1. Allgemeines
Der Schutz Ihrer persönlichen Daten liegt uns sehr am Herzen. An dieser Stelle möchten wir Sie daher über den Datenschutz im Zusammenhang mit der Messenger App informieren. Ihre personenbezogenen Daten werden ausschließlich im Rahmen der gesetzlichen Datenschutzbestimmungen, wie z.B. des Bundesdatenschutzgesetzes (BDSG) oder der Datenschutzgrundverordnung (DSGVO) verwendet. Unsere Mitarbeiter und Beauftragten werden auf die Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet. Im Folgenden erhalten Sie Hinweise über Art, Umfang und Zwecke der Erhebung und Verwendung Ihrer personenbezogenen Daten sowie Ihre Rechte.
2. Nutzung des BwMessengers
2.1 Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten
Wenn Sie Fragen zum Thema Datenschutz haben, kontaktieren Sie bitte folgende Stellen:
Verantwortliche Stelle:
Bundesamt für Ausrüstung, Informationstechnik
und Nutzung der Bundeswehr (BAAINBw)
Ferdinand-Sauerbruch-Str. 1
56073 Koblenz
Datenschutzbeauftragter:
Datenschutzbeauftragte(r) für den
Geschäftsbereich BMVg (DSB GB BMVg)
Fontainengraben 150
53123 Bonn
E-Mail: DSBGBBMVg@bmvg.bund.de
Telefon: +49 (0)228-12-13940/13941
2.2 Umfang der Datenerhebung und –speicherung
Datenverarbeitung im Zusammenhang mit dem Betrieb des BwMessengers
| Lfd Nr. | Daten | Verwendungszweck | Rechtsgrundlage | Speicherdauer |
| 1. | Vorname | Kommunikationspartner identifizieren | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Max. 3 Jahre ab letzter Kommunikation |
| 2. | Name | Kommunikationspartner identifizieren | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Max. 3 Jahre ab letzter Kommunikation |
| 3. | Profilbild | Kommunikationspartner identifizieren | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 14 Tage nachdem der Nutzer die Organisation verlassen hat |
| 4. | dienstliche E-Mail-Adresse | Registrierung/Versand des Passwortes Rücksetzen des Passworts | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 6 Monate und 7 Tage nachdem der Nutzer die Organisation verlassen hat |
| 5. | private E-Mail-Adresse | Registrierung/Versand des Passwortes Rücksetzen des Passworts | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat |
| 6. | Benutzerkennung (User ID) | Identifizierung und Authentisierung des Benutzers gegenüber dem System Übergabe ans IAMBw zur Anzeige im IAMBw-Portal und Weiterverwendung als BwMessenger-Benutzer-URL. | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Mit Löschung der Personalnummer wird die User-ID anonymisiert* |
| 7. | Passwort-Hash | Authentisierung des Benutzers gegenüber dem System | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat* |
| 8. | Access-Token | Authentisierung des Benutzers gegenüber dem System | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Beendigung der Session |
| 9. | Nachrichten | Kommunikation / Informationsaustausch | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse | Max. 3 Jahre ab letzter Kommunikation |
| 10. | Dateianhänge | Kommunikation / Informationsaustausch | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 90 Tage ab Upload* |
| 11. | Kontotyp (Offen/ VSNfD) | Identifikation dienstlicher oder privater Endgeräte | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse | Mit Löschung der Personalnummer wird der Kontotyp anonymisiert |
| 12. | Chat-Raum-Name | Identifikation einer themenbezogenen Gruppen-Kommunikation | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis alle Kommunikationsteilnehmer die Gruppe verlassen haben* |
| 13. | Chat-Raum-Thema (Beschreibung) | Identifikation einer themenbezogenen Gruppen-Kommunikation | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis alle Kommunikationsteilnehmer die Gruppe verlassen haben* |
| 14. | Chat-Raum-Profilbild | Identifikation einer themenbezogenen Gruppen-Kommunikation | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis alle Kommunikationsteilnehmer die Gruppe verlassen haben |
| 15. | Gruppen- bzw. Chat-Raum-Mitgliedschaften des Benutzers | Identifikation von Teilnehmern eines Chat-Raumes | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Gruppe verlassen hat* |
| 16. | Gruppen-Nachrichten | Kommunikation / Informationsaustausch innerhalb einer Gruppe | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Max. 3 Jahre ab letzter Kommunikation* |
| 17. | App Device Token | Push-Benachrichtigung auf mobilen Endgeräten (Signalisierung neuer Nachricht) | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung |
| 18. | Device Name | Push-Benachrichtigung auf mobilen Endgeräten Identifikation des Endgeräts seitens Nutzer | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung |
| 19. | Version der Smartphone-App | Prüfung von Systemvoraussetzungen | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung * |
| 20. | Modell des Smartphones | Prüfung von Systemvoraussetzungen (lokal auf dem Endgerät) | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung * |
| 21. | Name des Browsers | Prüfung von Systemvoraussetz-ungen (lokal auf dem Endgerät) | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung * |
| 22. | Schlüsselpaar | Lesen und Schreiben von verschlüsselten Nachrichten | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Schlüsselbackup auf dem Server wird gelöscht wenn der Schlüsselinhaber die Organisation verlassen hat.* Schlüssel werden auf dem Endgerät des Benutzers gelöscht, wenn die Messenger App (Smartphone/ Tablet) deinstalliert wird oder der Benutzer sich von der App abmeldet. |
| 23. | IP-Adresse | Protokollierung auf den Servern | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung * |
| 24. | Erstellungsdatum eines Benutzers | Registrierung eines Nutzers Rechenschaftspflicht | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Mit Löschung der Personalnummer wird das Erstellungsdatum anonymisiert |
| 25. | Änderungsdatum eines Benutzers | Registrierung eines Nutzers Rechenschaftspflicht | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Mit Löschung der Personalnummer wird das Erstellungsdatum anonymisiert |
| 26. | Device ID | Zuordnung, an welches Gerät die Push-Nachricht gesendet werden soll Kenntnisnahme einer neuen Nachricht (Push-Nachrichten) (beim Empfänger) | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung * |
| 27. | Typing notification | Kenntnis, dass eine Nachricht des Kommunikationsteilnehmers in Kürze zu erwarten ist. | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Inaktivität der Texteingabe |
| 28. | Lesebestätigung | Kenntnis, dass der Nachrichtenempfänger die Nachricht gesehen hat | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Max. 3 Jahre ab letzter Kommunikation |
| 29. | Personalnummer | Registrierung eines Nutzers Rechenschaftspflicht | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat |
| 30. | Kontostatus (gelöscht/ gesperrt/ aktiv) | Registrierung eines Nutzers Rechenschaftspflicht | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Mit Löschung der Personalnummer wird der Kontostatus anonymisiert |
| 31. | Benutzerkonto anlegende Person | Registrierung eines Nutzers Rechenschaftspflicht | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat |
| 32. | Änderungen am Benutzerkonto vornehmende Person | Registrierung eines Nutzers Rechenschaftspflicht | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 6 Monate und 7 Tage nachdem der Benutzer die Organisation verlassen hat |
| 33. | Sprachinformationen (Stream) | Kommunikation / Informationsaustausch | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Stream beendet |
| 34. | Videoinforma- tionen | Kommunikation / Informationsaustausch | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Stream beendet |
| 35. | Bildschirminhalte | Kommunikation / Informationsaustausch | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Stream beendet |
| 36. | Ort der Anmeldung | Nutzerspezifische Sitzungsübersicht der angemeldeten Geräte eines Benutzers | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung |
| 37. | Datum/ Zeit zuletzt online | Nutzerspezifische Sitzungsübersicht der angemeldeten Geräte eines Benutzers | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Bis Nutzer die Organisation verlassen hat, sich abmeldet und seine Session beendet oder bis 90-tägige Inaktivität der Sitzung |
| 38. | Geodaten Objekte | Kommunikation / Informationsaustausch | Max. 3 Jahre ab letzter Kommunikation | |
| 39. | Geodaten des Nutzers | Kommunikation / Informationsaustausch | Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG (Erfüllung einer rechtlichen Verpflichtung aus dem Beschäftigungsverhältnis) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | Max. 3 Jahre ab letzter Kommunikation |
Mit "*" gekennzeichnete Daten sind u.a. Bestandteil der Logdaten
(Verarbeitungszwecke und Löschfrist für Logdaten siehe lfd. Nr. 53)
Datenverarbeitungen im Zusammenhang mit dem Webanalytikprogramm Matomo:
| Lfd Nr | Daten | Verwendungszweck | Rechtsgrundlage | Speicherdauer |
| 40. | Einwilligung zum Tracking (inkl. Datum und Uhrzeit) | Nachweis- und Rechenschaftspflicht | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | • Zuletzt erteilte Einwilligung: Bis der Nutzer die Organisation verlassen oder den BwMessenger-Account deaktiviert hat • Vorhergehende Einwilligungsversionen: Max. 1095 Tage (3 Jahre) ab Erteilung der Einwilligung |
| 41. | Anonymisierte IP Adresse | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | Anonymisierung unmittelbar nach Erhebung (keine persistente Speicherung) |
| 42. | Session ID | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 43. | Datum & Zeit | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 44. | Ort | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 45. | Anzahl der Besuche | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 46. | Bildschirmauflösung | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 47. | HTTP User Agent Daten | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 48. | Eingestellte Systemsprache | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 49. | App Version | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 50. | Events | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
| 51. | Fehlernummern | Tracking von Fehlern und vorhergehenden Zuständen für die Fehleranalyse Tracking der Nutzung von Funktionen | § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 125 Tage ab Erhebung |
Datenverarbeitungen im Zusammenhang mit Loggingfunktionen:
| Lfd Nr. | Daten | Verwendungszweck | Rechtsgrundlage | Speicherdauer |
| 52 | Logdaten der Backends:
| Fehleranalyse Nachvollziehbarkeit für Zwecke der Informationssicherheit | Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) | 90 Tage ab Protokollierungsdatum |
Events: siehe https://spec.matrix.org/v1.3/client-server-api/#events
| Fehleranalyse Nachvollziehbarkeit für Zwecke der Informationssicherheit | Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 24 Abs. 2 und Art. 87a Abs. 2 GG (Bündnis- und Landesverteidigung als Aufgabe im öff. Interesse) Art. 6 Abs. 1 lit. e) DSGVO i.V.m. Art. 6 Abs. 3 lit. b) DSGVO i.V.m. § 26 Abs. 4 BDSG (Kollektivvereinbarung, sofern vorhanden) | 90 Tage ab Protokollierungsdatum |
Datenverarbeitungen im Zusammenhang mit App-Stores:
| Lfd Nr | Appstore | |
| 53. | Google-Playstore | Sofern Sie den Google-Playstore verwenden, kann es sein, dass Google weitere Daten von Ihnen verarbeitet. Wir haben weder Kenntnis über die konkret verarbeiteten Daten noch Einfluss auf die Zwecke und Mittel der im Rahmen des Google-Playstores erfolgenden Verarbeitungen personenbezogener Daten. Wie Google mit Ihren Daten umgeht, können Sie in der Datenschutzerklärung von Google unter folgendem Link einsehen: https://policies.google.com/privacy |
| 54. | Apple App-Store | Sofern Sie den Apple App-Store verwenden, kann es sein, dass Apple weitere Daten von Ihnen verarbeitet. Wir haben weder Kenntnis über die konkret verarbeiteten Daten noch Einfluss auf die Zwecke und Mittel der im Rahmen des Apple App-Stores erfolgenden Verarbeitungen personenbezogener Daten. Wie Apple mit Ihren Daten umgeht, können Sie in der Datenschutzerklärung von Apple unter folgendem Link einsehen: https://apps.apple.com/de/app/bwmessenger/id1518548153 |
2.3 Weitergabe und Nutzung der personenbezogenen Daten
| Empfänger oder Kategorien von Empfängern | Adresse |
| BWI GmbH (Auftragsverarbeiter gem. Art. 28 DSGVO) | Auf dem Steinbüchel 22 53340 Meckenheim Deutschland |
| ELEMENT SOFTWARE SARL - ehemals New Vector SARL – (weiterer Auftragsverarbeiter gem. Art. 28 Abs. 2 DSGVO) | 16 Esplanade du Champ de Mars 35000 RENNES France |
Wir weisen darauf hin, dass bei der Kommunikation zwischen der Bundeswehr und der BWI GmbH infolge der Verbindung der beiden Messenger-Netzwerke (sog. Föderation), vergleichbar mit dem Versand einer E-Mail an andere Organisationen, entsprechende Daten mit dem jeweiligen Kommunikationspartner (BWI bzw. Bundeswehr) ausgetauscht und von diesem in jeweils eigener Verantwortung weiterverarbeitet werden. D.h., dass neben dem Kommunikationsinhalt z.B. insbesondere auch Ihr Name und das ggf. von Ihnen für die Kommunikation hinterlegte Profilbild außerhalb der eigenen Organisation für den jeweiligen Kommunikationspartner sichtbar sind.
Um Benutzern im IAMBw die Benutzerkennung (User ID) des BwMessengers anzeigen zu können, wird diese ans IAMBw übergeben.
Datenverarbeitung im Zusammenhang mit Push-Diensten von Apple & Google
| Push-Dienst | |
| Sofern Sie die Messenger-App aus dem Google-Playstore bezogen haben, werden im Rahmen des Push-Dienstes Signaldaten an Google übertragen um Ihnen auf Ihrem Endgerät anzuzeigen, dass eine neue Nachricht vorliegt. Für Nutzer von Google-Diensten, die ihren gewöhnlichen Aufenthalt im Europäischen Wirtschaftsraum haben, ist (Stand Dezember 2023) Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4, Irland, die verantwortliche Stelle. Auf die seitens Google erfolgende weitergehende Verarbeitung personenbezogener Daten haben wir keinen Einfluss. Wie Google mit Ihren Daten umgeht, können Sie der Datenschutzerklärung von Google unter folgendem Link entnehmen: policies.google.com/privacy | |
| Apple | Sofern Sie die Messenger-App aus dem Apple-App-Store bezogen haben, werden im Rahmen des Push-Dienstes Signaldaten an Apple übertragen um Ihnen auf Ihrem Endgerät anzuzeigen, dass eine neue Nachricht vorliegt. Personenbezogene Daten, von Einzelpersonen im Europäischen Wirtschaftsraum, werden von Apple Distribution International Limited in Irland kontrolliert (verantwortliche Stelle). Auf die seitens Apple erfolgende weitergehende Verarbeitung personenbezogener Daten haben wir keinen Einfluss. Wie Apple mit Ihren Daten umgeht, können Sie der Datenschutzerklärung von Apple unter folgendem Link entnehmen: www.apple.com/legal/privacy/de-ww/ |
2.4 Übermittlung in Drittländer
Es findet keine Übermittlung in Drittländer statt.
2.5 Sonstiges
| Besteht eine gesetzliche Verpflichtung zur Bereitstellung der personenbezogenen Daten? | Nein |
| Besteht eine vertragliche Verpflichtung zur Bereitstellung der personenbezogenen Daten? | Nein |
| Besteht eine Erforderlichkeit der Daten für einen Vertragsabschluss? | Nein |
| Findet eine automatisierte Entscheidungsfindung inkl. Profiling gem. Art 22 DSGVO statt: | Nein |
| Was sind die möglichen Folgen der Nichtbereitstellung dieser Daten? | Ohne diese Daten besteht keine Nutzungs-möglichkeit des BwMessengers |
3. Administration des BwMessengers durch BWI-Administratoren
3.1 Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten
Für die im Rahmen der Administration verarbeiten Daten der BWI-Mitarbeiter ist die BWI verantwortlich. Wenn Sie in diesem Zusammenhang Fragen zum Thema Datenschutz haben, kontaktieren Sie uns bitte unter den folgenden Kontaktdaten:
Verantwortliche Stelle:
BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim
Datenschutzbeauftragter:
BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim
E-Mail: datenschutzbeauftragter@bwi.de
3.2 Umfang der Datenerhebung und –speicherung
Datenverarbeitung im Zusammenhang mit dem Betrieb des BwMessengers:
| Lfd Nr. | Daten | Verwendungszweck | Rechtsgrundlage | Speicherdauer |
| 56. | Benutzerkennung-en der System Admins | Administrationszugriff auf Server | Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung) Art. 6 lit. f) DSGVO (Fehleranalyse sowie Netz- und Informationssicherheit) | Mitarbeiter (Admin) hat die BWI verlassen oder ist nicht mehr zuständig (z.B. Abteilungswechsel) |
| 57. | Logdaten der Backends:
| Fehleranalyse Nachvollziehbarkeit für Zwecke der Informationssicherheit | Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung) Art. 6 lit. f) DSGVO (Fehleranalyse sowie Netz- und Informationssicherheit) | 90 Tage ab Protokollierungsdatum |
Events: siehe spec.matrix.org/v1.3/client-server-api/
| Fehleranalyse Nachvollziehbarkeit für Zwecke der Informationssicherheit | Art. 6 Abs. 1 lit. c) i.V.m. Art. 32 DSGVO (Informationssicherheit als rechtliche Verpflichtung) Art. 6 lit. f) DSGVO (Fehleranalyse sowie Netz- und Informationssicherheit) | 90 Tage ab Protokollierungsdatum |
3.3 Weitergabe und Nutzung der personenbezogenen Daten
Empfänger oder Kategorien von Empfängern:
ELEMENT SOFTWARE SARL
- ehemals New Vector SARL –
(Auftragsverarbeiter
gem. Art. 28 DSGVO)
Adresse:
16 Esplanade du Champ de Mars
35000 RENNES
France
3.4 Übermittlung in Drittländer
Es findet keine Übermittlung in Drittländer statt.
3.5 Sonstiges
| Besteht eine gesetzliche Verpflichtung zur Bereitstellung der personenbezogenen Daten? | Nein |
| Besteht eine vertragliche Verpflichtung zur Bereitstellung der personenbezogenen Daten? | Nein |
| Besteht eine Erforderlichkeit der Daten für einen Vertragsabschluss? | Nein |
| Findet eine automatisierte Entscheidungsfindung inkl. Profiling gem. Art 22 DSGVO statt: | Nein |
| Was sind die möglichen Folgen der Nichtbereitstellung dieser Daten? | Ohne diese Daten besteht keine Administrationsmöglichkeit des BwMessengers |
4. Aufruf der Website: messenger.bwi.de
4.1 Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten
Wenn Sie Fragen zum Thema Datenschutz haben, kontaktieren Sie uns bitte unter den folgenden Kontaktdaten:
Verantwortliche Stelle:
BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim
Datenschutzbeauftragter:
BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim
E-Mail: datenschutzbeauftragter@bwi.de
4.2 Details zur Datenverarbeitung
Details zur Verarbeitung Ihrer personenbezogenen Daten beim Besuch der Website https://messenger.bwi.de/ erhalten Sie unter: https://www.bwi.de/datenschutz
5. Ihre Rechte
Nach der Datenschutzgrundverordnung (DSGVO) stehen Ihnen folgende Rechte zu, sofern die dort genannten Voraussetzungen erfüllt sind:
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung des Accounts (Art. 17 DSGVO),
- Sperrung / Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Widerspruch (Art. 21 DSGVO),
- Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO),
- Widerrufsrecht mit Wirkung für die Zukunft, sofern eine Einwilligung erteilt wurde (Art. 7 Abs. 3 DSGVO).
| Sie haben gem. Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e) oder f) DSGVO erfolgt, Widerspruch einzulegen. |
Zur Wahrnehmung Ihrer vorstehenden Rechte wenden Sie sich bitte per Post an die oben genannten Adressen der verantwortlichen Stellen oder per E-Mail an:
- Verarbeitungstätigkeiten in Verantwortung des BMVg: BfDBw@bmvg.bund.de
- Verarbeitungstätigkeiten in Verantwortung der BWI: bwi.fp.Datenschutz-Governor@bwi.de.
Die Inanspruchnahme Ihrer vorstehenden Rechte ist für Sie kostenlos.
Hinweis zu Betroffenenrechten im Kontext des Messengers:
Alle übertragenen Inhalte werden, mit Ausnahme der Dateianhänge, Ende-zu-Ende verschlüsselt, so dass aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht eingesehen werden können. Daher ist eine Aushändigung dieser Daten im Rahmen der Ausübung des Auskunftsanspruches gemäß Artikel 15 Abs. 3 DSGVO nicht möglich.
Auch für Dateianhänge (inkl. Sprachnachrichten) findet grundsätzlich eine Verschlüsselung statt, welche lediglich für den automatisierten Malware Scan kurzzeitig entschlüsselt und ausschließlich verschlüsselt abgelegt werden.
Hiervon nicht erfasst sind Meta-Daten wie Chat-Raum-Namen, Chat-Raum-Profilbilder, Chat-Raum-Themen, Chat- Raum-Mitgliedschaften.
Durch Nutzer*innen erzeugte Inhalte in der Kommunikationsplattform bleiben für andere Empfänger (weitere Betroffene) auch dann sichtbar, wenn einzelne Nutzer*innen sich gegen eine weitere Nutzung der Messenger App entschieden haben.
Auch im Falle eines erfolgreichen Widerspruchs gem. Art. 21 DSGVO bleiben aufgrund der rein dienstlichen Nutzung etwaige Kommunikationen nebst Inhalten für die übrigen Kommunikationsteilnehmer erhalten.