Datenschutzerklärung Erste Hilfe App der Bundeswehr

 

 

 

Schutz personenbezogener Daten

 

Für die Bundeswehr hat der Schutz personenbezogener Daten hohe Priorität. Es ist ihr ein Anliegen, dass Nutzerinnen und Nutzer von der Erste Hilfe App der Bundeswehr (kurz: EHBw) wissen, wann welche Daten verarbeitet werden. Zudem sind technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz von datenverarbeitenden Stellen der Bundeswehr sowie von Auftragsverarbeitern beachtet werden. Personenbezogene Daten werden nur im notwendigen Umfang verarbeitet.

Nachfolgend informieren wir Sie über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten.

 

1.  Auf welcher rechtlichen Grundlage werden personenbezogene Daten verarbeitet?

Die Verarbeitung personenbezogener Daten erfolgt nach den Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Was sind personenbezogene Daten?

Personenbezogene Daten sind gemäß Artikel 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung) identifiziert werden kann.

 

 2. Registrierung

 

Die EHBw ist ein Internet-Service der Bundeswehr mit einer Mobilen App und einem Internet-Service zur Verarbeitung von Informationen bis zur Kategorie OFFEN für die dienstliche und private Nutzung.

 

Die Nutzung dieses Internet-Services steht ausschließlich Soldatinnen und Soldaten zur Verfügung. Zur Sicherstellung, dass nur Soldatinnen und Soldaten die dazugehörige Mobile App nutzen können, muss die Registrierung zu diesem Service über die Link and Learn-Plattform der Bw erfolgen.

Die Registrierung für diesen Service erfordert folgende Schritte:

1.    Anmeldung bei Link and Learn (LaL) mit der entsprechenden Nutzerkennung.

2.    Auswahl des EHBw-Services auf Link and Learn.

3.    Download der Mobile App via angebotenen Link zu den Stores (IOS, Android)

4.    Installation der App

5.    Der Anmeldeprozess (aus der App heraus initiiert) leitet auf LaL, wo der Nutzer sich mit seiner LaL spezifischen Kennung anmeldet.

6.    Zur Autorisierung wird das Deutsche Forschungsnetz genutzt. Dort ist Link and Learn als „Identitiy Provider“ gelistet, die EHBw App als „Service Provider“.

7.    LaL autorisiert die Nutzer nach erfolgreichem Login über das DFN zur Nutzung der App

8.    LaL stellt darüber hinaus eine eindeutige, anonyme Kennung in Form eines Hash-Values zur. Diese eindeutige Kennung wird ausschließlich für den Nutzer innerhalb des EHBw Services zur Verwaltung aller EHBw-spezifischen Daten (siehe 4.1 und 4.2) verwendet.

9.    Die Nutzung der App ist bis zu einem expliziten Abmelden oder dem Ablauf einer Frist von 90 Tagen möglich.

10.  Nach einer manuellen oder automatischen Abmeldung muss der Nutzer sich erneut über LaL authentisieren (siehe 2.5 bis 2.7).

 

 

3. Login

 

Beim Login erheben und speichern wir die nachfolgenden Daten zur Authentifizierung der Nutzerinnen und Nutzer innerhalb des EHBw Internet Services:

• Eindeutige anonyme Nutzerkennung in Form des durch LaL erzeugten Hash-Wertes

Durch Auswahl des Kontrollkästchens „Einwilligung in die Verarbeitung der Daten“ bzw. mit Abgabe der unterschriebenen Einwilligungserklärung erklären Sie, dass Sie in diese Datenverarbeitung einwilligen (Art. 6 Abs. 1a, Art. 7 DSGVO). Eine Weitergabe der Daten erfolgt ausschließlich im Falle der Aufklärung von missbräuchlicher EHBw-Nutzung an den zuständigen Disziplinarvorgesetzten im Rahmen der rechtlichen Vorgaben.

 

4. Welche personenbezogene Daten werden verarbeitet?

Das gesamte System der App ist so programmiert, dass so wenig personenbezogene Daten, wie möglich verarbeitet werden. Die Verarbeitung der nachfolgend beschriebenen personenbezogenen Daten erfolgt auf der Grundlage Ihrer Einwilligung gemäß Artikel 6 Absatz 1a der DSGVO.

 

4.1 Protokolldaten

Bei der Nutzung der App werden zum Zwecke der Leistungsüberwachung, Sicherheitsanalyse sowie zur allgemeinen Serverwartung folgende Daten erhoben:

1. [**date**]:                          Das Datum des Logeintrags.

2. [**time**]:                          Die Uhrzeit des Logeintrags.

3. [**cs-uri-stem**]:             Der URI-Stamm des angeforderten Ressourcenpfads (aufgerufene URL).

4. [**cs-uri-query**]:            Die Abfragezeichenfolge in der URI (falls vorhanden).

5. [**c-ip**]:                           Die IP-Adresse des Clients, der die Anfrage gestellt hat.

6. [**cs(User-Agent)**]:      Informationen über den User-Agent des Clients (z.B. Browsertyp).

7. [**cs(Referer)**]:             Die Referer-URL, die die Seite angibt, von der der Benutzer evtl. gekommen ist.

Diese Daten, die bei jeder Interaktion mit dem Server erhoben werden, werden nach 30 Tagen automatisch gelöscht.

 

 

 

4.2 Nutzungsdaten

 

Bei Verwendung der App verarbeiten wir Nutzungsdaten, um die Qualität der bereitgestellten Funktionen künftig weiter zu verbessern. Sie werden hierbei als Nutzerin und Nutzer der App identifiziert. Die Nutzungsdaten werden tatsächlich nur während der Nutzung der App erhoben, also nicht dauerhaft im Hintergrund, wenn die App nicht geöffnet ist. Folgende Daten werden erhoben:

 

-      Benutzerkennung: anonymisierte Kennung aus der LaL Plattform.

 

-      Performance des Nutzers: Die App legt Lernstatistiken zu den einzelnen Themen des Lernkatalogs an, die den Fortschritt des Nutzers dokumentiert. Diese Lernstatistik listet, welche Frage in der App richtig oder falsch beantwortet wurde und wann Sie beantwortet wurde. Die Lernstatistik dient dabei der Selbsteinschätzung der NutzerInnen. Außerdem dient die Lernstatistik dem Zweck, dass der Fortschritt des Nutzers auch auf einem anderen Gerät fortgeführt werden kann.

 

-      Daten zum Zertifikat: In der App kann ein Zertifikat erlangt werden. Dieses Zertifikat wird dem Nutzer zum Download auf seinem mobilen Endgerät zur Verfügung gestellt. Als zusätzlichen Komfort erlaubt die App das Zertifikat über eine Mail App auf dem Endgerät zu versenden. Die App leitet beim Versenden via Mail ausschließlich zu einer entsprechenden App weiter. Der Nutzer muss dann das Zerifikat an die entsprechende Personalstelle mit der selbst zu wählenden Email-Adresse als Absender versenden. Die App und somit der EHBw Internet-Service erlangt damit keinen Zugang auf die genutzten Email-Adressen. Zu diesem Zweck werden ausschließlich Daten gespeichert, ob das Zertifikat bereits erworben wurde und wie lange es noch gültig ist.

 

4.3 Benachrichtigungen (Push-Nachrichten)

Die App sendet den Nutzern Push-Benachrichtigungen auf das Endgerät, wenn ein Zertifikat zeitnah ausläuft. Auf Basis dieser Information können die Nutzer durch erneute Nutzung der App ein neues Zertifikat erwerben. Neben der genannten Gültigkeit des Zertifikats beinhalten die Benachrichtigungen keine personenbezogenen Daten.

 

Ihre Einwilligung in die Speicherung und Verwendung dieser personenbezogenen Daten zum Erhalt unserer Benachrichtigungen können die Nutzer jederzeit widerrufen. Den Widerruf der Einwilligung können sie in den Einstellungen Ihres Endgerätes wie folgt vornehmen:

 

a) iPhones (Apple iOS)

• Öffnen Sie die “Einstellungen”-App.
• Scrollen Sie die Liste mit Apps herunter, bis Sie den Namen der App sehen, für die Sie Push-Nachrichten deaktivieren möchten.
• Tippen Sie auf den Namen der App und anschließend auf “Benachrichtigungen”.
• Hier können Sie einzelne Benachrichtigungs-Varianten oder Push-Nachrichten komplett deaktivieren.

 

b) Android-Smartphones

• Öffnen Sie das Benachrichtigungs-Center am oberen Bildschirmrand.
• Tippen und halten Sie den Finger auf einer Benachrichtigung der App gedrückt, für die Sie die Push-Nachrichten deaktivieren wollen, bis sich ein Menü öffnet.
• Tippen Sie auf “App Info”.
• Entfernen Sie nun den Haken bei “Benachrichtigungen empfangen”.

 

 

5. Weitergabe personenbezogener Daten an Dritte

Da der EHBw Internetservice ausschließlich anonymisierte Daten handhabt, findet eine Weitergabe personenbezogener Daten an Dritte nicht statt.

Daten, die bei der Nutzung der EHBw protokolliert werden, werden an Dritte nur übermittelt, soweit die Bundeswehr rechtlich dazu verpflichtet ist oder die Weitergabe im Falle von Angriffen auf die Kommunikationstechnik des Bundes zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe in anderen Fällen oder eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht.

 

 

 

 

 

 

 

 

6. Wann werden die personenbezogenen Daten gelöscht?

Eine Löschung des Nutzerkontos EHBw ist jederzeit in der App durch den Nutzer möglich. Hinterlegte personenbezogene Daten des Nutzerkontos werden somit gelöscht.

 

 

 

7. Ihre Rechte

Sie haben das Recht, die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Mit dem Widerruf ist keine Nutzung der EHBw mehr möglich. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt davon unberührt.

Neben dem o.g. jederzeitigen Widerrufsrecht stehen Ihnen die folgenden Betroffenen-rechte gegenüber der/ dem Verantwortlichen zu:

• auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten (dazu gehören auch Auskünfte über Zweck, Empfänger und Dauer der Speicherung) nach Art. 15 DSGVO,

• auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO),),

• Recht auf Löschung (gemäß Art. 17DSGVO),

• auf Einschränkung der Verarbeitung und Datenübertragbarkeit (Art. 18 und 20 DSGVO) sowie

• Recht auf Widerspruch gegen die Verarbeitung (gemäß Art. 21DSGVO). Legen Sie Widerspruch ein, werden Ihre personenbezogenen Daten nicht mehr verarbeitet. Eine Ausnahme besteht, soweit zwingende schutzwürdige Gründe bestehen, die gegenüber Ihren Interessen überwiegen.

• Ihnen steht das Recht auf Beschwerde bei der/dem Beauftragten für den Datenschutz und die Informationsfreiheit zu (gemäß Art. 77 DSGVO).

 

Zur Wahrung aller in dieser Ziffer genannten Rechte kann sich jede/r Betroffene an den oder die Datenschutzbeauftragte(n) wenden.

Zudem können Sie sich, wenn Sie der Auffassung sind, dass bei der Verarbeitung Ihrer Daten datenschutzrechtliche Vorschriften missachtet werden, mit einer Beschwerde an die Beauftragte für den Datenschutz und die Informationsfreiheit, Graurheindorfer Straße 153, 53117 Bonn, wenden. (Art. 77 DSGVO)

8. Datenschutzrechtliche Verantwortlichkeit

Datenschutzrechtlich verantwortliche Stelle ist das Bundesministerium der Verteidigung, Stauffenbergstraße 18, 10785 Berlin.

 

9. Behördliche(r) Datenschutzbeauftragte(r)

 

Bei konkreten Fragen zum Schutz Ihrer Daten wenden Sie sich bitte an die/den Datenschutzbeauftragte(n):

 

Datenschutzbeauftragte/-r für den Geschäftsbereich des BMVg; Behördlicher Datenschutz, BMVg DSB GB BMVg

Stauffenbergstr. 18

10785 Berlin

E-Mail: DSBGBBMVg@bmvg.bund.de