Zentrale
Steinhauser Berg 4
42389 Wuppertal
Fon: +49 (0)202 27348 0

Geschäftsstelle Süd
Bahnhofweg 3
77975 Ringsheim
Fon: +49 (0)202 27348 30

Startseite > Datenschutz

Grundsätze „Datenschutz“

Datenschutzerklärung DSGVO 2020

eANV-Dienstleistungen „rund um die Signatur“

Allgemeinverständliche Basisinformation, für die juristisch relevante Datenschutzerklärung (PDF) bitte hier klicken : Datenschutzerklärung

1. Allgemeines

Die NFT Umweltdatensysteme GmbH hat sich –im Rahmen der fast 20-Jährigen Erfahrung mit Lösungen und Schnittstellenmanagement „zwischen Abfallbranche und IT“ in den vergangenen dreieinhalb Jahren systematisch auf das Thema eANV -und hier besonders den „technischen Part“ von Signaturkarten, Kartenlesern und allem was dazu gehört- vorbereitet.

Auch Ihr Unternehmen möchten wir gerne in dem von uns abgedeckten kleinen aber wichtigen Bereich bei der eANV-Einführung begleiten.

Unser Ansatz ist hier ein komplettes Outsourcing des Themas, so dass sowohl Ihre Technik als auch Ihr Vertrieb hier von einer detaillierten und zeitaufwändigen Einarbeitung in die Tiefen des Themas befreit ist, sondern sich im Gegenteil voll auf die eigentlichen Aufgaben, konzentrieren kann, nämlich Etablierung der Organisations- und IT-Prozesse einerseits und Bindung der Kunden durch umfangreiche Dienstleistungen andererseits. Wir sind dabei quasi ihre ausgelagerte „Fachabteilung Signatur“ in diesem für alle Beteiligten neuen Themenbereich.

Diese Information beschreibt einige Aspekte des komplexen Themas „Datenschutz“.

Wir freuen uns auf eine Zusammenarbeit mit Ihnen !

2. Datenschutz / Grundlagen

Der Begriff „Datenschutz“ wie er hier gemeint ist, beschreibt die Regeln, Prozesse uns Maßnahmen, die dem Schutz personenbezogener Daten dienen.

Im Registrierungs- und Managementprozess der Signaturkarten werden personenbezogene Daten verarbeitet von den Betroffenen Personen (Mitarbeiter, Karteninhaber).

Diese Verarbeitung erfolgt durch:

  • 1. Das Unternehmen (Auftraggeber)
  • 2. Die NFT als Registrierungsstelle
  • 3. Das Trustcenter
  • 4. Die NFT als Kartenmanagementstelle

Alle Verarbeitenden und speichernden Stellen sowie die Verarbeitung und Speicherung selbst unterliegen dem Bundesdatenschutzgesetz (BDSG), da es sich um personenbezogene Daten handelt.

Die Beteiligten sind entsprechend zu verpflichten.

3. Art der Daten

Für die Elektronische Signatur ist es im Verfahren wesentlich, daß eine eindeutige Zuordnung der „elektronischen Unterschrift“ –vergleichbar einem Siegel auf einem Dokument- zu einer natürlichen Person vorgenommen werden kann. Dies hat der Gesetzgeber im Signaturgesetz und der Signaturverordnung festgelegt.

Hierzu wird im Trustcenter die Zuordnung der natürlichen Person zu den Zertifikatsdaten gespeichert. Das Zertifikat selbst enthält lediglich

  • die eindeutige Zertifikatsnummer
  • den Namen und Vornamen des Inhabers
  • die Email-Adresse als Kontaktmerkmal

ZUGEORDNET sind aber die im Trustcenter gespeicherten Meldedaten des Inhabers, also

  • Name, Vornamen, Geburtsname, Geburtsdatum und -Ort, Meldeanschrift
  • Art, Nummer und Gültigkeit des Personaldokuments

Diese Daten dienen der Ein-Eindeutigen Identifikation der Signaturen im Streitfall bzw. bei Staatsanwaltlichen Ermittlungen / Richterlichem Beschluss.

Näheres zur Verarbeitung und Speicherdauer siehe auch 4.

4. Beteiligte Stellen und dort gespeicherte / verarbeitete Daten

Während des „Lebenszyklus“ einer Signaturkarte

  • Erstausgabe
  • Signaturbetrieb
  • Erneuerung
  • Auslaufen
  • Rechtskraft unterzeichneter Dokumente

haben im gewählten Verfahren verschiedene Stellen mit den personenbezogenen Daten zu tun. Diese werfen im Folgenden näher betrachtet.

Es gilt der datenschutzrechntliche Grundsatz daß immer nur die unbedingt notwendigen Daten gespeichert werden und auch nur solange wie nötig.

4.1. Das Unternehmen (Auftraggeber)

Durch die Auslagerung des Kartenmanagements lässt sich eine gute Trennung zwischen den persönlichen Daten des Inhabers und der Speicherung im Unternehmen erreichen.

Im Ausgabeprozess speichert und verarbeitet der Auftraggeber lediglich Daten wie

  • Name, Vorname
  • Abteilung
  • ggf. vorgesehenes Veranstaltungsdatum, Termin zur Identifikation
  • die Tatsache, was für eine Karte der Mitarbeiter erhalten soll

also Dinge, die ohnehin bei der Organisation jeder innerbetrieblichen Veranstaltung anfallen. Insbsondere werden keine besonders schützenswerten Daten verarbeitet. (Name, Vorname, Abteilung sind in jedem Betrieb innerbetrieblich „offene“ Daten)

Diese Daten werden an NFT als Registrierungsstelle übermittelt, NFT nimmt dann direkt Kontakt zum jeweiligen Mitarbeiter auf.

NACH der Kartenausgabe werden im Rahmen des Kartenmanagements an den Auftraggeber regemäßig die folgenden Daten übermittelt:

Name, Vorname, Abteilung, Zertifikatsnummer, Ausgegeben am, Gültg bis, Status

wobei „Status“ ein Merkmal wie aktiv, Störung, Neuaustellung, abgelaufen etc. ist.

Diese Daten sind nicht mehr als laufende Vertragsdaten wie sie z.B. auch bei Mobilfunkverträgen oder Dienstwagen erhoben werden. Nutzungsdaten sind nicht erfasst, dies ist auch überhaupt nicht möglich. Die Zertifikatsnummer ist ebenfalls zum „öffentlichen Teil“ der Daten gehörig.

4.2. Die NFT als Registrierungsstelle

Als Registrierungssstelle verarbeitet NFT die Personendaten (Meldedaten) jedes Antragstellers. Diese werden über ein Portal (mit SSL-Verschlüsselung also gesichert) erfasst und dann gesammelt an das Trustcenter übermittelt.

NFT ist im Rahmen der Regeln des Trustcenters (die wiederum von der Bundesnetzagentur geprüft werden) berechtigt, diese Daten zu verarbeiten solange der Registrierungsprozess läuft. Danach sind die Daten zu löschen – dies erfolgt auch wenn nicht gemäß 4.4. das Kartenmanagement die Daten zugunsten des Inhabers weiter vorhalten soll.

NFT untersteht im Registrierungsprozess den Kontrollen der Trustcenter, was Ausstattung, Personal etc. angeht und ist ensprechend zertifiziert.

4.3. Das Trustcenter

Das Trustcenter verarbeitet und speichert die Personen-und Zertifkatsdaten im Rahmen des Signaturgesetzes. Dort ist z.B. geregelt, daß

  • Zertifikatsdaten und die zugehörigen Identifikationsdaten 30 Jahre Lang aufzubewahren sind falls Unterschriften geprüft werden müssen)
  • Die Zuordnung bzw. Herausgabe der Personendaten (Meldedaten) nur auf richterliche Anordnung erfolgen darf.

Die Speicherung der Daten in dieser Form ist Grundlage, daß die Signatur funktioniert. Nutzungsdaten also z.B. erzeugte Signaturen o.ä. werden nicht gespeichert, es geht nur darum daß eine Stelle existiert, die geleistete Unterschriften verifizeren kann.

Würde z.B. ein Trustcenter den Betrieb aufgeben, werden übrigens die notwendigen Datenbstände zur Signaturprüfung der Bundesnetzagentur übergeben, damit die gesetzliche Aufgabe der Signaturprüfung weiterhin erfolgen kann. Auch dieses ist gesetztlich geregelt und Voraussetzung für ein Trustcenter, welches Qualifizierte Elektronische Signaturen ausstellen will.

4.4. Die NFT als Kartenmanagementstelle

NFT wird nach der Registrierung als Kartenmanagementstelle tätig.

Dies umfasst

  • Information über Zertifikatsstatus an den Nutzer und den Auftraggeber
  • Unterstützung bei Problemen und Erneuerungsvorgängen (Ersatzkarte etc.)
  • Hotlineleistungen in bestimmtem Umfang

Hierzu speichert NFT die Zertifikatsdaten im Rahmen des Auftrags mit dem Auftraggeber (siehe auch 4.1) und darüber hinaus –in Einzelvereinbarung mit dem jeweiligen Mitarbeiternormalerweise die Identifikationsdaten des Mitarbeiters.

Letzteres dient dazu, im Falle einer „Wiederbeauftragung/Verlängerung“ die Identifikation zu vereinfachen oder entbehrlich zu machen.

Der Mitarbeiter unterzeichnet beim Kartenantrag ein entsprechendes Formular indem dieser Speicherung zugestimmt wird. Dies ist eine Vereinbarung zwischen NFT und dem Karteninhaber. Die Personendaten werden nur dem Karteninhaber ausgehändigt, z.B. in Form eines Signaturkarten-Folgeantrages , nie dem Auftraggeber oder einem Dritten.

Widerspricht der Mitarbeiter der Speicherung, wird NFT die Daten nach der Registrierung löschen –dazu sind wir verpflichtet- , und nur die für die Auftragsabwickung notwendigen Informationen speichern.

Ein Kartenmnagement ist in beiden Fällen möglich, der Auftraggeber (4.1) sieht im Kartenmanagementsystem keinen Unterschied, noch nicht einmal die Tatsache des Widerspruchs ist dort sichtbar.

Wenn ein Mitarbeiter die Daten NICHT bei NFT speichern lässt, erhöht sich lediglich für ihn der Aufwand bei Wechselvorgängen und Kartentausch etc.

NFT arbeitet streng nach Datenschutzgesetz und beachtet alle technischen , personellen und Organisatorischen Bedingungen hierzu.

5. Zusammenfassung

Die Verarbeitung aller Daten im Signaturkartenprozess ist datenschutzrechtlich streng geregelt und daher unbedenklich.

Im Unternehmen werden nur die „Bestelldaten“ verarbeitet und auf dem Stand gehalten, NFT als Dienstleister ist einmal Registrierungsstelle im Trustcenterprozess und einmal Dienstleister individuell für den Karteninhaber – und unterliegt wie das Trustcenter strengen Kontrollen.

Das gesamte Management der darüber hinausgehenden persönlichen Daten belastet nicht Ihre IT oder Ihre Personalabteilung, sondern erfolgt durch den Dienstleister –in weiten Teilen des Prozesses ohnehin durch die Zugehörigkeit zum Sicherheitskonzept der Trustcenter ermächtigt, und darüber hinausgehend streng nach BDSG.

Ziel –und das ist uns wichtig- ist immer, dass der von uns beschriebene Bereich dabei

  • „Qualitativ hochwertig“, also
  • „Datensicher“
  • „Datengeschützt“
  • „Prozesssicher“
  • „Terminsicher“
  • „Nachhaltig“ und natürlich auch
  • „Wirtschaftlich“

abgedeckt wird, wir freuen uns, wenn wir dazu beitragen und hier Ihr Partner sein dürfen !

Dies war eine allgemeinverständliche Basisinformation, für die juristisch relevante Datenschutzerklärung (PDF) bitte hier klicken : Datenschutzerklärung DSGVO 2018

Anmelden


Kennworthilfe