Datenschutzinformation
Liebe Besucherin, lieber Besucher,
wir informieren Sie auf dieser Seite ergänzend zu unserer Datenschutzerklärung über die Verarbeitung Ihrer Daten im Rahmen der Bestellung unserer Zertifikatsprodukte.
1. Welche Daten verarbeiten wir?
Bei der Bestellung von Zertifikatsprodukten verarbeiten wir Zertifikats-, Kontakt-, Bestell- und Rechnungsdaten, Sperrpassworthashs, Zertifikatsnachweisdaten, Ergebnisse von Sanktionslistenprüfungen und Exportkontrollen, ggf. Ausweiskopien (Reisepass, Ausweis und andere ID-Dokumente) und Dokumentationen zu Support-/Servicefällen.
Bei Ausweiskopien, die nicht geschwärzt wurden, werden die Zugangsnummer (CAN) und besondere Kategorien personenbezogener Daten in Form eines Lichtbilds (biometrisches Foto) übermittelt. Es handelt sich bei dem Lichtbild um ein sogenanntes biometrisches Datum, das eine eindeutige Identifizierung erlaubt. In einem solchen Fall bezieht sich die Einwilligung zur Datenverarbeitung auch auf dieses Datum.
Außerdem werden von Zeichnungsberechtigten, sperrberechtigten Dritten und den identifizierenden Personen (Behördenmitarbeiter, Kammermitarbeiter, Notare [Notarident], Officers [WebRA], Postmitarbeiter [POSTIDENT], Botschaftsmitarbeiter) Kontaktdaten und die Bestätigung ihrer Identifizierungsleistung verarbeitet.
Von allen Nutzern unseres Internetangebots werden IP-Adress-Paare, Zeitpunkte des Zugriffs und verschlüsselte Eingabeinhalte verarbeitet.
In rechtlich begründeten Fällen werden Anfragen zu Betroffenenrechten und Datenübermittlungen gemäß § 8 Abs. 2 Vertrauensdienstegesetz (VDG) dokumentiert.
2. Aus welchen Quellen stammen die personenbezogenen Daten?
Daten der Antragsteller, Zeichnungsberechtigten und sperrberechtigten Dritten werden über die Antragsseite oder innerhalb eines durch einen Officer geführten WebRA-Verfahrens direkt erhoben. Im Rahmen der Verifikation der Antragsdaten werden identifizierende Personen, Zeichnungsberechtigte und Personalabteilungen bzw. Vorgesetzte kontaktiert und in die Klärung der Korrektheit der Zertifikatsdaten und Berechtigungen einbezogen.
Die Daten von am Identifikations- oder Bestätigungsprozess beteiligten Personen werden im Zuge ihrer Tätigkeit direkt erhoben. Service- und Supportanfragen sowie Anfragen zu Betroffenenrechten stellen Sie uns über Formulare oder andere von Ihnen gewählte Kontaktmöglichkeiten zur Verfügung.
3. Wie lange bewahren wir Ihre Daten auf?
Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.
Für qualifizierte Signatur- und Siegelzertifikate gelten für Zertifikate und Zertifikatsnachweisdaten einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 VDG zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebs unseres Unternehmens. Sollten wir unser Unternehmen aufgeben, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben, wie gesetzlich vorgeschrieben.
Alle anderen Zertifikatsnachweisdaten und Zertifikate werden acht Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Der Sperrpassworthash wird spätestens ein Jahr nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Die Ausweiskopie wird nach Posteingang eingescannt. Die Papierkopie wird 21 Tage nach Posteingang vernichtet. Der Scan wird nach Freischaltung des Zertifikats oder Stornierung des Antrags gelöscht.
Dokumentationen zu Übermittlungen gemäß § 8 Abs. 2 VDG werden zwölf Monate aufbewahrt.
IP-Adress-Paare und Zeitpunkte des Zugriffs werden aufgrund der Zertifizierungsanforderung zwei Jahre aufbewahrt und anschließend gelöscht.
4. Zu welchen Zwecken werden die Daten verarbeitet?
Ihre Daten werden für die folgenden Zwecke verarbeitet: zur Feststellung der Identität des Antragstellers, Antragsprüfung und -abwicklung, Abrechnung, Wahrung der Dokumentationspflichten, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdiensts (Statusauskunftsdienst), Wirtschaftlichkeits- und Qualitätsprüfung, für statistische Zwecke (anonymisiert) und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen.
Im Rahmen der Maßnahmen zur Aufrechterhaltung der Informationssicherheit, insbesondere zum Erkennen und Abwehren von Angriffen, einschließlich interner und externer Auditierung, der Exportkontrolle und der Sanktionslistenprüfung, findet ebenfalls Datenverarbeitung statt.
Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen.
5. Auf welchen Rechtsgrundlagen basiert die Verarbeitung?
Zertifikate und Zertifikatsnachweisdaten, Kontaktdaten, Bestelldaten, Rechnungsdaten, Sperrpassworthashs und Dokumentation zu Support-/Servicefällen werden zur Erfüllung des Vertrags mit Ihnen verarbeitet. Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.
Die eIDAS-Verordnung (Nr. 910/2014) und das Vertrauensdienstegesetz stellen den gesetzlichen Rahmen für die Vertrauensdienste.
Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments holen wir Ihre Einwilligung ein.
Rechtsgrundlage für Übermittlungen an zuständige Stellen ist § 8 Abs. 2 VDG.
Ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO zur Verarbeitung der Daten liegt in folgenden Fällen vor:
Es werden Maßnahmen der Informationssicherheit einschließlich der Prävention durch technische und organisatorische Maßnahmen einschließlich der Vorfallsbehandlung durchgeführt, um mögliche Schäden für unser Unternehmen, für die von der Datenverarbeitung Betroffenen und für die Nutzer der Vertrauensdienste abzuschätzen und zu verhindern.
Die D-Trust GmbH ist Teil einer Unternehmensgruppe. Die Bundesdruckerei GmbH als Unternehmen der Bundesdruckerei-Gruppe hat im Sinne von EW 48 DSGVO ein berechtigtes Interesse, bestimmte Verarbeitungen zentral abzuwickeln. Die Sanktionslisten- und Exportkontrollprüfung, das Mahnwesen, die Vertriebstätigkeit und Teile des Supports werden durch die Bundesdruckerei GmbH erbracht.
6. Wohin können Ihre Daten weitergegeben werden?
Zur Erbringung der Supportdienstleistung werden die erforderlichen Daten an den Kundenservice der Bundesdruckerei GmbH sowie an die iNCO Spółka z o.o. (Tochterunternehmen der Bundesdruckerei Gruppe GmbH in Polen) übermittelt.
Des Weiteren erhalten Officers und identifizierende Personen, Auditoren, Aufsichtsbehörden und ggf. zuständige Stellen gemäß § 8 Abs. 2 VDG Zugriff auf die jeweils erforderlichen Daten.
Im Rahmen der Exportkontrolle werden Namen und Bezeichnungen von Organisationen an den Sanktionslistenserver der Bundesdruckerei GmbH übermittelt. Im Fall von Fehltreffern werden Geburtsdatum, Geburtsort und Staatsangehörigkeit sowie Geburtsname herangezogen. Zusätzlich werden Versandadresse, Versandland, Adresse des Rechnungsempfängers und ggf. weiterer Partner durch die Bundesdruckerei GmbH exportkontrollrechtlich bewertet.
Teile der kaufmännischen Verarbeitung im Rahmen der Vertragsabwicklung werden ebenfalls durch die Bundesdruckerei GmbH erbracht.
Sofern die Zertifikate über einen Partner der D-Trust GmbH bestellt oder vermittelt wurden, erhält der Partner im Zertifikat enthaltene Personendaten zur Kauf- und ggf. Provisionsabwicklung.
Es besteht weder die Praxis noch die Absicht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.
7. Hinweisgebersystem
Um der besonderen Verantwortung als Sicherheitsunternehmen des Bundes gerecht zu werden, betreibt die Bundesdruckerei ein Hinweisgeber-Managementsystem. Dieses kann jederzeit genutzt werden, um einen Sachverhalt zu melden, der gegen die Werte bzw. Richtlinien der Unternehmensgruppe oder die Geschäftsethik verstößt oder sich negativ auf das Leben oder die Gesundheit von Personen auswirkt („Whistleblowing“). Als Ergänzung zu den regulär bestehenden Informations- und Meldekanälen besteht im Bedarfsfall auch die Möglichkeit, Verdachtsfälle anonym zu melden. Das Verfahren wird federführend durch die Bundesdruckerei geführt, findet jedoch in gemeinsamer Verantwortung mit der D-Trust GmbH statt. Anlaufstelle für die betroffenen Personen ist die Bundesdruckerei. Weiterführende Informationen zum Datenschutz (Art. 13 DSGVO) finden Sie in der Datenschutzerklärung der Bundesdruckerei. Über die Nutzungsbedingungen des von der Bundesdruckerei eingesetzten Partners, können Sie sich in diesem Dokument in englischer Sprache informieren.