Stock-Foto-Misc-02

Data privacy

Privacy policy

The German National Coordination Centre for Cyber Security in Industry, Technology and Research (NKCS) is a joint virtual institution of the Federal Ministry of Economics and Climate Protection (BMWK), the Federal Ministry of the Interior and Homeland (BMI), the Federal Ministry of Defence (BMVg) and the Federal Ministry of Education and Research (BMBF) as well as other institutions (Federal Office for Information Security (BSI), DLR Project Management Agency (DLR-PT) and the CODE Research Institute of the Bundeswehr University Munich (FI CODE)). The BSI acts as the head office and operates the NKCS website.

Responsible handling of personal data is a high priority for the NKCS institutions. As the head office, the BSI wants you to know when which data is collected and how it is used. The BSI has taken technical and organisational measures to ensure that data protection regulations are observed when data is processed by the BSI. As new technologies are developed and implemented, changes to this privacy policy may become necessary. It is therefore advisable to re-read this privacy policy from time to time to check for changes.

Responsible body

The controller for the processing of personal data within the meaning of the General Data Protection Regulation (GDPR) and other data protection regulations is the

National Coordination Centre for Cyber Security in Industry, Technology and Research
c/o Federal Office for Information Security
Department TK 21 - Technology and Research Strategy
Godesberger Allee 87
53175 Bonn

Phone: +49 228 99 9582-0
E-mail: nkcs@bsi.bund.de
Web: https://www.bsi.bund.de/

 

Data Protection Officers at the BSI

The controller for the processing of personal data within the meaning of the General Data Protection Regulation and other data protection regulations is the

Federal Office for Information Security
Data Protection Officer
Godesberger Allee 87
53175 Bonn

P.O. Box 200363
53133 Bonn

Telephone: +49 228 99 9582-5775
Fax: +49 228 9910 9582-5775
E-mail: datenschutzbeauftragte@bsi.bund.de

 

1. general information on data processing by the BSI

About the website

The BSI operates under the domains

  • nkcs.bund.de
  • ncc.bund.de

on which it informs the public about its activities and provides information on EU funding programmes in the field of cyber security research and on events in the context of funding programmes. A brief overview of the processing of your personal data for the aforementioned purpose can be found here:

Log files

  • [Data] : General technical data
  • [Data subject] : Visitors to the NKCS websites
  • [Purpose of processing] : Proper operation of the website, protection against attacks
  • [Storage period] : 14 days

Cookies

  • [Data] : NONE
  • [Data subject] : Visitors to the NKCS websites
  • [Purpose of processing] : NO processing
  • [Storage period] : Each visit

Technical provision of the website

Each time the NKCS website is accessed, a range of general data and information is collected. This general data and information is stored in server log files.

The following data is stored:

  • Date and time of access (time stamp)
  • IP address
  • Request details and destination address (protocol version, HTTP method, referrer, user agent string)
  • Name of the retrieved file and amount of data transferred (requested URL incl. query string, size in bytes)
  • Message as to whether the request was successful (HTTP status code)

No personal evaluation or identification is carried out.

Purpose and legal basis

The BSI processes your data for the technical provision of the NKCS website on the basis of Art. 6 para. 1 lit. c in conjunction with Art. 32 para. 1 of Regulation (EU) 2016/679 General Data Protection Regulation (GDPR), Art. 6 para. 1 lit. e, para. 2, 3 GDPR in conjunction with § 3 para. 1 sentence 2 no. 1, 14, 16, § 3a of the Act on the Federal Office for Information Security (BSIG) in connection with the task of public relations. The purpose is to ensure the proper operation of the website, in particular the implementation of appropriate technical and organisational measures and the fulfilment of legal obligations, as well as to provide an appealing, technically functioning, high-performance and user-friendly website and to ensure the system security of the website.

Recipients of the personal data

Within BSI, access to your data is granted to those departments that require it to fulfil the above-mentioned purposes. The website is hosted by BSI with the involvement of an external service provider. BSI selects this service provider carefully and monitors it at regular intervals. As a processor, it is subject to the instructions of the BSI.

In addition, the BSI only passes on your data if it is obliged or authorised to do so by law or by a court decision, for example in the event of attacks on the Internet infrastructure for legal or criminal prosecution. Any further disclosure to third parties will not take place without your consent.

Transfer to third countries

BSI does not transfer your personal data to countries outside the EU or the European Economic Area (EEA) or to international organisations.

Storage period

The log files are stored for 14 days and then automatically deleted.

BSI does not transfer your personal data to countries outside the EU or the European Economic Area (EEA) or to international organisations.

Storage period

The log files are stored for 14 days and then automatically deleted.

2. Cookies

The BSI uses so-called cookies on the NKCS websites. None of these cookies contain personal data.

The BSI uses cookies to ensure the technically secure and correct provision of the NKCS websites. They are intended to increase the security and functionality of the web application offered, e.g. for session management. The cookies do not contain any personal data. No IP addresses or other information are collected that could be traced back to the actual user.
 

Cookie name

Explanation

cookiebanner          
  • Cookie is used for basic statistical purposes (e.g. anonymous website access figures in general),
  • does not contain any personal data,
  • The value is a random string of between 64 and 70 characters,
  • Cookie is automatically deleted at the end of the session
matomoTracking
  • Cookie for statistical analysis for the needs-based provision of information,
  • Cookie does not contain any personal data,
  • records two bytes of the IP address of the user's accessing system (anonymisation by "zeros of two digits of the IP range")
  • the website accessed,
  • the website from which the user accessed the website (referrer)
  • the subpages that are accessed from the accessed website
  • the time spent on the website and
  • the frequency with which the website is accessed.
  • Validity of the cookie: 1 month

Cookies are small text files that are exchanged between the web browser and the hosting server. Cookies are stored on the computer of the website visitor and transmitted from there to the BSI website. Users can restrict or generally prevent the use of cookies by selecting the appropriate settings in the web browser they are using. Cookies that have already been saved can be deleted at any time.

3. processing of personal data in the context of establishing contact

You can contact the NKCS via the BSI as the head office in various ways. The processing of personal data depends on the method of contact.

A brief overview of the processing of your personal data for the aforementioned purpose can be found here:

E-mail

  • [Data]: Communication data, personal data
  • [Data subject]: Sender e-mail
  • [Processing purpose]: Counselling, public relations, communication
  • [Storage period]: Termination of communication or applicable time limits of the filing policy

Web form

  • [Data]: Communication data, personal data
  • [Data subject]: Sender Form
  • [Processing purpose]: Counselling, public relations, communication
  • [Storage period]: Termination of communication or applicable time limits of the filing policy

Letter

  • [Data]: Communication data, personal data
  • [Data subject]: Sender of the letter
  • [Processing purpose]: Counselling, public relations, communication
  • [Storage period]: Termination of communication or applicable time limits of the filing guideline

Trade fair contact

  • [Data]: Personal data
  • [Data subject]: Trade fair participant
  • [Processing purpose]: Consultancy, public relations, communication
  • [Storage period]: Termination of communication or applicable deadlines of the registration guideline

3.1 Contact by e-mail

You can contact the NKCS via the BSI by e-mail using the functional e-mail inbox "nkcs@bsi.bund.de".

The BSI only collects the personal data for the NKCS that you yourself transmit to it by e-mail, which may be the following, for example:

  • Contact data (e.g. name, address, telephone number, e-mail address),
  • Legitimisation data (e.g. file number, commercial register extracts and ID data),
  • Data within the scope of the contractual relationship (e.g. position, position and department in the company/authority, superior, order data, payment data),
  • Photo and video recordings (e.g. at events or visits),
  • date of birth

and other data comparable with these categories.

The following data is also collected by the system

  • IP address of the accessing computer and
  • the date and time of the email.

Your data is also processed in accordance with sections 3.1 and 3.2.

Purpose and legal basis

The processing of the data transmitted with the e-mail and the content, which may also contain personal data transmitted by you, is carried out on the basis of Art. 6 para. 1 lit. e, para. 2, 3 GDPR in conjunction with § 3 para. 1 sentence 2 no. 1, 14 and 16, § 3a BSIG, § 25 BDSG in conjunction with § 23 para. 1 no. 1 BDSG for the purpose of your consultation and to process your request and as part of public relations work. Processing of the personal data transmitted by you is necessary for the purpose of processing your request.

Recipient of the personal data

Enquiries that reach the BSI as the NKCS contact point by email are processed by BSI employees. If the BSI is unable to answer your enquiry itself, it will forward it to the NKCS institution(s) responsible for the enquiry, which will process it under its own responsibility, in order to fulfil the above-mentioned purposes.

Your data will be deleted by BSI's processor as soon as it is no longer required to fulfil the purpose for which it was collected. For personal data sent by email, this is the case when the respective conversation with the user has ended. The conversation is ended when it can be inferred from the circumstances that the matter in question has been conclusively clarified and storage is no longer necessary for any follow-up questions from the data subject. Otherwise, all personal data in connection with your enquiry will be deleted after six months. The additional personal data collected during the sending process will be deleted after a period of seven days at the latest.

Transfer to a third country

BSI does not transfer your personal data for the NKCS to countries outside the EU or the EEA or to international organisations.

Storage duration

The data transmitted by you, but at least the e-mail address and the information contained in the e-mail, including any personal data transmitted by you for the purpose of contacting you and processing your request, will be stored in accordance with the periods applicable to the storage of documents in the Registry Directive, which supplements the Joint Rules of Procedure of the Federal Ministries (GGO) (maximum 30 years).

3.2 Kontaktaufnahme per Kontaktformular

Sie haben auch die Möglichkeit mit dem NKCS über das BSI per Webformular in Verbindung zu treten. Bei der Nutzung des Formulars wird der Inhalt der Datenfelder dem BSI für das NKCS übermittelt, in der Regel die folgenden Daten:

  • Name und Vorname,
  • E-Mail-Adresse,
  • Organisation.

Ohne diese Daten kann Ihr per Webformular übermitteltes Anliegen nicht bearbeitet werden. Die Angabe der Anschrift ist optional und ermöglicht, soweit von Ihnen gewünscht, die Bearbeitung Ihres Anliegens auf postalischem Weg.

Zudem werden folgende Daten durch das System erhoben:

  • IP-Adresse des aufrufenden Rechners
  • Datum und Uhrzeit der Kontaktaufnahme

Zweck und Rechtsgrundlage

Die Verarbeitung der mit dem Webformular übermittelten Daten und des Inhalts, der ggf. ebenfalls von Ihnen übermittelte personenbezogenen Daten enthält, erfolgt auf Grundlage von Art. 6 Ab. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14, 16 und § 3a BSIG sowie § 25 BDSG in Verbindung mit § 23 Abs. 1 Nr. 1 BDSG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens im Rahmen der Öffentlichkeitsarbeit.  Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Die Bearbeitung Ihres Anliegens, das Sie dem BSI als Kontaktstelle des NKCS über das Webformular mitgeteilt haben, erfolgt in der Regel durch die Mitarbeiterinnen und Mitarbeiter des BSI. Kann das BSI Ihre Anfrage nicht selbst beantworten, leitet es sie zur Erfüllung der oben genannten Zwecke an die Institution(en) des NKCS weiter, in deren Zuständigkeitsbereich die Anfrage fällt und die diese in eigenständiger Verantwortung bearbeitet/bearbeiten.

Die Daten werden beim BSI gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Webformulars ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und eine Aufbewahrung für eventuelle Nachfragen des Betroffenen nicht mehr erforderlich ist. Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Soweit eine Weiterleitung an das BSI erfolgt, richtet sich die Speicherung nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre).

3.3 Kontaktaufnahme per Brief

Sie können sich per Brief über das BSI an das NKCS wenden.

Das BSI erhebt in diesem Fall nur die personenbezogenen Daten, welche Sie dem BSI selbst per Brief übermitteln, dies können beispielsweise Folgende sein:

  • Kontaktdaten (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten),
  • Daten im Rahmen der Vertragsbeziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten, Zahlungsdaten),
  • Fotoaufnahmen (z. B. bei Veranstaltungen oder Besuch),

und andere mit diesen Kategorien vergleichbare Daten.

Zweck und Rechtsgrundlage

Die Verarbeitung der mittels Ihres Briefes übermittelten Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14, 16 und § 3a BSIG sowie § 25 BDSG in Verbindung mit § 23 Abs. 1 Nr. 1 BDSG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens im Rahmen der Öffentlichkeitsarbeit. Eine Verarbeitung der von Ihnen übermittelten personenbezogenen Daten ist zum Zweck der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Die Bearbeitung Ihres Anliegens, das Sie dem BSI als Kontaktstelle des NKCS über das Webformular mitgeteilt haben, erfolgt in der Regel durch die Mitarbeiterinnen und Mitarbeiter des BSI. Kann das BSI Ihr Anliegen nicht selbst bearbeiten, leitet es dasselbe zur Erfüllung der oben genannten Zwecke an die Institution(en) des NKCS weiter, in deren Zuständigkeitsbereich das Anliegen fällt und die dieses in eigenständiger Verantwortung bearbeitet/bearbeiten.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die von Ihnen übermittelten Daten, zumindest jedoch die Adresse, sowie die in dem Brief enthaltenen Informationen inklusive der ggf. von Ihnen übermittelten personenbezogenen Daten zum Zwecke der Kontaktaufnahme und Bearbeitung Ihres Anliegens, werden gemäß den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt, gespeichert (maximal 30 Jahre).

3.4 Kontaktaufnahme auf Messen

Gelegentlich ist das NKCS durch das BSI auf Messen vertreten, um mit Ihnen als Interessierter, Unternehmen oder Bewerber in Kontakt zu treten. Sofern Sie dies möchten, kann es zu einem Kontaktaustausch kommen, damit Sie das NKCS nach Abschluss der Messe kontaktieren und informieren kann. Dabei werden von Ihnen die personenbezogenen Daten verarbeitet, die Sie dem BSI mitteilen. Dies kann beispielsweise sein:

  • Vor- und Nachname;
  • E-Mail-Adresse.

Zweck und Rechtsgrundlage

Das BSI möchte über das Thema Informationssicherheit informieren, beraten und ggf. Bewerber gewinnen. Die Verarbeitung der angegebenen Daten, erfolgt auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14, 16 und § 3a BSIG zum Zwecke Ihrer Beratung und zur Information sowie § 25 BDSG in Verbindung mit § 23 Abs. 1 Nr. 1 BDSG zum Zwecke Ihrer Beratung und zur Bearbeitung Ihres Anliegens im Rahmen der Öffentlichkeitsarbeit. Eine Verarbeitung der von Ihnen bereitgestellten personenbezogenen Daten ist zum Zweck der Kontaktaufnahme und der Bearbeitung Ihres Anliegens erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb des BSI erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Kann das BSI Ihr Anliegen nicht selbst bearbeiten, leitet es dasselbe zur Erfüllung der oben genannten Zwecke an die Institution(en) des NKCS weiter, in deren Zuständigkeitsbereich das Anliegen fällt und die dieses in eigenständiger Verantwortung bearbeitet/bearbeiten.

Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die Speicherung richtet sich nach den für die Aufbewahrung von Schriftgut geltenden Fristen der Registraturrichtlinie, die die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) ergänzt (maximal 30 Jahre). Zudem können Sie dem BSI jederzeit eine E-Mail senden und darum bitten, nicht mehr kontaktiert zu werden. 

4. Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

Nach §§ 3 Abs. 1 S. 2 Nr. 1, 5 und 5a BSIG ist das BSI zuständig für die Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten. Hierfür muss das BSI die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten auswerten und Daten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist. Eine Auswertung durch das Schadsoftware-Erkennungssystem findet statt, soweit eine Kontaktaufnahme per E-Mail (2.1) oder Webformular (2.2) über das BSI oder ein Aufruf der Homepage des NKCS erfolgt.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

  • Schadprogramm-Erkennungssystem

    • [Kategorie personenbezogene Daten]: Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen
    • [Betroffene]: Beschäftige der Bundesverwaltung, E-Mail-Absender
    • [Verarbeitungszweck]: Abwehr von Schadprogrammen und Gefahren für die
    • [Speicherdauer]: Zur Auswertung
  • System zur Protokolldaten-auswertung

    • [Kategorie pb Daten]: Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen
    • [Betroffene]: Beschäftige der Bundesverwaltung, Website-Besucher, E-Mail-Absender
    • [Verarbeitungszweck]: Abwehr von Schadprogrammen und Gefahren für die Kommunikations-technik des Bundes
    • [Speicherdauer]: Zur Auswertung
  • System zur Protokollierungsdatenauswertung

    • [Kategorie personenbezogene Daten]: Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen
    • [Betroffene]: Beschäftige der Bundesverwaltung, Webseitenbesucher, E-Mail-Absender
    • [Verarbeitungszweck] :Abwehr von Gefahren für die Kommunikations-technik des Bundes und ihrer Komponenten
    • [Speicherdauer] : Zur Auswertung

4.1 Schadsoftware-Erkennungssystem

Zur Erfüllung seiner gesetzlichen Aufgabe betreibt das BSI das Schadsoftware-Erkennungssystems. Das Schadsoftware-Erkennungssystem analysiert den ein- und ausgehenden Kommunikationsverkehr automatisch und leitet erkannte mögliche Angriffe zu einer Analyse weiter. Bei der Erhebung können auch personenbezogenen Daten verarbeitet werden, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, beispielsweise die IP-Adressen.

Zweck und Rechtsgrundlage

Das BSI ist auf Grundlage des Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3 Abs. 1 S. 2 Nr. 1 BSIG zur Speicherung der Daten zur Erkennung und zum Schutz vor Angriffen auf die Internetinfrastruktur des BSI sowie auf die gesamte Kommunikationstechnik des Bundes über den Zeitpunkt Ihres Besuches oder Kommunikationsaufnahme hinaus berechtigt. Diese Daten werden analysiert und sind zur Abwehr von Schadprogrammen, Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich, § 5 Abs. 3 S. 2 BSIG.

Empfänger der personenbezogenen Daten

Personenbezogene Daten, die im Rahmen von § 5 Abs. 3 BSIG analysiert wurden, werden nur nach Maßgabe von § 5 Abs. 5, 6 BSIG an andere Behörden übermittelt. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BSI nicht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die automatisierte Auswertung der Schnittstellendaten erfolgt unverzüglich, die Daten werden nach erfolgtem Abgleich sofort und spurenlos gelöscht, sofern keine Auswertung nach § 5 Abs. 3 BSIG erforderlich ist. Ist eine solche Auswertung erforderlich, werden die Daten gelöscht, sobald sie nicht mehr zur Aufgabenerfüllung benötigt werden.

4.2 System zur Protokolldatenauswertung

Zur Erfüllung seiner gesetzlichen Aufgabe betreibt das BSI ein System zur Protokolldatenauswertung.

Hierfür muss das BSI Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist. Protokolldaten im Sinne des BSIG sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nr. 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Abs. 1 des Telemediengesetzes enthalten, § 2 Abs. 8 BSIG. Gängige verarbeitete Protokolldaten sind insbesondere, Logfiles von Servern oder Firewalls, Kopfdaten von Kommunikationsprotokollen, wie z. B. IP, ICMP, TCP, UDP, DNS, HTTP, SMTP.

Zweck und Rechtsgrundlage

Sofern die Protokolldaten personenbezogene Daten enthalten ist das BSI auf Grundlage des Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3 Abs. 1 S. 2 Nr. 1 BSIG zur Speicherung der Daten zur Erkennung und zum Schutz vor Angriffen auf die Internetinfrastruktur des BSI sowie auf die gesamte Kommunikationstechnik des Bundes über den Zeitpunkt Ihres Besuches hinaus berechtigt. Diese Daten werden analysiert und sind zur Abwehr von Schadprogrammen, Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich, § 5 Abs. 3 S. 2 BSIG.

Empfänger der personenbezogenen Daten

Personenbezogene Daten, die im Rahmen von § 5 Abs. 3 BSIG analysiert wurden, werden nur nach Maßgabe von § 5 Abs. 5, 6 BSIG an andere Behörden übermittelt. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BSI nicht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Die automatisierte Auswertung der Protokolldaten erfolgt unverzüglich, die Daten werden nach erfolgtem Abgleich sofort und spurenlos gelöscht. Soweit tatsächliche Anhaltspunkte bestehen, dass die Protokolldaten für den Fall der Bestätigung eines Verdachts nach § 5 Abs. 3 S. 2 BSIG zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können, werden diese längstens für 18 Monate gespeichert, § 5 Abs. 2 S. 1 BSIG. Bestätigt sich der Verdacht nach § 5 Abs. 3 S. 2 BSIG, werden die Daten gelöscht, sobald sie nicht mehr zur Aufgabenerfüllung benötigt werden.

4.3 System zur Protokollierungsdatenauswertung

Zur Erfüllung seiner gesetzlichen Aufgabe betreibt das BSI ein System zur Protokollierungsdatenauswertung.

Hierfür muss das BSI Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinteressen der betroffenen Stellen nicht entgegenstehen. Protokollierungsdaten im Sinne dieses Gesetzes sind Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Systeme. Protokollierungsdaten dienen der Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder der Erkennung, Eingrenzung oder Beseitigung von Angriffen auf die Kommunikationstechnik des Bundes. gemäß § 2 Abs. 8a BSIG.

Zweck und Rechtsgrundlage

Sofern die Protokollierungsdaten personenbezogene Daten enthalten, ist das BSI auf Grundlage des Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3 Abs. 1 S. 2 Nr. 1 BSIG zur Verarbeitung der Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, berechtigt.

Empfänger der personenbezogenen Daten

Innerhalb des BSI erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt durch das BSI nicht.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen

Speicherdauer

Die automatisierte Auswertung der Protokollierungsdaten erfolgt unverzüglich, die Daten werden nach erfolgtem Abgleich sofort und spurenlos gelöscht. Soweit tatsächliche Anhaltspunkte bestehen, dass die Protokollierungsdaten für den Fall der Bestätigung eines Verdachts nach §§ 5a S. 3, 5 Abs. 3 S. 2 BSIG zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können, werden diese längstens für 18 Monate gespeichert, §§ 5a S.3, 5 Abs. 2 S. 1 BSIG. Bestätigt sich der Verdacht nach §§ 5a S.3, 5 Abs. 3 S. 2 BSIG, werden die Daten gelöscht, sobald sie nicht mehr zur Aufgabenerfüllung benötigt werden.

5. Social Media

Das NKCS ist in den sozialen Netzwerken aktiv, um Sie als Nutzerinnen und Nutzer über die Leistungen und Informationsangebote des NKCS sowie dem ECCC zu informieren und ggf. in Fragen zur Forschungsförderung im Bereich der Cybersicherheit allgemein zu beraten. Falls von Ihnen gewünscht, kann direkt über die jeweilige Plattform mit dem NKCS kommuniziert werden. Die Social-Media-Kanäle des NKCS ergänzen somit die NKCS-eigenen Webpräsenzen und bietet Ihnen, wenn Sie diese Plattformen bevorzugen, eine alternative Möglichkeit der Kommunikation an.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

  • Social Media Präsenzen

    • [Daten]: Allgemeine technische Daten, Kommunikationsdaten, persönliche Daten
    • [Betroffene]: Social-Media-Nutzer
    • [Verarbeitungszweck]: Beratung, Öffentlichkeitsarbeit, Kommunikation
    • [Speicherdauer]: 
      • Kommentare :  bis zur Löschung durch den Verfasser
      • Private Nachrichten : 3 Jahre

Einen Überblick über die Social-Media-Präsenzen des NKCS erhalten Sie unter folgendem Link Social-Media-Kanäle. Dort wird ersichtlich, dass alle Angebote auf der Website über einen externen Link zu erreichen sind, denn alle Social-Media-Kanäle können von Ihnen als Besucherinnen und Besucher der Website nur über einen externen Link aufgerufen werden. Das NKCS verwendet auf seinen Websites keine Plugins oder sonstigen Schnittstellen, die die jeweiligen Netzwerke zur Einbettung ihrer Angebote auf Websites anbieten.

Sobald Sie das jeweilige NKCS-Social-Media-Profil in dem jeweiligen Netzwerk aufrufen, gelten dort die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien der jeweiligen Betreiber. Das NKCS verarbeitet die Daten der Nutzerinnen und Nutzer in den NKCS-Social-Media-Präsenzen nur, sofern diese beispielsweise über Kommentare oder Direktnachrichten mit dem NKCS in Kontakt treten und kommunizieren.

Zweck und Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 Nr. 14 BSIG in Verbindung mit der Öffentlichkeitsarbeit, um Sie über die Leistungen und Informationsangebote des NKCS zu informieren und ggf. in Fragen der Sicherheit in der Informationstechnik zu beraten und zu warnen. Eine Verarbeitung Ihrer personenbezogenen Daten ist zum Zweck der der Nutzung der Social-Media Plattform erforderlich.

Empfänger der personenbezogenen Daten

Empfänger der personenbezogenen Daten des Kommentares beziehungsweise der Direktnachricht ist die jeweilige Social-Media-Plattform.

Zur redaktionellen Aufgabenerfüllung verwendet das NKCS für Twitter und Linkedin werden die angegebenen Plattformen genutzt. 

Übermittlung an Drittland

Bei der Verwendung von Twitter und LinkedIn findet eine Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika statt. Diese Übermittlung erfolgt auf Grundlage von Art. 49 Abs. 1 S. 1 lit. d DSGVO in Verbindung mit § 3a Abs. 1, § 3 Abs. 1 S. 2 Nr. 14 BSIG.

Speicherdauer

Kommentare, die Sie unter Beiträgen des NKCS in den sozialen Netzwerken abgeben beziehungsweise die das NKCS adressieren, werden vom jeweiligen Netzwerk jeweils so lange gespeichert, bis Sie sie selbst löschen. Das NKCS löscht private Nachrichten von Ihnen nach drei Jahren, beginnend mit Ablauf des Kalenderjahres, in welchem die Nachricht an das NKCS gesendet wurde. Das NKCS hat keinen Einfluss auf die Datenverarbeitung durch die Drittanbieter der sozialen Netzwerke. Für die Datenverarbeitung dieser in den Vereinigten Staaten von Amerika ansässigen Firmen ist das NKCS nicht verantwortlich. 

5.1 Mastodon

Das NKCS greift für den Kurznachrichtendienst auf die technische Plattform und die Angebote des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Graurheindorfer Str. 153, 53117 Bonn (https://www.bfdi.bund.de/) zurück. Das BSI weist Sie darauf hin, dass Sie den Mastodon-Kurznachrichtendienst und dessen Funktionen in eigener Verantwortung nutzen. Angaben darüber, welche Daten durch Mastodon verarbeitet und zu welchen Zwecken genutzt werden, finden Sie in der Datenschutzerklärung von Mastodon: https://social.bund.de/terms.

5.2 Twitter

Das NKCS greift für den Kurznachrichtendienst auf die technische Plattform und die Angebote der Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103 U.S.A. ( https://twitter.com) zurück. Verantwortlich für die Datenverarbeitung von außerhalb der Vereinigten Staaten lebenden Personen ist die Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2 D02 AX07, Irland. Das NKCS weist Sie darauf hin, dass Sie den Twitter-Kurznachrichtendienst und dessen Funktionen in eigener Verantwortung nutzen. Angaben darüber, welche Daten durch Twitter verarbeitet und zu welchen Zwecken genutzt werden, finden Sie in der Datenschutzerklärung von Twitter: https://twitter.com/privacy.

7. Kontaktdatenbanken und CRM

Das BSI bietet Interessenten an, sich für verschiedene Zwecke in Kontaktdatenbanken und dem BSI-internen Customer-Relationship-Management System, kurz CRM (englisch für Kundenbeziehungsmanagement oder Kundenpflege), eintragen zu lassen. Diese Zwecke können z. B. Einladungen zu Veranstaltungen und Übermittlung von Informationen zu diversen Interessenschwerpunkten, die Teilnahme an verschiedenen Kooperationen oder Aktivitäten, Schulungen, Arbeits- oder Expertenkreisen des BSI sein. Zur Verwirklichung dieser Zwecke werden unterschiedliche Daten von Ihnen abgefragt. Das BSI erhebt dabei nur die für den speziellen Zweck unbedingt erforderlichen Daten.

Das BSI erhebt in diesem Fall in der Regel die folgenden personenbezogenen Daten:

  • Kontaktdaten (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse),
  • Daten im Rahmen der Beziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter, Auftragsdaten)

und andere mit diesen Kategorien vergleichbare Daten.

Dies gilt auch, wenn Sie dem BSI bereits Ihre Kontaktdaten, z. B. durch die Übergabe einer Visitenkarte oder durch Zusendung einer E-Mail mit Kontaktwunsch, haben zukommen lassen.

Zweck und Rechtsgrundlage

Personenbezogene Daten werden durch das BSI zum Zweck der Kommunikation und Zusammenarbeit mit Institutionen und deren Vertretern aus Staat, Wirtschaft und Gesellschaft, erhoben und verarbeitet, zum einen zur Stammdatenpflege, zum anderen aber auch zur Speicherung erweiterter Informationen, die das BSI zwingend für die Steuerung der Aktivitäten mit Kooperationspartnern zur Erfüllung der Schwerpunktaufgaben der jeweiligen Fachbereiche benötigt. Die Verarbeitungstätigkeiten von personenbezogenen Daten erfolgen je nach Einzelfall aufgrund von:

  • Art. 6 Abs. 1 lit. a DSGVO, Ihre dem BSI erteilten Einwilligung oder
  • Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO i.V.m. § 3a Abs. 1 in Verbindung mit § 3 Abs. 1 S. 2 BSIG, zur Wahrnehmung der dort konkret genannten Aufgaben des BSI.

Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Kommunikation und Zusammenarbeit mit Institutionen und deren Vertretern aus Staat, Wirtschaft und Gesellschaft erforderlich.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten Zwecken erforderlich ist. Ihre Daten, welche Sie dem BSI im Rahmen Ihrer Einwilligung übermittelt haben, werden gelöscht, sobald Sie Ihre Einwilligung widerrufen.

8. Allgemeine Hinweise zu den Betroffenenrechten

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie ein „Betroffener“ im Sinne der DSGVO. Ihnen stehen vorbehaltlich entgegenstehender gesetzlicher Einschränkungen und Ausnahmen, wie insbesondere nach §§ 34 – 36 BDSG oder §§ 6b – f BSIG, folgende Rechte gegenüber dem BSI als Verantwortlichem zu:

8.1 Auskunftsrecht Art. 15 DSGVO

Sie können Auskunft darüber verlangen, ob das BSI personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen.

8.2 Recht auf Berichtigung Art. 16 DSGVO

Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen.

8.3 Recht auf Löschung oder Einschränkung Art. 17, 18 DSGVO

Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen.

8.4 Recht auf Datenübertragbarkeit Art. 20 DSGVO

Sie sind berechtigt, unter den Voraussetzungen von Art. 20 DSGVO vom BSI zu verlangen, dass es Ihnen die Sie betreffenden personenbezogenen Daten, die Sie dem BSI bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format übergibt. Gemäß Art. 20 Abs. 3 Satz 2 DSGVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.

8.5 Widerspruchrecht Art. 21 DSGVO

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch das BSI zudem jederzeit widersprechen. Dieses Recht besteht, wenn Ihre personenbezogenen Daten aufgrund von Art. 6 Abs. 1 lit. e), f) DSGVO, zur Direktwerbung, zu wissenschaftlichen oder historischen Forschungs- oder zu statistischen Zwecken verarbeitet werden. Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeitet das BSI in der Folge Ihre personenbezogenen Daten nicht mehr. 

8.6 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sollten Sie in die Verarbeitung Ihrer Daten eingewilligt (Art. 6 Abs. 1 lit. a) haben, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Bitte senden Sie hierfür eine E-Mail an bsi@bsi.bund.de. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.

8.7 Beschwerderecht bei Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelf steht einem Betroffenen (Ihnen) das Recht auf Beschwerde bei einer Aufsichtsbehörde – insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsortes – zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch das BSI gegen die DSGVO verstößt. Aufsichtsbehörde des Bundesamtes für die Sicherheit in der Informationstechnik ist:

  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
  • Graurheindorfer Str. 153
  • 53117 Bonn
  • Telefon: +49 (0)228 997799-0
  • Fax: +49 (0)228 997799-5550
  • E-Mail: poststelle@bfdi.bund.de

8.7 Minderjährigenschutz

Personen unter 18 Jahren sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an das BSI übermitteln. Das BSI fordert im Rahmen seiner Tätigkeit für das NKCS keine personenbezogenen Daten von Kindern und Jugendlichen an.