Datenschutzerklärung für das Signaturportal

Verantwortlich für die Datenverarbeitung bei Nutzung des Signaturportals, wie innerhalb der vorliegenden Datenschutzinformation beschrieben, ist das Konzernunternehmen, bei dem der jeweilige Nutzer beschäftigt ist oder ein externer Nutzer zum Signaturprozess eingeladen wird:

Bundesdruckerei GmbH: Kommandantenstraße 18, 10969 Berlin. Den Datenschutzbeauftragten der Bundesdruckerei GmbH erreichen Sie unter der oben angegebenen Adresse mit dem Zusatz „An den Datenschutzbeauftragten“, per E-Mail unter: datenschutz@bdr.de  sowie unter der Telefonnummer +49 (0)30 2598-0.

D-Trust GmbH: Kommandantenstraße 15, 10969 Berlin. Die Datenschutzbeauftragte der D-Trust GmbH erreichen Sie unter der oben angegebenen Adresse mit dem Zusatz „An die Datenschutzbeauftragte“, per E-Mail unter: datenschutz@d-trust.net .

genua GmbH: Domagkstraße 7, 85551 Kirchheim bei München. Den Datenschutzbeauftragten der genua GmbH erreichen Sie unter der Adresse Projekt 29 GmbH & Co. KG, Ostengasse 14, 93047 Regensburg mit dem Zusatz „An den Datenschutzbeauftragten“, per E-Mail unter: anfrage@projekt29.de  sowie unter der Telefonnummer +49 941 2986930.

iNCO Sp. z o.o.: Wawrów 90, 66-403 Gorzów Wielkopolski, Polen. Den Datenschutzbeauftragen der iNCO Sp. z o.o., erreichen Sie unter der oben angegebenen Adresse mit dem Zusatz „An den Datenschutzbeauftragten“ sowie per E-Mail unter: iod@incoscan.com .

Maurer Electronics GmbH: Kommandantenstraße 18, 10969 Berlin. Den Datenschutzbeauftragten der Maurer Electronics GmbH erreichen Sie unter der Adresse Kommandantenstraße 18, 10969 Berlin mit dem Zusatz „An den Datenschutzbeauftragten“, per E-Mail unter: datenschutz@bdr.de  sowie unter der Telefonnummer +49 (0)30 2598-0.

Xecuro GmbH: Oranienstraße 91, 10969 Berlin. Den Datenschutzbeauftragten der Xecuro GmbH erreichen Sie unter der Adresse Boris Reibach, LL.M., Scheja und Partner Rechtsanwälte mbB, Adenauerallee 136, 53113 Bonn, per E-Mail unter: datenschutz@xecuro.de  sowie unter der Telefonnummer +49 0221 26 13 0.

2.1 Kategorien personenbezogener Daten

Im Signaturportal können Nutzer Workflows zum Signieren, Siegeln und Zeitstempeln von Dokumenten aufsetzen und durchführen. Die signierten oder gesiegelten Dokumente können auch validieret werden. Hierzu werden die folgenden Produkte und Dienste der D-Trust GmbH (D-Trust) verwendet.

Bei der Durchführung von Signatur- und Siegel-Workflows werden die folgenden Daten verarbeitet:

• Ausweisdaten: Name, Vorname, Gültig von bis, Geburtsort, Staatsangehörigkeit, Geburtsname, Geburtsdatum, Meldeadresse, Ausweisnummer (zum Abgleich Antrag, Ausweis, Identifizierungsnachweis), Ausstellende Behörde
• Weitere: Titel, akademischer Grad, Kontakt E-Mail, E-Mail Zertifikat, Handynummer, Rechnungsadresse, Organisation, produktspezifische ID, Benutzername
• Nachweise: VideoIdent Nachweis (Aufnahme Person, Ausweis/Pass/ID-Dokument)
• Identifizierungsnachweise bei Nutzung von QSeal ID
• Zertifikatsdaten
• Logfiles inklusive Organisationsname und IP-Adresse
• IP-Adressen, Zugriffszeitpunkte
• Ggf. Dokumentation zu Übermittlungen gemäß §8 Abs. 2 VDG
• zu signierende Daten im Dashboard des Signaturportals

2.2 Quelle der personenbezogenen Daten

Daten der Nutzer werden

• bei Mitarbeitern aus dem Active Directory des verantwortlichen Konzernunternehmens übernommen
• bei der Selbst-Registrierung über ein Webformular aufgenommen
• von Identitfizierungsdienstleistern als verifizierter Datensatz übernommen
• von Kunden, die über API mit der sign-me Anwendung kommunizieren übernommen
• bei Kontaktpersonen von Kunden aus Verträgen und Formularen übernommen
• aus Service- und Supportanfragen von Unternehmen, die für ihre eigenen Endkunden Support erbringen übernommen
• aus direkten Supportanfragen der Nutzer übernommen

2.3 Zwecke der Verarbeitung

Die Daten werden für die folgenden Zwecke verarbeitet:

• Zur Feststellung der Identität des Antragstellers,
• Zur Feststellung der Identität von Handlungsbevollmächtigten bei Nutzung des Dienstes Qualified Seal ID,
• Antragsprüfung und -abwicklung,
• Abrechnung,
• Wahrung der Dokumentationspflichten,
• Durchführung von Exportkontrolle und Sanktionslistenabgleichen,
• Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdienstes (Statusauskunftsdienst) und
• in Einzelfällen zur Fehlerbehebung insbesondere bei Supportanfragen.

Die Zertifikate werden im Rahmen der Signaturerstellungs-/Siegelerstellungsdienstleistung genutzt, um für den Zertifikatsinhaber (Nutzer) Signaturen/fortgeschrittene elektronische Siegel zu erstellen.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen.

2.4 Rechtsgrundlage(n) für die Verarbeitung

Zertifikate und Zertifikatsnachweisdaten, Kontaktdaten, Bestelldaten, Rechnungsdaten, Dokumentation zu Support-/Servicefällen und ggf. zu signierende Dokumente werden zur Erfüllung des Vertrags mit dem jeweiligen Nutzer verarbeitet. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO.

Die eIDAS-Verordnung (Nr. 910/2014) und das Vertrauensdienstegesetz stellen den gesetzlichen Rahmen für die Vertrauensdienste. Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments wird die Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO eingeholt.

Rechtsgrundlage für Übermittlungen an zuständigen Stellen ist § 8 Abs. 2 VDG i.V.m. Art. 6 Abs. 1 lit. c DSGVO.

2.5 Weitergabe von personenbezogenen Daten

Zur Durchführung der Identifizierung von Nutzern als auch der Signaturerstellungsdienstleistung wird die D-Trust im Verhältnis zu den anderen Konzernunternehmen als weisungsabhängiger Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO tätig.

Die D-Trust als qualifizierter Vertrauensdiensteanbieter verarbeitet personenbezogene Daten entsprechend der Beauftragung. Neben der Verarbeitung zur Bereitstellung des Fernsignatursystems sign-me und Fernsiegeldienstes seal-me verarbeitet die D-Trust personenbezogene Daten auch für Maßnahmen der Informationssicherheit. Das schließt die Prävention, durch technische und organisatorische Maßnahmen, um mögliche Schäden für das verantwortliche Konzernunternehmen und die D-Trust abzusehen und zu verhindern, ein.

Entsprechend der gesetzlichen Maßgaben aus § 8 Abs. 2 VDG muss die D-Trust personenbezogene Daten an zuständige Stellen entsprechend der dort vorgesehenen Zwecke übermitteln oder einen Zugriff ermöglichen.

2.6 Erforderlichkeit der Bereitstellung der personenbezogenen Daten

Die D-Trust benötigt als Vertrauensdiensteanbieter die als Pflichtfelder gekennzeichneten Daten, um die Identität der Zertifikatsnehmer sicherstellen zu können. Bei Nichtangabe oder Falschangabe kann das angeforderte Zertifikat nicht ausgestellt werden.

Eine Mobilfunknummer des Nutzers ist zwingend erforderlich, da das Mobiltelefon im Rahmen der Authentifizierung zur Signaturauslösung als zweiter Faktor genutzt wird. Ohne diesen Sicherheitsmechanismus, der auf der Angabe der Mobilfunknummer beruht, kann der Dienst nicht erbracht werden.

2.7 Dauer der Speicherung

Während des Workflows erhobene Daten im Signaturportal werden 30 Tage nach Abschluss automatisch gelöscht. Davon unberührt sind die Daten, die für die Erstellung von qualifizierten Signaturzertifikaten erhoben werden.

Qualifizierte Signaturzertifikate werden gem. § 16 Abs. 4 Vertrauensdienstegesetz dauerhaft aufbewahrt. Dies entspricht der gesamten Dauer des Betriebes des Vertrauensdiensteanbieters. Sollte die D-Trust GmbH den Betrieb einstellen, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben.

Alle anderen Zertifikatsnachweisdaten und Zertifikate werden 8 Jahre nach Ablauf der Gültigkeit des letzten ausgestellten Zertifikats gelöscht.

Dokumentationen zu Übermittlungen gemäß § 8 Abs. 2 VDG werden zwölf Monate aufbewahrt.

Rechnungsdaten werden nach zehn Jahren gelöscht.

Nach anwendbarem Datenschutzrecht haben Sie grundsätzliche folgende Betroffenenrechte:

Das Recht

• eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über Sie verarbeitet werden und Auskunft über die verarbeiteten personenbezogenen Daten sowie weitere Informationen zu erhalten (vgl. Art. 15 DSGVO);
• die Berichtigung unrichtiger personenbezogener Daten zu verlangen (vgl. Art. 16 DSGVO);
• die Löschung der verarbeiteten personenbezogenen Daten zu verlangen (vgl. Art. 17 DSGVO);
• die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen (vgl. Art. 18 DSGVO);
• personenbezogene Daten, die Sie bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder zu verlangen, dass die personenbezogenen Daten an einen Dritten übermittelt werden (vgl. Art. 20 DSGVO);
• der Datenverarbeitung, die auf Art. 6 Abs. 1 lit. f DSGVO beruht oder der Direktwerbung dient zu widersprechen (vgl. Art. 21 DSGVO);
• eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen zu können. Dabei gilt der Widerruf nur für die Zukunft und berührt nicht die Rechtsmäßigkeit der Verarbeitung personenbezogener Daten bis zum Widerruf.

Ihnen steht zudem gemäß Art. 77 DSGVO ein Beschwerderecht bei einer datenschutzrechtlichen Aufsichtsbehörde zu.