Datenschutzhinweise für Systeme des Trust Centers

Die folgenden Datenschutzhinweise betreffen für das ITSG Trust Center folgende Webseiten:

Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Gemäß Artikel 13 DS-GVO informieren wir Sie über den Umgang mit Ihren Daten.

Speicherung von Zugriffsdaten in Server-Logfiles

Registrierungsportal Trust Center – Registrierung

Sie können unsere Webseiten besuchen, ohne Angaben zu Ihrer Person zu machen. Die Applikation, mit der diese Seite betrieben wird , speichert einige Zugriffsdaten in sogenannten Server-Logfiles, wie z. B. den Namen der angeforderten Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge und den anfragenden Provider. Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs der Seite und zur Verbesserung unseres Angebots ausgewertet. So wird bei fehlerhaften Anmeldeversuchen die IP-Adresse für 14 Tage gespeichert. Die Speicherdauer geht über 7 Tage hinaus, weil es erst dann möglich ist Hacking-Versuche zu analysieren und zu unterbinden. Die Analyse umfasst beispielsweise die Betrachtung der Zugriffsversuche auf nicht existente Inhalte („404 Detection“). Mit dieser Methode können Hacker ausfindig gemacht werden und anhand ihrer IP-Adresse für die Webseite gesperrt werden. Die rechtliche Grundlage ist Art. 6 (1) lit f DSGVO.

Antragsupload , Online-Zertifikatsübersicht, Online-Antragsverfolgung

Sie können unsere Webseiten des Trust Centers besuchen, ohne Angaben zu Ihrer Person zu machen. Die Applikation, mit der diese Seiten betrieben werden, speichert einige Zugriffsdaten in sogenannten Logfiles des Apache Access Log.

Die folgenden Daten in den Protokolldateien werden neben den Zertifikatsantragsdaten für die Erfüllung des Vertrages vorübergehend gespeichert:

  • Datum des Zugriffs
  • IP-Adressen
  • URL der aufgerufenen Webseite

Die Erstellung von Protokolldateien wird ausschließlich zur Verbesserung unseres Internetangebots und der Sicherheit der Internettechnik und ihrer Daten genutzt (Art. 6 (1) lit f DSGVO).

Die Protokolldateien werden rotiert und ausschließlich für Administratoren zugänglich aufbewahrt und spätestens nach 90 Tagen automatisch gelöscht.

Online-Schnittstelle Trust Center (OSTC)

Das System der Online-Schnittstelle speichert die vom Kundensystem übermittelten Antragsdaten. Die Logfiles werden zur Nachverfolgung der Zertifikats-Anträge und kaufmännische Nachweispflicht der gestellten Anträge über die Online-Schnittstelle verwendet.

Folgende Daten werden hierzu gespeichert:

  • Institutionskennzeichen oder Betriebsnummer
  • Firma
  • Anrede
  • Vornamen
  • Nachnamen

 

  • GUID
  • Softwarehaus
  • Fachanwendung
  • Dakota_Lizenz
  • Datum
  • Uhrzeit
  • Requestschlüssel

Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 (1) lit b DSGVO).
Die Verarbeitung ihres Antrags, der hochgeladenen Daten und folgt auf Basis des geschlossenen Vertrages und ist für dessen Erfüllung notwendig.
Diese Logfiles werden nach 366 Tagen gelöscht.

Datenerhebung und -verwendung

Registrierungsportal, Antragsupload, Antrags- und Zertifikatsauskunft

Um am sicheren Datenaustausch im Gesundheits- und Sozialwesen teilnehmen zu können, können Sie einen Zertifizierungsantrag bei unserem Trust Center stellen. Nähere Informationen zum Antragsverfahren lesen Sie auf der Seite Trust Center: Zertifikat beantragen. Wir erheben personenbezogene Daten, wenn Sie uns diese im Rahmen des Antragsverfahrens eines Zertifikates mitteilen. Welche Daten erhoben werden, ist aus den jeweiligen Eingabeformularen ersichtlich. Wir verwenden die von Ihnen mitgeteilten Daten gemäß Art. 6 Abs. 1 lit a, b und c DS-GVO zur Vertragsabwicklung und Bearbeitung Ihres Antrages. Der Inhalt und die rechtliche Grundlage des Zertifikats können den gemeinsamen Grundsätzen Technik inkl. Anlage 16 entnommen werden.

Registrierungsportal Trust Center

Registrierung

Die Registrierung enthält folgende personenbezogene Daten:

  • Name des Unternehmens (ggf. personenbezogenes Datum)
  • Nachname, Vorname der Kontaktperson
  • Telefonnummer und E-Mail der Kontaktperson
  • E-Mail für die Zustellung einer Rechnung (ggf. ein personenbezogenes Datum)
  • Benutzername und Passwort (selbst vergeben)
  • Anschrift des Unternehmens (ggf. ein personenbezogenes Datum)

PostIdent-Verfahren

Informationen zum Postident-Verfahren können Sie dem Dokument „Informationen zum Postident-Verfahren beim ITSG Trust Center“ auf unserer Download-Seite entnehmen.

Aus Ihrem Ausweisdokument verarbeitet die Deutsche Post AG folgende personenbezogene Daten:

  • Name, Vorname, Geburtsname
  • Anschrift
  • Geburtsdatum, Geburtsort
  • Art des Ausweises, Ausweisnummer, Ausstellungsland, Staatsangehörigkeit

Im Rahmen des Identitätsüberprüfungsverfahrens bei der Deutsche Post AG werden Ihre Lichtbildausweisdaten einschließlich einer Kopie/Screenshot von Ihnen in Form von  Nachweispaketen  durch die Post verarbeitet.

Nach der Identifizierung mit einem Postident-Verfahren durch die Deutsche Post AG wird abschließend im ITSG-Registrierungsportal die elektronische Rückmeldung vom Postident-System geprüft, ob Vornamen und Nachnamen (ggf. auch Doppelnamen und Titel bei Nachname) gemäß Vorderseite Personalausweis, entsprechende amtliche Identitätskarte oder Reisepass vollständig mit Ihren Angaben bei der Registrierung übereinstimmen.

Die Rechtsgrundlage für die Überprüfung, ob die Voraussetzungen für die Registrierung und den Zugang zu dem Portal des Trust Centers erfüllt sind, bildet unsere Verpflichtung, bei der Verarbeitung  personenbezogener  Daten  die  jeweilig  berechtigten Personen zu identifizieren (Artt. 5 und 6 Abs. 1 lit. b und c DSGVO).

Funktion Zugangsdaten vergessen

Die Funktion „Zugangsdaten vergessen“ enthält zur Eingabe keine personenbezogenen Daten.

Speicherdauer

Ihre Daten werden solange gespeichert, solange wie Sie für die Zweckerreichung erforderlich sind.  Sie können vor Abschluss Ihrer Registrierung den Vorgang selbst im Registrierungsportal stornieren. Nach Abschluss oder Unterbrechung Ihrer Registrierung erfolgt  eine  Löschung Ihrer  bis  zu  diesem  Zeitpunkt  erhobenen  Daten  nach 120  Tagen.

Nach erfolgreicher Registrierung werden Ihre Daten des Identifizierungsprozesses nach 6 Jahren ab dem Zeitpunkt des Abschlusses der Registrierung gelöscht.

Die Zertifizierungsanträge werden bei unserem Dienstleister EVIDEN Germany GmbH 10 Jahre aufbewahrt und die Frist beginnt mit dem Schluss des Jahres in dem der Antrag gestellt wurde. Das Zertifikat hat grundsätzlich eine Gültigkeit von 3 Jahren.

Datenempfänger

Von der Deutsche Post AG werden Ihre Daten im Rahmen des PostIdent-Verfahrens und die Antragsdaten von der EVIDEN Germany GmbH als Auftragsverarbeiter verarbeitet und nicht an Dritte übermittelt.

Antragsformulare

Eigenerklärung für Meldestelle

Die Eigenerklärung enthält folgende personenbezogene Daten:

  • Name des Antragstellers ggf. personenbezogen
  • Ansprechpartner: Name, Vorname
  • Telefonnummer Ansprechpartner
  • E-Mail-Adresse des Ansprechpartners
  • Straße, Postleitzahl und Ort ggf. personenbezogen

Formblatt für einen Sperrantrag eines Zertifikates

  • Name des Antragstellers ggf. personenbezogen
  • Ansprechpartner: Name, Vorname
  • Telefonnummer Ansprechpartner
  • E-Mail-Adresse des Ansprechpartners
  • Straße, Postleitzahl und Ort ggf. personenbezogen
  • Kundenkennwort

Speicherdauer

Ihre Daten werden solange gespeichert, solange wie Sie für die Zweckerreichung  erforderlich  sind.  Nach Abschluss oder  Unterbrechung  Ihrer Registrierung  erfolgt  eine  Löschung Ihrer  bis  zu  diesem  Zeitpunkt  erhobenen  Daten  im Registrierungsportal  nach 120  Tagen.

Nach erfolgreicher Registrierung werden Ihre Registrierungsdaten 6 Jahre als Nachweis aufbewahrt und t danach gelöscht.

Ihr Zertifizierungsantrag wird 10 Jahre bei unserem Dienstleister EVIDEN Germany GmbH aufbewahrt und die Frist beginnt mit dem Schluss des Jahres in dem der Antrag gestellt wurde. Das Zertifikat hat grundsätzlich eine Gültigkeit von 3 Jahren. Die Aufbewahrungsfrist richtet sich nach den gesetzlichen Regelungen des HGB’s.

Online-Zertifikatsübersicht und Online-Antragsverfolgung

Die Online-Zertifikatsübersicht enthält folgende personenbezogene Daten:

  • Name des Antragstellers/Firma ggf. personenbezogen
  • Ansprechpartner: Name, Vorname

Die Onlineantragsverfolgung enthält folgende personenbezogene Daten:

  • Nachname Ansprechpartner

Die personenbezogenen Daten werden gelöscht, sobald die Gültigkeit des Zertifikat endet oder das Zertifikat zuvor gesperrt wird. Das Zertifikat hat grundsätzlich eine Gültigkeit von 3 Jahren.

Empfänger

Ihre Daten werden von der Deutsche Post AG als Auftragsverarbeiter im Rahmen des Identifikationsverfahrens verarbeitet und nicht an Dritte übermittelt.

Der Dienstleister  EVIDEN Germany GmbH mit Sitz in München als Auftragsverarbeiter erhält die Daten für die Zertifizierung über eine elektronische Schnittstelle übermittelt. Eine weitere Übermittlung an Dritte findet nicht statt.

Kontakt

Wir erheben personenbezogene Daten, wenn Sie uns diese im Rahmen einer Kontaktaufnahme mit uns (z. B. per Kontaktformular oder E-Mail) freiwillig mitteilen. Welche Daten erhoben werden, ist aus den jeweiligen Eingabeformularen ersichtlich. Wir verwenden die von Ihnen mitgeteilten Daten gemäß Art. 6 Abs. 1 lit b und f DS-GVO zur Vertragsabwicklung und Bearbeitung Ihrer Anfragen.

Speicherdauer

Daten, die im Rahmen einer Kontaktaufnahme erhoben wurden, werden gelöscht, wenn ihre Speicherung nicht mehr erforderlich ist.

Weitergabe an Dritte

Wir geben Ihre personenbezogenen Daten grundsätzlich nicht an Dritte weiter. Aufgrund gesetzlicher Vorgaben könnten wir jedoch im Ausnahmefall rechtlich dazu verpflichtet sein, Nutzerdaten der Besucher unserer Website an dritte Stellen herauszugeben (z. B. an Strafverfolgungsbehörden beim Verdacht der Begehung einer Straftat oder bei Missbrauch unserer Website).

Automatisierte Einzelentscheidungen oder Profiling gem. Art. 22 Abs. 1 und 4 DS-GVO führen wir nicht durch.

Speicherung personenbezogener Daten

Ihre Daten werden ausschließlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz gespeichert und verarbeitet.

Ihre Daten sowie die von Ihnen online abgespeicherten Daten werden in einem im hochsicheren Rechenzentrum der ITSG in Deutschland verarbeitet. Die Daten werden ebenfalls in einem separaten Ausfallrechenzentrum vorgehalten, um Störungen zu beseitigen. Die IT-Systeme werden von ITSG-Mitarbeitenden betrieben und überwacht. Zugang zu den oben genannten Rechenzentren der ITSG haben nur die Mitarbeitende der ITSG.

Unsere Dienstleister sind in unserem Auftrag und gemäß unseren Weisungen tätig. Diese Dienstleister werden verpflichtet, alle dem Stand der Technik entsprechenden Technischen und Organisatorischen Maßnahmen (Art. 32 DSGVO) zu ergreifen, um eine sichere und den datenschutzrechtlichen Bestimmungen entsprechende Datenverarbeitung sicherzustellen. Eine Weitergabe an Dritte oder die Verwendung der Daten für eigene Zwecke ist den Dienstleistern strengstens untersagt. Ihre Daten sowie die von Ihnen online abgespeicherten Daten werden im hochsicheren Rechenzentrum der EVIDEN Germany GmbH in Deutschland verarbeitet. Die Daten werden ebenfalls in einem separaten Ausfallrechenzentrum vorgehalten, um Störungen zu beseitigen.

Rechte der betroffenen Personen nach DSGVO

Ihre Rechte umfassen die unentgeltliche Auskunft über die bei uns zu Ihrer Person gespeicherten Daten, sowie das Recht auf Berichtigung oder Löschung, oder der Einschränkung der Verarbeitung, das Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit.

Falls keine steuer- und handelsrechtlichen Aufbewahrungsfristen bestehen, ist die Löschung Ihrer Daten jederzeit möglich. Sie können die Löschung oder Einschränkung entweder durch eine Nachricht an die unten beschriebene Kontaktmöglichkeit oder über eine dafür vorgesehene Funktion im jeweiligen Kundenkonto beantragen.

Sie haben ferner das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden

Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten sowie Widerruf erteilter Einwilligungen oder Widerspruch gegen eine bestimmte Datenverwendung wenden Sie sich bitte direkt an uns.

Kontaktdaten

Verantwortlich im Sinne der Art. 13 Nr. 1 lit. a und b und 14 Nr. 1 lit. a und b DSGVO ITSG GmbH,
vertreten durch den Geschäftsführer Stefan Haibach

Kaiserleistraße 10 – 16
63067 Offenbach
E-Mail: kontakt@itsg.de
Tel.: 069 8700358-0

Die Kontaktdaten unseres Datenschutzbeauftragten lauten

Der Datenschutzbeauftragte
ITSG GmbH
Kaiserleistraße 10 – 16
63067 Offenbach
E-Mail: datenschutz@itsg.de