Datenschutzerklärung für Flonk

1. Verantwortlicher im Sinne der Datenschutz-Grundverordnung

Verantwortlicher für die Datenverarbeitung auf dieser Website und durch die Flonk-Anwendung ist die MedConnect GmbH mit Sitz in der Bayernstraße 10, D-30855 Langenhagen, Deutschland. Das Unternehmen ist im Handelsregister des Amtsgerichts Hannover unter der Nummer HRB 226358 eingetragen und wird durch den Geschäftsführer oec. Michael MANSHOLD vertreten. Sie erreichen uns per E-Mail unter support@flonk.id oder telefonisch unter 0511 94 27 41 45.

2. Datenschutzbeauftragter

Aufgrund der Verarbeitung biometrischer Daten im großen Umfang haben wir einen Datenschutzbeauftragten benannt, den Sie unter den oben genannten Kontaktdaten mit dem Zusatz "z.Hd. Datenschutzbeauftragter" erreichen können. Der Datenschutzbeauftragte steht Ihnen für alle Fragen zum Datenschutz zur Verfügung.

3. Zweck und Rechtsgrundlage der Datenverarbeitung

Flonk ist eine Software-as-a-Service-Anwendung zur digitalen Identitätsverifizierung, die über die Website https://flonk.id zugänglich ist. Die Anwendung dient der sicheren und zuverlässigen Überprüfung der Identität von Personen durch den Abgleich von Ausweisdokumenten mit biometrischen Gesichtsmerkmalen sowie der Durchführung eines Liveness-Checks. Diese Verarbeitung erfolgt ausschließlich im Auftrag unserer Geschäftskunden, die eine Identitätsverifizierung für ihre eigenen Geschäftszwecke benötigen.

Die Verarbeitung Ihrer personenbezogenen Daten, einschließlich der besonders sensiblen biometrischen Daten nach Art. 9 Abs. 1 DSGVO, erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung erteilen Sie vor Beginn des Identifizierungsverfahrens durch aktive Bestätigung in der Flonk-Anwendung. Zusätzlich stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Auftragsverarbeitungsvertrags mit unserem jeweiligen Geschäftskunden, der die Identitätsverifizierung für seine Vertragsanbahnung oder -erfüllung mit Ihnen benötigt.

4. Art der verarbeiteten Daten

Im Rahmen der Identitätsverifizierung verarbeiten wir folgende Kategorien personenbezogener Daten: Zunächst erfassen wir die Daten aus Ihrem Ausweisdokument (Personalausweis, Reisepass oder ähnliche amtliche Dokumente), wozu Ihr vollständiger Name, Geburtsdatum, Geburtsort, Nationalität, Dokumentennummer, Ausstellungsdatum und Gültigkeitsdauer gehören. Weiterhin verarbeiten wir biometrische Daten in Form von Gesichtsbildern, die sowohl aus dem Ausweisdokument extrahiert als auch durch eine Live-Aufnahme mit der Kamera Ihres Endgeräts erstellt werden. Diese biometrischen Daten werden ausschließlich zum Zweck der Identitätsverifizierung durch algorithmischen Abgleich verarbeitet und dienen der eindeutigen Identifizierung Ihrer Person gemäß Art. 4 Nr. 14 DSGVO.

Der Liveness-Check erfolgt durch Analyse kurzer Videosequenzen oder spezieller Aufnahmen, die belegen, dass es sich um eine lebende Person und nicht um ein Foto oder eine andere Reproduktion handelt. Zusätzlich erfassen wir technische Metadaten wie Zeitstempel der Verifikation, verwendetes Endgerät, IP-Adresse zum Zeitpunkt der Verifikation sowie das Ergebnis der Identitätsverifikation (erfolgreich oder nicht erfolgreich). All diese Daten werden ausschließlich zur Erfüllung des Identifizierungszwecks und zur Dokumentation der ordnungsgemäßen Durchführung verarbeitet.

5. Auftragsverarbeitung und Datenübertragung

Die MedConnect GmbH fungiert bei der Nutzung von Flonk als Auftragsverarbeiter im Sinne des Art. 28 DSGVO für ihre Geschäftskunden, die als datenschutzrechtlich Verantwortliche die Identitätsverifizierung für ihre eigenen Zwecke in Auftrag geben. Mit jedem Geschäftskunden schließen wir einen Auftragsverarbeitungsvertrag ab, der die Anforderungen des Art. 28 Abs. 3 DSGVO vollständig erfüllt und Ihre Rechte als betroffene Person sicherstellt.

Die technische Infrastruktur von Flonk wird über Railway gehostet, einem Infrastrukturdienst mit Hauptsitz in San Francisco, Kalifornien (548 Market St PMB 68956, San Francisco, California 94104, USA). Die Datenverarbeitung findet jedoch in Rechenzentren in Amsterdam, Niederlande, statt und verbleibt damit im Geltungsbereich der DSGVO. Railway fungiert dabei als technischer Dienstleister und Unterauftragsverarbeiter, mit dem entsprechende Auftragsverarbeitungsverträge geschlossen wurden. Da Railway Corp. eine US-amerikanische Gesellschaft ist, haben wir zusätzliche Schutzmaßnahmen implementiert: Railway ist nach dem EU-US Data Privacy Framework zertifiziert, welches durch den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 als angemessenes Datenschutzniveau anerkannt wurde.

6. Speicherdauer und Löschung

Ihre personenbezogenen Daten werden verschlüsselt in europäischen Rechenzentren gespeichert und grundsätzlich für einen Zeitraum von zehn Jahren aufbewahrt. Diese Aufbewahrungszeit ergibt sich aus den gesetzlichen Anforderungen zur Dokumentation von Identitätsverifikationen, die insbesondere in regulierten Branchen wie dem Finanzwesen oder bei der Geldwäscheprävention gelten. Die Daten werden während der gesamten Speicherzeit mit modernsten Verschlüsselungsverfahren sowohl bei der Übertragung als auch im Ruhezustand geschützt.

Der beauftragende Geschäftskunde hat jedoch die Möglichkeit, eine vorzeitige Anonymisierung Ihrer Daten zu veranlassen, wodurch diese unkenntlich gemacht werden und keine Rückschlüsse auf Ihre Person mehr zulassen. Nach Ablauf der Aufbewahrungszeit oder bei vorzeitiger Anonymisierung werden alle personenbezogenen Daten einschließlich der biometrischen Daten unwiderruflich gelöscht. Die Löschung erfolgt sowohl in den Produktivsystemen als auch in sämtlichen Backup-Systemen nach anerkannten IT-Sicherheitsstandards.

7. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten gemäß Art. 15 DSGVO. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer sowie das Bestehen Ihrer weiteren Rechte. Darüber hinaus steht Ihnen das Recht auf Berichtigung unrichtiger Daten nach Art. 16 DSGVO zu, sofern dies technisch möglich ist, ohne die Integrität des Identifizierungsverfahrens zu beeinträchtigen.

Sie können gemäß Art. 17 DSGVO die Löschung Ihrer personenbezogenen Daten verlangen, wenn die Voraussetzungen des Art. 17 Abs. 1 DSGVO vorliegen und keine Ausnahmen nach Art. 17 Abs. 3 DSGVO eingreifen. Da die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Ein Widerruf ist jedoch nur für zukünftige Verarbeitungsvorgänge möglich, da bereits durchgeführte Identitätsverifikationen zur rechtlichen Absicherung dokumentiert werden müssen.

Sie haben zudem das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, wenn die Voraussetzungen vorliegen, sowie das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Außerdem können Sie sich jederzeit mit einer Beschwerde an eine Datenschutz-Aufsichtsbehörde wenden, wobei die für uns zuständige Behörde die Landesbeauftragte für den Datenschutz Niedersachsen ist (Prinzenstraße 5, 30159 Hannover).

8. Datensicherheit und technische Maßnahmen

Wir haben umfassende technische und organisatorische Maßnahmen implementiert, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Manipulation zu schützen. Die Datenübertragung erfolgt ausschließlich über verschlüsselte Verbindungen (TLS 1.3 oder höher), und alle Daten werden sowohl bei der Übertragung als auch im Ruhezustand mit modernsten Verschlüsselungsalgorithmen geschützt. Der Zugriff auf personenbezogene Daten ist strikt auf autorisierte Mitarbeiter beschränkt, die einer besonderen Vertraulichkeitsverpflichtung unterliegen.

Unsere Systeme werden regelmäßig durch externe Sicherheitsexperten überprüft, und wir führen kontinuierliche Sicherheitsmonitoring-Maßnahmen durch. Die Rechenzentren unseres Hosting-Partners Railway in Amsterdam erfüllen höchste internationale Sicherheitsstandards und sind entsprechend zertifiziert. Zudem haben wir Verfahren zur unverzüglichen Meldung von Datenschutzverletzungen an die zuständigen Aufsichtsbehörden und gegebenenfalls an die betroffenen Personen etabliert.

9. Verwendung von Cookies und ähnlichen Technologien

Auf der Website https://flonk.id verwenden wir technisch notwendige Cookies, die für die Bereitstellung und Sicherheit der Anwendung erforderlich sind. Diese Cookies dienen ausschließlich der ordnungsgemäßen Funktion des Identifizierungsverfahrens und der Aufrechterhaltung der Sitzung während des Verifikationsprozesses. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO, da die Verwendung dieser Cookies zur Wahrung unserer berechtigten Interessen an einer sicheren und funktionsfähigen Anwendung erforderlich ist.

Darüber hinaus können wir anonymisierte Analysedaten zur Verbesserung der Anwendungsleistung und Benutzererfahrung erheben, jedoch nur nach Ihrer ausdrücklichen Einwilligung. Sie können Ihre Browser-Einstellungen so konfigurieren, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren.

10. Besondere Hinweise zur biometrischen Datenverarbeitung

Die Verarbeitung biometrischer Daten unterliegt besonderen Schutzbestimmungen nach Art. 9 DSGVO, da es sich um besonders sensible personenbezogene Daten handelt. Wir verarbeiten biometrische Daten ausschließlich zum Zweck der Identitätsverifizierung und nur auf Grundlage Ihrer ausdrücklichen Einwilligung. Die biometrischen Merkmale werden durch spezialisierte Algorithmen aus den Gesichtsaufnahmen extrahiert und ausschließlich für den Abgleich mit den Daten des Ausweisdokuments verwendet.

Die biometrischen Rohdaten werden nach der Verifikation nicht dauerhaft gespeichert, sondern nur die für die Dokumentation der durchgeführten Identitätsprüfung erforderlichen Metadaten und Ergebnisse. Wir verwenden ausschließlich bewährte und datenschutzkonforme Verfahren zur biometrischen Analyse, die dem aktuellen Stand der Technik entsprechen und regelmäßig auf ihre Genauigkeit und Datenschutzkonformität überprüft werden. Eine Verwendung der biometrischen Daten zu anderen Zwecken als der Identitätsverifizierung ist ausgeschlossen.

11. Widerruf der Einwilligung

Sie können Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten, einschließlich der biometrischen Daten, jederzeit mit Wirkung für die Zukunft widerrufen. Den Widerruf können Sie formlos per E-Mail an info@medconnect.gmbh oder schriftlich an unsere Postanschrift richten. Durch den Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Bitte beachten Sie, dass bereits durchgeführte und abgeschlossene Identitätsverifikationen zur rechtlichen Absicherung und zur Erfüllung gesetzlicher Aufbewahrungspflichten weiterhin dokumentiert werden müssen. Der Widerruf verhindert jedoch künftige Verarbeitungen Ihrer Daten für neue Identitätsverifikationen. Nach einem Widerruf können Sie die Flonk-Anwendung nicht mehr nutzen, da die Verarbeitung Ihrer biometrischen Daten für die Funktionsweise der Anwendung zwingend erforderlich ist.

12. Aktualität und Änderungen der Datenschutzerklärung

Diese Datenschutzerklärung entspricht dem aktuellen Stand der Rechtslage und unserer Datenverarbeitungspraktiken (Stand: Oktober 2025). Aufgrund der Weiterentwicklung unserer Anwendung oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website https://flonk.id abgerufen werden.

Wesentliche Änderungen werden wir Ihnen rechtzeitig mitteilen, soweit uns Ihre Kontaktdaten vorliegen oder eine Mitteilung über unseren Geschäftskunden möglich ist. Bei Änderungen, die eine neue Einwilligung erfordern, werden wir diese vor der weiteren Verarbeitung einholen. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu überprüfen, um über den Schutz Ihrer personenbezogenen Daten informiert zu bleiben.