App "BPA-Fahrt"
13 Min. Lesedauer
1. Verantwortliche Stelle
Verantwortliche Stelle im Sinne der Datenschutzgesetze ist das Presse- und Informationsamt der Bundesregierung.
Dorotheenstraße 84
10117 Berlin
Telefon: 030 18 272-0
Fax: 030 18 272-2555
E-Mail: posteingang@bpa.bund.de
2. Kontakt zum Datenschutzbeauftragten:
Presse- und Informationsamt der Bundesregierung,
Datenschutzbeauftragter
11044 Berlin
Telefon 030 18 272-3202 oder 2810
Fax: 030 18 272-2739
E-Mail: datenschutzbeauftragte@bpa.bund.de
3. Funktion der App
Die App wurde für Teilnehmerinnen und Teilnehmer der Informationsfahrten der Abgeordneten des Deutschen Bundestages, die vom Presse- und Informationsamt der Bundesregierung durchgeführt werden, entwickelt. Sie bietet folgende Funktionalitäten:
- Bereitstellung des tagesaktuellen Programms der Informationsfahrt,
- eine Kartenansicht der Programmpunkte
- sowie allgemeine Informationen rund um die Fahrt.
Die in der App dargestellten Inhalte werden aus dem Internet geladen. Die App benötigt daher technisch bedingt die Berechtigung auch außerhalb eines WLAN Netzes über eine mobile Datenverbindung Daten laden zu können, wodurch – je nach Mobilfunkvertrag – zusätzliche Entgelte entstehen können.
Die Programmdaten sind auf einem in Deutschland gehosteten Server in einem BSI-zertifizierten Rechenzentrum hinterlegt. Die Datenverbindung zwischen mobilem Endgerät und Server wird nach dem aktuellsten Stand der Technik mittels SSL-Verschlüsselung und Certificate Pinning abgesichert.
Beim Abruf von Daten seitens der App werden auf dem Server allgemeine Daten in Logfiles gespeichert. U. a. handelt es sich hierbei um das verwendete Betriebssystem, die IP-Adresse, sowie weitere nicht-personenbezogene Daten, welche zur Gefahrenabwehr im Falle von Angriffen auf die informationstechnologische Serverinfrastruktur dienen.
Personenbezogene Daten, die bei der App bezogen und verarbeitet werden, sind lediglich die IP-Adressen der jeweiligen Nutzer. Weitere Daten, die der Identifizierung des Teilnehmers dienen könnten, wie die IMEI (die 15-stellige Seriennummer, mit der das Gerät identifiziert werden kann) oder IMSI (die Nummer zur Identifizierung von Teilnehmern) werden zu keinem Zeitpunkt abgefragt, übertragen, oder gespeichert.
4. Datenverarbeitung in der App
Das Presse- und Informationsamt der Bundesregierung (BPA) nimmt den Schutz personenbezogener Daten sehr ernst. Wir möchten, dass Sie wissen, wann wir welche Daten erheben und wie wir sie verwenden. Wir stellen technisch und organisatorisch sicher, dass die Vorschriften über den Datenschutz sowohl von uns als auch von externen Dienstleistern eingehalten werden.
Sie können die Informationsfunktionen dieser App ohne Offenlegung Ihrer Identität nutzen. Die App greift weder auf Ihren Mail-Verkehr, noch auf Ihr Telefonbuch zu. Eine Datenweitergabe an Dritte findet nicht statt. Personenbezogene Daten, insbesondere Name, Telefonnummer, IMEI oder IMSI werden zu keinem Zeitpunkt von der App abgefragt, erhoben, gespeichert oder übertragen. Die einzige Ausnahme stellt die Übermittlung Ihrer IP-Adresse dar. Diese wird benötigt, um die Inhalte der App an den einzelnen Nutzer übermitteln zu können. Zudem ist aus Gründen der IT-Gefahrenabwehr eine kurzfristige Speicherung der IP-Adresse für 14 Tage notwendig.
Die Datenverarbeitung erfolgt grundsätzlich zur Erfüllung der im Zuständigkeitsbereich des Presse- und Informationsamtes liegenden Aufgaben (Art. 6 Abs. 1 lit. e DSGVO, § 3 BDSG) und ergänzend auf Grundlage ihres Einverständnisses gem. Art. 6 Abs. 1 lit. a DSGVO. Bitte beachten Sie dazu die folgenden detaillierten Erläuterungen.
4.1. Kartendienste
Die App zeigt im Hauptfenster sowie in der Detailansicht der POIs eine Straßenkarte an. Um die zur Kartendarstellung notwendigen Grafiken laden zu können, werden Anfragen an einen Kartendienstbetreiber geschickt und diese Grafiken angefordert. Innerhalb dieser Anfrage wird dem Kartendienstbetreiber die IP-Adresse der Nutzer übermittelt. Wir haben keinen Einfluss auf diese Datenübertragung. Die Zustimmung des Nutzers zu dieser Übertragung der IP-Adresse findet durch das Akzeptieren dieser Datenschutzerklärung beim ersten Start der App statt.
Bei der Verwendung des Betriebssystems Android nutzt das in der App eingesetzte Software Development Kit (SDK) “Maps SDK for Android” den Kartendienst Google Maps der Google LLC (1600 Amphitheatre Parkway, Mountain View, California 94043, USA). Die Datenschutzerklärung finden sich für Google unter https://policies.google.com/privacy?hl=de. Technisch bedingt werden ab Version 7 die folgenden Berechtigungen benötigt:
- android.permission.ACCESS_NETWORK_STATE
Bei der Nutzung des Betriebssystems iOS nutzt das verwendete SDK “MapKit” den Kartendienst Apple Maps der Apple Inc. (One Apple Park Way, Cupertino, California, USA, 95014). Die Datenschutzerklärung findet sich für Apple unter https://www.apple.com/legal/privacy/de-ww/.
Rechtsgrundlage für die Verwendung der Kartendienste ist Art. 6, Abs. 1 lit a DSGVO.
4.2 Zugriffsberechtigungen
Um die App in vollem Umfang nutzen zu können, sind bestimmte Zugriffsberechtigungen erforderlich. Diese können von den Nutzern in den Geräteeinstellungen jederzeit individuell erteilt oder widerrufen werden.
4.2.1 Kamerazugriff
Zum Laden des Veranstaltungsprogramms bietet die App beim Start die Möglichkeit einen QR-Code zu scannen. Diese Funktion erfordert einen Zugriff auf die Kamerafunktion des Endgeräts.
Zu keinem Zeitpunkt wird das Kamerabild gespeichert oder übertragen. Der Kamerazugriff dient lediglich der Darstellung des Live-Kamerabildes.
Bei der Verwendung des Betriebssystems Android werden technisch bedingt ab Version 7 die folgenden Berechtigungen benötigt:
- android.permission.CAMERA
- android.permission.READ_PHONE_STATE
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
Bei der Nutzung des Betriebssytems iOS werden technisch bedingt die folgenden Berechtigungen benötigt:
- Einstellungen > Datenschutz > Kamera
4.2.2 (Push) Notifications
Um die Nutzer der App via sog. Push Notifications auf Änderungen des Veranstaltungsprogramms oder Neuigkeiten aufmerksam machen zu können, benötigt die App die Berechtigung der Nutzer Benachrichtigungen anzeigen zu dürfen, auch wenn die App geschlossen ist. Eine Nutzung der App ist auch ohne (Push) Notifications möglich, eine Zustimmung ermöglicht jedoch die vollständige und komfortable Nutzung der App.
Bei der Verwendung des Betriebssystems Android werden technisch bedingt ab Version 7 die folgenden Berechtigungen benötigt:
- android.permission.WAKE_LOCK
- com.google.android.c2dm.permission.RECEIVE
Bei der Nutzung des Betriebssystems iOS werden technisch bedingt die folgenden Berechtigungen benötigt:
- Einstellungen > Mitteilungen
Rechtsgrundlage für die Datenverarbeitung bei Verwendung von Push Notifications ist Art. 6, Abs. 1 lit a DSGVO.
4.2.3 Ortungsdienste
Die App bietet dem Nutzer die Funktion, den eigenen aktuellen Standort innerhalb der Karte anzuzeigen. Die Berechtigung für diese Verortung wird von den Nutzern innerhalb der App bei der ersten Interaktion mit der Karte eingefordert und kann jederzeit in den Systemeinstellungen widerrufen werden. Die ermittelten Standortdaten werden zu keinem Zeitpunkt gespeichert oder übertragen.
Bei der Verwendung des Betriebssystems Android werden technisch bedingt ab Version 7 die folgenden Berechtigungen benötigt:
- android.permission.ACCESS_FINE_LOCATION
Bei der Nutzung des Betriebssystems iOS werden technisch bedingt die folgenden Berechtigungen benötigt:
- Einstellungen > Datenschutz > Ortungsdienste > Beim Verwenden der App
Rechtsgrundlage für die Datenverarbeitung bei Ermittlung des Standorts ist Art. 6, Abs. 1 lit a DSGVO.
4.2.4 Mobile Daten
Die in der App dargestellten Inhalte werden aus dem Internet geladen. Die App benötigt daher technisch bedingt die Berechtigung auch außerhalb eines WLAN Netzes über eine mobile Datenverbindung Daten laden zu können, wodurch – je nach Mobilfunkvertrag - zusätzliche Entgelte entstehen können. Eine Nutzung der App ist auch ohne mobile Daten, zum Beispiel über W-Lan, möglich. Aktualisierungen und/oder Push Notifications können in diesem Fall jedoch nur bei bestehender W-Lan Verbindung bezogen werden.
Bei der Verwendung des Betriebssystems Android werden technisch bedingt ab Version 7 die folgenden Berechtigungen benötigt:
- android.permission. INTERNET
Bei der Nutzung des Betriebssystems iOS werden technisch bedingt die folgenden Berechtigungen benötigt:
- Einstellungen > Mobiles Netz
4.2.5 Kalender
Die Nutzer haben innerhalb der App die Möglichkeit, Veranstaltungspunkte in ihren Kalender zu übertragen. Die Berechtigung hierzu wird von den Nutzern innerhalb der App eingefordert und kann jederzeit in den Systemeinstellungen widerrufen werden.
Bei dieser Funktion werden dem Kalender lediglich Informationen hinzugefügt. Zu keinem Zeitpunkt werden von der App Daten aus dem Kalender gelesen.
Bei der Nutzung des Betriebssytems iOS werden technisch bedingt die folgenden Berechtigungen benötigt:
- Einstellungen > Datenschutz > Kalender
5. Feedback- oder Supportanfragen
an: app-bpafahrt@bpa.bund.de
6. Belehrung über Ihre Rechte
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:
6.1. Auskunftsrecht – Art. 15 DSGVO
Sie können von uns als Verantwortlichem eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen::
(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Auf das Recht auf Datenübertragbarkeit, Art. 20 DSGVO, wird ebenfalls hingewiesen.
6.2. Recht auf Berichtung - Art. 16 DSGVO
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber uns als Verantwortlichem, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
6.3. Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
6.4. Recht auf Löschung – Art. 17 DSGVO
6.4.1 Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
6.4.2 Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
6.4.3 Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
6.5. Recht auf Unterrichtung – Art. 19 DSGVO
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
6.6. Recht auf Datenübertragbarkeit – Art. 20 DSGVO
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen, sofern
- die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 haben Sie das Recht, zu erwirken, dass die personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
6.7. Widerspruchsrecht – Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e DSGVO erfolgt, Widerspruch einzulegen.
Ein Widerspruch erfolgt durch Deinstallation der App.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
6.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art. 7 Abs. 3 DSGVO
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Ein Widerruf erfolgt durch Deinstallation der App. Einzelne erteilte Zugriffsberechtigungen (vgl. 2.2) können Sie jeweils in den Systemeinstellungen des Betriebssystem Ihres Handys rückgängig machen.
6.9. Recht auf Beschwerde bei einer Aufsichtsbehörde – Art. 77 DSGVO
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei der Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
Zuständige Aufsichtsbehörde:
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn
Telefon: +49(0)228-997799-0
Fax: +49(0)228-997799-5550
E-Mail: poststelle@bfdi.bund.de