In dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten bei der Nutzung des Organisationsverzeichnis (nachfolgend „ORGV“) als Teil der zentralen IT-Lösung (EMIGA) des öffentlichen Gesundheitsdienstes (nachfolgend „ÖGD“). EMIGA soll die Fragmentierung von Funktionalitäten auf unterschiedliche Systeme für den Infektionsschutz sowie deren Abhängigkeiten untereinander reduzieren und eine einheitliche, digitale, gemeinsame Bearbeitung von Infektionsgeschehen im ÖGD ermöglichen. Das ORGV als Teil von EMIGA ist ein einheitliches Verzeichnis für Organisationen und Einrichtungen des ÖGD um die Kommunikationsaufgaben zu unterstützen und die Verfügbarkeit von aktuellen Adressdaten sicherzustellen.

1. Verantwortlicher, Ansprechpartner und Rechtsgrundlage

Das Organisationsverzeichnis als Teil der Plattform EMIGA wurde ursprünglich vom Bundesministerium für Gesundheit („BMG“) in Auftrag gegeben. Das Robert Koch-Institut, Nordufer 20, 13353 Berlin (nachfolgend „RKI“, „uns“ oder „wir“) betreibt das Organisationsverzeichnis und die dazugehörigen Funktionalitäten.

1.1 Daten von Mitarbeitenden des ÖGD

Sofern und soweit Daten von Mitarbeitenden der ÖDG-Stellen verarbeitet werden, wird das RKI als Auftragsverarbeiter i.S.v. Art. 28 DSGVO tätig (ausgenommen hiervon ist teilweise die Verarbeitung nach Ziffer 3.1). Ansprechpartner und sogenannter Verantwortlicher für die Verarbeitung der entsprechenden personenbezogenen Daten ist die jeweilige ÖGD-Stelle.

Für alle Fragen zum Thema Datenschutz wenden Sie sich bitte an Ihren Dienstherrn bzw. Arbeitgeber. Dies gilt auch bezüglich der Frage der Rechtsgrundlage der Verarbeitung, sofern abweichend keine Rechtsgrundlage genannt wird.

1.2 Daten von Mitarbeitenden des RKI

Sofern und soweit Daten von Mitarbeitenden des RKI verarbeitet werden sowie teilweise hinsichtlich der Verarbeitung von Daten von Mitarbeitenden des ÖGD nach Ziffer 3.1 handelt das RKI als Verantwortlicher und ist insoweit auch Ansprechpartner. Soweit nachfolgend nicht abweichend geregelt, ist Rechtsgrundlage für die Verarbeitung der Daten der Mitarbeitenden des RKI Art. 6 Abs. 1 lit. b DSGVO sowie § 26 Abs. 1 Satz 1 BDSG (Durchführung des Arbeitsvertrages).

Ausübung Ihrer Betroffenenrechte

Für alle Fragen zum Thema Datenschutz können Sie sich jederzeit an die Datenschutzbeauftragte wenden. Diese ist unter obiger postalischer Adresse sowie unter folgender E-Mail-Adresse (Stichwort: „z. Hd. Daten­schutz­beauftragte“) erreichbar:

.

2. Verbot der Verarbeitung besonderer Kategorien von Daten i.S.v. Art. 9 DSGVO

3. Datenverarbeitung auf der Plattform

3.1 Aufruf des ORGV / Verbindungsdaten / Protokollierung

Beim Aufrufen des ORGV über Ihrem Browser wird automatisch die Anmeldemaske des IDM geöffnet. Um das ORGV nutzen zu können müssen Sie sich mit Ihren Anmeldedaten und Passkey-Verfahren anmelden. Hierbei werden Daten während des gesamten Prozesses vom Verbindungsaufbau, der Nutzung bis zur Schließung des Webbrowsers erzeugt und ausgetauscht. 

Die Datenverarbeitung dieser Verbindungsdaten ist unbedingt erforderlich, um den Besuch der Plattform zu ermöglichen, die dauerhafte Funktionsfähigkeit und Sicherheit der Systeme zu gewährleisten sowie um die Plattform allgemein administrativ zu pflegen. Die Verbindungsdaten werden zudem zu den zuvor beschriebenen Zwecken zeitweise und inhaltlich auf das Nötigste beschränkt und auf einem Protokollierungsserver gespeichert, um etwa im Falle von wiederholten oder in krimineller Absicht erfolgenden Aufrufen, welche die Stabilität und Sicherheit der Plattform gefährden, die Ursache hierfür zu finden und dagegen vorzugehen.

Folgende Daten werden bei bestimmten Aktionen gespeichert:

• Log-In Daten - User-ID (E-Mail-Adresse des Nutzers), Zeitstempel, Anwendung (Version) Client Informationen
• Log-Out Daten -User-ID, (E-Mail-Adresse des Nutzers), Zeitstempel, Anwendung (Version) Client Informationen
• Einsehen von Daten - User-ID, (E-Mail-Adresse des Nutzers), eingewählte Rolle, Org-ID/User ID, Zeitstempel, Client Informationen
• Verändern von Daten - User-ID, (E-Mail-Adresse des Nutzers), ausgewählte Rolle, Org-ID/User-ID, Zeitstempel, Client Informationen
• Passwort erzeugen - User-ID, (E-Mail-Adresse des Nutzers), ausgewählte Rolle, User ID, Client Informationen

Für Mitarbeitende des RKI gilt: Über § 26 Abs. 1 Satz 1 BDSG hinausgehend, stützen wir die Datenverarbeitung auf Art. 6 Abs.1 lit. e DSGVO i.V.m. § 3 BDSG, da die Datenverarbeitung zur Erfüllung einer in unserer Zuständigkeit liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, erforderlich ist.

Für Mitarbeitende des ÖGD gilt: Über die Rechtsgrundlage hinausgehend, auf die Ihr Dienstherr bzw. Arbeitgeber die Verarbeitung stützt, stützen wir die Datenverarbeitung auf Art. 6 Abs.1 lit. e DSGVO i.V.m. § 3 BDSG, da die Datenverarbeitung zur Erfüllung einer in unserer Zuständigkeit liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, erforderlich ist.

3.2 Persönliche Informationen

Die Menge an Informationen bzw. personenbezogene Daten, die erhoben und bearbeitet werden müssen, hängt mit Ihrer zukünftigen Rolle zusammen. Hierzu werden folgende Daten erhoben:

• ggfs. Akademischer Grad (nur sofern dieser nicht notwendigerweise durch Nutzer eingetragen wird)
• Vorname
• Nachname
• dienstliche E-Mail-Adresse
• dienstliche Telefonnummer
• dienstliche Anschrift
• dienstliche Fax-Nummer

3.3 Registrierung

Die Registrierung sowie Anmeldung für die Nutzung des Organisationsverzeichnisbeinhaltet folgende Daten:

• ggfs. Akademischer Grad (nur sofern dieser nicht notwendigerweise durch Nutzer eingetragen wird)
• Vor- und Nachname, sofern angegeben;
• dienstliche E-Mail-Adresse;
• zugewiesene Admins der registrierenden Person;

Sie werden als Benutzer (m/w/d) durch Ihren Administrator registriert. Bei der Erstanmeldung registrieren Sie ihren Passkey-Device einmal an. Bei jeder Anmeldung ist eine Authentifizierung am Passkey-Device erforderlich. Als weiteres Anmeldeverfahren wird die Kombination aus Benutzername und Authentifikator-App im Ausnahmefall angeboten.

4. Einsatz von Tools

4.1 Eingesetzte Technologien

Diese Plattform verwendet gegebenenfalls Dienste und Anwendungen (zusammengefasst „Tools“), die Technologien verwenden, um Informationen im Endgerät zu speichern oder auf diese zuzugreifen:

• Cookies: Auf dem Endgerät werden neun Cookies erzeugt. Diese technisch notwendigen Cookies werden genutzt für den Aufbau und Aufrechterhaltung sowie zum Schutz vor Angriffen (Cross-Site Request Forgery). Dabei werden folgende Daten systemseitig im Rahmen des IDM „Keycloack“ erzeugt: IDM-Benutzer-ID, IDM-Client-ID, IDM-Session-ID und IDM-Token-ID.
• Web Storage (Local Storage / Session Storage): auf dem Endgerät gespeicherte Information, bestehend aus einem Namen und einem Wert. Informationen im Session Storage werden nach der Sitzung gelöscht, während Informationen im Local Storage kein Ablaufdatum haben und grundsätzlich gespeichert bleiben, sofern kein Mechanismus zur Löschung eingerichtet wurde (z.B. Speicherung eines Local Storage mit Zeiteintrag). Informationen im Local und Session Storage können auch manuell entfernt werden.
• JavaScript: in die Plattform eingebettete oder aufgerufene Programmiercodes (Skripte), die beispielsweise Cookies und Web Storage setzen oder aktiv Informationen aus dem Endgerät erfassen. Durch eine Einstellung im Browser kann JavaScript blockiert werden, wobei jedoch die meisten Dienste dann nicht mehr funktionieren.

Die meisten Browser sind standardmäßig so eingestellt, dass sie Cookies, das Ausführen von Skripten und die Anzeige von Grafiken akzeptieren. Sie können jedoch Ihre Browsereinstellungen in der Regel so anpassen, dass alle oder bestimmte Cookies abgelehnt oder Skripte und Grafiken blockiert werden. Wenn Sie die Speicherung von Cookies, die Anzeige von Grafiken und das Ausführen von Skripten vollständig blockieren, funktionieren unsere Dienste voraussichtlich nicht oder nicht störungsfrei.

4.2 Rechtsgrundlage

Für den Websitebetrieb notwendige Tools verwenden wir aufgrund Art. 6 Abs.1 lit. e DSGVO i.V.m. § 3 BDSG, soweit die Datenverarbeitung zur Erfüllung einer in unserer Zuständigkeit liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, erforderlich ist. In bestimmten Fällen können diese Tools auch für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sein, dann erfolgt die Verarbeitung gemäß Art.6 Abs.1 lit.b DSGVO. Der Zugriff auf und die Speicherung von Informationen im Endgerät ist in diesen Fällen unbedingt erforderlich und erfolgt auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland nach §25 Abs.2 TTDSG.

5. Weitergabe von Daten

Eine Weitergabe der von uns erhobenen Daten erfolgt grundsätzlich nur wenn hierfür im konkreten Fall eine datenschutzrechtliche Rechtsgrundlage vorliegt.

Ein Teil der Datenverarbeitung erfolgt durch unsere Dienstleister. Dienstleister in diesem Rahmen können bspw. sein; Rechenzentren, die Datenbanken speichern, Softwareanbieter und IT-Dienstleister, die unsere Systeme warten. Sofern wir Daten an unsere Dienstleister weitergeben, dürfen diese die Daten ausschließlich zur Erfüllung der vertraglichen vereinbarten Leistung verwenden. Die Dienstleister wurden von uns sorgfältig ausgewählt und beauftragt. Sie sind vertraglich an unsere Weisungen gebunden und verfügen über geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte der betroffenen Personen.

6. Speicherdauer

Grundsätzlich speichern wir personenbezogene Daten nur so lange, wie zur Erfüllung der Zwecke erforderlich, zu denen wir die Daten erhoben haben. Danach löschen wir die Daten unverzüglich, es sei denn, wir benötigen die Daten noch bis zum Ablauf der gesetzlichen Verjährungsfrist zu Beweiszwecken, wegen gesetzlicher Aufbewahrungspflichten oder es besteht im konkreten Einzelfall eine sonstige datenschutzrechtliche Rechtsgrundlage für die fortdauernde Verarbeitung Ihrer Daten.

7. Ihre Rechte, insbesondere Widerruf und Widerspruch

Ihnen stehen jederzeit bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen die in den Art. 7Abs. 3, Art. 15 – 21, Art. 77 DSGVO formulierten Betroffenenrechte zu:

• Recht auf Widerruf Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO);
• Recht auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten (Art. 21 DSGVO i.V.m. § 36 BDSG);
• Recht auf Auskunft über Ihre bei uns verarbeiteten personenbezogenen Daten (Art. 15 DSGVO);
• Recht auf Berichtigung Ihrer bei uns unrichtig gespeicherten personenbezogenen Daten (Art. 16 DSGVO);
• Recht auf Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO);
• Recht auf Beschränkung der Verarbeitung Ihrer personenbezogenen Daten (Art. 18 DSGVO);
• Recht auf Datenübertragbarkeit Ihrer personenbezogenen Daten (Art. 20 DSGVO);

Für Mitarbeitende des RKI gilt: Um Ihre hier beschriebenen Rechte geltend zu machen, können Sie sich jederzeit an die oben genannten Kontaktdaten wenden. Dies gilt auch, sofern Sie Kopien von Garantien zum Nachweis eines angemessenen Datenschutzniveaus erhalten möchten.

Sie haben schließlich das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). 

Die zuständige Aufsichtsbehörde für das RKI ist: Der/ Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn

Mail: poststelle@bfdi.bund.de, https://www.bfdi.bund.de

Für Mitarbeitende des ÖGD gilt: Um Ihre hier beschriebenen Rechte geltend zu machen, wenden Sie sich bitte an Ihren Dienstherrn bzw. Arbeitgeber. Dies gilt auch, sofern Sie Kopien von Garantien zum Nachweis eines angemessenen Datenschutzniveaus erhalten möchten.

Eine Übersicht des BfDI über die Aufsichtsbehörden der Bundesländer finden Sie unter
https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html.

Bitte wenden Sie sich an Ihren Dienstherrn bzw. Arbeitgeber, um die zuständige Aufsichtsbehörde zu erfahren.

8. Änderungen der Datenschutzerklärung

Gelegentlich aktualisieren wir diese Datenschutzerklärung, beispielsweise wenn wir unsere Plattform anpassen oder sich die gesetzlichen oder behördlichen Vorgaben ändern.