Teil 1: Allgemeine Geschäftsbedingungen für die Einrichtung und Unterhaltung eines TGIC-Benutzerkontos bei der Trusted German Insurance Cloud (TGIC)
Präambel
Die Trusted German Insurance Cloud (TGIC) wird von der GDV Dienstleistungs-GmbH, Frankenstraße 18, 20097 Hamburg, betrieben und ist eine technische, abgesicherte und BSI-zertifizierte Kommunikationsinfrastruktur für Serviceanbieter der Versicherungsbranche. Mit einem eigenen TGIC-Benutzerkonto bei der TGIC haben Sie die Möglichkeit, sich sicher und einfach bei den Services der Versicherungswirtschaft zu authentifizieren. Dies erfolgt in zwei Schritten:
- Sie erhalten ein TGIC-Benutzerkonto bei der TGIC. Dazu muss ein von der GDV Dienstleistungs-GmbH akzeptierter vertrauenswürdiger Partner1 Ihre Anmeldedaten, Identität und ggf. Teilnahmeberechtigung überprüfen und gegenüber der TGIC bestätigen. So ist sichergestellt, dass nur bekannte und berechtigte Teilnehmer die jeweiligen Services nutzen (Stammdatenverifikation und -pflege).
- Wenn Sie sich in Zukunft bei TGIC-kompatiblen Services anmelden und diese nutzen, erfolgt Ihr Login über den TGIC-Authentifizierungsdienst – z. B. per mTAN. Die TGIC bestätigt, dass Ihr Login erfolgreich war – dass also Sie und kein unbefugter Dritter sich angemeldet haben und den Service nutzen können (Online-Authentifizierung).
Es gelten die folgenden Regelungen:
1. Identitätsnachweis
Die Eröffnung des TGIC-Benutzerkontos setzt voraus, dass Ihre Identität und Ihre Stammdaten von einem vertrauenswürdigen Partner gegenüber der TGIC bestätigt und verifiziert werden. Jede Person darf nur einmal bei der TGIC registriert sein. Die TGIC führt vor jeder Neuanlage eine Dublettenprüfung durch.
2. TGIC-Benutzerkonto; erfasste Daten
Im TGIC-Benutzerkonto werden die Stammdaten gespeichert, die Sie bei der Anmeldung angegeben haben (Name, Geschlecht, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Postanschrift, Organisation). Sie erhalten zudem eine eindeutige TGIC-Identifikationsnummer zugewiesen. Es werden außerdem interne Verwaltungsdaten (z.B. Zeitstempel, Datenbank-Indizes) gespeichert sowie die TGIC-kompatiblen Services, bei denen Sie sich zur Nutzung angemeldet haben.
3. Authentifizierungsdienst, Stammdatenaktualisierung
Betreiber von TGIC-kompatiblen Services der Versicherungswirtschaft können den Authentifizierungsdienst der TGIC in Anspruch nehmen.
Sofern Sie sich bei einem TGIC-kompatiblen Service angemeldet haben, erfolgt Ihre Authentifizierung über den zwischengeschalteten Authentifizierungsdienst der TGIC. Die Authentifizierung findet z.B. per mTAN statt. Der Serviceanbieter übermittelt dazu Ihre TGIC-Kennung an die TGIC. Die TGIC bestätigt dann, dass die Authentifizierung erfolgreich war und tatsächlich von Ihnen durchgeführt wurde.
Sofern Sie sich nach Einrichtung eines TGIC-Benutzerkontos erstmalig bei einem TGIC-kompatiblen Service anmelden, kann der Serviceanbieter Ihre Stammdaten mit denen Ihres TGIC-Benutzerkontos abgleichen, um so Ihre Identität zu verifizieren. Zu diesem Zweck können Ihre Stammdaten an den jeweiligen Serviceanbieter übermittelt werden.
Sofern Sie Ihre Stammdaten bei einem TGIC-kompatiblen Service ändern lassen, kann der Serviceanbieter Ihre geänderten Stammdaten an die TGIC übermitteln. Die TGIC kann geänderte Stammdaten an TGIC-kompatible Services übermitteln, bei denen Sie angemeldet sind, damit auch diese Services Ihre Stammdaten entsprechend ändern.
Sie willigen hiermit ein, dass die GDV Dienstleistungs-GmbH über die
TGIC-Infrastruktur Änderungen Ihrer Stammdaten an die von Ihnen
genutzten TGIC-kompatiblen Services zur Aktualisierung Ihrer
Benutzerkonten bei diesen Services übermittelt.
Die GDV Dienstleistungs-GmbH kommuniziert mit Ihnen im Hinblick auf die
TGIC (z.B. zur Bestätigung der Eröffnung des Benutzerkontos) auch
auf elektronischem Wege per E-Mail. Da hierbei keine besonderen
Arten personenbezogener Daten übermittelt werden, ist keine
besondere Verschlüsselung vorgesehen. Allerdings kann bei der
unverschlüsselten E-Mail-Versendung eine Kenntnisnahme von Daten
durch unberechtigte Dritte nicht mit letzter Sicherheit
ausgeschlossen werden. In Kenntnis dieser Umstände erklären Sie Ihr
Einverständnis mit der unverschlüsselten elektronischen
Kommunikation und der Zusendung nicht verschlüsselter E-Mails durch
die GDV Dienstleistungs-GmbH.
Die Anmeldung bei den jeweiligen Services erfolgt direkt zwischen Ihnen und dem jeweiligen Serviceanbieter. Die TGIC ist an der Erbringung der Services und den dazugehörigen Vertragsverhältnissen mit Ihnen nicht beteiligt.
4. Kostenfreiheit
Einrichtung und Unterhaltung des TGIC-Benutzerkontos sind für Sie kostenfrei. Für die jeweiligen Services können ggf. Kosten oder Gebühren anfallen. Diese sind in den Verträgen mit den jeweiligen Serviceanbietern gesondert geregelt.
5. Kündigung
Der Vertrag wird auf unbestimmte Zeit geschlossen. Beide Parteien können diesen Vertrag und damit das TGIC-Benutzerkonto jederzeit unter Einhaltung einer Kündigungsfrist von acht Wochen zum Monatsende in Textform kündigen. Die Kündigung und Löschung des TGIC-Benutzerkontos kann dazu führen, dass die Nutzung von TGIC-kompatiblen Services – bei denen ein Login über den TGIC-Authentifizierungs-Dienst erfolgt – dann nicht mehr möglich ist.
Solange es zu Revisionszwecken oder aufgrund gesetzlicher Aufbewahrungsvorschriften erforderlich ist, bleiben die Daten ggf. in gesperrter Form gespeichert.
6. Schlussbestimmungen
Es gilt ausschließlich deutsches Recht unter Ausschluss solcher Rechtsnormen, die auf andere Rechtsordnungen verweisen. Gerichtsstand ist Berlin, wenn Sie Kaufmann im Sinne des HGB sind.
Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
Beide Vertragspartner verpflichten sich schon jetzt, unwirksame oder undurchführbare Bestimmungen durch andere zu ersetzen bzw. Regelungslücken durch angemessene Regelungen zu füllen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommen, ihrerseits aber wirksam sind.
Teil 2: Datenschutzinformationen für die Trusted German Insurance Cloud (TGIC)
1 Geltungsbereich
Diese Datenschutzerklärung gilt für die Verarbeitung im Sinne von Art. 4 Ziffer 2 EU Datenschutz- Grundverordnung („DSGVO“) von personenbezogenen Daten im Rahmen Registrierung und Nutzung eines TGIC Benutzerkontos der GDV Dienstleistungs-GmbH. Ihre personenbezogenen Daten werden grundsätzlich nur zur Registrierung eines persönlichen TGIC Benutzerkontos sowie zur Anmeldung bei den von Ihnen genutzten TGIC kompatiblen Services genutzt, welche die TGIC Authentifizierung benutzen.
2 Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Ziffer 7 DSGVO für die TGIC ist:
GDV Dienstleistungs-GmbH
Frankenstraße 18
20097 Hamburg
Telefon: 040 33449-0
Telefax: 040 33449-7050
E-Mail: info[at]gdv-dl.de
3 Informationspflichten zur Verarbeitung personenbezogener Daten
Der Verantwortliche verarbeitet personenbezogene Daten generell nur, soweit die DSGVO oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder Sie als Nutzer ausdrücklich eine entsprechende Einwilligungserklärung abgegeben haben.
Keine Verpflichtung zur Bereitstellung
Es besteht weder eine vertragliche noch gesetzliche Pflicht zur Bereitstellung von personenbezogenen Daten.
Folgen der Nichtbereitstellung
Für personenbezogene Daten, die für die Bereitstellung unseres Dienstes erforderlich sind (Daten, die bei der Eingabe als Pflichtangaben gekennzeichnet sind) hat die Nichtbereitstellung zur Folge, dass die TGIC-Authentifizierung nicht erbracht werden kann und Sie die TGIC-Authentifizierung sowie die gegebenenfalls hinter der TGIC-Authentifizierung von ihrem Dienstanbieter stehenden Dienste nicht nutzen können.
Einwilligung
Sofern Sie im Rahmen der Registrierung zur TGIC und deren Nutzung eine Einwilligungserklärung zur Verarbeitung Ihrer personenbezogenen Daten abgegeben haben, wurden Sie mit der Abgabe einer etwaig erforderlichen Einwilligungserklärung gesondert über alle Modalitäten und die Reichweite der Einwilligung und über die Zwecke, die mit diesen Verarbeitungen verfolgt werden, informiert.
Speicherdauer
Der Verantwortliche speichert Ihre personenbezogenen Daten nicht länger, als es für die jeweiligen Verarbeitungszwecke nötig ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren befristete Aufbewahrung ist weiterhin notwendig. Gründe für eine erforderliche befristete Aufbewahrung können
- die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten oder
- das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen im Rahmen der gesetzlichen Verjährungsvorschriften sein.
Es ist darüber hinaus möglich, Ihre Daten weiter bei uns zu speichern, wenn Sie uns hierfür ausdrücklich Ihre Einwilligung erteilt haben.
3.1 Kategorien der verarbeiteten Daten
Im Rahmend der Nutzung der TGIC werden folgende Datenkategorien verarbeitet:
| Datenkategorie | Beschreibung |
|---|---|
| Accountdaten | Login-/Benutzerkennung, Passwort, TGIC-ID |
| Adressdaten | Straße, Hausnummer, ggf. Adresszusätze, PLZ, Ort, Land |
| Anmeldedaten | Informationen über den Service, für den Sie sich angemeldet haben; Zeitpunkte und technische Informationen zu Anmeldung |
| Kontaktdaten | Telefonnummer(n), E-Mail-Adresse(n) |
| Organisation | Unternehmenszugehörigkeit/Arbeitgeber |
| Personenstammdaten | Titel, Anrede/Geschlecht, Vorname, Nachname, Geburtsdatum |
| Zugriffsdaten | IP-Adresse, Zugriffszeitpunkt und Zugriffsdauer |
3.2 Verarbeitungszwecke
Die Verarbeitung erfolgt für die Erstellung eines Benutzerkontos für die TGIC-Authentifizierung und die
damit verbundene Rollen- und Rechtevergabe sowie die Mandantentrennung. Eine zentrale
Hauptkomponente der TGIC ist das “Insurance Trust Center (ITC)” in dem die Prinzipien eines Trust
Centers implementiert sind.
Eines dieser Prinzipien lautet:
„Eine natürliche Person erhält eine sichere, eindeutige (unique) digitale Identität.“
Vor diesem Hintergrund werden Ihre personenbezogenen Daten zum Zweck der Erstellung einer
eindeutigen (unique) digitalen Identität und somit zur Authentifizierung als zulässiger Nutzer der TGIC
verarbeitet.
Für die Zertifizierung sind nachzuweisen:
- Betrieb der TGIC gemäß Anforderungen der ISO27001 auf Basis des BSI IT-Grundschutzes;
- Implementierung der TGIC nach Common Criteria for Information Technology Security Evaluation (Common Criteria oder CC) und
- Nachweis der Einhaltung des Datenschutzes.
Beim Nachweis nach Common Criteria werden auch die Konzepte und deren Umsetzung bei der
Implementierung geprüft. Die IT-Sicherheit wird bei der Entwicklung der Konzepte auf Basis des
„Stand der Technik“ überwacht (z. B. 2-Faktor-Authentisierung, Verschlüsselung).
Die Erstellung einer eindeutigen (unique) digitalen Identität im “Insurance Trust Center (ITC)” erfordert
eine eindeutige Identifizierbarkeit Ihrer Person, um den Zertifizierungsanforderungen gerecht zu
werden. Dies bedingt, dass
- jede natürliche Person vor der Registrierung in der TGIC eindeutig identifiziert werden muss;
- bei jeder Registrierung die Anlage von Dubletten vermieden werden muss.
Für die eindeutige Identifizierung und die implizierte Dublettenprüfung in der TGIC sind folgende persönliche Attribute erforderlich:
- Vorname (entsprechend der Eintragung im Personalausweis)
- Nachname (entsprechend der Eintragung im Personalausweis)
- Geburtsdatum.
Für die Authentifizierung des TGIC-Nutzers ist neben der 2-Faktor-Authentisierung (Kennwort, mTAN) auch die eID-Funktion des „neuen Personalausweises“ implementiert. Eine Identifikation über die eID- Funktion erfordert gleichfalls die Abfrage der vorstehenden drei Attribute. Vor diesem Hintergrund sind sie auch für die Identifizierung einer natürlichen Person im mTAN-Verfahren ebenfalls zwingend erforderlich.
3.3 Rechtsgrundlage der Verarbeitung
3.3.1 Wenn Sie über Ihren Arbeitgeber für ein TGIC-Nutzerkonto angemeldet werden
Wenn Ihr Arbeitgeber Sie als Nutzer in der TGIC registriert, erfolgt die Verarbeitung Ihrer
personenbezogenen Daten aufgrund eines berechtigten Interesses gemäß Art. 6 Abs. 1 f) DSGVO.
Das berechtigte Interesse liegt darin begründet, dass Ihr Arbeitgeber einen sicheren und zertifizierten
Authentifizierungsdienst für die Nutzung von Diensten nutzt, welche die TGIC zur sicheren Benutzer-
Authentifizierung nutzen.
Die weiteren personenbezogenen Daten werden für die Mandantentrennung sowie die Rechte- und
Rollenvergabe benötigt.
a) Verarbeitung personenbezogener Daten
| Datenkategorie | Verarbeitungszweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Accountdaten | Anlage des TGIC-Benutzerkontos und Anmeldung bei TGIC-kompatiblen Services | Art. 6 Abs. 1 Buchst. b) DSGVO ggf. Art. 6 Abs. 1 Buchst. f) DSGVO | Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Adressdaten | Identifizierung des Nutzers und Kommunikation zum TGIC-Benutzerkonto | Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Anmeldedaten | Protokollierung für Nachvollziehbarkeit (für Reklamationen & Support), Angriffs-/Missbrauchserkennung, Abrechnungszwecke und Statistik. | Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs |
| Kontaktdaten | Kommunikation zum TGIC-Benutzerkonto und Nutzung des mTAN-Verfahrens für die Benutzeranmeldung | Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Organisation | Rollen- und Rechtevergabe | Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Personenstammdaten | Identifizierung des Nutzers Rechte- und Rollenvergabe |
Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Zugriffsdaten | Verbindungsaufbau, Darstellung der Inhalte des Service, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose | Art. 6 Abs. 1 Buchst. f) DSGVO ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme |
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs |
b) Empfänger personenbezogener Daten
| Empfängerkategorie | Betroffene Datenkategorie | Rechtsgrundlage der Übermittlung |
|---|---|---|
| Anbieter von TGIC kompatiblen Services | Adressdaten Kontaktdaten Accountdaten Organisation Personenstammdaten |
Art. 6 Abs. 1 Buchst. f) DSGVO Aufrechterhaltung des TGIC Authentifizierungsdienstes; Sicherheit der Zugänge zu den TGIC kompatiblen Services; Eindeutige Identifizierung des Nutzers |
3.3.2 Wenn Sie persönlich einen Vertrag über ein TGIC Nutzerkonto abgeschlossen haben
Wenn Sie persönlich einen Vertrag über die Einrichtung eines TGIC Nutzerkontos abschlossen haben, werden Ihre personenbezogenen Daten wie folgt verarbeitet:
a) Verarbeitung personenbezogener Daten
| Datenkategorie | Verarbeitungszweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Accountdaten | Anlage des TGIC-Benutzerkontos und Anmeldung bei TGIC-kompatiblen Services | Art. 6 Abs. 1 Buchst. b) DSGVO | Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Adressdaten | Identifizierung des Nutzers Kommunikation zum TGIC-Benutzerkonto |
Art. 6 Abs. 1 Buchst. b) DSGVO | Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Anmeldedaten | Protokollierung für Nachvollziehbarkeit (für Reklamationen & Support), Angriffs-/Missbrauchserkennung, Abrechnungszwecke und Statistik. | Art. 6 Abs. 1 Buchst. b) DSGVO; Art. 6 Abs. 1 Buchst. f) DSGVO | 6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs |
| Kontaktdaten | Kommunikation zum TGIC-Benutzerkonto und Nutzung des mTAN-Verfahrens für die Benutzeranmeldung | Art. 6 Abs. 1 Buchst. b) DSGVO | Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Organisation | Rollen- und Rechtevergabe | Art. 6 Abs. 1 Buchst. b) DSGVO | Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Personenstammdaten | Identifizierung des Nutzers Rechte- und Rollenvergabe |
Art. 6 Abs. 1 Buchst. b) DSGVO | Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Zugriffsdaten | Verbindungsaufbau, Darstellung der Inhalte des Service, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose | Art. 6 Abs. 1 Buchst. f) DSGVO ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme |
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs |
b) Empfänger personenbezogener Daten
| Empfängerkategorie | Betroffene Datenkategorie | Rechtsgrundlage der Übermittlung |
|---|---|---|
| Anbieter von TGIC kompatiblen Services | Adressdaten Kontaktdaten Accountdaten Organisation Personenstammdaten |
Art. 6 Abs. 1 Buchst. f) DSGVO Aufrechterhaltung des TGIC Authentifizierungsdienstes; Sicherheit der Zugänge zu den TGIC kompatiblen Services; Eindeutige Identifizierung des Nutzers |
3.4 Verarbeitung von personenbezogenen Daten in der TGIC Nutzerverwaltung
Wenn Sie als Organisationsverwalter die Webanwendung zur Benutzerverwaltung (https://user.tgic.gdv.org/TGIC-Nutzerverwaltung/webpages/public/login.html für die produktive Umgebung bzw. https://exttest-user.tgic.gdv.org/TGIC-Nutzerverwaltung/webpages/public/login.html für die externe Testumgebung) besuchen, ist es grundsätzlich nicht erforderlich, dass Sie aktiv Angaben zu Ihrer Person machen. Wenn Sich in der Webanwendung als Organisationsverwalter anmelden, verarbeiten wir Ihre personenbezogenen Daten wie folgt:
a) Informationen zur Verarbeitung
| Datenkategorie | Zweckbestimmung | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Accountdaten | Sichere Anmeldung als Organisationsverwalter in der TGIC | Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen |
| Anmeldedaten | Protokollierung für Nachvollziehbarkeit (für Reklamationen & Support), Angriffs-/Missbrauchserkennung. | Art. 6 Abs. 1 Buchst. f) DSGVO Durchführung des Vertrags mit dem Arbeitgeber des Nutzers. |
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs |
| Zugriffsdaten | Verbindungsaufbau, Darstellung der Inhalte des Service, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose | Art. 6 Abs. 1 Buchst. f) DSGVO ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme |
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs |
b) Empfänger personenbezogener Daten
| Empfängerkategorie | Betroffene Datenkategorie | Rechtsgrundlage der Übermittlung |
|---|---|---|
| Anbieter von TGIC | Adressdaten Kontaktdaten Accountdaten Organisation Personenstammdaten |
Art. 6 Abs. 1 Buchst. f) DSGVO ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme |
4 Übermittlung Ihrer Daten an sonstige Dritte
Grundsätzlich übermitteln wir personenbezogene Daten, die wir im Rahmen des Betriebs der TGIC verarbeiten, nicht in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Personenbezogene Daten können im Rahmen der gesetzlichen Bestimmungen an Unternehmen außerhalb der GDV Dienstleistungs-GmbH gegeben werden, die wir im Zusammenhang mit der Datenverarbeitung einsetzen. Eine Übermittlung Ihrer Daten an solche Unternehmen für deren eigene Geschäftszwecke erfolgt grundsätzlich nicht, sofern Sie nicht eine gesonderte Einwilligungserklärung abgegeben haben.
4.1 Übermittlung personenbezogener Daten an Drittländer
Wenn wir Daten an Drittländer, d.h. Länder außerhalb der Europäischen Union, übermitteln, dann
findet die Übermittlung ausschließlich unter Einhaltung der gesetzlich geregelten
Zulässigkeitsvoraussetzungen statt.
Die Zulässigkeitsvoraussetzungen sind durch Art. 44-49 DSGVO geregelt.
4.2 Übermittlung an staatliche Behörden
Wir übermitteln personenbezogene Daten an staatliche Behörden (einschließlich Strafverfolgungsbehörden), wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (Rechtsgrundlage: Art. 6 Abs. 1 Buchst. c) DSGVO) oder es zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Rechtsgrundlage Art. 6 Abs. 1 Buchst. f) DSGVO).
5 Widerspruchsrecht bei einwilligungsbasierter Verarbeitung
Sofern Sie im Rahmen der Erstellung eines TGIC Benutzerkontos eine Einwilligungserklärung über
die Verarbeitung Ihrer personenbezogenen Daten abgegeben haben, so können Sie diese
Einwilligungserklärung gem. Art. 7 Abs. 3 DSGVO jederzeit mit Wirkung für die Zukunft widerrufen.
Der Widerruf einer Einwilligungserklärung hat auf die Rechtmäßigkeit der Verarbeitung bis zum
Widerruf keinen Einfluss. Ein etwaiger Widerruf ist zu richten an
GDV Dienstleistungs-GmbH
Datenschutzbeauftragter
Frankenstraße 18
20097 Hamburg
oder per E-Mail an datenschutz[at]gdv-dl.de.
Der Widerruf bedarf keiner besonderen Form. Durch den Widerruf entstehen Ihnen – mit
Ausnahme eventueller Übermittlungs- oder Verbindungsentgelte – keinerlei Kosten.
Bei einem Widerruf einer erteilten Einwilligung werden wir Ihre Daten nicht mehr zu den Zwecken
nutzen, welche die Einwilligung erforderlich gemacht haben.
6 Ihre Rechte als Betroffener
Sie haben das Recht auf Auskunft, Berichtigung, Löschung (sofern keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen) und/oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Ferner haben Sie das Recht, die bereitgestellten Daten an sich oder auf einen Dritten übertragen zu lassen sowie das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.
6.1 Recht auf Auskunft gem. Art. 15 DSGVO
Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.
6.2 Recht auf Berichtigung gem. Art. 16 DSGVO
Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
6.3 Recht auf Löschung gem. Art. 17 DSGVO
Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung (bspw. gesetzliche Aufbewahrungsfristen), aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für uns erforderlich ist.
6.4 Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
6.5 Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO
Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
6.6 Widerspruchsrecht gegen die Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO
Sie haben das Recht, jederzeit einer von uns auf ein berechtigtes Interesse im Sinne des Art. 6
Abs. 1 Buchst. f) DSGVO begründeten Verarbeitung Ihrer personenbezogenen Daten gemäß Art.
21 Abs. 1 DSGVO zu widersprechen. Ein etwaiger Widerspruch ist zu richten an
GDV Dienstleistungs-GmbH
Datenschutzbeauftragter
Frankenstraße 18
20097 Hamburg
oder per E-Mail an datenschutz[at]gdv-dl.de.
Der Widerspruch bedarf keiner besonderen Form. Durch den Widerspruch entstehen Ihnen – mit
Ausnahme eventueller Übermittlungs- oder Verbindungsentgelte – keinerlei Kosten.
Bei einem Widerspruch werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, dass wir für die
Verarbeitung zwingende schutzwürdige Gründe vorweisen können, die Ihr Interesse, ihre Rechte
und Freiheiten überwiegen oder sie zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen für uns erforderlich ist.
6.7 Recht der Beschwerde gem. Art. 77 DSGVO
Sie haben das Recht, sich bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres
gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu
beschweren.
Die für die GDV Dienstleistungs-GmbH zuständigen Aufsichtsbehörden finden Sie unter Ziffer 7.
6.8 Wahrnehmung Ihrer Rechte nach Ziffern 6.1 bis 6.6
Ihre Rechte können Sie schriftlich oder per E-Mail bei dem Datenschutzbeauftragten der GDV
Dienstleistungs-GmbH geltend machen.
Datenschutzbeauftragter der GDV Dienstleistungs-GmbH ist:
Herr Johannes Schlattmann
Datenschutzbeauftragter
GDV Dienstleistungs-GmbH
Frankenstraße 18, 20097 Hamburg
E-Mail: datenschutz[at]gdv-dl.de
7. Zuständige Datenschutzaufsichtsbehörde
Für die GDV Dienstleistungs-GmbH ist der Hamburgische Datenschutzbeauftragte als
Aufsichtsbehörde der Freien und Hansestadt Hamburg zuständig.
Freie und Hansestadt Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Prof. Dr. Johannes Caspar
Ludwig-Erhard-Straße 22, 20459 Hamburg
Tel.: 040 / 428 54 - 4040
Fax: 040 / 428 54 - 4000
E-Mail: mailbox[at]datenschutz.hamburg.de
1 Vertrauenswürdige Partner sind Organisationen, die als Schnittstelle zwischen der TGIC und den Endnutzern der TGIC im Rahmen der erstmaligen Anmeldung und Registrierung sowie ggf. der späteren Änderung sensibler Stammdaten agieren. Trusted Partner werden von der GDV Dienstleistungs-GmbH oder von dem Betreiber eines TGIC-kompatiblen Service, der die TGIC zur Authentifizierung von Endnutzern einsetzt, als solche akkreditiert. Die akkreditierten Trusted Partner bestätigen und prüfen die Identität der Endnutzer und die Richtigkeit der Endnutzer-Stammdaten.