Allgemeine Geschäftsbedingungen und Datenschutzinformationen

Teil 1: Allgemeine Geschäftsbedingungen für die Einrichtung und Unterhaltung eines TGIC-Benutzerkontos bei der Trusted German Insurance Cloud (TGIC)

Präambel

Die Trusted German Insurance Cloud (TGIC) wird von der GDV Dienstleistungs-GmbH, Glockengießerwall 1, D-20095 Hamburg, betrieben und ist eine technische, abgesicherte und BSI-zertifizierte Kommunikationsinfrastruktur für Serviceanbieter der Versicherungsbranche. Mit einem eigenen TGIC-Benutzerkonto bei der TGIC haben Sie die Möglichkeit, sich sicher und einfach bei den Services der Versicherungswirtschaft zu authentifizieren. Dies erfolgt in zwei Schritten:

  1. Sie erhalten ein TGIC-Benutzerkonto bei der TGIC. Dazu muss ein von der GDV Dienstleistungs-GmbH akzeptierter vertrauenswürdiger Partner1 Ihre Anmeldedaten, Identität und ggf. Teilnahmeberechtigung überprüfen und gegenüber der TGIC bestätigen. So ist sichergestellt, dass nur bekannte und berechtigte Teilnehmer die jeweiligen Services nutzen (Stammdatenverifikation und -pflege).
  2. Wenn Sie sich in Zukunft bei TGIC-kompatiblen Services anmelden und diese nutzen, erfolgt Ihr Login über den TGIC-Authentifizierungsdienst – z. B. per mTAN. Die TGIC bestätigt, dass Ihr Login erfolgreich war – dass also Sie und kein unbefugter Dritter sich angemeldet haben und den Service nutzen können (Online-Authentifizierung).

Es gelten die folgenden Regelungen:

1. Identitätsnachweis

Die Eröffnung des TGIC-Benutzerkontos setzt voraus, dass Ihre Identität und Ihre Stammdaten von einem vertrauenswürdigen Partner gegenüber der TGIC bestätigt und verifiziert werden. Jede Person darf nur einmal bei der TGIC registriert sein. Die TGIC führt vor jeder Neuanlage eine Dublettenprüfung durch.

2. TGIC-Benutzerkonto; erfasste Daten

Im TGIC-Benutzerkonto werden die Stammdaten gespeichert, die Sie bei der Anmeldung angegeben haben (Name, Geschlecht, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Postanschrift, Organisation). Sie erhalten zudem eine eindeutige TGIC-Identifikationsnummer zugewiesen. Es werden außerdem interne Verwaltungsdaten (z.B. Zeitstempel, Datenbank-Indizes) gespeichert sowie die TGIC-kompatiblen Services, bei denen Sie sich zur Nutzung angemeldet haben.

3. Authentifizierungsdienst, Stammdatenaktualisierung

Betreiber von TGIC-kompatiblen Services der Versicherungswirtschaft können den Authentifizierungsdienst der TGIC in Anspruch nehmen.

Sofern Sie sich bei einem TGIC-kompatiblen Service angemeldet haben, erfolgt Ihre Authentifizierung über den zwischengeschalteten Authentifizierungsdienst der TGIC. Die Authentifizierung findet z.B. per mTAN statt. Der Serviceanbieter übermittelt dazu Ihre TGIC-Kennung an die TGIC. Die TGIC bestätigt dann, dass die Authentifizierung erfolgreich war und tatsächlich von Ihnen durchgeführt wurde.

Sofern Sie sich nach Einrichtung eines TGIC-Benutzerkontos erstmalig bei einem TGIC-kompatiblen Service anmelden, kann der Serviceanbieter Ihre Stammdaten mit denen Ihres TGIC-Benutzerkontos abgleichen, um so Ihre Identität zu verifizieren. Zu diesem Zweck können Ihre Stammdaten an den jeweiligen Serviceanbieter übermittelt werden.

Sofern Sie Ihre Stammdaten bei einem TGIC-kompatiblen Service ändern lassen, kann der Serviceanbieter Ihre geänderten Stammdaten an die TGIC übermitteln. Die TGIC kann geänderte Stammdaten an TGIC-kompatible Services übermitteln, bei denen Sie angemeldet sind, damit auch diese Services Ihre Stammdaten entsprechend ändern.

Sie willigen hiermit ein, dass die GDV Dienstleistungs-GmbH über die TGIC-Infrastruktur Änderungen Ihrer Stammdaten an die von Ihnen genutzten TGIC-kompatiblen Services zur Aktualisierung Ihrer Benutzerkonten bei diesen Services übermittelt.

Die GDV Dienstleistungs-GmbH kommuniziert mit Ihnen im Hinblick auf die TGIC (z.B. zur Bestätigung der Eröffnung des Benutzerkontos) auch auf elektronischem Wege per E-Mail. Da hierbei keine besonderen Arten personenbezogener Daten übermittelt werden, ist keine besondere Verschlüsselung vorgesehen. Allerdings kann bei der unverschlüsselten E-Mail-Versendung eine Kenntnisnahme von Daten durch unberechtigte Dritte nicht mit letzter Sicherheit ausgeschlossen werden. In Kenntnis dieser Umstände erklären Sie Ihr Einverständnis mit der unverschlüsselten elektronischen Kommunikation und der Zusendung nicht verschlüsselter E-Mails durch die GDV Dienstleistungs-GmbH.

Die Anmeldung bei den jeweiligen Services erfolgt direkt zwischen Ihnen und dem jeweiligen Serviceanbieter. Die TGIC ist an der Erbringung der Services und den dazugehörigen Vertragsverhältnissen mit Ihnen nicht beteiligt.

4. Kostenfreiheit

Einrichtung und Unterhaltung des TGIC-Benutzerkontos sind für Sie kostenfrei. Für die jeweiligen Services können ggf. Kosten oder Gebühren anfallen. Diese sind in den Verträgen mit den jeweiligen Serviceanbietern gesondert geregelt.

5. Kündigung

Der Vertrag wird auf unbestimmte Zeit geschlossen. Beide Parteien können diesen Vertrag und damit das TGIC-Benutzerkonto jederzeit unter Einhaltung einer Kündigungsfrist von acht Wochen zum Monatsende in Textform kündigen. Die Kündigung und Löschung des TGIC-Benutzerkontos kann dazu führen, dass die Nutzung von TGIC-kompatiblen Services – bei denen ein Login über den TGIC-Authentifizierungs-Dienst erfolgt – dann nicht mehr möglich ist.

Solange es zu Revisionszwecken oder aufgrund gesetzlicher Aufbewahrungsvorschriften erforderlich ist, bleiben die Daten ggf. in gesperrter Form gespeichert.

6. Schlussbestimmungen

Es gilt ausschließlich deutsches Recht unter Ausschluss solcher Rechtsnormen, die auf andere Rechtsordnungen verweisen. Gerichtsstand ist Berlin, wenn Sie Kaufmann im Sinne des HGB sind.

Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

Beide Vertragspartner verpflichten sich schon jetzt, unwirksame oder undurchführbare Bestimmungen durch andere zu ersetzen bzw. Regelungslücken durch angemessene Regelungen zu füllen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommen, ihrerseits aber wirksam sind.


Teil 2: Datenschutzinformationen für die Trusted German Insurance Cloud (TGIC)

1 Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung im Sinne von Art. 4 Ziffer 2 EU Datenschutz- Grundverordnung („DSGVO“) von personenbezogenen Daten im Rahmen Registrierung und Nutzung eines TGIC Benutzerkontos der GDV Dienstleistungs-GmbH. Ihre personenbezogenen Daten werden grundsätzlich nur zur Registrierung eines persönlichen TGIC Benutzerkontos sowie zur Anmeldung bei den von Ihnen genutzten TGIC kompatiblen Services genutzt, welche die TGIC Authentifizierung benutzen.

2 Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Ziffer 7 DSGVO für die TGIC ist:

GDV Dienstleistungs-GmbH
Glockengießerwall 1
20095 Hamburg
Telefon: 040 33449-0
Telefax: 040 33449-7050
E-Mail: info[at]gdv-dl.de

3 Informationspflichten zur Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet personenbezogene Daten generell nur, soweit die DSGVO oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder Sie als Nutzer ausdrücklich eine entsprechende Einwilligungserklärung abgegeben haben.

Keine Verpflichtung zur Bereitstellung

Es besteht weder eine vertragliche noch gesetzliche Pflicht zur Bereitstellung von personenbezogenen Daten.

Folgen der Nichtbereitstellung

Für personenbezogene Daten, die für die Bereitstellung unseres Dienstes erforderlich sind (Daten, die bei der Eingabe als Pflichtangaben gekennzeichnet sind) hat die Nichtbereitstellung zur Folge, dass die TGIC-Authentifizierung nicht erbracht werden kann und Sie die TGIC-Authentifizierung sowie die gegebenenfalls hinter der TGIC-Authentifizierung von ihrem Dienstanbieter stehenden Dienste nicht nutzen können.

Einwilligung

Sofern Sie im Rahmen der Registrierung zur TGIC und deren Nutzung eine Einwilligungserklärung zur Verarbeitung Ihrer personenbezogenen Daten abgegeben haben, wurden Sie mit der Abgabe einer etwaig erforderlichen Einwilligungserklärung gesondert über alle Modalitäten und die Reichweite der Einwilligung und über die Zwecke, die mit diesen Verarbeitungen verfolgt werden, informiert.

Speicherdauer

Der Verantwortliche speichert Ihre personenbezogenen Daten nicht länger, als es für die jeweiligen Verarbeitungszwecke nötig ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren befristete Aufbewahrung ist weiterhin notwendig. Gründe für eine erforderliche befristete Aufbewahrung können

  • die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten oder
  • das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen im Rahmen der gesetzlichen Verjährungsvorschriften sein.

Es ist darüber hinaus möglich, Ihre Daten weiter bei uns zu speichern, wenn Sie uns hierfür ausdrücklich Ihre Einwilligung erteilt haben.

3.1 Kategorien der verarbeiteten Daten

Im Rahmend der Nutzung der TGIC werden folgende Datenkategorien verarbeitet:

Datenkategorie Beschreibung
Accountdaten Login-/Benutzerkennung, Passwort, TGIC-ID
Adressdaten Straße, Hausnummer, ggf. Adresszusätze, PLZ, Ort, Land
Anmeldedaten Informationen über den Service, für den Sie sich angemeldet haben; Zeitpunkte und technische Informationen zu Anmeldung
Kontaktdaten Telefonnummer(n), E-Mail-Adresse(n)
Organisation Unternehmenszugehörigkeit/Arbeitgeber
Personenstammdaten Titel, Anrede/Geschlecht, Vorname, Nachname, Geburtsdatum
Zugriffsdaten IP-Adresse, Zugriffszeitpunkt und Zugriffsdauer

3.2 Verarbeitungszwecke

Die Verarbeitung erfolgt für die Erstellung eines Benutzerkontos für die TGIC-Authentifizierung und die damit verbundene Rollen- und Rechtevergabe sowie die Mandantentrennung. Eine zentrale Hauptkomponente der TGIC ist das “Insurance Trust Center (ITC)” in dem die Prinzipien eines Trust Centers implementiert sind.

Eines dieser Prinzipien lautet:

„Eine natürliche Person erhält eine sichere, eindeutige (unique) digitale Identität.“

Vor diesem Hintergrund werden Ihre personenbezogenen Daten zum Zweck der Erstellung einer eindeutigen (unique) digitalen Identität und somit zur Authentifizierung als zulässiger Nutzer der TGIC verarbeitet.

Für die Zertifizierung sind nachzuweisen:

  • Betrieb der TGIC gemäß Anforderungen der ISO27001 auf Basis des BSI IT-Grundschutzes;
  • Implementierung der TGIC nach Common Criteria for Information Technology Security Evaluation (Common Criteria oder CC) und
  • Nachweis der Einhaltung des Datenschutzes.

Beim Nachweis nach Common Criteria werden auch die Konzepte und deren Umsetzung bei der Implementierung geprüft. Die IT-Sicherheit wird bei der Entwicklung der Konzepte auf Basis des „Stand der Technik“ überwacht (z. B. 2-Faktor-Authentisierung, Verschlüsselung).

Die Erstellung einer eindeutigen (unique) digitalen Identität im “Insurance Trust Center (ITC)” erfordert eine eindeutige Identifizierbarkeit Ihrer Person, um den Zertifizierungsanforderungen gerecht zu werden. Dies bedingt, dass

  1. jede natürliche Person vor der Registrierung in der TGIC eindeutig identifiziert werden muss;
  2. bei jeder Registrierung die Anlage von Dubletten vermieden werden muss.

Für die eindeutige Identifizierung und die implizierte Dublettenprüfung in der TGIC sind folgende persönliche Attribute erforderlich:

  • Vorname (entsprechend der Eintragung im Personalausweis)
  • Nachname (entsprechend der Eintragung im Personalausweis)
  • Geburtsdatum.

Für die Authentifizierung des TGIC-Nutzers ist neben der 2-Faktor-Authentisierung (Kennwort, mTAN) auch die eID-Funktion des „neuen Personalausweises“ implementiert. Eine Identifikation über die eID- Funktion erfordert gleichfalls die Abfrage der vorstehenden drei Attribute. Vor diesem Hintergrund sind sie auch für die Identifizierung einer natürlichen Person im mTAN-Verfahren ebenfalls zwingend erforderlich.

3.3 Rechtsgrundlage der Verarbeitung

3.3.1 Wenn Sie über Ihren Arbeitgeber für ein TGIC-Nutzerkonto angemeldet werden

Wenn Ihr Arbeitgeber Sie als Nutzer in der TGIC registriert, erfolgt die Verarbeitung Ihrer personenbezogenen Daten aufgrund eines berechtigten Interesses gemäß Art. 6 Abs. 1 f) DSGVO. Das berechtigte Interesse liegt darin begründet, dass Ihr Arbeitgeber einen sicheren und zertifizierten Authentifizierungsdienst für die Nutzung von Diensten nutzt, welche die TGIC zur sicheren Benutzer- Authentifizierung nutzen.

Die weiteren personenbezogenen Daten werden für die Mandantentrennung sowie die Rechte- und Rollenvergabe benötigt.

a) Verarbeitung personenbezogener Daten

Datenkategorie Verarbeitungszweck Rechtsgrundlage Speicherdauer
Accountdaten Anlage des TGIC-Benutzerkontos und Anmeldung bei TGIC-kompatiblen Services Art. 6 Abs. 1 Buchst. b) DSGVO ggf. Art. 6 Abs. 1 Buchst. f) DSGVO Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Adressdaten Identifizierung des Nutzers und Kommunikation zum TGIC-Benutzerkonto Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Anmeldedaten Protokollierung für Nachvollziehbarkeit (für Reklamationen & Support), Angriffs-/Missbrauchserkennung, Abrechnungszwecke und Statistik. Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs
Kontaktdaten Kommunikation zum TGIC-Benutzerkonto und Nutzung des mTAN-Verfahrens für die Benutzeranmeldung Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Organisation Rollen- und Rechtevergabe Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Personenstammdaten Identifizierung des Nutzers

Rechte- und Rollenvergabe
Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Zugriffsdaten Verbindungsaufbau, Darstellung der Inhalte des Service, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose Art. 6 Abs. 1 Buchst. f) DSGVO

ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs

b) Empfänger personenbezogener Daten

Empfängerkategorie Betroffene Datenkategorie Rechtsgrundlage der Übermittlung
Anbieter von TGIC kompatiblen Services Adressdaten
Kontaktdaten
Accountdaten
Organisation
Personenstammdaten
Art. 6 Abs. 1 Buchst. f) DSGVO

Aufrechterhaltung des TGIC Authentifizierungsdienstes; Sicherheit der Zugänge zu den TGIC kompatiblen Services; Eindeutige Identifizierung des Nutzers

3.3.2 Wenn Sie persönlich einen Vertrag über ein TGIC Nutzerkonto abgeschlossen haben

Wenn Sie persönlich einen Vertrag über die Einrichtung eines TGIC Nutzerkontos abschlossen haben, werden Ihre personenbezogenen Daten wie folgt verarbeitet:

a) Verarbeitung personenbezogener Daten

Datenkategorie Verarbeitungszweck Rechtsgrundlage Speicherdauer
Accountdaten Anlage des TGIC-Benutzerkontos und Anmeldung bei TGIC-kompatiblen Services Art. 6 Abs. 1 Buchst. b) DSGVO Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Adressdaten Identifizierung des Nutzers

Kommunikation zum TGIC-Benutzerkonto
Art. 6 Abs. 1 Buchst. b) DSGVO Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Anmeldedaten Protokollierung für Nachvollziehbarkeit (für Reklamationen & Support), Angriffs-/Missbrauchserkennung, Abrechnungszwecke und Statistik. Art. 6 Abs. 1 Buchst. b) DSGVO; Art. 6 Abs. 1 Buchst. f) DSGVO 6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs
Kontaktdaten Kommunikation zum TGIC-Benutzerkonto und Nutzung des mTAN-Verfahrens für die Benutzeranmeldung Art. 6 Abs. 1 Buchst. b) DSGVO Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Organisation Rollen- und Rechtevergabe Art. 6 Abs. 1 Buchst. b) DSGVO Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Personenstammdaten Identifizierung des Nutzers

Rechte- und Rollenvergabe
Art. 6 Abs. 1 Buchst. b) DSGVO Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Zugriffsdaten Verbindungsaufbau, Darstellung der Inhalte des Service, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose Art. 6 Abs. 1 Buchst. f) DSGVO

ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs

b) Empfänger personenbezogener Daten

Empfängerkategorie Betroffene Datenkategorie Rechtsgrundlage der Übermittlung
Anbieter von TGIC kompatiblen Services Adressdaten
Kontaktdaten
Accountdaten
Organisation
Personenstammdaten
Art. 6 Abs. 1 Buchst. f) DSGVO

Aufrechterhaltung des TGIC Authentifizierungsdienstes; Sicherheit der Zugänge zu den TGIC kompatiblen Services; Eindeutige Identifizierung des Nutzers

3.4 Verarbeitung von personenbezogenen Daten in der TGIC Nutzerverwaltung

Wenn Sie als Organisationsverwalter die Webanwendung zur Benutzerverwaltung (https://user.tgic.gdv.org/TGIC-Nutzerverwaltung/webpages/public/login.html für die produktive Umgebung bzw. https://exttest-user.tgic.gdv.org/TGIC-Nutzerverwaltung/webpages/public/login.html für die externe Testumgebung) besuchen, ist es grundsätzlich nicht erforderlich, dass Sie aktiv Angaben zu Ihrer Person machen. Wenn Sich in der Webanwendung als Organisationsverwalter anmelden, verarbeiten wir Ihre personenbezogenen Daten wie folgt:

a) Informationen zur Verarbeitung

Datenkategorie Zweckbestimmung Rechtsgrundlage Speicherdauer
Accountdaten Sichere Anmeldung als Organisationsverwalter in der TGIC Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
Für die Dauer des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
Anmeldedaten Protokollierung für Nachvollziehbarkeit (für Reklamationen & Support), Angriffs-/Missbrauchserkennung. Art. 6 Abs. 1 Buchst. f) DSGVO

Durchführung des Vertrags mit dem Arbeitgeber des Nutzers.
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs
Zugriffsdaten Verbindungsaufbau, Darstellung der Inhalte des Service, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose Art. 6 Abs. 1 Buchst. f) DSGVO

ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme
6 Monate gemessen ab dem Zeitpunkt des Anmeldevorgangs

b) Empfänger personenbezogener Daten

Empfängerkategorie Betroffene Datenkategorie Rechtsgrundlage der Übermittlung
Anbieter von TGIC Adressdaten
Kontaktdaten
Accountdaten
Organisation
Personenstammdaten
Art. 6 Abs. 1 Buchst. f) DSGVO

ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme

4 Übermittlung Ihrer Daten an sonstige Dritte

Grundsätzlich übermitteln wir personenbezogene Daten, die wir im Rahmen des Betriebs der TGIC verarbeiten, nicht in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Personenbezogene Daten können im Rahmen der gesetzlichen Bestimmungen an Unternehmen außerhalb der GDV Dienstleistungs-GmbH gegeben werden, die wir im Zusammenhang mit der Datenverarbeitung einsetzen. Eine Übermittlung Ihrer Daten an solche Unternehmen für deren eigene Geschäftszwecke erfolgt grundsätzlich nicht, sofern Sie nicht eine gesonderte Einwilligungserklärung abgegeben haben.

4.1 Übermittlung personenbezogener Daten an Drittländer

Wenn wir Daten an Drittländer, d.h. Länder außerhalb der Europäischen Union, übermitteln, dann findet die Übermittlung ausschließlich unter Einhaltung der gesetzlich geregelten Zulässigkeitsvoraussetzungen statt.

Die Zulässigkeitsvoraussetzungen sind durch Art. 44-49 DSGVO geregelt.

4.2 Übermittlung an staatliche Behörden

Wir übermitteln personenbezogene Daten an staatliche Behörden (einschließlich Strafverfolgungsbehörden), wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (Rechtsgrundlage: Art. 6 Abs. 1 Buchst. c) DSGVO) oder es zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Rechtsgrundlage Art. 6 Abs. 1 Buchst. f) DSGVO).

5 Widerspruchsrecht bei einwilligungsbasierter Verarbeitung

Sofern Sie im Rahmen der Erstellung eines TGIC Benutzerkontos eine Einwilligungserklärung über die Verarbeitung Ihrer personenbezogenen Daten abgegeben haben, so können Sie diese Einwilligungserklärung gem. Art. 7 Abs. 3 DSGVO jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf einer Einwilligungserklärung hat auf die Rechtmäßigkeit der Verarbeitung bis zum Widerruf keinen Einfluss. Ein etwaiger Widerruf ist zu richten an

GDV Dienstleistungs-GmbH
Recht Compliance Managementsysteme
Glockengießerwall 1
20095 Hamburg

oder per E-Mail an datenschutz[at]gdv-dl.de.

Der Widerruf bedarf keiner besonderen Form. Durch den Widerruf entstehen Ihnen – mit Ausnahme eventueller Übermittlungs- oder Verbindungsentgelte – keinerlei Kosten.

Bei einem Widerruf einer erteilten Einwilligung werden wir Ihre Daten nicht mehr zu den Zwecken nutzen, welche die Einwilligung erforderlich gemacht haben.

6 Ihre Rechte als Betroffener

Sie haben das Recht auf Auskunft, Berichtigung, Löschung (sofern keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen) und/oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Ferner haben Sie das Recht, die bereitgestellten Daten an sich oder auf einen Dritten übertragen zu lassen sowie das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

6.1 Recht auf Auskunft gem. Art. 15 DSGVO

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.

6.2 Recht auf Berichtigung gem. Art. 16 DSGVO

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

6.3 Recht auf Löschung gem. Art. 17 DSGVO

Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung (bspw. gesetzliche Aufbewahrungsfristen), aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für uns erforderlich ist.

6.4 Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

6.5 Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO

Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

6.6 Widerspruchsrecht gegen die Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO

Sie haben das Recht, jederzeit einer von uns auf ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f) DSGVO begründeten Verarbeitung Ihrer personenbezogenen Daten gemäß Art. 21 Abs. 1 DSGVO zu widersprechen. Ein etwaiger Widerspruch ist zu richten an

GDV Dienstleistungs-GmbH
Recht Compliance Managementsysteme
Glockengießerwall 1
20095 Hamburg

oder per E-Mail an datenschutz[at]gdv-dl.de.

Der Widerspruch bedarf keiner besonderen Form. Durch den Widerspruch entstehen Ihnen – mit Ausnahme eventueller Übermittlungs- oder Verbindungsentgelte – keinerlei Kosten.

Bei einem Widerspruch werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, dass wir für die Verarbeitung zwingende schutzwürdige Gründe vorweisen können, die Ihr Interesse, ihre Rechte und Freiheiten überwiegen oder sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für uns erforderlich ist.

6.7 Recht der Beschwerde gem. Art. 77 DSGVO

Sie haben das Recht, sich bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu beschweren.

Die für die GDV Dienstleistungs-GmbH zuständigen Aufsichtsbehörden finden Sie unter Ziffer 7.

6.8 Wahrnehmung Ihrer Rechte nach Ziffern 6.1 bis 6.6

Ihre Rechte können Sie schriftlich oder per E-Mail bei dem Datenschutzbeauftragten der GDV Dienstleistungs-GmbH geltend machen.

Datenschutzbeauftragter der GDV Dienstleistungs-GmbH ist:

Herr Conny Langkam
Datenschutzbeauftragter
GDV Dienstleistungs-GmbH
Glockengießerwall 1, 20095 Hamburg
Tel.: +49 40 33449-3281
E-Mail: datenschutz[at]gdv-dl.de

7. Zuständige Datenschutzaufsichtsbehörde

Für die GDV Dienstleistungs-GmbH ist der Hamburgische Datenschutzbeauftragte als Aufsichtsbehörde der Freien und Hansestadt Hamburg zuständig.

Freie und Hansestadt Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Prof. Dr. Johannes Caspar
Klosterwall 6 (Block C), 20095 Hamburg
Tel.: 040 / 428 54 - 4040
Fax: 040 / 428 54 - 4000
E-Mail: mailbox[at]datenschutz.hamburg.de


1 Vertrauenswürdige Partner sind Organisationen, die als Schnittstelle zwischen der TGIC und den Endnutzern der TGIC im Rahmen der erstmaligen Anmeldung und Registrierung sowie ggf. der späteren Änderung sensibler Stammdaten agieren. Trusted Partner werden von der GDV Dienstleistungs-GmbH oder von dem Betreiber eines TGIC-kompatiblen Service, der die TGIC zur Authentifizierung von Endnutzern einsetzt, als solche akkreditiert. Die akkreditierten Trusted Partner bestätigen und prüfen die Identität der Endnutzer und die Richtigkeit der Endnutzer-Stammdaten.