Datenschutzhinweise für die Nutzung der Zentralen Rechnungseingangsplattform des Bundes (ZRE)

Stand 05.06.2020

I.

Für die Bundesverwaltung hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Wir möchten, dass die Nutzerinnen und Nutzer (im Folgenden vereinfachend Nutzer genannt) wissen, wann welche Daten bei der Nutzung der Zentralen Rechnungseingangsplattform des Bundes (im Folgenden ZRE genannt) erhoben und verwendet werden.

II. Name und Anschrift der Verantwortlichen

Verantwortlich für die Verarbeitung von personenbezogenen Daten sind das Bundesministerium der Finanzen (BMF) und das Bundesministerium des Innern und für Heimat (BMI).

Bundesministerium der Finanzen (BMF)

Wilhelmstraße 97
10117 Berlin
Postanschrift: 11016 Berlin

Tel.: 030 18682-0
Fax: 030 18682-3260
E-Mail: poststelle@bmf.bund.de

Bundesministerium des Innern und für Heimat (BMI)

Alt-Moabit 140
10557 Berlin

Tel.: 030 18681-0
Fax: 030 18681-12926
E-Mail: poststelle@bmi.bund.de

III. Pflichten der Verantwortlichen im Sinne des Art. 26 DSGVO

Das BMF nimmt die Aufgabe der Wartung und Pflege der ZRE wahr und verpflichtet sich, alle datenschutzrechtlichen Anforderungen für die ZRE zu erfüllen. Das BMI verantwortet das Bundesportal als Plattform, die Registrierung sowie Authentifizierung für das Servicekonto des Bundes und verpflichtet sich, alle datenschutzrechtlichen Anforderungen für die Plattform und das Servicekonto zu erfüllen, insbesondere die

IV. Name und Anschrift der Datenschutzbeauftragten

Beauftragter für den Datenschutz im BMF

Wilhelmstraße 97
10117 Berlin

Tel.: 030 18682-3208
E-Mail: datenschutz@bmf.bund.de

Beauftragter für den Datenschutz im BMI

Bundesallee 216-218
10719 Berlin

Tel.: 030 18681-0
E-Mail: bds@bmi.bund.de

V. Welche personenbezogenen Daten werden bei der Nutzung der ZRE erhoben?

Besuch der ZRE-Webseite

Bei jedem Aufruf der ZRE-Webseite werden automatisiert personenbezogene und andere Daten vom Computersystem des aufrufenden Rechners verwendet.

Folgende Daten werden hierbei erfasst:

Das BMF wertet diese Daten anonymisiert für statistische Zwecke aus, um die ZRE kontinuierlich zu verbessern.

Eine Verknüpfung der gespeicherten Daten mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

1. Rechtsgrundlage und Zweck der Datenverarbeitung

Rechtsgrundlage für die Speicherung der personenbezogenen Daten ist Art. 6 Abs. 1 lit. e DSGVO, um im öffentlichen Interesse etwaige Fehler im System zurückverfolgen, analysieren und damit rasch beheben zu können und den Betrieb der ZRE sicherzustellen.

2. Dauer der Speicherung

Die vorübergehend für die Bereitstellung der Webseite gespeicherten Daten werden gelöscht, wenn die Sitzung des Nutzers beendet ist.

3. Widerspruchs- und Beseitigungsrecht

Die vorübergehende Erfassung und Speicherung von Daten ist für die Bereitstellung und den Betrieb der ZRE-Webseite zwingend erforderlich.

VI. Verwendung von Cookies

Die Webseite der ZRE verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer die Webseite der ZRE auf, so kann ein Cookie auf dem Computersystem des Nutzers gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Die Webseite der ZRE verwendet ausschließlich Session-Cookies. Diese werden beim Verlassen der Webseite der ZRE ungültig und können vom Nutzer in Abhängigkeit von den Browser-Einstellungen lokal gelöscht werden.

Die Rechtsgrundlage für die Verwendung von Cookies ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

Einige Funktionen der Webseite der ZRE können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird.

Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.

Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an die Webseite der ZRE übermittelt. Durch eine Änderung der Einstellungen des Internetbrowsers des Nutzers kann die Übertragung von Cookies deaktiviert oder eingeschränkt werden. Bereits gespeicherte Cookies können jederzeit vom Nutzer gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für die Webseite der ZRE deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite der ZRE vollumfänglich genutzt werden.

VII. Registrierung

Über die Webseite der ZRE wird Nutzern die Möglichkeit geboten, sich über die Einrichtung eines Benutzerkontos an der ZRE zu registrieren. Ferner wird Nutzern die Möglichkeit geboten, Unternehmenskonten einzurichten. Im Rahmen der Registrierung und der Einrichtung der Konten werden personen- und unternehmensbezogene Daten des Nutzers erhoben und gespeichert.

Folgende Daten werden im Rahmen des Registrierungsprozesses bei der Einrichtung eines Benutzerkontos gespeichert:

Folgende Daten werden im Rahmen der Einrichtung von Unternehmenskonten gespeichert:

Administratorenrechte ermöglichen dem Nutzer, das vom ihm eingerichtete Unternehmenskonto zu verwalten.

Im Rahmen des Registrierungsprozesses wird eine Einwilligung des Nutzers in die Nutzungsbedingungen eingeholt und die Bestätigung der Einwilligung gespeichert.

Nach der Anmeldung am Benutzerkonto werden aktivitätsbezogen folgende Daten gespeichert:

1. Rechtsgrundlage und Zweck der Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes. Die Datenverarbeitung erfolgt zwecks Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen, erforderlichen Anmeldung nach dem Onlinezugangsgesetz.

2. Dauer der Speicherung

Die Daten werden gelöscht, sobald diese für die Erreichung des Zwecks der Verarbeitung nicht mehr erforderlich sind. Dies ist der Fall, wenn das Benutzer- und weitere Unternehmenskonten des Nutzers gelöscht werden. Bei einer Änderung der Angaben in dem Benutzer- oder Unternehmenskonto werden die überarbeiteten Angaben gespeichert und die ursprünglichen Angaben gelöscht. Dabei ist zu beachten, dass eine endgültige Löschung eines Kontos erst nach einer Löschfrist von 30 Tagen erfolgt. Das Benutzerkonto wird auch gelöscht, wenn es vom Nutzer länger als 360 Tage nicht mehr benutzt wurde.

Weiterhin ist zu beachten, dass bei der Löschung eines Benutzerkontos die zu dem Benutzerkonto in Beziehung stehenden Unternehmenskonten automatisch gelöscht werden.

Der Nutzer hat jederzeit die Möglichkeit, das Benutzerkonto und verbundene Unternehmenskonten löschen oder die gespeicherten personenbezogenen Daten ändern zu lassen.

VIII. Übermittlung von Rechnungen

Ein Nutzer kann elektronische Rechnungen über sein eingerichtetes Benutzerkonto auf unterschiedlichen Übertragungswegen einreichen. Diese Übertragungswege sind:

Bei der Übermittlung von elektronischen Rechnungen über einen der oben aufgeführten Übertragungswege werden neben den Inhalten der elektronischen Rechnung folgende Daten verarbeitet:

1. Rechtsgrundlage und Zweck der Datenverarbeitung

Rechtsgrundlage für die Speicherung der Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes.

Die Verarbeitung der Daten dient dem Zweck, eine eingereichte elektronische Rechnung nach dem Standard XRechnung in der jeweils aktuellen Fassung zu validieren, den Status einer eingereichten elektronischen Rechnung zu protokollieren, eine Verbindung zwischen der elektronischen Rechnung und dem rechnungsstellenden Nutzer zu ermöglichen und schließlich die Rechnung an die zuständige Bundesbehörde, den Adressaten der Rechnung, weiterzuleiten.

Die weitere Verarbeitung der Rechnungsdaten beim Rechnungsadressaten erfolgt ausschließlich zu dem Zweck, die eingegangenen Rechnungen nach den geltenden Vorschriften für die Haushalts- und Wirtschaftsführung zu bearbeiten und deren Einhaltung zu dokumentieren (s. § 90 BHO).

2. Dauer der Speicherung

Rechnungen werden 30 Tage nach der Bereitstellung in der ZRE unabhängig vom Status durch den Betreiber gelöscht.

Beim Rechnungsadressaten werden die Daten, die die Bearbeitung der jeweiligen Rechnung betreffen, im Regelfall 5 Jahre nach VV Nr. 4.7 ZBR BHO aufbewahrt (Rechnung und Rechnungsdaten). Um die Berücksichtigung individueller Bestimmungen in Sonderfällen zu ermöglichen, kann die Archivierungsdauer elektronischer Rechnungen von der Behörde im Einzelfall auch individuell erhöht werden.

IX. Weitergabe Ihrer Daten an Dritte

Das BMF und das BMI können im Einzelfall gesetzlich verpflichtet sein, den Strafverfolgungsbehörden (vgl. § 23 Abs. 1 Nr. 3 und 4 BDSG) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI; vgl. § 5 Abs. 1 S. 4 BSIG) Zugang zu personenbezogenen Daten zu gewähren, wenn dies im Zusammenhang mit der Verfolgung von Straftaten oder zur Abwehr von Angriffen auf die IT-Infrastruktur des Bundes erforderlich ist.

Zum Zwecke der Überweisung des Rechnungsbetrages werden der Name des Zahlungsempfängers, Bankverbindung und Überweisungszweck an die Bundeskasse und die Deutsche Bundesbank übermittelt. Darüber hinaus werden keine Daten an Dritte weitergegeben.

X. Kontaktaufnahme

Bei Fragen zum Datenschutz ist eine Kontaktaufnahme mit den Verantwortlichen der ZRE möglich (siehe unter Punkt II und IV).

Bei technischen und fachlichen Fragen kann sich der Nutzer an die Support-Hotline der ZRE wenden. Eine telefonische Kontaktaufnahme ist werktags von Montag bis Freitag in der Zeit von 08:00 Uhr bis 16:00 Uhr (MEZ) über die Hotline 030 2598-4436 sowie jederzeit über die E-Mail-Adresse der Support-Hotline sendersupport-xrechnung@bdr.de möglich.

XI. Ihre Rechte aus dem Datenschutz

Jede betroffene Person hat das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten (Art.15 DSGVO), auf Berichtigung (Art.16 DSGVO), Löschung (Art.17 DSGVO) oder Einschränkung der Verarbeitung (Art.18 DSGVO) sowie das Recht, der Verarbeitung aufgrund einer besonderen Situation zu widersprechen (Art. 21 DSGVO).

Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie annehmen, dass die Verarbeitung Ihrer persönlichen Daten Ihre Rechte verletzt, können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden (Art. 77 DSGVO):

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Husarenstraße 30
53117 Bonn
E-Mail: poststelle@bfdi.bund.de