übertragen, es werden nur die für den Zweck minimal erforderlichen Inhalte weitergegeben (Datensparsamkeit), und Daten werden – soweit möglich – pseudonymisiert. Speicherdauer: OpenAI speichert übermittelte API-Daten nach eigenen Angaben maximal 30 Tage zur Missbrauchserkennung und löscht sie danach. Eine Nutzung für Trainingszwecke findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 49 Abs. 1 lit. a DSGVO für die Übermittlung in ein unsicheres Drittland (USA). Hinweis: Sie können Ihre Einwilligung jederzeit verweigern oder widerrufen. In diesem Fall führen wir die Altersverifikation über andere Verfahren durch.

Supabase: Wir speichern die bei der Verifikation anfallenden Daten (z.B. Ihre Verifikations-ID, Prüfergebnis und temporär ggf. Ausweisdaten) in einer Cloud-Datenbank von Supabase. Supabase ist ein Dienst der Supabase, Inc. mit Hauptsitz in den USA (vertretungsweise: Supabase Germany GmbH, c/o WeWork, Eichhornstraße 3, 10785 Berlin, für den EU-Raum). Unser Supabase-Backend wird auf Servern in der EU (eu-west-1 Region) betrieben, soweit wir dies veranlassen können. Dennoch kann nicht ausgeschlossen werden, dass Supabase im Supportfall oder durch die Firmenstruktur Zugriff aus den USA erhält. Auch mit Supabase haben wir einen DSGVO-konformen Auftragsverarbeitungsvertrag einschließlich Standardvertragsklauseln abgeschlossen. Die Speicherung in der Supabase-Datenbank ermöglicht es uns, unseren Service effizient anzubieten (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einer zuverlässigen technischen Infrastruktur). Die Daten in der Datenbank sind durch Zugriffsbeschränkungen und Verschlüsselung gegen unbefugten Zugriff geschützt. Supabase selbst wirbt mit GDPR-Konformität und Verschlüsselung der Kundendaten.

Hosting:

Unsere Webanwendung und Dienste werden aus Leistungs- und Sicherheitsgründen bei mehreren Hosting- und Infrastruktur-Anbietern betrieben:
Die OneGuard-Webseite wird über Netlify, Inc. (USA) bereitgestellt. Netlify hostet statische Inhalte unseres Webauftritts. Bei Aufruf unserer Webseite werden daher Ihre Browser-Anfragen an Netlify-Server geleitet. Netlify ist unter dem EU-US Data Privacy Framework zertifiziert und wir haben zusätzliche Standardvertragsklauseln vereinbart, um den Datenschutz zu gewährleisten. Unsere Server-Komponenten/API für die Verifikation laufen unter anderem auf Render. Render, Inc. (USA) stellt Cloud-Hosting bereit; wir nutzen möglichst deren Rechenzentrums-Standorte in der EU (z.B. Frankfurt) für unsere Dienste. Auch hier kommen EU-Standardvertragsklauseln zum Einsatz, um evtl. Zugriffe aus den USA abzusichern. Zusätzlich verwenden wir Hetzner Online GmbH (Deutschland) als Hosting-Provider. Insbesondere können einzelne Dienste oder Speicher bei Hetzner-Servern in Deutschland liegen. Hetzner unterliegt unmittelbar dem deutschen/europäischen Datenschutzrecht. Diese Hosting-Dienstleister verarbeiten Logdaten und ggf. von uns eingespeiste Daten in unserem Auftrag. Die Rechtsgrundlage für den Einsatz der genannten Hosting-Services ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ausfallsicheren, effizienten und sicheren Bereitstellung unseres Services). Mit allen genannten Anbietern bestehen Verträge nach Art. 28 DSGVO. Soweit diese Dienstleister außerhalb der EU sitzen (USA), stützen wir die Zusammenarbeit auf geeignete Garantien (z.B. SCC) und achten darauf, dass möglichst EU-Rechenzentren genutzt werden. (Hinweis: Alle genannten Drittanbieter verwenden die Daten nur in unserem Auftrag oder zur Erfüllung der jeweiligen Dienstleistung. Eine eigenmächtige Nutzung Ihrer Daten zu anderen Zwecken durch diese Dritten ist vertraglich ausgeschlossen. In Einzelfällen können gesetzliche Vorschriften jedoch verlangen, dass wir oder unsere Dienstleister Daten an Behörden herausgeben müssen – etwa auf berechtigte Anfrage von Strafverfolgungsbehörden.)

Datenübermittlung in Drittländer

Wie oben beschrieben, kann es bei einigen der eingesetzten Dienste zu Übermittlungen personenbezogener Daten in Drittländer außerhalb der EU/ des EWR kommen, insbesondere in die USA (z.B. bei Nutzung von OpenAI, Mailgun, Render oder Stripe ggf. an die US-Muttergesellschaft). Die USA weisen derzeit kein der EU gleichwertiges Datenschutzniveau auf, weshalb insbesondere das Risiko besteht, dass US-Behörden auf Ihre Daten zugreifen könnten, ohne dass Ihnen hiergegen zwingend effektive Rechtsbehelfe zustehen. Wir haben daher vertragliche Standarddatenschutzklauseln (Standard Contractual Clauses – SCC) mit den betreffenden Dienstleistern abgeschlossen, die diese zu einem Schutz Ihrer Daten nach EU-Standards verpflichten. Gegebenenfalls holen wir zusätzlich Ihre Einwilligung ein (Art. 49 Abs. 1 lit. a DSGVO), bevor wir Daten in die USA übertragen – dies ist insbesondere bei der OpenAI-Verifikation der Fall. Zusätzlich treffen wir nach Möglichkeit weitere Maßnahmen, wie die Verschlüsselung der übertragenen Inhalte und die Beschränkung auf das Minimum erforderlicher Daten (Datensparsamkeit). Bitte sprechen Sie uns an, wenn Sie hierzu weitere Informationen wünschen oder Kopien der vertraglichen Garantien einsehen möchten.

Speicherdauer und Löschung

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es zur Erreichung der jeweiligen Verarbeitungszwecke erforderlich ist und wie es uns nach den geltenden Gesetzen erlaubt ist. Danach werden die Daten gelöscht oder in ihrer Verarbeitung eingeschränkt. Im Einzelnen: Ausweisdaten (Bilder) aus der Altersverifikation: Die hochgeladenen Ausweis-Fotos werden in der Regel nach Abschluss der Verifizierung kurzfristig gespeichert und dann gelöscht oder anonymisiert. Standardmäßig bewahren wir diese Bilddaten für eine Dauer von mindestens 30 Tagen auf internen, gesicherten Systemen auf, um etwaige Nachprüfungen, Qualitätssicherungen oder Rechtsverteidigung zu ermöglichen. Nach Ablauf dieser Frist werden die Bilder gelöscht, sofern kein besonderer Grund für eine längere Aufbewahrung besteht. Eine längere Speicherung (bis zu 90 Tage oder dauerhaft) erfolgt nur, wenn (a) gesetzliche Aufbewahrungspflichten oder berechtigte Gründe dies erfordern oder (b) Sie als Nutzer in eine längere Speicherung ausdrücklich eingewilligt haben. Beispielsweise könnte eine verlängerte Vorhaltung sinnvoll sein, wenn Sie möchten, dass Ihr Verifikationsnachweis für zukünftige Käufe gespeichert bleibt – in solchen Fällen holen wir Ihre Zustimmung separat ein. Ohne eine solche Grundlage löschen wir die Ausweisfotos nach spätestens 30 Tagen endgültig. (Nach Löschung der Bilder behalten wir lediglich die Prüfprotokolle und Metadaten ohne Personenbezug bzw. mit pseudonymisierten Referenzen, soweit dies zur Statistik oder Systemsicherheit nötig ist.) Verifikations-Protokolle und Ergebnisdaten: Die textuellen Ergebnisse der Altersprüfung (z.B. „Verifikation erfolgreich am [Datum] für Person X geboren am [Datum]“) und zugehörige Protokolldaten werden für einen längeren Zeitraum aufbewahrt, typischerweise solange der Shop-Betreiber Kunde bei uns ist bzw. solange das Benutzerkonto existiert, damit im Wiederholungsfall nicht erneut verifiziert werden muss und um unsere Dienstleistung nachweisen zu können. Nach Beendigung des Vertrags mit dem Shop-Betreiber oder auf Ihren individuellen Löschwunsch hin werden diese personenbezogenen Verifikationsdaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
Kontaktdaten aus Verifikationen: Falls wir Ihre E-Mail-Adresse oder Telefonnummer im Rahmen eines Verifikationsvorgangs erhalten haben (z.B. um Ihnen den Verifikationslink zu senden), nutzen wir diese nur für die Kommunikation im Rahmen der aktuellen Verifizierung. Eine darüber hinausgehende Nutzung (etwa für Werbung) findet nicht statt, es sei denn, Sie haben dem ausdrücklich zugestimmt. Nach Abschluss des Vorgangs und Ablauf einer kurzen Nachbearbeitungszeit (für Rückfragen) löschen wir diese Kontaktdaten, sofern sie nicht anderweitig (z.B. in einem Kundenkonto) gespeichert sind.
Daten aus dem Kontaktformular/Support: Ihre Nachrichten und die darin enthaltenen Daten werden zur Bearbeitung Ihrer Anfrage gespeichert. In der Regel archivieren wir Support-E-Mails für maximal 6-12 Monate, um bei Folgerückfragen den Gesprächsverlauf zu kennen. Bei sensiblen Anfragen oder falls Sie es wünschen, können wir Ihre Nachricht auch früher löschen. Gesetzliche Aufbewahrungsfristen (siehe unten) bleiben unberührt.
Account- und Abrechnungsdaten (für Shop-Betreiber): Wenn Sie als Geschäftskunde (Shop-Betreiber) unseren Dienst nutzen, speichern wir Ihre Registrierungsdaten (Firmenname, Ansprechpartner, Kontaktdaten) und Rechnungsinformationen so lange, wie Ihr Kundenkonto aktiv ist. Nach Vertragsende löschen wir diese Daten routinemäßig binnen einiger Monate, soweit sie nicht noch für Abrechnungszwecke benötigt werden. Rechnungen und buchhalterische Unterlagen bewahren wir entsprechend der gesetzlichen Vorgaben 10 Jahre auf (steuer- und handelsrechtliche Aufbewahrungspflichten nach §257 HGB, §147 AO). Während dieser Zeit werden die Daten jedoch für andere Zwecke gesperrt. Grundsätzlich gilt: Sobald ein Zweck für die Datenverarbeitung wegfällt und keine rechtliche Pflicht zur Aufbewahrung besteht, löschen wir die betreffenden Daten unverzüglich. In einigen Fällen können Daten zunächst nicht vollständig gelöscht, aber gesperrt werden, wenn etwa gesetzliche Fristen einzuhalten sind. Gesperrte Daten werden nicht für andere Zwecke genutzt.

Datensicherheit

OneGuard trifft umfangreiche technische und organisatorische Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. Dies umfasst unter anderem: Verschlüsselung der Kommunikationswege (SSL/TLS) bei der Übertragung Ihrer Daten, Verschlüsselung der sensiblen Daten in unseren Datenbanken, Zugriffsbeschränkungen nach dem Need-to-know-Prinzip sowie regelmäßige Sicherheitsüberprüfungen unserer Systeme. Besonders schützenswerte Daten wie Ausweisbilder werden sicher gespeichert und nur autorisiertem Personal bzw. den notwendigen Verifikations-Diensten zugänglich gemacht. Unsere Dienstleister wurden sorgfältig ausgewählt und sind vertraglich auf Datenschutz und geheimhaltung verpflichtet. Wir verbessern unsere Sicherheitsmaßnahmen kontinuierlich entsprechend der technologischen Entwicklung.

Rechte der betroffenen Person

Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO die folgenden Rechte zu. Sie können uns hierzu jederzeit unter den oben angegebenen Kontaktinformationen kontaktieren:

Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir von Ihnen gespeichert haben, zu welchen Zwecken wir sie verarbeiten, und weitere Informationen über die Verarbeitung. Auf Anfrage stellen wir Ihnen eine Kopie der Daten zur Verfügung, die Gegenstand der Verarbeitung sind.
Recht auf Berichtigung (Art. 16 DSGVO): Sollten Ihre personenbezogenen Daten unrichtig oder unvollständig sein, können Sie die Berichtigung bzw. Vervollständigung dieser Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist z.B. der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt, oder wenn wir die Daten unrechtmäßig verarbeitet haben. Bitte beachten Sie, dass bestimmte Daten nicht sofort gelöscht werden dürfen, wenn gesetzliche Aufbewahrungspflichten bestehen oder wenn wir sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. In solchen Fällen sperren wir die Daten bis zur Löschung.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Beispielsweise können Sie dies tun, wenn Sie die Richtigkeit der Daten bestreiten (für die Dauer der Überprüfung) oder wenn Sie eine Verarbeitung ablehnen, aber eine Löschung noch nicht gewünscht oder möglich ist. Im Fall der Einschränkung markieren wir die betreffenden Daten und verarbeiten sie – abgesehen von der Speicherung – nur noch für die von der DSGVO zugelassenen Zwecke.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben und die wir auf Basis Ihrer Einwilligung oder zur Vertragserfüllung automatisiert verarbeiten, in einem gängigen, maschinenlesbaren Format zu erhalten. Auf Wunsch – und soweit technisch machbar – können wir diese Daten auch direkt einem von Ihnen benannten anderen Verantwortlichen übertragen.
Widerspruchsrecht (Art. 21 DSGVO): Soweit wir die Verarbeitung Ihrer Daten auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen, haben Sie das Recht, Widerspruch gegen diese Verarbeitung einzulegen, wenn sich aus Ihrer besonderen Situation Gründe ergeben, die gegen die Datenverarbeitung sprechen. Im Falle eines Widerspruchs werden wir Ihre Daten nicht weiter auf dieser Grundlage verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Hinweis: Gegen die Verarbeitung Ihrer Daten zu Werbezwecken können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen; wir werden die Verarbeitung dann umgehend einstellen.
Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Wenn wir Ihre personenbezogenen Daten aufgrund einer von Ihnen erteilten Einwilligung verarbeiten, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin – auf Basis der Einwilligung – erfolgten Datenverarbeitung nicht berührt. Nach Widerruf werden wir die betroffenen Datenverarbeitungen einstellen, sofern nicht eine andere Rechtsgrundlage eingreift.
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass wir bei der Verarbeitung Ihrer personenbezogenen Daten datenschutzrechtliche Vorschriften verletzen, können Sie sich jederzeit an eine Datenschutz-Aufsichtsbehörde wenden. Sie können dies bei der Behörde in dem EU-Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes tun. In Bayern ist die zuständige Aufsichtsbehörde z.B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Das Beschwerderecht gilt unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Wir bitten Sie, sich bei Fragen oder Problemen zunächst an uns zu wenden, damit wir gemeinsam eine Lösung finden können.

Mindestalter

Unsere Dienste richten sich an Personen ab 16 Jahren. Wir verarbeiten keine personenbezogenen Daten von Kindern unter 16 Jahren, es sei denn, eine ausdrückliche Einwilligung der Erziehungsberechtigten wurde erteilt. Insbesondere ist eine eigenständige Einwilligung in Datenverarbeitung oder Altersverifikation unter 16 Jahren nicht wirksam; dies entspricht dem von der DSGVO vorgegebenen Mindestalter für digitale Einwilligungen. Wenn wir feststellen, dass uns unbeabsichtigt Daten von Personen unter 16 Jahren ohne elterliche Zustimmung übermittelt wurden, werden wir diese Daten umgehend löschen. Eltern oder Sorgeberechtigte können uns kontaktieren, um eine etwaige Verarbeitung von Daten ihrer Kinder zu unterbinden.

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren. Die jeweils aktuelle Version ist auf unserer Website unter oneguard.app/privacy abrufbar.
Stand dieser Datenschutzerklärung: September 2025.