1.1 Betroffene und Kategorien personenbezogener Daten

Im Rahmen Ihrer Nutzung dieser Webseite verarbeiten wir regelmäßig folgende personenbezogene Daten der Webseitenbesucher:

• Kontaktdaten wie z.B. Vor- und Nachname, E-Mail-Adresse oder Ihre Telefonnummer, die Sie selbst freiwillig angeben beispielsweise bei einer Anmeldung, bei Anfragen zur Kontaktaufnahme, im Rahmen der Teilnahme an Umfragen etc.,
• Informationen, die im Rahmen einer Supportanfrage angegeben werden,
• Informationen, die automatisch von Ihrem Webbrowser oder Endgerät an uns gesendet werden, wie z.B. Ihre IP-Adresse, Gerätetyp, Browsertyp, vorher besuchte Webseiten, besuchte Unterseiten oder Datum und Uhrzeit der jeweiligen Besucheranfrage.

1.2 Zwecke und Rechtsgrundlage der Verarbeitung personenbezogener Daten

Wir verarbeiten Ihre personenbezogenen Daten, um Ihnen die Inanspruchnahme der Leistungen und Funktionen dieser Webseite zu ermöglichen.

Die Verarbeitung der personenbezogenen Daten ist zur Erreichung dieses Zweckes erforderlich. Einzelheiten ergeben sich insoweit im weiteren Verlauf der Datenschutzinformation. Zu den einzelnen Verarbeitungsreihen sind jeweils ausführliche Informationen dargestellt sowie die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten genannt.

1.3 Einsatz von Cookies

Bei Ihrem Besuch auf unserer Webseite erheben wir während einer laufenden Verbindung über Ihren Internetbrowser und unter Einsatz technisch notwendiger sogenannter Session-Cookies personenbezogene Daten. Diese Session-Cookies ermöglichen uns die Bereitstellung der Webseite. Sie verfallen in der Regel nach Ablauf der Sitzung.

Die meisten Browser sind so eingestellt, dass sie Cookies automatisch akzeptieren. Sie können das Speichern von Cookies auch deaktivieren oder Ihren Browser so einstellen, dass er Sie benachrichtigt, sobald Cookies gesendet werden. Durch den Einsatz der Session-Cookies erhalten wir folgende Informationen:

• Datum und Uhrzeit des Aufrufs der Webseite,
• verwendeter Webbrowser und verwendetes Betriebssystem sowie Gerätetyp,
• vollständige IP-Adresse des anfordernden Geräts und Referrer-URL,
• übertragene Datenmenge.

Rechtsgrundlage für die die Speicherung von Informationen in der Endeinrichtung des Endnutzers ist § 25 Abs. 2 Nr. 2 TDDDG. Der Einsatz von Session-Cookies ist unbedingt erforderlich, damit wir als Anbieter der Webseite (digitaler Dienst) diesen ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen können.

1.4 Verarbeitung von Logfiles

Bei jedem Zugriff auf diese Webseite bzw. bei jedem Abruf einer Datei werden Daten über diesen Vorgang vorübergehend in einer Protokolldatei verarbeitet. Im Einzelnen werden personenbezogene Daten im selben Umfang wie bei der Verarbeitung von Session-Cookies gespeichert.

Bei Angriffen (bspw. DDoS-Attacken) auf die Kommunikationstechnik werden diese Daten analysiert und ggf. zur Einleitung einer Rechts- und Strafverfolgung verwendet. Eine Löschung dieser Logfiles erfolgt nach spätestens sieben Tagen. Rechtsgrundlage für diese Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse ist die Aufklärung von sicherheitsrelevanten Vorfällen.

1.5 Chatbot

Der Chatbot für die E-Health-Produkte der D-Trust GmbH wird von der Bundesdruckerei GmbH und der D-Trust GmbH (im Folgenden gemeinsam „wir“ oder „uns“) in gemeinsamer datenschutzrechtlicher Verantwortlichkeit betrieben. Wir haben hierzu eine Vereinbarung nach Art. 26 Abs. 2 DSGVO geschlossen, in der wir unsere jeweiligen Pflichten im Zusammenhang mit der Erhebung und Verarbeitung personenbezogener Daten klar geregelt haben. Insbesondere regelt diese Vereinbarung, wie wir Ihnen die vorgeschriebenen Informationen zur Verfügung stellen, Ihre Rechte nach der DSGVO wahren und bei Fragen oder Beschwerden eng zusammenarbeiten. Falls Sie mehr über die Inhalte unserer Vereinbarung oder die genaue Aufteilung der Verantwortlichkeiten erfahren möchten, können Sie sich gern über die in dieser Datenschutzerklärung angegebenen Kontaktdaten an uns wenden.

1.5.1 Beschreibung der Verarbeitungstätigkeit

Der Chatbot dient dazu, Nutzern auf der Website der D-Trust GmbH (nachfolgend „D-Trust“) schnell und automatisiert unter Einsatz von Künstlicher Intelligenz Informationen zu E-Health-Produkten bereitzustellen. Bei der Verwendung des Chatbots werden zur technischen Bereitstellung und Beantwortung Ihrer Anfragen begrenzte personenbezogene Daten erhoben, verarbeitet und (soweit erforderlich) anonymisiert. Die Angabe personenbezogener Daten ist für die Funktion des Chatbots weder erforderlich noch angezeigt. Wir weisen daher darauf hin, dass persönliche Angaben unterbleiben sollen.
Der Chatbot verfügt neben einer klassischen Texteingabe und Textausgabe auch über eine Speech-to-Text und Text-to-Speech-Funktion. Die Speech-to-Text-Funktion ermöglicht es Ihnen, Ihre Fragen oder Anmerkungen per Sprache an den Chatbot zu richten, wobei Ihre Spracheingabe in einen Text umgewandelt wird. Bei der Text-to-Speech-Funktion kann der Chatbot seine Antworten auf Wunsch auch in gesprochener Form ausgeben. Wir verwenden diese Daten nicht für weitere Analysen.

1.5.2 Betroffene und Kategorien personenbezogener Daten

Betroffene Personen sind Besucherinnen und Besucher unserer Webseite, die den Chatbot aktiv nutzen. Je nach Nutzungsart können dabei folgende Daten verarbeitet werden:

• Sprachaufzeichnungen (für die Dauer der Umwandlung, sofern Sie die Speech-to-Text Funktion in Ihrem Browser aktivieren)
• Erzeugte Textdaten (Transkription Ihres gesprochenen Wortes)
• Session-ID, um den Chatvorgang fortlaufend zuzuordnen)
• Chat-Eingaben (automatisierte Maskierung personenbezogener Angaben, sofern
  vorhanden)

Die Freigabe der Sprachfunktion hängt von Ihren Browser- oder Endgeräte-Einstellungen ab. Wenn Sie diese Funktion nicht aktivieren, werden keine Sprachdaten erhoben.

1.5.3 Zwecke und Rechtsgrundlage der Verarbeitung personenbezogener Daten

Wir verwenden die gekürzte IP-Adresse und die Session ID, um den Chatbot technisch funktionsfähig zu betreiben und Nutzeranfragen beantworten zu können. Unser berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO liegt in der Verbesserung der Kundenbetreuung und dem effizienteren Support. Dabei stellen wir sicher, dass nur die jeweils erforderlichen Daten erhoben werden, dafür werden die Daten unverzüglich maskiert und anschließend anonymisiert. Die Vergabe einer Session-ID ist technisch erforderlich im Sinne des § 25 Abs. 2 Nr. 2 TDDDG. Soweit entgegen dem ausdrücklichen Hinweis personenbezogenen Daten in den Chat eingegeben werden, werden diese umgehend anonymisiert, aufgrund unseres berechtigten Interesses an einem rechtmäßigen Betrieb des Chatbots, Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Die Zurverfügungstellung der Speech-to-Text- und Text-to-Speech-Funktion dient unserem berechtigten Interesse an der Bereitstellung einer komfortablen und barrierearmen Chat-Interaktion, Art. 6 Abs. 1 S. 1 lit. f DSGVO.

1.5.4 Empfänger personenbezogener Daten

Die technische Bereitstellung des KI-Chatbots erfolgt in Zusammenarbeit mit der Bundesdruckerei GmbH und beauftragten Dienstleistern. Diese empfangen Nutzungsdaten nur insoweit, wie es für den Betrieb und die Wartung des Chatbots notwendig ist. Die Erfassung, Transkription und Ausgabe erfolgt, je nach Einstellung, lokal über Ihren Browser oder eine geschlossene Serverumgebung (Private Cloud).
Eine Weitergabe an andere Dritte findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet.

1.5.5 Speicherdauer

Die Session-Daten werden nur für die Dauer des Chats gespeichert und anschließend gelöscht, spätestens jedoch nach 15 Minuten Inaktivität. Sollten Sie personenbezogene Daten versehentlich eingeben, werden diese automatisiert mittels eines Anonymisierungsverfahrens unkenntlich gemacht und somit nicht dauerhaft gespeichert. Logdaten werden standardmäßig nach 60 Tagen gelöscht.
Die Audiobestandteile werden bei Nutzung der Speech-to-Text- und Text-to-Speech-Funktion nur so lange verarbeitet, wie es für die Transkription beziehungsweise Audioausgabe benötigt wird. Anschließend werden die Audiodaten unverzüglich gelöscht.

1.5.6 Erforderlichkeit der Bereitstellung der personenbezogenen Daten

Die Verarbeitung von IP-Adresse und Session-ID ist erforderlich, um den Chat-Dialog technisch zu ermöglichen. Wenn Sie dies nicht möchten, können Sie den Chatbot nicht nutzen.
Die Angabe von Sprachdaten bzw. das Aktivieren der Speech-to-Text- und Text-to-Speech-Funktion ist freiwillig. Ohne Sprachaufzeichnung kann der Chatbot auch über die standardmäßige Texteingabe genutzt werden. Möchten Sie die Vorteile der Sprach-Interaktion nutzen, ist die kurzzeitige Verarbeitung Ihrer Sprachdaten jedoch notwendig. Wenn Sie die Sprachfunktion nicht verwenden möchten, müssen Sie diese in Ihrem Browser- oder Endgeräte-Menü deaktivieren oder nicht freigeben.

2.1 Newsletter

Für Newsletter und Premiuminhalte ist die D-Trust gemeinsam mit der Bundesdruckerei GmbH verantwortlich. Für diese gemeinsame Verantwortlichkeit haben die D-Trust und die Bundesdruckerei GmbH eine entsprechende Vereinbarung nach Art. 26 DSGVO geschlossen. Das Wesentliche dieser Vereinbarung wird mit diesem Abschnitt der Datenschutzinformation zur Verfügung gestellt.

Mit den nachfolgenden Hinweisen klären wir Sie über die Inhalte unserer Newsletter sowie das Anmelde-, Versand- und das statistische Auswertungsverfahren sowie Ihre Widerrufsrechte auf. Wir versenden Newsletter mit werblichen Informationen nur mit der Einwilligung der Empfänger und Empfängerinnen oder einer gesetzlichen Erlaubnis. Unsere Newsletter enthalten Informationen zu unseren Produkten, Angeboten, Aktionen und Neuigkeiten aus der D-Trust GmbH.

2.1.1 Anmeldung/Double-Opt-in-Verfahren

Zum Erhalt der Newsletter ist die Angabe Ihrer E-Mail-Adresse erforderlich. Die Angabe Ihres Vor- und Nachnamens ist optional. Die Anmeldung erfolgt in einem sog. DoubleOpt-In-Verfahren. Das heißt, Sie erhalten nach Anmeldung von uns eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit einer fremden E-Mail-Adresse anmelden kann. Die Anmeldungen zum Newsletter werden protokolliert, um den Anmeldeprozess entsprechend den rechtlichen Anforderungen nachweisen zu können. Dabei speichern wir die IP-Adresse und den Anmelde- und Bestätigungszeitpunkt sowie mögliche Änderungen. Rechtsgrundlage für diese Speicherung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses in Zweifelsfällen den Nachweis führen zu können, dass in den Erhalt unseres Newsletters eingewilligt wurde.

Rechtsgrundlage für die Zusendung des Newsletters und die Verarbeitung Ihrer personenbezogenen Daten ist Ihre freiwillige und informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO.

2.1.2 Versanddienstleister

Der Versand der Newsletter erfolgt mittels der Anwendung Evalanche von SC-Networks GmbH, Würmstraße 4, 82319 Starnberg. Es besteht ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO. Die Datenschutzbestimmungen von Evalanche können Sie hier einsehen: SC-Networks GmbH.

2.1.3 Statistische Auswertung

Um die Gestaltung unserer Newsletter stetig verbessern zu können und unsere Inhalte an die Interessen unserer Nutzenden anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzenden versenden zu können, führen wir statistische Auswertungen der Interaktion mit unseren Newslettern durch. Zu diesem Zweck kommen auch zwei Cookies mit der Bezeichnung „ewafut“ und „ewafutano“ zum Einsatz. Es werden technische Informationen, wie Informationen zum Browsertyp und zu Betriebssystem sowie Ihre IP-Adresse und der Zeitpunkt des Abrufs erhoben. Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können den einzelnen Newsletter-Empfängern und Empfängerinnen zugeordnet werden. Als Rechtsgrundlage für den Einsatz der Cookies bzw. die hierauf aufbauende statistische Auswertung stützen wir uns – wie auch bei der Verarbeitung Ihrer personenbezogenen Daten zum Versand des Newsletters – auf Ihre freiwillige und informierte Einwilligung, hier nach § 25 Abs. 1 TDDDG (Cookie-Einsatz) bzw. Art. 6 Abs. 1 S. 1 lit. a DSGVO (Datenverarbeitung). Die Cookies haben eine Laufzeit von 24 Monaten.

Die Abfrage, ob Sie sich zu einem Newsletter anmelden wollen, erfolgt über unterschiedliche Erhebungsmasken (z.B. Pop-up-Module). Sie haben hier die Möglichkeit, Ihre Einwilligung mit der zuvor beschriebenen Reichweite zu erteilen oder mit einem Klick auf „Fenster schließen“ die Erteilung einer Einwilligung abzulehnen. Um zu verhindern, dass Sie im Falle einer nicht erteilten Einwilligung das Pop-up-Modul bzw. ExitIntent-Modul sofort wieder angezeigt bekommen, setzen wir ein weiteres Cookie mit der Bezeichnung „exit-popup“ bzw. „exit-intent“ ein. Dieses technisch erforderliche Cookie hat eine Laufzeit von 21 Tagen und dient ausschließlich dem Zweck der Speicherung des Einwilligungsstatus. Rechtsgrundlage für den Einsatz dieses Cookies ist § 25 Abs. 2 Nr. 2 TDDDG.

Widerruf: Ihre Einwilligung gilt bis auf Widerruf, den Sie jederzeit mit Wirkung für die Zukunft erklären können. Sie können sich jederzeit von der E-Mail-Kommunikation abmelden. Den Link „Abmelden“ finden Sie am Ende einer Newsletter-E-Mail. Oder Sie senden uns eine E-Mail an datenschutz@d-trust.net. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Bitte beachten Sie, dass Sie im Falle eines Widerrufs Ihrer Einwilligung in den Einsatz von Evalanche aus unserem Newsletter-Verteiler gelöscht werden und Sie keinen Newsletter mehr beziehen können. Im Falle eines Widerrufs Ihrer Einwilligung werden die Einwilligungsdaten noch für einen angemessenen Zeitraum in gesperrter Form aufbewahrt. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses, in Zweifelsfällen den Nachweis führen zu können, dass in den Erhalt unseres Newsletters zu einem bestimmten Zeitpunkt einmal eingewilligt wurde.

2.2 Premiuminhalte („Premium-Content“)

Auf unseren Websites stellen wir sog. Premium-Content wie zum Beispiel Whitepaper zum Download bereit. Solche Inhalte beziehen sich auf spezifische Themen und sind umfangreich aufbereitet. Im Zusammenhang mit der Bereitstellung von Premium-Content bitten wir Sie um Erteilung Ihrer Einwilligung in die Nutzung Ihrer E-Mail-Adresse, Ihres Vor- und Nachnamens und Ihres Unternehmens für Zwecke der Newsletter-Zusendung für Leistungen der D-Trust. Worauf sich Ihre Einwilligung im Detail erstreckt, wie wir im Falle Ihrer Einwilligung verfahren, welche Auswertungen wir durchführen sowie zur Möglichkeit des Widerrufs entnehmen Sie bitte Punkt 3.1 dieser Datenschutzinformation. 

Die Verarbeitung Ihrer E-Mail-Adresse erfolgt auf Basis der von Ihnen erteilten Einwilligung im Sinne von Art. 6 Abs. 1 S. 1 lit. a DSGVO. Sie stellen uns ihre personenbezogenen Daten freiwillig als Gegenleistung für die Möglichkeit der Inanspruchnahme von Premium-Content zur Verfügung. Nach vollständigem Durchlaufen des Anmeldeprozesses (vgl. 2.1) senden wir Ihnen an die von Ihnen angegebene E-Mail-Adresse einen Link, der zu dem gewünschten Inhalt führt.

Zudem können wir anhand der E-Mail-Adresse feststellen, ob die nutzende Person bereits in Kontakt mit uns stand oder ob bereits eine Anmeldung für einen anderen Premium-Content vorliegt. Diese Zuordnung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Vermeidung von Dubletten und die Zuordnung, welche unserer Kontakte welche konkreten Inhalte abgerufen haben, ist als berechtigt im Sinne dieser Vorschrift einzuordnen.

Damit Sie mit uns in Kontakt treten können, stellen wir ein Kontaktformular bereit. Sie können wählen, ob wir Ihnen telefonisch oder per E-Mail auf Ihre Anfrage antworten. Diese können Sie in einem Freitextfeld konkretisieren, nachdem Sie eine Vorauswahl für den Bereich, den Ihre Anfrage berührt, getroffen haben. So können wir schnellstmöglich die richtigen Ansprechpartner ausfindig machen. Mögliche Empfänger Ihrer Daten sind deshalb die internen Mitarbeiter und Mitarbeiterinnen, die Ihre Anfrage beantworten, sowie konzernangehörige Unternehmen, die den Bereich Ihrer Anfrage berühren.

Damit unser Beratungsteam Sie per E-Mail kontaktieren kann, benötigen wir zunächst Ihre Bestätigung, dass Sie Inhaber der von Ihnen angegebenen E-Mail-Adresse sind. Die Bestätigung erfolgt in einem sog. Double-Opt-In-Verfahren. Das heißt, Sie erhalten nach der Kontaktaufnahme von uns eine E-Mail, in der Sie um die Bestätigung Ihrer Anfrage gebeten werden. Anfragen werden protokolliert, um den Prozess der Anfragen mittels unseres Kontaktformulares entsprechend den rechtlichen Anforderungen nachweisen zu können. Dabei speichern wir die IP-Adresse und den Anmelde- und Bestätigungszeitpunkt sowie mögliche Änderungen.

Rechtsgrundlage für diese Speicherung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. In Zweifelsfällen den Nachweis führen zu können, dass wir Sie zum Zwecke der Abstimmung eines konkreten Beratungstermins kontaktieren dürfen, ist als berechtigtes Interesse anzusehen. 

Einige Felder sind nicht zwingend auszufüllen. Wenn Sie dennoch entsprechende Angaben machen, sind Sie damit einverstanden, dass wir Ihre personenbezogenen Daten für die Beantwortung Ihrer Anfrage verarbeiten. Wenn Sie im Rahmen einer Terminabstimmung zudem in den Erhalt unseres Newsletters einwilligen, verfahren wir wie in Abschnitt 2.1 beschrieben.

Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten in Verbindung mit der Kontaktanfrage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO, sofern Sie sich für weitere Informationen zu unseren Produkten interessieren. Wenn Sie hingegen ein anderes Anliegen verfolgen, verarbeiten wir Ihre personenbezogenen Daten nach Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses, Ihre Anfrage zu beantworten und über unsere Produkte und Dienstleistungen zu informieren. 

Unsere Webseite bindet Videos von YouTube ein. Anbieter der Videoplattform ist die Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin, Ireland. Erst wenn Sie ein eingebettetes Video aufrufen, wird eine Verbindung zu den Servern von YouTube hergestellt (sogenannte ZweiKlick-Methode). Dabei wird dem YouTube-Server mitgeteilt, welche unserer Seiten Sie besucht haben. Zudem erhält YouTube Ihre IP-Adresse. Dies gilt auch dann, wenn Sie nicht bei YouTube eingeloggt sind oder keinen Account bei Google besitzen. Sind Sie parallel in Ihrem Google-Account bei YouTube eingeloggt, ermöglichen Sie Google, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Google-Account bei YouTube ausloggen oder die entsprechende Funktion in Ihrer Google-Profilverwaltung deaktivieren.

Personenbezogene Daten werden auch an Server von Google (Google LLC, 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA) in den USA übertragen und dort gespeichert. Aufgrund der Aktivierung der IP-Anonymisierung „anonymizeIp()“ wird die IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.  Für die USA besteht ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) auf Grundlage des Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023. Google verfügt über eine entsprechende Zertifizierung nach dem DPF. Weitere Informationen zum Umgang mit personenbezogenen Daten finden Sie in der Datenschutzinformation von Google.

Rechtsgrundlage für die Verarbeitung ist Ihre freiwillige und informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, die Sie jederzeit mit Wirkung für die Zukunft widerrufen können. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Um Informationen über das Verhalten der Webseite-Besucher zu erhalten, verwenden wir das Webtracking-tool etracker der etracker GmbH, Erste Brunnenstraße 1, 20459 Hamburg. Wir nutzen für die Besucherzählung ausschließlich personenbezogene Daten, die der Browser ohnehin übermittelt. Für den weiteren Zweck „Analyse des Nutzendenverhaltens“ anonymisieren wir diese Daten jedoch, da wir keine Nutzerpro-file erstellen. Eine Webanalyse erfolgt deshalb nicht anhand personenbezogener Daten, sondern mit Hilfe sog. „Cross Device IDs“, die sich nicht auf die einzelnen Nutzenden beziehen lassen. Wir verwenden etracker ohne Cookies. Auch darüber hinaus setzt etracker keine anderen Identifier ein. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten zur Analyse Ihres Nutzerverhaltens ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Verbesserung unseres Internetauftritts ist als berechtigtes Interesse im Sinne dieser Vorschrift einzuordnen

Wenn Sie unsere LinkedIn‐Unternehmensseite besuchen, unserer Seite folgen oder sich mit der Seite beschäftigen, verarbeitet LinkedIn personenbezogene Daten zu dieser Interaktion, die uns mittels Statistiken eine Auswertung des Nutzerverhaltens ermöglicht. Dabei handelt es sich um die sog. „Seiten-Insights“-Funktion. LinkedIn verarbeitet für diese statistischen Analysen vor allem solche Daten, die Sie der Plattform über Angaben innerhalb Ihres Profils zur Verfügung gestellt haben. Darüber hinaus verarbeitet LinkedIn Informationen darüber, wie Sie mit unserer LinkedIn‐Unternehmensseite interagieren, z.B. ob Sie ein Follower unserer LinkedIn‐Unternehmensseite sind. Wenn wir sogenannte „Polls“ veranstalten, d.h. themenbezogene Umfragen auf unserer Unternehmensseite freischalten, sehen wir dazu Auswertungen zum Abstimmungsverhalten.

Über Seiten-Insights stellt LinkedIn uns keine personenbezogenen Daten zur Verfügung. Wir haben nur auf zusammengefasste Seiten-Insights Zugriff, die keine Rückschlüsse zu einzelnen Mitgliedern ermöglichen.

Die Verarbeitung personenbezogener Daten im Rahmen der Seiten-Insights erfolgt durch LinkedIn und uns als gemeinsam Verantwortliche. Die Auswertung der Handlungen auf unserer LinkedIn-Unternehmensseite unterstützt die stetigen Bemühungen unsere Öffentlichkeitsarbeit an den Bedürfnissen der Nutzerinnen auszurichten und stellt ein berechtigtes Interesse dar. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.

Wir haben mit LinkedIn eine Vereinbarung über die Verarbeitung als gemeinsam Verantwortliche getroffen, in der die Verteilung der datenschutzrechtlichen Pflichten zwischen uns und LinkedIn festgelegt ist. Die Vereinbarung ist hier abrufbar. Für die Verarbeitung personenbezogener Daten innerhalb der LinkedIn Plattform ist das Unternehmen grundsätzlich allein datenschutzrechtlich verantwortlich. Weitere Informationen über die Verarbeitung personenbezogener Daten durch LinkedIn erhalte Sie hier . 

Bitte beachten Sie, dass LinkedIn personenbezogene Daten in den USA oder anderen Drittländer verarbeitet. Für die USA besteht ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) auf Grundlage des Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023. LinkedIn verfügt über eine entsprechende Zertifizierung nach dem DPF. LinkedIn überträgt personenbezogene Daten nur in Länder, für die ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO vorliegt oder auf Grundlage geeigneter Garantien nach Art. 46 DSGVO.

Die XING-Unternehmensseite der Bundesdruckerei Gruppe wird auf der Plattform der Fa. New Work SE, Dammtorstraße 30, 20354 Hamburg bereitgestellt. Sofern Sie unsere Seite aufrufen und gleichzeitig in Ihrem XING-Account eingeloggt sind, kann XING den Besuch unserer Website Ihrem XING-Account zuordnen. Loggen Sie sich vorher aus, kann eine solche Verknüpfung durch XING nicht erfolgen. Die Art und Weise, auf die XING Ihre Daten erhebt und verarbeitet und zu welchen Zwecken dies geschieht, entnehmen Sie bitte der Datenschutzerklärung von XING, die sie hier finden.

Wenn Sie den Dienst besuchen, können Cookies und ähnliche Technologien wie Pixel zum Einsatz kommen, um Informationen über Ihre Nutzung des Dienstes zu sammeln und Ihnen Funktionen zur Verfügung zu stellen. Zudem können Werbetreibende oder sonstige Partner von XING Cookies oder ähnliche Technologien auf Ihrem Gerät bereitstellen. Sie haben die Möglichkeit, die Verarbeitung Ihrer Daten in den Privatsphäre-Einstellungen Ihres Profils zu beschränken. Informationen zu den Privatsphäre-Einstellungen finden Sie hier.

Sie können –abhängig vom jeweiligen bei mobilen Endgeräten in den Einstellmöglichkeiten den Zugriff des Dienstes auf Kontakt- und Kalenderdaten, Fotos, Standortdaten etc. beschränken. Dies ist jedoch abhängig vom genutzten Betriebssystem. 

Wir verarbeiten über unsere Unternehmensseite auf der XING-Plattform von Ihnen bei XING eingegebene Daten, insbesondere Ihren (Nutzer-)Namen. Die unter Ihrem Account veröffentlichten Inhalte verarbeiten wir durch Teilung Ihrer Posts oder wenn wir darauf antworten. Wir könnten zudem Posts verfassen, die auf Ihr Profil und Ihre Inhalte verweisen und machen dadurch wir unsere „Follower“ darauf aufmerksam. 

Die Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist die Interaktion mit potentiellen Mitarbeitern und Mitarbeiterinnen und die Darstellung der Bundesdruckerei Gruppe innerhalb des Netzwerks. Sie können dieser Datenverarbeitung jederzeit widersprechen. Weitere Informationen hierzu finden Sie unter der Überschrift „Betroffenenrechte“ unten.

Kununu ist ebenfalls eine von der Fa. New Work SE betriebene Marke. Als Nutzer von kununu können Sie die Daten, die über Sie in dieser Anwendung gespeichert werden, über den folgenden Link anfordern: https://www.kununu.com/user/inquiry. Weitere Informationen über die Datenverarbeitung im Rahmen des gesamten Dienstes XING und seiner Anwendungen (wie u.a. kununu) finden Sie in der Datenschutzinformation von Xing.

Es werden personenbezogene Daten für die Organisation und Durchführung von Kundenevents bei der D-Trust verarbeitet. Diese können einen Bezug zu unseren Produkten haben und dienen dem Austausch im Rahmen von Projekten oder Kooperationen, wodurch ein werblicher Charakter entstehen kann.

Während der Events können Bild- und Tonaufnahmen durch die D-Trust angefertigt werden.

Darüber hinaus kann es sein, dass wir den Teilnehmenden nach dem Event noch Informationen per Mail oder Post bereitstellen. Diese Informationen können einen Bezug zu unseren Produkten und Dienstleistungen beinhalten und somit einen werblichen Charakter haben.

2.1 Betroffene Personen

Es werden Personen von Kunden der D-Trust und folgende Personengruppen zu Kundenevents eingeladen:

• Interessenten, u.a. Politiker, Verbandsmitglieder, Personen aus Aufsichtsbehörden
• Dritte im Bereich Vortragende sind bei dieser Veranstaltung neben Mitarbeitende des Konzerns u.a. Personen aus dem Bereich Politik sein.
• Kunden
• Partner
• Mitarbeitende des Konzerns

2.2 Datenherkunft und -kategorien

Im Rahmen der Organisation und Abwicklung von internen und externen Veranstaltungen verarbeitet die D-Trust insbesondere die folgenden Kategorien personenbezogener Daten von Teilnehmenden, die diese bereitgestellt haben oder durch öffentlich zugängliche Quellen abrufbar sind:

• Akademischer Grad,
• Kontaktdaten (u. a. postalische Adresse und E-Mail),
• Name,
• Organisationszugehörigkeit (u. a. Abteilung)
• Position,
• Kurzprofil von Vortragenden,
• Informationen zum Gesundheitszustand (u. a., wenn Sie Unverträglichkeiten haben oder Lichtempfindlichkeit) und uns diese mitgeteilt haben

Wir verwenden die personenbezogenen Daten zur gezielten Einladung und Durchführung von Veranstaltungen der D-Trust. Bei diesen Veranstaltungen der D-Trust werden Ihre personenbezogenen Daten verarbeitet, um Sie einzuladen, die Rahmenbedingungen der Veranstaltung zu planen, die Zutrittskontrolle zu den Liegenschaften der Bundesdruckerei durchzuführen sowie die Veranstaltung auszugestalten. Ferner dienen diese Veranstaltungen dem Austausch von Informationen sowie im Rahmen von Kundenprojekten oder Kooperationen. Die Rechtsgrundlage für diese Verarbeitung Ihrer personenbezogenen Daten ist das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO) an der Einladung, Planung und Durchführung von Informationsveranstaltungen.

Die Verarbeitung der personenbezogenen Daten ist zur Erreichung der oben genannten Zwecke, notwendig. Werden die genannten personenbezogenen Daten nicht oder nicht im benötigten Umfang zur Verfügung gestellt, kann eine Teilnahme im Hinblick auf die Zutrittskontrolle zu den Liegenschaften der Bundesdruckerei unter Umständen nicht stattfinden.

Foto- und Videoaufnahmen werden für die Dokumentation der Veranstaltung sowie für die Verwendung im Rahmen der Öffentlichkeitarbeit oder zur Bewerbung zukünftiger Veranstaltungen verwendet. Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Ihre Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).

In einigen Fällen verarbeiten wir Ihre personenbezogenen Daten (z.B. Lebensmittelunverträglichkeiten), um für Sie ein gutes und angenehmes Veranstaltungerlebnis sicher zu stellen. Diese personenbezogenen Daten werden bei Ihrer Anmeldung zur Veranstaltung abgefragt, wenn wir diese benötigen und Sie uns diese mitteilen wollen. Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).

Innerhalb der D-Trust und im Rahmen im Rahmen des kleinen Konzernprivilegs (Erwägungsgrund 48 der DSGVO) der Bundesdruckerei Gruppe, erhalten nur diejenigen Stellen Ihre Daten, die diese zur Durchführung der genannten Zwecke benötigen.

Die Daten werden an Dritte nur weitergegeben, wenn die Wahrung unserer berechtigten Interessen dies rechtfertigt (Art. 6 Abs. 1 S. 1 lit. f DSGVO). So entspricht es unserem berechtigten Interesse im Rahmen der Events Daten der Vortragenden mit den eingeladenen Personen zu teilen.

Ihre personenbezogenen Daten werden nicht in ein Drittland übermittelt.

Über unsere Antragsstrecke auf unserer Webseite können Zertifikatsprodukte bestellt werden, die unsere Kunden bei uns in Auftrag gegeben haben. Im Rahmen der Verifikation der Antragsdaten werden identifizierende Personen, Zeichnungsberechtigte und Personalabteilungen bzw. Vorgesetzte kontaktiert und in die Klärung der Korrektheit der Zertifikatsdaten und Berechtigungen einbezogen. Zudem verarbeiten wir personenbezogene Daten zur Bearbeitung von Support- und Servicefällen.

2.1 Betroffene Personen

• Antragsteller
• Zeichnungsberechtigte
• sperrberechtigte Dritte
• Officer (speziell für das Antragsportal geschulte Personen in den Betrieben unserer Kunden)

2.2 Datenherkunft

Die Daten von am Identifikations- oder Bestätigungsprozess beteiligten Personen werden im Zuge ihrer Tätigkeit direkt erhoben. Service- und Supportanfragen stellen Sie uns über Formulare oder andere von Ihnen gewählte Kontaktmöglichkeiten zur Verfügung.

2.3 Datenkategorien

Im Zuge der Beantragung und Bereitstellung von Zertifikatsprodukten durch unsere Kunden verarbeiten wir folgende Kategorien personenbezogener Daten:

• Zertifikatsdaten
• Kontakt-, Bestell- und Rechnungsdaten
• Sperrpassworthashs
• Zertifikatsnachweisdaten
• IP-Adress-Paare und Zeitpunkte des Zugriffs
• ggf. Ausweiskopien (Reisepass, Ausweis und andere ID-Dokumente)
• Biometrische Fotos

Bei Ausweiskopien, die nicht geschwärzt wurden, werden die Zugangsnummer (CAN) und besondere Kategorien personenbezogener Daten in Form eines Lichtbilds (biometrisches Foto) übermittelt. Es handelt sich bei dem Lichtbild um ein sogenanntes biometrisches Datum, das eine eindeutige Identifizierung erlaubt. 

Personenbezogene Daten werden zum Zwecke der Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO), namentlich die Feststellung der Identität des Antragstellers, die Antragsprüfung und -abwicklung, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdiensts (Statusauskunftsdienst) und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen.

Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments holen wir Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO ein.

Die Veröffentlichung der Zertifikate im Verzeichnisdienst erfolgt ausschließlich aufgrund Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) im Antragsprozess, es sei denn, Sie beziehen ein S/MIME-Zertifikat. Sie können der Veröffentlichung jederzeit durch eine E-Mail an datenschutz@d-trust.net unter Angabe Ihrer Antrags-ID für die Zukunft widersprechen oder Sie richten den Widerruf unter Angabe Ihrer Antrags-ID schriftlich an D-Trust GmbH, Antragsbearbeitung, Kommandantenstr. 15, 10969 Berlin.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen, soweit diese die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Rechtsgrundlage für Übermittlungen an die zuständigen Stellen ist in diesen Fällen § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO.

Um unsere Supportleistungen erbringen zu können, geben wir die für diesen Dienst benötigten personenbezogenen Daten an den Kundenservice der Bundesdruckerei GmbH sowie der INCO Spólka z o.o., ebenfalls ein Tochterunternehmen der Bundesdruckerei-Gruppe GmbH, weiter. Der Kundenservice verarbeitet die personenbezogenen Daten in unserem Auftrag und nach unserer Weisung zur Beantwortung Ihrer Supportanfragen. Teile der kaufmännischen Vertragsabwicklung werden durch die Bundesdruckerei GmbH erbracht und im Zuge dessen personenbezogene Daten verarbeitet.

Sofern die Zertifikate über einen Partner der D-Trust GmbH bestellt oder vermittelt wurden, erhält der Partner die dazu erforderlichen Personendaten zur Kauf- und ggf. Provisionsabwicklung.

Gemäß § 8 Abs. 2 VDG geben wir Ihre personenbezogenen Daten gegebenenfalls an die zuständigen Stellen (vgl. 3.) weiter.

Im Falle ihrer Einwilligung (vgl. 3.), übermitteln wir Ihr Zertifikat an den Verzeichnisdienst, welcher Ihr Zertifikatveröffentlicht, sodass es öffentlich einsehbar ist.

Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signatur- und Siegelzertifikate gelten für Zertifikate und Zertifikatsnachweisdaten einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 VDG zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebs unseres Unternehmens. Sollten wir unser Unternehmen aufgeben, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben, wie gesetzlich vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten und Zertifikate werden acht Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Der Sperrpassworthash wird spätestens ein Jahr nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Die Ausweiskopie wird nach Posteingang eingescannt. Die Papierkopie wird 21 Tage nach Posteingang vernichtet. Der Scan wird nach Freischaltung des Zertifikats oder Stornierung des Antrags gelöscht.

Wenn wir gegebenenfalls aufgrund von § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Übermittlung verpflichtet sind, bewahren wir diese Dokumentation für 12 Monate gemäß § 8 Abs. 3 VDG auf. 

IP-Adress-Paare und Zeitpunkte des Zugriffs werden aufgrund der Zertifizierungsanforderung zwei Jahre aufbewahrt und anschließend gelöscht.

Es werden personenbezogene Daten verarbeitet, um Ihnen einen elektronischen Heilberufsausweis („eHBA“), Institutionszertifikate (SM-B) und einen Institutionsausweis (SMC-B) bereitzustellen. Sie erhalten Ihre Karte von uns, wenn Sie Ihren Ausweis über unser Portal beantragt haben. Damit stellen wir Ihnen Ihre Karte für die für Sie zuständigen Stelle (z.B. Ärztekammer, Zahnärztekammer, Psychotherapeutenkammer, Apothekerkammer oder der jeweiligen Kassenärztlichen Vereinigung) bereit. SM-B-Institutionzertifikate können alternativ auch als virtuelle Identitätsnachweise bezogen werden. Die D-Trust fungiert bei der Identifizierung, Beantragung, Herstellung, Ausgabe und Sperrung Ihrer Karte als qualifizierter Vertrauensdiensteanbieter nach den Vorgaben der eIDAS VO und des Vertrauensdienstegesetzes (VDG). In diesem Rahmen ist die D-Trust für den Beantragungsprozess sowie für die Supportleistung zuständig. Damit ermöglichen wir es den Kartenherausgebern durch unsere Produkte und Dienstleistungen, Ihnen Ihren Heilsberufs- oder Institutionsausweis auszuhändigen beziehungsweise das virtuelle SM-B-Institutionzertifikat zur Verfügung zu stellen.

Wir erheben Ihre personenbezogenen Daten, wenn Sie mit uns in Kontakt treten, z.B. einen Antrag stellen oder ein Produkt bei uns bestellen. Diese gilt insbesondere für das Einreichen von Anträgen, den Kontakt per Telefon oder E-Mail, die Nutzung unserer Produkte und Dienstleistung im Rahmen bestehender Geschäftsbeziehungen oder wenn der von Ihnen ausgewählte Identifizierungsdienstleister Ihrer personenbezogenen Daten an uns übermittelt.

2.1 Betroffene Personen

• Antragstellende Nutzende der beauftragenden Organisationen

2.2 Datenherkunft

Wir verarbeiten nur personenbezogene Daten, die Sie uns direkt über das Antragsportal bereitgestellt haben oder personenbezogene Daten, in deren Verarbeitung Sie eingewilligt haben sowie gegebenenfalls personenbezogene Daten, die uns der Identifizierungsanbieter übermittelt hat.

2.3 Datenkategorien

Im Rahmen der Beantragung und Bereitstellung verarbeitet die D-Trust insbesondere die folgenden Kategorien personenbezogener Daten von Antragstellenden:

• Persönliche Identifikationsangaben (z.B. Vor- und Nachname, akademischer Grad, Adresse, Geburtsdatum und –ort, Bestell- und Rechnungsdaten, Praxis- und Institutionsanschriften, Zertifikatsnachweise sowie ggf. eine Mitgliedsnummer)
• Kommunikationsinformationen (z.B. Vor- und Nachnamen, Kontaktdaten sowie die Dokumentation zu Ihrem Support- und Servicefall sowie Ihre Anfragen)
• Daten zu Ihrem Online-Verhalten
• Angaben zu Ihren Interessen und Wünschen, die Sie uns mitteilen
• Biometrische Fotos

Personenbezogene Daten werden zum Zwecke der Vertragserfüllung verarbeitet (Art. 6 Abs. 1 S. 1 lit. b DSGVO), namentlich die Feststellung der Identität des Antragstellers, die Antragsprüfung und -abwicklung und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen. Zudem informieren wir Sie per E-Mail vor Ablauf der Zertifikatsgültigkeit über das voraussichtliche Ablaufdatum, um die dauerhafte Funktion und Gültigkeit Ihres Ausweises zu gewährleisten.  Bei Bezug der SMC-B gewährleisten wir den Zertifikatslebenszyklus Ihres Produktes. Dazu gehört auch eine von Ihnen oder Ihrem Kartenherausgeber veranlassten Sperrung, einer Statusbeauskunftung sowie gegebenenfalls eine Veröffentlichung des Zertifikats im Verzeichnisdienst und der TI. Die Veröffentlichung der Zertifikate im Verzeichnisdienst erfolgt ausschließlich aufgrund Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) im Antragsprozess. Sie können der Veröffentlichung jederzeit durch eine E-Mail an datenschutz@d-trust.net für die Zukunft widersprechen.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen, soweit diese die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Rechtsgrundlage für Übermittlungen an die zuständigen Stellen ist in diesen Fällen § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO.

3.1 Datenverarbeitung und -analysen zur Qualitätsverbesserung

Zur Qualitätssicherung und Fehlerbehebung verwenden wir insbesondere Ihre Supportanfragen, um diese korrekt, schnellmöglich und für Sie zufriedenstellend zu beantworten. Die Verarbeitung Ihrer personenbezogenen Daten, um die Qualität sicherzustellen und Fehler zu vermeiden ist unser berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Zudem nutzen wir Erkenntnisse aus unseren Geschäftsbeziehungen, aus Marktanalysen und aus Marktforschung. Daher finden zur Wirtschaftlichkeits- und Qualitätsprüfung für statistische Zwecke Datenverarbeitungen (anonymisiert) statt. Wir verarbeiten Ihre personenbezogenen Daten aufgrund unseres berechtigten Interesses unsere Produkte und Dienstleistungen zu verbessern, sowie deren Qualität sicherzustellen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Sie können diesen Analysen jederzeit widersprechen. Senden Sie Ihren Widerspruch dazu an datenschutz@d-trust.net.

3.2 Werbezwecke

Wir verarbeiten Ihre personenbezogenen Daten, um zu wissen, welches Produkt wir Ihnen anbieten dürfen (z.B. eHBA, SMC-B, SM-B). Zudem planen wir Kundenbefragungen durchzuführen. Wir nutzen Ihre E-Mail-Adresse, um Sie per E-Mail zu ihrem Feedback zu unseren Produkten zu kontaktieren. Sie können dem Versand jederzeit widersprechen. Senden Sie dazu Ihren Widerspruch an datenschutz@d-trust.net.

Um unsere Supportleistungen erbringen zu können, geben wir die für diesen Dienst benötigten personenbezogenen Daten an den Kundenservice der Bundesdruckerei GmbH sowie der INCO Spólka z o.o., ebenfalls ein Tochterunternehmen der Bundesdruckerei-Gruppe GmbH, weiter. Der Kundenservice verarbeitet die personenbezogenen Daten in unserem Auftrag und nach unserer Weisung zur Beantwortung Ihrer Supportanfragen. Teile der kaufmännischen Vertragsabwicklung werden durch die Bundesdruckerei GmbH erbracht und im Zuge dessen personenbezogene Daten verarbeitet.

Sofern die Zertifikate über einen Partner der D-Trust GmbH bestellt oder vermittelt wurden, erhält der Partner die dazu erforderlichen Personendaten zur Kauf- und ggf. Provisionsabwicklung.

Gemäß § 8 Abs. 2 VDG geben wir Ihre personenbezogenen Daten gegebenenfalls an die zuständigen Stellen (vgl. 3.) weiter.

Im Falle ihrer Einwilligung (vgl. 3.), übermitteln wir Ihr Zertifikat an den Verzeichnisdienst, welcher Ihr Zertifikat veröffentlicht, sodass es öffentlich einsehbar ist.

Wir benötigen die als Pflichtfelder gekennzeichneten Daten, um die Identität der Zertifikatsnehmer sicherstellen zu können. Bei Nichtangabe oder Falschangabe kann das angeforderte Zertifikat nicht ausgestellt werden. Gleiches gilt für die Einreichung von Nachweisen, wie beispielsweise Organisationszugehörigkeit oder Berufsattribute. Ohne Nachweis können die Daten nicht in das Zertifikat aufgenommen werden.

Sobald die personenbezogenen Daten für den Zweck oder die Zwecke, zu denen sie erhoben worden sind, nicht mehr notwendig sind, werden diese von uns gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen. Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Zertifikate dessen Zertifikatsnachweis für die SMC-B werden nach 8 Jahren nach Ablauf der Gültigkeit des Zertifikats gelöscht. Wenn wir gegebenenfalls aufgrund von § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Übermittlung verpflichtet sind, bewahren wir diese Dokumentation für 12 Monate gemäß § 8 Abs. 3 VDG auf. 

Ihre personenbezogenen Daten, die wir aufgrund Ihrer Einwilligung verarbeiten, werden so lange gespeichert oder im Verzeichnisdienst veröffentlicht, bis Sie Ihre Einwilligung widerrufen. 

Der CSM ist ein webbasierter Managed-PKI-Service für Organisationen, die jährlich mehrfach Zertifikate beantragen und der es erlaubt, elektronische Zertifikatsdienste zu beauftragen, zu beziehen und zu verwalten. Dadurch besteht Zugriff auf folgende Zertifikatstypen:

• DV SSL Produkte und SSL/TLS-Zertifikate nach den Standards „Domain Validation (DV)“, „Organization Validation (OV)“ oder „Extended Validation (EV)“
• qualifizierte Websitezertifikate nach der eIDAS-Verordnung 
• S/MIME-Zertifikate für digitales Signieren und Verschlüsseln von E-Mails und für die Authentifizierung von Benutzern und Geräten in Netzwerken
• Maschinenzertifikate für die Absicherung der Kommunikation von Maschinen oder Objekten mit Organisationszugehörigkeit
• Personenzertifikate, die nach der technischen Richtlinie TR-03145 des Bundesamts für Sicherheit und Informationstechnik (BSI) zertifiziert sind für Unternehmen, Behörden und Institutionen mit Geheimhaltungsstufe „Verschlusssache – Nur für Dienstgebrauch“ 

Wir erheben Ihre personenbezogenen Daten, wenn Sie oder die uns beauftragende Organisation mit uns in Kontakt treten, z.B. einen Antrag stellen oder ein Produkt bei uns bestellen. Diese gilt insbesondere für das Einreichen von Anträgen, den Kontakt per Telefon oder E-Mail, die Nutzung unserer Produkte und Dienstleistung im Rahmen bestehender Geschäftsbeziehungen oder wenn der von Ihnen ausgewählte Identifizierungsdienstleister Ihrer personenbezogenen Daten an uns übermittelt. 

Eine oder mehrere autorisierte Personen (nachfolgend „Operatoren“) innerhalb der Organisationen, welche den CSM beziehen, haben Zugriff auf das für das jeweilige Kundenunternehmen angelegte CSM-Konto. Die Operatoren sind verantwortlich für die Identifizierung natürlicher Personen in den jeweiligen Organisationen und die entsprechende Hinterlegung im CSM-Konto sowie die endgültige Freigabe von Zertifikatsanfragen einzelner Nutzenden. 

2.1 Betroffene Personen

• Antragstellende Nutzende der beauftragenden Organisationen
• Operatoren der beauftragenden Unternehmen

2.2 Datenherkunft

Wir verarbeiten nur personenbezogene Daten, die Sie uns direkt über das CSM bereitgestellt haben oder personenbezogene Daten, in deren Verarbeitung Sie eingewilligt haben sowie gegebenenfalls personenbezogene Daten, die uns der Identifizierungsanbieter übermittelt hat. 

2.3 Datenkategorien

Im Rahmen der Beantragung und Bereitstellung verarbeitet die D-Trust insbesondere die folgenden Kategorien personenbezogener Daten von Antragstellenden:

• Versandadresse
• ausstellende Behörde
• Identifikationsdokument Nummer
• Gültigkeitszeitraum
• Meldeadresse
• Organisationszugehörigkeit
• Unterschrift
• E-Mail-Adresse
• Faxnummer
• Telefon geschäftlich
• Telefon mobil
• Telefon privat
• Handelsregisterauszug
• Akademischer Grad
• Rolle / Berufsattribut
• Geburtsdatum
• Geburtsname
• Geburtsort
• Geschlecht
• Name
• Pseudonym
• Titel
• Vorname
• Antrag ID

Im Rahmen der Beantragung und Bereitstellung verarbeitet die D-Trust die folgenden personenbezogener Daten von Operatoren:

• Meldeadresse
• Schulungsdaten
• Organisationszugehörigkeit
• Unterschrift
• E-Mail-Adresse
• Telefon geschäftlich
• Telefon mobil
• Anrede
• Führungszeugnis
• Geburtsdatum
• Geburtsort
• Name
• Vorname
• Titel

Personenbezogene Daten werden zum Zwecke der Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO), namentlich die Feststellung der Identität des Antragstellers, die Antragsprüfung und -abwicklung, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdiensts (Statusauskunftsdienst) und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen. Die Veröffentlichung der Zertifikate im Verzeichnisdienst erfolgt ausschließlich aufgrund Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) im Antragsprozess, es sei denn, Sie beziehen ein S/MIME-Zertifikat. Sie können der Veröffentlichung jederzeit durch eine E-Mail an datenschutz@d-trust.net unter Angabe Ihrer Antrags-ID für die Zukunft widersprechen oder Sie richten den Widerruf unter Angabe Ihrer Antrags-ID schriftlich an D-Trust GmbH, Antragsbearbeitung, Kommandantenstr. 15, 10969 Berlin.

Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments zur Identifizierung von Operatoren holen wir eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO ein.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen, soweit diese die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Rechtsgrundlage für Übermittlungen an die zuständigen Stellen ist in diesen Fällen § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO.

Um unsere Supportleistungen erbringen zu können, geben wir die für diesen Dienst benötigten personenbezogenen Daten an den Kundenservice der Bundesdruckerei GmbH sowie der INCO Spólka z o.o., ebenfalls ein Tochterunternehmen der Bundesdruckerei-Gruppe GmbH, weiter. Der Kundenservice verarbeitet die personenbezogenen Daten in unserem Auftrag und nach unserer Weisung zur Beantwortung Ihrer Supportanfragen. Teile der kaufmännischen Vertragsabwicklung werden durch die Bundesdruckerei GmbH erbracht und im Zuge dessen personenbezogene Daten verarbeitet.

Sofern die Zertifikate über einen Partner der D-Trust GmbH bestellt oder vermittelt wurden, erhält der Partner die dazu erforderlichen Personendaten zur Kauf- und ggf. Provisionsabwicklung.

Gemäß § 8 Abs. 2 VDG geben wir Ihre personenbezogenen Daten gegebenenfalls an die zuständigen Stellen (vgl. 3.) weiter.

Wir übermitteln Ihr Zertifikat an den Verzeichnisdienst, welcher Ihr Zertifikat veröffentlicht, sodass es öffentlich einsehbar ist.

Wir benötigen die als Pflichtfelder gekennzeichneten Daten, um die Identität der Zertifikatsnehmer sicherstellen zu können. Bei Nichtangabe oder Falschangabe kann das angeforderte Zertifikat nicht ausgestellt werden. Gleiches gilt für die Einreichung von Nachweisen, wie beispielsweise Organisationszugehörigkeit oder Berufsattribute. Ohne Nachweis können die Daten nicht in das Zertifikat aufgenommen werden.

Sobald die personenbezogenen Daten für den Zweck oder die Zwecke, zu denen sie erhoben worden sind, nicht mehr notwendig sind, werden diese von uns gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen. Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signatur- und Siegelzertifikate gelten für Zertifikate und Zertifikatsnachweisdaten einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 VDG zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebs unseres Unternehmens. Sollten wir unser Unternehmen aufgeben, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben, wie gesetzlich vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten und Zertifikate werden acht Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Der Sperrpassworthash wird spätestens ein Jahr nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Die Ausweiskopie wird nach Posteingang eingescannt. Die Papierkopie wird 21 Tage nach Posteingang vernichtet. Der Scan wird nach Freischaltung des Zertifikats oder Stornierung des Antrags gelöscht.

Wenn wir gegebenenfalls aufgrund von § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Übermittlung verpflichtet sind, bewahren wir diese Dokumentation für 12 Monate gemäß § 8 Abs. 3 VDG auf. 

IP-Adress-Paare und Zeitpunkte des Zugriffs werden aufgrund der Zertifizierungsanforderung zwei Jahre aufbewahrt und anschließend gelöscht.

Der Auftraggeber beabsichtigt natürlichen Personen das elektronische Signieren von Informationen oder Dokumenten über sign-me zu ermöglichen. Technisch können Hashwerte oder PDF-Dokumente signiert werden. Der Signierdienst setzt im Fall von PDF-Dokumenten voraus, dass diese als PDF/A vorliegen. 

Die D-Trust stellt Nutzern Zertifikate nach den jeweils geltenden Nutzungsbedingungen und eine Schnittstellenbeschreibung, sowie Beispielcodes und Authentifizierungsdaten zum Download bereit und teilt dem Auftraggeber die Authentifizierungsdaten mit. Die Zugangsdaten zum Serviceportal werden dem Auftraggeber per verschlüsselter E-Mail übermittelt.

2.1 Betroffene Personen

• Antragstellende Nutzende (Mitarbeiter, Kunden oder Geschäftspartner) 
• Personen, deren personenbezogene Daten sich auf den zu signierenden Dokumenten befinden

2.2 Datenherkunft

Daten der Betroffenen werden

• bei der Selbst-Registrierung über ein Webformular aufgenommen 
• von Identifizierungsdienstleistern als verifizierter Datensatz übernommen,
• von Kunden, die über API mit der sign-me-Anwendung kommunizieren, übernommen,
• bei Kontaktpersonen von Kunden aus Verträgen und Formularen übernommen,
• aus Service- und Supportanfragen von Unternehmen, die für ihre eigenen Endkunden Support erbringen, übernommen und
• aus direkten Supportanfragen der Betroffenen übernommen.

2.3 Datenkategorien

Folgende personenbezogenen Daten sind von der Verarbeitung im Rahmen des Fernsignatursystems sign-me und der Bereitstellung von Zertifikaten zur Aufbringung fernausgelöster Signaturen (im Folgenden „Signaturerstellungsdienstleistung“), welche beim Verantwortlichen zum Einsatz kommen, umfasst (der jeweilige Umfang kann einzelfallabhängig variieren): 

• Ausweisdaten: Name, Vorname, Gültig von bis, Geburtsort, Staatsangehörigkeit, Geburtsname, Geburtsdatum, Meldeadresse, Ausweisnummer (zum Abgleich Antrag, Ausweis, Identifizierungsnachweis)
• Weitere Informationen: Titel, Kontakt E-Mail, E-Mail Zertifikat, Handynummer, Rechnungsadresse, Organisation, produktspezifische ID
• Nachweise: VideoIdent Nachweis (Aufnahme Person, Ausweis/Pass/ID-Dokument)
• Zertifikate, IP-Adressen, Zugriffszeitpunkte
• Ggf. Dokumentation zu Übermittlungen gemäß §8 Abs. 2 VDG
• Ggf. zu signierende Daten im Selfservicebereich

Personenbezogene Daten werden zum Zwecke der Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO), namentlich die Feststellung der Identität des Antragstellers, die Antragsprüfung und -abwicklung, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdiensts (Statusauskunftsdienst) und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen.

Die Veröffentlichung der Zertifikate im Verzeichnisdienst erfolgt ausschließlich aufgrund Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) im Antragsprozess. Sie können der Veröffentlichung jederzeit durch eine E-Mail an datenschutz@d-trust.net für die Zukunft widersprechen.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen, soweit diese die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Rechtsgrundlage für Übermittlungen an die zuständigen Stellen ist in diesen Fällen § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO.

Beim Aufruf einzelner Seiten werden so genannte temporäre Cookies zur technischen Diensteerbringung verwendet. Diese Session Cookies beinhalten keine personenbezogenen Daten und verfallen nach Ablauf der Sitzung. Techniken, wie zum Beispiel Java-Applets oder Active-X- Controls, die es ermöglichen das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt.

Um unsere Supportleistungen erbringen zu können, geben wir die für diesen Dienst benötigten personenbezogenen Daten an den Kundenservice der Bundesdruckerei GmbH sowie der INCO Spólka z o.o., ebenfalls ein Tochterunternehmen der Bundesdruckerei-Gruppe GmbH, weiter. Der Kundenservice verarbeitet die personenbezogenen Daten in unserem Auftrag und nach unserer Weisung zur Beantwortung Ihrer Supportanfragen. Teile der kaufmännischen Vertragsabwicklung werden durch die Bundesdruckerei GmbH erbracht und im Zuge dessen personenbezogene Daten verarbeitet.

Sofern die Zertifikate über einen Partner der D-Trust GmbH bestellt oder vermittelt wurden, erhält der Partner die dazu erforderlichen Personendaten zur Kauf- und ggf. Provisionsabwicklung.

Gemäß § 8 Abs. 2 VDG geben wir Ihre personenbezogenen Daten gegebenenfalls an die zuständigen Stellen (vgl. 3.) weiter.

Im Falle ihrer Einwilligung (vgl. 3.), übermitteln wir Ihr Zertifikat an den Verzeichnisdienst, welcher Ihr Zertifikat veröffentlicht, sodass es öffentlich einsehbar ist.

Wir benötigen die als Pflichtfelder gekennzeichneten Daten, um die Identität der Zertifikatsnehmer sicherstellen zu können. Bei Nichtangabe oder Falschangabe kann das angeforderte Zertifikat nicht ausgestellt werden. Ohne Nachweis können die Daten nicht in das Zertifikat aufgenommen werden.

Die Mobilfunknummer des Betroffenen ist zwingend erforderlich, da das Mobiltelefon im Rahmen der Authentifizierung zur Signaturauslösung als zweiter Faktor genutzt wird. Ohne diesen Sicherheitsmechanismus, der auf der Angabe der Mobilfunknummer beruht, kann der Dienst nicht erbracht werden. 

Sobald die personenbezogenen Daten für den Zweck oder die Zwecke, zu denen sie erhoben worden sind, nicht mehr notwendig sind, werden diese von uns gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen. Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signaturzertifikate gelten für Zertifikate und Zertifikatsnachweisdaten einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 VDG zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebs unseres Unternehmens. Sollten wir unser Unternehmen aufgeben, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben, wie gesetzlich vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten und Zertifikate werden acht Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Dokumente, die Nutzende im Selfservicebereich zur Signatur hochladen, werden nach spätestens fünf Tagen gelöscht.

Wenn wir gegebenenfalls aufgrund von § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Übermittlung verpflichtet sind, bewahren wir diese Dokumentation für 12 Monate gemäß § 8 Abs. 3 VDG auf. 

Die Meldung kann anonym erfolgen. In diesem Fall werden keine personenbezogenen Daten der hinweisgebenden Person verarbeitet.

Die Kategorien personenbezogener Daten, die verarbeitet werden, hängen von den gemeldeten Informationen ab. Wenn die hinweisgebende Person personenbezogene Daten über eine andere Person, einschließlich der gemeldeten Person oder Personen, meldet, werden auch diese personenbezogenen Daten verarbeitet. Die folgenden Kategorien von personenbezogenen Daten können verarbeitet werden:

• Allgemeine personenbezogene Daten (Name, Adresse, E-Mail-Adresse, Telefonnummer, Position usw.)
• Personenbezogene Daten über strafrechtliche Verurteilungen oder den Verdacht auf solche
• Besondere Kategorien personenbezogener Daten (Informationen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, Daten über die Gesundheit und Daten über das Sexualleben oder die sexuelle Ausrichtung einer Person)

Wir weisen die hinweisgebende Person darauf hin, nur Informationen zu melden, die für den gemeldeten Fall von konkreter Bedeutung sind, und insbesondere keine sensiblen Informationen zu melden, es sei denn, diese sind von zentraler Bedeutung für die Bearbeitung des gemeldeten Falls.

Der Zweck der Verarbeitung personenbezogener Daten ist die Verwaltung des Hinweisgebersystems, einschließlich der Aufdeckung schwerwiegender Verstöße oder möglicher Verstöße gegen geltendes Recht oder anderer schwerwiegender Angelegenheiten.

Die Verarbeitung personenbezogener Daten ist zur Erfüllung rechtlicher Verpflichtungen erforderlich, der wir unterliegen, vgl. Art. 6 Abs. 1 S. 1 lit. c DSGVO. Dies ist das Gesetz für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz - HinSchG).

Die Verarbeitung dient der Wahrung des berechtigten Interesses an der Aufdeckung schwerwiegender Verstöße oder potenzieller Verstöße gegen geltendes Recht oder anderer schwerwiegender Angelegenheiten gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Was die Verarbeitung besonderer Kategorien personenbezogener Daten betrifft, so ist die Verarbeitung auf der Grundlage des Hinweisgeberschutzgesetzes aus Gründen eines erheblichen öffentlichen Interesses erforderlich, vgl. Art. 9 Abs. 2 lit. g DSGVO. Die Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt gem. Art. 9 Abs. 2 lit. f DSGVO i.V.m. Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.

Betroffene Personen sind Personen, die Inhalt der Meldung sind. Dies können Beschäftigte, Vertragspartner oder andere Personen, die mit uns beruflich verbunden sind, sein. Darüber hinaus verarbeiten wir personenbezogene Daten über die hinweisgebende Person, wenn diese hinweisgebende Person ihre Kontaktinformationen oder andere Informationen, welche auf die hinweisgebende Person schließen lassen, übermittelt bzw. mitteilt. Hinweisgebende Personen müssen sich daher bewusst sein, dass wir im Zusammenhang mit der Bearbeitung des gemeldeten Falls personenbezogene Daten über sie verarbeiten können.

Die Meldungen werden in der Bundesdruckerei GmbH als Vorgang im WhistleB-System dokumentiert. Nach einer Bewertung werden die Vorgänge intern an die zuständigen Fachbereiche weitergegeben und ggf.

Folgemaßnahmen eingeleitet. Sofern eine Meldung eine der Konzerngesellschaften der Bundesdruckerei-Gruppe betreffen sollte, werden diese Vorgänge an die zuständigen Personen der jeweiligen Konzerngesellschaft weitergegeben und von der zuständigen Person intern bewertet und ggf. Folgemaßnahmen eingeleitet. Hierbei werden personenbezogene Daten nur zweckgebunden und nach dem Grundsatz der Datenminimierung weitergegeben, d.h. es werden nur die personenbezogenen Daten weitergegeben, die zwingend erforderlich sind, um die Meldung zu bearbeiten.

Wir geben personenbezogene Daten über die hinweisgebende Person an Behörden weiter, wenn dies notwendig ist, um schwerwiegende Verstöße oder schwerwiegende Angelegenheiten zu behandeln oder um das Recht auf Verteidigung der betroffenen Personen zu gewährleisten. In anderen Fällen werden personenbezogene Daten über die hinweisgebende Person nur mit Zustimmung der hinweisgebenden Person weitergegeben. Personenbezogene Daten über andere Personen als die hinweisgebende Person werden nur im Rahmen der Weiterverfolgung eines gemeldeten Falles oder zur Behandlung von schwerwiegenden Verstößen oder schwerwiegenden Angelegenheiten weitergegeben.

Die Meldeplattform wird durch den Auftragsverarbeiter die WhistleB Whistleblowing Centre AB, Stockholm, Schweden, bereitgestellt. Weitere Informationen zu WhistleB, Whistleblowing Centre AB sind in den Nutzungsbedingungen nachzulesen.

Es besteht keine Verpflichtung zur Bereitstellung der unter 1. aufgeführten personenbezogenen Daten, da auch anonym gemeldet werden kann. Allerdings kann es sein, dass eine Bearbeitung der Meldung ohne Angabe der personenbezogenen Daten für uns nicht möglich ist.

Personenbezogene Daten, die sich als irrelevant für die Bearbeitung eines gemeldeten Falles erweisen, sowie Meldungen, die wir als unbegründet erachten, werden unverzüglich als "nicht relevant" kategorisiert und ein eventuell vorhandener Personenbezug (sofern es sich nicht bereits um eine anonyme Meldung handelt) entfernt. Zur Gewährleistung der gesetzlich geforderten Dokumentationspflicht bzw. gesetzlichen Löschfrist aus § 11 Abs. 1, Abs. 5 HinSchG wird diese Meldung anschließend zunächst (ohne Personenbezug) archiviert, aber noch nicht gelöscht. Archivierte Fälle dienen ausschließlich der Erfüllung der Dokumentationspflichten und können daher hiernach auch nicht mehr zur Bearbeitung aufgerufen werden.

Meldungen und personenbezogene Daten, die im Rahmen der Bearbeitung einer Meldung erhoben werden, bilden die Grundlage für die weitere Bearbeitung und werden frühestmöglich anonymisiert. Sollte sich die Notwendigkeit zu Folgemaßnahmen i.S.d. §§ 3 Abs. 8, 18 HinSchG ergeben, ist es jedoch möglich, dass aufgrund von behördlicher Anordnung oder zur Sicherung von Rechtsansprüchen von der Anonymisierung abgewichen werden muss. In diesem Fall wird grundsätzlich eine Pseudonymisierung angestrebt, sofern sich nicht (z.B. aus einer richterlichen Anordnung) etwas anderes ergibt. Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. 

Wir treffen alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor Verlust und Missbrauch zu schützen. So werden Ihre Daten in einer sicheren Betriebsumgebung gespeichert, die der Öffentlichkeit nicht zugänglich ist.

Innerhalb der Bundesdruckerei-Gruppe werden personenbezogene Daten gegebenenfalls für die oben genannten Zwecke an andere Konzerngesellschaften übermittelt, wenn dies zur Erfüllung der oben genannten Zwecke erforderlich ist.

Auch werden personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Anwaltskanzleien, soweit dies rechtlich zulässig und erforderlich ist, um geltendes Recht einzuhalten oder Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen, übermittelt.

Sofern eine Zusammenarbeit mit Dienstleistern erfolgt, wie beispielsweise Dienstleistern für IT-Wartungsleistungen, werden sie nur auf unsere Weisung hin tätig und vertraglich auf die Einhaltung der geltenden datenschutzrechtlichen Anforderungen verpflichtet. Verantwortlich für die Datenverarbeitung bleibt die Bundessdruckerei-Gruppe.

Soweit bei der Erhebung von personenbezogenen Daten (z.B. im Rahmen einer Einwilligungserklärung) oder innerhalb der Beschreibungen dieser Datenschutzinformation keine ausdrückliche Speicherdauer angegeben wird, werden personenbezogene Daten gelöscht, sobald sie für die Erreichung der Zwecke nicht mehr erforderlich sind, es sei denn, gesetzliche Aufbewahrungspflichten (z.B. handels- und steuerrechtliche Aufbewahrungspflichten) stehen einer Löschung entgegen.

Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

• 10 Jahre – Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege und Rechnungen (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 u. 4, Abs. 4 HGB).
• 6 Jahre – Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, z. B. Stundenlohnzettel, Betriebsabrechnungsbögen, Kalkulationsunterlagen, Preisauszeichnungen, aber auch Lohnabrechnungsunterlagen, soweit sie nicht bereits Buchungsbelege sind und Kassenstreifen (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 2, 3, 5 AO, § 257 Abs. 1 Nr. 2 u. 3, Abs. 4 HGB).
• 3 Jahre – Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche oder ähnliche vertragliche Ansprüche und Rechte zu berücksichtigen sowie damit verbundene Anfragen zu bearbeiten, basierend auf früheren Geschäftserfahrungen und üblichen Branchenpraktiken, werden für die Dauer der regulären gesetzlichen Verjährungsfrist von drei Jahren gespeichert (§§ 195, 199 BGB).