Verification-19-App

Datenschutzerklärung

Wir, die Lufthansa Industry Solutions AS GmbH („wir“ oder „uns“), sind jederzeit bestrebt, die Sicherheit und Integrität Ihrer personenbezogenen Daten in Übereinstimmung mit dem anwendbarem Datenschutzrecht zu wahren.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Diese Datenschutzerklärung gilt für die von uns angebotenen digitalen Dienste, die wir in Kombination mit Diensten der Firma UBIRCH (nachfolgend „Trust Services“ genannt) anbieten (insgesamt „Dienste“).

A. VERANTWORTLICHER

Der für die Verarbeitung personenbezogener Daten Verantwortliche ist:

Lufthansa Industry Solutions AS GmbH
Schützenwall 1

22844 Norderstedt
Deutschland

B. KONTAKTDATEN DES DATENSCHUTZBEAUFTRAGTEN DES VERANTWORTLICHEN

Die für den Datenschutz beauftragte Person erreichen Sie wie folgt:

Konzerndatenschutzbeauftragter Lufthansa Group
Mail: datenschutz@dlh.de

Anfragen können auch gerichtet werden an:

Peter Horstmann
Datenschutzkoordinator
Lufthansa Industry Solutions AS GmbH
Schützenwall 1
22844 Norderstedt
Mail: dataaccess@lhind.dlh.de

C. ERHEBUNG PERSONENBEZOGENER DATEN

An wen richtet sich die Verification19-App?

Mit der Entwicklung der Verification-19-App bietet die Lufthansa Industry Solutions AS GmbH (nachfolgend LHIND) eine Lösung an, die es ermöglicht SARS-COV2 Tests bestimmter Hersteller zu verifizieren.

Welche Daten werden in der Verification-19-App verarbeitet?

Um eine Verifikation von Testergebnissen zu ermöglichen, wird jeder Test individuell und anonymisiert unter Verwendung der Trust Services in einer Blockchain verankert. Der Nutzer erhält hierüber einen Nachweis in Form eines QR-Codes, der entweder auf Papier ausgehändigt, per Mail verschickt, in einer Wallet hinterlegt oder in einer speziellen App (wie z.B. der CorTes-App) erzeugt wird.

Dieser QR-Code enthält die folgenden Daten, über deren Verwendung ausschließlich der Nutzer entscheidet:

  • Name
  • Vorname
  • Geburtsdatum
  • Testdatum und –zeit
  • Testergebnis (positiv oder negativ)
  • Ausweisnummer (wenn vorhanden)
  • Test-Art (wenn vorhanden).

Die Verification-19-App liest mittels der eingebauten Smartphone-Kamera die Daten des QR-Codes und verifiziert diese Daten unter Verwendung der Trust Services. Nur wenn die Information auf dem QR-Code vertrauenswürdig und korrekt ist, ist die Verifikation erfolgreich. Eine Fälschung von Testergebnissen ist daher nicht möglich.

Alle an die Trust Services übertragenen Daten werden in Form von Hashwerten gespeichert. Um eine größtmögliche Sicherheit der Daten zu erreichen, wird ein die kryptografisch starker SHA-256 Hashwert verwendet, der nach dem aktuellen Stand der Technik als nicht umkehrbar gilt und über eine hohe Kollisionssicherheit verfügt. SHA-256 gehört zu den kryptografischen Algorithmen, die das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der technischen Richtlinie BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, Stand März 2020, empfiehlt.

Nach dem Scannen des durch den Nutzer vorgezeigten QR-Codes überprüft die Verification-19-App die Vertrauenswürdigkeit der Daten und zeigt diese bei erfolgreicher Prüfung an:

  • Name
  • Vorname
  • Geburtsdatum
  • Testdatum und –zeit
  • Testergebnis (positiv oder negativ)
  • Ausweisnummer (wenn vorhanden)
  • Test-Art (wenn vorhanden)

Welche Daten im Einzelnen angezeigt werden, hängt von der Anwendung ab, die den QR-Code erzeugt. Die Verification-19-App wird alle Daten aus dem QR-Code anzeigen, solange deren Echtheit durch die Trust Services bestätigt wird. Die angezeigten Daten werden durch die Verification-19-App nicht weiterverarbeitet und weder dauerhaft gespeichert, noch an andere Systeme oder Apps übertragen. Weiteres ist den Datenschutzerklärungen der jeweiligen Anwendungen zu entnehmen.

Der Nutzer der Verification-19-App hat sicherzustellen, dass die auf dem Smartphone angezeigten Daten Dritten nicht sichtbar gemacht werden. Hierfür kann Verification-19 keine Verantwortung übernehmen.

Wann und wie werden ihre Daten gelöscht?

Nach jedem Scanvorgang und nach dem Beenden bzw. Deinstallation der App werden die Daten endgültig gelöscht bzw. überschrieben.

D. ART DER VERARBEITETEN DATEN

Wir können die folgenden Daten über Sie verarbeiten, welche notwendig sind, um die von Ihnen vorgezeigten Testergebnisse zu validieren:

  • Hash-Werte: Diese werden mit dem unter C. beschriebenen Verfahren aus den folgenden Daten erzeugt: Geräte-ID, Name, Vorname, Geburtsdatum, Testergebnis (aus dem QR-Code ermittelt).

Andere Daten werden nicht durch unsere Systeme verarbeitet. Alle persönlichen Daten (siehe unter Punkt C.) werden ausschließlich innerhalb der Verification-19-App auf dem Endgerät gespeichert. Es erfolgt kein Austausch personenbezogener Daten auf elektronischem Wege mit anderen Apps oder mit sonstigen DV-Systemen.

E. SENSIBLE DATEN NACH ART. 9 DSGVO (BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN)

Sensible personenbezogene oder sonstige sensible Daten (z. B. politische Meinungen, Religionszugehörigkeit, genetische oder biometrische Informationen) werden von uns nicht verarbeitet. Die Verification-19-App verwendet personenbezogene Daten ausschließlich zur Anzeige der Daten innerhalb der App und zur Erzeugung von Hash-Werten zur Einbindung der Trust Services.

F. ZWECKE DER VERARBEITUNG | RECHTSGRUNDLAGE DER VERARBEITUNG | BERECHTIGTE INTERESSEN

Wir werden Ihre personenbezogenen Daten nur zweckgebunden entsprechend den aufgeführten Rechtsgrundlagen und als solche nur innerhalb der Verification-19-App verarbeiten. Die folgende Übersicht beschreibt, zu welchen Zwecken und auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten verarbeiten und – sofern die Verarbeitung auf Art. 6 (1) 1 f) der Datenschutzgrundverordnung (DSGVO) beruht – die berechtigten Interessen für eine solche Verarbeitung:

 

Ziff.  Verarbeitung und Zweck  Rechtsgrundlage  Berechtigte Interessen
 (1) Erhebung und Speicherung Ihrer temporären Nutzungsdaten bei Anmeldung und während Ihrer Nutzung der Verification-19-Systeme für die Gewährleistung der Sicherheit des Systems  Art. 6 (1) 1 f) DSGVO: Berechtigtes Interesse Die temporären Daten werden nur gespeichert, solange die Daten des Testergebnisses angezeigt werden.
  (2) Übermittlung Ihrer Funktionalen Daten (Hash-Werte) an Dritte, die Sie von von Ihrem Testergebnis in Kenntnis setzen Art. 6 (1) 1 b) DSGVO: Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die Applikation „Verification-19“  n. a.

 

G. EMPFÄNGER PERSONENBEZOGENER DATEN | DIENSTE DRITTER

Persönliche Daten werden ausschließlich innerhalb der Verification-19-App gespeichert. Insofern gibt es keine Empfänger personenbezogener Daten und keine Dienste Dritter.

Ausnahme bildet hier der Austausch von Daten zwischen zur Verification-19-App kompatiblen Anwendungen und der Verification-19-App über einen QR-Code. Dies stellt aber keinen Austausch personenbezogener Daten zum Zwecke der Verarbeitung im Sinne der DSGVO dar.

H. DAUER DER SPEICHERUNG PERSONENBEZOGENER DATEN

Wir speichern Ihre personenbezogenen Daten ausschließlich innerhalb der Verification-19-App für die Dauer, die für die Zwecke, zu denen sie erhoben worden sind, erforderlich sind (hierzu siehe Teil D dieser Datenschutzerklärung).

Bitte beachten Sie, dass wir Ihre personenbezogenen Daten nicht in Form von Klardaten, sondern verschlüsselt verarbeiten und dies nur innerhalb der Verification-19-App. Diese Daten können Ihnen nicht ohne Ihr Zutun zugeordnet werden.

Ihre personenbezogenen Daten werden nur während des Verifizierungsvorganges gespeichert und zwar solange sie von Nutzern der Verification-19-App zur Identitätsprüfung benötigt werden.

I. RECHTE DER BETROFFENEN PERSON

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte:

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten. Diese Auskunft umfasst unter anderem die Verarbeitungszwecke, die Kategorien verarbeiteter personenbezogener Daten und die Empfänger oder Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 DSGVO). Bitte beachten Sie, dass die Rechte und Freiheiten anderer Personen Ihr Recht auf Auskunft einschränken können. Wir speichern die Nutzerdaten verschlüsselt und nur für den Zeitraum der Verifizierung der Benutzerdaten. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App. Das Nutzergeheimnis verbleibt in seiner unverschlüsselten Form grundsätzlich nur im Besitz des Nutzers. Daher können wir im Regelfall nicht nachverfolgen, ob personenbezogene Daten einer bestimmten Person im Verification-19-System verarbeitet werden.
  • Das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, sofern diese unrichtig oder unvollständig sind (Art. 16 DSGVO). Nutzer können keine Daten in der Verification-19-App anlegen, berichtigen oder löschen.
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Wir speichern unter anderem Daten, die auf den von Ihnen innerhalb der Verification-19-App hinterlegten Informationen beruhen. Diese Daten werden durch die Verification-19-App mit Verschlüsselungstechniken gesichert, welche auf Schlüsseln basieren, die grundsätzlich ausschließlich durch die Verification-19-App auf Ihrem Endgerät gehalten werden. Ohne diese Schlüssel können wir die vorgenannten Daten Ihrer Person im Rahmen einer Verifikation nicht zuordnen und demgemäß nicht löschen. Die Benutzerdaten werden nur für den Zeitraum der Verifizierung der Benutzerdaten gespeichert. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App.
  • Das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). Wobei ihre personenbezogenen Daten ausschließlich innerhalb der Verification-19-App verarbeitet werden und der Umgang mit den Daten nur durch den Nutzer bestimmt wird. Die Daten werden nur nach der Bereitstellung der Benutzerdaten durch den Benutzer durch Vorzeigen des QR-Codes oder der Aufnahme der Test-Kassette gespeichert. Die Benutzerdaten werden nur für den Zeitraum der Verifizierung der Benutzerdaten gespeichert. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App.
  • Das Recht, in bestimmten Situationen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, sofern die Verarbeitung auf einem berechtigten Interesse von uns oder eines Dritten gemäß Art. 6 (1) 1 f) DSGVO beruht. Die Daten werden nur nach der Bereitstellung der Benutzerdaten durch den Benutzer durch Vorzeigen des QR-Codes oder der Aufnahme der Test-Kassette gespeichert. Die Benutzerdaten werden nur für den Zeitraum der Verifizierung der Benutzerdaten gespeichert. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App.
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung jederzeit zu widerrufen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist. Da wir ihre persönlichen Daten nicht verarbeiten, sondern diese nur lokal auf der Verification-19-App gespeichert werden, widerrufen Sie die Einwilligung der Verarbeitung Ihrer personenbezogenen Daten durch Deinstallation der Verification-19-App.

Bitte beachten Sie, dass wir Ihre personenbezogenen Daten nur innerhalb der Verification-19-App und nicht in Form von Klardaten, sondern verschlüsselt verarbeiten und wir daher in bestimmten Fällen nicht in der Lage sein werden, einer entsprechenden Aufforderung durch Sie zur Gewährung der vorgenannten Rechte nachzukommen.

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unseren Datenschutzbeauftragten unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein einzulegen:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel

J. VERSION

Dies ist die aktuelle Fassung unserer Datenschutzerklärung. Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Änderungen dieser Datenschutzerklärung werden Ihnen gesondert, ggf. vor Wirksamwerden einer Änderung unserer Dienste mitgeteilt. Es empfiehlt sich gleichwohl, diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.