Dieser Hinweis beschreibt, welche personenbezogenen Daten bei der Nutzung von ROCKVALID verarbeitet werden können, zu welchen Zwecken dies geschieht und welche Daten nach dem Grundsatz der Datensparsamkeit gerade nicht dauerhaft gespeichert werden sollen.
ROCKVALID verfolgt einen anderen Ansatz als viele klassische elektronische Signatur- und Dokumentplattformen. Die Plattform ist nicht darauf ausgelegt, Dokumente dauerhaft zentral zu speichern, Nutzerprofile für Werbung zu erstellen oder Dokumentinhalte für Analyse- oder Trainingszwecke zu verwenden.
Grundidee: ROCKVALID soll Dokumente überprüfbar machen, ohne die Dokumente dauerhaft besitzen zu müssen.
Verantwortlich für die Datenverarbeitung ist:
ROCKVALID UG (haftungsbeschränkt) in Gründung
Weisestraße 50
12049 Berlin
Deutschland
E-Mail: info [at] rockvalid . com
Viele digitale Dienste schützen Daten, indem sie diese zunächst umfangreich erfassen und anschließend technisch absichern. ROCKVALID verfolgt einen anderen Ansatz: Daten, die für den Zweck der Verifikation nicht dauerhaft benötigt werden, sollen möglichst nicht dauerhaft gespeichert werden.
Bei der Zertifizierung oder Verifikation von PDF-Dokumenten arbeitet ROCKVALID mit kryptographischen Hashwerten. Ein Hashwert ist ein mathematischer Fingerabdruck eines Dokuments. Er erlaubt es, später zu prüfen, ob ein Dokument unverändert geblieben ist, ohne den Dokumentinhalt selbst öffentlich machen zu müssen.
ROCKVALID speichert nach dieser Architektur keine dauerhaften Kundendateien als Dokumentarchiv. Hochgeladene PDF-Dateien werden verarbeitet, um Hashwerte, Signaturdaten oder Verifikationsdaten zu erzeugen oder zu prüfen. Eine dauerhafte Ablage der Dokumentinhalte als Kundendatenbank ist nicht vorgesehen.
| Bereich | Klassische Signaturplattform | ROCKVALID-Ansatz |
|---|---|---|
| Dokumente | Klassische Signaturplattform Häufig zentrale Speicherung, Dokumentenarchive, Nutzerkonten und Transaktionsräume. | ROCKVALID-Ansatz Keine dauerhafte Speicherung von Dokumentinhalten als Kundendatei vorgesehen. |
| Verifikation | Klassische Signaturplattform Häufig abhängig von Plattformkonto, Anbieterlogik und zentraler Datenbank. | ROCKVALID-Ansatz Öffentlich nachvollziehbare Prüfung über Hashwerte, Locator-IDs und Blockchain-Metadaten. |
| Nutzerprofile | Klassische Signaturplattform Oft umfangreiche Konten, Rollen, Organisationsprofile und Nutzungsdaten. | ROCKVALID-Ansatz Keine klassischen Nutzerprofile erforderlich, soweit die jeweilige Funktion ohne Konto angeboten wird. |
| Tracking | Klassische Signaturplattform Häufig Cookies, Analyse-, Marketing- und Werbetechnologien. | ROCKVALID-Ansatz Möglichst keine nicht notwendigen Cookies und keine personenbezogene Werbung vorgesehen. |
| KI-Training | Klassische Signaturplattform Je nach Anbieter können Nutzungsdaten oder nicht identifizierte Kundendaten für Produktentwicklung genutzt werden. | ROCKVALID-Ansatz Keine Nutzung hochgeladener PDF-Dokumente zum Training von KI-Systemen vorgesehen. |
| Blockchain | Klassische Signaturplattform Nicht zwingend Bestandteil klassischer Plattformen. | ROCKVALID-Ansatz Speicherung kompakter kryptographischer Nachweise, nicht der Dokumentinhalte. |
| Datenschutzidee | Klassische Signaturplattform Schutz gespeicherter Daten durch Zugriffskontrolle. | ROCKVALID-Ansatz Schutz durch Minimierung, Nichtbesitz und reproduzierbare Verifikation. |
Diese Tabelle beschreibt den angestrebten ROCKVALID-Ansatz. Die konkrete Umsetzung hängt von den jeweils aktivierten Funktionen, Zahlungswegen, Onboarding-Verfahren und technischen Betriebsprozessen ab.
Je nach Nutzung einzelner ROCKVALID-Funktionen können insbesondere folgende Daten verarbeitet werden:
Nach dem aktuellen Systemdesign ist insbesondere nicht vorgesehen:
Einzelne Daten können dennoch bei Dritten entstehen oder gespeichert werden, etwa bei Banken, Wallet-Anbietern, Blockchain-Infrastruktur, Hosting-Anbietern oder externen Identitätsdiensten.
Wenn ein Nutzer ein PDF-Dokument hochlädt, wird dieses technisch verarbeitet, um eine Zertifizierung, Signatur, Multi-Signatur oder Verifikation durchzuführen. Dabei können Hashwerte berechnet, eingebettete ROCKVALID-Daten geprüft, PDF-Metadaten gelesen oder eine aktualisierte Datei erzeugt werden.
ROCKVALID ist nicht darauf ausgelegt, hochgeladene PDFs als dauerhaftes Dokumentenarchiv zu speichern. Nach Abschluss des jeweiligen Verarbeitungsvorgangs soll das Dokument grundsätzlich nicht als Kundendatei auf ROCKVALID-Systemen verbleiben.
Der Nutzer ist selbst dafür verantwortlich, das erzeugte zertifizierte oder signierte Dokument herunterzuladen, sicher aufzubewahren und bei Bedarf an Dritte weiterzugeben.
ROCKVALID nutzt öffentliche Blockchain-Transaktionen, um kryptographische Nachweise öffentlich prüfbar zu machen. Öffentliche Blockchain-Daten sind grundsätzlich dauerhaft einsehbar, weltweit repliziert und regelmäßig nicht nachträglich löschbar.
Aus diesem Grund schreibt ROCKVALID keine Dokumentinhalte und nach Möglichkeit keine Klartext-Identitätsdaten in die Blockchain. Stattdessen werden kompakte technische Nachweise wie Hashwerte, Locator-IDs, Protokollversionen und technische Metadaten verwendet.
Die Blockchain beweist nicht den Inhalt eines Dokuments. Sie ermöglicht die spätere Prüfung, ob ein Dokument zu einem bestimmten kryptographischen Nachweis passt.
ROCKVALID kann unterschiedliche Vertrauensstufen verwenden. Diese Trust-Level beschreiben, auf welcher Grundlage eine RockV-ID oder Wallet-Verknüpfung geprüft wurde.
ROCKVALID behauptet nicht, absolute Wahrheit über eine Person zu besitzen. ROCKVALID dokumentiert transparent, welche Nachweise vorliegen und welchem Vertrauensniveau diese zugeordnet werden.
Beim bankbasierten Onboarding kann ROCKVALID einen einmaligen TAN-Code erzeugen. Der Nutzer kann diesen TAN-Code im Verwendungszweck einer Banküberweisung und zusätzlich in den Metadaten einer Wallet-Transaktion verwenden. Dadurch kann eine Verbindung zwischen Bankkonto und Wallet-Kontrolle geprüft werden.
Banküberweisungen erzeugen zwangsläufig Daten bei der Bank. Dazu gehören insbesondere Name des Kontoinhabers, IBAN, Betrag, Buchungstag und Verwendungszweck. Diese Daten können in Bankunterlagen und Kontoauszügen sichtbar bleiben.
ROCKVALID kann diese Bankdaten zur Prüfung des Onboardings einsehen oder verarbeiten, speichert sie jedoch nach Möglichkeit nicht zusätzlich in einer allgemeinen ROCKVALID-Kundendatenbank. Soweit interne Nachweise erforderlich sind, sollen diese minimiert, pseudonymisiert oder als Referenzdaten verarbeitet werden.
Bankdaten können gesetzlichen Aufbewahrungsfristen, Bankvorgaben und steuerlichen Dokumentationspflichten unterliegen. ROCKVALID kann die Speicherung bei Banken nicht verhindern.
Zur Missbrauchsprävention, Qualitätssicherung, rechtlichen Verteidigung und internen Revisionsfähigkeit kann ROCKVALID ein minimales Auditprotokoll führen.
Dieses Auditprotokoll kann insbesondere folgende Informationen enthalten: RockV-ID, Trust-Level, Onboarding-Methode, Zeitpunkt, Prüfstatus, interne Bearbeiterkennung, Hash- oder Referenzwerte zu TAN- oder Transaktionsdaten sowie Hinweise auf sicherheitsrelevante Ereignisse.
Ziel dieses Auditprotokolls ist nicht die Profilbildung, sondern die Möglichkeit, fehlerhafte, missbräuchliche oder vorsätzlich falsche Onboardings intern nachvollziehen zu können.
ROCKVALID strebt an, möglichst ohne nicht notwendige Cookies, ohne personenbezogene Werbung und ohne verhaltensbasiertes Tracking zu arbeiten.
Soweit technische Speichermechanismen eingesetzt werden, dienen diese vorrangig der Spracheinstellung, Funktionsfähigkeit, Sicherheit oder Bedienbarkeit der Website.
Analyse-, Marketing- oder Tracking-Technologien werden nur eingesetzt, wenn sie technisch erforderlich sind oder hierfür eine wirksame Einwilligung vorliegt.
Die Verarbeitung personenbezogener Daten erfolgt je nach Vorgang auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Soweit Daten zur Systemsicherheit, Missbrauchsprävention, Fehleranalyse oder rechtlichen Verteidigung verarbeitet werden, kann die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruhen.
Soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Soweit eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.
Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies für den jeweiligen Zweck erforderlich ist, eine rechtliche Pflicht besteht oder der Nutzer eingewilligt hat. Mögliche Empfänger oder Beteiligte können sein:
ROCKVALID verkauft keine Dokumentinhalte und gibt keine hochgeladenen PDFs zu Werbezwecken an Dritte weiter.
Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Hochgeladene PDF-Dokumente sollen nach Abschluss des technischen Verarbeitungsvorgangs nicht dauerhaft als Kundendateien gespeichert werden.
Technische Server-Logs werden nach Möglichkeit nur kurzfristig gespeichert. Die konkrete Logfrist beträgt 7 Tage, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erforderlich machen.
Bank- und Buchhaltungsdaten können gesetzlichen Aufbewahrungspflichten unterliegen. Interne Auditdaten werden nur so lange aufbewahrt, wie dies für Missbrauchsprävention, Revisionsfähigkeit oder rechtliche Verteidigung erforderlich ist.
ROCKVALID setzt technische und organisatorische Maßnahmen ein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme zu schützen. Dazu können Zugriffsbeschränkungen, Verschlüsselung, Pseudonymisierung, Protokollierung sicherheitsrelevanter Ereignisse und getrennte Verarbeitungsbereiche gehören.
Der wichtigste Schutzmechanismus ist jedoch die Architektur selbst: Daten, die nicht dauerhaft gespeichert werden, können im Falle eines Angriffs auch nicht als dauerhaftes Dokumentenarchiv abfließen.
Betroffene Personen haben nach Maßgabe der DSGVO insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Außerdem besteht das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.
Bitte beachten Sie, dass öffentliche Blockchain-Daten technisch regelmäßig nicht durch ROCKVALID gelöscht werden können. ROCKVALID beschränkt deshalb die on-chain gespeicherten Informationen auf technische Nachweise.
ROCKVALID richtet sich nicht gezielt an Kinder. Minderjährige sollten ROCKVALID nur verwenden, soweit dies rechtlich zulässig ist und gegebenenfalls mit Zustimmung der gesetzlichen Vertreter erfolgt.
ROCKVALID ist derzeit kein qualifizierter Vertrauensdiensteanbieter und bietet keine qualifizierte elektronische Signatur im Sinne der eIDAS-Verordnung an.
ROCKVALID stellt kryptographische Nachweise, Dokumentintegritätsprüfungen und öffentliche Verifikationsmechanismen bereit. Ob diese Nachweise für einen bestimmten rechtlichen Zweck ausreichen, hängt vom jeweiligen Einzelfall, der Rechtsordnung und der Art des Dokuments ab.
ROCKVALID ersetzt keine Rechtsberatung. Für rechtlich besonders sensible Dokumente sollte geprüft werden, ob gesetzlich eine bestimmte Form, notarielle Beurkundung oder qualifizierte elektronische Signatur erforderlich ist.
ROCKVALID kann diesen Hinweis anpassen, wenn sich technische Funktionen, gesetzliche Anforderungen, Onboarding-Verfahren oder Verarbeitungsprozesse ändern. Maßgeblich ist die jeweils veröffentlichte Fassung.
Bei Fragen zum Datenschutz, zur Verarbeitung personenbezogener Daten oder zur Ausübung von Betroffenenrechten kontaktieren Sie uns bitte unter:
datenschutz @ rockvalid . com
ROCKVALID UG (haftungsbeschränkt) in Gründung