Datenschutzerklärung

Rechtliches

Zuletzt aktualisiert: 02. Juni 2026 · DSGVO-konform · Anwendbares Recht: Bundesrepublik Deutschland · Diese deutsche Fassung der Datenschutzerklärung ist die maßgebliche Version.

        Kurzfassung: Wir erheben die Daten, die für den Betrieb
        dieses Dienstes und die Gewährleistung seiner Sicherheit erforderlich
        sind. Wir verkaufen keine Daten. Wir schalten keine Werbung. Während die
        Identitätsverifizierung von Didit verarbeitet wird, speichern wir aus
        Sicherheitsgründen bestimmte Identifikationsdaten in unseren sicheren
        Server-Logs. Sie können sich auch dafür entscheiden, Ihre verifizierten
        Daten für die Nutzung in einem öffentlichen Profil zu speichern. Sie
        können jederzeit die Löschung Ihrer Daten verlangen.
      

1. Verantwortlicher

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Germany
E-Mail: contact@idroot.org

Dieser Dienst wird von einer Privatperson betrieben. Es ist kein Datenschutzbeauftragter (DSB) erforderlich oder bestellt. Für alle datenschutzrechtlichen Anfragen wende dich bitte an die oben genannte Adresse.

2. Anwendbare Rechtsgrundlagen

Die Verarbeitung richtet sich nach der Verordnung (EU) 2016/679 (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

3. Erhobene Daten und Zwecke

3.1 Handle-Registrierung und Kontoerstellung

Wenn Sie ein Handle registrieren, wird ein Benutzerkonto auf der idroot.org-Plattform erstellt. Folgende Daten werden erhoben und gespeichert:

Daten	Zweck	Rechtsgrundlage (DSGVO)	Aufbewahrung
AT Protocol DID	Verknüpfung des Handles mit Ihrer verifizierten Identität; Bereitstellung des DNS TXT Eintrags	Art. 6(1)(b) — Vertrag	Dauer des Kontos + 30 Tage
Gewählter Benutzername / Handle	Reservierung und Bereitstellung Ihres Handles	Art. 6(1)(b) — Vertrag	Dauer des Kontos + 30 Tage
Didit-Verifizierungsstatus & Zeitstempel	Bestätigung, dass eine echte, eindeutige Person das Handle besitzt; Vermeidung von Doppelregistrierungen	Art. 6(1)(b) — Vertrag; Art. 6(1)(f) — berechtigtes Interesse	Dauer des Kontos + 30 Tage
Datum und Nachweis der Annahme der Nutzungsbedingungen	Rechtliche Compliance; Dokumentation der vertraglichen Zustimmung	Art. 6(1)(c) — rechtliche Verpflichtung; Art. 6(1)(b) — Vertrag	Dauer des Kontos + 30 Tage
E-Mail-Adresse	Benachrichtigungen über Änderungen der Nutzungsbedingungen und Datenschutzrichtlinie; monatlicher Newsletter (nur mit ausdrücklicher Einwilligung)	Art. 6(1)(b) — Vertrag (Kontomitteilungen); Art. 6(1)(a) — Einwilligung (Newsletter)	Dauer des Kontos + 30 Tage
Verifizierter Realname & Adresse (Opt-in)	Anzeige im öffentlichen Profil; Ermöglicht anderen Anbietern die Verifizierung Ihrer Identität ohne erneute Prüfung	Art. 6(1)(a) — Einwilligung	Bis zum Widerruf der Einwilligung

3.1.1 AT Protocol Authentifizierung und Session

Zur Verknüpfung Ihres AT Protocol Kontos mit idroot.org wird eine authentifizierte Session mit Ihrem AT Protocol PDS (Personal Data Server) hergestellt. Dies kann über eines der folgenden Verfahren erfolgen:

Passwort / App Password: Wird ausschließlich zur Erstellung der AT Protocol Session verwendet und danach nicht gespeichert.
OAuth: Zugriff erfolgt wenn möglich über den `atproto` Scope, der auf die Authentifizierung und das Lesen grundlegender Profil-Daten beschränkt ist. Sollte diese Funktion bei ihrem Anbieter nicht implementiert sein, erfragen wir vollen Zugriff.

Folgende Daten werden im Rahmen der Authentifizierung verarbeitet:

Daten	Zweck	Rechtsgrundlage (DSGVO)	Aufbewahrung
Passwort / App Password	Erstellung der AT Protocol Session	Art. 6(1)(b) — Vertrag	Wird nach Session-Erstellung nicht gespeichert
Access Token / Refresh Token	Aufrechterhaltung der authentifizierten Session	Art. 6(1)(b) — Vertrag	Dauer der aktiven Session
E-Mail-Adresse (via AT Protocol `getSession`)	Wird beim Authentifizierungsvorgang vom AT Protocol PDS übermittelt und für Kontomitteilungen gespeichert (siehe 3.1)	Art. 6(1)(b) — Vertrag	Dauer des Kontos + 30 Tage

Wir fragen ausschließlich die zur Authentifizierung und Kontoerstellung notwendigen Daten ab. Wir führen keine Aktionen (z.B. Posts, Follows) in Ihrem Namen durch, ohne dass Sie diese ausdrücklich in der Anwendung auslösen.

Benutzerkontodaten werden im idroot.org-Backend gespeichert, das auf der Infrastruktur von IONOS SE in Deutschland (siehe § 6.3) gehostet wird. Die Kontoverwaltung ist unter dashboard.idroot.org verfügbar.

Wir speichern keine Bilder von Ausweisdokumenten, Gesichtsscan-Daten oder sonstige biometrische Daten. Diese werden ausschließlich von Didit verarbeitet.

3.2 Server-Logs

Unser in Deutschland gehosteter Backend-Server protokolliert automatisch IP-Adresse, Zeitstempel, HTTP-Methode, URL, Antwortcode und User-Agent für jede Anfrage.

Zusätzlich erfassen wir aus Sicherheitsgründen die während des Verifizierungsprozesses bereitgestellten Identifikationsdaten, einschließlich vollständiger Name, Adresse und Ausweisnummer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Systemsicherheit und Erfüllung gesetzlicher Pflichten (§ 100 TKG). Speicherdauer: 90 Tage, danach automatische Löschung.

3.3 Webanalyse

Wir nutzen Cloudflare Web Analytics — cookielos, ohne persönliche Kennungen, ohne websiteübergreifendes Tracking. Es werden nur anonymisierte Aggregatdaten erhoben (Seitenaufrufe, Länderebene, Referrer). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse. Kein Cookie-Banner erforderlich.

4. Nicht erhobene Daten

Wir erheben oder speichern keine Bilder von Ausweisdokumenten oder biometrischen Daten; verfolgen Nutzer nicht websiteübergreifend; verwenden keine Werbe-Cookies oder Drittanbieter-Marketing-Tracker; verkaufen, vermieten oder teilen keine personenbezogenen Daten zu kommerziellen Zwecken; erstellen keine Nutzerprofile und treffen keine automatisierten Entscheidungen mit rechtlichen Auswirkungen.

5. Cookies

idroot.org setzt keine Tracking- oder Analyse-Cookies. Cloudflare kann im Rahmen seiner CDN- und Sicherheitsinfrastruktur technisch notwendige Cookies setzen; diese sind nach geltendem Recht einwilligungsfrei.

6. Auftragsverarbeiter und Dritte

6.1 Didit (Identitätsverifizierung)

Didit
C/ Nàpols 227, Barcelona, Spanien
Kontakt: hello@didit.me
Datenschutzerklärung: didit.me/en/terms/privacy-policy/

Didit fungiert als Auftragsverarbeiter gemäß einer Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO). Wenn Sie Ihre Identität überprüfen, werden Ihr Ausweisdokument und biometrische Daten (Gesichtsscan) von Didit verarbeitet. Wir erhalten nur ein Pass/Fail-Ergebnis und einen Zeitstempel. Didit speichert Verifizierungsdaten standardmäßig in der EU (AWS-Infrastruktur). Didit ist ISO 27001-zertifiziert und DSGVO-konform.

Von Didit verarbeitete Daten können außerhalb des EWR übertragen werden. Solche Übermittlungen unterliegen Standardvertragsklauseln (Art. 46(2)(c) DSGVO) und/oder anwendbaren Angemessenheitsbeschlüssen.

6.2 Cloudflare (DNS, CDN, Sicherheit, Analytik)

Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, USA

EU-Vertreter und deutsche Kontaktstelle:
Cloudflare Germany GmbH
Rosental 7, c/o Mindspace, 80331 München, Deutschland
Datenschutzerklärung: cloudflare.com/privacypolicy/

Der gesamte Web-Traffic läuft über das Cloudflare-Netzwerk. Cloudflare bietet DNS, CDN, DDoS-Schutz und cookielose Webanalysen. Cloudflare ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert und verarbeitet personenbezogene Daten (einschließlich IP-Adressen und technischer Zugriffsdaten) als Auftragsverarbeiter unter einem Data Processing Addendum (DPA). Transfers in die USA erfolgen unter dem EU-US DPF und Standardvertragsklauseln gemäß Art. 46(2)(c) DSGVO.

Wir verwenden Cloudflare Web Analytics, das cookielos ist und nur anonymisierte aggregierte Daten sammelt (Seitenaufrufe, Länderebene, Referrer). Über Analysen werden keine persönlichen Identifikatoren gesammelt. Für diese Nutzung ist kein Einwilligungsbanner erforderlich. Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse an sicherem und leistungsfähigem Website-Betrieb.

Cloudflare kann als Teil seiner CDN- und Sicherheitsinfrastruktur unbedingt notwendige technische Cookies setzen. Diese bedürfen nach geltendem Recht (§ 25(2) TDDDG) keiner Zustimmung.

6.3 Backend-Hosting (IONOS SE)

IONOS SE
Elgendorfer Straße 57, 56410 Montabaur, Deutschland
HRB 24498, Amtsgericht Montabaur
Datenschutzbeauftragter: datenschutz@ionos.de

Das idroot.org-Backend — einschließlich aller Benutzerkontodaten (DID, Handle, Verifizierungsstatus, Aufzeichnung der Annahme von Bedingungen, optionale E-Mail) — wird auf Servern gehostet, die von IONOS SE in Deutschland betrieben werden. IONOS SE agiert als Auftragsverarbeiter im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO). Im Rahmen des Hostings werden keine personenbezogenen Daten aus dem Backend außerhalb des EWR übertragen.

Rechtsgrundlage: Art. 6(1)(b) DSGVO — Verarbeitung zur Erfüllung des Vertrages erforderlich (Handle-Bereitstellung und Kontoverwaltung); Art. 6(1)(f) DSGVO — berechtigtes Interesse an sicherem und zuverlässigem Infrastrukturbetrieb.

6.4 AT Protocol Netzwerk

Wenn Sie Ihr Handle aktivieren, wird ein öffentlicher DNS TXT Eintrag erstellt, der Ihren Benutzernamen mit Ihrer DID verknüpft. Dies ist von Natur aus öffentlich — so funktioniert die Handle-Auflösung des AT-Protokolls und stellt keine Offenlegung personenbezogener Daten durch idroot.org über das im Protokoll angelegte Maß hinaus dar.

7. Internationale Datenübermittlungen

Soweit Daten außerhalb des EWR übermittelt werden (Cloudflare-Infrastruktur in den USA), erfolgt dies auf Grundlage des EU-US-Datenschutzrahmens und der Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.

8. Deine Rechte nach der DSGVO

Zur Ausübung deiner Rechte wende dich an contact@idroot.org. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Auskunft (Art. 15): Bestätigung der Verarbeitung und
Berichtigung (Art. 16): Korrektur unrichtiger Daten.
Löschung (Art. 17): Löschung deiner Daten — führt auch zur Löschung deines Handles und DNS-Eintrags.
Einschränkung (Art. 18): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
Datenübertragbarkeit (Art. 20): Daten in strukturiertem, maschinenlesbarem Format bei Einwilligungs- oder Vertragsverarbeitung.
Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses.
Widerruf (Art. 7 Abs. 3): Widerruf einer Einwilligung jederzeit ohne Auswirkung auf die Rechtmäßigkeit bisheriger Verarbeitung.
Beschwerde (Art. 77): Beschwerde beim BfDI oder der Aufsichtsbehörde deines EU-Mitgliedstaats.

9. Datensicherheit

Wir setzen TLS-Verschlüsselung für Daten in Übertragung, Zugriffskontrollen, serverseitige Verschlüsselung im Ruhezustand und automatische Log-Löschung ein. Im Falle einer Datenpanne, die voraussichtlich Risiken für deine Rechte zur Folge hat, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und betroffene Personen, soweit erforderlich (Art. 33–34 DSGVO).

10. Minderjährige

Die Identitätsverifizierung erfordert einen amtlichen Lichtbildausweis. Nutzer müssen das anwendbare Mindestalter erfüllen. Wir erheben wissentlich keine Daten von Minderjährigen unterhalb dieser Altersgrenze und löschen solche Daten, sobald wir davon Kenntnis erlangen.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit aktualisieren. Änderungen werden auf dieser Seite mit aktualisiertem Datum veröffentlicht. Bei wesentlichen Änderungen werden wir Nutzer, die eine E-Mail-Adresse hinterlegt haben, nach Möglichkeit informieren.

12. Kontakt

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Germany
E-Mail: contact@idroot.org