Datenschutzhinweise Sign

Datenschutzhinweise 

(Version: 1.1 (sign) – Stand 31.01.2022) 

1. AUTHADA sign

AUTHADA sign ermöglicht dem Nutzer, PDF-Dokumente unter Verwendung einer qualifizierten elektronischen Signatur („QES“) digital zu signieren. Die AUTHADA GmbH (im Folgenden auch AUTHADA) erhebt im Rahmen der dafür erforderlichen Identifizierung für ihre Auftraggeber (z.B. Signaturdienstleister) die hierzu erforderlichen persönlichen Daten der zu identifizierenden Person (Nutzer) aus dem Personalausweis (nPA), elektronischen Aufenthaltstitel (eAT) oder Unionsbürgerkarte (eID-Karte) (im Folgenden gemeinsam auch eID-Ausweise). Die Identifizierung erfolgt nach §18 PAuswG und wird über ein mobiles und NFC-fähiges Endgerät mittels der AUTHADA App durchgeführt. Diesen Service erbringt die AUTHADA GmbH als Diensteanbieter im Sinne des §2 Abs. 3 PAuswG für Ihre Auftraggeber, damit diese gesetzlichen Anforderungen, z.B. aus dem Geldwäschegesetz erfüllen können oder um die Sicherheit der Identität der Nutzer zu erhöhen. Die AUTHADA GmbH führt diese Tätigkeiten als Auftragsverarbeiter gemäß Art. 28 ff EU-DSGVO nach den Weisungen ihrer Auftraggeber aus. Weiterhin bietet die AUTHADA GmbH dem Nutzer die Möglichkeit, die auf dem elektronischen Personalausweis, eAT oder eID-Karte hinterlegten Daten abzurufen und auf dem mobilen Endgerät darzustellen (Selbstauskunft). 

2. Personenbezogene Daten

Personenbezogene Daten aus dem Ausweis-Chip werden ausschließlich zum Zweck des elektronischen Identitätsnachweises im Umfang der erteilten Berechtigung nach Einwilligung des Nutzers mit der Eingabe seiner Ausweis-PIN übertragen. Personenbezogene Daten aus den zu unterzeichnenden Dokumenten oder für die Erstellung einer QES werden ausschließlich zum Zweck der Erzeugung einer QES und dem entsprechenden Unterzeichnen der Dokumente verarbeitet. Bei der Selbstauskunft werden die Daten auf dem mobilen Endgerät dargestellt, aber dort nicht gespeichert. Eine Weiterverarbeitung erfolgt nicht. 

3. Sicherheit

Die AUTHADA GmbH setzt dem Stand der Technik entsprechende technische und organisatorische Sicherheitsmaßnahmen ein, um AUTHADA sign sowie den Identifizierungsservice und die darin verarbeiteten personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Beispielsweise sind sämtliche Kommunikationskanäle zwischen dem Ausweischip und dem Auftraggeber der AUTHADA GmbH entsprechend dem Stand der Technik mit sicherheitstechnisch geeigneten Transport Layer Security (TLS) Mechanismen geschützt. Außerdem werden die eingesetzten Sicherheitsmaßnahmen entsprechend der technologischen Entwicklung fortlaufend überwacht und verbessert. 

4. Protokolldaten

Die AUTHADA sign Webapp nutzt das Analyse-Tool Matomo, um Fehler frühzeitig zu erkennen und die App ständig zu verbessern. Darüber hinaus unterstützt das Tool dabei, das Nutzer-Verhalten in der AUTHADA sign Webapp nachzuvollziehen, indem es Nutzungsberichte anonymisiert anfertigt. Diese Daten werden auf dem Server der AUTHADA GmbH in Deutschland gespeichert. Das Analyse-Tool ist so konfiguriert, dass lediglich Daten zur Nutzung der AUTHADA Webapp, zum genutzten Endgerät gesammelt werden. Die Daten werden so anonymisiert (IP-Adresse), dass kein Rückschluss auf eine Person vorgenommen werden kann. Nach sechs Monaten werden diese Daten automatisch gelöscht. 

Die AUTHADA sign Webapp nutzt das Analyse-Tool Sentry, um ein mögliches Fehlverhalten der Webapp auswerten zu können. Nach einem Fehlverhalten wird ein Report erstellt, der die betroffenen Codestellen und die Geräteinformationen an AUTHADA versendet. Diese Daten werden auf dem Server der AUTHADA GmbH in Deutschland gespeichert. Die Daten werden so anonymisiert (IP-Adresse), dass kein Rückschluss auf eine Person vorgenommen werden kann. Nach sechs Monaten werden diese Daten automatisch gelöscht. 

5. Signaturerstellungsprozess

Der Nutzer von AUTHADA sign setzt ein kompatibles mobiles Endgerät ein (z.B. sein Smartphone oder sein Tablet), um mit Hilfe der NFC-Schnittstelle das Ausweisdokument (nPA/eAT/eID-Karte) auszulesen. Im Folgenden wird AUTHADA sign mit den entsprechenden Schritten und der dazugehörigen Datenverarbeitung erläutert: 

Der Nutzer wird auf der Webseite des Auftraggebers der AUTHADA GmbH auf die Option der Unterzeichnung mit AUTHADA sign hingewiesen. 

Der Nutzer führt nun den Identifizierungsprozess gemäß Ziffer 6 durch.  

Der Nutzer wird anschließend aufgefordert, seine Mobilfunknummer und E-Mail-Adresse in das dafür vorgesehene Feld einzugeben oder diese zu überprüfen, sollten die Informationen bereits im ersten Schritt an AUTHADA übermittelt worden sein.   

Der Nutzer wird aufgefordert, die geltenden Nutzungsbedingungen des Signaturpartners (InfoCert) zu akzeptieren und zu bestätigen, dass er den Vertrag jetzt elektronisch unterzeichnen möchte und für ihn ein individuelles, rechtsgültiges (gem. Art. 24 (1) eIDAS-VO in Verbindung mit §§ 126, 126 a BGB) Zertifikat erstellt wird sowie dass er den Vertrag rechtsverbindlich unterzeichnen möchte.  

Der Nutzer erhält im nächsten Schritt die Möglichkeit, die zu signierenden Dokumente anzusehen. Der Nutzer muss nun die Unterschriften, die in den einzelnen Dokumenten geleistet werden sollen, einzeln per Checkbox akzeptieren.   

Daraufhin erhält der Nutzer ein One Time Password (OTP) per SMS auf die von ihm angegebene Nummer. Das OTP muss in das dafür vorgesehene Feld eingetragen werden. Anschließend muss der Vorgang vom Nutzer bestätigt werden. Nach erfolgreicher Prüfung des OTP wird die QES auf die zu signierenden Dokumente aufgebracht.  

Anschließend kann der Auftraggeber das Ergebnis unter Angabe des Ergebnistokens beim Sign-Service abrufen. Das Ergebnis einer Signatur bzw. der Identifizierung wird nicht von AUTHADA gespeichert, sondern nach dem erfolgreichen Abruf durch den Auftraggeber bzw. nach Ablauf einer festgelegten Zeitdauer vom Sign-Service gelöscht. 

Der AUTHADA sign Prozess ist damit abgeschlossen. Die ausgelesenen Daten werden direkt an den Auftraggeber der AUTHADA GmbH weitergeleitet. 

Schließlich werden die signierten Dokumente inklusive der Nutzungsbedingungen des Signaturpartners dem Nutzer vom Auftraggeber zum Download angeboten oder z.B. per Mail zugesendet.  

Sämtliche durch die AUTHADA erhobenen personenbezogenen Daten werden ausschließlich eingesetzt, um den Nutzer zu identifizieren, die QES auf das zu unterzeichnende Dokument aufzubringen sowie um die ordnungsgemäße Verarbeitung der Daten zu prüfen. Während jedes AUTHADA sign Prozesses gibt der Nutzer die Daten frei, welche an den Auftraggeber übermittelt werden. Eine über die Reichweite der gesetzlichen Erlaubnistatbestände hinausgehende Verarbeitung der personenbezogenen Daten des Nutzers erfolgt nicht.  

6. Identifizierungsprozess

Der Nutzer des AUTHADA Identifizierungsservice setzt ein kompatibles mobiles Endgerät ein (z.B. sein Smartphone oder sein Tablet), um mit Hilfe der NFC-Schnittstelle das Ausweisdokument (nPA/eAT/eID-Karte) auszulesen. Im Folgenden wird der Identifizierungsprozess mit den entsprechenden Schritten und der dazugehörigen Datenverarbeitung erläutert: 

Der Nutzer wird auf der Webseite des Auftraggebers der AUTHADA GmbH auf die Option der Identifizierung durch die AUTHADA GmbH hingewiesen. 

Der Nutzer startet den Identifizierungsprozess. Im Rahmen dieses Prozesses werden sowohl die PIN des Personalausweises (nPA/eAT/eID-Karte) als auch per NFC-Funktion die Daten des Personalausweises (nPA/eAT/eID-Karte) erfasst. 

Der Nutzer gibt die Erhebung der Daten für die Übermittlung zum Auftraggeber der AUTHADA GmbH und den genannten Zweck frei. 

Sobald die Daten ausgelesen und versendet wurden, wird dem Nutzer eine TAN Nummer angezeigt, die er auf der Webseite des Auftraggebers in ein dafür vorgesehenes Feld eingeben muss. 

Die Identifizierung ist damit abgeschlossen. Die ausgelesenen Daten werden direkt an den Auftraggeber der AUTHADA GmbH weitergeleitet. 

Sämtliche durch die AUTHADA erhobenen Daten werden ausschließlich eingesetzt, um den Nutzer zu identifizieren, sowie um die ordnungsgemäße Verarbeitung der Daten zu prüfen. Während jedes Identifizierungsprozesses gibt der Nutzer die Daten frei, welche an den Auftraggeber übermittelt werden. Eine über die Reichweite der gesetzlichen Erlaubnistatbestände hinausgehende Verarbeitung der personenbezogenen Daten des Nutzers erfolgt nicht. 

7. Support-Service und Incident Management

Der Nutzer kann sich bei Fragen zu dem AUTHADA Identifizierungsservice per E-Mail an support@authada.de an AUTHADA GmbH wenden. Zur Bearbeitung dieser Anfragen verwendet AUTHADA GmbH die Helpdesk Software von weclapp SE, Neue Mainzer Straße 66 – 68, 60311 Frankfurt am Main. weclapp SE lässt seine Daten im Rechenzentrum 1 & 1 IONOS Cloud GmbH, Greifswalder Straße 207, 10405 Berlin hosten. 

Personenbezogene Daten, die AUTHADA auf diese Weise erhebt, können sein: 

E-Mailadresse bei Anfrage des Nutzers per E-Mail 

Sämtliche in der E-Mail enthaltene personenbezogene Daten 

Bei einer Support-Anfrage werden die Daten auf den Systemen der weclapp SE gespeichert. Personenbezogene Daten werden nur für die Beantwortung der jeweiligen Anfrage verwendet. Die Inhalte der Support Anfrage werden zur Verbesserung des AUTHADA Identifizierungsservice gespeichert und verwendet. Die Verarbeitung dieser Daten bei der AUTHADA GmbH ergibt sich aus Art. 6 Abs. 1 lit. a DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. 

Die personenbezogenen Daten der jeweiligen Support-Anfrage werden nach 6 Monaten automatisch gelöscht. 

8. Aufbewahrung und Nutzung

Die Daten, die durch den Identifizierungsservice sowie im Rahmen von AUTHADA sign erhoben werden, werden an den jeweiligen Auftraggeber übermittelt und direkt nach der Übermittlung von den Servern der AUTHADA GmbH gelöscht. Die Speicherung und Verarbeitung dieser Daten beim Auftraggeber ergibt sich aus den für sie anwendbaren gesetzlichen Anforderungen (z.B.: Geldwäschegesetz) und ist in den entsprechenden Datenschutzerklärungen der Auftraggeber beschrieben. 

Bei der Selbstauskunft werden die Daten lediglich auf dem mobilen Endgerät dargestellt, aber nicht gespeichert. Eine Weiterverarbeitung erfolgt nicht. Die Verarbeitung dieser Daten bei der AUTHADA GmbH ergibt sich aus Art. 6 Abs. 1 lit. b DSGVO. 

Die Daten des Analyse-Tools Matomo werden nach sechs Monaten automatisch gelöscht. 

Die personenbezogenen Daten der jeweiligen Support-Anfragen werden nach 6 Monaten automatisch gelöscht. 

9. Betroffenenrechte

a) Auskunfts- und Bestätigungsrecht
Sie haben das Recht, jederzeit von uns Auskunft sowie Bestätigung über die zu Ihrer Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten.

b) Berichtigungsrecht
Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht Ihnen das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

c) Löschungsrechte
Sie haben das Recht, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:

Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind. 

Sie widerrufen ihre Einwilligung, auf die sich die Verarbeitung stützte und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. 

Sie legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein. 

Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. 

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem AUTHADA unterliegt. 

d) Recht auf Einschränkung der Verarbeitung
Sie haben das Recht die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

Die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen. 

Die Verarbeitung ist unrechtmäßig, Sie lehnen die Löschung der personenbezogenen Daten ab und verlangen stattdessen die Einschränkung der Nutzung der personenbezogenen Daten. 

AUTHADA benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Sie haben Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DSGVO eingelegt und es steht noch nicht fest, ob AUTHADAs berechtigte Gründe gegenüber Ihren überwiegen. 

e) Widerspruchsrechte gegen die Verarbeitung
Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
AUTHADA verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, AUTHADA kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke von Direktwerbung einzulegen. 

f) Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, welche AUTHADA bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch AUTHADA zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner haben Sie bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DSGVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. 

g) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Sie haben das Recht die Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.

h) Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht sich jederzeit an eine Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsortes oder Arbeitsplatzes oder des mutmaßlichen Verstoßes zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.

10. Datenschutzbeauftragter

DeuDat GmbH
Zehntenhofstr. 5b
65201 Wiesbaden 

E-Mail: datenschutz@authada.de 

Unseren Datenschutzbeauftragten erreichen Sie unter der o.g. Post- oder E-Mail-Adresse. 

11. Zuständige Datenschutzbehörde

Sie haben die Möglichkeit, sich an den o.g. genannten Datenschutzbeauftragten oder an eine Datenschutzaufsichtsbehörde zu wenden. Die für uns zuständige Datenschutzaufsichtsbehörde ist: 

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Tel. 0611/1408-0
Fax 0611/1408-611