Datenschutzerklärung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung unserer Website und unseres Online-Angebots zur Infektionsschutzbelehrung nach §§ 42, 43 IfSG (on7-gesundheitszeugnis.de).

Stand: Juni 2026

1. Verantwortlicher und gemeinsame Verantwortlichkeit

1.1 Verantwortlicher für die Plattform

Verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO ist:

ON7 GmbH
Sandstraße 33
80335 München
HRB 283468, Amtsgericht München
USt-ID: DE361237282
Vertreten durch: Maximilian Angerer, Felix Martick
E-Mail: office@on7.de

In Datenschutzangelegenheiten erreichen Sie uns unter datenschutz@on7.de.

1.2 Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Für die im Rahmen der Belehrung verarbeiteten personenbezogenen Daten besteht eine gemeinsame Verantwortlichkeit zwischen der ON7 GmbH und der Health & Work Safety GmbH (HWS), Stümpflingstr. 10, 82031 Grünwald, vertreten durch Frau Dr. med. Milena Robinzonov.

Die Aufgaben sind wie folgt verteilt: Die ON7 GmbH verantwortet die technische Plattform, das Hosting, die Datensicherheit, die Identitätsprüfung, die Abrechnung und den Support. Die HWS GmbH verantwortet die fachlich-ärztliche Prüfung sowie die Kommunikation mit den zuständigen Gesundheitsämtern. Die wesentlichen Inhalte der Vereinbarung nach Art. 26 DSGVO sowie die jeweiligen Verantwortungsbereiche können unter office@on7.de angefragt werden.

Unabhängig von dieser internen Aufgabenverteilung können Sie Ihre Betroffenenrechte gegenüber jedem der beiden Verantwortlichen geltend machen. Zentrale Anlaufstelle für Betroffenenrechte ist die ON7 GmbH.

2. Datenschutz-Anlaufstelle

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Für alle Anliegen rund um den Datenschutz und die Ausübung Ihrer Betroffenenrechte erreichen Sie uns unter office@on7.de. Wir bearbeiten Ihre Anfrage zentral und ziehen, soweit erforderlich, die gemeinsam verantwortliche HWS GmbH hinzu.

3. Allgemeine Hinweise zu den Rechtsgrundlagen

Sofern Sie eingewilligt haben, verarbeiten wir Ihre Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. – bei besonderen Kategorien personenbezogener Daten – Art. 9 Abs. 2 lit. a DSGVO. Sind die Daten zur Vertragserfüllung oder für vorvertragliche Maßnahmen erforderlich, verarbeiten wir sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit eine rechtliche Verpflichtung besteht, erfolgt die Verarbeitung nach Art. 6 Abs. 1 lit. c DSGVO. Darüber hinaus kann eine Verarbeitung auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.

Bei Einwilligung in das Speichern von Cookies oder den Zugriff auf Ihr Endgerät erfolgt die Verarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TDDDG. Einwilligungen sind jederzeit mit Wirkung für die Zukunft widerrufbar.

4. Bereitstellung der Website und Hosting

4.1 Server-Logfiles

Bei jedem Zugriff auf unsere Website werden automatisch Informationen erfasst, die Ihr Browser übermittelt (Server-Logfiles): besuchte Seiten, Datum und Uhrzeit, übertragene Datenmenge, Referrer-URL, Browsertyp und Betriebssystem sowie die IP-Adresse. Zweck ist die technische Bereitstellung, Stabilität und Sicherheit der Website. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden in der Regel nach spätestens 14 Tagen gelöscht oder anonymisiert.

4.2 Hosting (AWS Frankfurt und Hetzner Nürnberg)

Wir hosten unsere Plattform bei Amazon Web Services (AWS, Region Frankfurt; Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg) sowie bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Rechenzentrum Nürnberg). Beide Anbieter verarbeiten in unserem Auftrag technische Nutzungs- und Bestelldaten. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union (Deutschland). Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (zuverlässiger Betrieb) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

5. Bestellabwicklung

Im Rahmen einer Bestellung verarbeiten wir die zur Durchführung erforderlichen Daten, insbesondere Name, E-Mail-Adresse, ggf. Telefonnummer sowie Bestell- und Abrechnungsdaten. Zweck ist die Anbahnung, der Abschluss und die Durchführung des Vertrages. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie für handels- und steuerrechtliche Pflichten Art. 6 Abs. 1 lit. c DSGVO. Daten werden für die Dauer der Vertragsdurchführung und im Rahmen der gesetzlichen Aufbewahrungsfristen (insbesondere 6 bzw. 10 Jahre nach HGB und AO) gespeichert.

6. Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe"). Je nach gewählter Zahlungsart übermittelt Stripe die erforderlichen Zahlungs- und Bestelldaten (z. B. Name, Betrag, Zahlungsmittel) zur Durchführung der Transaktion. Zweck ist die Abwicklung der Zahlung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).

Soweit Stripe Daten in Drittländer (insbesondere USA) übermittelt, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln). Weitere Informationen: stripe.com/de/privacy.

7. Identitätsprüfung und biometrische Daten (Stripe Identity)

7.1 Zweck und Ablauf

Zur Sicherstellung, dass die belehrte Person mit der zertifizierten Person identisch ist, führen wir eine digitale Identitätsprüfung durch. Diese ist insbesondere für die ordnungsgemäße Ausstellung der Bescheinigung nach §§ 42, 43 IfSG erforderlich. Die Prüfung erfolgt über den Dienst Stripe Identity. Dabei laden Sie ein Foto eines gültigen Ausweisdokuments (z. B. Personalausweis, Reisepass) hoch und erstellen ein Live-Foto (Selfie).

7.2 Biometrische Daten und Rollenverteilung

Im Rahmen der Prüfung erstellt Stripe zum Abgleich von Lichtbild und Selfie biometrische Daten (mathematische Gesichtsmerkmale / Templates). Diese biometrischen Daten werden ausschließlich durch Stripe erzeugt, verarbeitet und gespeichert; sie verbleiben bei Stripe. Die ON7 GmbH erhält keine biometrischen Templates, sondern lediglich die hochgeladenen Lichtbilder (Selfie/Ausweis) sowie das Prüfergebnis (Status).

Stripe ist dabei in einer Doppelrolle tätig: Für die in unserem Auftrag durchgeführte Verifizierung handelt Stripe als Auftragsverarbeiter (Art. 28 DSGVO); für die Erzeugung und Verarbeitung der biometrischen Daten sowie für Zwecke der Betrugsprävention, Sicherheit und Verbesserung der eigenen Verifizierungstechnologie handelt Stripe als eigenständig Verantwortlicher. Die hierfür erforderliche ausdrückliche Einwilligung in die Verarbeitung biometrischer Daten erteilen Sie unmittelbar gegenüber Stripe im Verifizierungsprozess.

7.3 Rechtsgrundlage

Die Verarbeitung biometrischer Daten als Daten besonderer Kategorie erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie im Verifizierungsprozess erteilen. Ohne diese Einwilligung kann die Identitätsprüfung und damit die Belehrung nicht durchgeführt werden. Ergänzend gelten Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und, für die Verwendung der Ausweisdaten, § 20 PAuswG.

7.4 Verantwortlichkeit der Ärztin

Die fachlich-ärztliche Verantwortliche (HWS GmbH) erhält routinemäßig ausschließlich aggregierte Reports zum Verifizierungsprozess. Eine Einsicht in einzelne Verifizierungsvorgänge erfolgt nur auf konkreten Anlass (z. B. Beschwerden oder behördliche Anfragen).

7.5 Speicherdauer und Drittlandübermittlung

Die zur Prüfung verarbeiteten Bilddaten werden bei Stripe nach den jeweils geltenden Vorgaben von Stripe gespeichert; nach derzeitigem Stand stellt Stripe die hochgeladenen Bilder bis zu drei Jahre im Stripe-Dashboard bereit, während die biometrischen Identifikatoren längstens ein Jahr bei Stripe vorgehalten werden. Eine vorzeitige Löschung (Schwärzung/Redaction) ist möglich. Die ON7 GmbH speichert die Bilddaten nicht selbst, sondern greift nur über kurzfristig gültige, gesicherte Verweise auf die bei Stripe gespeicherten Bilder zu. Im Übrigen richtet sich die Speicherung der Prüfergebnisse nach den gesetzlichen Aufbewahrungsfristen für die ausgestellte Bescheinigung. Soweit Stripe Daten in Drittländer (insbesondere USA) übermittelt, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln über das Data Transfers Addendum von Stripe).

8. Durchführung der Belehrung und Zertifikatsausstellung

Nach erfolgreicher Identitätsprüfung erhalten Sie Zugang zum Online-Kurs. Wir verarbeiten dabei Ihre Kursdaten (Sprache, Fortschritt, Prüfungsversuche und -ergebnis). Nach Bestehen wird die Bescheinigung nach §§ 42, 43 IfSG erstellt, unter ärztlicher Verantwortung der HWS GmbH ausgestellt und Ihnen bereitgestellt sowie revisionssicher archiviert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur ordnungsgemäßen Ausstellung der Bescheinigung erforderlich ist.

9. Benutzerkonto und Datenbank (Supabase)

Für die Bereitstellung Ihres Nutzerkontos, die Authentifizierung sowie die Speicherung Ihrer Kurs-, Bestell- und Kommunikationsdaten setzen wir den Dienst Supabase der Supabase, Inc. (USA) ein. Die Daten werden in einer Datenbank in der Region Frankfurt (AWS, eu-central-1) innerhalb der Europäischen Union gespeichert. Mit Supabase besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Da es sich bei der Supabase, Inc. um ein US-Unternehmen handelt, können in Einzelfällen (z. B. Support oder Administration) Zugriffe aus einem Drittland erfolgen; diese sind durch geeignete Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln) abgesichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

10. Werbliche E-Mails und Bewertungsanfragen

Wenn Sie im Bestellprozess ausdrücklich einwilligen, senden wir Ihnen werbliche E-Mails. Diese Einwilligung umfasst den Erhalt von Informationen zu Produkten, Angeboten und Aktionen sowie Erinnerungen, eine Bewertung abzugeben (z. B. über die Bewertungsplattform Trustpilot). Die Einwilligung ist freiwillig und standardmäßig deaktiviert; ohne Ihre aktive Zustimmung versenden wir keine werblichen E-Mails. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 UWG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa über den Abmeldelink in jeder E-Mail oder per Nachricht an office@on7.de.

Für den Versand unserer E-Mails (sowohl transaktionaler Nachrichten wie Bestell- und Zertifikatsbestätigungen als auch werblicher E-Mails) setzen wir den Dienstleister Resend (Resend, Inc., USA) als Auftragsverarbeiter ein. Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; etwaige Übermittlungen in die USA sind durch geeignete Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln) abgesichert.

Wenn Sie einer Bewertungsanfrage folgen, werden Sie auf die Plattform Trustpilot (Trustpilot A/S, Dänemark) weitergeleitet. Die dortige Verarbeitung Ihrer Bewertung erfolgt in eigener Verantwortung von Trustpilot nach deren Datenschutzbestimmungen.

11. Cookies und Einwilligungsmanagement

Unsere Website verwendet Cookies und vergleichbare Technologien. Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO eingesetzt. Einwilligungspflichtige Cookies und Technologien (z. B. Analyse, Marketing) werden nur mit Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG verwendet.

Zur Einholung und Verwaltung Ihrer Einwilligung setzen wir das Consent-Management-Tool Klaro ein. Vor dem Setzen einwilligungspflichtiger Cookies werden Sie um Ihre Zustimmung gebeten. Eine vollständige, stets aktuelle Übersicht der eingesetzten Dienste und Cookies sowie die Möglichkeit zum jederzeitigen Widerruf finden Sie über die Cookie-Einstellungen, die Sie jederzeit erneut aufrufen können. Die Verarbeitung im Rahmen des Einwilligungsmanagements erfolgt zur Erfüllung unserer rechtlichen Pflichten nach Art. 6 Abs. 1 lit. c DSGVO und auf Grundlage von § 25 Abs. 2 TDDDG (technisch erforderliche Speicherung der Einwilligung).

12. Webanalyse und Marketing

12.1 Reichweitenmessung mit Umami

Zur statistischen Auswertung der Websitenutzung setzen wir die selbst gehostete, datenschutzfreundliche Analyse-Software Umami (betrieben unter analytics.on7.de auf Servern innerhalb der EU) ein. Umami arbeitet cookieless und erhebt keine personenbezogenen Daten bzw. keine direkt identifizierenden Merkmale; es werden keine Cookies gesetzt. Rechtsgrundlage ist unser berechtigtes Interesse an einer reichweiten- und bedarfsgerechten Gestaltung unseres Angebots nach Art. 6 Abs. 1 lit. f DSGVO.

12.2 Google Tag Manager

Zur Verwaltung der nachfolgend genannten Marketing- und Analyse-Tags setzen wir den Google Tag Manager (Google Ireland Ltd., Irland; Google LLC, USA) ein. Der Google Tag Manager selbst setzt keine Analyse-Cookies, lädt jedoch die von Ihnen freigegebenen Tags. Einwilligungspflichtige Tags werden erst nach Ihrer Einwilligung über unser Consent-Tool geladen (Consent Mode). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

12.3 Google Analytics und Google Ads

Soweit Sie einwilligen, setzen wir Google Analytics (Reichweitenmessung) sowie Google Ads (inkl. Conversion-Tracking und Remarketing) der Google Ireland Ltd. ein. Dabei werden Cookies (z. B. _ga) gesetzt und personenbezogene Daten (z. B. Cookie-IDs, IP-Adresse) verarbeitet sowie an Google in den USA übermittelt. Rechtsgrundlage ist ausschließlich Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Die Übermittlung in die USA wird durch geeignete Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln) abgesichert. Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen widerrufen.

12.4 Affiliate-Tracking (AWIN)

Zur Abrechnung von Vermittlungen über Partnerprogramme setzen wir das Tracking der AWIN AG bzw. Awin Ltd. (Vereinigtes Königreich) ein. Hierbei werden im Rahmen des Bestellvorgangs Erstanbieter-Cookies verwendet, um eine Bestellung dem vermittelnden Partner zuzuordnen. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG sowie unseres berechtigten Interesses an einer korrekten Provisionsabrechnung nach Art. 6 Abs. 1 lit. f DSGVO. Für das Vereinigte Königreich liegt ein Angemessenheitsbeschluss der EU-Kommission vor.

13. Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir Ihre Angaben (Name, Kontaktdaten, Anfrageinhalt) zur Bearbeitung Ihres Anliegens. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen) oder Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden gelöscht, sobald der Zweck entfällt und keine Aufbewahrungspflichten entgegenstehen.

14. Datenübermittlung in Drittländer

Soweit wir Dienstleister mit Sitz oder Verarbeitung in Drittländern (insbesondere USA) einsetzen, sichern wir Drittstaatentransfers durch geeignete Garantien nach Art. 46 DSGVO ab, insbesondere durch EU-Standardvertragsklauseln, sowie ggf. zusätzliche technische und organisatorische Maßnahmen. Das Hosting und die Verarbeitung der Belehrungs- und Identitätsdaten erfolgen vorrangig innerhalb der EU (AWS Frankfurt, Hetzner Nürnberg, Supabase Frankfurt).

15. Ihre Rechte

Sie haben im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

  • Auskunft über die zu Ihnen gespeicherten Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft,
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine E-Mail an office@on7.de.

Zuständige Aufsichtsbehörde

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Kurs starten