Sprache:

Datenschutzinformation

Liebe Besucherin, lieber Besucher,

wir informieren Sie auf dieser Seite über die Verarbeitung Ihrer Daten im Rahmen der Bestellung unserer Zertifikatsprodukte.

1. Welche Daten verarbeiten wir?

Bei der Bestellung von Zertifikatsprodukten verarbeiten wir Zertifikats-, Kontakt-, Bestell- und Rechnungsdaten, Sperrpassworthashs, Zertifikatsnachweisdaten, Ergebnisse von Sanktionslistenprüfungen und Exportkontrollen, ggf. Ausweiskopien (Reisepass, Ausweis und andere ID-Dokumente) und Dokumentationen zu Support-/Servicefällen.

Bei Ausweiskopien, die nicht geschwärzt wurden, werden die Zugangsnummer (CAN) und besondere Kategorien personenbezogener Daten in Form eines Lichtbilds (biometrisches Foto) übermittelt. Es handelt sich bei dem Lichtbild um ein sogenanntes biometrisches Datum, das eine eindeutige Identifizierung erlaubt. In einem solchen Fall bezieht sich die Einwilligung zur Datenverarbeitung auch auf dieses Datum.

Außerdem werden von Zeichnungsberechtigten, sperrberechtigten Dritten und den identifizierenden Personen (Behördenmitarbeiter, Kammermitarbeiter, Notare [Notarident], Officers [WebRA], Postmitarbeiter [POSTIDENT], Botschaftsmitarbeiter) Kontaktdaten und die Bestätigung ihrer Identifizierungsleistung verarbeitet.

Von allen Nutzern unseres Internetangebots werden IP-Adress-Paare, Zeitpunkte des Zugriffs und verschlüsselte Eingabeinhalte verarbeitet.

Von Nutzern, die ein Zertifikatsprodukt mit Sichtausweis-Funktion bestellen, werden als Bestelldaten zusätzlich Fotos und ggfls. individuelle Mitgliedsnummern verarbeitet.

In rechtlich begründeten Fällen werden Anfragen zu Betroffenenrechten und Datenübermittlungen gemäß § 8 Abs. 2 Vertrauensdienstegesetz (VDG) dokumentiert.

2. Aus welchen Quellen stammen die personenbezogenen Daten?

Daten der Antragsteller, Zeichnungsberechtigten und sperrberechtigten Dritten werden über die Antragsseite oder innerhalb eines durch einen Officer geführten WebRA-Verfahrens direkt erhoben. Im Rahmen der Verifikation der Antragsdaten werden identifizierende Personen, Zeichnungsberechtigte und Personalabteilungen bzw. Vorgesetzte kontaktiert und in die Klärung der Korrektheit der Zertifikatsdaten und Berechtigungen einbezogen.

Die Daten von am Identifikations- oder Bestätigungsprozess beteiligten Personen werden im Zuge ihrer Tätigkeit direkt erhoben. Service- und Supportanfragen sowie Anfragen zu Betroffenenrechten stellen Sie uns über Formulare oder andere von Ihnen gewählte Kontaktmöglichkeiten zur Verfügung.

3. Wie lange bewahren wir Ihre Daten auf?

Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signatur- und Siegelzertifikate gelten für Zertifikate und Zertifikatsnachweisdaten einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 VDG zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebs unseres Unternehmens. Sollten wir unser Unternehmen aufgeben, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben, wie gesetzlich vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten und Zertifikate werden acht Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Der Sperrpassworthash wird spätestens ein Jahr nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Die Ausweiskopie wird nach Posteingang eingescannt. Die Papierkopie wird 21 Tage nach Posteingang vernichtet. Der Scan wird nach Freischaltung des Zertifikats oder Stornierung des Antrags gelöscht.

Dokumentationen zu Übermittlungen gemäß § 8 Abs. 2 VDG werden zwölf Monate aufbewahrt.

IP-Adress-Paare und Zeitpunkte des Zugriffs werden aufgrund der Zertifizierungsanforderung zwei Jahre aufbewahrt und anschließend gelöscht.

4. Zu welchen Zwecken werden die Daten verarbeitet?

Ihre Daten werden für die folgenden Zwecke verarbeitet: zur Feststellung der Identität des Antragstellers, Antragsprüfung und -abwicklung, Abrechnung, Wahrung der Dokumentationspflichten, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdiensts (Statusauskunftsdienst), Wirtschaftlichkeits- und Qualitätsprüfung, für statistische Zwecke (anonymisiert) und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen.

Im Rahmen der Maßnahmen zur Aufrechterhaltung der Informationssicherheit, insbesondere zum Erkennen und Abwehren von Angriffen, einschließlich interner und externer Auditierung, der Exportkontrolle und der Sanktionslistenprüfung, findet ebenfalls Datenverarbeitung statt.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen.

5. Auf welchen Rechtsgrundlagen basiert die Verarbeitung?

Zertifikate und Zertifikatsnachweisdaten, Kontaktdaten, Bestelldaten, Rechnungsdaten, Sperrpassworthashs und Dokumentation zu Support-/Servicefällen werden zur Erfüllung des Vertrags mit Ihnen verarbeitet. Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.

Die eIDAS-Verordnung (Nr. 910/2014) und das Vertrauensdienstegesetz stellen den gesetzlichen Rahmen für die Vertrauensdienste.

Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments holen wir Ihre Einwilligung ein.

Rechtsgrundlage für Übermittlungen an zuständige Stellen ist § 8 Abs. 2 VDG.

Ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO zur Verarbeitung der Daten liegt in folgenden Fällen vor:

Es werden Maßnahmen der Informationssicherheit einschließlich der Prävention durch technische und organisatorische Maßnahmen einschließlich der Vorfallsbehandlung durchgeführt, um mögliche Schäden für unser Unternehmen, für die von der Datenverarbeitung Betroffenen und für die Nutzer der Vertrauensdienste abzuschätzen und zu verhindern.

Die D-Trust GmbH ist Teil einer Unternehmensgruppe. Die Bundesdruckerei GmbH als Unternehmen der Bundesdruckerei-Gruppe hat im Sinne von EW 48 DSGVO ein berechtigtes Interesse, bestimmte Verarbeitungen zentral abzuwickeln. Die Sanktionslisten- und Exportkontrollprüfung, das Mahnwesen, die Vertriebstätigkeit und Teile des Supports werden durch die Bundesdruckerei GmbH erbracht.

6. Wohin können Ihre Daten weitergegeben werden?

Zur Erbringung der Supportdienstleistung werden die erforderlichen Daten an den Kundenservice der Bundesdruckerei GmbH sowie an die iNCO Spółka z o.o. (Tochterunternehmen der Bundesdruckerei Gruppe GmbH in Polen) übermittelt.

Des Weiteren erhalten Officers und identifizierende Personen, Auditoren, Aufsichtsbehörden und ggf. zuständige Stellen gemäß § 8 Abs. 2 VDG Zugriff auf die jeweils erforderlichen Daten.

Im Rahmen der Exportkontrolle werden Namen und Bezeichnungen von Organisationen an den Sanktionslistenserver der Bundesdruckerei GmbH übermittelt. Im Fall von Fehltreffern werden Geburtsdatum, Geburtsort und Staatsangehörigkeit sowie Geburtsname herangezogen. Zusätzlich werden Versandadresse, Versandland, Adresse des Rechnungsempfängers und ggf. weiterer Partner durch die Bundesdruckerei GmbH exportkontrollrechtlich bewertet.

Teile der kaufmännischen Verarbeitung im Rahmen der Vertragsabwicklung werden ebenfalls durch die Bundesdruckerei GmbH erbracht.

Sofern die Zertifikate über einen Partner der D-Trust GmbH bestellt oder vermittelt wurden, erhält der Partner im Zertifikat enthaltene Personendaten zur Kauf- und ggf. Provisionsabwicklung.

Es besteht weder die Praxis noch die Absicht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

7. Hinweisgebersystem

Die Einhaltung, gesetzlicher Vorschriften und interner Regeln, wie unseres Verhaltenskodexes, aber auch die Einhaltung unseres Verhaltenskodexes für Geschäftspartner hat für die Bundesdruckerei-Gruppe höchste Priorität. Das gilt für unseren eigenen Geschäftsbereich ebenso wie für unsere Lieferketten.

Uns ist wichtig, dass Risiken frühzeitig erkannt und Verstöße möglichst vermieden werden. Wir wollen rechtzeitig entsprechende Gegenmaßnahmen einleiten und mögliche Schäden für Betroffene, Kunden, Mitarbeiter, Geschäftspartner und unsere Unternehmensgruppe vermeiden.

Deshalb haben wir ein unabhängiges, unparteiisches und vertrauliches Hinweisgebersystem eingerichtet, das internen und externen Hinweisgebenden auch anonyme Meldungen ermöglicht.

Mithilfe des transparenten Beschwerdeverfahrens schaffen wir insbesondere für die Betroffenen, die Hinweisgebenden und die Mitarbeitenden, die an der Aufklärung der gemeldeten Sachverhalte mitwirken, größtmöglichen Schutz. Im Rahmen des Beschwerdeverfahrens können alle tatsächlichen und vermeintlichen Verstöße gegen gesetzliche Vorgaben, den Verhaltenskodex und den Verhaltenskodex für Geschäftspartner gemeldet werden. Ebenso können menschenrechtliche oder umweltbezogene Risiken oder Pflichtverletzungen entlang der gesamten Lieferkette unserer Konzernunternehmen sowie in unserem eigenen Geschäftsbereich Gegenstand einer Meldung sein.

Einheitliche und schnelle Prozesse sowie eine vertrauliche und professionelle Bearbeitung von Hinweisen durch interne Experten bilden das Fundament dieses vom Grundsatz des fairen Verfahrens getragenen Systems.

Benachteiligungen oder Bestrafungen von Hinweisgebenden und Personen, die mit der Bearbeitung von Beschwerden und Hinweisen betraut sind, werden nicht toleriert.

Das vorgenannte Beschwerdeverfahren gilt für die Bundesdruckerei Gruppe GmbH und die Konzerngesellschaften Bundesdruckerei GmbH, Maurer Electronics GmbH, genua GmbH, D-Trust GmbH, Maurer Electronics Split d.o.o, iNCO Sp. z o.o., und die Xecuro GmbH (zusammen „Bundesdruckerei-Gruppe“).

a) Zweck und Rechtsgrundlage der Datenverarbeitung

Der Zweck der Verarbeitung personenbezogener Daten ist die Verwaltung des Hinweisgebersystems, einschließlich der Aufdeckung schwerwiegender Verstöße oder möglicher Verstöße gegen geltendes Recht oder anderer schwerwiegender Angelegenheiten.

Die Verarbeitung personenbezogener Daten ist zur Erfüllung rechtlicher Verpflichtungen erforderlich, der wir unterliegen, vgl. Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Dies ist das Gesetz für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz - HinSchG).

Die Verarbeitung dient der Wahrung des berechtigten Interesses an der Aufdeckung schwerwiegender Verstöße oder potenzieller Verstöße gegen geltendes Recht oder anderer schwerwiegender Angelegenheiten gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

Was die Verarbeitung besonderer Kategorien personenbezogener Daten betrifft, so ist die Verarbeitung auf der Grundlage des Hinweisgeberschutzgesetzes aus Gründen eines erheblichen öffentlichen Interesses erforderlich, vgl. Art. 9 Abs. 2 lit. g) DSGVO. Die Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt gem. Art. 9 Abs. 2 lit. f) DSGVO i.V.m. Art. 6 Abs. 1 S. 1 lit. f) DSGVO zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.

Betroffene Personen sind Personen, die Inhalt der Meldung sind. Dies können Beschäftigte, Vertragspartner oder andere Personen, die mit uns beruflich verbunden sind, sein. Darüber hinaus verarbeiten wir personenbezogene Daten über die hinweisgebende Person, wenn diese hinweisgebende Person ihre Kontaktinformationen oder andere Informationen, welche auf die hinweisgebende Person schließen lassen, übermittelt bzw. mitteilt. Hinweisgebende Personen müssen sich daher bewusst sein, dass wir im Zusammenhang mit der Bearbeitung des gemeldeten Falls personenbezogene Daten über sie verarbeiten können.

b) Kategorien personenbezogener Daten

Die Meldung kann anonym erfolgen. In diesem Fall werden keine personenbezogenen Daten der hinweisgebenden Person verarbeitet.

Die Kategorien personenbezogener Daten, die verarbeitet werden, hängen von den gemeldeten Informationen ab. Wenn die hinweisgebende Person personenbezogene Daten über eine andere Person, einschließlich der gemeldeten Person oder Personen, meldet, werden auch diese personenbezogenen Daten verarbeitet. Die folgenden Kategorien von personenbezogenen Daten können verarbeitet werden:

  • Allgemeine personenbezogene Daten (Name, Adresse, E-Mail-Adresse, Telefonnummer, Position usw.)
  • Personenbezogene Daten über strafrechtliche Verurteilungen oder den Verdacht auf solche
  • Besondere Kategorien personenbezogener Daten (Informationen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, Daten über die Gesundheit und Daten über das Sexualleben oder die sexuelle Ausrichtung einer Person)

Wir weisen die hinweisgebende Person darauf hin, nur Informationen zu melden, die für den gemeldeten Fall von konkreter Bedeutung sind, und insbesondere keine sensiblen Informationen zu melden, es sei denn, diese sind von zentraler Bedeutung für die Bearbeitung des gemeldeten Falls.

c) Verpflichtung zur Bereitstellung personenbezogener Daten

Es besteht keine Verpflichtung zur Bereitstellung der unter Abschnitt b aufgeführten personenbezogenen Daten, da auch anonym gemeldet werden kann. Allerdings kann es sein, dass eine Bearbeitung der Meldung ohne Angabe der personenbezogenen Daten für uns nicht möglich ist.

d) Empfänger personenbezogener Daten

Die Meldungen werden in der Bundesdruckerei GmbH als Vorgang im WhistleB-System dokumentiert. Nach einer Bewertung werden die Vorgänge intern an die zuständigen Fachbereiche weitergegeben und ggf. Folgemaßnahmen eingeleitet. Sofern eine Meldung eine der Konzerngesellschaften der Bundesdruckerei-Gruppe betreffen sollte, werden diese Vorgänge an die zuständigen Personen der jeweiligen Konzerngesellschaft weitergegeben und von der zuständigen Person intern bewertet und ggf. Folgemaßnahmen eingeleitet. Hierbei werden personenbezogene Daten nur zweckgebunden und nach dem Grundsatz der Datenminimierung weitergegeben, d.h. es werden nur die personenbezogenen Daten weitergegeben, die zwingend erforderlich sind, um die Meldung zu bearbeiten.

Wir geben personenbezogene Daten über die hinweisgebende Person an Behörden weiter, wenn dies notwendig ist, um schwerwiegende Verstöße oder schwerwiegende Angelegenheiten zu behandeln oder um das Recht auf Verteidigung der betroffenen Personen zu gewährleisten. In anderen Fällen werden personenbezogene Daten über die hinweisgebende Person nur mit Zustimmung der hinweisgebenden Person weitergegeben. Personenbezogene Daten über andere Personen als die hinweisgebende Person werden nur im Rahmen der Weiterverfolgung eines gemeldeten Falles oder zur Behandlung von schwerwiegenden Verstößen oder schwerwiegenden Angelegenheiten weitergegeben.

Die Meldeplattform wird durch den Auftragsverarbeiter die WhistleB Whistleblowing Centre AB, Stockholm, Schweden, bereitgestellt. Weitere Informationen zu WhistleB, Whistleblowing Centre AB sind in den Nutzungsbedingungen nachzulesen.

e) Speicherdauer

Personenbezogene Daten, die sich als irrelevant für die Bearbeitung eines gemeldeten Falles erweisen, sowie Meldungen, die wir als unbegründet erachten, werden unverzüglich als "nicht relevant" kategorisiert und ein eventuell vorhandener Personenbezug (sofern es sich nicht bereits um eine anonyme Meldung handelt) entfernt. Zur Gewährleistung der gesetzlich geforderten Dokumentationspflicht bzw. gesetzlichen Löschfrist aus § 11 Abs. 1, Abs. 5 HinSchG wird diese Meldung anschließend zunächst (ohne Personenbezug) archiviert, aber noch nicht gelöscht. Archivierte Fälle dienen ausschließlich der Erfüllung der Dokumentationspflichten und können daher hiernach auch nicht mehr zur Bearbeitung aufgerufen werden.

Meldungen und personenbezogene Daten, die im Rahmen der Bearbeitung einer Meldung erhoben werden, bilden die Grundlage für die weitere Bearbeitung und werden frühestmöglich anonymisiert. Sollte sich die Notwendigkeit zu Folgemaßnahmen i.S.d. §§ 3 Abs. 8, 18 HinSchG ergeben, ist es jedoch möglich, dass aufgrund von behördlicher Anordnung oder zur Sicherung von Rechtsansprüchen von der Anonymisierung abgewichen werden muss. In diesem Fall wird grundsätzlich eine Pseudonymisierung angestrebt, sofern sich nicht (z.B. aus einer richterlichen Anordnung) etwas anderes ergibt. Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

Diese Datenschutzerklärung ist vom Stand: 01.7.2024.