Navigation und Service

Datenschutzerklärung

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Das BSI möchte, dass Sie wissen, wann welche Daten erhoben und wie sie verwendet werden. Das BSI hat technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz beachtet werden. Im Zuge der Weiterentwicklung und Implementierung neuer Technologien können Änderungen dieser Datenschutzerklärung erforderlich werden. Daher empfiehlt das BSI Ihnen, sich diese Datenschutzerklärung ab und zu erneut auf Änderungen durchzulesen.

Verantwortliche Stelle

Verantwortliche Stelle für die Verarbeitung der personenbezogenen Daten im Sinne der Datenschutzgrundverordnung sowie anderer datenschutzrechtlicher Bestimmungen ist das

Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 87
53175 Bonn

Telefon: +49 (0)228 99 9582-0
Telefax: +49 (0)228 9910 9582-0
E-Mail: bsi@bsi.bund.de
www.bsi.bund.de

Behördlicher Datenschutzbeauftragter im BSI

Herr Dominic Kastien

Bundesamt für Sicherheit in der Informationstechnik
Datenschutzbeauftragter
Godesberger Allee 185 -189
53175 Bonn

Postfach 200363
53133 Bonn

Telefon: +49 (0) 228 99 9582-5527
E-Mail: datenschutzbeauftragter@bsi.bund.de

Allgemeine Hinweise zur Datenverarbeitung des BSI

1. Besuch der Website

Das BSI betreibt unter den Domains:

Internetseiten, auf denen es die Öffentlichkeit über seine Tätigkeit informiert und der Öffentlichkeit Informationen rund um die Sicherheit in der Informationstechnik zur Verfügung stellt.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
ProtokolldateienAllg. technische DatenWebsite-BesucherOrdnungsgemäßer Betrieb der Website, Schutz vor Angriffen30 Tage
CookiesKEINEWebsite-BesucherKEINE VerarbeitungJeweiliger Besuch
OpenStreetMapIP-AdresseKarten-NutzerNutzung von OpenStreetMapDSE OpenStreetMap

 1.1 Technische Bereitstellung der Website

Bei jedem Zugriff auf das Internetangebot des BSI werden eine Reihe von allgemeinen Daten und Informationen erfasst. Diese allgemeinen Daten und Informationen werden in den Logfiles von Servern gespeichert.

Es werden folgende Daten gespeichert:

  • Datum und Uhrzeit des Abrufs (Zeitstempel)
  • IP-Adresse
  • Anfragedetails und Zieladresse (Protokollversion, HTTP-Methode, Referer, UserAgent-String)
  • Name der abgerufenen Datei und übertragene Datenmenge (angefragte URL inkl. Query-String, Größe in Byte)
  • Meldung, ob der Abruf erfolgreich war (HTTP Status Code)

Es erfolgt keine personenbezogene Auswertung oder eine Auswertung der Daten zu Marketingzwecken oder eine Profilbildung.

Daneben erfolgt eine Verarbeitung Ihrer Daten nach Ziffer 2.1 und Ziffer 2.2.

Zweck und Rechtsgrundlage

Das BSI verarbeitet Ihre Daten zur technischen Bereitstellung der Website auf Basis von Art. 6 Abs. 1 lit. c in Verbindung mit Art. 32 Abs. 1 der Verordnung (EU) 2016/679 Datenschutz-Grundverordnung (DSGVO), Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14 Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in Verbindung mit der Aufgabe der Öffentlichkeitsarbeit und Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 5 BSIG. Zweck ist die Sicherstellung des ordnungsgemäßen Betriebs der Website, insbesondere zur Umsetzung angemessener technisch-organisatorischer Maßnahmen und der Erfüllung rechtlichen Verpflichtung, und um eine ansprechende, technisch funktionierende, performante und benutzerfreundliche Website zur Verfügung stellen zu können und die Systemsicherheit der Website zu gewährleisten.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Das Hosting der Website erfolgt durch einen vom BSI beauftragten Auftragnehmer (ITZBund Dienstsitz Bonn, Bernkasteler Straße 8, 53175 Bonn). Es handelt sich hierbei um einen Auftragsverarbeiter des BSI, Art. 28 Abs. 1 DSGVO.

Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die Protokolldateien werden für 30 Tage gespeichert und danach automatisch gelöscht.

1.2 Cookies

Auf den Seiten des BSI werden sogenannte Cookies eingesetzt. Keine dieser Cookies beinhalten personenbezogene Daten.

Cookies sind kleine Informationseinheiten, die durch das Content-Management-System (CMS) des BSI auf dem Computer oder dem mobilen Endgerät der Nutzerin oder des Nutzers gespeichert werden und beim erneuten Aufrufen der BSI Webseite wieder abgerufen werden. In dem jeweils genutzten Webbrowser können Nutzerinnen und Nutzer die Verwendung von Cookies durch eine entsprechende Einstellung einschränken oder grundsätzlich verhindern. Bereits gespeicherte Cookies können jederzeit gelöscht werden.

Das BSI nutzt Cookies, um die technisch sichere und korrekte Bereitstellung von Websites zu gewährleisten. Sie sollen die Sicherheit und Funktionalität der angebotenen Web-Anwendungen erhöhen. Dies umfasst Cookies zur Lastverteilung der Server, wie den JSESSIONID-Cookie, und des Session-Managements des Anwendungsservers. Die Cookies beinhalten keine personenbezogenen Daten. Es werden keine IP-Adresse oder sonstige Informationen erfasst, die das Zurückverfolgen auf den tatsächlichen Nutzer oder der tatsächlichen Nutzerin ermöglichen.

 

Cookie-BezeichnungErläuterung

JSESSIONID/sessionid

 

  • Cookie für das Session-Management des Anwendungsservers,
  • beinhaltet keine personenbezogenen Daten,
  • basiert insb. nicht auf der IP des Nutzers oder einer sonstigen auf den tatsächlichen Nutzer zurückverfolgbaren Informationen,
  • Gültigkeit endet mit Ablauf der aktuellen Sitzung,
  • Die Session-ID ist nur auf dem jeweiligen Server gültig und wird nicht über verschiedene Server-Instanzen synchronisiert

 

AL_SESS-S
  • Cookie wird für die grundsätzliche Erfassung statistischer Zwecke (z. B. anonyme Zugriffszahlen der Webseite allgemein) eingesetzt,
  • beinhaltet keine personenbezogenen Daten,
  • Wert ist eine zufällige Zeichenfolge zwischen 64 und 70 Zeichen,
  • Cookie wird zum Sitzungsende automatisch gelöscht.

 

cookiebanner

 

  • Wird beim Schließen des Cookie-Hinweises gesetzt (Klick auf "OK")
  • Funktionen: „Open“ oder „Close
  • Zeigt an, dass bei Besuch der Website keine personenbezogenen Daten gespeichert werden
  • Gültigkeit 1 Monat

 

csrftoken
  • Cookie wird zum Schutz vor Cross-Site-Request-Forgery-Angriffen eingesetzt,
  • beinhaltet keine personenbezogenen Daten,
  • Wert ist eine zufällige Zeichenfolge,
  • Gültigkeit endet mit Ablauf der aktuellen Sitzung

matomoTracking

 

  • Cookie zur statistischen Auswertung zur bedarfsorientierten Bereitstellung von Informationen,
  • Cookie enthält keine personenbezogenen Daten,
  • er erfasst zwei Bytes der IP-Adresse des aufrufenden Systems des Nutzers (Anonymisierung durch "Nullen von zwei Stellen des IP-Bereichs"),
  • die aufgerufene Webseite
  • die Webseite, von der der Nutzer auf die aufgerufene Webseite gelangt ist (Referrer)
  • die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen werden
  • die Verweildauer auf der Webseite
  • die Häufigkeit des Aufrufs der Webseite
  • Gültigkeit maximal 1 Monat

 

Session Cookie "Warenkorb"
  • Bei Verwendung des Warenkorb-Systems wird ein temporärer Session-Cookie verwendet,
  • dieser regelt die Funktionalität des Bestellvorgangs,
  • er enthält keine personenbezogenen Daten,
  • er wird zum Sitzungsende automatisch gelöscht.

 

 1.3 OpenStreetMap

Das BSI nutzt zur Darstellung einer interaktiven Karte auf der Webseite die Dienste der OpenStreetMap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich Großbritannien und Nordirland.

Klicken Sie die Karte an und stimmen der Übertragung zu, wird, im Rahmen der Nutzung der interaktiven Karte, Ihre IP-Adresse an die OpenStreetMap Foundation übertragen. OpenStreetMap ist für diese Verarbeitung verantwortlich.

Zweck und Rechtsgrundlage

Die Weitergabe der IP-Adresse erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, zur Nutzung der Dienste von OpenStreetMap. Eine Verarbeitung der von Ihnen übermittelten IP-Adresse ist zum Zweck der Nutzung der interaktiven Karte erforderlich.

Empfänger der personenbezogenen Daten

OpenStreetMap ist Empfänger der IP-Adresse, alle Informationen zum Umgang damit finden Sie hier.

Übermittlung an Drittland

Bei der Verwendung von OpenStreetMap findet eine Übermittlung von personenbezogenen Daten in das Vereinigte Königreich Großbritannien und Nordirland statt. Diese Übermittlung erfolgt auf Grundlage von Art. 45 Abs. 1 S. 1 DSGVO. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie hier.

Speicherdauer

Das BSI hat keinen Einfluss auf die Datenverarbeitung durch OpenStreetMap. Für die Datenverarbeitung ist das BSI nicht verantwortlich. Alle Informationen zum Umgang mit Ihren Daten können Sie der Datenschutzerklärung der OpenStreetMap Foundation entnehmen.

2. Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

Nach § 5 und 5a BSIG ist das BSI zuständig für die Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten. Hierfür muss das Bundesamt die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten auswerten und Daten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen verarbeiten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Schadprogramm-ErkennungssystemDaten, die an den Schnittstellen der Kommunikations-technik des Bundes anfallenBeschäftige der Bundesverwaltung, E-Mail-AbsenderAbwehr von Schadprogrammen und Gefahren für die Kommunikations-technik des BundesZur Auswertung
System zur Protokolldaten-auswertungProtokolldaten, die beim Betrieb von Kommunikations-technik des Bundes anfallenBeschäftige der Bundesverwaltung, Website-Besucher, E-Mail-AbsenderAbwehr von Schadprogrammen und Gefahren für die Kommunikations-technik des BundesZur Auswertung
System zur Protokollierungsdaten-auswertungProtokollierungsdaten, die durch den Betrieb von Kommunikations-technik des Bundes anfallenBeschäftige der Bundesverwaltung, Webseitenbesucher,
E-Mail-Absender
Abwehr von Gefahren für die Kommunikations-technik des Bundes und ihrer KomponentenZur Auswertung

2.1  Schadsoftware-Erkennungssystem

Zur Erfüllung seiner gesetzlichen Aufgabe betreibt das BSI das Schadsoftware-Erkennungssystems. Das Schadsoftware-Erkennungssystem analysiert den ein- und ausgehenden Kommunikationsverkehr automatisch und leitet erkannte mögliche Angriffe zu einer Analyse weiter. Bei der Erhebung können auch personenbezogene Daten verarbeitet werden, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, beispielsweise die IP-Adressen.

Zweck und Rechtsgrundlage

Das BSI ist auf Grundlage des Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 5 Abs. 1, 3 BSIG zur Speicherung der Daten zur Erkennung und zum Schutz vor Angriffen auf die Internetinfrastruktur des BSI sowie auf die gesamte Kommunikationstechnik des Bundes über den Zeitpunkt Ihres Besuches oder Kommunikationsaufnahme hinaus berechtigt. Diese Daten werden analysiert und sind zur Abwehr von Schadprogrammen, Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich, § 5 Abs. 3 S. 2 BSIG.

Empfänger der personenbezogenen Daten

Personenbezogene Daten, die im Rahmen von § 5 Abs. 3 BSIG analysiert wurden, werden nur nach Maßgabe von § 5 Abs. 5, 6 BSIG an andere Behörden übermittelt. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BSI nicht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die automatisierte Auswertung der Schnittstellendaten erfolgt unverzüglich, die Daten werden nach erfolgtem Abgleich sofort und spurenlos gelöscht, sofern keine Auswertung nach § 5 Abs. 3 BSIG erforderlich ist. Ist eine solche Auswertung erforderlich, werden die Daten gelöscht, sobald sie nicht mehr zur Aufgabenerfüllung benötigt werden.

2.2 System zur Protokolldatenauswertung

Zur Erfüllung seiner gesetzlichen Aufgabe betreibt das BSI ein System zur Protokolldatenauswertung.

Hierfür muss das BSI Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist. Protokolldaten im Sinne des BSIG sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nr. 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Abs. 1 des Telemediengesetzes enthalten, § 2 Abs. 8 BSIG. Gängige verarbeitete Protokolldaten sind insbesondere, Logfiles von Servern oder Firewalls, Kopfdaten von Kommunikationsprotokollen, wie z. B. IP, ICMP, TCP, UDP, DNS, HTTP, SMTP.

Zweck und Rechtsgrundlage

Sofern die Protokolldaten personenbezogene Daten enthalten ist das BSI auf Grundlage des Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 5 Abs. 1, 3 BSIG zur Speicherung der Daten zur Erkennung und zum Schutz vor Angriffen auf die Internetinfrastruktur des BSI sowie auf die gesamte Kommunikationstechnik des Bundes über den Zeitpunkt Ihres Besuches hinaus berechtigt. Diese Daten werden analysiert und sind zur Abwehr von Schadprogrammen, Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich, § 5 Abs. 3 S. 2 BSIG.

Empfänger der personenbezogenen Daten

Personenbezogene Daten, die im Rahmen von § 5 Abs. 3 BSIG analysiert wurden, werden nur nach Maßgabe von § 5 Abs. 5, 6 BSIG an andere Behörden übermittelt. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BSI nicht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die automatisierte Auswertung der Protokolldaten erfolgt unverzüglich, die Daten werden nach erfolgtem Abgleich sofort und spurenlos gelöscht. Soweit tatsächliche Anhaltspunkte bestehen, dass die Protokolldaten für den Fall der Bestätigung eines Verdachts nach § 5 Abs. 3 S. 2 BSIG zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können, werden diese längstens für 18 Monate gespeichert, § 5 Abs. 2 S. 1 BSIG. Bestätigt sich der Verdacht nach § 5 Abs. 3 S. 2 BSIG, werden die Daten gelöscht, sobald sie nicht mehr zur Aufgabenerfüllung benötigt werden.

2.3 System zur Protokollierungsdatenauswertung

Zur Erfüllung seiner gesetzlichen Aufgabe betreibt das BSI ein System zur Protokollierungsdatenauswertung.

Hierfür muss das BSI Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinteressen der betroffenen Stellen nicht entgegenstehen. Protokollierungsdaten im Sinne dieses Gesetzes sind Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Systeme. Protokollierungsdaten dienen der Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder der Erkennung, Eingrenzung oder Beseitigung von Angriffen auf die Kommunikationstechnik des Bundes gemäß § 2 Abs. 8a BSIG.

Zweck und Rechtsgrundlage

Sofern die Protokollierungsdaten personenbezogene Daten enthalten ist das BSI auf Grundlage des Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 5a S. 1 BSIG zur Verarbeitung der Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, berechtigt.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BSI nicht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die automatisierte Auswertung der Protokollierungsdaten erfolgt unverzüglich, die Daten werden nach erfolgtem Abgleich sofort und spurenlos gelöscht. Soweit tatsächliche Anhaltspunkte bestehen, dass die Protokollierungsdaten für den Fall der Bestätigung eines Verdachts nach §§ 5a S. 3, 5 Abs. 3 S. 2 BSIG zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können, werden diese längstens für 18 Monate gespeichert, §§ 5a S.3, 5 Abs. 2 S. 1 BSIG. Bestätigt sich der Verdacht nach §§ 5a S.3, 5 Abs. 3 S. 2 BSIG, werden die Daten gelöscht, sobald sie nicht mehr zur Aufgabenerfüllung benötigt werden.

3. Verarbeitung von personenbezogenen Daten im Rahmen der Kontaktaufnahme

Sie können mit dem BSI auf verschiedene Arten Kontakt aufnehmen. Eine Verarbeitung von personenbezogenen Daten geschieht in Abhängigkeit des Kontaktweges.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
E-MailKommunikations-daten, persönliche DatenAbsender E-MailBeratung, Öffentlichkeitsarbeit, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie
KontaktformularKommunikations-daten, persönliche DatenAbsender FormularBeratung, Öffentlichkeitsarbeit, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie
BriefKommunikations-daten, persönliche DatenAbsender BriefBeratung, Öffentlichkeitsarbeit, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie
TelefonKommunikations-daten, persönliche DatenAnruferBeratung, Öffentlichkeitsarbeit, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie
MessekontaktPersönliche DatenMesseteilnehmerBeratung, Öffentlichkeitsarbeit, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie

3.1 Kontaktaufnahme per E-Mail

Die Kontaktaufnahme mit dem BSI per E-Mail ist neben den personengebundenen dienstlichen E-Mail-Adressen der Beschäftigten über diverse Funktions-E-Mail Postfächer möglich. Wenden Sie sich per Nachricht über die sozialen Medien an das BSI, finden Sie alle Informationen hier. Wie Sie mit dem BSI zu verschiedenen Themen in Kontakt treten können, erfahren Sie hier.

Das BSI erhebt nur die personenbezogenen Daten, welche Sie dem BSI selbst per E-Mail übermitteln, dies können beispielsweise folgende sein:

  • Kontaktdaten (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten),
  • Foto- und Videoaufnahmen (z. B. bei Veranstaltungen oder Besuch),
  • Geburtsdatum

und andere mit diesen Kategorien vergleichbare Daten.

Zudem werden folgende Daten durch das System erhoben:

  • IP-Adresse des aufrufenden Rechners und
  • Datum und Uhrzeit der E-Mail.

Daneben erfolgt eine Verarbeitung Ihrer Daten nach Ziffer 2.1 und Ziffer 2.2.

Zweck und Rechtsgrundlage

Die Verarbeitung der mit der E-Mail übermittelten Daten und des Inhalts, der ggf. ebenfalls von Ihnen übermittelte personenbezogenen Daten enthält, erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14 BSIG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens und im Rahmen der Öffentlichkeitsarbeit. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Die Bearbeitung von Bürgeranfragen, welche das BSI per E-Mail erreichen, erfolgt teilweise durch die Mitarbeiterinnen und Mitarbeiter des vom BSI beauftragten Service-Centers (office direkt Service-Center GmbH, In der Wässerscheid 49, 53424 Remagen). Es handelt sich hierbei um einen Auftragsverarbeiter des BSI, Art. 28 Abs. 1 DSGVO.

Ihre Daten werden beim Auftragsverarbeiter gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und eine Aufbewahrung für eventuelle Nachfragen des Betroffenen nicht mehr erforderlich ist. Im Übrigen werden sämtliche personenbezogene Daten im Zusammenhang mit Ihrer Anfrage nach Ablauf von sechs Monaten gelöscht. Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die von Ihnen übermittelten Daten, zumindest jedoch die E-Mail-Adresse, sowie die in der E-Mail enthaltenen Informationen inklusive der ggf. von Ihnen übermittelten personenbezogenen Daten zum Zwecke der Kontaktaufnahme und Bearbeitung Ihres Anliegens, werden gemäß den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt, gespeichert (maximal 30 Jahre).

3.2 Kontaktaufnahme per Kontaktformular

Sie haben auch die Möglichkeit mit dem BSI via Kontaktformular in Verbindung zu treten. Bei der Nutzung des Formulars wird der Inhalt der Datenfelder dem BSI übermittelt, in der Regel die folgenden Daten:

  • Name und Vorname,
  • E-Mail-Adresse

Ohne diese Daten kann Ihr per Kontaktformular übermitteltes Anliegen nicht bearbeitet werden. Die Angabe der Anschrift ist optional und ermöglicht dem BSI, soweit von Ihnen gewünscht, die Bearbeitung Ihres Anliegens auf postalischem Weg.

Das BSI erhebt daneben nur die personenbezogenen Daten, welche Sie im Freitextfeld übermitteln, dies können beispielsweise folgende sein:

  • Anschrift,
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten),
  • Geburtsdatum

und andere mit diesen Kategorien vergleichbare Daten.

Zudem werden folgende Daten durch das System erhoben:

  • IP-Adresse des aufrufenden Rechners
  • Datum und Uhrzeit der Kontaktaufnahme

Daneben erfolgt eine Verarbeitung Ihrer Daten nach Ziffer 2.1 und Ziffer 2.2.

Zweck und Rechtsgrundlage

Die Verarbeitung der mit dem Kontaktformular übermittelten Daten und des Inhalts, der ggf. ebenfalls von Ihnen übermittelte personenbezogenen Daten enthält, erfolgt auf Grundlage von Art. 6 Ab. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14 BSIG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens.  Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Die Bearbeitung Ihres Anliegens, das Sie dem BSI über das Kontaktformular mitgeteilt haben, erfolgt in der Regel durch die Mitarbeiterinnen und Mitarbeiter des Service-Centers (office direkt Service-Center GmbH, In der Wässerscheid 49, 53424 Remagen). Es handelt sich hierbei um einen Auftragsverarbeiter des BSI, Art. 28 Abs. 1 DSGVO. Das Service-Center speichert Ihre Daten nur zur Bearbeitung Ihres Anliegens und entsprechend den gesetzlichen und vertraglichen Vorgaben. Soweit Ihr Anliegen nicht durch die Mitarbeiter des Service-Centers bearbeitet werden kann, erfolgt eine Weiterleitung an die zuständige Stelle im BSI.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und eine Aufbewahrung für eventuelle Nachfragen des Betroffenen nicht mehr erforderlich ist. Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Soweit eine Weiterleitung an das BSI erfolgt, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre).

3.3 Briefe

Sie können sich per Brief an das BSI wenden.

Das BSI erhebt in diesem Fall nur die personenbezogenen Daten, welche Sie dem BSI selbst per Brief übermitteln, dies können beispielsweise folgende sein:

  • Kontaktdaten (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten),
  • Fotoaufnahmen (z. B. bei Veranstaltungen oder Besuch),
  • Geburtsdatum

und andere mit diesen Kategorien vergleichbare Daten.

Zweck und Rechtsgrundlage

Die Verarbeitung der mittels Ihres Briefes übermittelten Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14 BSIG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Die Bearbeitung Ihres Anliegens, das Sie dem BSI im Rahmen des Briefes mitgeteilt haben, kann auch durch die Mitarbeiterinnen und Mitarbeiter des Service-Centers (office direkt Service-Center GmbH, In der Wässerscheid 49, 53424 Remagen) erfolgen. Es handelt sich hierbei um einen Auftragsverarbeiter des BSI, Art. 28 Abs. 1 DSGVO. Das Service-Center speichert Ihre Daten nur zur Bearbeitung Ihres Anliegens und entsprechend den gesetzlichen und vertraglichen Vorgaben. Soweit Ihr Anliegen nicht durch die Mitarbeiter des Service-Centers bearbeitet werden kann, erfolgt eine Weiterleitung an die zuständige Stelle im BSI.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die von Ihnen übermittelten Daten, zumindest jedoch die Adresse, sowie die in dem Brief enthaltenen Informationen inklusive der ggf. von Ihnen übermittelten personenbezogenen Daten zum Zwecke der Kontaktaufnahme und Bearbeitung Ihres Anliegens, werden gemäß den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt, gespeichert (maximal 30 Jahre).

3.4 Telefon und Hotline

Nehmen Sie mit einem/r Beschäftigten des BSI per Telefon Kontakt auf, werden, soweit dies erforderlich ist, personenbezogene Daten von Ihnen zur Bearbeitung Ihres Anliegens verarbeitet.

Zweck und Rechtsgrundlage

Die Verarbeitung übermittelter Daten und des Inhalts, der ggf. ebenfalls von Ihnen übermittelte personenbezogene Daten enthält, erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 Nr. 14 BSIG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Soweit Sie sich an das Service-Center wenden, wird Ihr Anliegen ausschließlich durch Mitarbeiterinnen und Mitarbeiter des BSI bearbeitet. Das Service-Center speichert Ihre Daten nur zur Bearbeitung Ihres Anliegens. Soweit Ihr Anliegen nicht durch die Mitarbeiter des Service-Centers bearbeitet werden kann, erfolgt eine Weiterleitung an die zuständige Stelle im BSI. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und eine Aufbewahrung für eventuelle Nachfragen des Betroffenen nicht mehr erforderlich ist.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die Speicherung richtet sich nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre).

3.5 Kontaktaufnahme auf Messen

Gelegentlich ist das BSI auf Messen vertreten, um mit Ihnen als Interessierter, Unternehmen oder Bewerber in Kontakt zu treten. Sofern Sie dies möchten, kann es zu einem Kontaktaustausch kommen, damit Sie das BSI nach Abschluss der Messe kontaktieren und informieren kann. Dabei werden von Ihnen die personenbezogenen Daten verarbeitet, die Sie dem BSI mitteilen. Dies kann beispielsweise sein:

  • Vor- und Nachname;
  • E-Mail-Adresse.

Zweck und Rechtsgrundlage

Das BSI möchte über das Thema Informationssicherheit informieren, beraten und ggf. Bewerber gewinnen. Die Verarbeitung der angegebenen Daten, erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1, 3 Abs. 1 S. 2 Nr. 14 BSIG zum Zwecke Ihrer Beratung und zur Information,
  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1, 3 BSIG im Rahmen der Öffentlichkeitsarbeit oder
  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1, 3 BSIG zum Zwecke der Bewerbergewinnung zur Sicherung des Eigenbetriebes

Eine Verarbeitung der von Ihnen bereitgestellten personenbezogenen Daten ist zum Zweck der Kontaktaufnahme erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die Speicherung richtet sich nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre). Zudem können Sie dem BSI jederzeit eine E-Mail senden und darum bitten, nicht mehr kontaktiert zu werden. 

4. Social Media Präsenzen

Das BSI ist in den sozialen Netzwerken aktiv, um Sie als Nutzerinnen und Nutzer über die Leistungen und Informationsangebote des BSI zu informieren und ggf. in Fragen der Sicherheit in der Informationstechnik allgemein zu beraten und zu warnen. Falls von Ihnen gewünscht, kann direkt über die jeweilige Plattform mit dem BSI kommuniziert werden. Die Social-Media-Kanäle des BSI ergänzen somit die BSI-eigenen Webpräsenzen und bietet Ihnen, wenn Sie diese Plattformen bevorzugen, eine alternative Möglichkeit der Kommunikation an.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name d. VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Social-Media PräsenzenAllg. technische Daten, Kommunikationsdaten, persönliche DatenSocial-Media-NutzerInformation, Beratung, Warnung

Kommentare:

bis zur Löschung durch den Verfasser

Private Nachrichten:

3 Jahre

Facelift Social Media Management Tool Cloud:

6 Monate


Einen Überblick über die Social-Media-Präsenzen des BSI erhalten Sie unter folgendem Link Social-Media-Kanäle. Dort wird ersichtlich, dass alle Angebote auf der Website über einen externen Link zu erreichen sind, denn alle Social-Media-Kanäle können von Ihnen als Besucherinnen und Besucher der Website nur über einen externen Link aufgerufen werden. Das BSI verwendet auf seinen Websites keine Plugins oder sonstigen Schnittstellen, die die jeweiligen Netzwerke zur Einbettung ihrer Angebote auf Websites anbieten.

Sobald Sie das jeweilige BSI-Social-Media-Profil in dem jeweiligen Netzwerk aufrufen, gelten dort die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien der jeweiligen Betreiber. Das BSI verarbeitet die Daten der Nutzerinnen und Nutzer in den BSI-Social-Media-Präsenzen nur, sofern diese beispielsweise über Kommentare oder Direktnachrichten mit dem BSI in Kontakt treten und kommunizieren.

In diesem Fall gilt:

Zweck und Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1, 3 Abs. 1 S. 2 Nr. 14 BSIG in Verbindung mit der Öffentlichkeitsarbeit, um Sie über die Leistungen und Informationsangebote des BSI zu informieren und ggf. in Fragen der Sicherheit in der Informationstechnik zu beraten und zu warnen. Eine Verarbeitung Ihrer personenbezogenen Daten ist zum Zweck der der Nutzung der Social-Media Plattform erforderlich.

Empfänger der personenbezogenen Daten

Empfänger der personenbezogenen Daten des Kommentares beziehungsweise der Direktnachricht ist die jeweilige Social-Media-Plattform.

Zur redaktionellen Aufgabenerfüllung (Erfassen und Beantworten von Bürgerinnen- und Bürgeranfragen, Reaktion auf Posts, Direktnachrichten und Kommentare, Publizieren von Beiträgen) verwendet das BSI für Twitter, Facebook, Xing, Linkedin, YouTube und Instagram ein Social-Media-Management-Tool. Im Rahmen der Nutzung der Tools erfolgt notwendigerweise eine temporäre Datenspeicherung durch den lizenzgebenden Dienstleister, die Facelift brand building technologies GmbH, Gerhofstraße 19, 20354 Hamburg ( https://www.facelift-bbt.com/de). Es handelt sich hierbei um einen Auftragsverarbeiter des BSI, Art. 28 Abs. 1 DSGVO. Die Speicherung erfolgt auf einem Server, der seinen Standort in der Europäischen Union hat und umfasst: Profil- und Accountnamen sowie -bild, Inhalt der Anfrage, Anzahl der Follower und der Profile, denen das Profil folgt, sowie neueste Nachrichten. Die Daten werden bei dem Dienstleister über einen Zeitraum von sechs Monaten gespeichert und danach gelöscht. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Übermittlung an Drittland

Bei der Verwendung von Twitter, Facebook (Instagram), LinkedIn und Google (YouTube) findet eine Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika statt. Diese Übermittlung erfolgt auf Grundlage von Art. 49 Abs. 1 S. 1 lit. d DSGVO in Verbindung mit §§ 3a Abs. 1, 3 Abs. 1 S. 2 Nr. 14 BSIG.

Speicherdauer

Kommentare, die Sie unter Beiträgen des BSI in den sozialen Netzwerken abgeben beziehungsweise die das BSI adressieren, werden vom jeweiligen Netzwerk jeweils so lange gespeichert, bis Sie sie selbst löschen.

Das BSI löscht private Nachrichten von Ihnen nach drei Jahren, beginnend mit Ablauf des Kalenderjahres, in welchem die Nachricht an das BSI gesendet wurde.

Daten von Ihnen, die im Social-Media-Management-Tool Facelift Cloud erfasst werden, werden dort nach sechs Monaten automatisiert gelöscht.

Das BSI hat keinen Einfluss auf die Datenverarbeitung durch die Drittanbieter der sozialen Netzwerke. Für die Datenverarbeitung dieser in den Vereinigten Staaten von Amerika ansässigen Firmen ist das BSI nicht verantwortlich.

Für die vom BSI genutzten Social-Media-Kanäle gilt das Folgende:

4.1 Twitter

Das BSI greift für den Kurznachrichtendienst auf die technische Plattform und die Angebote der Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103 U.S.A. ( https://twitter.com) zurück. Verantwortlich für die Datenverarbeitung von außerhalb der Vereinigten Staaten lebenden Personen ist die Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2 D02 AX07, Irland. Das BSI weist Sie darauf hin, dass Sie den Twitter-Kurznachrichtendienst und dessen Funktionen in eigener Verantwortung nutzen. Angaben darüber, welche Daten durch Twitter verarbeitet und zu welchen Zwecken genutzt werden, finden Sie in der Datenschutzerklärung von Twitter: https://twitter.com/privacy.

4.2 Mastodon

Das BSI greift für den Kurznachrichtendienst auf die technische Plattform und die Angebote des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Graurheindorfer Str. 153, 53117 Bonn ( https://www.bfdi.bund.de/) zurück. Das BSI weist Sie darauf hin, dass Sie den Mastodon-Kurznachrichtendienst und dessen Funktionen in eigener Verantwortung nutzen. Angaben darüber, welche Daten durch Mastodon verarbeitet und zu welchen Zwecken genutzt werden, finden Sie in der Datenschutzerklärung von Mastodon: https://social.bund.de/terms.

4.3 Facebook und Instagram

Alle Funktionen im Social Media Netzwerk Facebook und Instagram werden von Facebook, 1601 South California Avenue, Palo Alto,CA 94304, USA angeboten. Wenn Sie mit einem eigenen Profil bei Facebook oder Instagram eingeloggt sind und den BSI-Social Media Kanal aufrufen, kann Facebook Ihren Besuch Ihrem eingeloggten Profil zuordnen.

Das BSI weist darauf hin, dass kein Einfluss auf den Inhalt, Umfang der Nutzung, der von Facebook erhobenen Daten besteht. Für weitere Informationen diesbezüglich verweist das BSI auf die Datenschutzerklärung von Facebook: https://facebook.com/privacy/explanation oder Instagram: https://help.instagram.com/519522125107875.

4.4 YouTube

Das BSI nutzt zur Verfügung-Stellung von Videoinhalten die technische Plattform und die Angebote von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ( https://www.youtube.com). Das BSI hat keinen Einfluss auf die Datenerhebung und deren weitere Verwendung durch die sozialen Netzwerke. Auch hat das BSI insoweit keine effektiven Kontrollmöglichkeiten. Angaben darüber, welche Daten durch das Unternehmen YouTube/Google verarbeitet und zu welchen Zwecken genutzt werden, finden Sie in der Datenschutzerklärung von YouTube beziehungsweise Google https://policies.google.com/privacy?hl=de&gl=de

4.5 LinkedIn

Zur Information und Beratung nutzt das BSI die technische Plattform und die Angebote von LinkedIn, LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland ( https://www.linkedin.com). Das BSI hat keinen Einfluss auf den Inhalt und Umfang der Nutzung der von LinkedIn erhobenen Daten. Für weiterführende Informationen diesbezüglich verweist das BSI auf die Datenschutzerklärung von LinkedIn: https://de.linkedin.com/legal/privacy-policy.

4.6 Xing

Zur Information und Beratung nutzt das BSI die technische Plattform und die Angebote von Xing, New Work SE, Dammtorstraße 30, 20354 Hamburg ( https://www.xing.com). Das BSI hat keinen Einfluss auf den Inhalt und Umfang der Nutzung der von Xing erhobenen Daten. Für weiterführende Informationen diesbezüglich verweist das BSI auf die Datenschutzerklärung von Xing: https://privacy.xing.com/de/datenschutzerklaerung.

5. Verarbeitung von personenbezogenen Daten im Rahmen der Informationsbereitstellung

Die Verarbeitung der personenbezogenen Daten ist abhängig von der Art der Informationsbereitstellung. Unterschieden wird hierbei zwischen der Bereitstellung von Newslettern und Warnmeldungen, Druckerzeugnissen oder sonstigen Publikationen im BSI.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Newsletter / WarnmeldungKommunikations-daten, persönliche DatenAbonnentAufgabe BSI, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie
Druckerzeugnissen / sonstige PublikationenKommunikations-daten, persönliche DatenBestellerAufgabe BSI, KommunikationBeendigung Kommunikation oder geltenden Fristen der Registraturrichtlinie
BesuchePersönliche DatenBesucherGeheimschutz2 Jahre

5.1 Daten für den Newsletter-Versand und für Warnmeldungen des BSI

Wenn Sie sich auf einem der Newsletter-Verteiler oder Verteiler für Warnmeldungen des BSI eintragen, werden:

  • Ihre E-Mail-Adresse,
  • Newsletter- bzw. Warnmeldungstyp,
  • IP-Adresse des aufrufenden Rechners und
  • Datum und Uhrzeit der Registrierung

auf einem Server gespeichert. Die für den entsprechenden Registrierungsprozess erforderlichen Daten werden dabei in die jeweilige Eingabemaske eingegeben und an das BSI übermittelt.

Daneben erfolgt eine Verarbeitung Ihrer Daten nach Ziffer 2.1 und Ziffer 2.2.

Zweck und Rechtsgrundlage

Die Verarbeitung der personenbezogenen Daten erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Das BSI setzt diese Daten ausschließlich für den Versand der Newsletter und Warnmeldungen, für statistische Auswertungen sowie zur Analyse der Systemleistung ein. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Zusendung des Newsletters erforderlich.

Durch das Anmeldesystem mit einer zusätzlichen Bestätigungsnachricht, die einen Link zur endgültigen Registrierung enthält (Double-Opt-In) ist sichergestellt, dass der Newsletter oder die Warnmeldung von Ihnen explizit erwünscht ist.

Bei der Registrierung werden Ihre Daten auf den Servern des BSI gespeichert und eine Bestätigungsnachricht mit einem Link zur endgültigen Registrierung an die angegebene E-Mail-Adresse generiert. Soweit Sie die Registrierung nicht durch den Link in dieser E-Mail bestätigen, werden die Daten nach 24 Stunden gelöscht. Erst durch Bestätigung des Links in der E-Mail werden Ihre Daten zum Newsletter- oder Meldungs-Versand für die Dauer der Nutzung des Angebots gespeichert.

Soweit Sie mit der Speicherung der Daten zu diesem Zweck nicht mehr einverstanden sind und somit das Angebot des BSI nicht mehr nutzen möchten, können Sie sich jederzeit von den Newslettern oder Warnmeldungen abmelden. Zu diesem Zweck findet sich in jedem Newsletter bzw. jeder Warnmeldung ein entsprechender Link. Die von Ihnen angegebenen personenbezogenen Daten werden dann gelöscht.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Ihre E-Mail-Adresse wird demnach solange gespeichert, wie das Abonnement aktiv ist und Sie Ihre Einwilligung zum Erhalt des Newsletters oder der Warnmeldungen nicht widerrufen haben. Die sonstigen im Rahmen des Anmeldevorgangs erhobenen personenbezogenen Daten werden in der Regel nach einer Frist von sieben Tagen gelöscht.

5.2 Bestellung von Druckerzeugnissen und sonstigen Publikationen

Wenn Sie über diese Website Broschüren, Faltblätter, Technische Richtlinien, Studien, Lageberichte und andere Druckerzeugnisse bestellen, ist es erforderlich, Ihre personenbezogenen Daten an das BSI zu übermitteln, damit ein Versand stattfinden kann.

Zur Bearbeitung des Auftrages sind zwingend folgende personenbezogenen Daten anzugeben:

  • Name, Vorname,
  • Straße, Hausnummer,
  • Postleitzahl und Ort,
  • E-Mail.

Diese Daten werden im Rahmen der Bestellung verarbeitet. Wenn die vorgenannten Daten nicht vorliegen, kann die Bearbeitung der Bestellung nicht erfolgen.

Die zusätzlichen freiwilligen Informationen, wie Institution, Abteilung, Land und E-Mail-Adresse sind für die Bearbeitung nicht zwingend erforderlich, dienen jedoch zur besseren Abwicklung der Bestellung und vereinfachen das Verfahren.

Zweck und Rechtsgrundlage

Ihre personenbezogenen Daten werden zur Durchführung von vorvertraglichen Maßnahmen und zur Vertragserfüllung - d.h. zur Bereitstellung der Erzeugnisse - nach Art. 6 Abs. 1 lit. b DSGVO verarbeitet. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Soweit die Bestellung nicht vom BSI abschließend bearbeitet werden kann, werden die von Ihnen angegebenen Daten an Dritte, wie die Versandfirma, Fairplay Service GmbH, Drechslerstraße 14, 68535 Edingen-Neckarhausen, und gegebenenfalls andere Behörden oder Einrichtungen, sofern diese das bestellte Material versenden, weitergegeben. Bei der Versandfirma Fairplay Service GmbH handelt es sich um einen Auftragsverarbeiter des BSI, Art. 28 Abs. 1 DSGVO.

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die von Ihnen übermittelten Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten ist dies dann der Fall, wenn der jeweilige Bestellvorgang beendet ist. Beendet ist der Bestellvorgang dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und eine Aufbewahrung für eventuelle Nachfragen des Betroffenen nicht mehr erforderlich ist.

Soweit eine Weiterleitung an ein BSI-Referat im Rahmen eventueller Nachfragen des Betroffenen erfolgt oder Ihre personenbezogenen Daten weiterhin für die Aufgabenerledigung eines relevanten Anliegens verarbeitet werden müssen, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre). 

5.3 Besucher

Das BSI empfängt regelmäßig Besucherinnen und Besucher. Um den Besuchern Zugang zu den Räumlichkeiten des BSI gewähren zu können, muss das BSI als Sicherheitsbehörde im Vorfeld des Termins:

  • Vor- und Zunamen,
  • ggf. Geburtsdatum,
  • Organisationszugehörigkeit / Dienstausweis,
  • Scan des Ausweisdokuments,
  • ggf. E-Mail-Adresse

erheben. Die Besucherinnen und Besucher haben sich vor Betreten des BSI auszuweisen. Während des Besuchs im BSI werden Sie aus Sicherheitsgründen ununterbrochen durch BSI-Personal begleitet.

Zweck und Rechtsgrundlage

Das BSI ist als Sicherheitsbehörden generell einer hohen abstrakten Gefährdung ausgesetzt. Aus diesem Grund besteht bei Besuchen ein hoher Schutzbedarf für alle Personen, die sich in der Behörde aufhalten. Ihre personenbezogenen Daten werden zur Wahrung der Sicherheit und des Geheimschutzes innerhalb der Behörde gemäß Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 BSIG im Rahmen der Öffentlichkeitsarbeit und Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 4 Abs. 4 SÜG in Verbindung mit § 46 Abs. 1, 4 Verschlusssachenanweisung (VSA) verarbeitet. Eine Verarbeitung der von Ihnen angegebenen personenbezogenen Daten ist zum Zweck des Besuchs erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Ihre Daten werden teilweise durch das Pfortenpersonal, den Bewachungsdienstleister Sitec Dienstleistungs GmbH, Heinrich-Hertz-Straße 30, 50170 Kerpen, erhoben, welcher als Auftragnehmer nach Art. 28 Abs. 1 DSGVO für das BSI tätig wird. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die von Ihnen zur Verfügung gestellten personenbezogenen Daten sowie die Besucherscheine werden zur Nachvollziehbarkeit des Zutritts in den Sicherheitsbereich für zwei Jahre aufbewahrt und anschließend vernichtet bzw. vollständig gelöscht.

6. Videoüberwachung

Das BSI ist eine Sicherheitsbehörde, die in besonderem Maße Ziel von Angriffen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Verschlusssachen (VS) ist. Dementsprechend sind nach der Verschlusssachenanweisung (VSA) umfangreiche technische und materielle Schutzmaßnahmen zu ergreifen. Hierzu gehört unter anderen eine wirkungsvolle Gebäudeüberwachung. Das Gebäude darf von Unbefugten weder betreten werden noch ist es der Öffentlichkeit zugänglich.

Alle Liegenschaften des BSI werden zur Wahrung des Hausrechts sowie im Rahmen des Objekt- und Geheimschutzes im Außenraum mit einer Videoanlage überwacht. Ergänzend hierzu erfolgt eine Videoüberwachung in den Tiefgaragen, den Personenschleusen, an Gebäudeübergängen sowie an den Grenzen der besonders zutritts­beschränkten Bereiche. Alle Bereiche innerhalb und außerhalb der Liegenschaften, sind durch Piktogramme mit Hinweisen auf die verantwortliche Stelle und den entsprechenden Telefonnummern zur Kontaktaufnahme gekennzeichnet.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
VideoüberwachungBildaufnahmenBesucher, PassantObjektschutz, Gefahrenabwehr72 Stunden

Zweck und Rechtsgrundlage

Personenbezogene Daten werden durch das BSI zum Zwecke der Wahrung des Hausrechts, der Zutrittskontrolle, der Gefahrenabwehr, der Strafverfolgung und Eigensicherung der BSI-Mitarbeiter, des Objektes und des Außenbereiches verarbeitet. Der Einsatz der Videoüberwachung folgt dabei dem Grundsatz: „Prävention, Detektion und Reaktion“. Sämtliche Verarbeitungstätigkeiten von personenbezogenen Daten erfolgen aufgrund von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 4 Abs. 1 BDSG in Verbindung mit § 3a Abs. 1 BSIG und Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 4 Abs. 4 SÜG in Verbindung mit § 46 Abs. 1 VSA. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Gebäudeüberwachung erforderlich.

Empfänger der personenbezogenen Daten

Es findet eine Weitergabe Ihrer Daten an die Bewachungsdienstleister (Sitec Dienstleistungs GmbH, Heinrich-Hertz-Straße 30, 50170 Kerpen und DWSI - Dresdner Wach- und Sicherungsinstitut GmbH, Zur Wetterwarte 29, 01109 Dresden) als Auftragnehmer nach Art. 28 Abs. 1 DSGVO statt. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die angefertigten Videoaufnahmen werden 72 Stunden gespeichert und anschließend überschrieben und damit gelöscht. Bei Ausleitungen von Aufzeichnungen – etwa im Rahmen der Strafverfolgung – werden die Aufnahmen nach Abschluss oder Übergabe an Strafverfolgungsbehörden intern gelöscht.

7. Anmeldung von Pressevertretern

Pressevertreter haben die Möglichkeit sich per E-Mail oder online-Formular in den Presseverteiler des BSI aufnehmen zulassen. Im Rahmen dessen werden Ihre personenbezogenen Daten als Pressevertreter für das Anmeldeverfahren verarbeitet.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Anmeldung von PressevertreternKommunikations-daten, persönliche DatenPressevertreterAnmeldung Verteiler PressemitteilungenBis zur Abmeldung

Welche Daten im Rahmen der Anmeldung abgefragt werden, ist abhängig von der Art der Erhebung, bei Nutzung des Anmeldeformulars wird der Inhalt der Datenfelder dem BSI übermittelt, per E-Mail Anmeldung werden in der Regel die folgenden Daten verarbeitet:

  • Vor- und Nachname;
  • E-Mail;
  • ggf. Mobilrufnummer.

Daneben erfolgt eine Verarbeitung Ihrer Daten nach Ziffer 2.1 und Ziffer 2.2.

Zweck und Rechtsgrundlage

Das BSI bietet Pressevertretern die Möglichkeit, regelmäßig per E-Mail Pressemitteilungen des BSI zu erhalten. Das BSI weist Sie darauf hin, dass die Verarbeitung der mit dem Formular oder der E-Mail übermittelten Daten und des Inhalts (welcher gegebenenfalls ebenfalls von Ihnen übermittelte personenbezogenen Daten enthält) auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14 BSIG und im Rahmen der Öffentlichkeitsarbeit erfolgt.

Empfänger der personenbezogenen Daten

Die Bearbeitung der Anmeldung erfolgt durch die Mitarbeiterinnen und Mitarbeiter des Pressereferats des BSI. Das BSI gibt Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das Pressereferat speichert Ihre Anmeldung, bis Sie sich abmelden (E-Mail an: presse@bsi.bund.de) und kein Interesse an einer Information mehr besteht. 

8. Kontaktdatenbanken und CRM

Das BSI bietet Interessenten an, sich für verschiedene Zwecke in Kontaktdatenbanken und dem BSI-internen Customer-Relationship-Management System, kurz CRM (englisch für Kundenbeziehungsmanagement oder Kundenpflege), eintragen zu lassen. Diese Zwecke können z. B. Einladungen zu Veranstaltungen und Übermittlung von Informationen zu diversen Interessenschwerpunkten, die Teilnahme an verschiedenen Kooperationen oder Aktivitäten, Schulungen, Arbeits- oder Expertenkreisen des BSI sein. Zur Verwirklichung dieser Zwecke werden unterschiedliche Daten von Ihnen abgefragt. Das BSI erhebt dabei nur die für den speziellen Zweck unbedingt erforderlichen Daten.

Das BSI erhebt in diesem Fall in der Regel die folgenden personenbezogenen Daten:

  • Kontaktdaten (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Daten im Rahmen der Beziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten)

und andere mit diesen Kategorien vergleichbare Daten.

Dies gilt auch, wenn Sie dem BSI bereits Ihre Kontaktdaten, z. B. durch die Übergabe einer Visitenkarte oder durch Zusendung einer E-Mail mit Kontaktwunsch, haben zukommen lassen.

Zweck und Rechtsgrundlage

Personenbezogene Daten werden durch das BSI zum Zweck der Kommunikation und Zusammenarbeit mit Institutionen und deren Vertretern aus Staat, Wirtschaft und Gesellschaft erhoben und verarbeitet, zum einen zur Stammdatenpflege, zum anderen aber auch zur Speicherung erweiterter Informationen, die das BSI zwingend für die Steuerung der Aktivitäten mit Kooperationspartnern zur Erfüllung der Schwerpunktaufgaben der jeweiligen Fachbereiche benötigt. Die Verarbeitungstätigkeiten von personenbezogenen Daten erfolgen je nach Einzelfall aufgrund von:

  • Art. 6 Abs. 1 lit. a DSGVO, Ihre dem BSI erteilten Einwilligung oder
  • Art. 6 Abs. 1 lit. b DSGVO, einem Vertrag oder vorvertraglichen Verhältnis oder
  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. §§ 3a Abs. 1, 3 Abs. 1 S. 2 BSIG, zur Wahrnehmung der dort konkret genannten Aufgaben des BSI.

Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Kommunikation und Zusammenarbeit mit Institutionen und deren Vertretern aus Staat, Wirtschaft und Gesellschaft erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen.

Es kann eine Weitergabe Ihrer Daten an den Auftragnehmer des BSI zur Beantwortung von Anfragen (office direkt Service-Center GmbH, In der Wässerscheid 49, 53424 Remagen) nach Art. 28 DSGVO stattfinden. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt. 

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Ihre Daten, welche Sie dem BSI im Rahmen Ihrer Einwilligung übermittelt haben, werden gelöscht, sobald Sie Ihre Einwilligung widerrufen.

9. Meldeportale

Für die Wahrnehmung der Aufgaben nach den §§ 8a,8b und 8c BSIG als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen betreibt das BSI verschiedene Meldestellen.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Melde- und Informationsportal für Betreibern Kritischer InfrastrukturenKommunikations-daten, persönliche DatenMeldender, AnsprechpartnerBSI als zentrale Meldestelle für Betreiber Kritischer InfrastrukturenFünf Nachweiszyklen, höchstens 10 Jahre
Meldeportal für die Anbieter Digitaler DiensteKommunikations-daten, persönliche DatenMeldender, AnsprechpartnerBSI als zentrale Meldestelle für Anbieter Digitaler DiensteHöchstens 10 Jahre
Freiwillige Meldungen über Cyber-AngriffeKontaktdaten, Legitimationsdaten, Daten im Rahmen der BeziehungMeldender, AnsprechpartnerBSI als zentrale Meldestelle für Sicherheit der InformationstechnikBis zur Erfüllung der gesetzlichen Aufgaben
Freiwillige Meldungen über SchwachstellenKontaktdaten, Öffentlicher PGP-SchlüsselMeldender, AnsprechpartnerBSI als zentrale Meldestelle für Sicherheit der InformationstechnikHöchstens 10 Jahre

9.1 Melde- und Informationsportal für Betreiber Kritischer Infrastrukturen

Das Melde- und Informationsportal des BSI bietet Betreibern Kritischer Infrastrukturen und gemeinsamen übergeordneten Stellen die Möglichkeit, sich online zu registrieren, um die Anforderungen nach §§ 8a, 8b BSIG zu erfüllen. Über das Melde- und Informationsportal können Nachweise und Meldungen nach §§ 8a, 8b BSIG an das BSI übermittelt werden. Andererseits kann das BSI nach § 8b BSIG über das Melde- und Informationsportal Informationen weitergeben.

Das BSI erhebt nur die personenbezogenen Daten, welche Sie im Rahmen Ihrer Registrierung oder Meldung übermitteln, dies können beispielsweise folgende sein:

  • Kontaktdaten (Name, E-Mail-Adresse, Anschrift),
  • Daten im Rahmen der Beziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter)

und andere mit diesen Kategorien vergleichbare Daten.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen im Sinne von § 8b BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 8b BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen im Sinne von § 8b BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten oben genannten Zwecken erforderlich ist. Die personenbezogenen Daten, die zwecks Bearbeitung der Nachweise erhoben werden, werden durch das BSI für eine rechtssichere Dokumentation, höchstens jedoch 10 Jahre, gespeichert.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Sicherheitsvorfälle. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

9.2 Besondere Anforderungen an Anbieter digitaler Dienste

Das Melde- und Informationsportal des BSI ermöglicht den Anbietern digitaler Dienste und gemeinsamen übergeordneten Stellen Meldungen nach § 8c BSIG an das BSI zu übermitteln.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Anbieter digitaler Dienste im Sinne von § 8c BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 8c BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Anbieter digitaler Dienste im Sinne von § 8c BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten, solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen oben genannten Zwecken erforderlich ist. Die personenbezogenen Daten, die zwecks Bearbeitung der Nachweise gemäß § 8c Abs. 4 BSIG erhoben werden, werden durch das BSI für eine rechtssichere Dokumentation, höchstens jedoch 10 Jahre, gespeichert.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Sicherheitsvorfälle. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

9.3 Freiwillige Meldungen über Cyber-Angriffe

Darüber hinaus können freiwillige Meldungen über Cyber-Angriffe auch über die Meldestelle der Allianz für Cyber-Sicherheit abgegeben werden. Die Informationen hieraus verwendet das BSI in anonymisierter Form für die Lageübersichten der Cyber-Sicherheitslage in Deutschland.

Das BSI erhebt nur die personenbezogenen Daten, welche Sie im Rahmen Ihrer Nachricht übermitteln, dies können beispielsweise folgende sein:

  • Kontaktdaten (Name, E-Mail-Adresse, Anschrift),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten),
  • Daten im Rahmen der Beziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter)

und andere mit diesen Kategorien vergleichbare Daten.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Sicherheit der Informationstechnik. Die Rechtsgrundlage für die Verarbeitung der im Rahmen von diesen Meldungen freiwillig übermittelten personenbezogenen Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 8b Abs. 1 bis 6 BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Sofern die von Ihnen übermittelten Informationen auch personenbezogene Daten enthalten (z. B. Ihren Namen), verarbeitet das BSI Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen oben genannten Zwecken erforderlich ist. Werden die von Ihnen übermittelten personenbezogen Daten nicht mehr benötigt, so werden diese Daten gelöscht.

Organisationsbezogene Informationen – wie z. B. der Name der betroffenen Organisation – werden vom BSI – wie bereits ausgeführt – vertraulich behandelt. Eine Nennung oder eine Veröffentlichung Ihrer Organisation gegenüber Dritten erfolgt nicht bzw. nicht ohne Ihre Einwilligung.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Sicherheitsvorfälle. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

9.4 Freiwillige Meldungen über Schwachstellen

Freiwillige Meldungen über Schwachstellen können über das Webformular auf der BSI-Website vorgenommen werden. Valide Schwachstellenmeldungen, welche über das Webformular in IT-Produkten oder IT-Diensten gemeldet werden, werden in Anlehnung an die ISO-Norm 29147 im „Coordinated Vulnerability Disclosure (CVD)” -Verfahren an den Hersteller des Produktes bzw. Produktverantwortliche weitergeleitet. Fallbezogen kann das BSI zudem als Koordinator unterstützend tätig werden und zwischen den beteiligten Parteien vermitteln. Ob eine Weitergabe Ihrer Kontaktdaten an Hersteller erfolgen soll oder nicht, können Sie beim Befüllen des Webformulars selbst entscheiden. Darüber hinaus können Sie bei Abgabe der Meldung angeben ob Sie in möglichen Veröffentlichungen oder Warnungen zur jeweiligen Meldung namentlich (bzw. Ihr Alias) genannt werden.

Die Meldung kann auf Wunsch auch anonymisiert erfolgen. Meldende bestimmen darüber, inwieweit Ihre Beteiligung dem Hersteller gegenüber offengelegt wird. Die Informationen aus der Meldung verwendet das BSI in anonymisierter Form für die Lageübersichten der Cyber-Sicherheitslage in Deutschland.

Das BSI erhebt nur die personenbezogenen Daten, welche Sie im Rahmen Ihrer Nachricht übermitteln, dies können beispielsweise folgende sein:

  • Kontaktdaten (Name, E-Mail-Adresse, Organisation, Telefon),
  • Öffentlicher PGP-Schlüssel

und andere mit diesen Kategorien vergleichbare Daten.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Sicherheit der Informationstechnik. Die Rechtsgrundlage für die Verarbeitung der im Rahmen von diesen Meldungen freiwillig übermittelten personenbezogenen Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1, 3 Abs. 1 S. 2 Nr. 2 BSIG. Eine Verarbeitung dieser personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Sicherheit der Informationstechnik erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen ohne Ihre Einwilligung Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Sofern die von Ihnen übermittelten Informationen auch personenbezogene Daten (z. B. Ihren Namen) enthalten, verarbeitet das BSI Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen oben genannten Zwecken erforderlich ist. Werden die von Ihnen übermittelten personenbezogenen Daten nicht mehr benötigt, so werden diese Daten, nach höchstens 10 Jahre, gelöscht.

Organisationsbezogene Informationen werden vom BSI vertraulich behandelt. Eine Nennung oder eine Veröffentlichung Ihrer Organisation gegenüber Dritten erfolgt nicht bzw. nicht ohne Ihre Einwilligung.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Schwachstellen. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

10. Freiwilliges IT-Sicherheitskennzeichen

Durch das freiwillige IT-Sicherheitskennzeichen soll die IT-Sicherheit von Verbraucherprodukten für bestimmte Produktkategorien transparent, verständlich und aktuell abgebildet werden. Damit soll für die Hersteller ein Anreiz geschaffen werden, die IT-Sicherheit in den Fokus der Kaufentscheidung rücken zu können. Das IT-Sicherheitskennzeichen wird durch das Bundesamt für Sicherheit in der Informationstechnik auf Antrag erteilt.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Freiwilliges IT-SicherheitskennzeichenKontaktdaten, Legitimationsdaten, VertragsdatenAntragstellerAntragsbearbeitungBestimmt sich nach Gewährleistungs- und Aufbewahrungs-
pflichten, Registraturrichtlinie

Hierzu müssen gegebenenfalls:

  • Kontaktdaten eines Ansprechpartners (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten) sowie
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)

angegeben werden.

Zweck und Rechtsgrundlage

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben im Zusammenhang mit der Erteilung und anschließenden Marktüberwachung des freiwilligen IT-Sicherheitskennzeichens gemäß § 9c Abs. 1 S. 1 BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 9c Abs. 1 S. 1 in Verbindung mit Abs. 5 BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zwecke der Antragsbearbeitung sowie der Wahrnehmung von Aufgaben im Zusammenhang mit der Marktüberwachung im Sinne von § 9c BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen des Antragsverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

11. Zertifizierung als IT-Sicherheitsdienstleister

Das BSI ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit, § 9 Abs. 1 BSIG. Auf Ihren Antrag hin, kann das BSI Sie als Prüfstelle anerkennen oder als IT-Sicherheitsdienstleister zertifizieren.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Zertifizierung als IT-SicherheitsdienstleisterKontaktdaten, Legitimationsdaten, VertragsdatenAntragsteller/inAntragsbearbeitungBestimmt sich nach Gewährleistungs- und Aufbewahrungs-
pflichten, Registraturrichtlinie

Hierzu müssen in der Regel die folgenden Daten angegeben werden:

  • Kontaktdaten eines Ansprechpartners (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten) sowie
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)

Zweck und Rechtsgrundlage

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben im Zusammenhang mit der Zertifizierung als IT-Sicherheitsdienstleister gemäß § 9 BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 9 Abs. 2 BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zwecke der Antragsbearbeitung im Sinne von § 9 BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Gemäß § 9 Abs. 4 S. 2 BSIG wird der Vorgang vor Erteilung des Zertifikates dem Bundesministerium des Inneren, für Bau und Heimat vorgelegt. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen des Antragsverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

12. Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse

Das BSI ist verpflichtet, sich von Unternehmen im besonderen öffentlichen Interesse alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen zu lassen, § 8f Abs. 1 BSIG.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Vorlage SelbsterklärungKontaktdaten, Legitimationsdaten, Daten im Rahmen der VorlageAntragsteller/inAntragsbearbeitungBestimmt sich nach Gewährleistungs- und Aufbewahrungs-
pflichten, Registraturrichtlinie
Störungsmeldungsiehe obenMeldende/rBearbeitung der Meldungsiehe oben
Registrierungensiehe obenAntragsteller/inRegistrierung des Unternehmenssiehe oben

Hierzu müssen in der Regel die folgenden Daten angegeben werden:

  • Kontaktdaten eines Ansprechpartners (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse, Funktion, Fax),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten) sowie
  • Daten im Rahmen der Vorlage (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)

Zweck und Rechtsgrundlage

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben im Zusammenhang mit der Pflicht, sich von Unternehmen im besonderen öffentlichen Interesse alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen zu lassen. Rechtsgrundlage für diese Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 8f Abs. 1 BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zwecke der Antragsbearbeitung im Sinne von § 8f Abs. 1 BSIG erforderlich.

Daneben ist Zweck der Verarbeitung auch die Meldung von Störungen nach § 8f Abs. 7 BSIG an das BSI. Rechtsgrundlage für diese Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 8f Abs. 7 BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zwecke der Prüfung der Meldung im Sinne von § 8f Abs. 7 BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen der Selbsterklärung oder einer Meldung einer Störung übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

13. NCCA

Das BSI ist die nationale Behörde für Cybersicherheitszertifizierung (im englischen National Cybersecurity Certification Authority, kurz: NCCA) im Sinne des Artikels 58 Abs. 1 der Verordnung (EU) 2019/881, dem sog. Cybersecurity Act (CSA), i.V.m. § 9a Abs. 1 BSIG. Als NCCA ist das BSI im Rahmen der europäischen Cybersicherheitszertifizierung unter dem CSA mit zwei wichtigen Funktionen ausgestattet, der Zertifizierung sowie der Aufsichtsführung. Zur Wahrnehmung dieser Funktionen verarbeitet das BSI personenbezogene Daten.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Zertifizierung unter dem CSAKontaktdaten, VertragsdatenAntragsteller/inZertifizierung NCCABestimmt sich nach Gewährleistungs- und Aufbewahrungs-
pflichten, Registraturrichtlinie
Befugniserteilung Kontaktdaten, Vertragsdaten, LegitimationsdatenKonformitäts-
bewertungsstellen, Antragsteller/in
Aufsichtsführung NCCAsiehe oben
MarktaufsichtKontaktdaten, Vertragsdaten, LegitimationsdatenAntragsteller/in,
Konformitäts-
bewertungsstellen
Aufsichtsführung NCCAsiehe oben
BeschwerdeKontaktdaten, VertragsdatenBeschwerdeführendeAufsichtsführung NCCAsiehe oben

13.1 Zertifizierung unter dem CSA

Eine IT-Sicherheitszertifizierung, die das BSI unter dem CSA durchführt, erfolgt jeweils auf Antrag. Zur Bearbeitung des Antrages, zur zugehörigen Kommunikation und zur Bereitstellung des Ergebnisses werden bestimmte Kontakt- und Rahmendaten benötigt. Diese werden über das Antragsformular dem BSI mitgeteilt.
Folgende Daten müssen in der Regel durch den Antragsteller angegeben werden:

  • Kontaktdaten des Hauptansprechpartners (z. B. Name, Adresse der Organisation sowie Telefonnummer und E-Mail-Adresse im Unternehmen),
  • ggf. zusätzlich Kontaktdaten eines technischen Ansprechpartners wenn abweichend vom Hauptansprechpartner
  • Kontaktdaten eines Ansprechpartners für die Gebührenabrechnung wenn abweichend vom Hauptansprechpartner
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)

Zweck und Rechtsgrundlage

Das BSI als zertifizierende NCCA nach Art. 58 Abs. 1 CSA i.V.m. § 9a Abs. 1 BSIG führt Zertifizierungsverfahren entsprechend der nach den Regeln des CSA erstellten und durch Durchführungsrechtsakt der Kommission (Art. 49 Abs. 7 CSA) bestimmten CSA-Schemata durch.

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 56 Abs. 4 bis 6 CSA i.V.m. dem entsprechenden CSA-Schema. Die Verarbeitung der erfassten personenbezogenen Daten erfolgt auf Antrag und ermöglicht dessen Bearbeitung. Die Anträge selbst sind auf Zertifizierung entsprechend einem CSA-Schema und damit auf den Nachweis der Konformität mit dessen Anforderungen gerichtet. Eine Verarbeitung der erfassten personenbezogenen Daten ist somit zum Zwecke der Aufgabenerfüllung als NCCA nach Art. 56 Abs. 4 bis 6 CSA i.V.m. dem entsprechenden CSA-Schema erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen des Beschwerdeverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

13.2 Befugniserteilung

Infolge der Anpassung des BSIG durch das IT-Sicherheitsgesetz 2.0 vom 18.05.2021 gibt es eine Rechtsvorschrift im Sinne des § 1 Absatz 2 AkkStelleG: § 9a Abs. 2 BSIG Stellen die Befugnis zu erteilen, als Konformitätsbewertungsstelle tätig zu werden. Dies ist insbesondere in Verbindung mit den Vorgaben aus der VO (EU) 2019/881 Cybersecurity Act notwendig.

Infolge dessen ist das BSI eine Befugnis erteilende Behörde im Zusammenhang mit allen Akkreditierungen, die sich aus der VO (EU) 2019/881 (Cybersecurity Act) ergeben, aber auch für mögliche Akkreditierungserfordernisse bei nationalen Zertifizierungsverfahren, soweit diese unter den Anwendungsbereich des § 9 BSIG fallen (vgl. § 9a Absatz 2 BSIG) und für alle übrigen Konformitätsbewertungsstellen, die im Rahmen des Cybersecurity Act als solche tätig werden wollen. Das BSI kann auf Antrag Konformitätsbewertungsstellen, die im Anwendungsbereich der Verordnung (EU) 2019/881 sowie des § 9 des BSIG tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeblichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 oder des § 9 des BSIG erfüllt sind.

Hierzu müssen in der Regel die folgenden Daten angegeben werden:

  • Kontaktdaten des Hauptansprechpartners (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten)

Zweck und Rechtsgrundlage

Das BSI als aufsichtführende NCCA erteilt Konformitätsbewertungsstellen (KBS) auf Antrag die Befugnis, als solche im Rahmen des CSA tätig zu werden.
Rechtsgrundlage für die Verarbeitung der Daten ist Art. 58 Abs. 8, 60 Abs. 3 CSA, § 9a Abs. 2 Sazt 2 BSIG. Die Verarbeitung der erfassten personenbezogenen Daten erfolgt auf Antrag und ermöglicht dessen Bearbeitung. Eine Verarbeitung der erfassten personenbezogenen Daten ist somit zum Zwecke der Aufgabenerfüllung als NCCA nach Art. 58 Abs. 8, 60 Abs. 3 CSA, § 9a Abs. 2 Satz 2 BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen des Beschwerdeverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

13.3 Marktaufsicht

Die Marktaufsicht als Teil der NCCA soll insbesondere die Verpflichtungen der in ihrem jeweiligen Hoheitsgebiet niedergelassenen Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen in Bezug auf die EU-Konformitätserklärung überwachen und durchsetzen. Weiterhin unterstützt sie die nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen durch Bereitstellung von Sachkenntnis und einschlägigen Informationen. Die Aufgabenerfüllung der Marktaufsicht erfolgt streng getrennt von den Zertifizierungen nach CSA.
Hierzu müssen in der Regel die folgenden Daten angegeben werden:

  • Kontaktdaten des Hauptansprechpartners (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten)

Zweck und Rechtsgrundlage

Das BSI als aufsichtführende NCCA hat gem. Art. 58 Abs. 8 Verordnung (EU) 2019/88 (Cybersecurity Act, kurz: CSA) und § 9a BSIG weitreichende Befugnisse, um die Einhaltung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung zu überwachen und durchzusetzen. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit Art. 58 Abs. 7, 8 CSA und § 9a BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zwecke der Aufgabenerfüllung als Nationale Behörde für Cybersicherheitszertifizierung nach Art. 58 Abs. 7, 8 CSA und § 9a BSIG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen des Beschwerdeverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

13.4 Beschwerde

Zu den Aufgaben der aufsichtführenden NCCA gehört laut VO (EU) 2019/881 (CSA) die Bearbeitung von Beschwerden gem. Art. 58 Abs. 7 f). Die NCCA bearbeitet demgemäß Beschwerden von natürlichen und juristischen Personen, die laut Art. 63 CSA von ihrem Recht Gebrauch machen können, Beschwerde bei den Ausstellern europäischer Cybersicherheitszertifikate einzulegen.

Hierzu müssen in der Regel die folgenden Daten angegeben werden:

  • Kontaktdaten des Hauptansprechpartners (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten)

Zweck und Rechtsgrundlage

Das BSI als aufsichtführende NCCA nach Art. 58 Abs. 1 CSA i.V.m. § 9a Abs. 1 BSIG führt Beschwerdeverfahren durch, wenn entsprechende Beschwerden durch juristische oder natürliche Personen gegenüber dem BSI als NCCA eingelegt werden. Dabei Informiert das BSI den Beschwerdeführer über den Stand des Verfahrens und die getroffene Entscheidung.

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 63 Abs. 1 und 2 CSA. Die Verarbeitung der erfassten personenbezogenen Daten erfolgt auf die Beschwerde hin und ermöglicht dessen Bearbeitung. Eine Verarbeitung der erfassten personenbezogenen Daten ist somit zum Zwecke der Aufgabenerfüllung als NCCA nach Art. 63 CSA und nicht zuletzt für die Umsetzung der Informationspflichten aus Art. 63 Abs. 2 CSA erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie uns personenbezogene Daten im Rahmen des Beschwerdeverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

14. UP KRITIS

Alle Organisationen mit Sitz in Deutschland, die Kritische Infrastrukturen in Deutschland betreiben, nationale Fach- und Branchenverbände aus den KRITIS-Branchen, vom UP KRITIS anerkannte SPOC aus den KRITIS-Sektoren sowie die zuständigen Behörden können Teilnehmer des UP KRITIS werden. Bei einer Teilnahme verarbeitet das BSI personenbezogene Daten der Teilnehmer.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Teilnahme / Anmeldung UP KRITISKontaktdaten, UnternehmensdatenAntragsteller/inAntragsbearbeitungBestimmt sich nach Gewährleistungs- und Aufbewahrungs-
pflichten, Registraturrichtlinie

Hierzu müssen in der Regel die folgenden Daten angegeben werden:

  • Kontaktdaten der Hauptansprechperson (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Unternehmensdaten, Daten der Organisation (KRITIS-Sektor, URL der Website, Rechtsform, ggf. Ansprechpartner)

Zweck und Rechtsgrundlage

Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Zweck der Verarbeitung von personenbezogenen Daten ist die damit verbundene Wahrnehmung von Aufgaben im Zusammenhang mit der Beratung, Information, Lagebilderstellung und Warnung der Stellen des Bundes, der Länder sowie der Betreiber von Kritischen Infrastrukturen und deren Fachverbänden in Fragen der Sicherheit, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen gemäß BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1 3 Abs. 1 S. 2 Nr. 14, 17, Abs. 3 BSIG in Verbindung mit § 1 Abs. 2 Nr. 2 Gesetz über den Zivilschutz und die Katastrophenhilfe des Bundes (ZSKG). Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zwecke der Antragsbearbeitung im Sinne von § 3 Abs. 1 S. 2 Nr. 14, 17, Abs. 3 BSIG in Verbindung mit § 1 Abs. 2 Nr. 2 ZSKG erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Sind Sie in einem Arbeitskreis, erhalten Leiter und (Branchen-)Sprecher Ihre Kontaktdaten (i. d. R. Name, Name Ihrer Organisation, E-Mail-Adresse). Die Namen der Sprecher, Branchensprecher, Leiter sowie der Mitglieder des Rats werden vom BSI veröffentlicht. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten, solange dies zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Soweit Sie dem BSI personenbezogene Daten im Rahmen des Antragsverfahrens übermitteln, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt wird (maximal 30 Jahre).

15. Personalgewinnung

Personenbezogene Daten werden durch das BSI zum Zwecke der Personalgewinnung verarbeitet. Die Daten, die Sie uns im Zusammenhang mit Ihrer Bewerbung zur Verfügung stellen, werden nur im Rahmen dieses Auswahlverfahrens und in Vorbereitung eines eventuellen Beschäftigungsverhältnisses verarbeitet.

Name der VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
PersonalgewinnungKontaktdaten, BewerbungsunterlagenBewerberPersonalgewinnungÜbernahme in Personalakte oder Löschung nach 6 Monaten

Zur Durchführung des Verfahrens werden beispielsweise die folgenden personenbezogenen Daten von Ihnen verarbeitet:

  • Kontaktdaten/Stammdaten: Anrede, Akademischer Grad, Nachname, Vorname, Schwerbehinderung (freiwillige Angabe), Adresse, Telefonnummer, E-Mail-Adresse, ergänzende Angaben (freiwillig)
  • Bewerbungsunterlagen: Anschreiben, Lebenslauf, Angaben zur aktuellen beruflichen Tätigkeit, Berufserfahrung, Fach – und Sprachkenntnisse, Besoldungs- bzw. Entgeltgruppe, Status als Überhangperson gem. §21 des aktuellen Haushaltsgesetzes, Abschlusszeugnisse

Zweck und Rechtsgrundlage

Sämtliche von Ihnen zur Verfügung gestellten personenbezogenen Daten sind erforderlich, um Sie für die offene Stelle berücksichtigen zu können. Die Angaben sind grundsätzlich freiwillig. Im Falle der Nichtbereitstellung Ihrer Daten kann das BSI Sie im Bewerbungsprozess nicht berücksichtigen. Die Erhebung von personenbezogenen Daten zur Begründung eines Beschäftigungsverhältnisses erfolgt bei Arbeitnehmerinnen und Arbeitnehmern, Referendarinnen und Referendaren sowie Auszubildenden auf der Grundlage von § 26 Abs. 1 BDSG, bei Beamtinnen und Beamten gem. § 106 Abs. 4 BBG und bei Bewerbungen im Tarifbeschäftigtenbereich in entsprechender Anwendung.

Empfänger der personenbezogenen Daten

Innerhalb unserer Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der genannten Zwecke benötigen. Dies sind neben den jeweils zuständigen Personalverantwortlichen der Personalrat, bei schwerbehinderten Bewerberinnen und Bewerbern die Vertrauensperson der schwerbehinderten Menschen sowie die Gleichstellungsbeauftragte.

Bei einigen Auswahlverfahren setzt das BSI externe Berater oder Dienstleister ein, mit denen ein gesonderter Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen wird. Auftragsverarbeiter sind vertraglich zum vertrauensvollen Umgang mit personenbezogenen Daten in gleicher Weise verpflichtet wie das BSI. Das BSI bleibt hierbei für Ihre Daten verantwortlich.

Darüber hinaus findet keine Weitergabe Ihrer Daten an Personen oder Behörden statt, es sei denn das BSI ist dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt. Sofern Sie schon in der Öffentlichen Verwaltung arbeiten, wird Ihre Personalakte von Ihrer bisherigen Personalstelle bei Dienststellenwechsel oder Abordnung nur mit Ihrem Einverständnis angefordert.

Die eingereichten Unterlagen werden elektronisch gespeichert bzw. Unterlagen in Papierform bei der ausschreibenden Dienststelle aufbewahrt. Eine automatisierte Entscheidungsfindung bzw. Profiling findet nicht statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die von Ihnen übermittelten Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Personenbezogene Daten erfolgreicher Bewerber und Bewerberinnen werden von der Personalbetreuung übernommen und sind bei der Einstellung Bestandteil der zukünftigen Personalakte. Daten von Bewerberinnen und Bewerbern werden im Falle einer Absage 6 Monate nach Versendung der Absage gelöscht.

16. Vertragsschlüsse mit dem BSI - Erbringung vertraglicher Leistungen

Sämtliche Angaben, die Sie im Rahmen eines Vertragsabschlusses bzw. zur Erfüllung eines Vertrages mit dem BSI machen, sind grundsätzlich freiwillig. Das BSI weist Sie darauf hin, dass bei nicht-vollständigen Angaben bezüglich Ihren Kontakt- und / oder Zahlungsdaten, eine Vertragserfüllung durch das BSI nicht möglich ist, da diese Angaben für eine ordnungsgemäße Vertragsabwicklung unerlässlich sind. Eine Nichtbereitstellung der erforderlichen personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen bzw. durchgeführt werden könnte.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name d. VerarbeitungKategorie pb DatenBetroffeneVerarbeitungszweckSpeicherdauer
Vertragsschlüsse mit dem BSI - Erbringung vertraglicher LeistungenKommunikationsdaten, persönliche Daten, VertragsdatenVertragsparteiErbringung oder Inanspruchnahme von Vertragsleistungen und AbrechnungBestimmt sich nach Gewährleistungs- und Aufbewahrungs-pflichten,  Registraturrichtlinie

 Zur Erfüllung von vertraglichen und vorvertraglichen Verpflichtungen verarbeitet das BSI in der Regel die folgenden Daten:

• Bestandsdaten (z. B. Kundenstammdaten, wie Namen oder Adressen),
• Kontaktdaten (z. B. E-Mail, Telefonnummern),
• Inhaltsdaten (z. B. Texteingaben, Fotografien, Videos),
• Daten im Rahmen der Beschaffung bzw. Ausschreibung (z. B. Namen von Kontaktpersonen, Kompetenzprofile),
• Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Vertragsbedingungen, erbrachte Leistungen),
• Zahlungsdaten (z. B. Bankverbindung, Zahlungshistorie).

Hierbei verarbeitet das BSI besondere Kategorien personenbezogener Daten (wie z. B. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben) nur, wenn diese Bestandteile eines Vertrages sind, die Verarbeitung erforderlich ist und Sie der Verarbeitung zu einem bestimmten Zweck zugestimmt haben.

Zweck und Rechtsgrundlage

Der Zweck der Verarbeitung besteht in der Erbringung oder Inanspruchnahme von Vertragsleistungen und deren Abrechnung. Die Rechtsgrundlagen der Verarbeitung ergeben sich aus Art. 6 Abs. 1 lit. b DSGVO. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der der Erbringung oder Inanspruchnahme von Vertragsleistungen und deren Abrechnung erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI löscht die Daten nach Ablauf gesetzlicher Gewährleistungs- und Aufbewahrungspflichten und verweist auf die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre).

Allgemeine Hinweise zu den Betroffenenrechten

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie ein „Betroffener“ im Sinne der DSGVO. Ihnen stehen vorbehaltlich entgegenstehender gesetzlicher Einschränkungen und Ausnahmen, wie insbesondere nach §§ 34 – 36 BDSG oder §§ 6b – f BSIG, folgende Rechte gegenüber dem BSI als Verantwortlichem zu:

  • Auskunftsrecht, Art. 15 DSGVO
    Sie können Auskunft darüber verlangen, ob das BSI personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen.
  • Recht auf Berichtigung, Art. 16 DSGVO
    Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen.
  • Recht auf Löschung oder Einschränkung, Art. 17, 18 DSGVO
    Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen.
  • Recht auf Datenübertragbarkeit, Art. 20 DSGVO
    Sie sind berechtigt, unter den Voraussetzungen von Art. 20 DSGVO vom BSI zu verlangen, dass es Ihnen die Sie betreffenden personenbezogenen Daten, die Sie dem BSI bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format übergibt. Gemäß Art. 20 Abs. 3 Satz 2 DSGVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.
  • Widerspruchrecht, Art. 21 DSGVO
    Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch das BSI zudem jederzeit widersprechen. Dieses Recht besteht, wenn Ihre personenbezogenen Daten aufgrund von Art. 6 Abs. 1 lit. e), f) DSGVO, zur Direktwerbung, zu wissenschaftlichen oder historischen Forschungs- oder zu statistischen Zwecken verarbeitet werden. Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeitet das BSI in der Folge Ihre personenbezogenen Daten nicht mehr. 
  • Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung, Art. 7 Abs. 3 DSGVO

    Sollten Sie in die Verarbeitung Ihrer Daten eingewilligt (Art. 6 Abs. 1 lit. a) haben, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Bitte senden Sie hierfür eine E-Mail an bsi@bsi.bund.de. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.

  • Beschwerderecht bei Aufsichtsbehörde

    Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelf steht einem Betroffenen (Ihnen) das Recht auf Beschwerde bei einer Aufsichtsbehörde – insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsortes – zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch das BSI gegen die DSGVO verstößt. Aufsichtsbehörde des Bundesamtes für die Sicherheit in der Informationstechnik ist:

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
    Graurheindorfer Str. 153
    53117 Bonn
    Telefon: +49 (0)228 997799-0
    Fax: +49 (0)228 997799-5550
    E-Mail: poststelle@bfdi.bund.de

Minderjährigenschutz

Personen unter 18 Jahren sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an das BSI übermitteln. Das BSI fordert über seine Online-Präsenzen keine personenbezogenen Daten von Kindern und Jugendlichen an. Für die Teilnahme an der Veranstaltung "Girls Day" erhebt das BSI personenbezogene Daten im Rahmen des Besucherkontrollverfahrens (Ziffer 5.3 ), damit den Jugendlichen der Zugang zu den Räumlichkeiten des BSI gewährt werden kann.