Aktuell: D-TRUST bietet zertifizierten TSE Cloud-Service. Mehr erfahren.

Datenschutzerklärung

DATENSCHUTZERKLÄRUNG FÜR DAS FERNSIGNATURSYSTEM SIGN-ME

INFORMATION FÜR BETROFFENE

Der Schutz Ihrer Daten ist uns sehr wichtig. Mit dieser Datenschutzerklärung erhalten Sie umfassende Informationen zur Verwendung Ihrer Daten bei der D-TRUST GmbH, eines Unternehmens der Bundesdruckerei Gruppe GmbH.

1. So können Sie uns kontaktieren:

  • D-Trust GmbH
  • Kommandantenstr. 15
  • 10969 Berlin
  • https://www.d-trust.net/
  • info@d-trust.net
  • Telefon: +49 30 25 93 91 0
  • Betriebliche Datenschutzbeauftragte: Uta Roßberg datenschutz@d-trust.net

2. Verarbeitungsrahmen

2.1 Kategorien personenbezogener Daten, die verarbeitet werden

  • Ausweisdaten: Name, Vorname, Gültig von bis, Geburtsort, Staatsangehörigkeit, Geburtsname, Geburtsdatum, Meldeadresse, Ausweisnummer (zum Abgleich Antrag, Ausweis, Identifizierungsnachweis), Ausstellende Behörde
  • Weitere: Titel, akademischer Grad, Kontakt E-Mail, E-Mail Zertifikat, Handynummer, Rechnungsadresse, Organisation, produktspezifische ID, Benutzername
  • Nachweise: VideoIdent Nachweis (Aufnahme Person, Ausweis/Pass/ID-Dokument)
  • Zertifikat
  • IP-Adressen, Zugriffszeitpunkte
  • Ggf. Dokumentation zu Übermittlungen gemäß §8 Abs. 2 VDG
  • Ggf. zu signierende Daten im Selfservicebereich

2.2 Quelle der personenbezogenen Daten

  • Daten der Betroffenen werden
    • bei der Selbst-Registrierung über ein Webformular aufgenommen
    • von Identitfizierungsdienstleistern als verifizierter Datensatz übernommen
    • von Kunden, die über API mit der sign-me Anwendung kommunizieren übernommen
    • bei Kontaktpersonen von Kunden aus Verträgen und Formularen übernommen
    • aus Service- und Supportanfragen von Unternehmen, die für ihre eigenen Endkunden Support erbringen übernommen
    • aus direkten Supportanfragen der Betroffenen übernommen

2.3 Dauer der Speicherung

Die Nachvollziehbarkeit der Identifizierung auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signaturzertifikate gelten für Zertifikate, Zertifikatsnachweisdaten, einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 Vertrauensdienstegesetz zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebes des Vertrauensdiensteanbieters. Vor Aufgabe des Betriebs ist, die Übergabe an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten werden 8 Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Gleiches gilt für die Zertifikate. Rechnungsdaten werden nach 10 Jahren gelöscht.

Dokumentationen zu Übermittlungen gemäß §8 Abs. 2 VDG werden zwölf Monate aufbewahrt.

Dokumente, die der sign-me Nutzer im Selfservicebereich zur Signatur hochläd, werden nach spätestens 5 Tagen gelöscht.

2.4 Zwecke der Verarbeitung

Die Daten werden für die folgenden Zwecke verarbeitet: Zur Feststellung der Identität des Antragstellers, Antragsprüfung und -abwicklung, Abrechnung, Wahrung der Dokumentationspflichten, Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdienstes (Statusauskunftsdienst), Wirtschaftlichkeits- und Qualitätsprüfung, für statistische Zwecke (anonymisiert) und in Einzelfällen zur Fehlerbehebung insbesondere bei Supportanfragen.

Die Zertifikate werden im Rahmen der Signaturerstellungsdienstleistung genutzt, um für den Zertifikatsinhaber (Betroffener) Signaturen zu erstellen. Mittels Eingabe der korrekten E-Mailadresse können angeschlossene Portalbetreiber Art und Status Ihrer Zertifikate abfragen, um mehrfache Identifizierungsvorgänge zu vermeiden und den Signaturprozess für Sie zu verkürzen. Nach Löschung Ihres Accounts ist der Abruf für diese nicht mehr möglich.

Im Rahmen der Maßnahmen zur Aufrechterhaltung der Informationssicherheit insbesondere zum Erkennen und Abwehren von Angriffen, einschließlich interner und externer Auditierung, der Exportkontrolle und der Sanktionslistenprüfung findet ebenfalls Datenverarbeitung statt. Im Fall von Anfragen gemäß §8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen.

Im Selfservicebereich hat der sign-me Nutzer die Möglichkeit PDF-Dokumente hochzuladen zu signieren. Zweck der Verarbeitung ist das Aufbringen der Signatur.

2.5 Rechtsgrundlage für die Verarbeitung

Zertifikate und Zertifikatsnachweisdaten, Kontaktdaten, Bestelldaten, Rechnungsdaten, Dokumentation zu Support-/Servicefällen und ggf. zu signierende Dokumente werden verarbeitet zur Erfüllung des Vertrags mit dem Betroffenen. Die Bereitstellung der Art der Zertifikate und deren Status gegenüber Protalbetreibern ist ebenfalls Teil der Vertragserfüllung.

Die eIDAS-Verordnung (Nr. 910/2014) und das Vertrauensdienstegesetz stellen den gesetzlichen Rahmen für die Vertrauensdienste. Für die Kopie des Ausweises, Reisepasses oder sonstigen ID-Dokuments wird die Einwilligung des Betroffenen eingeholt.

Rechtsgrundlage für Übermittlungen an zuständigen Stellen ist §8 Abs. 2 VDG.

Betroffenenanfragen werden auf Grundlage der Art. 12 – 23 DSGVO bzw. § 32-37 BDSG verarbeitet.

Die Übermittlungen an die verbundenen Konzernunternehmen erfolgen aufgrund von Interessensabwägungen.

2.6 Berechtigte Interessen

Ein berechtigtes Interesse der D-TRUST im Sinne von Art. 6 Abs. 1 lit. f DSGVO liegt in folgenden Fällen vor:

Es werden Maßnahmen der Informationssicherheit einschließlich der Prävention durch technische und organisatorische Maßnahmen einschließlich der Vorfallsbehandlung durchgeführt, um mögliche Schäden für das Unternehmen (D-TRUST), für die von der Datenverarbeitung Betroffenen und für die Nutzer der Vertrauensdienste abzuschätzen und zu verhindern.

Die Verantwortliche ist Teil einer Unternehmensgruppe. Die Bundesdruckerei GmbH als Unternehmen der Bundesdruckerei Gruppe GmbH hat im Sinne EW 48 DSGVO ein berechtigtes Interesse bestimmte Verarbeitungen zentral abzuwickeln. Die Sanktionslisten- und Exportkontrollprüfung, Teile des Mahnwesens, der Vertriebstätigkeit und des Supports werden durch die Bundesdruckerei GmbH erbracht.

2.7 Erforderlichkeit der Daten

Die Verantwortliche ist als Vertrauensdiensteanbieter verpflichtet die Identität der Zertifikatsnehmer sicherzustellen. Die Verarbeitung der als Pflichtfelder gekennzeichneten Daten ist notwendig, um dieser Verpflichtung nachzukommen. Bei Nichtangabe oder Falschangabe kann das Zertifikat nicht ausgestellt werden. Gleiches gilt für die Einrichtung von Nachweisen, wie beispielsweise Organisationszugehörigkeit oder Berufsattribute. Ohne Nachweis können die Daten nicht in das Zertifikat aufgenommen werden.

Die Mobilfunknummer des Betroffenen ist zwingend erforderlich, da das Mobiltelefon im Rahmen der Authentifizierung zur Signaturauslösung als Faktor genutzt wird. Ohne diesen Sicherheitsmechanismus, der auf der Angabe der Mobilfunknummer beruht, kann der Dienst nicht erbracht werden. Der Betroffene könnte keine Signaturerstellung auslösen.

2.8 Weitergabe und Auslandsbezug

Zur Erbringung der Supportdienstleistung werden die erforderlichen Daten dem Customer Service der Bundesdruckerei GmbH sowie der INCO Spólka z o.o. (Tochterunternehmen der Bundesdruckerei Gruppe GmbH in Polen) übermittelt.

Wenn Sie von einem Portalbetreiber aufgefordert wurden, diese Anwendung zu nutzen, werden die für die Vertragsabwicklung notwendigen Daten an den Portalbetreiber übermittelt. Anbieter, die das sign-me Portal nutzen, können über Ihren Benutzernamen erfahren, welchen Status Ihr Zertifikat hat (Art und Gültigkeit des Zertifikats). Ein Portal erhält auf diese Weise die Information, ob Sie bei sign-me registriert sind und wenn ja, welche Zertifikate bereits für Sie vorhanden sind.

Wenn mit dem Zertifikat z.B. signiert wird, ist es für den Empfänger der Signatur wichtig zu wissen, ob die Signatur tatsächlich vom angegebenen Unterzeichner und aus vertrauenswürdiger Quelle stammt. Die eingesetzte Software wird für diese Überprüfung u. a. eine Statusabfrage zum Zertifikat veranlassen. Die D-Trust GmbH bietet für diesen Zweck einen Statusabfragedienst an. Dort kann zu einem bestimmten Zertifikat abgefragt werden, ob es gesperrt wurde. Das Zertifikat bei sign-me kann über den Statusabfragedienst verifiziert werden. Dafür wird das Zertifikat in einem Verzeichnisdienst „veröffentlicht“. Der Verzeichnisdienst ist mit einem Telefonbuch vergleichbar, in dem die Zertifikate eingestellt werden. Das Zertifikat ist online abrufbar.

Des Weiteren erhalten identifizierende Personen, Auditoren, Aufsichtsbehörden, ggf. zuständige Stellen gemäß §8 Abs. 2 VDG Zugriff auf die jeweils erforderlichen Daten.

Im Rahmen der Exportkontrolle werden Name und ggfs. Organisation an den Sanktionslistenserver der Bundesdruckerei GmbH übermittelt. Im Fall von Fehltreffern werden Geburtsdatum, Geburtsort und Staatsangehörigkeit sowie Geburtsname herangezogen. Zusätzlich werden Versandadresse, Versandland, Adresse des Rechnungsempfängers und ggf. weiterer Partner durch die Bundesdruckerei exportkontrollrechtlich bewertet.

Vertriebstätigkeit und Mahnwesen werden teilweise durch die Bundesdruckerei GmbH erbracht.

Es besteht weder die Praxis noch die Absicht die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

3. Verwendung von Cookies

Beim Aufruf einzelner Seiten werden so genannte temporäre Cookies zur technischen Diensteerbringung verwendet. Diese Session Cookies beinhalten keine personenbezogenen Daten und verfallen nach Ablauf der Sitzung. Techniken, wie zum Beispiel Java-Applets oder Active-X- Controls, die es ermöglichen das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt.

4. Betroffenenrechte

Sollten Sie Anfragen zur Auskunft über Ihre Daten oder deren Berichtigung, Löschung oder Einschränkung der Verarbeitung haben, richten Sie diese bitte an die obenstehende Postadresse oder signiert an datenschutz@d-trust.net. Gleiches gilt, falls Sie im Sinne des Art. 21 DSGVO Widerspruch gegen die Verarbeitung einlegen wollen oder eine Anfrage zur Datenübertragbarkeit haben.

Sollten Sie Fragen oder Beschwerden zu einem Verfahren haben, wenden Sie sich bitte über die oben genannten Kontaktmöglichkeiten an uns. Sollten Sie darüber hinaus Grund für Beschwerden sehen, besteht für Sie die Möglichkeit, sich an unsere Aufsichtsbehörde (Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin) zu wenden.

D-TRUST - Ein Unternehmen der Bundesdruckerei