Sprache:

Datenschutzerklärung für das Fernsignatursystem sign-me

Information für Betroffene

Der Schutz Ihrer Daten ist uns sehr wichtig. Mit dieser Datenschutzerklärung erhalten Sie umfassende Informationen zur Verwendung Ihrer Daten bei der D-TRUST GmbH, eines Unternehmens der Bundesdruckerei Gruppe GmbH.

1. So können Sie uns als Verantwortliche kontaktieren:

D-Trust GmbH
Kommandantenstr. 15
10969 Berlin

https://www.d-trust.net/
info@d-trust.net
Telefon: +49 30 25 93 91 0

Kontakt zu unserer Datenschutzbeauftragten: datenschutz@d-trust.net

2. Verarbeitungsrahmen

2.1 Kategorien personenbezogener Daten, die verarbeitet werden

  • Ausweisdaten: Name, Vorname, Gültig von bis, Geburtsort, Staatsangehörigkeit, Geburtsname, Geburtsdatum, Meldeadresse, Ausweisnummer (zum Abgleich Antrag, Ausweis, Identifizierungsnachweis), Ausstellende Behörde
  • Weitere: Titel, akademischer Grad, Kontakt E-Mail, E-Mail Zertifikat, Handynummer, Rechnungsadresse, Organisation, produktspezifische ID, Benutzername
  • Nachweise: VideoIdent Nachweis (Aufnahme Person, Ausweis/Pass/ID-Dokument)
  • Zertifikat
  • IP-Adressen, Zugriffszeitpunkte
  • Ggf. Dokumentation zu Übermittlungen gemäß §8 Abs. 2 VDG
  • Ggf. zu signierende Daten im Selfservicebereich

2.2 Quelle der personenbezogenen Daten

Daten der Betroffenen werden

  • bei der Selbst-Registrierung über ein Webformular aufgenommen
  • von Identitfizierungsdienstleistern als verifizierter Datensatz übernommen
  • von Kunden, die über API mit der sign-me Anwendung kommunizieren übernommen
  • bei Kontaktpersonen von Kunden aus Verträgen und Formularen übernommen
  • aus Service- und Supportanfragen von Unternehmen, die für ihre eigenen Endkunden Support erbringen übernommen
  • aus direkten Supportanfragen der Betroffenen übernommen

2.3 Dauer der Speicherung

Die Nachvollziehbarkeit der Identifizierung auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signaturzertifikate gelten für Zertifikate, Zertifikatsnachweisdaten, einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 Vertrauensdienstegesetz zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebes des Vertrauensdiensteanbieters. Vor Aufgabe des Betriebs ist, die Übergabe an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten werden 8 Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Gleiches gilt für die Zertifikate. Rechnungsdaten werden nach 10 Jahren gelöscht.

Dokumentationen zu Übermittlungen gemäß §8 Abs. 2 VDG werden zwölf Monate aufbewahrt.

Dokumente, die der sign-me Nutzer im Selfservicebereich zur Signatur hochlädt, werden nach spätestens 5 Tagen gelöscht.

2.4 Zwecke der Verarbeitung

Die Daten werden für die folgenden Zwecke verarbeitet: Zur Feststellung der Identität des Antragstellers, Antragsprüfung und -abwicklung, Abrechnung, Wahrung der Dokumentationspflichten, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdienstes (Statusauskunftsdienst), Wirtschaftlichkeits- und Qualitätsprüfung, für statistische Zwecke (anonymisiert) und in Einzelfällen zur Fehlerbehebung insbesondere bei Supportanfragen.

Die Zertifikate werden im Rahmen der Signaturerstellungsdienstleistung genutzt, um für den Zertifikatsinhaber (Betroffener) Signaturen zu erstellen. Mittels Eingabe der korrekten E-Mailadresse können angeschlossene Portalbetreiber Art und Status Ihrer Zertifikate abfragen, um mehrfache Identifizierungsvorgänge zu vermeiden und den Signaturprozess für Sie zu verkürzen. Nach Löschung Ihres Accounts ist der Abruf für diese nicht mehr möglich.

Im Rahmen der Maßnahmen zur Aufrechterhaltung der Informationssicherheit insbesondere zum Erkennen und Abwehren von Angriffen, einschließlich interner und externer Auditierung, der Exportkontrolle und der Sanktionslistenprüfung findet ebenfalls Datenverarbeitung statt. Im Fall von Anfragen gemäß §8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen.

Im Selfservicebereich hat der sign-me Nutzer die Möglichkeit PDF-Dokumente hochzuladen zu signieren. Zweck der Verarbeitung ist das Aufbringen der Signatur.

2.5 Rechtsgrundlage für die Verarbeitung

Zertifikate und Zertifikatsnachweisdaten, Kontaktdaten, Bestelldaten, Rechnungsdaten, Dokumentation zu Support-/Servicefällen und ggf. zu signierende Dokumente werden verarbeitet zur Erfüllung des Vertrags mit dem Betroffenen. Die Bereitstellung der Art der Zertifikate und deren Status gegenüber Protalbetreibern ist ebenfalls Teil der Vertragserfüllung.

Die eIDAS-Verordnung (Nr. 910/2014) und das Vertrauensdienstegesetz stellen den gesetzlichen Rahmen für die Vertrauensdienste. Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments wird die Einwilligung des Betroffenen eingeholt.

Rechtsgrundlage für Übermittlungen an zuständigen Stellen ist §8 Abs. 2 VDG.

Betroffenenanfragen werden auf Grundlage der Art. 12 – 23 DSGVO bzw. § 32-37 BDSG verarbeitet.

Die Übermittlungen an die verbundenen Konzernunternehmen erfolgen aufgrund von Interessensabwägungen.

2.6 Berechtigte Interessen

Ein berechtigtes Interesse der D-Trust im Sinne von Art. 6 Abs. 1 lit. f DSGVO liegt in folgenden Fällen vor:

Es werden Maßnahmen der Informationssicherheit einschließlich der Prävention durch technische und organisatorische Maßnahmen einschließlich der Vorfallsbehandlung durchgeführt, um mögliche Schäden für das Unternehmen (D-Trust), für die von der Datenverarbeitung Betroffenen und für die Nutzer der Vertrauensdienste abzuschätzen und zu verhindern.

Die Verantwortliche ist Teil einer Unternehmensgruppe. Die Bundesdruckerei GmbH als Unternehmen der Bundesdruckerei Gruppe GmbH hat im Sinne EW 48 DSGVO ein berechtigtes Interesse bestimmte Verarbeitungen zentral abzuwickeln. Die Sanktionslisten- und Exportkontrollprüfung, Teile des Mahnwesens, der Vertriebstätigkeit und des Supports werden durch die Bundesdruckerei GmbH erbracht.

2.7 Erforderlichkeit der Daten

Die Verantwortliche ist als Vertrauensdiensteanbieter verpflichtet die Identität der Zertifikatsnehmer sicherzustellen. Die Verarbeitung der als Pflichtfelder gekennzeichneten Daten ist notwendig, um dieser Verpflichtung nachzukommen. Bei Nichtangabe oder Falschangabe kann das Zertifikat nicht ausgestellt werden. Gleiches gilt für die Einrichtung von Nachweisen, wie beispielsweise Organisationszugehörigkeit oder Berufsattribute. Ohne Nachweis können die Daten nicht in das Zertifikat aufgenommen werden.

Die Mobilfunknummer oder deutsche Festnummer des Betroffenen ist zwingend erforderlich, da sie im Rahmen der Authentifizierung zur Signaturauslösung als zweiter Faktor genutzt wird. Ohne diesen Sicherheitsmechanismus, der auf der Angabe dieser Nummer beruht, kann der Dienst nicht erbracht werden. 

2.8 Weitergabe und Auslandsbezug

Zur Erbringung der Supportdienstleistung werden die erforderlichen Daten dem Customer Service der Bundesdruckerei GmbH sowie der INCO Spólka z o.o. (Tochterunternehmen der Bundesdruckerei Gruppe GmbH in Polen) übermittelt.

Betreiber von Partneranwendungen (z. B. Portale oder Shopanwendungen für Signaturguthaben), die das sign-me API nutzen, können über den Benutzernamen erfahren, welchen Status die Zertifikate der Nutzer haben (Art und Gültigkeit des Zertifikats) und Informationen zu einem eventuellen Signaturguthaben einsehen. Ein Nutzer kann interner Mitarbeiter oder externer Dritter, der zu einer Signatur aufgefordert wird, sein. Ein Betreiber der Partneranwendung erhält auf diese Weise die Information, ob ein Nutzer bei sign-me registriert ist und wenn ja, welche Zertifikate bereits für den Nutzer vorhanden sind.

Wenn mit dem Zertifikat signiert wird, ist es für den Empfänger der Signatur wichtig zu wissen, ob die Signatur tatsächlich vom angegebenen Unterzeichner und aus vertrauenswürdiger Quelle stammt. Die eingesetzte Software wird für diese Überprüfung u. a. eine Statusabfrage zum Zertifikat veranlassen. Die D-Trust GmbH bietet für diesen Zweck einen Statusabfragedienst an. Dort kann zu einem bestimmten Zertifikat abgefragt werden, ob es gesperrt wurde. Zusätzlich wird das Zertifikat in einem Verzeichnisdienst veröffentlicht, wenn der Nutzer dieser Veröffentlichung zustimmt. Der Verzeichnisdienst ist mit einem Telefonbuch vergleichbar, in dem die Zertifikate eingestellt werden. Das Zertifikat ist online abrufbar.

Des Weiteren erhalten identifizierende Personen, Auditoren, Aufsichtsbehörden, ggf. zuständige Stellen gemäß §8 Abs. 2 VDG Zugriff auf die jeweils erforderlichen Daten.

Im Rahmen der Exportkontrolle werden Name und ggfs. Organisation an den Sanktionslistenserver der Bundesdruckerei GmbH übermittelt. Im Fall von Fehltreffern werden Geburtsdatum, Geburtsort und Staatsangehörigkeit sowie Geburtsname herangezogen. Zusätzlich werden Versandadresse, Versandland, Adresse des Rechnungsempfängers und ggf. weiterer Partner durch die Bundesdruckerei exportkontrollrechtlich bewertet.

Vertriebstätigkeit und Mahnwesen werden teilweise durch die Bundesdruckerei GmbH erbracht.

Es besteht weder die Praxis noch die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

3. Verwendung von Cookies

Beim Aufruf einzelner Seiten werden so genannte temporäre Cookies zur technischen Diensteerbringung verwendet. Diese Session Cookies beinhalten keine personenbezogenen Daten und verfallen nach Ablauf der Sitzung. Techniken, wie zum Beispiel Java-Applets oder Active-X- Controls, die es ermöglichen das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt.

4. Betroffenenrechte

Sollten Sie Anfragen zur Auskunft über Ihre Daten oder deren Berichtigung, Löschung oder Einschränkung der Verarbeitung haben, richten Sie diese bitte an die obenstehende Postadresse oder signiert an datenschutz@d-trust.net. Gleiches gilt, falls Sie im Sinne des Art. 21 DSGVO Widerspruch gegen die Verarbeitung einlegen wollen oder eine Anfrage zur Datenübertragbarkeit haben.

Sollten Sie Fragen oder Beschwerden zu einem Verfahren haben, wenden Sie sich bitte über die oben genannten Kontaktmöglichkeiten an uns. Sollten Sie darüber hinaus Grund für Beschwerden sehen, besteht für Sie die Möglichkeit, sich an unsere Aufsichtsbehörde (Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin) zu wenden.

5. Hinweisgebersystem

Um der besonderen Verantwortung als Sicherheitsunternehmen des Bundes gerecht zu werden, betreibt die Bundesdruckerei ein Hinweisgeber-Managementsystem. Dieses kann jederzeit genutzt werden, um einen Sachverhalt zu melden, der gegen die Werte bzw. Richtlinien der Unternehmensgruppe oder die Geschäftsethik verstößt oder sich negativ auf das Leben oder die Gesundheit von Personen auswirkt („Whistleblowing“). Als Ergänzung zu den regulär bestehenden Informations- und Meldekanälen besteht im Bedarfsfall auch die Möglichkeit, Verdachtsfälle anonym zu melden. Das Verfahren wird federführend durch die Bundesdruckerei geführt, findet jedoch in gemeinsamer Verantwortung mit der D-Trust GmbH statt. Anlaufstelle für die betroffenen Personen ist die Bundesdruckerei. Weiterführende Informationen zum Datenschutz (Art. 13 DSGVO) finden Sie in der Datenschutzerklärung der Bundesdruckerei. Über die Nutzungsbedingungen des von der Bundesdruckerei eingesetzten Partners, können Sie sich in diesem Dokument in englischer Sprache informieren.