In diesem Hinweis informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten, welche wir über Sie im Rahmen der Nutzung der Dienste von DocuSign Germany GmbH, Neue Rothofstrasse 13-10, 60313 Frankfurt, erfassen, wofür diese Daten von uns benötigt werden und an wen wir diese Daten weitergeben werden. Darüber hinaus beinhaltet sie auch Ihre Rechte in Bezug auf Ihre Daten und die Ansprechpartner, an die Sie sich für weitere Informationen oder Anfragen wenden können.
Verantwortlicher im Sinne der DSGVO
Verantwortlicher im Sinne des Art. 4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von DocuSign ist die Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Rosenheimer Platz 4, 81669 München und die in unserem Eigentum stehenden oder von uns beherrschten Unternehmen und die Rechtsanwaltsgesellschaft Deloitte Legal Rechtsanwaltsgesellschaft mbH, Schwannstraße 6, 40476 Düsseldorf.
Die im folgenden verwendeten Begriffe „Deloitte“, „wir“, „uns“ oder „unser“ beziehen sich auf die Deloitte GmbH Wirtschaftsprüfungsgesellschaft mit Sitz in München und die in ihrem Eigentum stehenden oder von ihr beherrschten Unternehmen und die Rechtsanwaltsgesellschaft DeloitteLegal Rechtsanwaltsgesellschaft mbH.
Als Auftragsverarbeiter verarbeitet die DocuSign GmbH Ihre Daten in unserem Auftrag. Für die Identitätsprüfung kooperiert die DocuSign GmbH mit IDnow GmbH, Auenstr. 100, 80469 München als Unterauftragnehmer. Die Daten werden dabei je auf Grundlage von Auftragsverarbeitungsverträgen nach Art. 28 Abs. 3 DSGVO verarbeitet.
Datenschutzbeauftragter & Datenschutzaufsicht
Alle deutschen Deloitte Gesellschaften haben Datenschutzbeauftragte bestellt. Sie erreichen den jeweiligen Datenschutzbeauftragten unter datenschutzbeauftragter@deloitte.de. Die jeweils zuständigen Aufsichtsbehörden finden Sie hier.
Kategorien von Daten
Folgende Kategorien von Daten werden von DocuSign verarbeitet:
Weitere Hinweise finden Sie hier in der Datenschutzrichtlinie von DocuSign.
Von IDnow werden folgende Kategorien von Daten für die Authentifizierung erhoben.
DocuSign erhält anschließend die Information, dass die Authentifizierung erfolgreich war.
Weitere Hinweise finden Sie hier in der Datenschutzerklärung von IDnow.
Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung
Im Rahmen der von Deloitte gegenüber den Mandanten/Kunden zu erbringenden Dienstleistungen werden in den unterschiedlichen Dokumentenarten personenbezogene Daten zum Zwecke der Erbringung eines Nachweises der Wirksamkeit des jeweiligen Dokumentes verarbeitet. Durch die Nutzung von DocuSign werden Deloitte Mitarbeiter und Mandanten/Kunden darin unterstützt, Dokumente rechtswirksam digital zu signieren. Dadurch können Prozesskosten reduziert und durch das Entfallen von Druck- und Versandmaterial und Transportwegen die Umwelt geschont werden.
Die Verarbeitung der personenbezogenen Daten erfolgt auf der rechtlichen Grundlage des berechtigten Interesses des Verantwortlichen gemäß Art. 6 Abs. 1 lit f. DSGVO. Die Nutzung von DocuSign steigert die Effizienz des Geschäftsbetriebs und ermöglicht eine beschleunigte und rechtssichere Durchführung von Vertragsabwicklungen. Mithilfe der Anwendung können Verträge jederzeit und überall über eine Vielzahl von Geräten versendet, verfolgt und unterschrieben werden. Auch die jederzeit mögliche Überprüfung des Dokumentenstatus sorgt für eine erhöhte Transparenz. Die Nutzung von DocuSign ist als wirtschaftliches Interesse für Deloitte als berechtigt anzusehen. Sie ist auch erforderlich für die Vereinfachung einer Signatur von Dokumenten im Geschäftsbetrieb. Bei der handschriftlichen Signatur würden nahezu dieselben personenbezogenen Daten verarbeitet (mit Ausnahme der für die Identifikation im Rahmen der qualifizierten elektronischen Signatur erforderlichen Daten). Nach einer individuellen Abwägung entgegenstehender Interessen der Betroffenen gegenüber den oben beschriebenen Interessen von Deloitte ist nicht erkennbar, dass die Interessen der Betroffenen überwiegen.
Kategorien von Empfängern von Daten
Empfänger kann jede Person sein, der ein Dokument über DocuSign zur Prüfung und Signierung zugesendet wird.
Für den Anwendungs-Support nutzt Deloitte außerhalb der Geschäftszeiten von Deloitte Deutschland das Deloitte Global Support-Team und das Support-Team von DocuSign in den USA. Das jeweilige Support-Team erhält Zugriff auf den Namen, die E-Mail-Adresse und die öffentliche IP-Adresse, jedoch keinen Zugriff auf weitere personenbezogene Daten oder den bei DocuSign hinterlegten Dokumenten.
Ein Einsatz des Support Teams mit Zugriffsrechten auf die oben genannten personenbezogenen Daten erfolgt nur, wenn dies in der Auftragsvereinbarung mit unseren Kunden vereinbart wurde oder im Einzelfall ohne Zustimmung gesetzlich zulässig ist.
Soweit ein Zugriff außerhalb des Europäischen Wirtschaftsraums erfolgt, wird ein angemessenes Datenschutzniveau durch die Verwendung von Standardvertragsklauseln der EU-Kommission im Sinne des Art. 46 Abs. 2 lit. c) DSGVO gewährleistet.
Ihre Rechte im Zusammenhang mit der Datenverarbeitung
Die DSGVO räumt Betroffenen im Wesentlichen die nachfolgenden Rechte ein, welche Sie jederzeit durch Kontaktaufnahme mit Ihrem Kontakt bei Deloitte oder dem in diesen Informationen genannten Datenschutzbeauftragten unter datenschutzbeauftragter@deloitte.de geltend machen können.
Sie können von Deloitte grundsätzlich jederzeit Auskunft darüber verlangen, ob und welche personenbezogenen Daten über Sie bei Deloitte wie verarbeitet werden bzw. gespeichert sind. Bitte beachten Sie, dass Ihr Recht auf Auskunft insoweit eingeschränkt sein kann, als eine solche Auskunft im Widerspruch zum Berufsgeheimnis stehen könnte und insofern geheimhaltungsbedürftige Informationen offenbaren würde.
Neben Ihrem Recht auf Auskunft können Sie jederzeit die Berichtigung Ihrer Daten verlangen. Hinzu kommt ein Recht auf Löschung Ihrer Daten, wenn und soweit die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder, wenn die Verarbeitung auf Ihrer Einwilligung beruht, Sie Ihre Einwilligung aber widerrufen haben. Das vorgenannte Recht auf Löschung Ihrer Daten entfällt, sofern Ihre Daten aufgrund einer gesetzlichen Pflicht nicht gelöscht werden dürfen oder aufgrund einer gesetzlichen Pflicht verarbeitet werden müssen oder eine Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Darüber hinaus haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten von Deloitte zu verlangen.
Hinzu kommt ein Recht auf Datenübertragbarkeit, d.h. Sie können verlangen, von Deloitte die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und/oder dass diese Daten an einen anderen Verantwortlichen übermittelt werden. Bitte beachten Sie, dass dies nicht gilt, sofern Sie uns die Daten auf der Grundlage einer Einwilligung oder aufgrund eines mit Ihnen abgeschlossenen Vertrages zur Verfügung gestellt haben oder die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Sofern Deloitte Ihre personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVOverarbeitet, können Sie jederzeit Widerspruch gegen diese Verarbeitung einlegen.
Bitte wenden Sie sich hierzu an datenschutzbeauftragter@deloitte.de oder kontakt@deloitte.de. Für den Widerspruch entstehen keine anderen als die Übermittlungskosten nach den Basistarifen.
Beschwerderecht bei einer Datenschutzaufsichtsbehörde
Neben den vorstehend aufgezeigten Betroffenenrechte haben Sie zudem gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt. Zuständig ist jeweils die Aufsichtsbehörde des Bundeslandes, in dem die verantwortliche Stelle Ihren Sitz hat.
Dauer der Datenspeicherung
DocuSign
Vorgänge werden mit Dokumenten und Metadaten 45 Tagen nach Ende der Bearbeitung von der Platform gelöscht. (Nach 30 Tagen wird das Dokument in die Löschwarteschlange (purge queue) eingefügt und dort nach weiteren 15 Tagen gelöscht)
IDnow
Authentifizierungsdaten werden spätestens 90 Tage nach der Authentifizierung gelöscht. Ein Kundenkonto, in dem Stammdaten (Name, Kontakt) sowie Status der letzten Identifizierung bleiben gespeichert. Gespeicherte Authentifizierungen von Personen werden spätestens nach 2 Jahren gelöscht. Eine Löschung kann auch frühzeitig vom Nutzer beauftragt werden.
Deloitte
Ihre Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten, die sich aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz ergeben können und im Regelfall 6 bis 10 Jahre betragen, entgegenstehen.
Außerdem können wir Ihre Daten bis zum Ablauf der gesetzlichen Verjährungsfristen (d.h. im Regelfall 3 Jahre, im Einzelfall aber auch bis zu 30 Jahre) aufbewahren, soweit dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Deloitte Datenschutzerklärung
Hier finden Sie unsere „Datenschutzerklärung“ und „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“ in denen erläutert wird, welche Daten wir über Sie erfassen, wofür wir diese Daten benötigen und an wen wir diese Daten weitergeben. Darüber hinaus beinhalten sie auch Ihre Rechte in Bezug auf Ihre Daten und die Ansprechpartner, an die Sie sich für weitere Informationen oder Anfragen wenden können.
Während die „Datenschutzerklärung“ in erster Linie darlegen soll, welche Daten wir über Sie verarbeiten, speichern und schützen, wenn Sie „unsere Website“ sowie „Deloitte-Apps“ nutzen, sollen die „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14DSGVO“ im Wesentlichen die Verarbeitung Ihrer Daten im Rahmen unserer Dienstleistungen für Sie/unsere Kunden und im Rahmen aller sonstigen Aktivitäten, die Teil der Ausübung unserer Geschäftstätigkeit sind, darlegen.