Postident-Datenschutzhinweise

Ergänzende Datenschutzhinweise POSTIDENT

Die folgenden Datenschutzhinweise ergänzen die Allgemeinen Datenschutzhinweise der Deutschen Post AG um spezifische Besonderheiten zu den angebotenen Identifizierungs- und Signaturverfahren. Diese Verfahren bietet die Deutsche Post im Auftrag für ihre Geschäftspartner an, die im Sinne der Datenschutzgrundverordnung als Verantwortliche für die Datenverarbeitung für Ihre Fragen zur Verfügung stehen.

  • POSTIDENT durch Postfiliale
  • POSTIDENT durch Videochat
  • POSTIDENT durch Online-Ausweisfunktion
  • POSTIDENT durch AutoID
  • POSTIDENT E-Signing
  • POSTIDENT Zustellung

 

Inhalt

  1. Allgemeines
  2. Zweck, Verwendung und Rechtsgrundlage
  3. Art und Umfang
  4. Weitergabe der Daten
  5. Hinweise und Beschreibung der Verfahren
  6. Abbruch und Wiedereinstieg
  7. Speicherdauer und Löschung von Daten
  8. Datensicherheit des POSTIDENT Portals und Ihrer Daten
  9. Speicherung IP Adresse
  10. Google Maps

1. Allgemeines

Für viele Unternehmen (nachfolgend "Geschäftspartner" genannt) besteht der Bedarf nach einer Identifizierung ihrer Vertragspartner ("Nutzer"). So verlangt z. B. das Geldwäschegesetz (GwG), dass Unternehmen bestimmter Branchen wie z. B. Finanzdienstleister, Versicherungen mit speziellen Versicherungsprodukten, Spielbanken oder Veranstalter/Vermittler von Glücksspielen die Identität ihrer Nutzer prüfen müssen. Neben den Anforderungen aus dem GwG bestehen weitere Verifizierungspflichten wie z.B. die Überprüfung der Identität nach dem Erwerb einer Prepaid Sim Karte nach dem Telekommunikationsgesetz (TKG), die Altersverifikation bei Nutzung von jugendschutzbedürftigen Diensten oder Online-Gaming.

Neben der Überprüfung von Identitäten benötigen bestimmte Unternehmen zudem die Verifizierung konkreter personenbezogener Befugnisse. So stellt z.B. die Identifikation des Nutzers (Signierenden) für die Erstellung einer qualifizierten elektronischen Signatur (digitale Unterschrift) eine wesentliche Voraussetzung dar.

Der Schutz der Privatsphäre der zu identifizierenden Person (nachfolgend "Nutzer") bei der Verarbeitung personenbezogener Daten ist für die Deutsche Post AG ein wichtiges Anliegen, welches bei allen POSTIDENT Verfahren berücksichtigt wird.

POSTIDENT – bezeichnet die Verfahren zur Erhebung von Identitätsdaten oder die Identitätsfeststellung als in sich abgeschlossenen Vorgang (z.B. in der Filiale oder per Videochat) für einen Geschäftspartner.

Identifizierungsdaten – bezeichnet die Daten, welche im Rahmen eines POSTIDENT Verfahrens für einen Geschäftspartner erhoben und an diesen zur zweckgemäßen Verwendung bereitgestellt werden (z.B. Ausweisdaten).

Nachweisdaten – bezeichnet Daten und Aufnahmen, welche aufgrund gesetzlicher Bestimmung oder berechtigtem Interesse zum Nachweis der Durchführung der Identifikationen aufgenommen und verarbeitet werden müssen (z.B. Scan des Ausweises).

 

2. Zweck, Verwendung und Rechtsgrundlage

Sämtliche im Rahmen der POSTIDENT Verfahren erhobenen bzw. erlangten Daten werden von der Deutschen Post AG für die Zwecke der Personenidentifizierung im Auftrag für den jeweiligen Geschäftspartner verwendet. Verantwortlicher und Ansprechpartner für Fragen zur Verarbeitung Ihrer Daten ist der Geschäftspartner. Ausnahmen stellen nur die beiden folgenden Fälle dar:

  1. Verfahren POSTIDENT E-Signing Siehe hierzu Details unter POSTIDENT E-Signing (digitale Unterschrift). Eine andere Verwendung erfolgt nur mit Zustimmung des Nutzers.
  2. Erhebung von Daten zur Qualitätssicherung beim Verfahren AutoID Siehe hierzu Qualitätssicherung beim Verfahren AutoID

Die Identifizierung ist notwendig für das Vertragsverhältnis zwischen dem Nutzer und dem Geschäftspartner zumeist aufgrund von gesetzlichen Vorgaben, Rechtsgrundlage bilden somit Art. 6 Abs. 1 lit. b) und lit. c) DSGVO.

 

3. Art und Umfang

Der Umfang der von der Deutsche Post AG vorgenommenen Verarbeitung und Nutzung der Daten im Rahmen der Identifikation richtet sich nach dem Identifikationsanlass, also dem beabsichtigten oder dem bereits bestehenden Vertragsverhältnis zwischen Ihnen als Nutzer und dem jeweiligen beteiligten Geschäftspartner, sowie den rechtlichen Vorgaben für den Identifikationsnachweis (z.B. nach den Vorgaben des Geldwäschegesetz, Telekommunikationsgesetz, etc.).

Bei der Durchführung einer Identifikation mit POSTIDENT Verfahren erhebt die Deutsche Post AG (je nach Verwendungsanlass) maximal vom Nutzer die nachfolgenden Daten

1. Ausweisdaten

  • Anrede
  • Titel/ Akademischer Grad
  • Name
  • Vorname (alle Vornamen)
  • Geburtsname
  • Geburtsort
  • Geburtsdatum
  • Staatsangehörigkeit
  • Straße und Hausnummer
  • Postleitzahl und Ort
  • Ausweisdaten (wie Ausweisart, Ausweisnummer, Ausstellungsort, -datum, ausstellende Behörde, Gültigkeitsdauer)
  • Mobilfunknummer
  • E-Mail Adresse

Im Rahmen Ihrer Identifizierung kann Ihnen eine Vorgangsnummer per E-Mail zugesandt werden, mit welcher jederzeit der Identifizierungsprozess aufgenommen werden kann. Hierzu wird die E-Mail-Adresse des Nutzers benötigt. Die Mobilfunknummer wird als sicherer zweiter Faktor im Sinne einer Zwei-Faktor-Authentisierung für eine TAN Übermittlung bei einzelnen Verfahren benötigt.

2. Nachweisdaten

Fordert der Geschäftspartner eine Identifizierung konform nach bestimmten gesetzlichen Vorgaben (z.B. Geldwäschegesetz (GwG), Telekommunikationsgesetz (TKG), eIDAS (electronic IDentification, Authentication and trust Services)-Verordnung, o.ä.), schließt dies die Übermittlung der Ausweisdaten und – abhängig vom Identifizierungsverfahren - die Daten des Nachweises der Identifizierung (Nachweisdaten) ein. Dies können je nach Verfahren folgende Daten sein:

  • Foto/Screenshot des Nutzers
  • Foto/Scan des Ausweisdokumentes
  • Foto/Scan des Führerscheines
  • Aufzeichnung (Audio und Video) des gesamten Identifikationsprozesses
  • Ort und Zeitpunkt der Identifizierung
  • Foto/Scan der Unterschrift

4. Weitergabe der Daten

Wenn die Identifizierung im Rahmen eines konkret gewünschten Vertragsschlusses mit einem Geschäftspartner durchgeführt wird, werden nach Abschluss der Identifikation die für den jeweiligen Identitätsnachweis erforderlichen Daten an den gewünschten Geschäftspartner übermittelt.

Im Rahmen der Durchführung der Identifizierung sowie von Kundenservice und IT-Dienstleistungen sind Serviceunternehmen und Dienstleister eingebunden.

Eine Datenverarbeitung erfolgt ausschließlich auf dem Gebiet der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) in überprüften Rechenzentren.

 

5. Hinweise und Beschreibung der Verfahren

Darüber hinaus gelten für die jeweiligen Identifizierungsverfahren die folgenden Regelungen:

POSTIDENT durch Postfiliale

Wesentliche Schritte der Identifizierung

  • Start der Identifizierung durch Vorlage des POSTIDENT-Coupons durch den Nutzer
  • Prüfung des Ausweises des Nutzers mit Ausweislesegerät durch den Mitarbeiter in der Filiale und automatische Übernahme der Ausweisdaten
  • Lichtbildabgleich des Nutzers mit dem Ausweisdokument und Prüfung der Daten durch den Mitarbeiter in der Filiale
  • Prüfung der Daten durch den Nutzer und Erhebung der Unterschriftsprobe
  • Übermittlung der Daten an den Geschäftskunden

Erläuterungen zu erfassten und übermittelten Daten

Aufgrund gesetzlicher Anforderungen wird bei der in einer Postfiliale Ihrer Wahl durchgeführten Identifizierung zusätzlich ein Scan Ihres Ausweisdokuments vorgenommen.

Die Ausweisdaten und die digitale Kopie des Ausweisdokumentes werden in diesem Zusammenhang für die Übermittlung an den Geschäftspartner und zur Verifizierung der Daten erhoben. Die Übermittlung der digitalen Kopie des Ausweisdokuments erfolgt nur an Geschäftspartner, die einer entsprechenden regulatorischen Anforderung unterliegen (z.B. dem Geldwäschegesetz (GwG), dem Telekommunikationsgesetz (TKG) oder der eIDAS-Verordnung).

POSTIDENT durch Videochat

Wesentliche Schritte der Identifizierung

  • Schritt 1: Start der Identifizierung auf der Webseite des Geschäftspartners

    Überführung von der Website des Geschäftspartners zur Identitätsprüfung auf das POSTIDENT Portal.

  • Schritt 2: Wahl POSTIDENT durch Videochat als Verfahren

    Ggf. Eingabe der persönlichen Daten und Auswahl des Ausweisdokuments für die Identifizierung.

  • Schritt 3: Videochat

    Über die Kamera des genutzten Endgerätes führt ein Servicemitarbeiter sicher durch das Video-Ident-Verfahren, prüft die Ausweisdaten und erstellt Fotos.

  • Schritt 4: Bereitstellung der Identifizierungsdaten

    Durch die Eingabe einer SMS-TAN wird der Identifizierungsprozess durch den Nutzer bestätigt und abgeschlossen.

Erläuterungen zu erfassten und übermittelten Daten

Im Rahmen der Durchführung des Verfahrens POSTIDENT durch Videochat wird aufgrund behördlicher Anforderungen zusätzlich

  • ein Foto/Screenshot des Nutzers (Portraitfoto)
  • ein Foto/Screenshot des Ausweisdokumentes sowie
  • eine vollständige audio-visuelle Gesprächsaufzeichnung angefertigt.

Diese Aufzeichnungsdaten sowie die Identifizierungsdaten können zum Zwecke der Kontrolle des Verfahrens, insbesondere für Qualitätssicherungsmaßnahmen betreffend der Einhaltung der gesetzlichen Anforderungen an das Verfahren, von der Deutschen Post AG genutzt werden. Die Daten werden spätestens nach Ablauf der in Kapitel 7 aufgeführten Fristen gelöscht.

Mögliche Verarbeitung biometrischer Daten 

Weiterhin können im Rahmen der Durchführung des Verfahrens POSTIDENT durch Videochat biometrische Daten verarbeitet werden, um Betrugsversuche wie z. B. Identitätsdiebstahl besser erkennen zu können. Dabei werden die Positionsdaten des Gesichts mit dem Ausweisdokument verglichen.

Ihre biometrischen Daten werden nicht gespeichert. Gespeichert werden nur Ergebnisse der Verarbeitung, die selbst keine biometrischen Daten darstellen und auch keinen Rückschluss auf die zu identifizierende Person zulassen. Darüber hinaus erfolgt auch keine weitergehende Verarbeitung wie z. B. für Analysen oder Profiling.

Möchten Sie die Verarbeitung biometrischer Daten vermeiden, können Sie - sofern von Ihrem Geschäftspartner angeboten - alternativ andere Verfahren nutzen wie POSTIDENT durch Postfiliale oder POSTIDENT durch Online-Ausweisfunktion. Werden diese nicht von Ihrem Geschäftspartner angeboten, setzen Sie sich bitte mit diesem in Verbindung.

POSTIDENT durch Online-Ausweisfunktion

Wesentliche Schritte der Identifizierung

  • Überführung des Nutzers von der Website des Geschäftspartners zur Identitätsprüfung auf das POSTIDENT Portal
  • Dort stehen dem Nutzer POSTIDENT durch Online-Ausweisfunktion als Verfahren über Desktop oder über Smartphone zur Wahl
  • Bei der Wahl der Identifizierung über Desktop automatische Umleitung auf die AusweisApp Website mit der Software vom Dienstleister des Bundes (Governikus) und Start der AusweisApp
  • Bei der Wahl der Identifizierung über Smartphone Durchführung der Identifizierung über die Postident App
  • Der Nutzer stimmt mit der Eingabe seiner persönlichen 6-stelligen PIN seines Ausweises der verschlüsselten Datenübermittlung der zuvor angezeigten Informationen zu
  • Geschäftspartnerabhängig erfolgt zusätzlich die Anfertigung von Fotos des Ausweisdokumentes

Erläuterungen zu erfassten und übermittelten Daten

Die Ausweisdaten und Fotos des Ausweisdokumentes (abhängig vom Geschäftspartner) werden in diesem Zusammenhang ausschließlich für die Übermittlung an den Geschäftspartner und eine stichprobenartige Qualitätskontrolle durch die Deutsche Post AG erhoben.

POSTIDENT durch AutoID als Verfahren

Anfertigung von Aufnahmen des Ausweisdokuments sowie einer kurzen Videosequenz des Dokuments und des Gesichts. Anschließend Übermittlung der Daten zur Prüfung an das POSTIDENT Portal.

  • Schritt 1: Erfassung der Ausweis-informationen
    • Vorzeigen der Vorder- und Rückseite des Ausweises
    • App erkennt das Dokument automatisch und liest die notwendigen personenbezogenen Daten aus
  • Schritt 2: Prüfung der Sicherheitsmerkmale
    • Vertikales und horizontales Kippen des Ausweisdokumentes
    • Prüfung der Sicherheitsmerkmale (u.a. holographische Merkmale)
  • Schritt 3: Ausweisbildabgleich
    • Aufnahme eines kurzen Videoporträts („Selfie-Video“)
    • Aufnahme des Gesichts und der Bewegungen
    • Gesichtsbildabgleich und Prüfung auf Manipulationen
  • Abschluss: Ergebnisslieferung
    • Automatische Prüfung durch Techniken des Maschinellen Lernens
    • Qualitätskontrolle ggfs. durch Serviceagenten
    • Automatische Übermittlung der Ergebnisse der Identifikation an Sie

Erfolgreiche Datenübermittlung

Nach erfolgreicher Übermittlung der Daten an das POSTIDENT Portal erfolgt eine Rückleitung auf die Website des Geschäftspartners.

Dokumentenprüfung und Datenbereitstellung

Im Hintergrund erfolgt die Überprüfung der erstellten Aufnahmen mittels Software und Methoden des maschinellen Lernens. Hierbei wird sowohl die Echtheit der Ausweisdokumente anhand verschiedener Sicherheitsmerkmale als auch die Übereinstimmung des Lichtbilds des Dokuments mit der von Ihnen aufgenommen Videosequenz überprüft.

Insofern alle Prüfschritte erfolgreich validiert wurden, erfolgt eine automatisierte Weiterleitung des Identifizierungsergebnisses an den Geschäftspartner. Bei Auffälligkeiten und zur Überprüfung der korrekten Funktionsweise der Software werden geschulte Servicemitarbeiter zur Prüfung einzelner Identifikationsvorgänge herangezogen. Dazu werden sämtliche entscheidungsrelevante Prüfschritte auf Vollständigkeit und Korrektheit durch den geschulten Servicemitarbeiter verifiziert. Die Identifizierungsdaten werden nach der Prüfung an den Geschäftspartner übermittelt. Beim Geschäftspartner kann es ggf. zu einer automatisierten Entscheidung kommen.

Sie haben gemäß Art. 22 Abs. 3 DSGVO bei Einsatz automatisierter Entscheidungsfindung das Recht auf Eingreifen einer Person auf Seiten des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Diese Rechte sind dem Partner gegenüber geltend zu machen, der Ihnen z.B. alternative Verfahren anbieten kann.

Erläuterungen zu erfassten und übermittelten Daten

Die Ausweis- und Nachweisdaten (u.a. die digitale Kopie des Ausweisdokumentes) werden in diesem Zusammenhang für die Übermittlung an den Geschäftspartner und zur Verifizierung der Daten erhoben. Die Übermittlung der Nachweisdaten (z.B. digitalen Kopie des Ausweisdokuments) erfolgt nur an Geschäftspartner, die einer entsprechenden regulatorischen Anforderung unterliegen (z.B. eIDAS-Verordnung). Zur Qualitätssicherung können Ausweis- und Nachweisdaten zusätzlich durch die Deutsch Post AG verarbeitet werden. Siehe hierzu: Qualitätssicherung bei AutoID

Verarbeitung biometrischer Daten 

Im Rahmen der Durchführung des Verfahrens POSTIDENT durch AutoID werden biometrische Daten verarbeitet, um Betrugsversuche wie z. B. Identitätsdiebstahl besser erkennen zu können. Dabei werden z.B. die Positionsdaten des Gesichts mit dem Ausweisdokument verglichen.

Ihre biometrischen Daten werden nicht gespeichert. Gespeichert werden nur Ergebnisse der Verarbeitung, die selbst keine biometrischen Daten darstellen und auch keinen Rückschluss auf die zu identifizierende Person zulassen. Darüber hinaus erfolgt auch keine weitergehende Verarbeitung wie z. B. für Analysen oder Profiling.

Möchten Sie die Verarbeitung biometrischer Daten vermeiden, können Sie - sofern von Ihrem Geschäftspartner angeboten - alternativ andere Verfahren nutzen wie POSTIDENT durch Postfiliale oder POSTIDENT durch Online-Ausweisfunktion. Werden diese nicht von Ihrem Geschäftspartner angeboten, setzen Sie sich bitte mit diesem in Verbindung.

Qualitätssicherung beim Verfahren AutoID

Verantwortlich im Sinne des Datenschutzes ist hierfür die Deutsche Post AG.

Für die kontinuierliche Verbesserung der Identifikation mittels der automatisierten Entscheidungsfindung beim Verfahren AutoID kann die Erhebung und Nutzung von Ausweis- und Nachweisdaten erforderlich sein. Die Daten werden in diesem Falle etwa zum Zwecke der Vorbeugung von Betrugsfällen sowie der Sicherstellung der Korrektheit und laufenden Optimierung der eingesetzten Methoden des maschinellen Lernens und der zugehörigen Software verwendet.

Selbstverständlich werden Ihre Daten hierfür nur so lange aufbewahrt, wie es zur Erfüllung dieser Aufgaben notwendig ist und danach sicher gelöscht. Siehe Speicherfristen

Auch hierfür werden jederzeit höchste Anforderungen an die Sicherung der streng vertraulichen Daten erfüllt und kontinuierlich durch unsere IT Security Maßnahmen überwacht.

Sofern Sie im Nachgang an die Identifikation Ihre Zustimmung zur Nutzung Ihrer Daten zum Zwecke der Qualitätssicherung für AutoID widerrufen möchten, schreiben Sie Ihren Widerruf bitte an: serviceteam.postident@deutschepost.de

Die Rechtsgrundlage hierfür bildet hierfür Art. 6 Abs.1 lit. f) DSGVO. Die Nutzung der Identifizierungsdaten zur Qualitätssicherung dient der kontinuierlichen Qualitätsverbesserung und der Vermeidung von Fehlentscheidungen bei der automatisierten Verarbeitung. Den Interessen der Betroffenen werden durch sehr beschränkte Zugriffsrechte, eine Speicherdauer von maximal 180 Tagen sowie einer Widerspruchsmöglichkeit Rechnung getragen.

POSTIDENT E-Signing (digitale Unterschrift, mit vorgelagerter Identifikation)

Wesentliche Schritte der digitalen Unterschrift

  • Schritt 1: Identifikation

    Überführung auf das Signing-Portal durch den Geschäftspartner mit den zu unterschreibenden Dokumenten zur Identifikation per Online-Ausweisfunktion (eID) über die Postident App oder per Videochat.

  • Schritt 2: Dokumente online prüfen

    Prüfung der angezeigten Dokumente online (per App oder per Web) nach der erfolgreichen Identifikation.

  • Schritt 3: Digitale Signatur

    Freigabe zum rechtsgültigen Aufbringen der digitalen Unterschrift durch die Eingabe einer TAN (Vertragsabschluss).

  • Schritt 4: Download

    Downloadmöglichkeit der signierten Dokumente für den Nutzer und automatische Übermittlung an den Geschäftspartner.

Erläuterungen zu erfassten und übermittelten Daten

Die erhobenen Daten des Nutzers werden ausschließlich zum Zweck der Erbringung des Identifizierungs-, Zertifikatserstellungs- und Signatur-Services genutzt und anschließend archiviert. Die entsprechenden Daten werden gemäß der Vorgaben der eIDAS Verordnung bis zur Einstellung der Tätigkeit des Vertrauensdienstes bei der DPAG vorgehalten. Sollte die DPAG die Tätigkeit einstellen, werden die Daten anschließend an die Bundesnetzagentur (zuständige nationale Aufsichtsbehörde für eIDAS) übergeben, so dass bei Gerichtsverfahren entsprechende Beweise geliefert und die Kontinuität des Dienstes sichergestellt werden kann (siehe eIDAS Artikel 24 (2) h).

Die im Identifizierungsverfahren erhobenen und vorgangsbezogen vorgehaltenen Nutzerdaten sind unter POSTIDENT durch Videochat beschrieben.

POSTIDENT E-Signing mit Identitätstransfer (digitale Unterschrift, ohne zusätzliche Identifikation)

Mit dem Service POSTIDENT E-Signing mit Identitätstransfer wird die Möglichkeit geschaffen, dass beim Geschäftspartner (z.B. einer Bank) bereits vorhandene Identitätsdaten mit Einwilligung des Privatkunden im Rahmen einer digitalen Unterschrift an die Deutsche Post übertragen werden. Eine vorgelagerte Identifizierung mittels POSTIDENT durch Videochat zur Legitimierung zur digitalen Unterschrift kann somit entfallen.

Wesentliche Schritte der digitalen Unterschrift mittels Identitätstransfer

  • Schritt 1: Start auf der Website des Geschäftskunden

    Start der digitalen Vertragsunterschrift auf der Website des Geschäftspartners.

  • Schritt 2: Weitergabe Identitätsdaten

    Weitergabe der erforderlichen Identitätsdaten vom Geschäftspartner an die Deutsche Post mit Zustimmung des Nutzers.

  • Schritt 3: Digitale Unterschrift

    Digitale Anzeige der zu unterzeichnenden Dokumente zur Prüfung durch den Nutzer nach erfolgreicher Verifizierung der Mobilfunknummer.

  • Schritt 4: Vertragsabschluss

    Freigabe zum rechtsgültigen Aufbringen der digitalen Unterschrift durch die Eingabe einer SMS-TAN (Vertragsabschluss) sowie Downloadmöglichkeit der signierten Dokumente.

Erläuterungen zu erfassten und übermittelten Daten

Die persönlichen Identitätsdaten werden ausschließlich zum Zweck der Erbringung des Zertifikatserstellungs- und Signatur-Services für eine digitale Vertragsunterzeichnung durch die Deutsche Post AG genutzt und anschließend archiviert. Die entsprechenden Daten werden gemäß der eIDAS Vorgaben beim Vertrauensdienst (Deutsche Post AG) vorgehalten.

Es werden folgende Identitäts- und Prozessdaten von Geschäftspartner an die Deutsche Post AG übertragen:

  • Vorname(n)
  • Nachname
  • Geburtsdatum
  • Geburtsort
  • Anschrift (Straße und Hausnummer, Ort, PLZ, Land)
  • E-Mail-Adresse
  • Mobilfunknummer 
  • Zeitpunkt der Zustimmung des Nutzers zur Übermittlung der Identitätsdaten

POSTIDENT Zustellung

Wesentliche Schritte der Identifizierung

  • Schritt 1: Voranmeldung der Sendungs- und Empfängerangaben zur Identitätsprüfung durch den Versender an das POSTIDENT System

  • Schritt 2: Versand der Sendung

  • Schritt 3: Identifizierung des Empfängers durch den Zusteller und Übergabe der Sendung

  • Schritt 4: Digitale Übermittlung der Ergebnisdaten (Ergebnis der Identifizierung, Ort und Zeitpunkt der Übergabe) an den Versender

Erläuterungen zu erfassten und übermittelten Daten

Die erhobenen Daten des Nutzers werden ausschließlich zum Zweck der Erbringung des Identifizierungs-, Zertifikatserstellungs- und Signatur-Services genutzt und anschließend archiviert. Die entsprechenden Daten werden gemäß der Vorgaben der eIDAS Verordnung bis zur Einstellung der Tätigkeit des Vertrauensdienstes bei der DPAG vorgehalten. Sollte die DPAG die Tätigkeit einstellen, werden die Daten anschließend an die Bundesnetzagentur (zuständige nationale Aufsichtsbehörde für eIDAS) übergeben, so dass bei Gerichtsverfahren entsprechende Beweise geliefert und die Kontinuität des Dienstes sichergestellt werden kann (siehe eIDAS Artikel 24 (2) h).

Die im Identifizierungsverfahren erhobenen und vorgangsbezogen vorgehaltenen Nutzerdaten sind unter POSTIDENT durch Videochat beschrieben.

6. Abbruch und Wiedereinstieg

Abbruch des POSTIDENT Verfahrens und Widerruf

Der Nutzer hat jederzeit die Möglichkeit, den Identifizierungs- oder Signaturvorgang abzubrechen und die Erfassung und Weitergabe der Daten zu widerrufen. Sofern bis zu dem Zeitpunkt noch keine Übermittlung der Identitätsnachweise an den jeweiligen Geschäftspartner erfolgt ist, werden die erfassten Daten vorbehaltlich gesetzlicher Aufbewahrungsfristen oder sonstiger rechtlicher Vorgaben gelöscht.

 

Abbruch des Verfahrens bei POSTIDENT Zustellung

Im Falle einer Annahmeverweigerung oder nicht erfolgreichen Identifizierung, z.B. durch ein ungültiges Ausweisdokument oder nicht erfolgter Abholung der Sendung nach Weiterleitung an eine Filiale, wird die Sendung an den Geschäftspartner zurück gesendet.

 

Wiedereinstieg in das POSTIDENT Verfahren

Für den Fall, dass es zu Unterbrechungen im Online-Identifizierungs- oder Signaturprozess bei den Verfahren POSTIDENT durch Online-Ausweisfunktion, POSTIDENT durch Videochat, POSTIDENT durch AutoID oder POSTIDENT E-Signing kommen sollte, wird dem Nutzer zur unkomplizierten Wiederaufnahme des Prozesses bei den entsprechenden Verfahren ein Link an seine E-Mail-Adresse gesendet. Diese Daten werden bei Beendigung des Vorgangs POSTIDENT durch Videochat, POSTIDENT durch Online-Ausweisfunktion, POSTIDENT durch AutoID oder POSTIDENT E-Signing nach spätestens 90 Tagen gelöscht. Im Falle eines Signaturvorgangs im Rahmen von POSTIDENT E-Signing, ist bei einem Wiedereinstieg nach der Online-Identifizierung aus Sicherheitsgründen eine Authentifizierung über eine SMS-TAN nötig.

7. Speicherdauer und Löschung von Daten

Speicherfristen betreffen Speicherdauer bei der DPAG - ggf. längere Speicherdauer beim Geschäftskunden. 

Abhängig vom Fortschritt des gewählten Identifikationsverfahrens gelten unterschiedliche Speicher- und Löschfristen:

Fortschritt Art der Daten Speicherdauer Anmerkung
Vor Abschluss Identifikation
  • Bis zu diesem Zeitpunkt erhobene Daten
  • Optional von einem Geschäftspartner übergebene Daten aufgrund eines Identifizierungsanlasses über das POSTIDENT Portal
 90 Tage Löschung erfolgt sofern keine Identifikation abgeschlossen wird
Nach Identifikation Identifizierungsdaten / Nachweisdaten max. 150 Tage sofern Geschäftspartner Daten nicht vorher löscht
Nach Identifikation Audio-visuelle Aufzeichnungsdaten Postident durch Videochat max. 40 Tage sofern Geschäftspartner Daten nicht vorher löscht
Nach Identifikation Identifizierungsdaten/ Nachweisdaten bei AutoID max. 180 Tage Qualitätssicherung für AutoID
Nach Identifikation Daten mit Abrechnungsrelevanz zur Rechnungslegung mit dem Geschäftspartner max. 3 Jahre Name, Vorname und Geburtsdatum

8. Datensicherheit des POSTIDENT Portals und Ihrer Daten

Die vorgenannten Identifizierungsverfahren erfüllen ein Höchstmaß an Datensicherheit. Im Rahmen der Nutzung des Portals und seiner Leistungen bieten wir Ihnen die vollumfängliche Sicherheit Ihrer Daten. Alle Seiten innerhalb des Portals sind durch eine SSL-Verschlüsselung (Secure Socket Layer) geschützt, so dass die Datenübertragungen nicht von Unbefugten gelesen oder verändert werden können.

  • Ihre Daten sind vertraulich, eine Datenübertragung über das Internet erfolgt nur verschlüsselt;
  • die Authentizität des Servers steht fest; eine Datenverarbeitung erfolgt ausschließlich auf dem Gebiet der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) in überprüften Rechenzentren;
  • Ihre Daten sind vor Manipulation geschützt; mittels Algorithmen wird geprüft, ob die Daten vollständig und unverändert unsere Server erreichen.

9. Speicherung IP Adresse

Bei Nutzung von POSTIDENT online speichert der Webserver der Deutschen Post AG aufgrund regulatorischer Anforderungen und aus Gründen der Sicherheit die IP-Adresse, die Webseite, von der aus der Nutzer die Webseite besucht, die Seiten, die der Nutzer bei der Deutschen Post AG besucht sowie das Datum und den Zeitpunkt des Zugriffs. Die Speicherdauer dieser Daten beträgt maximal 90 Tage.

10. Google Maps

Um Ihnen die Suche nach der nächstgelegenen Filiale zur Durchführung von POSTIDENT durch Postfiliale zu vereinfachen, bieten wir mit der Einbindung von Google Maps ein verbessertes Nutzerlebnis.

Für die Kartendarstellung nutzen wir Google Maps von Google Inc. (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Hierzu werden folgende Daten an Google übertragen:

  • Referrer (Adresse der Seite auf der Google Maps verwendet wird)
  • IP-Adresse des Users
  • Google-Account (sofern der User bei Google angemeldet ist, wird dies erkannt und zugeordnet)
  • Der genutzte Browser und Browserpräferenzen wie Browsergröße und -auflösung, Browser-Plugins, Datum, Spracheinstellung
  • Standort des Nutzers: ausschließlich wenn der Nutzer die Anfrage "POSTIDENT erlauben den Standort abzurufen?" explizit bestätigt

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Die Deutsche Post AG hat ein berechtigtes Interesse daran, die Standorte für den Kunden bestmöglich zu visualisieren, da eine Vielzahl der Kunden diese Suchanfrage stellt. Zudem bietet die Karte im Kontext Standortsuche dem Kunden die Möglichkeit, sich den Weg vom Standort des Kunden zur Filiale anzeigen zu lassen. Dieser Service wäre ohne eine Kartendarstellung nicht möglich.

Bei der Standortsuche wird ausschließlich die vom Anwender eingegebene Suchadresse weitergegeben. Es findet keine Verknüpfung oder Speicherung zwischen der Sucheingabe und dem Nutzer statt.

Zur Datenschutzerklärung von Google

Stand: Januar 2025