1. Allgemeines


Der Schutz Ihrer persönlichen Daten liegt uns sehr am Herzen. An dieser Stelle möchten wir Sie daher über den Datenschutz im Zusammenhang mit der Messenger App informieren. Ihre personenbezogenen Daten werden ausschließlich im Rahmen der gesetzlichen Datenschutzbestimmungen, wie z.B. des Bundesdatenschutzgesetzes (BDSG) oder der Datenschutzgrundverordnung (DSGVO) verwendet. Unsere Mitarbeiter und Beauftragten werden auf die Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet. Im Folgenden erhalten Sie Hinweise über Art, Umfang und Zwecke der Erhebung und Verwendung Ihrer personenbezogenen Daten sowie Ihre Rechte.

2. Nutzung des BwMessengers

2.1 Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten


Wenn Sie Fragen zum Thema Datenschutz haben, kontaktieren Sie bitte folgende Stellen:

Verantwortliche Stelle:

Bundesamt für Ausrüstung, Informationstechnik 
und Nutzung der Bundeswehr (BAAINBw)
Ferdinand-Sauerbruch-Str. 1
56073 Koblenz

Datenschutzbeauftragter:

Datenschutzbeauftragte(r) für den
Geschäftsbereich BMVg (DSB GB BMVg)
Fontainengraben 150
53123 Bonn
E-Mail: DSBGBBMVg@bmvg.bund.de
Telefon: +49 (0)228-12-13940/13941

2.2 Umfang der Datenerhebung und –speicherung

Datenverarbeitung im Zusammenhang mit dem Betrieb des BwMessengers

Lfd Nr.DatenVerwendungszweckRechtsgrundlageSpeicherdauer
1.VornameKommunikationspartner identifizierenArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Max. 3 Jahre ab letzter Kommunikation
2.NameKommunikationspartner identifizierenArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Max. 3 Jahre ab letzter Kommunikation
3.ProfilbildKommunikationspartner identifizierenArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
14 Tage nachdem der Nutzer die Organisation verlassen hat
4.dienstliche E-Mail-AdresseRegistrierung/Versand des Passwortes
Rücksetzen des Passworts
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
6 Monate und 7 Tage nachdem der Nutzer die Organisation verlassen hat
5.private E-Mail-AdresseRegistrierung/Versand des Passwortes
Rücksetzen des Passworts
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat
6.Benutzerkennung (User ID)

Identifizierung und Authentisierung des Benutzers gegenüber dem System
Vermeidung von Doppel-Accounts.

Übergabe ans IAMBw zur Anzeige im IAMBw-Portal und Weiterverwendung als BwMessenger-Benutzer-URL.

Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Mit Löschung der Personalnummer wird die User-ID anonymisiert*
7.Passwort-HashAuthentisierung des Benutzers gegenüber dem SystemArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat*
8.Access-TokenAuthentisierung des Benutzers gegenüber dem SystemArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Beendigung der Session
9.NachrichtenKommunikation / InformationsaustauschArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse
Max. 3 Jahre ab letzter Kommunikation
10.DateianhängeKommunikation / InformationsaustauschArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
90 Tage ab Upload*
11.Kontotyp (Offen/ VSNfD)Identifikation dienstlicher oder privater EndgeräteArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse
Mit Löschung der Personalnummer wird der Kontotyp anonymisiert
12.Chat-Raum-NameIdentifikation einer themenbezogenen Gruppen-KommunikationArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis alle Kommunikationsteilnehmer die Gruppe verlassen haben*
13.Chat-Raum-Thema (Beschreibung)Identifikation einer themenbezogenen Gruppen-KommunikationArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis alle Kommunikationsteilnehmer die Gruppe verlassen haben*
14.Chat-Raum-ProfilbildIdentifikation einer themenbezogenen Gruppen-KommunikationArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis alle Kommunikationsteilnehmer die Gruppe verlassen haben
15.Gruppen- bzw. Chat-Raum-Mitgliedschaften des BenutzersIdentifikation von Teilnehmern eines Chat-RaumesArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Gruppe verlassen hat*
16.Gruppen-NachrichtenKommunikation / Informationsaustausch innerhalb einer GruppeArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Max. 3 Jahre ab letzter Kommunikation*
17.App Device TokenPush-Benachrichtigung auf mobilen Endgeräten (Signalisierung neuer Nachricht)Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung
18.Device NamePush-Benachrichtigung auf mobilen Endgeräten Identifikation des Endgeräts seitens NutzerArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung
19.Version der Smartphone-AppPrüfung von SystemvoraussetzungenArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung *
20.Modell des SmartphonesPrüfung von Systemvoraussetzungen (lokal auf dem Endgerät)Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung *
21.Name des BrowsersPrüfung von Systemvoraussetz-ungen (lokal auf dem Endgerät)Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung *
22.SchlüsselpaarLesen und Schreiben von verschlüsselten NachrichtenArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Schlüsselbackup auf dem Server wird gelöscht wenn der Schlüsselinhaber die Organisation verlassen hat.*
Schlüssel werden auf dem Endgerät des Benutzers gelöscht, wenn die Messenger App (Smartphone/ Tablet) deinstalliert wird oder der Benutzer sich von der App abmeldet.
23.IP-AdresseProtokollierung auf den ServernArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung *
24.Erstellungsdatum eines Benutzers

Registrierung eines Nutzers

Rechenschaftspflicht

Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Mit Löschung der Personalnummer wird das Erstellungsdatum anonymisiert
25.Änderungsdatum eines Benutzers

Registrierung eines Nutzers

Rechenschaftspflicht

Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Mit Löschung der Personalnummer wird das Erstellungsdatum anonymisiert
26.Device IDZuordnung, an welches Gerät die Push-Nachricht gesendet werden soll 
Kenntnisnahme einer neuen Nachricht (Push-Nachrichten) (beim Empfänger)
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung *
27.Typing notificationKenntnis, dass eine Nachricht des Kommunikationsteilnehmers in Kürze zu erwarten ist.Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Inaktivität der Texteingabe
28.LesebestätigungKenntnis, dass der Nachrichtenempfänger die Nachricht gesehen hatArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Max. 3 Jahre ab letzter Kommunikation
29.PersonalnummerRegistrierung eines Nutzers
Rechenschaftspflicht
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat
30.Kontostatus (gelöscht/ gesperrt/ aktiv)Registrierung eines Nutzers
Rechenschaftspflicht
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Mit Löschung der Personalnummer wird der Kontostatus anonymisiert
31.Benutzerkonto anlegende PersonRegistrierung eines Nutzers
Rechenschaftspflicht
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat
32.Änderungen am Benutzerkonto vornehmende PersonRegistrierung eines Nutzers
Rechenschaftspflicht
Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat
33.Sprachinformationen (Stream)Kommunikation / InformationsaustauschArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Stream beendet
34.Videoinforma-
tionen
Kommunikation / InformationsaustauschArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Stream beendet
35.BildschirminhalteKommunikation / InformationsaustauschArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Stream beendet
36.Ort der AnmeldungNutzerspezifische Sitzungsübersicht der angemeldeten Geräte eines BenutzersArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung
37.Datum/ Zeit zuletzt onlineNutzerspezifische Sitzungsübersicht der angemeldeten Geräte eines BenutzersArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung
38.Geodaten ObjekteKommunikation / InformationsaustauschMax. 3 Jahre ab letzter Kommunikation 
39.Geodaten des NutzersKommunikation / InformationsaustauschArt. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) 

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
Max. 3 Jahre ab letzter Kommunikation

Mit "*" gekennzeichnete Daten sind u.a. Bestandteil der Logdaten
(Verarbeitungszwecke und Löschfrist für Logdaten siehe lfd. Nr. 53)

Datenverarbeitungen im Zusammenhang mit dem Webanalytikprogramm Matomo:

Lfd NrDatenVerwendungszweckRechtsgrundlageSpeicherdauer
40.Einwilligung zum Tracking (inkl. Datum und Uhrzeit)Nachweis- und Rechenschaftspflicht§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
• Zuletzt erteilte Einwilligung: Bis der Nutzer die Organisation verlassen oder den BwMessenger-Account deaktiviert hat
• Vorhergehende Einwilligungsversionen: Max. 1095 Tage (3 Jahre) ab Erteilung der Einwilligung
41.Anonymisierte IP AdresseTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
Anonymisierung unmittelbar nach Erhebung (keine persistente Speicherung)
42.Session IDTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
43.Datum & ZeitTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
44.OrtTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
45.Anzahl der BesucheTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
46.BildschirmauflösungTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
47.HTTP User Agent DatenTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
48.Eingestellte SystemspracheTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
49.App VersionTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
50.EventsTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung
51.FehlernummernTracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse
Tracking der Nutzung von Funktionen
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
125 Tage ab Erhebung

 

Datenverarbeitungen im Zusammenhang mit Loggingfunktionen:

Lfd Nr.DatenVerwendungszweckRechtsgrundlageSpeicherdauer
52

Logdaten der Backends:

  • IP-Adresse (Nutzer/ Admin),
  • UserID,
  • Datum/Uhrzeit,
  • Browsertyp,
  • Browser Version,
  • URL-Aufruf (HTTP Requests & Response)
  • Endgerät,
  • HTTP-Request,
  • HTTP Status,
  • Device OS Vers.,
  • Geräte-Modell,
  • DeviceID,
  • RaumID,
  • Raumthema,
  • Raummitgliedschaften,
  • Schlüssel-Hashes,
  • Öffentliche Schlüssel,
  • Views & Activities (ViewController und deren Status),
  • Dateinamen,
  • Dateityp,
  • Dateigröße,
  • Verschlüsselte Nachrichteninhalte,
  • Absender & Empfänger,
Fehleranalyse
Nachvollziehbarkeit für Zwecke der Informationssicherheit
Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung)

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)
90 Tage ab Protokollierungsdatum
 

Events: siehe https://spec.matrix.org/v1.3/client-server-api/#events

  • Erfolgte Passwortresets (Event)
  • Nutzeranlage durch Admin,
  • Übereinstimmung Passwort-Policy (Nutzer),
  • Nachricht versandt (Event),
  • App-Name,
  • App-Version,
  • Aktualisierung des Geräteschlüssels (Event),
  • An- und Abmeldung (Event),
  • Nachrichtenabruf (Event),
  • Fehler bei LogIn (Event),
  • PushAktion/ PushID (Event)
  • Downloads (Event),
  • Cache-Status j/n (Event),
  • Virus Scanergebnis (clean j/n
  • Blockierung der Nachricht (j/n)
  • Dateiuploads (Event)
Fehleranalyse
Nachvollziehbarkeit für Zwecke der Informationssicherheit
Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung)

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse)

Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden)
90 Tage ab Protokollierungsdatum

Datenverarbeitungen im Zusammenhang mit App-Stores:

Lfd NrAppstore 
53.Google-PlaystoreSofern Sie den Google-Playstore verwenden, kann es sein, dass Google weitere Daten von Ihnen verarbeitet. Wir haben weder Kenntnis über die konkret verarbeiteten Daten noch Einfluss auf die Zwecke und Mittel der im Rahmen des Google-Playstores erfolgenden Verarbeitungen personenbezogener Daten.
Wie Google mit Ihren Daten umgeht, können Sie in der Datenschutzerklärung von Google unter folgendem Link einsehen:
https://policies.google.com/privacy
54.Apple App-StoreSofern Sie den Apple App-Store verwenden, kann es sein, dass Apple weitere Daten von Ihnen verarbeitet. Wir haben weder Kenntnis über die konkret verarbeiteten Daten noch Einfluss auf die Zwecke und Mittel der im Rahmen des Apple App-Stores erfolgenden Verarbeitungen personenbezogener Daten.
Wie Apple mit Ihren Daten umgeht, können Sie in der Datenschutzerklärung von Apple unter folgendem Link einsehen:
https://apps.apple.com/de/app/bwmessenger/id1518548153

2.3 Weitergabe und Nutzung der personenbezogenen Daten

Empfänger oder Kategorien von EmpfängernAdresse
BWI GmbH
(Auftragsverarbeiter gem. Art. 28 DSGVO)
Auf dem Steinbüchel 22
53340 Meckenheim
Deutschland
ELEMENT SOFTWARE SARL
- ehemals New Vector SARL –
(weiterer Auftragsverarbeiter
gem. Art. 28 Abs. 2 DSGVO)
16 Esplanade du Champ de Mars
35000 RENNES
France

 

Wir weisen darauf hin, dass bei der Kommunikation zwischen der Bundeswehr und der BWI GmbH infolge der Verbindung der beiden Messenger-Netzwerke (sog. Föderation), vergleichbar mit dem Versand einer E-Mail an andere Organisationen, entsprechende Daten mit dem jeweiligen Kommunikationspartner (BWI bzw. Bundeswehr) ausgetauscht und von diesem in jeweils eigener Verantwortung weiterverarbeitet werden. D.h., dass neben dem Kommunikationsinhalt z.B. insbesondere auch Ihr Name und das ggf. von Ihnen für die Kommunikation hinterlegte Profilbild außerhalb der eigenen Organisation für den jeweiligen Kommunikationspartner sichtbar sind.

Um Benutzern im IAMBw die Benutzerkennung (User ID) des BwMessengers anzeigen zu können, wird diese ans IAMBw übergeben.

 

Datenverarbeitung im Zusammenhang mit Push-Diensten von Apple & Google

Push-Dienst 
GoogleSofern Sie die Messenger-App aus dem Google-Playstore bezogen haben, werden im Rahmen des Push-Dienstes Signaldaten an Google übertragen um Ihnen auf Ihrem Endgerät anzuzeigen, dass eine neue Nachricht vorliegt. Für Nutzer von Google-Diensten, die ihren gewöhnlichen Aufenthalt im Europäischen Wirtschaftsraum haben, ist (Stand Dezember 2023) Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4, Irland, die verantwortliche Stelle. Auf die seitens Google erfolgende weitergehende Verarbeitung personenbezogener Daten haben wir keinen Einfluss. Wie Google mit Ihren Daten umgeht, können Sie der Datenschutzerklärung von Google unter folgendem Link entnehmen: policies.google.com/privacy
AppleSofern Sie die Messenger-App aus dem Apple-App-Store bezogen haben, werden im Rahmen des Push-Dienstes Signaldaten an Apple übertragen um Ihnen auf Ihrem Endgerät anzuzeigen, dass eine neue Nachricht vorliegt. Personenbezogene Daten, von Einzelpersonen im Europäischen Wirtschaftsraum, werden von Apple Distribution International Limited in Irland kontrolliert (verantwortliche Stelle). Auf die seitens Apple erfolgende weitergehende Verarbeitung personenbezogener Daten haben wir keinen Einfluss. Wie Apple mit Ihren Daten umgeht, können Sie der Datenschutzerklärung von Apple unter folgendem Link entnehmen: www.apple.com/legal/privacy/de-ww/

2.4 Übermittlung in Drittländer

Es findet keine Übermittlung in Drittländer statt.

2.5 Sonstiges

Besteht eine gesetzliche Verpflichtung zur Bereitstellung der personenbezogenen Daten?Nein
Besteht eine vertragliche Verpflichtung zur Bereitstellung der personenbezogenen Daten?Nein
Besteht eine Erforderlichkeit der Daten für einen Vertragsabschluss?Nein
Findet eine automatisierte Entscheidungsfindung inkl. Profiling gem. Art 22 DSGVO statt:Nein
Was sind die möglichen Folgen der Nichtbereitstellung dieser Daten?Ohne diese Daten besteht keine Nutzungs-möglichkeit des BwMessengers

 

3. Administration des BwMessengers durch BWI-Administratoren


3.1 Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten

Für die im Rahmen der Administration verarbeiten Daten der BWI-Mitarbeiter ist die BWI verantwortlich. Wenn Sie in diesem Zusammenhang Fragen zum Thema Datenschutz haben, kontaktieren Sie uns bitte unter den folgenden Kontaktdaten:

Verantwortliche Stelle:

BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim

Datenschutzbeauftragter:

BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim

E-Mail: datenschutzbeauftragter@bwi.de

3.2 Umfang der Datenerhebung und –speicherung

Datenverarbeitung im Zusammenhang mit dem Betrieb des BwMessengers:

Lfd Nr.DatenVerwendungszweckRechtsgrundlageSpeicherdauer
56.Benutzerkennung-en der System AdminsAdministrationszugriff auf ServerArt. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung)

Art. 6 lit. f) DSGVO (Fehleranalyse sowie Netz- und Informationssicherheit)
Mitarbeiter (Admin) hat die BWI verlassen oder ist nicht mehr zuständig (z.B. Abteilungswechsel)
57.

Logdaten der Backends:

  • IP-Adresse (Nutzer/ Admin),
  • UserID,
  • Datum/Uhrzeit
  • Browsertyp,
  • Browser Version,
  • URL-Aufruf,
  • Endgerät,
  • HTTP-Request,
  • HTTP Status,
  • Device OS Vers.,
  • Handy-Modell,
  • DeviceID,
  • RaumID
Fehleranalyse
Nachvollziehbarkeit für Zwecke der Informationssicherheit
Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung)

Art. 6 lit. f) DSGVO (Fehleranalyse sowie Netz- und Informationssicherheit)
90 Tage ab Protokollierungsdatum
 

Events: siehe spec.matrix.org/v1.3/client-server-api/

  • Erfolgte Passwortresets (Event)
  • Nutzeranlage durch Admin,
  • Übereinstimmung Passwort-Policy (Nutzer),
  • Nachricht versandt (Event),
  • Name Smartphone-App,
  • Version Smartphone-App,
  • Aktualisierung des Geräteschlüssels (Event),
  • An- und Abmeldung (Event),
  • Nachrichtenabruf (Event),
  • Fehler bei LogIn (Event),
  • PushAktion/ PushID (Event)
  • Downloads,
  • Cache-Status j/n (Event),
  • Virus Scanergebnis clean j/n
  • Dateiuploads (Event)
Fehleranalyse
Nachvollziehbarkeit für Zwecke der Informationssicherheit
Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung)

Art. 6 lit. f) DSGVO (Fehleranalyse sowie Netz- und Informationssicherheit)
90 Tage ab Protokollierungsdatum

 

3.3 Weitergabe und Nutzung der personenbezogenen Daten

Empfänger oder Kategorien von Empfängern:

ELEMENT SOFTWARE SARL
- ehemals New Vector SARL –
(Auftragsverarbeiter
gem. Art. 28 DSGVO)

Adresse:

16 Esplanade du Champ de Mars
35000 RENNES
France

3.4 Übermittlung in Drittländer

Es findet keine Übermittlung in Drittländer statt.

3.5 Sonstiges

Besteht eine gesetzliche Verpflichtung zur Bereitstellung der personenbezogenen Daten?Nein
Besteht eine vertragliche Verpflichtung zur Bereitstellung der personenbezogenen Daten?Nein
Besteht eine Erforderlichkeit der Daten für einen Vertragsabschluss?Nein
Findet eine automatisierte Entscheidungsfindung inkl. Profiling gem. Art 22 DSGVO statt:Nein
Was sind die möglichen Folgen der Nichtbereitstellung dieser Daten?Ohne diese Daten besteht keine Administrationsmöglichkeit des BwMessengers

 

4. Aufruf der Website: messenger.bwi.de


4.1 Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten

Wenn Sie Fragen zum Thema Datenschutz haben, kontaktieren Sie uns bitte unter den folgenden Kontaktdaten:

Verantwortliche Stelle:

BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim

Datenschutzbeauftragter:

BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim

E-Mail: datenschutzbeauftragter@bwi.de

4.2 Details zur Datenverarbeitung

Details zur Verarbeitung Ihrer personenbezogenen Daten beim Besuch der Website https://messenger.bwi.de/ erhalten Sie unter: https://www.bwi.de/datenschutz

5. Ihre Rechte


Nach der Datenschutzgrundverordnung (DSGVO) stehen Ihnen folgende Rechte zu, sofern die dort genannten Voraussetzungen erfüllt sind:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung des Accounts (Art. 17 DSGVO),
  • Sperrung / Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Widerspruch (Art. 21 DSGVO),
  • Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO),
  • Widerrufsrecht mit Wirkung für die Zukunft, sofern eine Einwilligung erteilt wurde (Art. 7 Abs. 3 DSGVO).

 

Sie haben gem. Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e) oder f) DSGVO erfolgt, Widerspruch einzulegen.

Zur Wahrnehmung Ihrer vorstehenden Rechte wenden Sie sich bitte per Post an die oben genannten Adressen der verantwortlichen Stellen oder per E-Mail an:

Die Inanspruchnahme Ihrer vorstehenden Rechte ist für Sie kostenlos.


Hinweis zu Betroffenenrechten im Kontext des Messengers:
Alle übertragenen Inhalte werden, mit Ausnahme der Dateianhänge, Ende-zu-Ende verschlüsselt, so dass aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht eingesehen werden können. Daher ist eine Aushändigung dieser Daten im Rahmen der Ausübung des Auskunftsanspruches gemäß Artikel 15 Abs. 3 DSGVO nicht möglich.

Auch für Dateianhänge (inkl. Sprachnachrichten) findet grundsätzlich eine Verschlüsselung statt, welche lediglich für den automatisierten Malware Scan kurzzeitig entschlüsselt und ausschließlich verschlüsselt abgelegt werden.


Hiervon nicht erfasst sind Meta-Daten wie Chat-Raum-Namen, Chat-Raum-Profilbilder, Chat-Raum-Themen, Chat- Raum-Mitgliedschaften.


Durch Nutzer*innen erzeugte Inhalte in der Kommunikationsplattform bleiben für andere Empfänger (weitere Betroffene) auch dann sichtbar, wenn einzelne Nutzer*innen sich gegen eine weitere Nutzung der Messenger App entschieden haben.


Auch im Falle eines erfolgreichen Widerspruchs gem. Art. 21 DSGVO bleiben aufgrund der rein dienstlichen Nutzung etwaige Kommunikationen nebst Inhalten für die übrigen Kommunikationsteilnehmer erhalten.