Transkript anzeigen Abspielen Pausieren

ppa Datenschutzerklärung für die Beihilfe-App

1 Geltungsbereich 

Diese Datenschutzerklärung gilt für die Beihilfe App der Pfälzischen Pensionsanstalt (ppa) und die dort angebotenen eigenen Inhalte. Für Inhalte anderer Anbieter, auf die z. B. über Links verwiesen wird, gelten die dortigen Bestimmungen. Insbesondere sind diese gemäß § 7 Abs. 1 Telemediengesetz (TMG) für eigene Inhalte verantwortlich.

2 Verantwortliche 

Für die Beihilfe App verantwortlich im Sinne der Datenschutzgrundverordnung und des Landesdatenschutzgesetzes Rheinland-Pfalz ist die:

ppa - Pfälzische Pensionsanstalt
Sonnenwendstraße 2
67098 Bad Dürkheim
Tel.: 06322 936 0
E-Mail: info@ppa-duew.de
Website: www.ppa-duew.de 

3 Datenschutzbeauftragte

Die Datenschutzbeauftragte der ppa ist:

Frau Lali Beruashvili
SECURiON Rheinland-Pfalz GmbH
Hindenburgplatz 1
55118 Mainz
Tel.: 06322 93 61 90
E-Mail: Datenschutz@securion.de

4 Beschreibung und Umfang der Verarbeitung personenbezogener Daten

Mit der Beihilfe App geben wir Ihnen die Möglichkeit für einen elektronischen Dokumentenaustausch. Mit dieser App werden unter anderem die Kategorien besonderer personenbezogener Daten wie Gesundheitsdaten (aus Belege, Anträge, weiteren Dokumenten) von Ihnen und ggf. Ihrer Angehörigen verarbeitet. Ihre Daten werden nicht für ein Profiling oder eine automatisierte Entscheidungsfindung verwendet.

4.1 Bereitstellung der App

Sie können die Beihilfe App über Google Play Store oder Apple iTunes Store installieren. Beim Herunterladen der Beihilfe App aus dem App-Store werden Ihre App-Store Account Informationen wie Benutzername, E-Mail-Adresse, Kundennummer und Ihr Gerätekennzeichen an den App-Store übermittelt. Auf diese Datenverarbeitung hat die ppa keinen Einfluss, die Verantwortlichkeit obliegt alleine beim App-Store Anbieter.

Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung

von Google:  https://policies.google.com/privacy?hl=de

von Apple:  https://www.apple.com/legal/privacy/de-ww/

4.2 Zugangsdaten für Registrierung und Login

4.2.1 Registrierung 

Vorname, Name, Geburtsdatum, Beihilfenummer, Passwort und TAN (alternativ: Face-ID, bzw. Touch-ID) werden im Rahmen der Registrierung für die Authentifizierung genutzt. Diese Daten des Nutzers werden im IBM Service Hub (ISH) der IBM gespeichert. Die Daten auf den Servern werden automatisch regelmäßig mit den Daten der uns als beihilfeberechtigte geführten Personen abgeglichen und aktualisiert.

Um Risiken wie den Missbrauch durch Dritte – z. B. durch Diebstahl oder Verlust des Smartphones oder sonstiger Geräte, mit denen die Beihilfe App genutzt wird – einzuschränken, ist für die Registrierung in der Beihilfe App neben der Benutzerkennung das von der Nutzerin oder dem Nutzer vergebene Passwort und die Transaktionsnummer (TAN), welche der Nutzerin oder dem Nutzer im Rahmen des Registrierungsprozesses automatisiert per Briefpost an Ihre bei der Pfälzischen Pensionsanstalt (ppa) hinterlegte Anschrift zugeschickt wird, notwendig. Anstelle eines Passworts können Sie auch die Touch-ID oder die Face-ID verwenden. Die Eingabe der TAN ist nur einmal erforderlich. Bei jeder weiteren Anmeldung muss nur das Passwort eingegeben werden.

Die TAN ist darüber hinaus aus Gründen der Sicherheit gerätebezogen. Falls die Nutzerin oder der Nutzer die Beihilfe App mit einem neuen bzw. weiteren Gerät benutzen möchten, benötigt sie oder er also eine weitere TAN. Diese wird der Nutzerin oder dem Nutzer ebenso automatisch per Briefpost übermittelt, sobald sie oder er sich auf dem neuen oder weiteren Gerät registriert.

Da die Dokumente im ISH gespeichert sind, können sie von diversen mobilen Endgeräten abgerufen werden, wenn der Registrierungsprozess für diese Endgeräte inklusive des TAN-Verfahrens erfolgreich abgeschlossen worden ist.

4.2.2 Login 

Für den Login ist die Angabe des Passwortes bzw. die Touch-ID oder die Face-ID erforderlich.

Wenn die Nutzerin oder der Nutzer sein Passwort vergisst, kann er die Beihilfe App zurücksetzen – alle Daten werden aus der Beihilfen App gelöscht.

Die Nutzerin oder der Nutzer kann sich dann erneut registrieren.

Nach der Registrierung werden alle Daten der Nutzerin oder des Nutzers vom ISH Server wieder an die Beihilfe App übertragen (nichts geht verloren), aber nur mit einer zweistufigen Registrierung.

4.3 Identifikationsdaten:

  • Merkmale zur Identifikation des Nutzers (User ID, App ID, Passwort (alternativ: Touch-ID, Face-ID), TAN).
  • Zeitpunkte der Interaktion mit dem Server (z. B. Zeitpunkt Belegeinreichung)
  • Starten der Beihilfen App (Relevant zur Übertragung inhaltlicher Updates).

Diese Daten werden, solange sie für den Betrieb der Beihilfen App notwendig sind, gespeichert.

4.4 Beleg- und Antragsdaten: 

Die Dokumente und abfotografierten Belege (Zugriffsberechtigung auf die Kamera erforderlich) werden an die ppa übermittelt und im Rahmen der rechtlichen Anforderungen entsprechend verarbeitet. Es werden nur die Daten vom Beleg gespeichert, die für die Abrechnung und Gewährung der Beihilfe relevant sind. Es erfolgt eine Rückmeldung an die Beihilfe App, wenn die Belege eingegangen sind.

4.5 Beihilfebescheide und weitere Dokumente der ppa 

Mit Ausnahme der förmlich zuzustellenden Bescheide (z. B.: Widerspruchsbescheide) werden der Nutzerin bzw. dem Nutzer der Beihilfe App sämtliche Bescheide und Dokumente über die Beihilfe App und damit nicht mehr auf dem Postweg bekanntgegeben bzw. übermittelt. Die Nutzerin oder der Nutzer erhalten standardisiert eine Push-Benachrichtigung bei Bereitstellung eines Dokuments. Wir versenden diese über den Dienst Firebase Cloud Messaging aus einem Google-Rechenzentrum in Europa. Wir nutzen keine Firebase Analytics.

5 Zweck der Datenverarbeitung

Zweck ist die Erfüllung des gesetzlichen Auftrags für die Berechnung, die Festsetzung und die Auszahlungen von Beihilfen.

6 Rechtsgrundalge der Datenverarbeitung 

Die Erfüllung des gesetzlichen Auftrags für die Berechnung, die Festsetzung und die Auszahlungen von Beihilfen erfolgt nach beamtenrechtlichen Vorschriften oder aufgrund tarifvertraglicher bzw. arbeitsvertraglicher Regelungen. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten durch die Nutzung der Beihilfen App ist Art. 6 Abs. 1 lit. a (Einwilligung).

7 Dauer der Speicherung personenbezogener Daten 

Auf die Nutzer-Daten im ISH von der IBM haben die ppa und auch die IBM keinen Zugriff. Hier entscheidet alleine die Nutzerin oder der Nutzer über die Speicherdauer der Dokumente.

Die Registrierungsdetails werden in der lokalen Datenbank (Smartphone) gespeichert, bis der Nutzer die Beihilfe App zurücksetzt oder löscht.

Die Nutzerin oder der Nutzer können sowohl die selbst übermittelten als auch die von der ppa bereitgestellten im ISH gespeicherten Dokumente jederzeit eigenhändig löschen, indem sie oder er die Dokumente in der App löscht.

Alternativ können die Nutzerinnen und Nutzer auch bei der ppa die Löschung der Daten im ISH nach § 17 DSGVO beantragen. In diesem Fall werden die im ISH gespeicherten Dokumente von der IBM auf Veranlassung der ppa gelöscht.

Löscht / deinstalliert die Nutzerin oder der Nutzer die Beihilfe App, werden auch alle Daten in der App gelöscht.

Nach einer Neuinstallation der Beihilfen App kann sich die Nutzerin oder der Nutzer erneut registrieren.

Nach der Registrierung erhält die Nutzerin oder der Nutzer alle seine Daten vom Server zurück (nichts geht verloren), aber nur mit einer zweistufigen Registrierung.

Mit der Löschung der Daten in der Beihilfen App, werden Ihre Daten bei der ppa nicht gelöscht. Die Löschfristen richten sich nach § 96 Abs. 2 des Landesbeamtengesetzes Rheinland-Pfalz (LBG RLP).

8 Widerspruchs- und Beseitigungsmöglichkeit 

Die Nutzung der Beihilfe App ist freiwillig und kann jederzeit widerrufen werden und muss schriftlich erfolgen. Nach Eingang des Widerrufs kann der Account für die Antragsstellung jederzeit von der ppa gesperrt werden.

Die Übermittlung von elektronischen Dokumenten durch die ppa wird nach Eingang des Widerrufs unverzüglich eingestellt. Ihnen werden durch den Widerruf keine Nachteile entstehen. Sie erhalten Ihre Dokumente dann über den Postweg.

Die Rechtmäßigkeit der elektronischen Übermittlung der personenbezogenen Daten bis zum Widerruf wird hierbei nicht berührt.

Bitte beachten Sie, dass Sie sich nach einem wirksamen Widerruf erneut registrieren müssen, wenn Sie die Beihilfe App wieder nutzen möchten.

9 Empfänger der Daten 

Die ppa hat den Kommunalen Versorgungsverband Baden-Württemberg (KVBW) als Dienstleister für die Bereitstellung und den Betrieb der Beihilfen App beauftragt, der seinerseits IBM Service Hub (ISH), den Server, der IBM Deutschland GmbH für den Betrieb der Beihilfen App nutzt.

Empfänger der Daten ist die ppa (Antrags- und Belegdaten) sowie selbst Nutzerin oder Nutzer der Beihilfen App (für Bescheide und weitere Dokumente). Ferner ist es möglich, dass unser Auftragsverarbeiter KVBW im Rahmen der Erfüllung der vertraglichen Pflichten auf personenbezogenen Daten zugreift. Wir haben mit KVBW einen Auftragsverarbeitungsvertrag geschlossen.

Die von den Nutzerinnen und Nutzern bzw. von der ppa bereitgestellten Dokumente sind im IBM Service Hub (ISH) so verschlüsselt, dass die Dokumente nicht für die IBM einsehbar sind.

Wir weisen Sie trotzdem darauf hin, dass die IBM Deutschland GmbH zu den Tochtergesellschaften des US-Unternehmen IBM gehört. Gehört der Server, auf dem personenbezogenen Daten gespeichert werden, einem US-amerikanischen Unternehmen oder einer Tochtergesellschaft, dürfen US-Behörden nach dem Gesetz Cloud-Act den Zugriff zu den auf dem Server gespeicherten personenbezogenen Daten, auch in der EU, erhalten. Wenn der Cloud Anbieter rechtlich dazu gezwungen wird, den US-Behörden den Zugriff auf Daten zu gewähren, erhalten sie auch den Schlüssel, um verschlüsselte Daten zu entschlüsseln. Daher können Ihre Daten in die USA übermittelt werden.

In den übrigen Fällen werden Daten, die durch Nutzung der Beihilfe App durch die Nutzer oder den Nutzer bereitgestellt werden grundsätzlich nicht an Dritte übermittelt, es sei denn, dass es gesetzlich vorgeschrieben oder durch ein Gericht entschieden ist.

10 Cookies 

Die Beihilfe App verwendet keine Cookies.

11 Analysewerkzeuge 

Diese App nutzt keine Analysewerkzeuge (z. B. Google Analytics).

12 Serverprotokollierung

12.1 Umfang der Verarbeitung personenbezogener Daten 

Beim Zugriff auf die Beihilfe App werden die folgenden Daten von Ihnen erhoben und serverseitig protokolliert:

  • IP-Adresse
  • Zeit
  • Betriebssystemversion und Telefonmodell

Beihilfe App-Version und Details (Stammdaten, Beihilfenummer) über die Benutzer, um sie als Kunden zu identifizieren.

Eine Speicherung der IP-Adresse über das Ende des Nutzungsvorgangs hinaus erfolgt nicht.

12.2 Rechtsgrundlage für die Verarbeitung personenbezogener Daten 

Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten durch die Serverprotokollierung ist Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 3 LDSG RLP.

12.3 Zweck der Datenverarbeitung 

Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit und Verfügbarkeit der Beihilfen App sicherzustellen. Zudem dienen uns die Daten zur Fehleranalyse und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Es wird kein personenbezogenes Nutzungsprofil erstellt und die Daten werden nicht an Dritte weitergegeben.

12.4 Dauer der Speicherung 

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens drei Monaten der Fall. Wir behalten uns allerdings vor, die Server-Logfiles außerhalb der Speicherfrist zu speichern, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.

12.5 Widerspruchs- und Beseitigungsmöglichkeit 

Die Erfassung der Daten zur Bereitstellung der Beihilfen App und die Speicherung der Daten in Logfiles ist für den Betrieb der Beihilfen App zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

13 Zugriffsberechtigungen der Beihilfen App 

Die Beihilfe App benötigt für den vollen Funktionsumfang folgende Berechtigungen:

  • Kamera (Bilder aufnehmen)
  • Fingerabdruckhardware verwenden (Touch-ID)
  • Gesichtserkennung (Face-ID)
  • Push-Benachrichtigung

14 Verschüsselung und Datensicherheit 

Die gesamte Kommunikation über die Beihilfe App ist mit einem sicheren Verschlüsselungsverfahren abgesichert.

Zusätzlich empfehlen wir,

  • eine Gerätesperre mittels eines Passwortes, PIN, Face-ID oder Touch-ID zu verwenden, damit die Daten in der Beihilfe App vor dem automatischen Logout vor dem Zugriff durch Dritte geschützt sind. Ein sicheres Passwort enthält mindestens acht Zeichen, Groß- und Kleinbuchstaben sowie Ziffern und mindestens ein Sonderzeichen. Es sollte zudem keinen Bezug zu Ihrer Person haben, wie z. B. Ihr Name, Ihre Anschrift oder Ihr Geburtsdatum. Achten Sie bei der Erstellung einer PIN darauf, dass Sie verschiedene, nicht aufeinander folgende Ziffern wählen und es sich um Ziffern handelt, die nicht leicht erraten werden können, wie z. B. Ihr Geburtsdatum.
  • bei der Eingabe der Daten zur Registrierung ist darauf zu achten, dass diese nicht durch Dritte ausgespäht werden.

15 Minderjährigenschutz 

Kinder und Personen unter 18 Jahren sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln.

16 Betroffenenrechte 

Werden Ihre personenbezogenen Daten verarbeitet, sind Sie Betroffener i. S. d. DSGVO und es stehen Ihnen bestimmte Rechte gegenüber dem Verantwortlichen zu. Diese werden nachfolgend zusammengefasst dargestellt. Die ausführliche Beschreibung ist einsehbar in Kapitel 3 Art. 12 - 23 DSGVO:

1. Auskunftsrecht

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über die Zwecke, die Kategorien und die Empfänger von personenbezogenen Daten Auskunft verlangen. Des Weiteren können Sie Auskunft verlangen über die Dauer der Speicherung, die Herkunft der Daten und ob Übermittlungen in ein Drittland stattgefunden haben.

2. Recht auf Berichtigung

Sie haben ein Recht auf Berichtigung und / oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Löschung

Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern die Daten z. B. unrechtmäßig verarbeitet werden oder sie für Zwecke ihrer Erhebung nicht mehr notwendig sind. Des Weiteren hat der Verantwortliche ggf. auch Dritten mitzuteilen, dass Sie von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt haben. Es gibt Ausnahmen zum Recht auf Löschung (z. B. wenn rechtliche Gründe entgegenstehen).

4. Recht auf Einschränkung der Verarbeitung

Unter bestimmten Voraussetzungen dürfen Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen. Dann dürfen diese Daten z. B. nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o. g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Andernfalls haben Sie das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

7. Widerspruchsrecht

Sie haben das Recht, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet diese Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

8. Recht auf Widerruf der Einwilligung

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt z. B. nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist oder mit Ihrer ausdrücklichen Einwilligung erfolgt.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Die Aufsichtsbehörde in Rheinland-Pfalz ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, erreichbar unter: https://www.datenschutz.rlp.de.