
Datenschutzinformationen nach Art. 13, 14 EU-Datenschutzgrundverordnung (DSGVO) für die Nutzung von Rheinmetall e-Signature
Im Zusammenhang mit der Nutzung unserer technischen Lösung für elektronische Signaturen („Rheinmetall e-Signature“; cloud-basierte Applikation MOXIS der XiTrust Secure Technologies GmbH) findet auch eine Verarbeitung personenbezogener Daten statt, über die wir Sie nachfolgend informieren möchten.
A. Name und Kontaktdaten des Verantwortlichen
Für den Betrieb der technischen Lösung und die dabei stattfinden Datenverarbeitungen ist primär die Rheinmetall-Konzernzentrale verantwortlich:
Rheinmetall AG
Rheinmetall Platz 1
40476 Düsseldorf
Deutschland
signature@rheinmetall.com
Für die Datenverarbeitungen im Rahmen der Nutzung der e-Signature Lösung ist grundsätzlich diejenige Rheinmetall-Gesellschaft verantwortlich, die eine elektronische Signatur von Ihnen anfordert oder auf sonstige Weise in diesem Zusammenhang mit Ihnen in Kontakt tritt.
Die Kontaktdaten der Rheinmetall-Gesellschaften können Sie auf folgender Webseite abrufen: https://www.rheinmetall.com/de/unternehmen/standorte-weltweit
B. Kontaktdaten des Datenschutzbeauftragten
Rheinmetall AG, Konzern-Datenschutzbeauftragter
Rheinmetall Platz 1
40476 Düsseldorf
Deutschland
E-Mail-Adresse: DSB-RhAG@rheinmetall.com
Die Kontaktdaten etwaiger Datenschutzbeauftragter anderer Rheinmetall-Gesellschaften können auf folgender Webseite abgerufen werden: https://www.rheinmetall.com/de/meta/navigations/footer/datenschutzbeauftragte
C. Datenkategorien & Zwecke der Datenverarbeitung
Art, Umfang und Zwecke der Datenverarbeitungen sind abhängig vom jeweiligen Anwendungsfall/Kontext:
1) Für die Erbringung einer elektronischen Signatur
- Name, Vorname
- E-Mail-Adresse
- Signaturzeichnung („Unterschriftenabbild“)
- ggf. Mobilfunknummer (z. B. bei qualifizierter elektronischer Signatur)
- ggf. Unternehmen, Funktion und Berechtigungen
- ggf. weitere personenbezogene Daten, die sich auf dem zu signierenden Dokument befinden
- Zeitstempel der Signatur
- Ggf. Audit-Trail: Informationen zur Nachvollziehbarkeit und Qualitätssicherung von Signaturprozessen (z. B. fortlaufende ID, Zeitstempel, Aktionsbeschreibung)
- Logfiles: Technisch bedingte Informationen über den Aufruf der Webseite/Applikation (z. B. IP-Adresse, Browserdaten, Gerätedaten, Zeitstempel)
2) Für die Anlage und Verwaltung von Benutzern
- Name, Vorname
- E-Mail-Adresse
- Signaturzeichnung („Unterschriftenabbild“)
- Ggf. Mobilfunknummer (z. B. bei qualifizierter elektronischer Signatur)
- Unternehmen, Funktion und ggf. Berechtigungen
- Ggf. Profilbild (optional)
- Ggf. Sprache des Auftragsempfängers
- Ggf. Audit-Trail: Informationen zur Nachvollziehbarkeit und Qualitätssicherung von Signaturprozessen (z. B. fortlaufende ID, Zeitstempel, Aktionsbeschreibung)
- Logfiles: Technisch bedingte Informationen über den Aufruf der Webseite/Applikation (z. B. IP-Adresse, Browserdaten, Gerätedaten, Zeitstempel)
3) Für die Erstellung und Verwaltung von Signaturaufträgen
- Name, Vorname
- E-Mail-Adresse
- Signaturzeichnung („Unterschriftenabbild“)
- Ggf. Mobilfunknummer (z. B. bei qualifizierter elektronischer Signatur)
- Ggf. weitere personenbezogene Daten, die sich auf dem zu signierenden Dokument befinden
- Ggf. Audit-Trail: Informationen zur Nachvollziehbarkeit und Qualitätssicherung von Signaturprozessen (z. B. fortlaufende ID, Zeitstempel, Aktionsbeschreibung)
- Logfiles: Technisch bedingte Informationen über den Aufruf der Webseite/Applikation (z. B. IP-Adresse, Browserdaten, Gerätedaten, Zeitstempel)
4) Zur Pflege eines persönlichen und/globalen Adressbuchs in der e-Signaturlösung
- Rheinmetall-Benutzer können Kontakte für Signaturaufträge in ihrem persönlichen und/oder im Rheinmetall-weiten (globalen) Adressbuch innerhalb der Lösung anlegen.
- Hierbei wird verarbeitet: Name, Vorname, E-Mail-Adresse, ggf. Mobilfunknummer, ggf. Unternehmen/Funktion/Berechtigung
5) Zur Gewährleistung der Nachvollziehbarkeit, Integrität und Betriebssicherheit
- Ggf. Audit-Trail: Informationen zur Nachvollziehbarkeit und Qualitätssicherung von Signaturprozessen (z. B. fortlaufende ID, Zeitstempel, Aktionsbeschreibung)
- Logfiles: Technisch bedingte Informationen über den Aufruf der Webseite/Applikation (z. B. IP-Adresse, Browserdaten, Gerätedaten, Zeitstempel)
6) Für den Erwerb einer digitalen Identität über Vertrauensdiensteanbieter zwecks qualifizierter elektronischer Signatur
Hinweis: Für den Erwerb einer digitalen Identität bzw. die Erteilung eines entsprechenden Zertifikats sind die qualifizierten Vertrauensdiensteanbieter (eIDAS) bzw. die anerkannten Anbieter von Zertifizierungsdiensten (ZertES) datenschutzrechtlich eigenständig verantwortlich. Weitere Informationen hierzu erhalten Sie im Rahmen des Prozesses vom jeweiligen Anbieter.
Typischerweise werden hierbei folgende Daten durch die Anbieter verarbeitet:
Anrede, Name, Vorname, Mobilfunknummer, Wohnanschrift, E-Mailadresse, Geburtsdatum und –ort, Nationalität, Ausweisdaten (insb. Ausweisart, Ausweisnr., Aussteller, Gültigkeit).
D. Rechtsgrundlage für die Datenverarbeitung
Art. 6 Abs. 1 lit. b DSGVO: Erforderliche Datenverarbeitungen für die Anbahnung und/oder Begründung eines Vertrages mit der betroffenen Person.
Art. 6 Abs. 1 lit. f DSGVO: Erforderliche Datenverarbeitungen zur Wahrung berechtigter Interessen der Rheinmetall-Gesellschaften, insbesondere
- Bereitstellung und Nutzung einer technischen Lösung für elektronische Signaturen von Verträgen, internen Freigaben oder sonstigen signaturbedürftigen Dokumenten
- Kommunikation zwischen Signaturauftraggebern und –empfängern bzw. Ansprechpersonen der jeweiligen Unternehmen
- Gewährleistung der Nachvollziehbarkeit, Integrität und Betriebssicherheit (Logfiles, ggf. Audit-Trails)
Art. 6 Abs. 1 lit. c DSGVO: Erforderliche Datenverarbeitung für die Erfüllung gesetzlicher Anforderungen im Zusammenhang mit elektronischen Signaturen und digitalen Identitäten, die sich insbesondere aus handels-, gesellschafts-, arbeits-, vergabe- oder zivilrechtlichen Nachweis- und/oder Aufbewahrungspflichten ergeben.
Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG (nur für Rheinmetall-Beschäftigte): Erforderliche Datenverarbeitungen im Zusammenhang mit der Nutzung technischer Arbeitsmittel für elektronische Signaturen, interne Freigabeprozesse sowie für die geschäftliche Kommunikation.
E. Empfänger
Rheinmetall-intern:
- Rheinmetall AG
- Rheinmetall IT Solutions GmbH
- Beteiligte Rheinmetall-Gesellschaften / Fachabteilungen
Rheinmetall-extern:
- Am Signaturauftrag beteiligte Unternehmen (z. B. Lieferant, Kunde)
- XITRUST Secure Technologies GmbH (Anbieter der cloud-basierten Rheinmetall e-Signaturlösung MOXIS)
- RRZ, Raiffeisen Rechenzentrum GmbH, Österreich (Cloud-Hosting)
- Ggf. qualifizierte Vertrauensdiensteanbieter (eIDAS) oder anerkannte Anbieter von Zertifizierungsdiensten (ZertES)
- Ggf. weitere involvierte IT-Dienstleister
F. Datenquellen
Die Daten werden entweder direkt bei Ihnen erhoben (z. B. durch Erbringung einer elektronischen Signatur) oder bei den für den Signaturauftrag relevanten Unternehmen/Organisationen (z. B. falls Sie zur Erbringung einer elektronischen Signatur durch Ihren Arbeitgeber benannt werden).
G. Dauer der Speicherung
- Signaturauftragsdaten (inkl. Dokumente, Protokoll) werden bis zu 90 Tage nach Auftragserstellung in der Cloud-Lösung gespeichert. Die anschließende Aufbewahrung der Dokumente bei Rheinmetall richtet sich nach den jeweiligen Aufbewahrungs-/Archivierungsregeln und ist primär abhängig von der Art des Dokuments.
- Benutzerkontodaten (inkl. persönliches Adressbuch) werden in der Regel nach Ablauf von 399 Tagen seit dem letzten Login oder auf Anfrage gelöscht.
- Logfiles: 180 Tage.
- Audit-Trails (sofern aktiviert): In der Regel bis zu 3 Jahre.
H. Erforderlichkeit der Datenbereitstellung
Es besteht grundsätzlich keine Verpflichtung zur Datenbereitstellung. Allerdings ist eine Nutzung der e-Signaturlösung ohne Datenbereitstellung nicht möglich.
I. Drittlandübermittlungen
Das Hosting der Daten über die e-Signaturlösung findet ausschließlich innerhalb der EU statt.
Eine gezielte Übermittlung Ihrer Daten in ein Land außerhalb der EU/EFTA ist grundsätzlich nicht vorgesehen.
Ausnahmen:
- Beteiligte Rheinmetall-Gesellschaften außerhalb EU/EFTA
- Beteiligte Signaturauftragsempfänger außerhalb EU/EFTA
Nach der DSGVO stehen Ihnen folgende Rechte im Hinblick auf die Verarbeitung Ihrer personenbezogenen Daten zu:
- Recht auf Auskunft nach Art. 15 DSGVO, Recht auf Berichtigung nach Art. 16 DSGVO, Recht auf Löschung nach Art. 17 DSGVO, Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, Recht auf Datenübertragbarkeit nach Art. 20 DSGVO, Recht auf Widerspruch nach Art. 21 DSGVO, Recht zum jederzeitigen Widerruf Ihrer Einwilligung nach Art. 7 Abs. 3 DSGVO, Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO.
- Sie können diese Rechte nach Maßgabe der gesetzlichen Voraussetzungen wahrnehmen.
Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte per E-Mail an: signature@rheinmetall.com