Datenschutzerklärung der Zentralen Rechnungseingangsplattform des Bundes

Version 1.0

Stand 25.10.2018

Begriffsbestimmung

Grundsätzlich gelten die Begriffsbestimmungen aus der Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Dies gilt insbesondere für die Begriffe "personenbezogene Daten", "Verarbeitung" und "Einwilligung".

Als Nutzer werden all jene Personen bezeichnet, die die Webseite der Zentralen Rechnungseingangsplattform des Bundes (ZRE) aufrufen.

Name und Anschrift des Verantwortlichen

Die gemeinsamen Verantwortlichen im Sinne der DSGVO sowie sonstiger datenschutzrechtlicher Bestimmungen sind das Bundesministerium der Finanzen (BMF) und das Bundesministerium des Innern, für Bau und Heimat (BMI). BMF und BMI werden im Folgenden „gemeinsame Verantwortliche“ genannt.

Bundesministerium der Finanzen (BMF)

Wilhelmstraße 97
10117 Berlin
Postanschrift: 11016 Berlin

Tel.: +49 (0)30 18 682 - 0
Fax: +49 (0)30 18 682 - 32 60
E-Mail: Poststelle@bmf.bund.de

Bundesministerium des Innern, für Bau und Heimat (BMI)

Alt-Moabit 140
10557 Berlin

Telefon: +49 (0)30 18 681 - 0
Fax: +49 (0)30 18 681 - 12 926
E-Mail: Poststelle@bmi.bund.de

Name und Anschrift des Datenschutzbeauftragten

Datenschutzbeauftragter des BMF im Sinne der DSGVO ist:

Beauftragter für den Datenschutz im BMF

Wilhelmstraße 97
10117 Berlin

Tel.: +49 (0)30 18 682 - 32 08
E-Mail: Datenschutz@bmf.bund.de

Datenschutzbeauftragter des BMI im Sinne der DSGVO ist:

Beauftragter für den Datenschutz im BMI

Bundesallee 216-218
10719 Berlin

Tel.: +49 (0)30 18 681 - 0
E-Mail: bds@bmi.bund.de

Allgemeines zur Datenverarbeitung

1. Umfang der Verarbeitung personenbezogener Daten

Die gemeinsamen Verantwortlichen verarbeiten personenbezogene Daten ihrer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung der Funktionsfähigkeit der Webseite der ZRE erforderlich ist. Die Verarbeitung personenbezogener Daten ihrer Nutzer erfolgt nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der personenbezogenen Daten durch gesetzliche Vorschriften gestattet ist.

Ab dem Zeitpunkt, ab dem der Nutzer die Webseite der ZRE aufgerufen hat, werden personenbezogene Daten verarbeitet.

2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Rechtsgrundlage der Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

3. Datenlöschung und Speicherdauer

Die personenbezogenen Daten des Nutzers werden gelöscht, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen die gemeinsamen Verantwortlichen unterliegen, vorgesehen wurde. Eine Löschung der personenbezogenen Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der personenbezogenen Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht. Die Speicherdauer der jeweiligen Daten können den nachfolgenden Abschnitten entnommen werden.

Bereitstellung der Webseite und Erstellung von Logfiles

1. Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf der Webseite der ZRE werden automatisiert personenbezogene und andere Daten vom Computersystem des aufrufenden Rechners des Nutzers verwendet.

Folgende Daten werden hierbei erfasst:

Alle Daten, die erfasst werden, werden auch in Logfiles gespeichert.

Eine Verknüpfung der gespeicherten Daten mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

2. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Speicherung der personenbezogenen Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

3. Zweck der Datenverarbeitung

Die vorübergehende Speicherung der Daten ist notwendig, um eine Auslieferung der Webseite der ZRE an den Rechner des Nutzers zu ermöglichen.

Die darüber hinaus gehende Speicherung in Logfiles dient der Aufrechterhaltung des Betriebs der Webseite der ZRE.

4. Dauer der Speicherung

Die vorübergehend für die Bereitstellung der Webseite gespeicherten Daten werden gelöscht, wenn die Sitzung des Nutzers beendet ist.

Die in Logfiles gespeicherten Daten werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind.

5. Widerspruchs- und Beseitigungsrecht

Die vorübergehende Erfassung und Speicherung von Daten sind für die Bereitstellung und den Betrieb der ZRE-Webseite zwingend erforderlich. Der Nutzer hat jederzeit die Möglichkeit die Löschung der gespeicherten Daten zu veranlassen.

Verwendung von Cookies

1. Beschreibung und Umfang der Datenverarbeitung

Die Webseite der ZRE verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer die Webseite der ZRE auf, so kann ein Cookie auf dem Computersystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Die Webseite der ZRE verwendet ausschließlich Session-Cookies. Diese werden beim Verlassen der Webseite der ZRE ungültig und können von dem Nutzer in Abhängigkeit von den Browser-Einstellungen lokal gelöscht werden.

2. Rechtsgrundlage für die Datenverarbeitung

Die Rechtsgrundlage für die Verwendung von Cookies ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

Session-Cookies können nach der europäischen Richtlinie 2009/136/EG ohne vorherigen Hinweis oder Einwilligung verwendet werden.

3. Zweck der Datenverarbeitung

Einige Funktionen der Webseite der ZRE können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird.

Für folgende Anwendungen werden Cookies benötigt:

Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.

4. Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an die Webseite der ZRE übermittelt. Daher haben die Nutzer auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen des Internetbrowsers des Nutzers kann die Übertragung von Cookies deaktiviert oder eingeschränkt werden. Bereits gespeicherte Cookies können jederzeit vom Nutzer gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für die Webseite der ZRE deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite der ZRE vollumfänglich genutzt werden.

Registrierung

1. Beschreibung und Umfang der Datenverarbeitung

Über die Webseite der ZRE wird Nutzern die Möglichkeit gegeben, sich über die Einrichtung eines Benutzerkontos an der ZRE zu registrieren. Ferner wird Nutzern die Möglichkeit gegeben, Unternehmenskonten einzurichten. Im Rahmen der Registrierung und der Einrichtung der Konten werden personenbezogene Daten und andere Daten des Nutzers erhoben und gespeichert. Eine Weitergabe der personenbezogenen Daten an Dritte findet nicht statt.

Folgende Daten werden im Rahmen des Registrierungsprozesses bei der Einrichtung eines Benutzerkontos gespeichert:

Folgende Daten werden im Rahmen der Einrichtung von Unternehmenskonten gespeichert:

Administratorenrechte ermöglichen dem Nutzer das vom ihm eingerichtete Unternehmenskonto zu verwalten.

Im Rahmen des Registrierungsprozesses wird eine Einwilligung des Nutzers in die Nutzungsbedingungen sowie diese Datenschutzerklärung eingeholt und die Bestätigung einer Einwilligung gespeichert.

Nach der Anmeldung am Benutzerkonto werden aktivitätsbezogen folgende Daten gespeichert:

2. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

3. Zweck der Datenverarbeitung

Die Registrierung und Einrichtung eines Benutzerkontos des Nutzers und die Einrichtung von Unternehmenskonten sind erforderlich, um die Leistungen der ZRE nutzen zu können. Der Leistungsumfang der ZRE ist in den Nutzungsbedingungen der ZRE beschrieben.

4. Dauer der Speicherung

Die Daten werden gelöscht, sobald diese für die Erreichung des Zwecks der Verarbeitung nicht mehr erforderlich sind. Dies ist der Fall, wenn das Benutzer- und weitere Unternehmenskonten des Nutzers gelöscht werden. Bei einer Änderung der Angaben in dem Benutzer- oder Unternehmenskonto werden die überarbeiteten Angaben gespeichert und die ursprünglichen Angaben gelöscht. Dabei ist zu beachten, dass eine endgültige Löschung eines Kontos erst nach einer Löschfrist von 30 Tagen erfolgt.

Weiterhin ist zu beachten, dass bei der Löschung eines Benutzerkontos die zu dem Benutzerkonto in Beziehung stehenden Unternehmenskonten automatisch gelöscht werden. Wenn das Benutzerkonto nach Ablauf von 360 Tagen vom Nutzer nicht mehr benutzt wird, wird das Benutzerkonto gelöscht.

Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen die gemeinsamen Verantwortlichen unterliegen, vorgesehen wurde. Eine Löschung der Daten erfolgt, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

5. Widerspruchs- und Beseitigungsmöglichkeit

Der Nutzer hat jederzeit die Möglichkeit, das Benutzerkonto und weitere Unternehmenskonten löschen oder die gespeicherten personenbezogenen Daten ändern zu lassen.

Übermittlung von Rechnungen

1. Beschreibung und Umfang der Datenverarbeitung

Ein Nutzer kann über sein eingerichtetes Benutzerkonto über unterschiedliche Übertragungswege elektronische Rechnungen einreichen. Diese Übertragungswege sind:

Bei der Übermittlung von elektronischen Rechnungen über einen der oben genannten Übertragungswege werden neben den Inhalten der elektronischen Rechnung folgende Daten verarbeitet:

2. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Speicherung der Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

3. Zweck der Datenverarbeitung

Für die Funktionsfähigkeit der ZRE ist eine Verarbeitung der Daten erforderlich. Es hat die Zwecke, eine eingereichte elektronische Rechnung nach dem Standard XRechnung in der jeweils aktuellen Fassung zu validieren, den Status einer eingereichten elektronischen Rechnung zu protokollieren sowie eine Verbindung zwischen der elektronischen Rechnung und dem rechnungsstellenden Nutzer zu ermöglichen.

4. Dauer der Speicherung

Die Daten werden gelöscht, sobald diese für die Erreichung des Zwecks der Verarbeitung nicht mehr erforderlich sind. Dies ist der Fall, wenn innerhalb von 28 Tagen kein Statuswechsel der eingereichten elektronischen Rechnung mehr erfolgt ist oder das Benutzerkonto des Nutzers gelöscht wird. Dabei ist zu beachten, dass eine endgültige Löschung eines Benutzerkontos erst nach einer Löschfrist von 30 Tagen erfolgt.

Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen die gemeinsamen Verantwortlichen unterliegen, vorgesehen wurde. Eine Löschung der Daten erfolgt, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

5. Widerspruchs- und Beseitigungsmöglichkeit

Der Nutzer hat die Möglichkeit, eine Beendigung der Verarbeitung der Daten zu veranlassen, sofern der Zweck der Datenverarbeitung nicht mehr erforderlich ist. Dies kann der Nutzer veranlassen, indem dieser sein Benutzerkonto und weitere Unternehmenskonten löschen lässt.

Kontaktaufnahme

Eine Kontaktaufnahme mit den gemeinsamen Verantwortlichen der ZRE ist für den Nutzer über die Kontaktdaten der verantwortlichen Stellen möglich (siehe unter: Name und Anschrift des Verantwortlichen).

Eine Kontaktaufnahme bei fachlichen und technischen Fragen zu der ZRE ist für den Nutzer über das Kontaktformular des Bürgerservices des BMI möglich. Hier gelten die datenschutzrechtlichen Bestimmungen des BMI.

Ihre Rechte als Nutzer im datenschutzrechtlichen Zusammenhang

Der Nutzer hat hinsichtlich der verarbeiteten personenbezogenen Daten folgende Rechte:

1. Auskunftsrecht nach Art. 15 DSVGO

Mit dem Recht auf Auskunft erhält der Nutzer eine umfassende Einsicht seiner verarbeiteten personenbezogenen Daten und einige andere wichtige Kriterien wie beispielsweise die Verarbeitungszwecke oder die Dauer der Speicherung. Es gelten die in § 34 BDSG geregelten Ausnahmen von diesem Recht.

2. Recht auf Berichtigung nach Art. 16 DSGVO

Das Recht auf Berichtigung beinhaltet die Möglichkeit für den Nutzer, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen.

3. Recht auf Löschung nach Art. 17. DSGVO

Das Recht auf Löschung beinhaltet die Möglichkeit für den Nutzer, Daten löschen zu lassen. Dies ist allerdings nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde.

Der Nutzer hat das Recht, zu verlangen, dass ihn betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO aufgeführten Gründe zutreffen.

4. Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO

Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Nutzer, eine weitere Verarbeitung der ihn angehenden personenbezogenen Daten vorerst zu verhindern. Eine Einschränkung tritt vor allem in der Prüfungsphase anderer Rechtewahrnehmungen durch den Nutzer ein.

5. Recht auf Widerspruch gegen die Erhebung, Verarbeitung und bzw. oder Nutzung nach Art. 21 DSGVO

Das Recht auf Widerspruch beinhaltet die Möglichkeit für den Nutzer, in einer besonderen Situation der weiteren Verarbeitung seiner personenbezogenen Daten zu widersprechen, soweit diese nicht durch die Wahrnehmung öffentlicher Aufgaben oder öffentlicher sowie privater Interessen gerechtfertigt ist. Es gelten die in § 36 BDSG geregelten Ausnahmen von diesem Recht.

6. Recht auf Datenübertragbarkeit Art. 20 DSGVO

Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Nutzer, die ihn angehenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format von den Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen. Gemäß Art. 20 Abs. 3 Satz 2 DSGVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.

7. Recht auf Widerruf der Einwilligung nach Art. 13 und 14 DSGVO

Soweit die Verarbeitung der personenbezogenen Daten auf Grundlage einer Einwilligung erfolgt, kann der Nutzer diese jederzeit für den entsprechenden Zweck widerrufen. Die Rechtmäßigkeit der Verarbeitung aufgrund der getätigten Einwilligung bleibt bis zum Eingang des Widerrufs unberührt.

Eingesetzte Technologien

Die Webseite der ZRE verwendet Java. In keinem Fall werden diese Technologien verwendet, um persönliche Daten auszuspähen oder Daten auf Ihrem Rechner zu manipulieren.