Gültig ab: 13.11.2024
Für die Bundesverwaltung hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Wir möchten, dass die Nutzerinnen und Nutzer (im Folgenden vereinfachend Nutzer genannt) wissen, wann welche Daten bei der Nutzung der Zentralen Rechnungseingangsplattform des Bundes (im Folgenden ZRE genannt) erhoben und verwendet werden.
Verantwortlich für die Verarbeitung von personenbezogenen Daten ist das Beschaffungsamt des BMI (BeschA).
Beschaffungsamt des BMI (BeschA)
Brühler Straße 3
53119 Bonn
E-Mail: e-rechnung@bescha.bund.de
Internet: http://www.beschaffungsamt.de
Das BeschA nimmt die Aufgabe der Wartung und Pflege der ZRE wahr und verpflichtet sich, alle datenschutzrechtlichen Anforderungen für die ZRE zu erfüllen. Das BeschA verantwortet die Plattform sowie die Registrierung und Authentifizierung über diese und verpflichtet sich, alle datenschutzrechtlichen Anforderungen zu erfüllen, insbesondere die
Datenschutzbeauftragter des Beschaffungsamts des BMI
Brühler Straße 3
53119 Bonn
Telefon: +49 (0)22899 610-0
E-Mail: datenschutz@bescha.bund.de
Bei jedem Aufruf der ZRE-Webseite werden automatisiert personenbezogene und andere Daten vom Computersystem des aufrufenden Rechners verwendet.
Folgende Daten werden hierbei erfasst:
Das BeschA wertet diese Daten anonymisiert für statistische Zwecke aus, um die ZRE kontinuierlich zu verbessern.
Eine Verknüpfung der gespeicherten Daten mit anderen personenbezogenen Daten des Nutzers findet nicht statt.
Rechtsgrundlage für die Speicherung der personenbezogenen Daten ist Art. 6 Abs. 1 lit. e DSGVO, um im öffentlichen Interesse etwaige Fehler im System zurückverfolgen, analysieren und damit rasch beheben zu können und den Betrieb der ZRE sicherzustellen.
Die vorübergehend für die Bereitstellung der Webseite gespeicherten Daten werden gelöscht, wenn die Sitzung des Nutzers beendet ist.
Die vorübergehende Erfassung und Speicherung von Daten ist für die Bereitstellung und den Betrieb der ZRE-Webseite zwingend erforderlich.
Die Webseite der ZRE verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer die Webseite der ZRE auf, so kann ein Cookie auf dem Computersystem des Nutzers gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Die Webseite der ZRE verwendet ausschließlich Session-Cookies. Diese werden beim Verlassen der Webseite der ZRE ungültig und können vom Nutzer in Abhängigkeit von den Browser-Einstellungen lokal gelöscht werden.
Die Rechtsgrundlage für die Verwendung von Cookies ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes, aufgrund der Aufgabe der ZRE zur Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen erforderlichen Anmeldung nach dem Onlinezugangsgesetz.
Einige Funktionen der Webseite der ZRE können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird.
Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.
Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an die Webseite der ZRE übermittelt. Durch eine Änderung der Einstellungen des Internetbrowsers des Nutzers kann die Übertragung von Cookies deaktiviert oder eingeschränkt werden. Bereits gespeicherte Cookies können jederzeit vom Nutzer gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für die Webseite der ZRE deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite der ZRE vollumfänglich genutzt werden.
Über die Webseite der ZRE wird Nutzern die Möglichkeit geboten, sich über die Einrichtung eines Benutzerkontos an der ZRE zu registrieren. Ferner wird Nutzern die Möglichkeit geboten, Unternehmenskonten einzurichten. Im Rahmen der Registrierung und der Einrichtung der Konten werden personen- und unternehmensbezogene Daten des Nutzers erhoben und gespeichert.
Folgende Daten werden im Rahmen des Registrierungsprozesses bei der Einrichtung eines Benutzerkontos gespeichert:
Folgende Daten werden im Rahmen der Einrichtung von Unternehmenskonten gespeichert:
Administratorenrechte ermöglichen dem Nutzer, das vom ihm eingerichtete Unternehmenskonto zu verwalten.
Im Rahmen des Registrierungsprozesses wird eine Einwilligung des Nutzers in die Nutzungsbedingungen eingeholt und die Bestätigung der Einwilligung gespeichert.
Nach der Anmeldung am Benutzerkonto werden aktivitätsbezogen folgende Daten gespeichert:
Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes. Die Datenverarbeitung erfolgt zwecks Weiterleitung von Rechnungen an die Rechnungsempfänger und der damit verbundenen, erforderlichen Anmeldung nach dem Onlinezugangsgesetz.
Die Daten werden gelöscht, sobald diese für die Erreichung des Zwecks der Verarbeitung nicht mehr erforderlich sind. Dies ist der Fall, wenn das Benutzer- und weitere Unternehmenskonten des Nutzers gelöscht werden. Bei einer Änderung der Angaben in dem Benutzer- oder Unternehmenskonto werden die überarbeiteten Angaben gespeichert und die ursprünglichen Angaben gelöscht. Dabei ist zu beachten, dass eine endgültige Löschung eines Kontos erst nach einer Löschfrist von 30 Tagen erfolgt. Das Benutzerkonto wird auch gelöscht, wenn es vom Nutzer länger als 365 Tage nicht mehr benutzt wurde.
Weiterhin ist zu beachten, dass bei der Löschung eines Benutzerkontos die zu dem Benutzerkonto in Beziehung stehenden Unternehmenskonten automatisch gelöscht werden.
Der Nutzer hat jederzeit die Möglichkeit, das Benutzerkonto und verbundene Unternehmenskonten löschen oder die gespeicherten personenbezogenen Daten ändern zu lassen.
Ein Nutzer kann elektronische Rechnungen über sein eingerichtetes Benutzerkonto auf unterschiedlichen Übertragungswegen einreichen. Diese Übertragungswege sind:
Bei der Übermittlung von elektronischen Rechnungen über einen der oben aufgeführten Übertragungswege werden neben den Inhalten der elektronischen Rechnung folgende Daten verarbeitet:
Rechtsgrundlage für die Speicherung der Daten ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 2 E-Rechnungsverordnung des Bundes.
Die Verarbeitung der Daten dient dem Zweck, eine eingereichte elektronische Rechnung nach dem Standard XRechnung in der jeweils aktuellen Fassung zu validieren, den Status einer eingereichten elektronischen Rechnung zu protokollieren, eine Verbindung zwischen der elektronischen Rechnung und dem rechnungsstellenden Nutzer zu ermöglichen und schließlich die Rechnung an die zuständige Bundesbehörde, den Adressaten der Rechnung, weiterzuleiten.
Die weitere Verarbeitung der Rechnungsdaten beim Rechnungsadressaten erfolgt ausschließlich zu dem Zweck, die eingegangenen Rechnungen nach den geltenden Vorschriften für die Haushalts- und Wirtschaftsführung zu bearbeiten und deren Einhaltung zu dokumentieren (s. § 90 BHO).
Rechnungen werden 30 Tage nach der Bereitstellung in der ZRE unabhängig vom Status durch den Betreiber gelöscht.
Beim Rechnungsadressaten werden die Daten, die die Bearbeitung der jeweiligen Rechnung betreffen, im Regelfall 5 Jahre nach VV Nr. 4.7 ZBR BHO aufbewahrt (Rechnung und Rechnungsdaten). Um die Berücksichtigung individueller Bestimmungen in Sonderfällen zu ermöglichen, kann die Archivierungsdauer elektronischer Rechnungen von der Behörde im Einzelfall auch individuell erhöht werden.
Das BeschA ist berechtigt, während der Laufzeit dieses Nutzungsverhältnisses die im Zusammenhang mit der Nutzung der Plattform vom Nutzer entstehenden nicht personenbezogenen Transaktions- und Volumendaten zum Rechnungsversand zur Erstellung anonymer Monats- und Quartalsberichte zu verarbeiten, um die Auslastung der ZRE zu erfassen und infolgedessen die Plattform zu skalieren, weiterzuentwickeln und zu verbessern.
Im Einzelnen werden die folgenden Daten erfasst:
a) die Anzahl versandten Rechnungen pro Rechnungsempfänger, die verwandte Leitweg-ID, Status des Dokumentes, Datum des Statuswechsels, verwendeter Eingangskanal, die jeweiligen Daten werden ohne Bezug zum Rechnungsversender erfasst;
b) Anzahl der hochgeladenen Dateien, der hochgeladenen Dateigrößen in gröberen Gruppen, der unterschiedlicher Dateitypen (pdf, doc, xls...), gemessene Anzahl von Uploadfehlern nach unterschiedlicher Fehlerkategorien.
Die vorab beschriebenen Transaktions- und Volumendaten, welche zur Erstellung der anonymen Monats- und Quartalsreports benötigt werden, werden nach einer Frist von 365 Tagen gelöscht.
Das BeschA kann im Einzelfall gegenüber anderen Behörden gesetzlich verpflichtet sein, Zugang zu personenbezogenen Daten zu gewähren. In diesem Fall können die Daten von Strafverfolgungsbehörden oder dem Bundesamt für Sicherheit in der Informationstechnik verarbeitet werden, wenn dies zur Abwehr einer Gefahr für die öffentliche Sicherheit, zur Rechts- und Strafverfolgung oder zur Abwehr von Angriffen auf unsere IT-Infrastrukturen erforderlich ist. Eine Weitergabe in anderen Fällen erfolgt nicht. Eine Zusammenführung dieser Daten mit anderen Datenquellen zum Beispiel zum Anlegen von Nutzerprofilen erfolgt durch das BeschA nicht.
Bei Fragen zum Datenschutz ist eine Kontaktaufnahme mit den Verantwortlichen der ZRE möglich (siehe unter Punkt II und IV).
Bei technischen und fachlichen Fragen kann sich der Nutzer an die Support-Hotline der ZRE wenden. Eine telefonische Kontaktaufnahme ist werktags von Montag bis Freitag in der Zeit von 08:00 Uhr bis 16:00 Uhr (MEZ) über die Hotline 030 2598-4436 sowie jederzeit über die E-Mail-Adresse der Support-Hotline sendersupport-xrechnung@bdr.de möglich.
Sie haben gegenüber dem BeschA folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Mit dem Recht auf Auskunft erhält der Betroffene eine umfassende Einsicht in die ihn angehenden Daten und einige andere wichtige Kriterien wie beispielsweise die Verarbeitungszwecke oder die Dauer der Speicherung. Es gelten die in § 34 BDSG geregelten Ausnahmen von diesem Recht.
Das Recht auf Berichtigung beinhaltet die Möglichkeit für den Betroffenen, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen.
Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, Daten beim verantwortlichen löschen zu lassen. Dies ist allerdings nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde. Es gelten die in § 35 BDSG geregelten Ausnahmen von diesem Recht.
Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Betroffenen, eine weitere Verarbeitung der ihn angehenden personenbezogenen Daten vorerst zu verhindern. Eine Einschränkung tritt vor allem in der Prüfungsphase anderer Rechtewahrnehmungen durch den Betroffenen ein.
Das Recht auf Widerspruch beinhaltet die Möglichkeit, für Betroffene, in einer besonderen Situation der weiteren Verarbeitung ihrer personenbezogenen Daten zu widersprechen, soweit diese durch die Wahrnehmung öffentlicher Aufgaben oder öffentlicher sowie privater Interessen gerechtfertigt ist. Es gelten die in § 36 BDSG geregelten Ausnahmen von diesem Recht.
Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Betroffenen, die ihn angehenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen. Gemäß Art. 20 Abs. 3 Satz 2 DSGVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.
Soweit die Verarbeitung der personenbezogenen Daten auf Grundlage einer Einwilligung erfolgt, kann der Betroffene diese jederzeit für den entsprechenden Zweck widerrufen. Die Rechtmäßigkeit der Verarbeitung aufgrund der getätigten Einwilligung bleibt bis zum Eingang des Widerrufs unberührt.
Die vorgenannten Rechte können Sie unter den unter Ziffer II genannten Erreichbarkeiten schriftlich geltend machen.
Wenn Sie annehmen, dass die Verarbeitung Ihrer persönlichen Daten Ihre Rechte verletzt, können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden (Art. 77 DSGVO):
Die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn
Telefon: +49 (0)228 997799-0
E-Mail: poststelle@bfdi.bund.de
https://www.bfdi.bund.de/