Datenschutzerklärung ...

Datenschutzerklärung Signaturportal

1. Geltungsbereich

Die Netcetera Software Services („NCS“) bietet als qualifizierter Vertrauensdiensteanbieter („VDA“) gemäß der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG („eIDAS-Verordnung“) einen Service zur Registrierung für qualifizierte Zertifikate und zur Verwendung qualifizierter elektronischer Fernsignaturen gemäß eIDAS-Verordnung an.

Diese Datenschutzerklärung soll die Nutzer dieses Vertrauensdienstes über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch die NCS informieren.

Aufgrund aktueller Gegebenheiten, wie z. B. einer Änderung der einschlägigen datenschutzrechtlichen Bestimmungen, wird – sofern erforderlich diese Datenschutzerklärung aktualisiert.

 

2. Zweck und Rechtsgrundlage der Datenverarbeitung

Als Voraussetzung für die Erstellung eines qualifizierten Zertifikates muss der VDA die Identität des Nutzers feststellen, für den das Zertifikat erstellt werden soll. Im Rahmen dieser Identifizierung werden personenbezogene Daten des Nutzers erhoben, ins Zertifikat eingestellt und dauerhaft zur Prüfung vorgehalten.

Der VDA erbringt die Zertifizierungs- und Vertrauensdienste für den Nutzer auf der Grundlage

  • der eIDAS-Verordnung und
  • des Vertrauensdienstegesetzes („VDG“) vom 18. Juli 2017.
  • der Verordnung zu Vertrauensdiensten („VDV“) vom 15. Februar 2019

Die Verarbeitung dieser Daten erfolgt daher auf der Grundlage von Artikel 6 Absatz 1 lit. b, c, f Datenschutzgrundverordnung (DSGVO).

Außerdem werden personenbezogene Informationen zur Erfüllung von buchhalterischen Pflichten, Zahlungsabwicklung und zur Bereitstellung von Rechnungen verarbeitet.

Um unsere Produkte, Internetangebote und Dienstleistungen weiter zu verbessern und bedarfsgerecht zu gestalten, erheben wir statistische Daten über das Nutzerverhalten; personenbezogene Daten werden hierbei nicht, anonymisiert oder nur pseudonymisiert in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen erhoben. Wir verwenden hierfür einen eigenen Statistik-Server auf Basis von Piwik, der gem. den Empfehlungen des „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein“ vom 15. März 2011 betrieben wird. Zur statistischen Datenerhebung verwenden wir auf der Website ein Cookie, dass Sie hier deaktivieren können.

Sie können ferner Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität der Website in Teilen oder sogar im Ganzen eingeschränkt sein. Wir weisen Sie darauf hin, dass das Löschen von Cookies in Ihrem Browser auch ein erneutes Opt-In (Cookie-Hinweisbanner) oder Opt-Out (s. o. Piwik-Statistik) notwendig macht.

 

3  Umfang der Datenverarbeitung
 

3.1 Welche Daten werden verarbeitet?

Es werden folgende personenbezogene Daten des Nutzers erhoben: 

  • Name, Vorname 
  • Geburtsdatum 
  • E-Mail, Telefonnummer 
  • IP-Adresse des Nutzers 

Folgende personenbezogene Daten des Nutzers werden je nach verwendetem Identifizierungsmittel oder optional erhoben: 

  • Adresse 
  • Staatsangehörigkeit 
  • Geburtsname 
  • •Nutzerspezifische Kennung 

Folgende Daten müssen im Zertifikat gespeichert werden und sind ggf. öffentlich einsehbar: 

  • Name, Vorname 
  • Seriennummer des Zertifikates 

Folgende personenbezogenen Daten werden zur Rechnungsstellung und Erfüllung von buchhalterischen Pflichten und Zahlungsabwicklung erhoben, falls eine Online-Zahlung durchgeführt wird: 

  • Name, Vorname 
  • Adresse 

Im Falle einer Identitätsfeststellung mittels eines klassischen oder automatisierten VideoIdent Verfahrens wird neben den genannten Daten zusätzlich eine Aufzeichnung des Identifizierungsprozesses gespeichert. 

Während des Signaturprozesses werden Dokumente durch den Nutzer bereitgestellt und verarbeitet. 

Weitere Daten, die bei der Nutzung der Services gespeichert werden, ergeben sich aus der allgemeinen Datenschutzerklärung des VDA.


3.2 Wo werden Daten verarbeitet?

Sämtliche Daten werden ausschließlich in den Rechenzentren des VDA gespeichert und verarbeitet. Zur Zahlungsabwicklung werden die hierfür nötigen Informationen durch den Zahlungsdienstleister Mollie B. V. verarbeitet.

3.3 Wer sind die Empfänger von Daten?

Eine Übermittlung von Daten an Vertragspartner erfolgt im Rahmen der Weitergabe von Zertifikaten (i.d.R. lediglich der Name des Nutzers). Dies kann ggf. auch an Empfänger außerhalb der EU erfolgen.

Die zur Abwicklung von Zahlungen benötigten Informationen werden durch den Zahlungsdienstleister Mollie B. V. gemäß der von Mollie B. V. herausgegebenen Datenschutzerklärung verarbeitet.

3.4 Wie lange werden die Daten gespeichert?

Für qualifizierte Signaturzertifikate gelten für die Zertifikate sowie die Zertifikatsnachweisdaten einschließlich der Kontaktdaten des Nutzers die Vorgaben des § 16 Abs. 4 Vertrauensdienstegesetz zur dauerhaften Aufbewahrung. Aus Gründen einer dauerhaften Nachvollziehbarkeit der Identifizierung erfolgt die Speicherung der Zertifikate und der Zertifikatsnachweisdaten für die gesamte Dauer des Betriebs des VDA. Für den Fall der Einstellung des Betriebs hat der VDA die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter zu übergeben. Eine Löschung der Daten ist aus vorgenannten Gründen nicht vorgesehen. 

Ausgestellte Rechnungen werden für die Dauer der gesetzlichen Mindestaufbewahrungsfrist von 10 Jahren vorgehalten und danach gelöscht.

3.5 Wie werden die Daten gesichert?

Sämtliche beim VDA gespeicherten Daten werden unter Anwendung aktueller Sicherheitsstandards gegen unbefugten Zugriff, Verlust und Veränderung geschützt. Hierzu werden umfangreiche technische und organisatorische Sicherheitsmaßnahmen mit einem Standard angewandt, der mindestens den gesetzlichen Vorgaben entspricht.

3.6 Detaillierung der Kontrollhandlungen im Rahmen der Auftragsverarbeitung
Es erfolgt eine regelmäßige Überprüfung durch den Datenschutzbeauftragten der NCS. Darüber hinaus werden die durch den Auftragnehmer erbrachten qualifizierten Vertrauensdienste regelmäßig durch eine akkreditierte Konformitätsbewertungsstelle hinsichtlich ihrer eIDAS-konformen Umsetzung geprüft.

 

4    Rechte und Beschwerdemöglichkeiten
Der Nutzer hat gegenüber dem VDA folgende Rechte hinsichtlich der ihn betreffenden personenbezogenen Daten: 

  • Recht auf Auskunft gemäß Art. 15 DSGVO 
  • Recht auf Berichtigung gemäß Art. 16 DSGVO 
  • Recht auf Löschung gemäß Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO 
  • Recht auf Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO 
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO 

Mit Ausnahme des Auskunftsrechts führt die Ausübung aller weiteren Rechte zu einem Widerruf des Zertifikats. 

Darüber hinaus hat der Nutzer das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen eine Verarbeitung der ihn betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e DS-GVO (Datenverarbeitung im öffentlichen Interesse) oder Art. 6 Abs. 1 lit. f DS-GVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. 

Der VDA verarbeitet personenbezogenen Daten des Nutzers im Falle des Widerspruchs nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber den Interessen, Rechte und Freiheiten des Nutzers überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 
Der Nutzer hat die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – sein Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden. 

Der Nutzer hat das Recht, seine erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt. 

Der Nutzer kann diese Rechte geltend machen, indem er sich an den Datenschutzbeauftragten des VDA wendet. 

Der Nutzer hat zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung seiner personenbezogenen Daten durch den VDA zu beschweren. 

Die für den VDA zuständige Aufsichtsbehörde ist zu erreichen unter:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen 

Kavalleriestr. 2-4 

Postfach 20 04 44 

40102 Düsseldorf 

Telefon: 0211/38424-0 

Telefax: 0211/38424-10 

E-Mail: poststelle@ldi.nrw.de 

 

5    Kontaktdaten

5.1    Verantwortliche Stelle

Netcetera Software Services GmbH

Vitalisstraße 67

50827 Köln 

E-Mail: bvsign@netcetera-de.com

5.2    Datenschutzbeauftragter

Die Funktion des Beauftragten für den Datenschutz im Hause des Auftragsverarbeiters wird aktuell wahrgenommen durch:

Frau Silvia C. Bauer 

c/o Luther Rechtsanwaltsgesellschaft mbH 

Anna-Schneider-Steig 22 

50678 Köln 

Telefon 0221/9973 25789 

E-Mail: datenschutz@luther-lawfirm.com