Datenschutzinformationen für die Trusted German Insurance Cloud (TGIC)

GDV DL

DATENSCHUTZINFORMATIONEN TGIC

Datenschutzinformationen

Datenschutzinformationen für die Trusted German Insurance Cloud (TGIC)

1 Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung im Sinne von Art. 4 Ziffer 2 EU Datenschutz-Grundverordnung („DSGVO“) von personenbezogenen Daten im Rahmen der Registrierung und Nutzung eines TGIC Benutzerkontos der GDV Dienstleistungs-GmbH. Ihre personenbezogenen Daten werden grundsätzlich nur zur Registrierung eines persönlichen TGIC Benutzerkontos sowie zur Anmeldung bei den von Ihnen genutzten TGIC kompatiblen Services genutzt, welche die TGIC Authentisierung benutzen.

2 Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Ziffer 7 DSGVO für die TGIC ist:

GDV Dienstleistungs-GmbH
Frankenstraße 18
20097 Hamburg
Telefon: 040 33449-0
E-Mail: info[at]gdv-dl.de

3 Informationspflichten zur Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet personenbezogene Daten generell nur, soweit dies durch die DSGVO oder eine andere Rechtsvorschrift erlaubt oder anordnet wird, oder Sie als Nutzer ausdrücklich eine entsprechende Einwilligungserklärung abgegeben haben.

Keine Verpflichtung zur Bereitstellung
Es besteht weder eine vertragliche noch gesetzliche Pflicht zur Bereitstellung von personenbezogenen Daten.

Folgen der Nichtbereitstellung
Für personenbezogene Daten, die für die Bereitstellung unseres Dienstes erforderlich sind (Daten, die bei der Eingabe als Pflichtangaben gekennzeichnet sind), hat die Nichtbereitstellung zur Folge, dass die TGIC-Authentisierung nicht erbracht werden kann und Sie die TGIC-Authentisierung, sowie die gegebenenfalls hinter der TGIC-Authentisierung von ihrem Dienstanbieter stehenden Dienste, nicht nutzen können.

Einwilligung
Sofern Sie im Rahmen der Registrierung zur TGIC und deren Nutzung eine Einwilligungserklärung zur Verarbeitung Ihrer personenbezogenen Daten abgegeben haben, wurden Sie mit der Abgabe einer etwaig erforderlichen Einwilligungserklärung gesondert über alle Modalitäten und die Reichweite der Einwilligung und über die Zwecke, die mit diesen Verarbeitungen verfolgt werden, informiert.

Speicherdauer
Der Verantwortliche speichert Ihre personenbezogenen Daten nicht länger, als es für die jeweiligen Verarbeitungszwecke nötig ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren befristete Aufbewahrung ist weiterhin notwendig. Gründe für eine erforderliche befristete Aufbewahrung können

  • die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten oder
  • das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen im Rahmen der gesetzlichen Verjährungsvorschriften sein.

Es ist darüber hinaus möglich, Ihre Daten weiter bei uns zu speichern, wenn Sie uns hierfür ausdrücklich Ihre Einwilligung erteilt haben.

3.1 Kategorien der verarbeiteten Daten

Im Rahmend der Nutzung der TGIC werden folgende Datenkategorien verarbeitet:

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

3.2 Verarbeitungszwecke

Die Verarbeitung erfolgt für die Erstellung eines Benutzerkontos für die TGIC-Authentisierung und die damit verbundene Rollen- und Rechtevergabe sowie die Mandantentrennung. Eine zentrale Hauptkomponente der TGIC ist das “Insurance Trust Center (ITC)” in dem die Prinzipien eines Trust Centers implementiert sind.

Eines dieser Prinzipien lautet:

„Eine natürliche Person erhält eine sichere, eindeutige (unique) digitale Identität.“

Vor diesem Hintergrund werden Ihre personenbezogenen Daten zum Zweck der Erstellung einer eindeutigen (unique) digitalen Identität und somit zur Authentisierung als zulässiger Nutzer der TGIC verarbeitet.

Für die Zertifizierung sind nachzuweisen:

  • Betrieb der TGIC gemäß Anforderungen der ISO27001 auf Basis des BSI IT-Grundschutzes;
  • Implementierung der TGIC nach Common Criteria for Information Technology Security Evaluation (Common Criteria oder CC) und
  • Nachweis der Einhaltung des Datenschutzes.

Beim Nachweis nach Common Criteria werden auch die Konzepte und deren Umsetzung bei der Implementierung geprüft. Die IT-Sicherheit wird bei der Entwicklung der Konzepte auf Basis des „Stand der Technik“ überwacht (z. B. 2-Faktor-Authentisierung, Verschlüsselung).

Die Erstellung einer eindeutigen (unique) digitalen Identität im “Insurance Trust Center (ITC)” erfordert eine eindeutige Identifizierbarkeit Ihrer Person, um den Zertifizierungsanforderungen gerecht zu werden. Dies bedingt, dass

a) jede natürliche Person vor der Registrierung in der TGIC eindeutig identifiziert werden muss;

b) bei jeder Registrierung die Anlage von Dubletten vermieden werden muss.

Für die eindeutige Identifizierung und die implizierte Dublettenprüfung in der TGIC sind folgende persönliche Attribute erforderlich:

  • Vorname (entsprechend der Eintragung im Personalausweis)
  • Nachname (entsprechend der Eintragung im Personalausweis)
  • Geburtsdatum.

Für die Authentifizierung eines TGIC-Nutzers sind zwei Faktoren erforderlich. Hierzu stehen neben dem ersten Faktor, bestehend aus Nutzerkennung und Passwort, für den zweiten Faktor die Methoden mTAN, TOTP und eID (neuer Personalausweis) zur Verfügung.

3.3 Rechtsgrundlage der Verarbeitung

3.3.1 Wenn Sie über Ihren Arbeitgeber für ein TGIC-Nutzerkonto angemeldet werden

Wenn Ihr Arbeitgeber Sie als Nutzer in der TGIC registriert, erfolgt die Verarbeitung Ihrer personenbezogenen Daten aufgrund eines berechtigten Interesses gemäß Art. 6 Abs. 1 f) DSGVO. Das berechtigte Interesse liegt darin begründet, dass Ihr Arbeitgeber einen sicheren und zertifizierten Authentisierungsdienst für die Nutzung von Diensten nutzt, welche die TGIC zur sicheren Benutzer-Authentisierung nutzen.

Die weiteren personenbezogenen Daten werden für die Mandantentrennung sowie die Rechte- und Rollenvergabe benötigt.

a) Verarbeitung personenbezogener Daten

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

b) Empfänger personenbezogener Daten

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

3.3.2 Wenn Sie persönlich einen Vertrag über ein TGIC Nutzerkonto abgeschlossen haben

Wenn Sie persönlich einen Vertrag über die Einrichtung eines TGIC Nutzerkontos abschlossen haben, werden Ihre personenbezogenen Daten wie folgt verarbeitet:

a) Verarbeitung personenbezogener Daten

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

b) Empfänger personenbezogener Daten

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

3.4 Verarbeitung von personenbezogenen Daten in der TGIC Nutzerverwaltung

Wenn Sie als Organisationsverwalter die Webanwendung zur Benutzerverwaltung (https://user.tgic.gdv.org/TGIC-Nutzerverwaltung/webpages/public/login.html für die produktive Umgebung bzw. https://exttest-user.tgic.gdv.org/TGIC-Nutzerverwaltung/webpages/public/login.html für die externe Testumgebung) besuchen, ist es grundsätzlich nicht erforderlich, dass Sie aktiv Angaben zu Ihrer Person machen. Wenn Sie sich in der Webanwendung als Organisationsverwalter anmelden, verarbeiten wir Ihre personenbezogenen Daten wie folgt:

a) Informationen zur Verarbeitung

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

b) Empfänger personenbezogener Daten

Informationen zur Verarbeitung, Empfänger personenbezogener Daten

4 Übermittlung Ihrer Daten an sonstige Dritte

Grundsätzlich übermitteln wir personenbezogene Daten, die wir im Rahmen des Betriebs der TGIC verarbeiten, nicht in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Personenbezogene Daten können im Rahmen der gesetzlichen Bestimmungen an Unternehmen außerhalb der GDV Dienstleistungs-GmbH gegeben werden, die wir im Zusammenhang mit der Datenverarbeitung einsetzen. Eine Übermittlung Ihrer Daten an solche Unternehmen für deren eigene Geschäftszwecke erfolgt grundsätzlich nicht, sofern Sie nicht eine gesonderte Einwilligungserklärung abgegeben haben.

4.1 Übermittlung personenbezogener Daten an Drittländer

Wenn wir Daten an Drittländer, d.h. Länder außerhalb der Europäischen Union, übermitteln, dann findet die Übermittlung ausschließlich unter Einhaltung der gesetzlich geregelten Zulässigkeitsvoraussetzungen statt.

Die Zulässigkeitsvoraussetzungen sind durch Art. 44-49 DSGVO geregelt.

4.2 Übermittlung an staatliche Behörden

Wir übermitteln personenbezogene Daten an staatliche Behörden (einschließlich Strafverfolgungsbehörden), wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (Rechtsgrundlage: Art. 6 Abs. 1 Buchst. c) DSGVO) oder es zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Rechtsgrundlage Art. 6 Abs. 1 Buchst. f) DSGVO).

5 Widerrufsrecht bei einwilligungsbasierter Verarbeitung

Sofern Sie im Rahmen der Erstellung eines TGIC Benutzerkontos eine Einwilligungserklärung über die Verarbeitung Ihrer personenbezogenen Daten abgegeben haben, so können Sie diese Einwilligungserklärung gem. Art. 7 Abs. 3 DSGVO jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf einer Einwilligungserklärung hat auf die Rechtmäßigkeit der Verarbeitung bis zum Widerruf keinen Einfluss. Ein etwaiger Widerruf ist zu richten an

GDV Dienstleistungs-GmbH
Datenschutzbeauftragter
Frankenstraße 18
20097 Hamburg

oder per E-Mail an datenschutz[at]gdv-dl.de.

Der Widerruf bedarf keiner besonderen Form. Durch den Widerruf entstehen Ihnen – mit Ausnahme eventueller Übermittlungs- oder Verbindungsentgelte – keinerlei Kosten.

Bei einem Widerruf einer erteilten Einwilligung werden wir Ihre Daten nicht mehr zu den Zwecken nutzen, welche die Einwilligung erforderlich gemacht haben.

6 Ihre Rechte als Betroffener

Sie haben das Recht auf Auskunft, Berichtigung, Löschung (sofern keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen) und/oder Einschränkung der Verarbeitung Ihrer personenbezogenen Daten. Ferner haben Sie das Recht, die bereitgestellten Daten an sich oder auf einen Dritten übertragen zu lassen sowie das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

6.1 Recht auf Auskunft gem. Art. 15 DSGVO

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.

6.2 Recht auf Berichtigung gem. Art. 16 DSGVO

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

6.3 Recht auf Löschung gem. Art. 17 DSGVO

Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung (bspw. gesetzliche Aufbewahrungsfristen), aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für uns erforderlich ist.

6.4 Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSG-VO Widerspruch gegen die Verarbeitung eingelegt haben.

6.5 Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO

Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen an-deren Verantwortlichen zu verlangen.

6.6 Widerspruchsrecht gegen die Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO

Sie haben das Recht, jederzeit einer von uns auf ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f) DSGVO begründeten Verarbeitung Ihrer personenbezogenen Daten gemäß Art. 21 Abs. 1 DSGVO zu widersprechen.

Der Widerspruch bedarf keiner besonderen Form. Durch den Widerspruch entstehen Ihnen – mit Ausnahme eventueller Übermittlungs- oder Verbindungsentgelte – keinerlei Kosten.

Bei einem Widerspruch werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, dass wir für die Verarbeitung zwingende schutzwürdige Gründe vorweisen können, die Ihr Interesse, Rechte und Freiheiten überwiegen oder sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für uns erforderlich sind.

6.7 Recht der Beschwerde gem. Art. 77 DSGVO

Sie haben das Recht, sich bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu beschweren.

Die für die GDV Dienstleistungs-GmbH zuständigen Aufsichtsbehörden finden Sie unter Ziffer 7.

6.8 Wahrnehmung Ihrer Rechte nach Ziffern 6.1 bis 6.7

Ihre Rechte können Sie schriftlich oder per E-Mail bei dem Datenschutzbeauftragten der GDV Dienstleistungs-GmbH geltend machen.

Datenschutzbeauftragter
GDV Dienstleistungs-GmbH
Frankenstraße 18, 20097 Hamburg
Tel.: +49 40 33449-3433
E-Mail: datenschutz[at]gdv-dl.de

7 Zuständige Datenschutzaufsichtsbehörde

Für die GDV Dienstleistungs-GmbH ist der Hamburgische Datenschutzbeauftragte als Aufsichtsbehörde der Freien und Hansestadt Hamburg zuständig.

Freie und Hansestadt Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 20459 Hamburg
Tel.: 040 / 428 54 - 4040
Fax: 040 / 428 54 - 4000
E-Mail: mailbox[at]datenschutz.hamburg.de