Version 1.0
Stand: Juni 2018

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Wir möchten, dass Sie wissen, wann wir welche Daten erheben und wie wir sie verwenden. Wir haben technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von uns als auch von unseren externen Dienstleistern beachtet werden. Im Zuge der Weiterentwicklung und Implementierung neuer Technologien können Änderungen dieser Datenschutzerklärung erforderlich werden. Daher empfehlen wir Ihnen, sich diese Datenschutzerklärung ab und zu erneut durchzulesen. Eine aktuelle Version kann jederzeit über dem Ihnen zur Verfügung gestellten Link aufgerufen werden.

1. Verantwortliche Stelle

Verantwortliche Stelle für die Verarbeitung der personenbezogenen Daten im Sinne der Datenschutzgrundverordnung sowie anderer nationaler datenschutzrechtlicher Bestimmungen ist das

Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 185 -189
53175 Bonn

Postfach 200363
53133 Bonn

Telefon: 0228 99 9582-0
+49 228 99 9582-0
Telefax: 0228 / 99 10 -9582-0
+49 228 99 10 9582-0
E-Mail: bsi@bsi.bund.de

2. Behördliche Datenschutzbeauftragte im BSI

Behördliche Datenschutzbeauftragte im BSI ist

Frau Elke Gräf
Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 185 -189
53175 Bonn

Postfach 200363
53133 Bonn

Telefon: 0228 99 9582-5775
+49 228 99 9582-5775
E-Mail: datenschutzbeauftragter@bsi.bund.de

3. Allgemeine Hinweise zur Datenverarbeitung

a) Zwecke der Verarbeitung und Rechtsgrundlage der Verarbeitung

Personenbezogene Daten werden durch das BSI im Rahmen der Sicherheitsberatung zum Zwecke der Verwaltung von Kontaktaufnahmen, dem Versand von Warnmeldungen und der Mitteilung über bzw. des Abrufs von IT-sicherheitsrelevanten Informationen von IT-Sicherheits- und Geheimschutzbeauftragten der Stellen der öffentlichen Verwaltung sowie anderer Ansprechpartner mit IT-Sicherheitsbezug aus der öffentlichen Verwaltung und der Privatwirtschaft (Betroffene) genutzt, elektronisch gespeichert und verarbeitet.

Sämtliche Verarbeitungstätigkeiten von personenbezogenen Daten in diesem Zusammenhang erfolgen aufgrund der gesetzlichen Aufgabendes BSI gemäß §§3 Abs. 1 S. 2 Nr. 2, 9 und 14 BSIGin Verbindung mit Art. 6 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO).

Daneben werden, sofern dies der Betroffene wünscht und das BSI den Betroffenen für den internen Bereich zum Bezug von IT-sicherheitsrelevanten Informationen zulässt, Kontaktdaten des Betroffenen (insbesondere Name, postalische, telefonische und elektronische Erreichbarkeit, Dienststelle und Funktion) erhoben und gespeichert sowie Login-Daten (Benutzername und Passwort) durch das BSI an den Betroffenen vergeben und gespeichert, um eine Inanspruchnahme des internen Bereichs der Sicherheitsberatung zu ermöglichen.

Die Verarbeitungstätigkeit in diesem Zusammenhang erfolgt aufgrund Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO.

b) Quelle und Kategorien von personenbezogenen Daten, die verarbeitet werden

Zum den zuvor genannten Zwecken verarbeitet und speichert das BSI Kontaktinformationen (insbesondere Name, postalische, telefonische und elektronische Erreichbarkeit, Dienststelle und Funktion) sowie Login-Daten zum internen Bereich der Sicherheitsberatung der Betroffenen.

Diese personenbezogenen Daten werden dem BSI durch den jeweiligen Arbeitgeber des Betroffenen, oder dem Betroffenen selbst übermittelt. Daneben erhält das BSI teilweise auch von Dritten oder aus öffentlich zugänglichen Quellen Kenntnis über die Positionen von IT-Sicherheits- bzw. Geheimschutzbeauftragten in der öffentlichen Verwaltung und pflegt diese dann in die Kontaktdatenbank ein.

c) Empfänger bzw. Kategorien von Empfängern von personenbezogener Daten

Die personenbezogenen Daten der Betroffenen, die für die Bereitstellung und Verwaltung des Zugangs zum internen Bereich der Sicherheitsberatung erforderlich sind,werden denDienstleistern, diediesen Bereichfür das BSI hosten, zu Zwecken des Hostings übermittelt.

Personenbezogene Daten werden an Dritte (Behörden, Unternehmen, Privatpersonen) im Übrigen nur übermittelt, soweit das BSI gesetzlich oder durch Gerichtsentscheidung dazu verpflichtet ist oder dies im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung erforderlich ist.

Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Zustimmung des Betroffenen statt.

d) Dauer der Speicherung bzw. Kriterien für Festlegung der Dauer

Die personenbezogenen Daten, die zwecks Bereitstellung und Verwaltung des Zugangs zum internen Bereich der Sicherheitsberatung verarbeitet werden, werden durch das BSI solange gespeichert, wie der Betroffene seine Einwilligung nicht widerrufen hat und der interne Bereich weiter durch das BSI zur Verfügung gestellt wird. Darüber hinaus werden personenbezogene Daten solange gespeichert, wie der Kontakt noch aktuell ist oder aber bis zu einem Zeitraum von maximal 10 Jahren.

Ihre sonstigen Anfragen beim BSI werden in Papier oder elektronischer Form gemäß den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie aufbewahrt. Die Verwendung Ihrer Daten erfolgt ausschließlich für die unmittelbare Korrespondenz mit Ihnen.

e) Betroffenenrechte

Werden durch das BSI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen als Betroffener die folgenden Rechte gegenüber dem BSI zu:

i. Auskunftsrecht

Sie haben das Recht, vom BSI eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, vom BSI verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie vom BSI über folgende Informationen Auskunft verlangen:

• die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
• die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
• Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
• die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
• ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  

ii. Recht auf Berichtigung

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem BSI, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Das BSI wird die Berichtigung unverzüglich vorzunehmen.

iii. Recht auf Einschränkung der Verarbeitung

Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:

• wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem BSI ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
• die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
• das BSI die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
• wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des BSI gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie durch das BSI unterrichtet, bevor die Einschränkung aufgehoben wird.

iv. Recht auf Löschung

Sie haben das Recht, vom BSI die unverzügliche Löschung der Sie betreffenden personenbezogenen Daten zu verlangen, und das BSI ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

• Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
• Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
• Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
• Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
• Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem das BSI unterliegt.
• Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Sofern das BSI die Sie betreffenden personenbezogenen Daten öffentlich gemacht hat und es gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet ist, so trifft das BSI unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

Sie haben kein Recht auf Löschung der sie betreffenden personenbezogenen Daten, soweit die Verarbeitung erforderlich ist

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem das BSI unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem BSI übertragen wurde;
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  

v. Recht auf Widerspruch

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Das BSI verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, es kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

vi. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem BSI bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Zudem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch das BSI, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

• die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
• die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem BSI übertragen wurde.

vii. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtlichen Einwilligungserklärung jederzeit zu widerrufen. Bitte senden Sie hierfür eine E-Mail an Sicherheitsberatung@bsi.bund.de.

Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

f) Beschwerderecht bei Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Aufsichtsbehörde des Bundesamtes für die Sicherheit in der Informationstechnik ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

g) Erforderlichkeit der Datenbereitstellung

Der Zugang zum internen Bereich der Sicherheitsberatung und die damit zusammenhängenden Datenverarbeitung ist grundsätzlich freiwillig. Wir weisen jedoch darauf hin, dass ohne entsprechende Angaben ein Zugang nicht bereitgestellt werden kann, da die in diesem Zusammenhang verarbeiteten personenbezogenen Daten erforderlich für die Bereitstellung und Verwaltung dieses Zugangs sind.

Im Übrigen ist die oben beschriebene Datenverarbeitung ist erforderlich, damit das BSI der Wahrnehmung seiner aus §§ 3 Abs. 1 S. 2 Nr. 2, 9 und 14 BSIG folgenden Aufgaben nachkommen kann. Eine Verpflichtung zur Bereitstellung der Daten durch den Betroffenen besteht dagegen nicht.