Datenschutzerklärung zum BwMessenger
gemäß Artikel 13 Europäische Datenschutzgrundverordnung (DSGVO)
Die Bundeswehr stellt gemeinsam mit dem IT-Dienstleister BWI für die Angehörigen der Bundeswehr und in Ergänzung zu den dienstlich zur Verfügung gestellten Kommunikationsmitteln die Kommunikationsplattform „BwMessenger“ auf privaten hochmobilen Endgeräten zur Verfügung. Dies soll zu einer Verbesserung der Attraktivität der Bundeswehr und einer besseren Erreichbarkeit ihrer Angehörigen untereinander dienen. Der BwMessenger ist eine abgesicherte, bundeswehreigene Kommunikationsplattform. Alle übertragenen Kommunikationsinhalte werden Ende-zu-Ende verschlüsselt, so dass der IT-Dienstleister BWI oder Dritte aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht einsehen können.
Die BwMessenger-App wird ausschließlich für die dienstliche Nutzung bereitgestellt. Die Nutzung der Kommunikationsplattform ist für Angehörige der Bundeswehr freiwillig und bedarf daher einer Einwilligung im Sinne von Artikel 7 DSGVO. Die Benutzer erhalten durch Nutzung der Kommunikationsplattform ausschließlich einen rechtlichen und/oder wirtschaftlichen Vorteil. Bei Nichtnutzung oder späterem Widerruf der Einwilligung entstehen dem Angehörigen der Bundeswehr keine dienstlichen Nachteile. Er kann dann lediglich nicht (mehr) die Kommunikationsplattform nutzen und verliert den Zugang zu allen bisher übertragenen und empfangenen Inhalten.
Die Nutzung der Kommunikationsplattform BwMessenger erfordert die Angabe personenbezogener Daten zur Gewährleistung der Funktionalität. Soweit die Verarbeitung personenbezogener Daten erforderlich ist, erfolgt diese nach den Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO, Art 5), des Bundesdatenschutzgesetzes (BDSG) und anderer einschlägiger Gesetze (zum Beispiel Strafgesetzbuch).
1. Verarbeitungszweck
Die Verarbeitung der personenbezogenen Daten bei Nutzung der BwMessenger-App auf privaten Endgeräten erfolgt gemäß Artikel 13 Abs. 1 lit. c DSGVO zum Zweck
- der Bereitstellung der Kommunikationsplattform (zum Beispiel Direktkommunikation zu anderen Chatpartnern, Gruppenkommunikation),
- der Personalisierung (zum Beispiel Anzeige des Namens der Chatpartner),
- der Signalisierung von Ereignissen (sogenannter Events),
- der Durchführung einer begleitenden Erfolgskontrolle des Auftraggebers im Sinne einer technischen Kontrolle der Leistungserfüllung des IT-Dienstleisters BWI.
2. Rechtsgrundlage der Verarbeitung
Die Nutzung der BwMessenger-App und damit die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Basis der Einwilligung der Nutzer*innen gemäß Artikel 6 Abs. 1 lit. a, 7 DSGVO. Die Benutzer*innen werden vor der erstmaligen Verwendung der BwMessenger-App, um ihre Einwilligung zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Abs. 1 lit. a, 7 DSGVO gebeten.
Benutzer*innen der BwMessenger-App haben jederzeit das Recht, ihre Einwilligung nach Artikel 7 Abs. 3 DSGVO zu widerrufen und damit die weitere Nutzung der Kommunikationsplattform zu beenden. Durch Beendigung der Nutzung entstehen (vormaligen) Benutzer*innen keine dienstlichen Nachteile. Mit dem Widerruf werden Benutzer*innen umgehend von der Teilnahme an der Nutzung der Kommunikationsplattform ausgeschlossen. Die der Bundeswehr und dem IT- Dienstleister BWI zugänglichen über die Benutzer*innen vorhandenen personenbezogenen Daten werden in der Kommunikationsplattform umgehend gelöscht. Hiervon ausgenommen sind Daten, die Benutzer*innen anderen Benutzer*innen selbstständig zugänglich gemacht hat, zum Beispiel in Chatinhalten, Dateianhängen.
3. Was sind personenbezogene Daten?
Personenbezogene Daten sind gemäß Artikel 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung) identifiziert werden kann.
4. Datenverarbeitung
a) bei Nutzung der BwMessenger App für private Endgeräte
Zur Bereitstellung der Kommunikationsplattform werden bei Nutzung der BwMessenger-App mit einem privaten Endgerät personenbezogene Daten durch den IT-Dienstleister BWI und die Bundeswehr verarbeitet, um beispielsweise eine Direktkommunikation zwischen Nutzer*innen oder eine Gruppenkommunikation zwischen mehreren Nutzer*innen zu ermöglichen. Alle übertragenen Kommunikationsinhalte werden Ende-zu-Ende verschlüsselt, sodass der IT-Dienstleister BWI oder Dritte aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht einsehen können.
Zur Personalisierung der BwMessenger-App auf dem privaten Endgerät werden personenbezogene Daten durch den IT-Dienstleister BWI und die Bundeswehr verarbeitet, um beispielsweise die Anzeige des Namens der Kommunikationspartner oder Benutzer*innen eine Übersicht ihrer Gruppenmitgliedschaften zu ermöglichen.
Zur Signalisierung von Ereignissen (sogenannte Events) verwendet die Kommunikationsplattform bei Nutzung der BwMessenger-App auf privaten Endgeräten Push-Dienste, um Benutzer*innen beispielsweise den Empfang einer neuen Nachricht zu signalisieren. Dabei werden personenbezogene Daten durch den IT-Dienstleister BWI und die Bundeswehr sowie Metadaten durch den Anbieter des mobilen Betriebssystems verarbeitet.
Der BwMessenger ermöglicht das Versenden von Audionachrichten. Um diese Funktion nutzen zu können, muss das Mikrofon des Endgerätes für den BwMessenger freigegeben werden. Audioinformationen werden ausschließlich beim Drücken des Mikrofon-Buttons in der BwMessenger-App aufgezeichnet und können anschließend übertragen oder verworfen werden.
Zur Durchführung einer begleitenden Erfolgskontrolle des Auftraggebers im Sinne einer technischen Kontrolle seiner Leistungserfüllung wertet der IT-Dienstleister BWI allgemeine, pseudonymisierte aus dem jeweiligen App Store gewonnene Daten aus, um dem Auftraggeber Bericht über beispielsweise die Gesamtanzahl der getätigten Downloads der BwMessenger App zu erstatten.
aa) Endgeräte
Nutzer*innen sind verantwortlich, dass sie bei Nutzung der BwMessenger-App mit Daten der maximalen Einstufung OFFEN/PersDat SB 1 die gesetzlichen und dienstlichen Vorgaben einhalten.
Folgende Daten werden im privaten Speicher der App auf den Endgeräten gespeichert:
- Stammdaten von Benutzer*innen:
- Anzeigename (Vorname, Nachname)
- Profilbild
- E-Mail-Adresse
- Benutzerkennung
- Passwort-Hash
- Privater Schlüssel
- Öffentliche Schlüssel der Chatpartner
- Nutzdaten/Kommunikationsinhalte:
- Nachrichteninhalt (verschlüsselt)
- Zeitstempel der Kurznachricht
- Dateianhänge
- Kontotyp (Berechtigung in Bezug auf Chat-Raum)
- Chat-Raum-Namen, Themen und Profilbilder
- Gruppen- beziehungsweise Chat-Raum-Mitgliedschaften des Benutzers
- Endgeräte-spezifische Daten:
- Name und Version der Smartphone-App
- Name und Version des Smartphone-Betriebssystems
- Modell des Smartphones
ab) Server
Folgende Daten werden auf den Servern gespeichert:
- Stammdaten Benutzer*innen:
- Benutzerkennung
- E-Mail-Adresse des Benutzers
- Schlüsselsicherung
- Anzeigename (Vor- und Nachname)
- Passworthash
- Nutzdaten/Kommunikationsinhalte:
- Nachrichteninhalt (verschlüsselt)
- Dateianhänge (verschlüsselt)
- Zeitstempel der Kurznachricht
- Event-ID
- Raum-ID
- Gruppen- beziehungsweise Chat-Raum-Mitgliedschaften von Benutzer*innen
- Chat-Raum-Namen, Themen
- Kontotyp (Berechtigung in Bezug auf Chat-Raum)
- Endgeräte-spezifische Daten:
- IP-Adressen
- Datum und Uhrzeit des Request/der Anfrage
- Metadaten die auf den Endgeräten erfasst werden
- Name der Smartphone-App
- Version der Smartphone-App
- Name des Smartphone-Betriebssystems
- Version des Smartphone-Betriebssystems
- Modell des Smartphones
- Betriebssystem des verwendeten Endgerätes
- Session-ID
b) Apple App Store/Google PlayStore
Der IT-Dienstleister BWI erhält über den Einsatz des Google-Play-Store/Apple App Store Informationen zu Downloadzahlen (wie viele Downloads insgesamt und pro Nutzer*in), zu den Regionen aus denen der Download erfolgt und der verwendeten Endgeräteplattform (zum Beispiel Tablet oder Smartphone, Versionen von App und Betriebssystem). Die übersandten Informationen wertet der IT-Dienstleister BWI pseudonymisiert aus, um dem Auftraggeber im Rahmen der Auftragsverarbeitung zur begleitenden Erfolgskontrolle seiner Leistungserbringung berichten zu können.
c) Nutzungsdaten
Nutzungsdaten die in der App anfallen, werden als Speicherstand auf dem Endgerät des Anwenders abgelegt und damit möglicherweise auf den privaten Systemen der Nutzer*innen gespeichert.
d) Einsatz von Matomo
Zur Fehlersuche setzt die BWI beim BwMessenger-Service "Matomo" ein. Matomo ist eine Open Source Analytics Lösung für Web und mobile Apps und wird bereits für das IntranetBw sowie bundeswehr.de genutzt. Durch Matomo werden keine Daten an Dritte übermittelt. Die BWI benutzt diese Analyse als Bestandteil zur Verbesserung des BwMessenger-Services.
Matomo ist in der Grundeinstellung aufgrund Art. 6 DSGVO deaktiviert. Sie werden bei der erstmaligen Benutzung auf diesen Umstand hingewiesen. Sie können Ihre Zustimmung für Matomo erteilen und sodann in den Einstellungen der App jederzeit widerrufen (Opt-Out).
Matomo verwendet Cookies. Dies sind kleine Textdateien auf Ihrem Gerät und werden benötigt, um eine anonymisierte User-ID zu setzen, damit wiederkehrende Nutzer erkannt werden können. Diese Informationen (s.u.) ermöglichen es der BWI, die Nutzung der BwMessenger App zu analysieren. Die gewonnenen Informationen über die Nutzung werden an den Server der BWI übertragen und gespeichert, damit die Umstände von häufigen Fehlern analysiert werden können. Die übertragenen Informationen werden nicht an Dritte weitergegeben.
Folgende Informationen werden an die BWI übertragen:
- Matomo App ID
- Anonymisierte IP Adresse (serverseitiges Tracking)
- Anonymisierte ID zum Tracking gleicher Nutzer
- Datum & Zeit der aktuellen Anfrage und des ersten & letzten - Besuchs / Öffnen der App
- Anzahl der Besuche
- Bildschirmauflösung
- HTTP User Agent Daten (daraus ergibt sich die Plattform & OS Version, sowie der Browser / Endgerät)
- Eingestellte Systemsprache
- App Version
- Fehlernummern für:
- Push-Nachrichten,
- nicht-entschlüsselbare Nachrichten
- Sendezeiten, sowie die Anzahl der Nutzer in einem Raum zu diesem Zeitpunkt
5. Weitergabe personenbezogener Daten an Dritte
Personenbezogenen/personenbeziehbaren Daten werden nicht zu weiteren Zwecken (beispielsweise der Datenauswertung zu Werbezwecken oder zur Verhaltens- oder Leistungskontrolle) verwendet.
Daten, die bei Nutzung der BwMessenger-App protokolliert werden, werden an Dritte nur übermittelt, soweit die Bundeswehr rechtlich dazu verpflichtet ist (zum Beispiel bei Gerichts- beziehungsweise Strafverfahren), oder die Weitergabe im Falle von Angriffen auf die Kommunikationstechnik des Bundes zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe in anderen Fällen oder eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht. Die Weitergabe von Chatinhalten und Dateianhängen der Nutzer an Drittländer ist technisch nicht möglich.
Die Verarbeitung von personenbezogenen Daten erfolgt grundsätzlich innerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Lediglich im Zusammenhang mit der Bereitstellung der BwMessenger-App im jeweiligen App Store, bei der Verwendung von Signalisierungsdienste (Push-Dienste) und bei Nutzung der BwMessenger-App im Ausland kann es zu einer Übermittlung von Informationen an Empfänger in sogenannten „Drittländer“ kommen. Drittländer sind Länder außerhalb der Europäischen Union oder des Abkommens über den Europäischen Wirtschaftsraum, in denen ohne Weiteres nicht von einem Datenschutzniveau ausgegangen werden kann, das mit dem in der Europäischen Union vergleichbar ist.
Sofern die übermittelten Informationen auch personenbezogene Daten umfassen, wird vor einer solchen Übermittlung sichergestellt, dass in dem jeweiligen Drittland oder bei dem Empfänger im Drittland das erforderliche angemessene Datenschutzniveau gewährleistet ist. Das kann sich insbesondere aus einem sogenannten „Angemessenheitsbeschluss“ der Europäischen Kommission ergeben, mit dem ein angemessenes Datenschutzniveau für ein bestimmtes Drittland festgestellt wird. Alternativ kann die Datenübermittlung auch auf die mit einem Empfänger vereinbarten sogenannten „EU-Standardvertragsklauseln“ abstützen, wobei im Einzelfall geprüft wird, ob diese unter Berücksichtigung des Rechts des betreffenden Drittlands einen angemessenen Schutz gewährleisten. Bei Bedarf werden zusätzliche Maßnahmen ergriffen, um ein angemessenes Schutzniveau sicherzustellen.
Der BwMessenger greift auf Signalisierungsdienste der Hersteller Apple Inc. und Google LLC zurück. Für die Nutzung dieser Push-Dienste werden mit den Herstellern personenbezogene Daten geteilt. Dabei kommt es gegebenenfalls auch zu einer Übermittlung von personenbeziehbaren Daten an Empfänger in Drittländern. Zum Schutz der betroffenen Personen werden die übermittelten Daten technisch auf die zwingend notwendigen Parameter App Device Token, UserID Hash, AppID, App Name, Device Name, Push Gateway URL und Event ID beschränkt.
6. Rechte
Als betroffene Person hat man grundsätzlich die Rechte auf:
- Auskunft (Artkel 15 DSGVO),
- Berichtigung (Artikel 16 DSGVO),
- Löschung (Artikel 17 DSGVO),
- Einschränkung der Verarbeitung (Artikel 18 DSGVO),
- Datenübertragbarkeit (Artikl 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Artikel 21 DSGVO)
- Schadenersatz (Artikel 82 DSGVO) sowie
- das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO in Verbindung mit § 9 Bundesdatenschutzgesetz). Dies ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die Kontaktdaten des BfDI stehen in Abschnitt 11.
Alle übertragenen Inhalte werden Ende-zu-Ende verschlüsselt, so dass der IT-Dienstleister BWI oder Dritte aus technischen Gründen die Inhalte und die übertragenen Mediendateien nicht einsehen können. Daher ist eine Aushändigung dieser Daten im Rahmen der Ausübung des Auskunftsanspruches gemäß Artikel 15 Abs. 3 DSGVO nicht möglich. Hiervon nicht erfasst sind Meta-Daten wie Chat-Raum-Namen, Chat-Raum-Profilbilder, Chat-Raum-Themen, Chat- Raum-Mitgliedschaften. Durch Nutzer*innen erzeugte Inhalte in der Kommunikationsplattform bleiben für andere Empfänger auch dann sichtbar, wenn Nutzer*innen sich gegen eine weitere Nutzung der BwMessenger App entschieden haben.
7. Sperr- und Löschfristen
Personenbezogene/-beziehbaren Daten werden gemäß den für die Aufbewahrung von Schriftgut geltenden Fristen verarbeitet. Daher gelten für die Nutzung der BwMessenger-App gelten folgende Sperr- und Löschfristen:
Auf den Servern des IT-Dienstleisters BWI gespeicherte Protokolldaten (zum Beispiel IP-Adresse des verwendeten Endgerätes), werden nach 90 Tagen automatisch gelöscht, insofern nicht andere Löschfristen aufgrund gesetzlicher Vorgaben im Zusammenhang mit Straf- oder Gerichtsverfahren eingehalten werden müssen.
- Kommunikationsinhalte auf Servern:
- Kurznachrichten: automatisierte Löschung nach drei Jahren
- Dateianhänge: automatisierte Löschung nach 90 Tagen
8. Verantwortlicher
Datenschutzrechtlich verantwortliche Stelle nach Artikel 4 Nr. 7 DSGVO:
Bundesministerium der Verteidigung
Stauffenbergstraße 18
10785 Berlin
9. Auftragsverarbeiter
Datenschutzrechtlich verantwortlicher Auftragverarbeiter nach Artikel 4 Nr. 8 DSGVO:
BWI GmbH
Auf dem Steinbüchel 22
53340 Meckenheim
10. Datenschutzbeauftragte/r
Nutzer*innen können sich mit datenschutzrechtlichen Fragen jederzeit an die Beauftragte für den Datenschutz in der Bundeswehr (BfDBw) wenden (Artikel 38 Abs. 4 DSGVO in Verbindung mit § 6 Abs. 5 Bundesdatenschutzgesetz). Diese sind wie folgt erreichbar:
Beauftragte für den Datenschutz in der Bundeswehr, Bundesministerium der Verteidigung
Fontainengraben 150
53123 Bonn
E-Mail: BfDBw@bmvg.bund.de
11. Aufsichtsbehörde als Beschwerdestelle
Nutzer*innen können ihr Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO in Verbindung mit § 9 Bundesdatenschutzgesetz) ausüben.
Das ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Diese/r ist wie folgt zu erreichen:
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Straße 153
53117 Bonn
E-Mail: poststelle@bfdi.bund.de