Rechtliche Informationen

Impressum
AGB
AVV
Datenschutz
Barrierefreiheit

Datenschutzerklärung PortiQ

Der Schutz personenbezogener Daten ist der SecCommerce Informationssysteme GmbH (nachfolgend „SecCommerce“) und deren Unterauftragnehmern ein wichtiges Anliegen. Deshalb verarbeiten wir personenbezogene Daten in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.

Aufgrund der engen Zusammenarbeit zwischen SecCommerce und der Bundesdruckerei-Gruppe können einzelne Verarbeitungen in der datenschutzrechtlichen Verantwortlichkeit eines anderen Akteurs durchgeführt werden. Soweit im Hinblick auf einzelne Verarbeitungen nicht die SecCommerce datenschutzrechtlich verantwortlich ist, wird dies jeweils eingangs der jeweiligen Verarbeitung dargestellt. Diese Datenschutzinformation hat Verarbeitungen in der datenschutzrechtlichen Verantwortlichkeit der SecCommerce zum Gegenstand.

Inhalt

Verantwortlicher und Datenschutzbeauftragte

SecCommerce Informationssysteme GmbH
Otto-Wels-Straße 49
22297 Hamburg – Deutschland
E-Mail: info@seccommerce.com

Die Datenschutzbeauftragte der SecCommerce erreichen Sie postalisch mit dem Zusatz „An die Datenschutzbeauftragte“ und per E-Mail unter: datenschutz@seccommerce.com.

SecCommerce wird bei der Bereitstellung des Signaturportals PortiQ im Regelfall als weisungsabhängiger Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO für die beauftragenden Akteure tätig. Die nachfolgenden Informationen erteilen wir in Erfüllung unserer Pflichten aus Art. 13, 14 DSGVO, soweit wir aufgrund einer abweichenden Konstellation im Einzelfall als Verantwortliche gemäß Art. 4 Nr. 7 DSGVO agieren.

Beschreibung der Verarbeitungstätigkeit

SecCommerce beabsichtigt, natürlichen Personen das elektronische Signieren von Dokumenten – u. a. über den Fernsignaturdienst sign-me der D-Trust GmbH (nachfolgend „D-Trust“) – zu ermöglichen. Die D-Trust stellt als Unterauftragnehmer der SecCommerce Nutzern Zertifikate nach den jeweils geltenden Nutzungsbedingungen zur Verfügung.

Betroffene, Herkunft und Kategorien personenbezogener Daten

Betroffene Personen

  • Antragstellende Nutzende (Mitarbeiter, Kunden oder Geschäftspartner).
  • Personen, deren personenbezogene Daten sich auf den zu signierenden Dokumenten befinden.

Datenherkunft

Daten der Betroffenen werden:

  • bei der Selbst-Registrierung über ein Webformular aufgenommen,
  • von Identifizierungsdienstleistern als verifizierter Datensatz übernommen,
  • von Kunden, die über API mit PortiQ kommunizieren, übernommen,
  • bei Kontaktpersonen von Kunden aus Verträgen und Formularen übernommen,
  • aus Service- und Supportanfragen von Unternehmen, die für ihre eigenen Endkunden Support erbringen, sowie aus direkten Supportanfragen der Betroffenen übernommen.

Datenkategorien

Folgende personenbezogene Daten werden im Rahmen des Fernsignatursystems sign-me der D-Trust und der Bereitstellung von Zertifikaten zur Aufbringung fernausgelöster Signaturen (im Folgenden „Signaturerstellungsdienstleistung“) verarbeitet (der jeweilige Umfang kann einzelfallabhängig variieren):

  • Ausweisdaten: Name, Vorname, Gültig von/bis, Geburtsort, Staatsangehörigkeit, Geburtsname, Geburtsdatum, Meldeadresse, Ausweisnummer (zum Abgleich von Antrag, Ausweis und Identifizierungsnachweis).
  • Weitere Informationen: Titel, Kontakt-E-Mail, E-Mail im Zertifikat, Handynummer, Rechnungsadresse, Organisation, produktspezifische ID.
  • Nachweise: VideoIdent-Nachweis (Aufnahme der Person, Ausweis/Pass/ID-Dokument).
  • Zertifikate, IP-Adressen, Zugriffszeitpunkte.
  • Ggf. Dokumentation zu Übermittlungen gemäß § 8 Abs. 2 VDG.
  • Ggf. zu signierende Daten im Self-Service-Bereich.

Zwecke und Rechtsgrundlage der Verarbeitung

Personenbezogene Daten werden zum Zwecke der Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO), namentlich die Feststellung der Identität des Antragstellers, die Antragsprüfung und -abwicklung, die Gewährleistung des Zertifikatslebenszyklus einschließlich Sperrung und Betrieb des Verzeichnisdienstes (Statusauskunftsdienst) und in Einzelfällen zur Fehlerbehebung, insbesondere bei Supportanfragen.

Die Veröffentlichung der Zertifikate im Verzeichnisdienst erfolgt ausschließlich aufgrund Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) im Antragsprozess. Sie können der Veröffentlichung jederzeit durch eine E-Mail an datenschutz@d-trust.net für die Zukunft widersprechen.

Im Fall von Anfragen gemäß § 8 Abs. 2 VDG werden Übermittlungen an zuständige Stellen vorgenommen, soweit diese die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren anordnen. Rechtsgrundlage ist in diesen Fällen § 8 Abs. 2 VDG i. V. m. Art. 6 Abs. 1 S. 1 lit. c DSGVO.

Verwendung von Cookies

Beim Aufruf einzelner Seiten werden sogenannte temporäre Cookies zur technischen Diensteerbringung verwendet. Diese Session-Cookies beinhalten keine personenbezogenen Daten und verfallen nach Ablauf der Sitzung. Techniken wie z. B. Java-Applets oder ActiveX-Controls, die es ermöglichen, das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt.

Empfänger personenbezogener Daten

Um unsere Supportleistungen erbringen zu können, geben wir die für diesen Dienst benötigten personenbezogenen Daten an den Kundenservice der Bundesdruckerei GmbH weiter, sofern dies zur Lösung des Supportfalls erforderlich ist. Ebenso werden wir personenbezogene Daten, nämlich die Telefonnummer, an unseren Unterauftragnehmer, der für den SMS-Versand zuständig ist, weitergeben, sofern sich der Supportfall auf den SMS-Versand im Signaturportal bezieht. Der jeweilige Kundenservice verarbeitet die personenbezogenen Daten in unserem Auftrag und nach unserer Weisung zur Beantwortung Ihrer Supportanfragen. Teile der kaufmännischen Vertragsabwicklung werden durch die Bundesdruckerei GmbH erbracht und im Zuge dessen personenbezogene Daten verarbeitet.

Gemäß § 8 Abs. 2 VDG gibt die D-Trust Ihre personenbezogenen Daten gegebenenfalls an die zuständigen Stellen weiter. Im Falle Ihrer Einwilligung übermittelt die D-Trust Ihr Zertifikat an den Verzeichnisdienst, der Ihr Zertifikat veröffentlicht, sodass es öffentlich einsehbar ist.

Erforderlichkeit der Bereitstellung personenbezogener Daten

Wir benötigen die als Pflichtfelder gekennzeichneten Daten, um die Identität der Zertifikatsnehmer sicherstellen zu können. Bei Nichtangabe oder Falschangabe kann das angeforderte Zertifikat nicht ausgestellt werden. Ohne Nachweis können die Daten nicht in das Zertifikat aufgenommen werden.

Die Mobilfunknummer des Betroffenen ist zwingend erforderlich, da das Mobiltelefon im Rahmen der Authentifizierung zur Signaturauslösung als zweiter Faktor genutzt wird. Ohne diesen Sicherheitsmechanismus, der auf der Angabe der Mobilfunknummer beruht, kann der Dienst nicht erbracht werden.

Dauer der Speicherung

Sobald die personenbezogenen Daten für den Zweck oder die Zwecke, zu denen sie erhoben worden sind, nicht mehr notwendig sind, werden diese von uns und unseren Unterauftragnehmern gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen. Die Nachvollziehbarkeit der Identifizierung, auf deren Grundlage ein Zertifikat ausgestellt wird, ist ein Qualitätsmerkmal des Zertifikats. Die gesetzlichen oder in Zertifizierungen vorgegebenen Aufbewahrungsfristen sind produktabhängig umgesetzt.

Für qualifizierte Signaturzertifikate gelten für Zertifikate und Zertifikatsnachweisdaten einschließlich der Kontaktdaten die Vorgaben des § 16 Abs. 4 VDG zur dauerhaften Aufbewahrung. Dies entspricht der gesamten Dauer des Betriebs der D-Trust. Sollte die D-Trust ihr Unternehmen aufgeben, werden die Daten an die Bundesnetzagentur oder einen anderen qualifizierten Vertrauensdiensteanbieter übergeben, wie gesetzlich vorgeschrieben.

Alle anderen Zertifikatsnachweisdaten und Zertifikate werden acht Jahre nach Ablauf der Gültigkeit des letzten auf den Daten ausgestellten Zertifikats gelöscht. Dokumente, die Nutzer im Signaturportal zur Signatur hochladen, werden nach einer vom Auftraggeber konfigurierbaren Dauer nach Abschluss des jeweiligen Workflows, der das Dokument enthält, gelöscht. Ist die D-Trust gegebenenfalls aufgrund von § 8 Abs. 2 VDG i. V. m. Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Übermittlung verpflichtet, bewahrt sie diese Dokumentation für 12 Monate gemäß § 8 Abs. 3 VDG auf.

Sicherheit

Wir treffen alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor Verlust und Missbrauch zu schützen. So werden Ihre Daten in einer sicheren Betriebsumgebung gespeichert, die der Öffentlichkeit nicht zugänglich ist.

Übermittlung und Weitergabe personenbezogener Daten

Personenbezogene Daten werden an unsere Unterauftragnehmer übermittelt, wenn dies zur Erfüllung der oben genannten Zwecke erforderlich ist. Innerhalb der Bundesdruckerei-Gruppe werden personenbezogene Daten, die wir an die D-Trust übermittelt haben, gegebenenfalls für die oben genannten Zwecke an andere Konzerngesellschaften übermittelt, wenn dies erforderlich ist.

Auch werden personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Anwaltskanzleien übermittelt, soweit dies rechtlich zulässig und erforderlich ist, um geltendes Recht einzuhalten oder Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen. Sofern eine Zusammenarbeit mit Dienstleistern erfolgt, wie beispielsweise Dienstleistern für IT-Wartungsleistungen, werden sie nur auf unsere Weisung hin tätig und vertraglich auf die Einhaltung der geltenden datenschutzrechtlichen Anforderungen verpflichtet. Verantwortlich für die Datenverarbeitung bleibt die SecCommerce.

Speicherfristen

Soweit bei der Erhebung von personenbezogenen Daten (z. B. im Rahmen einer Einwilligungserklärung) oder innerhalb der Beschreibungen dieser Datenschutzinformation keine ausdrückliche Speicherdauer angegeben wird, werden personenbezogene Daten gelöscht, sobald sie für die Erreichung der Zwecke nicht mehr erforderlich sind, es sei denn, gesetzliche Aufbewahrungspflichten (z. B. handels- und steuerrechtliche Aufbewahrungspflichten) stehen einer Löschung entgegen. Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

  • 10 Jahre – Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege und Rechnungen (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 u. 4, Abs. 4 HGB).
  • 6 Jahre – Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 2, 3, 5 AO, § 257 Abs. 1 Nr. 2 u. 3, Abs. 4 HGB).
  • 3 Jahre – Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche oder ähnliche vertragliche Ansprüche und Rechte zu berücksichtigen, werden für die Dauer der regulären gesetzlichen Verjährungsfrist von drei Jahren gespeichert (§§ 195, 199 BGB).

Betroffenenrechte

Ihnen stehen nach der DSGVO folgende Betroffenenrechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO): Auskunft über die Zwecke, die Kategorien verarbeiteter Daten, die konkreten Empfänger bzw. Empfängerkategorien, die Speicherdauer bzw. die Kriterien für deren Festlegung sowie ggf. die Herkunft der Daten.
  • Recht auf Berichtigung (Art. 16 DSGVO) unrichtiger oder Vervollständigung unvollständiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO), soweit kein Ausschlussgrund besteht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) in einem strukturierten, gängigen und maschinenlesbaren Format.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – in der Regel der Aufsichtsbehörde Ihres üblichen Aufenthaltsorts oder Arbeitsplatzes, wahlweise der Aufsichtsbehörde unseres Unternehmenssitzes.

Widerspruchsrecht (Art. 21 DSGVO)

Nach Art. 21 DSGVO steht Ihnen das Recht zu, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, wenn wir Ihre personenbezogenen Daten lediglich auf Grundlage unserer berechtigten Interessen verarbeiten und sich aus Ihrer besonderen Situation ergebende Gründe dafür sprechen. Sollte sich Ihr Widerspruch gegen Direktwerbung richten, steht Ihnen ein generelles Widerspruchsrecht ohne Angabe von besonderen Gründen zu. Ihren Widerspruch können Sie per E-Mail an datenschutz@seccommerce.com erklären.

Stand: 04.06.2026