Datenschutzerklärung

1. Einleitung & Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie Northfast Limited („Northfast“, „wir“, „uns“) als Betreiber der Paswad-Plattform personenbezogene Daten erhebt, nutzt, offenlegt und schützt. Sie gilt für unsere Websites, Dashboards, die Entwicklerkonsole, unsere APIs und SDKs sowie die Authentifizierungs- und Identitätsverifizierungsdienste, die wir bereitstellen (der „Dienst“).

Diese Erklärung erfasst personenbezogene Daten von Personen, die eine Paswad-Identität anlegen, von Endnutzern, die sich über Paswad bei Anwendungen anmelden, von Entwicklern, die uns integrieren, und von Besuchern unserer Websites. Wenn ein Entwickler Paswad nutzt, um seine eigenen Nutzer zu authentifizieren, ist dieser Entwickler der Verantwortliche für die in seiner Anwendung erhobenen personenbezogenen Daten; diese Erklärung beschreibt die Rolle, die Paswad in diesem Ablauf spielt. Bitte lesen Sie auch unsere Nutzungsbedingungen und unsere Cookie-Richtlinie.

2. Wer wir sind

Der für die über den Paswad-Dienst verarbeiteten personenbezogenen Daten Verantwortliche ist Northfast Limited, ein nach dem Recht der Republik Kenia eingetragenes Unternehmen, erreichbar unter northfast.co.ke. Bei Datenschutzfragen können Sie unser Datenschutzteam unter [email protected] kontaktieren. Soweit wir personenbezogene Daten im Auftrag eines Entwicklerkunden verarbeiten (zum Beispiel Endnutzer-Authentifizierungsdaten), handeln wir als Auftragsverarbeiter für diesen Kunden.

3. Informationen, die wir erheben

Wir erheben nur, was wir für den Betrieb eines sicheren Identitätsdienstes benötigen. Wir erheben und speichern keine Passwörter (wir haben keine), keine privaten Passkey-Schlüssel (diese werden von Ihrem Betriebssystem auf Ihrem Gerät erzeugt und vorgehalten und niemals an uns übermittelt) und keine biometrischen Daten (Ihr Gesicht oder Fingerabdruck verlässt Ihr Gerät nie — wir erhalten nur das Ergebnis einer erfolgreichen lokalen Prüfung).

Die Kategorien personenbezogener Daten, die wir erheben, umfassen:

• Kontodaten. Die zur Erstellung und Verwaltung Ihrer Paswad-Identität erforderlichen Informationen, etwa Ihr Name oder Anzeigename und Kontoeinstellungen.
• Verifizierte Kontaktdaten. Die E-Mail-Adresse und/oder WhatsApp-Telefonnummer, die Sie bei der Registrierung über Einmalpasscodes bestätigen, genutzt für Sicherheitsbenachrichtigungen und Wiederherstellung.
• Passkey-/Anmeldedaten-Metadaten. Der öffentliche Schlüssel jedes registrierten Passkeys, Anmeldedaten-Identifikatoren, Authenticator-Attribute und Zeitstempel. Den privaten Schlüssel erhalten wir niemals.
• Web-Pass-/Identitätsverifizierungsdaten. Wenn Sie eine verifizierte Identität anlegen, die Attribute und unterstützenden Angaben, die zur Bestätigung Ihrer Identität verarbeitet werden, sowie der resultierende verifizierte Identitätsdatensatz, den Sie nutzenden Anwendungen vorlegen können.
• Geräte- & Protokolldaten. Informationen wie IP-Adresse, daraus abgeleiteter ungefährer Standort, Geräte- und Browsereigenschaften, die beteiligte Anwendung und Zeitstempel — genutzt für Ihr Prüfprotokoll, Sicherheitsbenachrichtigungen und Betrugserkennung.
• Entwicklerdaten. Für Entwickler: Anwendungskonfiguration, Redirect-URIs, API-Nutzung und Abrechnungsdaten sowie Kontaktdaten.
• Cookies & ähnliche Technologien. Eine minimale Auswahl, die in unserer Cookie-Richtlinie beschrieben ist, vorrangig dazu, Sie angemeldet zu halten und Formulare zu schützen.
• Kommunikation. Informationen, die Sie bereitstellen, wenn Sie den Support kontaktieren oder mit uns korrespondieren.

4. Wie wir Informationen nutzen

Wir nutzen personenbezogene Daten, um:

• Sie zu authentifizieren und „Mit Paswad anmelden“ für nutzende Anwendungen zu betreiben;
• Ihre Kontaktdaten bei der Registrierung zu verifizieren und die Kontowiederherstellung zu unterstützen;
• Ihren Web-Pass einzurichten und zu pflegen, sofern Sie ihn nutzen möchten;
• Sicherheitsbenachrichtigungen über neue Anmeldungen, neue Geräte, ungewöhnliche Aktivitäten und Kontoänderungen zu senden;
• Betrug, Missbrauch und Sicherheitsvorfälle zu erkennen, zu untersuchen und zu verhindern;
• den Dienst bereitzustellen, zu warten, Störungen zu beheben und zu verbessern, einschließlich der Messung der Nutzung;
• mit Ihnen über den Dienst zu kommunizieren und auf Ihre Anfragen zu reagieren;
• die Abrechnung für kostenpflichtige Tarife durchzuführen; und
• gesetzliche, regulatorische und strafverfolgungsbezogene Pflichten zu erfüllen.

Wir verkaufen Ihre personenbezogenen Daten nicht und nutzen sie nicht für kontextübergreifende verhaltensbasierte Werbung.

5. Rechtsgrundlagen der Verarbeitung

Soweit Datenschutzgesetze wie das kenianische Datenschutzgesetz (Kenya Data Protection Act) und die EU-/UK-DSGVO Anwendung finden, stützen wir uns auf die folgenden Rechtsgrundlagen:

• Erfüllung eines Vertrags — zur Bereitstellung des von Ihnen oder Ihrer Organisation angeforderten Dienstes, einschließlich Authentifizierung, Wiederherstellung und Abrechnung.
• Berechtigte Interessen — zur Absicherung des Dienstes, zur Verhinderung von Betrug und Missbrauch, zum Versand von Sicherheitsbenachrichtigungen und zur Verbesserung unserer Produkte, abgewogen gegen Ihre Rechte.
• Einwilligung — wo wir sie einholen, etwa für optionale Analyse-Cookies oder bestimmte Schritte der Identitätsverifizierung; Sie können die Einwilligung jederzeit widerrufen.
• Rechtliche Verpflichtung — zur Einhaltung von Gesetzen, einschließlich Identitäts-, Betrugsbekämpfungs-, Steuer- und Aufbewahrungspflichten.

6. Cookies & ähnliche Technologien

Wir halten Cookies auf ein Minimum. Da Paswad passwortlos ist, benötigen wir keine Tracking-Cookies, um Sie anzumelden — Ihr Passkey erledigt dies auf dem Gerät. Wir verwenden unbedingt erforderliche Cookies, um Sie während eines Besuchs an Ihrem Dashboard angemeldet zu halten und Formulare zu schützen (CSRF), ein optionales Präferenz-Cookie sowie datenschutzfreundliche, aggregierte Analysen, denen Sie widersprechen können. Vollständige Details, einschließlich der Verwaltung Ihrer Auswahl, finden Sie in unserer Cookie-Richtlinie.

7. Wie wir Informationen weitergeben

Wir geben personenbezogene Daten nur wie hier beschrieben weiter:

• Dienstleister / Unterauftragsverarbeiter. Anbieter, die Daten in unserem Auftrag vertraglich gebunden und auf unsere Weisung verarbeiten — zum Beispiel E-Mail-Versand, SMS-/WhatsApp-Nachrichtenversand (einschließlich Meta Platforms für WhatsApp), Anbieter der Identitätsverifizierung sowie Cloud-Hosting- und Infrastrukturanbieter. Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich.
• Von Ihnen autorisierte nutzende Anwendungen. Wenn Sie sich mit Paswad bei einer Anwendung anmelden, geben wir nur die Identitätsangaben weiter, die von den Berechtigungen abgedeckt sind, die Sie im Einwilligungsbildschirm bestätigen (zum Beispiel Ihren sub-Identifikator und, sofern erteilt, Name und verifizierte E-Mail). Sie können den Zugriff einer Anwendung jederzeit einsehen und widerrufen.
• Entwicklerkunden. Soweit wir als Auftragsverarbeiter handeln, stellen wir dem jeweiligen Entwickler die Endnutzer-Authentifizierungsdaten im Einklang mit unserer Vereinbarung mit ihm bereit.
• Offenlegungen aus rechtlichen & Sicherheitsgründen. Soweit gesetzlich, durch gerichtliche Verfahren oder Aufsichtsbehörden vorgeschrieben oder erforderlich, um die Rechte, Sicherheit oder den Schutz von Nutzern, der Öffentlichkeit oder von Paswad zu wahren.
• Unternehmenstransaktionen. Im Zusammenhang mit einer Fusion, Übernahme, Finanzierung oder einem Verkauf von Vermögenswerten, vorbehaltlich der fortgesetzten Geltung dieser Erklärung für die übertragenen Daten.

8. Internationale Datenübermittlungen

Wir und unsere Dienstleister können personenbezogene Daten in anderen Ländern als dem verarbeiten, in dem Sie sich befinden, einschließlich Kenia und anderer Rechtsordnungen, in denen unsere Infrastruktur oder Unterauftragsverarbeiter tätig sind. Wenn wir personenbezogene Daten grenzüberschreitend übermitteln, setzen wir geeignete, nach geltendem Recht erforderliche Garantien um, etwa Standardvertragsklauseln oder gleichwertige Mechanismen, und ergreifen Maßnahmen, um sicherzustellen, dass Ihre Daten ein angemessenes Schutzniveau erhalten.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es zur Bereitstellung des Dienstes, zur Erfüllung der in dieser Erklärung beschriebenen Zwecke und zur Einhaltung gesetzlicher, buchhalterischer, sicherheitsbezogener oder Berichtspflichten erforderlich ist. Konto- und Passkey-Metadaten werden vorgehalten, solange Ihr Konto aktiv ist. Sicherheits- und Prüfprotokolldaten werden für einen begrenzten Zeitraum zur Betrugsprävention und -untersuchung aufbewahrt. Identitätsverifizierungsdatensätze werden nur so lange aufbewahrt, wie es das geltende Recht verlangt, und danach gelöscht oder anonymisiert. Wenn Daten nicht mehr benötigt werden, löschen oder anonymisieren wir sie.

10. Sicherheit

Wir schützen personenbezogene Daten mit technischen und organisatorischen Maßnahmen, die dem Risiko angemessen sind, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, Überwachung und einer passwortlosen Architektur. Da es keine Passwortdatenbank gibt, existiert die häufigste Ursache massenhafter Anmeldedaten-Verletzungen hier schlicht nicht, und wir halten niemals private Passkey-Schlüssel oder biometrische Daten vor. Kein System ist vollkommen sicher; auch Sie tragen Ihren Teil bei, indem Sie Ihre Geräte schützen, Wiederherstellungsmethoden pflegen und Ihre verifizierten Kontaktdaten aktuell halten.

11. Ihre Rechte

Vorbehaltlich des geltenden Rechts (einschließlich des kenianischen Datenschutzgesetzes und der EU-/UK-DSGVO) können Sie das Recht haben:

• Auskunft über die personenbezogenen Daten zu erhalten, die wir über Sie speichern;
• unrichtige oder unvollständige Daten zu berichtigen;
• Ihre Daten unter bestimmten Umständen löschen zu lassen;
• Ihre Daten, soweit anwendbar, zu einem anderen Anbieter zu übertragen;
• bestimmte Verarbeitungen einzuschränken oder ihnen zu widersprechen, einschließlich der auf berechtigten Interessen beruhenden Verarbeitung; und
• eine Einwilligung jederzeit zu widerrufen, soweit wir uns auf sie stützen.

Sie können Ihre Passkeys, verbundenen Anwendungen und Ihr Aktivitätsprotokoll jederzeit über Ihr Paswad-Dashboard verwalten. Um andere Rechte auszuüben, wenden Sie sich an [email protected]; wir müssen möglicherweise Ihre Identität überprüfen, bevor wir antworten. Wir antworten innerhalb der gesetzlich vorgeschriebenen Fristen. Sie haben zudem das Recht, eine Beschwerde bei Ihrer Datenschutzbehörde einzureichen — in Kenia beim Office of the Data Protection Commissioner.

12. Datenschutz für Kinder

Der Dienst richtet sich nicht an Kinder, und wir erheben wissentlich keine personenbezogenen Daten von Kindern unterhalb des nach geltendem Recht für eine Einwilligung erforderlichen Alters. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns unter [email protected], und wir ergreifen geeignete Schritte, um sie zu löschen.

13. Automatisierte Entscheidungen

Wir nutzen automatisierte Systeme, um Betrug und Missbrauch zu erkennen und Konten zu schützen — zum Beispiel durch das Markieren ungewöhnlicher Anmeldeaktivität. Diese Systeme können den Zugriff einschränken oder eine zusätzliche Verifizierung verlangen. Wir setzen keine ausschließlich automatisierte Entscheidungsfindung ein, die rechtliche oder ähnlich erhebliche Wirkungen entfaltet, ohne eine Rechtsgrundlage und angemessene Garantien, einschließlich — soweit erforderlich — der Möglichkeit, eine menschliche Überprüfung zu verlangen.

14. Links zu Drittanbietern

Der Dienst kann auf Websites und Anwendungen von Drittanbietern verweisen oder mit ihnen zusammenwirken, einschließlich der nutzenden Anwendungen, bei denen Sie sich anmelden. Wir sind nicht für die Datenschutzpraktiken dieser Dritten verantwortlich. Deren Umgang mit Ihren Daten richtet sich nach ihren eigenen Datenschutzhinweisen, die wir Ihnen zu prüfen empfehlen.

15. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Nehmen wir wesentliche Änderungen vor, aktualisieren wir das Datum „Zuletzt aktualisiert“ und benachrichtigen Sie, soweit angemessen, über den Dienst oder eine verifizierte Kontaktstelle. Ihre fortgesetzte Nutzung des Dienstes nach dem Wirksamkeitsdatum gilt als Kenntnisnahme der aktualisierten Erklärung.

16. Kontakt & Datenschutzbeauftragter

Bei Datenschutzfragen oder zur Ausübung Ihrer Rechte wenden Sie sich an das Paswad-Datenschutzbüro unter [email protected] oder schreiben Sie an Northfast Limited über northfast.co.ke. Unser Datenschutzbeauftragter ist unter [email protected] erreichbar. Sie können uns auch über unsere Kontaktseite erreichen.