Datenschutzhinweise

(Version: 1.5 (iOS) - Stand 14.12.2020)

1. AUTHADA Identifizierungsservice

Die AUTHADA GmbH (im Folgenden auch AUTHADA) erhebt im Rahmen der Identifizierung für ihre Auftraggeber (z.B. Finanzdienstleister) die hierzu erforderlichen persönlichen Daten der zu identifizierenden Person (Nutzer) aus dem Personalausweis (nPA) oder elektronischen Aufenthaltstitel (eAT). Die Identifizierung erfolgt nach §18 PAuswG und wird über ein mobiles und NFC-fähiges Endgerät mittels der AUTHADA App durchgeführt. Diesen Service erbringt die AUTHADA GmbH als Diensteanbieter im Sinne des §2 Abs. 3 PAuswG für Ihre Auftraggeber, damit diese gesetzlichen Anforderungen, z.B. aus dem Geldwäschegesetz erfüllen können oder um die Sicherheit der Identität der Nutzer zu erhöhen. Die AUTHADA GmbH führt diese Tätigkeiten als Auftragsverarbeiter gemäß Art. 28 ff EU-DSGVO nach den Weisungen ihrer Auftraggeber aus. Weiterhin bietet die AUTHADA GmbH dem Nutzer die Möglichkeit, die auf dem elektronischen Personalausweis hinterlegten Daten abzurufen und auf dem mobilen Endgerät darzustellen (Selbstauskunft).

2. Personenbezogene Daten

Personenbezogene Daten aus dem Ausweischip werden ausschließlich zum Zweck des elektronischen Identitätsnachweises im Umfang der erteilten Berechtigung nach Einwilligung des Nutzers mit der Eingabe seiner Ausweis-PIN übertragen. Bei der Selbstauskunft werden die Daten auf dem mobilen Endgerät dargestellt, aber dort nicht gespeichert. Eine Weiterverarbeitung erfolgt nicht.

3. Sicherheit

Die AUTHADA GmbH setzt dem Stand der Technik entsprechende technische und organisatorische Sicherheitsmaßnahmen ein, um den Identifizierungs-Service und die darin verarbeiteten personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Beispielsweise sind sämtliche Kommunikationskanäle zwischen dem Ausweischip und dem Auftraggeber der AUTHADA GmbH entsprechend dem Stand der Technik mit sicherheitstechnisch geeigneten Transport Layer Security (TLS) Mechanismen geschützt. Außerdem werden die eingesetzten Sicherheitsmaßnahmen entsprechend der technologischen Entwicklung fortlaufend überwacht und verbessert.

4. Protokolldaten

Die AUTHADA App nutzt das Analyse-Tool Matomo, um Fehler frühzeitig zu erkennen und die App ständig zu verbessern. Darüber hinaus unterstützt das Tool dabei, das Nutzer-Verhalten in der App nachzuvollziehen, indem es Nutzungsberichte anonymisiert anfertigt. Diese Daten werden auf dem Server der AUTHADA GmbH in Deutschland gespeichert. Das Analyse-Tool ist so konfiguriert, dass lediglich Daten zur Nutzung der AUTHADA App, zum genutzten Endgerät und dessen Standort gesammelt werden. Die Daten werden so anonymisiert (IP-Adresse), dass kein Rückschluss auf eine Person vorgenommen werden kann. Nach sechs Monaten werden diese Daten automatisch gelöscht.

Der Nutzer hat über ein Opt-Out die Möglichkeit, das Analyse-Verfahren abzuschalten.

5. Identifizierungsprozess

Der Nutzer des AUTHADA Identifizierungs-Service setzt ein kompatibles mobiles Endgerät ein (z.B. sein Smartphone oder sein Tablet), um mit Hilfe der NFC-Schnittstelle das Ausweisdokument (nPA/eAT) auszulesen. Im Folgenden wird der Identifizierungsprozess mit den entsprechenden Schritten und der dazugehörigen Datenverarbeitung erläutert:

  • Der Nutzer wird auf der Webseite des Auftraggebers der AUTHADA GmbH auf die Option der Identifizierung durch die AUTHADA GmbH hingewiesen.
  • Der Nutzer startet den Identifizierungsprozess. Im Rahmen dieses Prozesses werden sowohl die PIN des Personalausweises (nPA/eAT) als auch per NFC-Funktion die Daten des Personalausweises (nPA/eAT) erfasst.
  • Der Nutzer gibt die Erhebung der Daten für die Übermittlung zum Auftraggeber der AUTHADA GmbH und den genannten Zweck frei.
  • Sobald die Daten ausgelesen und versendet wurden, wird dem Nutzer eine TAN-Nummer angezeigt, die er auf der Webseite des Auftraggebers in ein dafür vorgesehenes Feld eingeben muss.
  • Die Identifizierung ist damit abgeschlossen. Die ausgelesenen Daten werden direkt an den Auftraggeber der AUTHADA GmbH weitergeleitet.

Sämtliche durch die AUTHADA erhobenen Daten werden ausschließlich eingesetzt, um den Nutzer zu identifizieren, sowie um die ordnungsgemäße Verarbeitung der Daten zu prüfen. Während jedes Identifizierungsprozesses gibt der Nutzer die Daten frei, welche an den Auftraggeber übermittelt werden. Eine über die Reichweite der gesetzlichen Erlaubnistatbestände hinausgehende Verarbeitung der personenbezogenen Daten des Nutzers erfolgt nicht.

6. Support-Service und Incident Management

Der Nutzer kann sich bei Fragen zu dem AUTHADA Identifizierungsservice per E-Mail an support@authada.de an AUTHADA GmbH wenden. Zur Bearbeitung dieser Anfragen verwendet AUTHADA GmbH die Helpdesk Software von weclapp SE, Neue Mainzer Straße 66 – 68, 60311 Frankfurt am Main. weclapp SE lässt seine Daten im Rechenzentrum 1 & 1 IONOS Cloud GmbH, Greifswalder Straße 207, 10405 Berlin hosten.

Personenbezogene Daten, die AUTHADA auf diese Weise erhebt, können sein:

  • E-Mailadresse bei Anfrage des Nutzers per E-Mail
  • Sämtliche in der E-Mail enthaltene personenbezogene Daten

Bei einer Support-Anfrage werden die Daten auf den Systemen der weclapp SE gespeichert. Personenbezogene Daten werden nur für die Beantwortung der jeweiligen Anfrage verwendet. Die Inhalte der Support Anfrage werden zur Verbesserung des AUTHADA Identifizierungsservice gespeichert und verwendet. Die Verarbeitung dieser Daten bei der AUTHADA GmbH ergibt sich aus Art. 6 Abs. 1 lit. a DS-GVO sowie Art. 6 Abs. 1 lit. f DS-GVO.

Die personenbezogenen Daten der jeweiligen Support-Anfrage werden nach 6 Monaten automatisch gelöscht.

7. Aufbewahrung und Nutzung

Die Daten, die durch den Identifizierungs-Service erhoben werden, werden an den Auftraggeber übermittelt und direkt nach der Übermittlung von den Servern der AUTHADA GmbH gelöscht. Die Speicherung und Verarbeitung dieser Daten beim Auftraggeber ergibt sich aus den für sie anwendbaren gesetzlichen Anforderungen (z.B.: Geldwäschegesetz) und ist in den entsprechenden Datenschutzerklärungen der Auftraggeber beschrieben.

Bei der Selbstauskunft werden die Daten lediglich auf dem mobilen Endgerät dargestellt, aber nicht gespeichert. Eine Weiterverarbeitung erfolgt nicht. Die Verarbeitung dieser Daten bei der AUTHADA GmbH ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO.

Die Daten der Analyse-Tools Sentry und Matomo werden nach sechs Monaten automatisch gelöscht.

Die personenbezogenen Daten der jeweiligen Support-Anfragen werden nach 6 Monaten automatisch gelöscht.

8. Betroffenenrechte

a) Auskunfts- und Bestätigungsrecht
Sie haben das Recht, jederzeit von uns unentgeltliche Auskunft sowie Bestätigung über die zu Ihrer Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten.

b) Berichtigungsrecht
Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht Ihnen das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

c) Löschungsrechte
Sie haben das Recht, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:

  • Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
  • Sie widerrufen ihre Einwilligung, auf die sich die Verarbeitung stützte und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Sie legen gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem AUTHADA unterliegt.

d) Recht auf Einschränkung der Verarbeitung
Sie haben das Recht die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
  • Die Verarbeitung ist unrechtmäßig, Sie lehnen die Löschung der personenbezogenen Daten ab und verlangen stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
  • AUTHADA benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Sie haben Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob AUTHADAs berechtigte Gründe gegenüber Ihren überwiegen.

e) Widerspruchsrechte gegen die Verarbeitung
Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgt, Widerspruch einzulegen.
AUTHADA verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, AUTHADA kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke von Direktwerbung einzulegen.

f) Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, welche AUTHADA bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch AUTHADA zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO oder Art. 9 Abs. 2 lit. a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner haben Sie bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

g) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Sie haben das Recht die Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.

h) Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht sich jederzeit an eine Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsortes oder Arbeitsplatzes oder des mutmaßlichen Verstoßes zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.

9. Datenschutzbeauftragter

Mario Arndt
DeuDat GmbH
Zehntenhofstr. 5b
65201 Wiesbaden

E-Mail: datenschutz@authada.de

Unseren Datenschutzbeauftragten erreichen Sie unter der o.g. Post- oder E-Mail-Adresse.

10. Zuständige Datenschutzbehörde

Sie haben die Möglichkeit, sich an den o.g. genannten Datenschutzbeauftragten oder an eine Datenschutzaufsichtsbehörde zu wenden. Die für uns zuständige Datenschutzaufsichtsbehörde ist:

Der Hessische Datenschutzbeauftragte
Postfach 31 63
65021 Wiesbaden
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Tel. 0611/1408-0
Fax 0611/1408-611