Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
GoCertify ist ein Identitätsprüfdienst aus der SheerID Produktfamilie, betrieben von SheerID Inc. mit Sitz in Portland, Oregon. E Commerce Shops binden ein GoCertify Formular ein, um Rabatte für Studierende, Militärangehörige, Lehrkräfte, Einsatzkräfte oder Beschäftigte im Gesundheitswesen freizuschalten. Der Verifizierungsflow erfasst Vor und Nachnamen, Geburtsdatum, E Mail Adresse, Name der Institution und im Zweifelsfall ein hochgeladenes Ausweisdokument, alles in den USA verarbeitet.
GoCertify ist ein Identitätsprüfdienst aus der SheerID Produktfamilie, betrieben von SheerID Inc. mit Sitz in Portland, Oregon. Marken und Händler binden ein GoCertify Formular (oder ein iframe zur SheerID Prüfseite) im Warenkorb oder auf der Produktseite ein, um Rabatte gezielt für Studierende, Lehrkräfte, Militärangehörige, Einsatzkräfte oder Beschäftigte im Gesundheitswesen freizuschalten. Die Besucherin trägt einige Identifier ein, lädt ggf. ein Ausweisdokument hoch, und GoCertify gibt eine Ja/Nein Entscheidung samt Einmal Rabattcode zurück.
Auch wenn das Frontend optisch im Shop Origin liegt, landen die Daten auf SheerID Servern in den USA, womit GoCertify aus Sicht der DSGVO und der ePrivacy Richtlinie ein Drittanbieter und Auftragsverarbeiter ist.
Das Formular erfasst Vor und Nachname, Geburtsdatum (zur Altersprüfung bei Studierendenprogrammen), E Mail Adresse, Institutionsname (Schule, Einheit, Klinik, Schulverwaltung) und Land. Schlägt die automatische Prüfung fehl, wird ein Dokument hochgeladen: Studierendenausweis, Truppenausweis, Klinikbadge, Lehrkraftausweis oder Einsatzkräfte Nachweis. Das Dokument wird auf SheerID Servern gespeichert und kann von einer US Prüferin manuell gesichtet werden.
GoCertify setzt zudem Erst und Drittanbieter Cookies (sheerid.com, gocertify.com), um Conversion zu messen, Prüfstatus zu speichern und Mehrfacheinsendungen aus demselben Browser zu verhindern. Cookies und Dokumenten Upload bilden zusammen eine Speicherung und Verarbeitung im Sinne von Art. 5(3) ePrivacy, § 25 TDDDG sowie Art. 4(1) und Art. 9 DSGVO.
Die Cookies von GoCertify sind für den Shop nicht unbedingt erforderlich. § 25 TDDDG, Art. 5(3) ePrivacy und die DSK Orientierungshilfe verlangen daher eine vorherige Einwilligung. Die Verifizierung selbst stützt sich auf Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen für den Rabatt). Wird ein Ausweis hochgeladen, greift zusätzlich Art. 9 DSGVO. Ein Studierendenausweis, der ein Alter unter 16 offenbart, aktiviert Art. 8 DSGVO. Ein Truppen oder Klinikausweis kann besondere Kategorien wie Gesundheits oder Gewerkschaftsdaten offenlegen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Blockieren Sie die GoCertify Einbettung standardmäßig hinter einer Kategorie Funktional oder Verifizierung. Zeigen Sie das Formular nur, wenn die Person den Rabatt aktiv beantragt, damit die Einwilligung zweckgebunden bleibt. Sobald ein Upload erforderlich ist, blenden Sie eine eigene ausdrückliche Einwilligung ein (klar formulierte Checkbox, die das Hochladen eines Ausweisdokuments und mögliche besondere Kategorien benennt), bevor das Upload Widget erscheint. Loggen Sie die Einwilligung, weisen Sie auf den US Transfer hin und bieten Sie einen alternativen Prüfweg an.
Die gesamte Verarbeitung läuft auf SheerID Infrastruktur in den USA. Der Transfer richtet sich nach dem EU US Data Privacy Framework, sofern SheerID zertifiziert ist, andernfalls nach den EU Standardvertragsklauseln 2021. Ein Transfer Impact Assessment ist Pflicht, weil der Datensatz Ausweisdokumente und potenziell besondere Kategorien enthält. Zusätzliche Maßnahmen sollten Verschlüsselung in Transit und im Ruhezustand, kurze Aufbewahrung der Uploads, rollenbasierte Zugriffe, Schwärzung nicht benötigter Felder auf der Ausweiskopie und vertragliche Zusagen von SheerID umfassen, behördliche Auskunftsersuchen anzufechten.
Tragen Sie SheerID und GoCertify in Verzeichnis von Verarbeitungstätigkeiten, Subunternehmerliste und Cookie Register ein. Aktualisieren Sie Datenschutzhinweis und Checkout Hinweis, um SheerID, US Transfer, Datenkategorien, Aufbewahrungsfrist und Rechte zu benennen. Konfigurieren Sie GoCertify so, dass hochgeladene Dokumente sofort nach Logging der Entscheidung gelöscht werden, beschränken Sie den Admin Zugriff, führen Sie vor dem Launch eine DSFA durch und prüfen Sie jährlich den Sicherheitsbericht und die DPF Zertifizierung von SheerID.
Websites using GoCertify must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist erforderlich, sobald GoCertify die Berechtigung für einen Rabatt für Studierende, Lehrkräfte, Militärangehörige, Einsatzkräfte oder Gesundheitspersonal prüft. Die Verarbeitung umfasst Ausweisdokumente, kann Minderjährige (Studierende unter 16) betreffen, kann besondere Datenkategorien offenlegen (Zugehörigkeit zu einer geschützten Berufsgruppe oder indirekt Herkunft oder Religion über den Institutionsnamen) und übermittelt personenbezogene Daten an einen US Auftragsverarbeiter. Dokumentieren Sie Rechtsgrundlage für Cookies (Einwilligung), für die Verifizierung selbst (Einwilligung oder ausdrückliche Einwilligung), zulässige Dokumentenarten, Aufbewahrungsfrist für hochgeladene Dateien, etwaige automatisierte Entscheidungen und das Transfer Impact Assessment für die Verarbeitung bei SheerID in den USA.
Sample consent text
Wir nutzen GoCertify, einen Identitätsprüfdienst der SheerID Inc. (USA), um Ihre Berechtigung für diesen Rabatt zu prüfen. Mit Ihrer Einwilligung werden Ihr Name, Ihr Geburtsdatum, Ihre E Mail Adresse, Ihre Institution und gegebenenfalls eine Kopie Ihres Ausweisdokuments an SheerID Server in den USA übermittelt und dort geprüft. Sie können Ihre Einwilligung jederzeit widerrufen; eine Ablehnung bedeutet lediglich, dass der Rabatt nicht angewendet werden kann.
Third-party domains contacted
gocertify.comservices.sheerid.comsheerid.comoffers.sheerid.comcdn.sheerid.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sheerid_sid | Persistent | 1 year | Identifies the verification session and links the form submission to the verification result, so the merchant can issue or revoke the gated discount code. |
| sheerid_fp | Persistent | 6 months | Device fingerprint used by GoCertify and SheerID to detect fraudulent multiple submissions from the same browser, used as a fraud signal for the eligibility check. |
| sheerid_verification_status | Persistent | 1 year | Stores the latest verification outcome and the program identifier so a returning visitor can be served the discount code without resubmitting documents. |
| gocertify_session | Session | Browser session | Temporary CSRF and session cookie set on gocertify.com while the verification form is open in the embedded iframe. |
GoCertify setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Das Verifizierungsformular erfasst Vor und Nachnamen, Geburtsdatum (zur Altersprüfung bei Studierendenprogrammen), E Mail Adresse, Name der Institution oder Einheit und Land. Schlägt die automatische Prüfung fehl, wird die Person aufgefordert, ein Dokument hochzuladen: Studierendenausweis, Truppenausweis, Klinikbadge oder NHS Ausweis, Lehrkraftnachweis oder Einsatzkräfte Credential. GoCertify setzt zudem Cookies auf sheerid.com und gocertify.com für Conversion Tracking, Mehrfachschutz und Statuserinnerung und protokolliert IP und User Agent zur Betrugserkennung.
Ja, auf zwei Ebenen. Die Cookies und Remote Skripte von GoCertify sind für den Shop nicht unbedingt erforderlich. § 25 TDDDG, Art. 5(3) ePrivacy und die DSK Orientierungshilfe verlangen daher eine vorherige Einwilligung. Sobald der Ablauf einen Dokument Upload vorsieht, verlangt Art. 9 DSGVO eine ausdrückliche Einwilligung für die Verarbeitung von Daten, die besondere Kategorien offenlegen können. Blockieren Sie das iframe standardmäßig, blenden Sie das Formular nur auf aktiven Wunsch ein und koppeln Sie den Upload an eine eigene ausdrückliche Einwilligungs Checkbox.
Die Cookies stützen sich auf Art. 6(1)(a) DSGVO (Einwilligung) und Art. 5(3) ePrivacy. Die Verifizierung selbst kann sich auf Art. 6(1)(b) DSGVO stützen, da sie eine vorvertragliche Maßnahme für den rabattierten Vertrag ist. Beim Dokumenten Upload greift zusätzlich Art. 9 DSGVO. In der Regel ist nur Art. 9(2)(a) ausdrückliche Einwilligung verfügbar, da Beschäftigungskontext (9(2)(b)) und erhebliches öffentliches Interesse (9(2)(g)) auf ein privates Rabattprogramm nicht passen. Offenbart der Ausweis ein Alter unter 16, kommt Art. 8 DSGVO mit Elterneinwilligung hinzu.
Ja. SheerID Inc., der Betreiber von GoCertify, sitzt in Portland, Oregon und hostet die Plattform in AWS Regionen der USA. Die Identifikatoren und alle hochgeladenen Dokumente werden in den USA gespeichert und können von US Prüfkräften manuell gesichtet werden. Die Übermittlung stützt sich auf das EU US Data Privacy Framework, sofern SheerID zertifiziert ist, sonst auf die Standardvertragsklauseln 2021. Ein Transfer Impact Assessment ist Pflicht, weil der Datensatz Ausweisdokumente und potenziell besondere Kategorien enthält.
Ja, eine DSFA ist dringend empfohlen und in der Regel verpflichtend. Die Verarbeitung erfüllt mehrere Auslöser aus EDSA Kriterien und DSK, CNIL und AEPD Muss Listen: Ausweisdokumente, potenziell besondere Kategorien, mögliche Verarbeitung Minderjähriger, automatisierte Entscheidung (Eligibility Score) und Drittlandtransfer in ein Überwachungsregime. Die DSFA muss den Datenfluss zu SheerID, die zulässigen Dokumentenarten, die Rolle automatisierter Prüfungen, die menschliche Nachkontrolle, die Aufbewahrungsfrist, die Schrems II Maßnahmen und die Rechte der Betroffenen beschreiben.
Blockieren Sie das GoCertify iframe in Ihrem Consent Tool unter einer Kategorie Funktional oder Verifizierung. Zeigen Sie das Formular nur, wenn die Person den Rabatt aktiv beantragt. Geben Sie eine eigene Datenschutzinformation auf dem Formular aus, die SheerID, den US Transfer, Datenkategorien, Aufbewahrungsfrist und Rechte benennt. Koppeln Sie das Upload Widget an eine eigene ausdrückliche Einwilligungs Checkbox. Konfigurieren Sie GoCertify so, dass Dokumente nach der Entscheidungserfassung sofort gelöscht werden und nur das Ergebnis plus Zeitstempel bleibt.
EU basierte Optionen sind unter anderem ID Now (Deutschland, EU Hosting), Onfido EU Instanz (Irland), Veriff (Estland mit EU Datenresidenz), Yoti (UK mit EU Residenz Option) und ID Wall (Spanien). Für leichtere Anwendungsfälle können Sie geschlossene Studierenden oder Militär Code Chargen über eine EU Partnerorganisation ausgeben oder die E Mail Domain gegen eine Liste anerkannter Institutionen prüfen. Der Compliance Gewinn hängt vor allem von Datenresidenz, Subunternehmerliste und davon ab, ob der Anbieter ein Ausweisdokument unter einer dokumentierten Art. 9 Ausnahme oder ausschließlich auf ausdrückliche Einwilligung verarbeiten kann.
Fügen Sie einen Abschnitt ein, der SheerID Inc. und das Produkt GoCertify benennt, die auf sheerid.com und gocertify.com gesetzten Cookies mit Zweck und Laufzeit listet und darauf hinweist, dass die Einbettung bis zur Einwilligung blockiert bleibt. Der Datenschutzhinweis muss zusätzlich den Verifizierungsablauf, Daten und Dokumentenkategorien, den Übermittlungsmechanismus (DPF oder SCC mit ergänzenden Maßnahmen), die Aufbewahrungsfrist für Uploads (idealerweise nur so lange wie zur Ergebnisprotokollierung nötig), die Rechtsgrundlage (Art. 6(1)(b) und Art. 9(2)(a)) sowie die Rechte auf Auskunft, Berichtigung, Löschung und Widerruf beschreiben.