Datenschutzerklärung für Mobile ID

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang im Rahmen der Bereitstellung von BALTECH Mobile ID (nachfolgend auch kurz als „Software“ bezeichnet) verarbeiten.

Inhaltsübersicht

Präambel

Kontakt

Übersicht der Verarbeitungen

Verarbeitete Datenarten

Kategorien betroffener Personen

Zwecke der Verarbeitung

Maßgebliche Rechtsgrundlagen

Sicherheitsmaßnahmen

Internationale Datentransfers

Löschung von Daten

Verarbeitung von Daten für die Bereitstellung der Admin-Webanwendung „Mobile ID Manager“

Verarbeitung von Daten für die Bereitstellung der „Mobile ID“-Smartphone-App

Bezug der „Mobile ID“-Smartphone-App über Appstores

Verarbeitung von Daten für die Abrechnung von entgeltlichen Versionen

Änderung und Aktualisierung der Datenschutzerklärung

Rechte der betroffenen Personen

Kontakt

Jürgen Rösch
Lilienthalstrasse 27
85399 Hallbergmoos

E-Mail-Adresse: info@baltech.de
Impressum: https://baltech.de/impressum/

Übersicht der Verarbeitungen

Verarbeitete Datenarten

• Kontaktdaten
• Bestandsdaten
• Inhaltsdaten
• Meta- und Verbindungsdaten
• Vertragsdaten
• Zahlungsdaten

Kategorien betroffener Personen

• Administratoren (Mitarbeiter des Kunden mit Zugriff auf das Projektkonto in der Admin-Webanwendung „Mobile ID Manager“)
• App-Nutzer (Personen, deren Daten vom Administrator in der Admin-Webanwendung hinterlegt wurden, um ihnen die Nutzung der „Mobile ID“-App zu ermöglichen)
• Einkäufer (Mitarbeiter des Kunden, die als Ansprechpartner für BALTECH zum Zweck der Bestellung und Abrechnung entgeltlicher Versionen von Mobile ID dienen)

Zwecke der Verarbeitung

• Erbringung vertraglicher Leistungen und Kundenservice (Bereitstellung der Mobile ID-Komponenten „Mobile ID Manager“ und „Mobile ID“-App, Fehleranalyse)

Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) – Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Des Weiteren regelt es die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (§ 26 BDSG), insbesondere im Hinblick auf die Begründung, Durchführung oder Beendigung von Beschäftigungsverhältnissen sowie die Einwilligung von Beschäftigten. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Details dazu finden Sie im Anhang 4 zum Auftragsverarbeitungsvertrag.

Internationale Datentransfers

Datenverarbeitung in Drittländern: Sofern wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.

Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich erforderlicher Übermittlung (s. Art. 49 DSGVO) verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau (Art. 45 DSGVO), beim Vorliegen und Einhaltung vertraglichen Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission (Art. 46 DSGVO) oder beim Vorliegen von Zertifizierungen oder verbindlicher internen Datenschutzvorschriften (s. Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).

Trans-Atlantic Data Privacy Framework (TADPF): Die EU-Kommission hat das Datenschutzniveau ebenfalls für bestimmte Unternehmen aus den USA anerkannt (im Rahmen des sogenannten „Trans-Atlantic Data Privacy Framework”, kurz „TADPF“). Die Liste der zertifizierten Unternehmen als auch weitere Informationen zu dem TADPF können Sie der Webseite des Handelsministeriums der USA unter https://www.dataprivacyframework.gov/ (in Englisch) entnehmen. Informationen in deutscher und in anderen Sprachen finden Sie auf der Webseite der EU-Kommission: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_de. Die von uns eingesetzten Unternehmen, die unter dem Trans-Atlantic Data Privacy Framework zertifiziert sind, finden Sie im Abschnitt „Verarbeitung von Daten für die Abrechnung der entgeltlichen Version“).

Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen (z. B., wenn der Zweck der Verarbeitung dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind). Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt. D.h., die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z. B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist.

Unsere Datenschutzhinweise können ferner weitere Angaben zu der Aufbewahrung und Löschung von Daten beinhalten, die für die jeweiligen Verarbeitungen vorrangig gelten.

Verarbeitung von Daten für die Bereitstellung der Admin-Webanwendung „Mobile ID Manager“

Um die Admin-Webanwendung „Mobile ID Manager“ (im Folgenden „Webanwendung“) und ihre Funktionen als Cloud-Version unter https://mobile-id.baltech.de zur Verfügung stellen zu können, verarbeiten wir die Daten deren Nutzer (im Folgenden „Administratoren“).

• Verarbeitete Datenarten: Bestandsdaten (z.B. Name, E-Mail-Adresse des Administrators); Inhaltsdaten (z.B. Namen, E-Mail-Adressen und IDs der verwalteten App-Nutzer); Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit);
  Unsere Serverlogs speichern Datum und Uhrzeit von Zugriffen sowie die aufgerufene Seite bzw. ausgeführte Aktion, jedoch nicht die entsprechenden IP-Adressen. Darüber hinaus werden Nutzungsstatistiken eingereicht, die jedoch vollständig anonymisiert und deaktivierbar sind. Eine vollständige Liste finden Sie unter https://docs.baltech.de/mobile-id-help-improve.
  Im Fehlerfall werden Monitoring-Daten des Mobile ID Managers an uns übermittelt. Diese enthalten auch die verwendete Browserversion. Für die Übermittlung setzen wir das Drittanbieter-Tool Sentry ein. Welche Daten Sentry dabei verarbeitet, können Sie der Datenschutzerklärung entnehmen: http://docs.baltech.de/sentry-privacy
• Betroffene Personen: Administratoren, App-Nutzer
• Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Kundenservice
• Gemieteter Speicherplatz: Für die Bereitstellung der Webanwendung nutzen wir Speicherplatz, Rechenkapazität und Software, die wir vom Serveranbieter Scaleway (https://www.scaleway.com/en/) mit Serverstandort Frankreich mieten.
• Löschung von Daten: Wenn Sie ein Projektkonto löschen, werden alle Projektdaten unmittelbar und unwiderruflich von unseren Servern einschl. aller Backups gelöscht.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Verarbeitung von Daten für die Bereitstellung der „Mobile ID“-Smartphone-App

Um die „Mobile ID“-Smartphone-App (im Folgenden „App“) und deren Funktionalitäten bereitstellen, die Sicherheit und Funktionsfähigkeit der App zu überwachen und sie weiterentwickeln zu können, verarbeiten wir, soweit diese erforderlich sind, die Daten deren Nutzer (im Folgenden „App-Nutzer“).

• Rechtsgrundlagen: Die Verarbeitung von Daten, die für die Bereitstellung der Funktionalitäten der App erforderlich ist, dient der Erfüllung von vertraglichen Pflichten. Dies gilt auch, wenn die Bereitstellung der Funktionen eine Berechtigung der App-Nutzer (z. B. Freigaben von Gerätefunktionen) voraussetzt. Sofern die Verarbeitung von Daten für die Bereitstellung der Funktionalitäten der App nicht erforderlich ist, aber der Sicherheit der App oder unseren betriebswirtschaftlichen Interessen dient (z. B. Erhebung von Daten zu Zwecken der Optimierung der App oder Sicherheitszwecken), erfolgt sie auf Grundlage unserer berechtigten Interessen. Sofern App-Nutzer ausdrücklich deren Einwilligung in die Verarbeitung ihrer Daten gebeten werden, erfolgt die Verarbeitung der von der Einwilligung umfassten Daten auf Grundlage der Einwilligung.
• Verarbeitete Datenarten:
  • Bestandsdaten (z. B. vom Administrator vergebene ID für die Kommunikation mit dem Kartenleser, Handymodell, Handy-Betriebssystem und Version);
  • Meta- und Verbindungsdaten (optional, vom Administrator deaktivierbar):
    • Kopie von Support-Anfragen inkl. Applog. Details zu Inhalt, Speicherung und Versand des Applogs finden Sie unter https://docs.baltech.de/mobile-id/send-support-request-from-app.html#app-log. Vor Versand wird der App-Nutzer explizit über das Mitschicken des Applogs und die Übertragung der Kopie an BALTECH informiert. Der App-Nutzer kann den Versand abzubrechen, das Applog anzeigen, das Applog entfernen oder BALTECH als Empfänger der Support-Anfrage entfernen.
    • Darüber hinaus werden Nutzungsstatistiken eingereicht, die jedoch anonymisiert sind. Eine vollständige Liste finden Sie unter https://docs.baltech.de/mobile-id-help-improve.
    • Bei einem App-Absturz werden Monitoring-Daten an uns übermittelt. Diese enthalten die IP-Adresse sowie eine Geräte-ID, mit der wir alle früheren Absturzberichte derselben App identifizieren können. Für die Übermittlung setzen wir das Drittanbieter-Tool Sentry ein. Welche Daten Sentry dabei verarbeitet, können Sie der Datenschutzerklärung entnehmen: http://docs.baltech.de/sentry-privacy
  • Betroffene Personen: App-Nutzer
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Kundenservice.
  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
  • Geräteberechtigungen für den Zugriff auf Funktionen und Daten: Die Nutzung unserer App oder ihrer Funktionalitäten setzt folgende Berechtigungen voraus:
    • Kamera: Nötig, um den QR-Code in der Einladungs-E-Mail zu scannen, um die App zu aktivieren
    • Bluetooth: Nötig für die Kommunikation zwischen App und Kartenleser

Folgende Berechtigungen können optional erteilt werden:

• Benachrichtigungen: Diese Berechtigungen können, je nach Betriebssystem, für Folgendes nötig sein:
  • Versand von Push-Benachrichtgungen für die Kommunikation zwischen Mobile ID Manager und App, z. B. um gelöschten Nutern die App-Berechtigung zu entziehen.
  • Anzeige von Benachrichtigungen, um den Nutzer in bestimmten Problemsituationen informieren zu können.

Push-Benachrichtigungen werden über Google Firebase unter Verwendung unseres Zertifikats versandt. Wir erhalten dabei keinen Zugriff auf personenbezogene Daten. Welche Daten Google Firebase dabei verarbeitet, können Sie der Datenschutzerklärung entnehmen: https://firebase.google.com/support/privacy
Hinweis: Bei der On-Premises-Version haben Sie die Möglichkeit, den Versand von Push-Benachrichtigungen vollständig zu deaktivieren.

Bezug der „Mobile ID“-Smartphone-App über Appstores

Der Bezug der „Mobile ID“-Smartphone-App (im Folgenden „App“) erfolgt über spezielle Online-Plattformen, die von anderen Dienstanbietern betrieben werden (sogenannte „Appstores“). In diesem Zusammenhang gelten zusätzlich zu unseren Datenschutzhinweisen die Datenschutzhinweise der jeweiligen Appstores. Dies gilt insbesondere im Hinblick auf die auf den Plattformen eingesetzten Verfahren zur Reichweitemessung und zum interessensbezogenen Marketing sowie etwaige Kostenpflicht.

• Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen); Kontaktdaten (z.B. E-Mail, Telefonnummern); Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, Einwilligungsstatus); Inhaltsdaten (z.B. Eingaben in Onlineformularen).
• Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Kundenservice
• Betroffene Personen: App-Nutzer
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Apple App Store Datenschutzerklärung: https://www.apple.com/legal/privacy/de-ww/.
• Google Play Datenschutzerklärung: https://policies.google.com/privacy.

Verarbeitung von Daten für die Abrechnung von entgeltlichen Versionen

Falls Sie eine entgeltliche Version von Mobile ID nutzen, speichern wir Vertrags-, Zahlungs- und Kontaktdaten für den Zweck der Rechnungsstellung. Dafür nutzen wir Microsoft Azure, einen über das Internet zugänglichen und auf den Servern des Anbieters ausgeführten Softwaredienst (sogenannter „Cloud-Dienst“).

• Verarbeitete Datenarten: Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit);
  Zahlungsdaten (z.B. Bankverbindung, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. E-Mail-Adresse, Postadresse).
• Betroffene Personen: Einkäufer
• Zwecke der Verarbeitung: Büro- und Organisationsverfahren; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.).).
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Weitere Hinweise zu Microsoft-Clouddiensten (Cloudspeicher, Cloudinfrastrukturdienste und cloudbasierte Anwendungssoftware):
• Dienstanbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland, Mutterunternehmen: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA;
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO);
• Website: https://microsoft.com/de-de
• Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement,
• Sicherheitshinweise: https://www.microsoft.com/de-de/trustcenter;
• Auftragsverarbeitungsvertrag: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA;
• Standardvertragsklauseln (Gewährleistung Datenschutzniveau bei Verarbeitung in Drittländern): https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
• Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
• Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
• Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
• Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, die betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Anbieter zu fordern.
• Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

Version 1.0, 19.07.2024