Datenschutzerklärung der BfDI
1. Kontakt
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Anschrift:
Graurheindorfer Str. 153, 53117 Bonn
Zentrale Telefonnummer: 0228/997799-0
Zentrale Mail-Adresse: [email protected]
Behördlicher Datenschutzbeauftragter: Herr Kapsa
Telefonnummer: 0228/997799-1950
Mail-Adresse: [email protected]
Zur verschlüsselten Kommunikation mit dem behördlichen Datenschutzbeauftragten (bDSB) können Sie von einem Schlüsselserver den aktuellsten PGP-Key des bDSB herunter laden. Zum Abgleich finden Sie hier den zugehörigen Fingerabdruck dieses öffentlichen Schlüssels: 49C5098DE61A09E0CBFCADABB87A54EEB514D617
2. Einleitung und Zwecke der Verarbeitung
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verarbeitet bei der Wahrnehmung der ihr gesetzlich übertragenen Aufgaben personenbezogene Daten. Zu ihren öffentlichen Aufgaben gehören insbesondere die folgenden Teilbereiche:
- Die Überwachung und Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) bei Verantwortlichen, die ihrer Aufsicht unterliegen, einschließlich der dazu notwendigen Kooperation mit Datenschutzbehörden der Länder und der Mitgliedstaaten der Europäischen Union (EU)
- Die Kontrolle der Informationsfreiheit bei Verantwortlichen (insbesondere nach dem Informationsfreiheitsgesetz, IFG), die ihrer Aufsicht unterliegen.
- Die Bereitstellung von Informationen über das Datenschutzrecht und die Informationsfreiheit an Dritte oder an die Öffentlichkeit
- Die Bearbeitung von Beschwerden zu den Themen Datenschutz und Informationsfreiheit betroffener Personen über Verantwortliche und Auftragsverarbeiter, die ihrer Aufsicht unterliegen
Die BfDI verarbeitet als zivilrechtliche Vertragspartei bzw. als öffentlich-rechtliche Dienststelle personenbezogene Daten. Beispiele hierfür sind die Personalgewinnung und -verwaltung, die Beschaffung von Büromaterialien oder Hilfsdienstleistungen. Die BfDI verarbeitet in Verfolgung ihrer eigenen Interessen dabei gegebenenfalls auch die personenbezogenen Daten der Beschäftigten der Vertragspartei. Das Interesse der BfDI liegt dabei auf der Anbahnung, dem Abschluss und der Durchführung solcher Vertragsbeziehungen.
Die BfDI verarbeitet auf der Grundlage von Einwilligungen personenbezogene Daten für besondere Dienstleistungen. Beispiele hierfür sind der allgemeine Newsletter sowie der Newsletter für die Presse.
Die BfDI verarbeitet personenbezogene Daten außerdem bei der Entgegennahme und Weiterleitung bestimmter Beschwerden, die sich gegen die Verarbeitung von Daten durch U.S.-Nachrichtendienste richten. Im Zuge des Angemessenheitsbeschlusses für das EU-U.S. Data Privacy Framework wurde hierfür in den USA ein besonderes Beschwerdeverfahren geschaffen. Wie im Angemessenheitsbeschluss angelegt, können sich Personen dabei auch in deutscher Sprache an die BfDI wenden, was zu einem vereinfachten Zugang zu diesem Beschwerdeverfahren beiträgt.
3. Rechtsgrundlagen der Verarbeitung
Für das Datenschutzrecht:
Artikel 6 Absatz 1 Buchstaben a), b), e), DSGVO, in Verbindung mit Artikeln 57, 58 Absatz 1, Artikel 77 DSGVO, §§ 3, 14, 16, 60 und 61 BDSG
Für das Informationsfreiheitsrecht:
Artikel 6 Absatz 1 Buchstaben. a), b), e), DSGVO in Verbindung mit § 3 BDSG, § 12 IFG, §§ 21, 24, 25 und 26 BDSG (in der alten am 24. Mai 2018 geltenden Fassung)
Die betroffene Person hat jederzeit das Recht, eine erteilte Einwilligung, auf der eine Verarbeitung ihrer personenbezogenen Daten beruht, zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Bearbeitung berührt wird.
4. Empfängerkategorien
Bei der Wahrnehmung ihrer öffentlichen Aufgaben übermittelt die BfDI personenbezogene Daten an andere öffentliche Stellen des Bundes oder der Länder (insbesondere an die Aufsichtsbehörden der Länder) sowie an die Aufsichtsbehörden anderer Mitgliedstaaten der EU, Vertreter der Presse und Betroffene sowie an Auftragnehmer der BfDI. Dabei wird stets geprüft, ob eine Übermittlung in diesem Sinne erforderlich ist. Für die gesondert genannten Aufgabenfelder der BfDI ergeben sich in der Regel folgende Empfängerkreise:
a) Überwachung und Durchsetzung des Datenschutzrechts
Öffentliche Stellen des Bundes oder der Länder sowie Aufsichtsbehörden der Mitgliedstaaten der EU, Betroffene und an Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der eigenen Dienststelle, Europäischer Datenschutzausschuss (EDSA)
Im Falle einer notwendigen Kommunikation mit Aufsichtsbehörden der Mitgliedstaaten der EU, wird diese unter Nutzung des durch die Europäische Kommission betriebenen Binnenmarkt-Informationssystems (IMI) durchgeführt.
b) Kontrolle der Informationsfreiheit bei Verantwortlichen, die der Aufsicht durch die BfDI unterliegen
Öffentliche Stellen des Bundes und an Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der eigenen Dienststelle
c) Die Bereitstellung von Informationen über das Datenschutzrecht und die Informationsfreiheit an Dritte oder an die Öffentlichkeit
Öffentliche Stellen des Bundes oder der Länder für die Abstimmung von Informationsmaterialien, Presse für die Verbreitung von Informationen und an Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der eigenen Dienststelle
d) Die Bearbeitung von Beschwerden zum Datenschutz und der Informationsfreiheit durch betroffene Personen über Verantwortliche und Auftragsverarbeiter
Für das Datenschutzrecht:
Öffentliche Stellen des Bundes, soweit diese vom Gegenstand der Beschwerde betroffen sind (insbesondere als Verantwortlicher), Aufsichtsbehörden der Länder sowie der Mitgliedstaaten der EU soweit diese für den Gegenstand der Beschwerde zuständig sind und an Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der eigenen Dienststelle
Für das Informationsfreiheitsrecht:
Öffentliche Stellen des Bundes, soweit diese vom Gegenstand der Beschwerde betroffen sind (insbesondere als Verantwortlicher) und an Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der eigenen Dienststelle
e) Abgabe an das Bundesarchiv
Durch die BfDI werden in Absprache mit dem Bundesarchiv grundsätzlich keine Akten über Beschwerden und Anfragen von Bürgerinnen und Bürgern an das Bundesarchiv abgegeben. Hiervon wird nur in Einzelfällen abgewichen, wenn das zuständige Referat zu der Einschätzung gelangt, dass es sich um einen historisch wertvollen Sachverhalt handelt.
f) Handeln als zivilrechtliche Vertragspartei und in Verfolgung eigener Interessen
Öffentliche Stellen des Bundes für die Unterstützung bei Vergabeverfahren und bei der finanziellen Betreuung der Beamtinnen und Beamten sowie der Tarifbeschäftigten der BfDI, andere Auftragnehmer der BfDI für die gegenseitige Unterstützung bei bestimmten Projekten und an Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der Dienststelle
g) Versand von Newslettern
Auftragnehmer der BfDI für die interne Verwaltungstätigkeit der Dienststelle
5. Speicherdauer
Die Speicherung erfolgt im Einklang mit der Richtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien, die gemäß der IT-Richtlinie der BfDI verbindlichen Regelungsgehalt hat.
6. Betroffenenrechte
Sowohl im Rahmen der Erfüllung öffentlicher Aufgaben als auch als zivilrechtliche Vertragspartei ist die BfDI verantwortlich für die Verarbeitung von personenbezogenen Daten. Den Betroffenen stehen daher folgende Rechte aus der DSGVO zur Verfügung:
a) Recht auf Auskunft - Artikel 15 DSGVO
Mit dem Recht auf Auskunft erhält der Betroffene eine umfassende Einsicht in die ihn angehenden Daten und einige andere wichtige Kriterien, wie beispielsweise die Verarbeitungszwecke oder die Dauer der Speicherung. Es gelten die in § 34 BDSG geregelten Ausnahmen von diesem Recht.
b) Recht auf Berichtigung - Artikel 16 DSGVO
Das Recht auf Berichtigung beinhaltet die Möglichkeit für den Betroffenen, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen.
c) Recht auf Löschung - Artikel 17 DSGVO
Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, Daten beim Verantwortlichen löschen zu lassen. Dies ist allerdings nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde. Es gelten die in § 35 BDSG geregelten Ausnahmen von diesem Recht.
d) Recht auf Einschränkung der Verarbeitung - Artikel 18 DSGVO
Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Betroffenen, eine weitere Verarbeitung der ihn angehenden personenbezogenen Daten vorerst zu verhindern. Eine Einschränkung tritt vor allem in der Prüfungsphase anderer Rechtewahrnehmungen durch den Betroffenen ein.
e) Recht auf Datenübertragbarkeit - Artikel 20 DSGVO
Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Betroffenen, die ihn angehenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen. Gemäß Artikel 20 Absatz 3 Satz 2 DSGVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.
f) Recht auf Widerspruch - Artikel 21 DSGVO
Das Recht auf Widerspruch beinhaltet die Möglichkeit für Betroffene, in einer besonderen Situation der weiteren Verarbeitung ihrer personenbezogenen Daten zu widersprechen, soweit diese durch die Wahrnehmung öffentlicher Aufgaben oder öffentlicher sowie privater Interessen gerechtfertigt ist. Es gelten die in § 36 BDSG geregelten Ausnahmen von diesem Recht.
7. Notwendigkeit der Datenverarbeitung
Die Verarbeitung von personenbezogenen Daten durch die BfDI steht im unmittelbaren Zusammenhang mit der Wahrnehmung ihrer öffentlichen Aufgaben.
Insbesondere bei der Überwachung und Durchsetzung der DSGVO bei Verantwortlichen, die der Aufsicht durch die BfDI unterliegen, kann die Bereitstellung von personenbezogenen Daten aufgrund des Artikel 58 Absatz 1 Buchstabe. a) DSGVO gesetzlich notwendig sein. Im Falle der Nichtbereitstellung verfügt die BfDI über Abhilfebefugnisse gemäß Artikel 58 Absatz 2 DSGVO.
Bei der Kontrolle der Informationsfreiheit bei Verantwortlichen, die der Aufsicht durch die BfDI unterliegen, kann die Bereitstellung von personenbezogenen Daten aufgrund von § 12 Absatz 3 IFG in Verbindung mit § 24 Absatz 4 BDSG (alte Fassung) gesetzlich notwendig sein. Im Falle der Nichtbereitstellung verfügt die BfDI über ein Beanstandungsrecht gemäß § 25 BDSG (alte Fassung).
8. Sonstige Informationen
Es besteht hinsichtlich der Datenverarbeitung der BfDI kein Beschwerderecht bei einer Aufsichtsbehörde. Eine automatisierte Entscheidungsfindung findet nicht statt.
9. Homepage der BfDI
9.1 Verarbeitung von Informationen im Rahmen der technischen Bereitstellung des Internet-Angebots der BfDI
Die Infrastruktur des Internets erfordert den technischen Austausch von Informationen zwischen Ihrem Endgerät (z.B. Computer, Tablet oder Mobiltelefon) und sog. Servern, insbesondere Servern, die die Webseiten zum Abruf bereitstellen. Dies ist erforderlich, um eine Kommunikation zwischen Ihrem Endgerät und der Webseite herzustellen. Dabei werden für die technische Abwicklung folgende Daten verarbeitet:
- Datum und Uhrzeit des Abrufs
- IP-Adresse
- Anfragedetails und Zieladresse
- Name der abgerufenen Datei
- übertragene Datenmenge
- Meldung, ob der Zugriff / Abruf erfolgreich war
Bei jedem Zugriff von Nutzenden auf das Internet-Angebot der BfDI und bei jedem Abruf einer Datei werden zudem Daten über diesen Vorgang vorübergehend in einer Protokolldatei gespeichert und verarbeitet. Die Protokolldatei wird für einen Zeitraum von 30 Tagen vorgehalten.
Im Einzelnen werden über jeden Zugriff/Abruf folgende Daten gespeichert:
Datum und Uhrzeit des Abrufs,
Anfragedetails und Zieladresse,
Name der abgerufenen Datei,
übertragene Datenmenge,
Meldung, ob der Zugriff / Abruf erfolgreich war.
Die Protokolldaten werden für einen ordnungsgemäßen Betrieb der Webseiten, das heißt zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern verarbeitet.
Diese Verarbeitungen zur technischen Kommunikation und der Protokolldaten erfolgt auf Grundlage des Artikels 6 Abs. 1 1. Unterabsatz Buchstabe e) DSGVO in Verbindung mit Artikel 57 DSGVO, §§ 3, 14 BDSG.
Darüber hinaus werden die Protokolldaten zur technischen Sicherheit, insbesondere zum Schutz vor und zur Abwehr von Cyberangriffen verarbeitet. Dies erfolgt auf Grundlage des Artikel 6 Absatz 1 Buchstabe e DSGVO in Verbindung mit § 5 BSI-Gesetz.
Beim Aufruf unserer Webseiten werden zudem vorübergehende Cookies (sog. Session-Cookies) zur technischen Diensteerbringung verwendet. Cookies sind kleine Textdateien, die im Endgerät von Nutzenden bei Aufruf der Webseite gespeichert werden. Sie enthalten eine sog. Session-ID, das heißt eine Identifikationskennung, die für jedes Endgerät für die jeweilige Sitzung einzigartig ist. Sie helfen dabei die verschiedenen Endgeräte, welche die Webseite aufrufen, auseinanderzuhalten. Diese Identifikationskennung wird während der Session ausgelesen, um die Endgeräte zu unterscheiden. Diese Session-Cookies verfallen nach Ablauf der Sitzung, das heißt sie werden regelmäßig von ihrem Endgerät automatisch gelöscht, sobald Sie Ihren Internet-Browser schließen.
Auf unseren Webseiten werden zwei solcher Cookies verwendet: Das Cookie mit der Bezeichnung „JSESSIONID“ wird verwendet, um Nutzende innerhalb einer Session wiederzuerkennen. Dies stellt die Nutzbarkeit der Formulare und des Warenkorbs sicher.
Zuletzt verwenden wir ein Cookie mit der Bezeichnung „AL-SESS-S“ bzw. „AL_LB“. Dieses Cookie benötigen wir zur sogenannten Lastverteilung („Load balancing“): Es soll eine konkrete Anfrage (also Aufruf einer Webseite) durch eine Endeinrichtung einem konkreten Server zuordnen. Hierdurch können die Anfragen auf unsere Server so verteilt werden, dass diese nicht überlastet werden.
Der Einsatz dieser Cookies ist nach § 25 Absatz 2 TDDDG technisch notwendig.
Techniken, wie zum Beispiel Java-Applets oder Active-X-Controls, die es ermöglichen, das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt.
Bei den Verarbeitungen im Rahmen der technischen Bereitstellung des Internet-Angebots werden wir durch den Dienstleister Informationstechnikzentrum Bund (ITZBund) unterstützt.
9.2 Kontaktformular
Das Kontaktformular dient der Möglichkeit zur allgemeinen Kontaktaufnahme. In diesem Rahmen werden Identitäts- und Kontaktdaten sowie das Thema und der Inhalt der Nachricht an uns erhoben und intern an die fachlich zuständige Organisationseinheit weitergeleitet. Die Zwecke, Rechtsgrundlagen, Empfänger und Speicherdauer richten sich nach den für die Fachaufgaben maßgeblichen Fristen (s.o.). Kommunikation ohne Aktenrelevanz wird nicht veraktet und nach Abschluss der Korrespondenz gelöscht. Im Falle der Aktenrelevanz werden allgemeine Anfragen für die Dauer von fünf Jahren nach Abschluss aufbewahrt, im Falle von Verwaltungsverfahren (z.B. wenn die Anfrage zu einem aufsichtsbehördlichen Verfahren führt) für die Dauer von zehn Jahren. Im Falle von historisch wertvollen Sachverhalten erfolgt ausnahmsweise eine Abgabe zur darüberhinausgehenden Aufbewahrung an das Bundesarchiv (s.o.).
9.3 Links auf Internetseiten anderer Anbieter/-innen
Unser Online-Angebot enthält Links zu Internetseiten anderer Anbieter/-innen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat keinen Einfluss darauf, dass diese Anbieter/-innen die gesetzlichen Datenschutzbestimmungen einhalten. Sie sollten daher stets die Datenschutzerklärung der anderen Anbieter/-innen prüfen.