Datenschutzerklärung

Vielen Dank für Ihr Interesse an unserem Unternehmen und Ihren Besuch auf unserer Webseite. Im Zuge dieser Datenschutzerklärung möchte die esatus AG (nachfolgend „wir“, „uns“ oder „esatus AG“) über Art, Umfang und Zweck der erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren und der Pflicht nach Transparenz nachkommen, insbesondere durch eine Aufklärung der Rechte von betroffenen Personen.

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (z.B. mittels Zuordnung zu einer Online-Kennung) identifiziert werden kann. Darunter fallen nicht abschließend, Informationen wie der Name, die Anschrift, die Telefonnummer und die E-Mail-Adresse oder weitere physische Merkmale, über die eine natürliche Person identifiziert werden kann. Im Rahmen dieser Datenschutzerklärung sprechen wir Sie als „Sie“, „Nutzer“, oder „betroffene Person“ an.

Diese Datenschutzerklärung gilt für die von uns betriebene Webseite esatus.com, die von uns unterhaltenen Online-Präsenzen in den Sozialen Medien, sowie alle Punkte unter Ziffer 2.2.

1. Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Verantwortlicher der Datenverarbeitung:

esatus AG
Rheinstraße 5
63225 Langen

Tel.: +49 6103 9029-0
E-Mail: info@esatus.com
Webseite: www.esatus.com

Datenschutzbeauftragter:

Tel.: +49 6103 9029-0
E-Mail: dsb@esatus.com

2. Allgemeine Informationen zur Datenverarbeitung

2.1. Informationen zur Datenverarbeitung im Rahmen des Besuchs der Webseite

Im Rahmen des Besuchs der Webseite (esatus.com) verarbeitet die esatus AG unterschiedliche personenbezogene Daten, welche sich nach der Art der Verarbeitung richten. Diese Verarbeitungsprozesse werden im nachfolgenden Abschnitt erläutert.

2.2. Betrieb der Webseite

Das Hosting dieser Webseite erfolgt im Eigenbetrieb der esatus AG. Ein Datentransfer in ein Drittland erfolgt nicht. Für den sicheren Betrieb dieser Webseite werden beim Aufrufen automatisiert Daten in sogenannten Logfiles erfasst. Die Datenübertragung findet durch den von Ihnen verwendeten Browser automatisch an den Server der esatus AG übermittelt. Folgende Daten werden hierbei übermittelt:

  • Browsertyp/ und –version
  • verwendetes Betriebssystem
  • Referer-URL (die zuvor besuchte Website)
  • IP-Adresse des zugreifenden Rechners
  • Uhrzeit sowie Datum der Serveranfrage

Rechtsgrundlage für diesen Verarbeitungsprozess bildet hierbei der Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse). Die Bereitstellung und der Betrieb der Webseite sowie Browseroptimierung und Aufrechterhaltung der Sicherheit dieser Webseite stellen hierbei das berechtigte Interesse der esatus AG dar. Eine Auswertung der Logfiles findet ausschließlich zum Zwecke der Sicherheit dieser Webseite sowie statistischen Auswertungen statt. Eine Zusammenführung dieser Daten mit anderen Daten und Datenquellen wird nicht vorgenommen. Für die Sicherstellung der Sicherheit setzt die esatus AG eine Intrusion-Detection ein. Rechtsgrundlage für die Verarbeitung von Systemlogs für die Intrusion Detection bildet hierbei der Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse).

Bei einer Intrusion-Detection handelt es sich um die aktive Überwachung von Computersystemen und/oder -netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Das Ziel von einer Intrusion-Detection besteht darin, aus allen im Überwachungsbereich stattfindenden Ereignissen diejenigen herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Ereignisse sollen dadurch zeitnah erkannt und gemeldet werden können. Für die Intrusion-Detection werden entsprechende Logfiles erstellt. Sollte durch die Intrusion-Detection eine Anomalie festgestellt werden, erfolgt eine entsprechende Rückverfolgung der betroffenen IP-Adresse.

Neben der esatus AG empfangen keine weiteren Unternehmen die oben aufgeführten Daten. Eine Speicherung dieser Daten erfolgt für einen Zeitraum von 28 Tage. Ausnahme stellt hierbei die Feststellung von Anomalien durch die Intrusion-Detection dar. Sollten aufgrund von entsprechenden Ereignissen (z. B. Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen) Daten aus Beweisgründen aufgehoben werden müssen, sind diese Daten so lange von der Löschung ausgenommen, bis der jeweilige Vorfall endgültig geklärt worden ist. Nach Ablauf dieser Speicherfrist bzw. endgültige Klärung des Vorfalls, werden alle entsprechenden Daten gelöscht oder die IP-Adresse wird anonymisiert.

2.1.2. Kontaktaufnahme über die Webseite

Sie können über unser Kontaktformular auf unserer Webseite jederzeit eine Anfrage an uns senden. Hierbei werden folgende Informationen abgefragt:

  • Anrede
  • Vor- und Nachname
  • Bundesland
  • E-Mail-Adresse
  • Freitextfeld, welches von Ihnen eigenständig befüllt wird

Alle weiteren Daten, die Sie uns über das Freitextfeld übermitteln, erfolgen freiwillig. Zudem werden automatisiert Ihre IP-Adresse sowie Uhrzeit und Datum an uns übermittelt. Neben unserem Kontaktformular können Sie uns über die, auf der Webseite kommunizierten, E-Mail-Adressen kontaktieren. Hierbei werden die in Ihrer Nachricht (E-Mail) enthaltenen Daten in Abhängigkeit des Zwecks der Nachricht verarbeitet. Die Verarbeitung der Daten erfolgt ausschließlich für die jeweilige Beantwortung Ihrer Anfrage und die damit einhergehende Kommunikation. Bitte beachten Sie, dass E-Mails in Abhängigkeit Ihres Providers im Regelfall unverschlüsselt übertragen werden. Wir können somit keinerlei Verantwortung für den Übertragungsweg übernehmen. Sollten Sie mit uns telefonisch in Kontakt treten, verarbeiten wir im Rahmen des Gespräches Ihre Telefonnummer sowie alle durch Sie freiwillig kommunizierten Daten.

Die Rechtsgrundlage für die Kontaktaufnahme über unsere Webseite hängt von dem Inhalt Ihrer Anfrage ab. Grundsätzlich gilt für die Kontaktaufnahme über die Webseite die Rechtsgrundlage aus Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse). Das berechtigte Interesse besteht hierbei in der Bereitstellung der Kontaktfunktionalität sowie der Beantwortung Ihrer darüber übermittelten Anfragen. Die IP-Adresse sowie der Zeitstempel, welcher automatisiert mit Ihrer Nachricht übermittelt werden, dienen der Vermeidung und Nachvollziehbarkeit von Missbrauch unseres Kontaktformulars. Die Verarbeitung aller Daten die Rahmen des Freitextfeldes von Ihnen freiwillig an uns übertragen werden, erfolgt nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung). Die von Ihnen übermittelten Daten werden in der Regel nach abschließender Bearbeitung Ihrer Anfrage und Zweckerfüllung gelöscht.

Informationen zum Prozess der Übermittlung von Daten im Rahmen einer Bewerbung können Sie Abschnitt 2.2.2. entnehmen.

2.1.3. Cookies​

Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Ein Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung Ihres Browsers beim erneuten Aufrufen der Webseite ermöglicht. Auf unserer Webseite werden nur Cookies in Form von Session-IDs verwendet. Session-IDs ermöglichen es uns, Sie, während des Besuchs auf unserer Seite, zu identifizieren, um Ihnen beispielsweise dauerhaft die von Ihnen gewählte Sprache anzuzeigen. Session-IDs werden meist automatisch vom Browser akzeptiert. Diese Funktion können Sie deaktivieren, was jedoch zu Beeinträchtigungen in der Nutzung führen kann. In Session-IDs sind keinerlei in Klartext lesbare Informationen enthalten. Session-IDs werden benötigt, um die Nutzung unserer Webseite komfortabler zu gestalten. Hierbei bildet Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) die Rechtsgrundlage. Die Session-IDs werden temporär auf Ihrem Rechner gespeichert und nach Verlassen der Browsersitzung und der damit verbundenen Schließung des Browsers wieder gelöscht.

2.1.4. Einbettung von YouTube-Videos

Auf unserer Webseite erfolgt eine technische Einbettung von YouTube Videos. Eine Datenverarbeitung durch YouTube beginnt erst, wenn die betroffene Person den Inhalt selbstständig per Klick aktiviert. Rechtgrundlage bildet der Art. 6 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung). Da personenbezogene Daten erst durch Aktiveren des Inhalts übermittelt werden, ist auf die Datenschutzerklärung von YouTube zu verweisen.

YouTube: Diensteanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

2.2. Informationen zur Datenverarbeitung unabhängig von der Website

Unabhängig vom Besuch dieser Webseite verarbeitet die esatus AG personenbezogene Daten nur

  • zur Durchführung von Veranstaltungen (z.B. Workshops)
  • zur Erfüllung von Datenerhebungspflichten der Corona-Kontakt- und Betriebsbeschränkungsverordnung des Bundeslandes Hessen
  • zur Anbahnung von Beschäftigungsverhältnissen
  • zur Durchführung von Vertragsanbahnungen sowie vertraglichen oder rechtlichen Verpflichtungen im Rahmen der Nutzung des Produktes „SOWL“
  • zur Bereitstellung der esatus Wallet App
  • zur Durchführung der elektronischen Kommunikation (E-Mailversand)
  • zur Außendarstellung sowie Werbezwecke in sozialen Medien
  • zur Dokumentation der Kunden- und Bestellhistorie
  • zur Verwendung von Fotoaufnahmen von Veranstaltungen für Werbezwecke
  • zu weiteren Zwecken, die explizit auf Einwilligungserklärungen angegeben werden.

Darüber hinaus gilt die vorliegende Datenschutzerklärung auch für die Auftritte in den sozialen Medien (LinkedIn, Twitter und XING) der esatus AG.

2.2.1. Durchführung von Veranstaltungen

Im Rahmen der Anbahnung und Durchführung von Veranstaltungen verarbeitet die esatus AG in Abhängigkeit vom Veranstaltungstyp unterschiedliche personenbezogene Daten wie beispielsweise

  • Vor- und Nachname
  • Kontaktdaten (Adresse, Telefonnummer, E-Mail-Adresse)
  • Jobtitel und Berufsbezeichnung
  • Arbeitgeber oder Bildungseinrichtungen

Alle Daten, die im Rahmen einer Veranstaltung verarbeitet werden, dienen der Anbahnung sowie Durchführung der entsprechenden Veranstaltung. Die Rechtsgrundlage dieser Verarbeitung bildet Art. 6 Abs. 1 S. 1 lit. a) und b) DSGVO (Einwilligung und Erfüllung eines Vertrages). Ihre Daten werden nach Durchführung der Veranstaltung gelöscht. Eine Datenübermittlung an Dritte findet hierbei grundsätzlich nicht statt. Ausnahme bildet hierbei die Meldung an die zuständige Gesundheitsbehörde bei bekannt werden einer COVID-19 Erkrankung bei Teilnehmer:innen der jeweiligen Veranstaltung. Rechtsgrundlage für die Erfassung der Daten der Teilnehmer:innen sowie der Weitergabe an die zuständige Behörde bildet hierbei die Erfüllung der Datenerhebungspflichten der Corona-Kontakt- und Betriebsbeschränkungsverordnung des Bundeslandes Hessen gem. § 1 Abs. 4 und § 4 CoSchuV ergänzend zu § 28a Abs. 4 IfSG sowie Art.  6 Abs. 1 S. 1 lit. c) DSGVO (Erfüllung einer rechtlichen Verpflichtung). Die Daten, welche für die Erfüllung der Datenerhebungspflichten der Corona-Kontakt- und Betriebsbeschränkungsverordnung des Bundeslandes Hessen benötigt werden, werden gem. § 28a Abs. 4 IfSG vier Wochen aufbewahrt und anschließend gelöscht.

Informationen zu Daten, die im Rahmen von Veranstaltung für Zwecke einer Bewerbung an die esatus AG kommuniziert bzw. übermittelt wurden können Sie Abschnitt 2.2.2 entnehmen.

2.2.2. Anbahnung von Beschäftigungsverhältnissen

Im Rahmen der Anbahnung von Beschäftigungsverhältnissen verarbeitet die esatus AG in der Regel alle personenbezogenen Daten, die durch Sie freiwillig während des Bewerbungsprozesses elektronisch oder postalisch an uns kommuniziert werden. Diese Daten sind beispielsweise Personalien und Qualifikationspapiere. Eine Übertragung der Daten kann, je nach genutzten Verfahren, durch die betroffene Person in unverschlüsselter Weise erfolgen.

Zweck dieser Verarbeitung ist Durchführung des Bewerbungsprozesses inkl. Kommunikation über die diversen Kanäle. Die Rechtsgrundlage bildet hierbei Art. 6 Abs. 1 S. 1 lit. a) und b) DSGVO (Einwilligung und Durchführung vorvertragliche Maßnahmen), Art. 88 Abs. 1 DSGVO (Datenverarbeitung im Beschäftigungskontext) sowie § 26 Abs. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Ihre Daten werden nach Abschluss des Bewerbungsverfahrens sowie nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht, sofern es nicht zu einem Beschäftigungsverhältnis kommt.

2.2.3. Außendarstellung sowie Werbezwecke in sozialen Medien

Die esatus AG unterhält zum Zwecke der Außendarstellung sowie Werbung folgende Präsenzen in sozialen Medien:

  • LinkedIn (LinkedIn Ireland Unlimited Company, Gardner House, 2 Wilton Pl, Dublin 2, Irland)
  • Twitter (Twitter Inc., 1355 Market St #900, San Francisco, CA 94103, United States)
  • XING (New Work SE, Am Strandkai 1, 20457 Hamburg, Deutschland)

Im Rahmen der Nutzung von sozialen Medien veröffentlicht die esatus AG neben produkt- und fachspezifischen Themen auch Beiträge zu Mitarbeitern, welche im beruflichen Kontext stehen (z.B. Teilnahme an geschäftlichen Veranstaltungen). Die Nennung der Mitarbeiter erfolgt in der Regel über eine Verlinkung des jeweiligen Profils des Mitarbeiters. Folgende Datenarten werden in diesem Zusammenhang verarbeitet:

  • Kontaktdaten (z.B. E-Mail-Adresse)
  • Inhaltsdaten (z.B. Daten in einem Freitextfeld)

Der Unterhalt dieser Präsenzen dient der Kommunikation mit den Nutzern der jeweiligen sozialen Plattform sowie der Kommunikation über Leistungen der esatus AG. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse). Unter Umständen haben Sie einem der oben aufgeführten Plattformbetreiber eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

Durch die esatus AG werden keine Nutzungsdaten (z.B. Zugriffe auf Webseiten und Inhalte) sowie Metadaten (z.B. IP-Adresse) verarbeitet. Eine Verarbeitung dieser Daten erfolgt nur durch den jeweiligen Anbieter des sozialen Netzwerkes. Auf die sonstige Verarbeitung Ihrer personenbezogenen Daten im Rahmen der genannten Webseiten haben wir keinen Einfluss und sind insoweit nicht Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Es gelten die jeweiligen Datenschutzerklärungen der Betreiber, der oben genannten Plattformen.

2.2.4. Verwendung von Fotoaufnahmen von Veranstaltungen für Werbezwecke

Im Rahmen von Veranstaltungen werden in der Regel auch Fotoaufnahmen durch die esatus AG oder durch einen entsprechend beauftragten Dienstleister angefertigt. Diese Bilder werden entsprechend der von den Teilnehmer:innen der Veranstaltung freiwillig unterschrieben Einwilligungserklärung veröffentlicht. Die esatus AG nutzt Fotoaufnahmen von Veranstaltungen für Werbezwecke auf verschiedenen Kanälen, wie beispielsweise die Webseite und den sozialen Medien. Die esatus AG möchte daher darauf aufmerksam machen, dass bei einer Veröffentlichung im Internet die personenbezogenen Daten (einschließlich Fotos) weltweit abgerufen und gespeichert werden können. Die Daten können damit etwa auch über Suchmaschinen aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden.

Rechtsgrundlage für diesen Verarbeitungsprozess stellt Art. 6 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung) dar. Die Einwilligung kann durch die betroffene Person jederzeit widerrufen werden. Hierfür bitten wir die betroffene Person eine E-Mail an folgende Adresse zu senden: dsb@esatus.com. Die Daten werden alle gelöscht, sobald ein Widerspruch der Einwilligung zur Nutzung der Fotoaufnahmen vorliegt. Die esatus AG wird die entsprechenden Fotoaufnahmen auf allen ihren Kanälen entsprechend löschen.

2.2.5. Durchführung von Vertragsanbahnungen sowie vertraglichen oder rechtlichen Verpflichtungen im Rahmen der Nutzung des Produktes „SOWL“

Bei SOWL handelt es sich um einen sogenannten Cloud Agent, einem Identitätsmanagementsystem für digitale Identitäten (Credentials). Im Rahmen der Nutzung von SOWL werden durch das jeweilige Unternehmen, welches SOWL im Einsatz hat, personenbezogene Daten verarbeitet. Hierbei kann die Datenverarbeitung sowohl den Prozess der Identitäts- und Credentialausstellung als auch die Identitätsüberprüfung über ein entsprechendes Credential umfassen.

SOWL kann sowohl im Eigenbetrieb (Hosting durch den Kunden) als auch durch die esatus AG betrieben (SaaS) werden. Die esatus AG verfügt über keinen Zugriff auf die SOWL Instanzen, die bei dem jeweiligen Kunden im Eigenbetrieb gehostet werden. Für SOWL wird täglich ein Lizenz-Sync durchgeführt. Der tägliche Lizenz-Sync schickt der esatus AG entsprechende Metadaten zum jeweiligen System. Bei diesen Metadaten handelt es sich um folgende Daten (kein Personenbezug):

  • Anzahl der Proofs
  • Anzahl der ausgestellten Credentials
  • Anzahl der Revocations
  • Anzahl der Identitäten
  • Anzahl der Fehler
  • Anzahl der Warnungen
  • Lizenz-ID

Bei Kunden, die das Hosting von SOWL über die esatus AG betreiben lassen, kann die esatus AG ihm Rahmen der Supportzwecke nach entsprechender Freigabe durch den Kunden, auf die jeweilige SOWL Instanz zugreifen. Das Hosting aller produktiven SOWL Instanzen erfolgt bei Amazon Web Services (AWS). Die von der esatus AG in Anspruch genommenen Dienstleistungen von AWS erfolgen ausschließlich im innerdeutschen Raum. Es handelt sich hierbei um Serverkapazitäten, die im eucentral1 (Frankfurt) betrieben werden. Die Löschung entsprechender personenbezogener Daten liegt in der Verantwortung des jeweiligen Kunden, welcher die SOWL Instanz verwendet.

Sollten Sie eine Produktdemo der esatus AG nutzen (z. B. einen SOWL Demozugang), so verarbeitet die esatus AG, neben technischen Daten zur Sicherstellung der Funktionalitäten von SOWL, keine weiteren personenbezogenen Daten von Ihnen. Bei den Daten, die zur Demonstration der Funktionalitäten genutzt werden, handelt es sich um Testdaten, die nichts mit der Identität des Users zu tun haben. Alle Kunden der esatus AG werden explizit dazu angehalten keine Echtdaten mit Personenbezug im Demobereich zu verwenden. Die SOWL Demoumgebung wird bei Microsoft Azure betrieben. Es handelt sich hierbei um Serverkapazitäten, die bei Microsoft Azure in der Region Germany West Central betrieben werden.

2.2.6. Bereitstellung der esatus Wallet App

Zweck der esatus Wallet App ist eine schnelle Authentifizierung bzw. Freigabe von personenbezogenen, verifizierten Daten, die die Nutzer selbstständig auf ihrem Endgerät speichern und verwalten.

Download der esatus Wallet App aus dem Apple-App Store oder dem Google Play Store

Soweit beim Herunterladen der App aus dem Apple-App Store oder dem Google Play Store auf Ihr mobiles Endgerät personenbezogene Daten verarbeitet werden, haben wir auf diese Datenverarbeitung keinen Einfluss. Seitens der esatus AG werden in diesem Zusammenhang keine Daten verarbeitet. Für Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Storenutzung, verweisen wir auf die Datenschutzerklärung des jeweiligen Betreibers.

Der Apple-App Store sowie der Google Play Storestellen der esatus AG Informationen zu den erfolgten Downloads über den Kundenbereich zur Verfügung gestellt. Hierbei handelt es sich um anonymisierte Daten die ausschließlich für statistische Zwecke zur Verfügung gestellt werden. Bei den bereitgestellten Informationen handelt es sich um folgende Daten:

  • Hersteller
  • Betriebssystem-Version
  • App-Version
  • Gerätebezeichnung
  • Land

Rechtsgrundlage für die Datenverarbeitung im Rahmen der technischen Bereitstellung ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, diese erfolgt durch den von Ihnen ausgewählten App Store. Wir sind insoweit nicht Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Nutzung der esatus Wallet App

Bei Nutzung der esatus Wallet App, haben die esatus AG oder Dritte keinen Zugriff auf personenbezogene Daten, der Nutzer über die App verwalten. Die Ausnahme bildet hierbei die explizite Freigabe entsprechender Daten durch den Nutzer der esatus Wallet App. Der Nutzer kann dabei einsehen, welche seiner Daten von einer dritten Partei angefordert werden und muss dieser Übertragung aktiv zustimmen.

Damit eine Anfrage zur Datenfreigabe an Sie gesendet werden kann, muss im ersten Schritt der entsprechende QR Code auf der Webseite mit der von Ihnen genutzten esatus Wallet App gescannt werden. Nachdem Sie diesen QR Code gescannt haben, erhalten Sie eine Verbindungsanfrage. Damit im weiteren Verlauf den entsprechenden Service genutzt werden kann, ist die Annahme der Verbindungsanfrage notwendig. Bei dem Aufbau der Verbindung werden entsprechende Decentralized Identifiers (DIDs), welche explizit für diese Verbindung generiert wurden, zwischen Ihnen und dem Serviceanbieter ausgetauscht. Nach erfolgreichem Verbindungsaufbau starten Sie  in durch in der Regel den Scann eines weiteren QR Codes den eigentlichen Proof-Prozess. Bei diesem Prozess wird Ihnen, ähnlich dem Verbindungsaufbau, eine Anfrage gestellt. Diese Anfrage wird Ihnen über die zuvor aufgebaute, verschlüsselte Verbindung gestellt. Erst wenn Sie bei der Anfrage auf „teilen“ klicken erfolgt die Übertragung der Daten. Bei der Übertragung Ihrer Daten wird eine sichere Transportverschlüsselung (https), sowie asymmetrische Verschlüsselung durch Nutzung des DIDComm Protokolls verwendet. Für weitere Informationen ist auf die Dokumentation von Seiten des W3C zu verweisen (siehe www.w3.org/TR/did-core/).

Bei diesem Vorgang wird die jeweilige dritte Partei (Serviceanbieter) zum Verarbeiter der Daten und erhält diese direkt an den angegebenen Serviceendpunkt übermittelt. Alle Daten, die der Nutzer über die App verwalten möchten, werden auf Ihrem Mobiltelefon gespeichert und nicht versendet, es sei denn der Nutzer stimmt dem Versand ausdrücklich zu. Darüber hinaus besteht die Möglichkeit eine permanente Einwilligungserklärung für den Versand von Daten an eine vorhandene und bekannte Verbindung zu geben. Diese Funktion ist nach Installation der App deaktiviert und der Nutzer muss diese aktiv auswählen. Rechtsgrundlage für beide Verarbeitungsprozesse bildet hierbei der Art. 6 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung). Diese Einwilligung kann jederzeit widerrufen werden.

Des Weiteren bietet die Wallet App die Funktion des automatischen Downloads von Credential Bildern. Diese Funktion ist per Default deaktiviert, kann jedoch freiwillig von Ihnen aktiviert werden. Rechtsgrundlage bildet hier der Art. 6 Abs. 1 S.1 lit. a) DSGVO (Einwilligung). Wenn diese Funktion aktiviert ist, werden Informationen wie beispielsweise die IP und Credential Defintition an die esatus AG übermittelt.

Bei der Verarbeitung, z. B. der Übermittlung von sie betreffende personenbezogene Daten, durch einen sogenannten Proof (Nachweisanfrage) von Dritten, bitte für Informationen zur Verarbeitung der sie betreffenden Daten die entsprechende Datenschutzerklärungen des Dritten einsehen. Die esatus AG hat keinen Zugriff auf die ein- und ausgehende Verbindungen Dritter und kann auch keine Daten in diesem Zusammenhang einsehen.

Sicherstellung der Funktionsweise der esatus Wallet App

Um die Funktionen der esatus Wallet App zu gewährleisten und sicherzustellen, dass personenbezogene, verifizierte Daten beim entsprechenden Empfänger ankommen, werden technische Informationen, wie:

  • IP-Adressen,
  • Ihre Geräte ID bei Ihrem Betreiber des Push-Services (Google oder Apple) oder
  • Ihr verwendetes Betriebssystem, verarbeitet.

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse). Hierbei besteht unser Interesse darin, den Nutzer auch bei geschlossener App über Aktivitäten informieren zu können und im Prozessablauf schnelle Reaktionszeiten zur Verfügung zu stellen.

Push-Service für Mitteilungssendung, wenn die App geschlossen ist

Bei dem Push Service handelt es sich um einen betriebsinternen Service bzw. Mitteilungen, die Ihnen auch dann auf Ihr Mobilgerät gesendet werden, wenn Sie unsere App gerade nicht benutzen. Sie können diese Push-Benachrichtigungen jederzeit in den App-Einstellungen Ihres Mobilgeräts (Appel Gerät) ein- und ausschalten. Wenn Sie  – beim ersten Starten der App – erstmalig die Push-Mitteilungen aktivieren bzw. das Senden von Push Mitteilungen erlauben, wird eine eindeutige Kennnummer Ihres Mobilgeräts (Geräte-ID) an den Dienst kommuniziert, der bei Ihrem Betriebssystemanbieter die Push-Funktionalität bereitstellt (bei Android: „Firebase Messaging Cloud“, bei iOS „Apple Push Notification Service“). Die Zustimmung für das Senden von Pushbenachrichtigungen kann je nach Anbieter variieren, der zuvor erläuterte Prozess mit der Zustimmung beim erstmaligen Öffnen der App entspricht dem Vorgehen von Apple. Der Push-Service Dienst liefert einen sog. Identifier („Push Notification Identifier“) zurück, der keine Rückschlüsse mehr auf die Geräte-ID und somit auf Sie als Nutzer zulässt. Die Kommunikation mit dem Push-Server erfolgt danach immer mit diesem Identifier. Zweck der Verarbeitung des Identifiers ist allein die Erbringung des Push-Service. Für Informationen zum Push Service bitten wir Sie die Datenschutzerklärung Ihres entsprechenden Anbieters des jeweiligen Betriebssystems einzusehen, da es sich um einen betriebssysteminternen Vorgang handelt

Im Rahmen dieser Verarbeitung sind entsprechende Empfänger von Daten Microsoft Azure für das Hosting des Notification Hubs und Google für die Push Notification Services unter Android Geräten sowie Apple für Push Notification Services unter iOS Geräten.

Überprüfung der Sicherheit der esatus Wallet App

Zur Überprüfung der Sicherheit der esatus Wallet App und ihrer weiteren Entwicklung nutzen wir den SafetyNet Service von Google. Da dieser Service bereits im Rahmen der Google Play Services auf ihrem Gerät vorinstalliert ist, erfolgt seitens der esatus AG keine Datenverarbeitung. Es ist insoweit auf die Datenschutzerklärung des Herstellers des Betriebssystems zu verweisen.

Mediation Agent

Die für den Transport notwendige eingehende Übertragung über den von der esatus AG bereitgestellten Server (Mediation Agent) erfolgt stets über eine sichere Transportverschlüsselung (https), sowie asymmetrische Verschlüsselung durch Nutzung des DIDComm Protokolls und ist nur vom Empfänger und Sender entschlüsselbar. Für weitere Informationen zum DIDComm Protokoll verweisen wir auf die Dokumentation des W3C (siehe www.w3.org/TR/did-core/). Für weitere Informationen zur Verarbeitung von personenbezogenen Daten durch den Sender von Anfragen (Dritte) bitten die entsprechenden Datenschutzerklärungen des individuellen Datenempfängers zu berücksichtigen, der Ihre personenbezogenen Daten ggf. verarbeitet und als Verantwortlicher i. S. v. Art. 4 Ziff. 7 DSGVO zu klassifizieren ist. Der Mediation Agent wird auf Servern von AWS betrieben. Es handelt sich hierbei um Serverkapazitäten die im eucentral1 (Frankfurt) von AWS betrieben werden.

Nutzung der Produktdemo

Sollten Sie eine Produktdemo der esatus AG nutzen (z. B. die Covid Credential Demo auf der Webseite), so verarbeitet die esatus AG, neben technischen Daten zur Sicherstellung der Funktionalitäten der App, sowie der bereits zuvor genannten Daten (siehe 2.1 sowie 2.2.6) keine weiteren personenbezogenen Daten von Ihnen. Bei den Daten, die zur Demonstration der Funktionalitäten genutzt werden, handelt es sich um Testdaten, die nichts mit der Identität des Users zu tun haben. Für weitere Informationen zur Verarbeitung der technischen Daten zur Aufrechterhaltung der Sicherheit und der Rechtgrundlage dieser Verarbeitung ist nach oben zu verweisen.

2.2.7. Dokumentation der Kunden und Bestellhistorie und verbundene Verarbeitungszwecke

Im Rahmen der Dokumentation von Kundendaten und der Bestellhistorie verarbeitet die esatus AG personenbezogene Daten, die durch unsere Kunden oder zukünftige Kunden an uns übermittelt wurden. Diese sind beispielsweise und nicht abschließend:

  • Vollständiger Name
  • Anrede
  • Vollständige Anschrift
  • Bankdaten (z.B. IBAN)
  • Weitere Informationen, die für die Durchführung des Vertrags notwendig sind

Zweck dieser Verarbeitung ist die ordnungsgemäße Aufrechterhaltung unserer Geschäftstätigkeit und Nachvollziehbarkeit von Geschäftsprozessen. Rechtsgrundlage bildet der Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) sowie Art. 6 Abs. 1 S. 1 lit. b) DSGVO (Durchführung von vorvertraglichen Maßnahmen und Vertragserfüllung). Für alle Daten, die Sie in diesem Zusammenhang freiwillig an uns übermitteln, ist der Art. 6 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung) als einschlägige Rechtsgrundlage zu betrachten. Alle entsprechenden Daten werden von der esatus AG für die Dauer der Zweckerfüllung gespeichert. Darüber hinaus kann eine weitere Verarbeitung zur Erfüllung gesetzlicher Verpflichtungen erforderlich sein. Im Rahmen der Verarbeitung von personenbezogenen Daten zur Erfüllung gesetzlicher Vorschriften (z.B. handelsrechtliche oder steuerrechtliche Aufbewahrungsfristen) im Zusammenhang mit der Geschäftstätigkeit der esatus AG bildet der Art. 6 Abs. 1 S. 1 lit. c) DSGVO (rechtliche Verpflichtung) die einschlägige Rechtsgrundlage. Eine Verarbeitung erfolgt bis zur Erfüllung der gesetzlichen Verpflichtungen.

Darüber hinaus kann eine Verarbeitung von personenbezogenen Daten zur Geltendmachung von rechtlichen Ansprüchen erforderlich sein. Rechtsgrundlage bildet der Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse), wobei unser Interesse die Aufklärung und etwaige Abwehr von Ansprüchen darstellt. Eine Verarbeitung erfolgt nur im Rahmen und bis zum Abschluss der Geltendmachung etwaiger Ansprüche statt.

3. Rechte von betroffenen Personen

Alle folgenden Rechte von betroffenen Personen können jederzeit formlos z. B. durch eine Anfrage per Mail an dsb@esatus.com in Anspruch genommen werden. Durch Ansprache per E-Mail oder Ansprache bei einem Mitarbeiter wird die Anfrage unverzüglich bearbeitet und durchgeführt. Die nachfolgend genannten Rechte gelten für alle Verarbeitungstätigkeiten der esatus AG.

Die betroffene Person hat das Recht ihre zuvor erteilte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO zur Verarbeitung ihrer personenbezogenen Daten jederzeit für die Zukunft zu widerrufen. Der Widerruf der Einwilligung berührt die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten, die seit der Einwilligung bis zum Widerruf vorgenommen wurden, nicht.

3.1. Recht auf Auskunft gem. Art. 15 DSGVO

Betroffene Personen haben das Recht eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.

Darüber hinaus betroffene Personen das Recht unentgeltlich eine Auskunft über die sie betreffenden personenbezogenen Daten anzufordern und eine Kopie dieser zu erhalten. Neben der Kopie werden folgende Informationen zur Verfügung gestellt:

  • Verarbeitungszwecke
  • Kategorien der personenbezogenen Daten
  • Empfänger bzw. Kategorien von Empfängern in Drittländern oder internationalen Organisationen
  • Falls möglich, die geplante Dauer der Speicherung der personenbezogenen Daten und, falls dies nicht möglich, die Kriterien zur Festlegung der Dauer
  • Das Bestehen weiterer Betroffenenrechte, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten

Sollten die Daten zudem in ein Drittland oder eine internationale Organisation übermittelt werden, werden geeignete Garantien, wie die Verwendung von EU-Standardvertragsklauseln, kommuniziert.

3.2. Recht auf Berichtigung gem. Art. 16 DSGVO

Betroffene Personen haben das Recht eine Berichtigung von unrichtigen personenbezogenen Daten zu verlangen und unter Berücksichtigung der Zwecke der Verarbeitung eine Vervollständigung unvollständiger Daten zu verlangen.

3.3. Recht auf Löschung bzw. Recht auf Vergessenwerden gem. Art. 17 DSGVO

Betroffene Personen haben das Recht eine Löschung der sie betreffenden personenbezogenen Daten zu verlangen, welche nach Anforderung unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und die Verarbeitung nicht erforderlich ist:

  • Die personenbezogenen Daten wurden für Zwecke erhoben oder auf sonstige Art verarbeitet, für welche sie nicht mehr notwendig sind
  • Die betroffene Person widerruft ihre Einwilligung zur Verarbeitung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor bzw. die betroffene Person legt Widerspruch gegen Direktwerbung ein
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • Die Löschung der Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben

Hat die esatus AG personenbezogene Daten der betroffenen Person öffentlich gemacht und ist gemäß Art. 17 Abs. 1 DSGVO zur Löschung verpflichtet, so trifft die esatus AG unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist.

3.4. Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO

Betroffene Personen haben das Recht auf Einschränkung der Verarbeitung, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten (für eine Dauer, die eine Prüfung durch den Verantwortlichen zulässt)
  • Die Verarbeitung ist unrechtmäßig, jedoch lehnt die betroffene Person eine Löschung ab und verlangt eine Einschränkung der Nutzung
  • Der Verantwortliche benötigt die Daten für die Zwecke der Verarbeitungen nicht mehr, die betroffene Person benötigt diese jedoch zur Geltendmachung oder Ausübung bzw. Verteidigung von Rechtsansprüchen
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen oder die schutzwürdigen Interessen des Betroffenen überwiegen

3.5. Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO

Betroffene Personen haben das Recht auf Datenübertragbarkeit. Durch dieses Recht erhalten Betroffene den Anspruch, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die betroffene Person hat damit das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln bzw. die Übertragung von dem alten Verantwortlichen zum neuen Verantwortlichen anzufordern.

3.6. Recht auf Widerspruch gem. Art. 21 DSGVO

Die betroffene Person kann Widerspruch gegen die Datenverarbeitung einlegen, die auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) erfolgt. Dies hat zur Folge, dass die weitere Datenverarbeitung untersagt wird, es sein denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Verarbeitet die esatus AG personenbezogene Daten zur Direktwerbung, so kann jederzeit Widerspruch eingelegt werden.

Für die Mitteilung eines Widerspruchs bitten wir die betroffene Person eine E-Mail an folgende Adresse zu senden: dsb@esatus.com oder uns postalisch zu kontaktieren. Die postalische Adresse können Sie den Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten entnehmen.

3.7. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling gem. Art. 22 DSGVO

Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling.

3.8. Beschwerderecht bei der Aufsichtsbehörde gem. Art. 77 DSGVO

Wenn Sie den Eindruck haben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche in irgendeiner Form verletzt worden sind, können Sie sich bei dem Hessischen Datenschutzbeauftragten beschweren:
https://datenschutz.hessen.de/service/beschwerde

4. Dauer der Speicherung

Die Dauer der Speicherung von personenbezogenen Daten ist von der entsprechenden gesetzlichen Aufbewahrungsfrist und dem Zweck der Verarbeitung abhängig. Sobald die gesetzliche Aufbewahrungsfrist abläuft oder der Zweck der Verarbeitung erlischt, werden die personenbezogenen Daten gelöscht, sofern diese nicht zur Vertragserfüllung oder –anbahnung erforderlich sind. Begründete Abweichungen können sich im Rahmen einzelner Verarbeitungsprozesse ergeben, auf die wir gesondert hinweisen werden.

Durch die Weiterentwicklung unserer Webseite, sowie unserer sonstigen Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern.

Stand der Bearbeitung: 08.10.2021