Datenschutz-ERMS

Datenschutz-Information ERMS-System 
(Emergency Recovery Management System [ERMS])

Das ERMS-System ist ein webbasiertes Tracking und Informationssystem der IAP GmbH das als Web-Applikation nur dann genutzt werden kann, wenn das System und damit der Datenaustausch zu behörden-/firmeninternen Organisationseinheiten aktiviert wurde. Mit diesen Hinweisen informiert IAP darüber, welche personenbezogenen Daten im Auftrag des Kunden erhoben, gespeichert oder anderweitig verarbeitet werden, um Nutzern das ERMS-System zur Verfügung stellen zu können. IAP zeichnet nicht für den taktischen Einsatz des ERMS-Systems durch die Nutzer oder die behörden-/firmeninternen Organisationseinheiten verantwortlich. Diese Informationen enthalten daher keine Aussagen zu datenschutzrechtlichen Vorgängen im Verantwortungsbereich behörden-/firmeninternen Organisationseinheiten oder der Nutzer. IAP ist lediglich der technische Anbieter des ERMS-Systems und stellt dessen technischen Betrieb des sicher.

1. Kontakt und Verantwortlichkeiten
Im Rahmen der Bereitstellung und technischen Realisierung des ERMS-Systems erhebt, speichert und verarbeitet IAP zu diesen Zwecken personenbezogene Daten im Auftrag des IAP-Kunden, der Ihnen die Nutzung des ERMS-Systems ermöglicht. Dieser ist uns gegenüber und in Bezug auf die von Ihm festgelegten Zwecke und Mittel im Rahmen seiner Verwendung des ERMS-Systems „Verantwortliche Stelle“ im Sinne von Art. 4 Nr. 7 DSGVO („Datenschutzgrundverordnung“). Insbesondere im Fall von Auskunftsanfragen und der Geltendmachung von Nutzerrechten oder Fragen im Zusammenhang mit den Daten und Inhalten, die zwischen behörden-/firmeninternen Organisationseinheiten und Nutzer ausgetauscht werden, weisen die IAP GmbH darauf hin, dass diese gegenüber der Stelle, die die Berechtigung zur Nutzung des ERMS-Systems erteilt hat, zu stellen sind. Nur die behörden-/firmeninternen Organisationseinheit hat in die von ihm verantworteten Datenverarbeitungsvorgänge und Einsatzzwecke über das Kernmodul („IAP-Sicherheitslage“ [IAP-SiLa]) als Zentralsystem des ERMS-Systems Einblick und Zugriff auf Daten und entscheidet über potenzielle Auskunftsrechte. Hilfsanfragen können von IAP auf Antrag und Genehmigung erfüllt werden. Die IAP GmbH verweist jedoch darauf, dass wir auf Basis der uns übermittelten Informationen, die an uns gerichtete Anfragen von Nutzern an die behörden-/firmeninterne Organisationseinheit zur weiteren Bearbeitung weiterleiten müssen.
Erreichbarkeit IAP GmbH: Postfach 34 01 60 | D-80098 München
Fon: +49.(0)-89-22 66 00 | Fax: +49-(0)-89-22 66 08 | info(at)iap-dienst.de 

Datenverarbeitung und Zweckbindung
Die Nutzung der IAP-ERMS App durch die Nutzer erfolgt auf Smartphones durch SIM-Karten, auf Cargo-Trackern durch anonymisierte SIM-Karten (anonymisierter Account). Diese Schaltung erfolgt unter Verwendung einer zufällig generierten ID zur Identifikation des Nutzers. Alle weiteren Datensätze eines Nutzers werden dieser ID zugeordnet.     Wir verarbeiten primär nur die Daten, die im Rahmen des Betriebs des ERMS-Systems generiert werden, insbesondere solche die automatisch durch unsere IT-System erfasst werden (z.B. durch sogenannte Logfiles), zum Zwecke der Gewährleistung der Datensicherheit, technischen Realisierbarkeit, zur Fehler- bzw. Performanceanalyse sowie zur Überwachung der gesetzes- und vertragskonformen Nutzung:

• Verwendetes Betriebssystem und Zeitzonen-/Ländereinstellungen
• IP-Adresse, IP-Standort und Standort des Systems (Smartphone, Tracker)
• Geräteidentifikation, Akku-Ladezustand, standardisiertes Nutzerpiktogramm
• Datum und Uhrzeit der Serveranfrage
• Meldung, ob der Abruf erfolgreich war
• Name der abgerufenen Datei und Menge der gesendeten Daten
• Art der gesendeten Daten (SOS, Emergency, Messenger)
• Georeferenzierte Standortinformationen
• Informationen zum genutzten mobilen Netzwerk und zur jeweiligen SIM-Karte

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Daten durch das ERMS-System zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben. Protokolldaten verwendet die IAP GmbH diesem Zusammenhang nur zum Zweck des Betriebs, der Sicherheit und der Optimierung des ERMS-Systems. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit des ERMS-Systems und die Sicherheit unserer informationstechnischen Systeme sicherzustellen.
Ferner verarbeitet die IAP GmbH Daten, die im Rahmen der konkreten operativen Nutzung des ERMS-Systems generiert werden, insbesondere bei Aktivierung übertragene Standort- und Bewegungsdaten zum Zwecke der Integration in das Lagebildsystem (IAP-SiLa) sowie Kommunikationsdaten, die über das integrierte Emergency- und Messenger-System an die behörden-/firmeninternen Organisationseinheit gesendet werden. Die Bearbeitung der ERMS-Daten im SSL-verschlüsselten Lagebildsystem (IAP SiLa) ist durch die bearbeitende behörden-/firmeninternen Organisationseinheit nur mit Passwort möglich. Wird die SOS-Funktion in der Applikation aktiviert, wird der Nutzer-Standort automatisch georeferenziert ausgelesen und an das Lagebildsystem der behörden-/firmeninternen Organisationseinheiten gesendet.

Zugriffsberechtigungen
Die ERMS-Applikation kann nur durch einen Code, der von der behörden-/firmeninternen Organisationseinheit (Sicherheitsabteilung) dem Nutzer (Smartphone) zugewiesen wird, aktiviert werden. Im Rahmen der ERMS-Applikation sind nur standardisierte technische Einstellungen, für den Nutzer-/Endgerät (Smartphone) in der Funktionalität änderbar. Sie betreffen nur die Einstellungen zur Positionsgenauigkeit und zur Regelung der zeitlichen Abfolge der Ausgangssignale. 

Rechtsgrundlagen der Datenverarbeitung
Für den Betrieb des ERMS-Systems (entsprechend der einschlägigen Nutzungsbedingungen und mit unseren Kunden im Zusammenhang mit dem ERMS-System geschlossenen vertraglichen Abreden) werden von der IAP GmbH personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 b DSGVO verarbeitet.  Soweit die IAP GmbH zum Zwecke der Datensicherheit, technischen Realisierbarkeit, zur Fehler- bzw. Performanceanalyse sowie zur Überwachung der gesetzes- und vertragskonformen Nutzung des ERMS-Systems Daten protokollieren und verwenden diese Daten auf Grundlage von Art. 6 Abs. 1 f DSGVO. Die Verarbeitung der Daten erfolgt auf Basis der für den IAP-Kunden geltenden Grundlage. Bitte wenden Sie sich daher an die Stelle, die Ihnen die Berechtigung zur Nutzung des ERMS-Systems erteilt hat.

Dauer der Speicherung:
Ihre Daten werden von der IAP GmbH nur zu dem Zweck der Erfüllung des zwischen der IAP GmbH und der behörden-/firmeninternen Organisationseinheit (Sicherheitsabteilung) bestehenden Vertrages über den Betrieb und die Bereitstellung des ERMS-Systems verwendet, in dessen Rahmen die Daten entstehen und zeitbegrenzt überlassen werden, und bis zur Erfüllung dieses konkreten Zwecks (grundsätzlich acht Wochen) gespeichert. 
Daten, die zur Identifizierung des Nutzers und zum Systembetrieb benötigt werden (Tel-Nr. / SIM-Karten-Nr. etc.), werden nach Maßgabe der behörden-/firmeninternen Organisationseinheit (Sicherheitsabteilung) gespeichert und solange, wie der Nutzer berechtigt ist, das ERMS-System zu nutzen. Solange der Nutzer der App zur Nutzung berechtigt sind, hat der Nutzer aus Sicht der IAP GmbH (ohne Kenntnis der Weisungslage der behörden-/firmeninternen Organisationseinheit) grundsätzlich das Recht und die Möglichkeit, die Applikation selbstständig zu löschen. Die Kosten bei einer gelöschten App laufen nach Maßgabe der Verträge weiter. 
Datenlöschungen seitens der IAP GmbH werden nur auf Weisung der behörden-/firmeninternen Organisationseinheit (Sicherheitsabteilung) vorgenommen. Etwaige bei IAP GmbH vorhandene Daten werden von uns auf Weisung nach Ende Ihrer Nutzungsberechtigung oder bei Beendigung des Vertragsverhältnisses gelöscht, sofern wir keine abweichenden Vorgaben des Kunden erhalten. 

Datenweiterleitung (ERMS-System)
Die über das ERMS-System seitens der IAP GmbH erhobenen personen- oder standortbezogenen Daten werden von der IAP GmbH nur an Dritte weitergegeben, soweit eine gesetzliche Erfordernis oder Ihr Einverständnis bzw. eine Weisung der verantwortlichen Stelle (behörden-/firmeninternen Organisationseinheit) vorliegt. Zur Sicherstellung der Verfügbarkeit des ERMS-Systems und für dessen Betrieb werden Nutzerdaten ausschließlich in einem zertifizierten Hochsicherheitsdatenzentrum in Deutschland sowie die Verbindungsdaten durch den Netzbetreiber oder Service-Provider in seinen Datenzentren (kaufmännische Abrechnung) gespeichert. Wenn wir einen solchen Service-Provider im Sinne einer Auftragsverarbeitung nach Art. 28 DSGVO einsetzen, bleiben wir dennoch für den Schutz der Nutzerdaten verantwortlich. Die IAP GmbH wird die Schutzverpflichtung mittels einer Vereinbarung zur Auftragsverarbeitung vertraglich verpflichten, die Nutzerdaten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten. Die von uns beauftragten Auftragsverarbeiter erhalten Nutzerdaten nur, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung zur technischen Zurverfügungstellung des ERMS-Systems benötigen. 

Nutzerrechte (ERMS-Systems)
Werden personenbezogene Nutzerdaten verarbeitet, ist der Nutzer „Betroffener“ i.S.d. DSGVO womit dem Nutzer die nachfolgenden Rechte zustehen können. Bitte beachten Sie, dass diese Rechte nur gegenüber der für die Datenverarbeitung verantwortlichen (Firmen-)Stelle geltend gemacht werden können (siehe hierzu Informationen unter Ziff. 1). Erhalten wir entsprechende Anfragen müssen wir diese an die Verantwortliche Stelle weiterreichen. 

Sie können ein Recht auf Auskunft haben, ob und welche persönlichen Daten über Sie bei der Verantwortlichen Stelle gespeichert sind (Art. 15 DSGVO). Sollten trotz der Bemühungen um Datenrichtigkeit und Aktualität falsche Daten gespeichert sein, kann ein Anspruch bestehen, dass diese auf eine entsprechende Aufforderung berichtigt werden (Art. 16 DSGVO). Neben diesem Recht auf Berichtigung haben Sie gegebenenfalls ein Recht auf Sperrung und Löschung von Sie betreffenden personenbezogenen Daten (Art. 17 DSGVO). Es ist möglich, dass nicht jedem Begehren auf Löschung aus gesetzlichen Gründen, vor allem aufgrund von steuer-, sicher- oder handelsrechtlichen Vorschriften, oder aus Gründen der reibungslosen Vertragsabwicklung umgehend nachgekommen werden kann. Daneben kann unter bestimmten Voraussetzungen einen Anspruch bestehen, dass dem Nutzer zur Verfügung gestellte Daten als strukturiertes, gängiges und maschinenlesbares Format übertragen bzw. auf ausdrücklichen schriftlichen Wunsch hin, diese Daten an einen Dritten weitergeleitet werden (Art. 20 DSGVO). 
Unter bestimmten Voraussetzungen dürfen Sie bei der Verantwortlichen Stelle der Nutzung Ihrer Daten für die Zukunft widersprechen, also für andere oder weitere Zwecke als der Vertragsabwicklung bzw. der Verarbeitung aufgrund berechtigten Interesses (Art. 21 DSGVO). Soweit Sie gegenüber der Verantwortlichen Stelle oder mit Wirkung für die Verantwortliche Stelle im Zusammenhang mit dem ERMS-System eine Einwilligung zur Datenverarbeitung abgegeben haben, ist diese mit Wirkung für die Zukunft widerruflich. Sie haben auch das Recht, nur eine Einschränkung der Datennutzung für bestimmte Zwecke zu verlangen (Art. 18 DSGVO).
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass eine Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO i.V.m. § 19 BDSG). Bitte beachten Sie, dass Sie als Nutzer selbstständig die Möglichkeit haben, die zur Nutzung des ERMS-Systems zur Verfügung gestellte Applikation von Ihrem Endgerät vollständig zu löschen und damit eine weitere Datenerhebung beenden.

Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html