AUTHADA GmbH
Julius-Reiber-Straße 15A
64293 Darmstadt

Darmstadt District Court
TRB 94377
VAT ID DE815570916
Managing Director: Andreas Plies

1. AUTHADA Identifizierungs-Service

Die AUTHADA GmbH erhebt im Rahmen der Identifizierung für Ihre Auftraggeber (z.B. Finanzdienstleister) die hierzu erforderlichen persönlichen Daten der zu identifizierenden Person (Nutzer) aus dem Personalausweis (nPA) oder elektronischen Aufenthaltstitel (eAT). Die Identifizierung erfolgt nach §18 PAuswG und wird über ein mobiles und NFC-fähiges Endgerät mittels der AUTHADA App durchgeführt. Diesen Service erbringt die AUTHADA GmbH als Diensteanbieter im Sinne des §2 Abs. 3 PAuswG für Ihre Auftraggeber, damit diese gesetzliche Anforderungen, z.B. aus dem Geldwäschegesetz erfüllen können oder um die Sicherheit der Identität der Nutzer zu erhöhen. Die AUTHADA GmbH führt diese Tätigkeiten als Auftragsdatenverarbeiter gemäß Art. 28 ff EU-DSGVO nach den Weisungen ihrer Auftraggeber aus.

2. Personal data

Personenbezogene Daten aus dem Ausweischip werden ausschließlich zum Zweck des elektronischen Identitätsnachweises im Umfang der erteilten Berechtigung nach Einwilligung des Nutzers mit der Eingabe seiner Ausweis-PIN übertragen.

 

3. Security

Die AUTHADA GmbH setzt dem Stand der Technik entprechende technische und organisatorische Sicherheitsmaßnahmen ein, um den Identifizierungs-Service und die darin verarbeiteten personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Beispielsweise sind sämtliche Kommunikationskanäle zwischen dem Ausweischip und dem Auftraggeber der AUTHADA GmbH entsprechend dem Stand der Technik mit sicherheitstechnisch geeigneten Transport Layer Security (TLS) Mechanismen geschützt. Außerdem werden die eingesetzten Sicherheitsmaßnahmen entsprechend der technologischen Entwicklung fortlaufend überwacht und verbessert.

4. Logging data

Die AUTHADA App nutzt das Analyse-Tool Matomo, um Fehler frühzeitig zu erkennen und die App ständig zu verbessern. Darüber hinaus unterstützt das Tool dabei, das Nutzer-Verhalten in der App nachzuvollziehen, indem es Nutzungsberichte anonymisiert anfertigt. Diese Daten werden auf dem Server der AUTHADA GmbH in Deutschland gespeichert. Das Analyse-Tool ist so konfiguriert, dass lediglich Daten zur Nutzung der AUTHADA App, zum genutzten Endgerät und dessen Standort gesammelt werden. Die Daten werden so anonymisiert (IP-Adresse), dass kein Rückschluss auf eine Person vorgenommen werden kann. Nach drei Monaten werden diese Daten automatisch gelöscht.

Mit der weiteren Nutzung unserer App stimmen die Nutzer diesem Analyse-Verfahren zu.

Die AUTHADA App nutzt das Analyse-Tool Sentry, um ein mögliches Fehlverhalten der App auswerten zu können. Nach einem Fehlverhalten wird ein Report erstellt, der die betroffenen Codestellen und die Geräteinformationen an AUTHADA versendet. Diese Daten werden auf dem Server der AUTHADA GmbH in Deutschland gespeichert. Die Daten werden so anonymisiert (IP-Adresse), dass kein Rückschluss auf eine Person vorgenommen werden kann. Nach drei Monaten werden diese Daten automatisch gelöscht.

Mit der weiteren Nutzung unserer App stimmen die Nutzer diesem Analyse-Verfahren zu.

5. identification process

The user of the AUTHADA Identification Service uses a compatible mobile device (e.g. his smartphone or tablet) to read the identification document (nPA/eAT) with the help of the NFC interface. The identification process with the corresponding steps and the associated data processing works as follows:

Der Identifizierungsprozess ist folgendermaßen aufgebaut:

  • On the website of the client of AUTHADA GmbH, the user is made aware of the option of identification by AUTHADA GmbH.
  • Der Nutzer startet den Identifizierungsprozess. Im Rahmen dieses Prozesses werden sowohl der Pin des Personalausweises (nPA/eAT) als auch per NFC-Funktion die Daten des Personalausweises (nPA/eAT) erfasst.
  • The user authorizes the collection of the data for transmission to the client of AUTHADA GmbH and for the stated purpose.
  • As soon as the data has been extracted and sent, the user is shown a TAN number, which he must enter in a designated field on the client's website.
  • The identification is now complete. The extracted data will be forwarded directly to the client of AUTHADA GmbH.

 

All data collected by AUTHADA is used exclusively to identify the user, as well as to check the proper processing of the data. During each identification process, the user authorizes the data, which will be transmitted to the client. A processing of the user's personal data beyond the scope of the legally permitted activities does not take place.

6. Storage and usage

The data obtained by the identification service is transmitted to the client and deleted from the servers of AUTHADA GmbH immediately after transmission. The storage and processing of this data by the client arises from the legal requirements applicable to it (e.g.: Money Laundering Act) and is described in the corresponding data protection policies of the client.

Die Daten der Analyse-Tools Sentry und Matomo werden nach 3 Monaten automatisch gelöscht.

7. Rights of data subjects

(a) Right of information and confirmation
You have the right to receive free information and confirmation of the personal data stored about you and a copy of this information at any time.

(b) Right of rectification
You have the right to demand the immediate correction of incorrect personal data concerning you. You also have the right to request the completion of incomplete personal data, including by means of a supplementary declaration, taking into account the purposes of the processing..

c) Deletion rights
You have the right to obtain the immediate deletion of personal data relating to you if one of the following reasons applies and provided that the processing is not necessary

  • the personal data have been collected or otherwise processed for purposes for which they are no longer necessary
  • you withdraw the consent on which the processing was based and there is no other legal basis for the processing.
  • you object to the processing in accordance with Article 21para 1 GDPR and there are no overriding legitimate reasons for processing, or you object to the processing in accordance with Article 21 para 2 GDPR.
  • the personal data were processed unlawfully.

The deletion of the personal data is necessary to comply with a legal obligation under European Union law or the law of the Member States to which AUTHADA is subject.

(d) Right to limit processing
You have the right to request the limitation of the processing if one of the following conditions is met:

  • You contest the accuracy of the personal data, for a period of time that allows us to verify the accuracy of the personal data
  • The processing is unlawful, you object to the deletion of the personal data and instead demand the limitation of the use of the personal data.
  • AUTHADA no longer needs the personal data for the purposes of processing, but you need the personal data to assert, exercise or defend legal claims.
  • You have lodged an objection to the processing in accordance with Art. 21 para. 1 GDPR and it is not yet clear whether AUTHADA's legitimate reasons outweigh yours.

e) Right to object to the processing
Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DS-GVO erfolgt, Widerspruch einzulegen.
In the event of an objection, AUTHADA will no longer process the personal data, unless AUTHADA can prove compelling reasons for processing worthy of protection that outweigh your interests, rights, and freedoms, or the processing serves to assert, exercise, or defend legal claims.
You have the right to object at any time to the processing of personal data for the purpose of direct marketing.

(f) Right to data portability
Sie haben das Recht, die sie betreffenden personenbezogenen Daten, welche AUTHADA bereitgestellt wurden, in einem strukturierten, gängigem und maschinenlesbarem Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch AUTHADA, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Furthermore, when exercising your right to data transfer pursuant to Art. 20 para 1 GDPR, you have the right to request that personal data be transferred directly from one controller to another controller, insofar as this is technically feasible and provided that the rights and freedoms of other persons are not affected.

g) Right to withdraw data protection consent
You have the right to withdraw your consent to the processing of personal data at any time.

(h) Right of appeal to the supervisory authority
Sie haben das Recht sich jederzeit an eine Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsortes oder Arbeitsplatzes oder des mutmaßlichen Verstoßes zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die EU-Datenschutzgrundverordnung verstößt.

8. Data Protection Officer

Mario Arndt
DeuDat GmbH
Zehntenhofstr. 5b
65201 Wiesbaden

Email:  datenschutz@authada.de

Unseren Datenschutzbeauftragten erreichen Sie unter der o.g. Adresse oder unter der E-Mail-Adresse.

9. Competent Data Protection Authority

Sie haben die Möglichkeit, sich an den in Abschnitt 7 genannten Datenschutzbeauftragten oder an eine Datenschutzaufsichtsbehörde zu wenden. Die für uns zuständige Datenschutzaufsichtsbehörde ist:

The Hessian Commissioner for Data Protection and Freedom of Information

Postfach 31 63
65021 Wiesbaden
Gustav-Stresemann-Ring 1
65189 Wiesbaden

Tel. 0611/1408-0
Fax 0611/1408-611